E-Mail-Archivierung – 5 Fakten die jedes KMU kennen muss

Sechs Jahre. So lange müssen geschäftliche E-Mails in Deutschland aufbewahrt werden – manche sogar zehn. Das klingt abstrakt, bis das Finanzamt eine Betriebsprüfung ankündigt und Sie feststellen, dass die entscheidenden Nachrichten längst gelöscht sind. Ich erlebe das regelmäßig: Ein Maschinenbauunternehmen, 15 Mitarbeiter, zuletzt geprüft 2019 – die E-Mails aus der fraglichen Periode einfach weg. Outlook-Papierkorb leer, der zuständige Mitarbeiter längst aus dem Unternehmen. Was als Routineprüfung begann, wurde teuer. In diesem Artikel zeige ich Ihnen, wer archivieren muss, was dabei schiefgehen kann und wie Sie das Thema mit minimalem Aufwand dauerhaft lösen.

In vielen Unternehmen lautet die Annahme: Die E-Mails liegen in Outlook, in Microsoft 365, auf dem Server – die sind doch irgendwo. Technisch stimmt das sogar. Aber gespeichert ist nicht gleich archiviert. Archivierung bedeutet: revisionssicher, unveränderbar, nachvollziehbar und jederzeit abrufbar. Ein Outlook-Postfach erfüllt keine einzige dieser Anforderungen.

Das Problem verschärft sich, wenn man genauer hinschaut. Mitarbeiter löschen E-Mails. Postfächer werden aufgeräumt. Ehemalige Kollegen verlassen das Unternehmen, ihre Konten werden deaktiviert. Jede dieser Aktionen kann dazu führen, dass geschäftsrelevante Korrespondenz unwiederbringlich verloren geht.

Ein gelöschtes Postfach in Microsoft 365 ist nach 30 Tagen endgültig weg – mitsamt aller steuerlich relevanten E-Mails darin.

Dreißig Tage. Dann ist alles weg.

Die GoBD – die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form – schreiben klar vor, dass elektronische Geschäftskorrespondenz archiviert werden muss. Nicht irgendwie, sondern in einem System, das Veränderungen protokolliert und den Originalzustand bewahrt. Wer das ignoriert, riskiert bei einer Prüfung empfindliche Zuschätzungen durch das Finanzamt.

Nahezu jedes Unternehmen in Deutschland. Sobald Sie Gewinneinkünfte erzielen – egal ob GmbH, UG, Einzelunternehmen oder Freiberufler mit Bilanzierungspflicht – gelten die GoBD für Sie. Das betrifft nicht nur Rechnungen und Verträge per E-Mail, sondern jede Nachricht, die als Handelsbrief oder Geschäftsbrief einzustufen ist.

Konkret fallen darunter:

• Angebote und Auftragsbestätigungen
• Rechnungen und Gutschriften
• Reklamationen und Mängelanzeigen
• Vertragsverhandlungen und Änderungsvereinbarungen
• Korrespondenz mit Behörden und Steuerberatern

Und ein Beispiel, das viele überrascht: Die Preisverhandlung, die nur per WhatsApp lief und trotzdem als Handelsbrief gilt. Kanal spielt keine Rolle – entscheidend ist der geschäftliche Inhalt.

Nicht archivierungspflichtig sind rein private E-Mails und interne Nachrichten ohne geschäftlichen Bezug. In der Praxis lässt sich das allerdings kaum sauber trennen, weshalb die meisten Unternehmen den sicheren Weg gehen und alles archivieren.

Die Aufbewahrungsfristen staffeln sich: Handels- und Geschäftsbriefe müssen sechs Jahre aufbewahrt werden, Buchungsbelege – also auch Rechnungen per E-Mail – sogar zehn Jahre. Die Frist beginnt am Ende des Kalenderjahres, in dem die E-Mail entstanden ist. Eine Rechnung vom März 2024 muss also bis mindestens Ende 2034 verfügbar sein.

Ich höre diesen Satz mindestens einmal pro Woche: Unsere E-Mails liegen doch in der Cloud, das reicht doch. Nein. Microsoft 365 ist eine Produktivitätsplattform, kein Archivierungssystem. Microsoft selbst weist in seinen Nutzungsbedingungen darauf hin, dass die Verantwortung für die Datensicherung beim Kunden liegt.

Das Modell der geteilten Verantwortung funktioniert so:

• Microsoft sorgt dafür, dass die Infrastruktur läuft – Server, Netzwerke, Verfügbarkeit
• Sie als Kunde sind verantwortlich für Ihre Daten – Schutz, Backup, Archivierung, Compliance

Microsoft garantiert die Verfügbarkeit der Plattform, nicht die Sicherheit Ihrer Daten.

Exchange Online bietet zwar Aufbewahrungsrichtlinien. Aber die sind komplex zu konfigurieren, nicht GoBD-konform und schützen nicht vor versehentlichem oder absichtlichem Löschen durch Administratoren. Wer sich darauf verlässt, baut auf Sand. Bei arian IT Service setzen wir deshalb auf arian CloudProtect – eine Lösung, die Microsoft 365 Daten alle zwei Stunden in deutschen Rechenzentren sichert und gleichzeitig GoBD-konform archiviert. Getrennt von der Produktivumgebung, unveränderbar und jederzeit durchsuchbar.

Eine Betriebsprüfung kündigt sich meistens einige Wochen vorher an. Das klingt nach genug Zeit – ist es aber nicht, wenn Sie erst dann feststellen, dass Ihre Archivierung lückenhaft ist. Der Prüfer hat das Recht, Einsicht in Ihre elektronische Geschäftskorrespondenz zu verlangen. In maschinell auswertbarer Form.

Das bedeutet: Ein Ordner mit ausgedruckten E-Mails reicht nicht. Der Prüfer erwartet ein System, in dem er nach Stichworten, Zeiträumen und Absendern suchen kann. Fehlt dieses System, passiert Folgendes:

• Der Prüfer kann eine Zuschätzung vornehmen – also Umsätze und Gewinne schätzen, die in der Regel höher ausfallen als Ihre tatsächlichen Zahlen
• Es können Bußgelder wegen Verletzung der Aufbewahrungspflichten verhängt werden
• Im schlimmsten Fall wird die gesamte Buchführung verworfen

Bei einem Kunden aus dem Handel hat eine fehlende E-Mail-Archivierung zu einer Zuschätzung von über 40.000 Euro geführt. Kein Sonderfall, kein böser Wille – einfach keine Archivierung. Das hätte sich mit einer professionellen Lösung für wenige Euro pro Monat und User vermeiden lassen.

Eine Zuschätzung durch das Finanzamt kostet im Zweifel mehr als zehn Jahre E-Mail-Archivierung zusammen.

Der Begriff revisionssicher klingt sperrig, meint aber im Kern vier Dinge. Ihre Archivierungslösung muss diese Anforderungen erfüllen, damit sie vor dem Finanzamt Bestand hat:

• Vollständigkeit: Jede archivierungspflichtige E-Mail wird erfasst – automatisch, ohne manuelles Eingreifen
• Unveränderbarkeit: Einmal archivierte E-Mails dürfen nicht nachträglich bearbeitet oder gelöscht werden können
• Nachvollziehbarkeit: Jede Aktion im Archiv wird protokolliert – wer hat wann was gesucht oder exportiert
• Verfügbarkeit: E-Mails müssen innerhalb der gesamten Aufbewahrungsfrist jederzeit abrufbar und durchsuchbar sein

Ein Outlook-Postfach erfüllt keinen einzigen dieser Punkte. Auch PST-Dateien auf einer externen Festplatte sind keine Lösung – sie sind manipulierbar, gehen verloren und lassen sich nicht vernünftig durchsuchen.

Professionelle Archivierungslösungen arbeiten nach dem WORM-Prinzip: Write Once, Read Many. Die E-Mail wird einmal geschrieben. Danach nur noch gelesen. Genau so funktioniert die Archivierungskomponente in arian CloudProtect. Jede E-Mail aus Exchange Online wird automatisch erfasst, in deutschen Rechenzentren gespeichert und mit einem Zeitstempel versehen. Ihre Mitarbeiter merken nichts davon – die Archivierung läuft still im Hintergrund.

E-Mail-Archivierung muss kein Projekt sein, das Monate dauert. Bei arian IT Service richten wir die Archivierung in der Regel innerhalb weniger Tage ein. Der Ablauf ist unkompliziert:

Zuerst verschaffen wir uns einen Überblick über Ihre Microsoft-365-Umgebung. Wie viele Postfächer gibt es? Werden ehemalige Mitarbeiter-Konten noch vorgehalten? Gibt es bereits Aufbewahrungsrichtlinien? Das klären wir in einem kostenlosen Erstgespräch – 30 Minuten, die Klarheit schaffen.

Dann aktivieren wir arian CloudProtect für Ihre Umgebung. Die Lösung sichert Exchange Online, OneDrive, SharePoint und Teams alle zwei Stunden. Die GoBD-konforme Archivierung läuft automatisch mit. Für 24,90 Euro pro User und Monat erhalten Sie Backup und Archivierung in einem – gespeichert in deutschen Rechenzentren, getrennt von Ihrer Produktivumgebung.

24,90 Euro pro User und Monat für Backup und Archivierung – das ist weniger als eine Stunde Steuerberater-Honorar.

Wer darüber hinaus seine gesamte IT-Infrastruktur absichern möchte, findet in arian Complete ein Paket, das Endpoint-Schutz, Cloud-Backup, Monitoring und Archivierung bündelt. Feste monatliche Kosten, keine versteckten Zusatzgebühren.

Die Frage lautet nicht, ob Sie E-Mail-Archivierung brauchen. Die Frage lautet, wann das Fehlen zum Problem wird. Bei der nächsten Betriebsprüfung? Beim nächsten Rechtsstreit mit einem Kunden? Wenn ein Mitarbeiter versehentlich ein kritisches Postfach löscht? Sie entscheiden, ob Sie vorher handeln oder nachher zahlen. Wenn Sie wissen möchten, wie Ihre aktuelle Microsoft-365-Umgebung aufgestellt ist und wo die Lücken liegen, melden Sie sich bei uns. arian IT Service bietet Ihnen eine kostenlose Bestandsaufnahme – ehrlich, ohne Verkaufsdruck und mit konkreten Empfehlungen.