E-Mail-Archivierung und Compliance

In Deutschland sind E-Mails seit 1996 (HGB) und 2001 (AO) für Unternehmen aufbewahrungspflichtig, sofern sie geschäftliche Inhalte transportieren – z. B. Angebote, Auftragsbestätigungen, Rechnungen, Verträge, Reklamationen. Wer eine Rechnung nur per E-Mail bekommt, darf sie nicht einfach „aufräumen" oder im POP3-Client lokal speichern: nach 10 Jahren ungehinderter Zugriff muss gewährleistet sein. Daneben kommen DSGVO-Pflichten dazu (Zweckbindung, Löschpflicht nach Wegfall des Zwecks), was zu einer paradoxen Anforderung führt: aufbewahren UND löschen können. Diese Lektion zeigt dir, welche Gesetze welche Pflichten begründen, wie die Pflichten-Matrix nach Mail-Typ aussieht, welche Aufbewahrungsfristen gelten, wie ein Archivierungs-System architektonisch aufgebaut ist (WORM-Speicher, Journaling, eDiscovery), welche Tools üblich sind (Exchange Online Archive, MailStore, Veritas) und wie eDiscovery im Streitfall ablaufen. Compliance ist hier nicht nice-to-have – sondern Pflichtanforderung mit hohen Bußgeldern bei Verstößen.

1) Rechtliche Grundlagen in Deutschland

Mehrere Gesetze überlagern sich:

Gesetz	Was wird gefordert	Frist
HGB § 257	Handelsbriefe (Angebote, Auftragsbestätigungen, Reklamationen)	6 Jahre
HGB § 257	Bücher, Inventare, Bilanzen, Belege (auch Rechnungen)	10 Jahre
AO § 147	Steuerlich relevante Unterlagen (Rechnungen, Verträge)	10 Jahre
GoBD	Grundsätze zu ordnungsgemäßer Buchführung – Anforderung an Form und Zugriff	10 Jahre
DSGVO Art. 5, 17	Personenbezogene Daten löschen, wenn Zweck weggefallen	So kurz wie möglich
BetrVG § 87 / TKG / TTDSG	Mitbestimmung / Beschäftigtendatenschutz	—
BSI IT-Grundschutz CON.5	Archiv-Konzept	—

Das Spannungsfeld: HGB/AO sagen „aufheben", DSGVO sagt „löschen, sobald nicht mehr nötig". In der Praxis löst man das durch Aufbewahrungsfristen pro Inhaltskategorie und durch Verschlüsselung + Zugriffskontrolle.

2) Pflichten-Matrix nach Mail-Typ

Nicht jede Mail muss archiviert werden. Diese Matrix zeigt typische Kategorien (Klick eine Zelle für Details):

Welche Mail-Typen wie lange aufbewahren?

Mail-Typ

HGB 6J

HGB/AO 10J

DSGVO

Archivieren?

Rechnung

−

●

◐

Pflicht 10J

Angebot

●

−

◐

Pflicht 6J

Auftragsbestätigung

●

−

◐

Pflicht 6J

Vertrag (E-Mail-Anhang)

−

●

◐

Pflicht 10J

Interne Abstimmung

−

●

kein Muss

Privat-Mail

−

●

Nein

Spam / unerwünscht

−

Nein

Bewerbung

−

●

Nur 6 Monate

Newsletter

−

◐

Nein

● trifft zu ◐ teilweise / abhängig − trifft nicht zu

Klick eine Zelle für Details zur Aufbewahrung dieses Mail-Typs.

3) Compliance-Zeitstrahl typischer Mails

Wie sieht der Lebenszyklus aus?

Zeitstrahl: Eingang einer Rechnungs-Mail

Journaling: Direkt nach Mail-Eingang/Versand schreibt der Mailserver eine identische Kopie ins Archiv-System (WORM-Speicher). Diese Kopie ist unveränderbar – auch wenn der User die Mail in seiner Inbox löscht, bleibt sie im Archiv bis zum Fristende. Nach Fristablauf erfolgt geplante Löschung (Retention Policy).

4) Anforderungen an ein Archiv-System

Ein revisionssicheres Archiv muss folgende GoBD-Eigenschaften erfüllen:

Vollständigkeit – jede geschäftliche Mail wird erfasst, ohne Lücken.
Unveränderbarkeit – nach Speicherung keine Modifikation mehr möglich. Üblicherweise per WORM (Write Once Read Many)-Speicher oder durch kryptografische Hash-Verkettung.
Nachvollziehbarkeit – Audit-Log über alle Zugriffe und Veränderungen.
Auffindbarkeit – Suchfunktion über Betreff, Absender, Volltext, Anhänge. Frist-konform „innerhalb angemessener Zeit" zur Verfügung stellen.
Lesbarkeit – Format muss auch in 10 Jahren noch lesbar sein (EML/MBOX-Standard, keine proprietären Container).
Zugriffskontrolle – nicht jeder darf alles sehen; RBAC-basiert.
Migrierbarkeit – Export-Schnittstelle bei System-Wechsel.

5) Architektur eines Archiv-Systems

E-Mail-Archivierung – typische Architektur

6) Tools am Markt

Exchange Online Archive (M365)

In den höherwertigen M365-Plänen integriert. Litigation Hold, In-Place Archive, Retention Labels über Microsoft Purview. Einfach für M365-Kunden.

MailStore

Deutscher Marktführer. Standalone-Server, archiviert aus jedem MTA (Exchange, M365, Postfix). Volltext-Suche, GoBD-konform. Mittelständische Standardlösung.

Veritas Enterprise Vault

Enterprise-Lösung, sehr leistungsstark, klassisch in Großunternehmen.

Mimecast Cloud Archive

SaaS-Lösung, integriert mit Mail-Gateway. Cloud-Speicherung.

Barracuda Message Archiver

Appliance- oder Cloud-Lösung. Search-fokussiert.

Microsoft Purview

Compliance-Suite in M365 (E5). DLP + Retention + eDiscovery + Sensitivity Labels. Mehr als nur Archivierung.

7) eDiscovery – Suche im Streitfall

eDiscovery (electronic discovery) bezeichnet die strukturierte Suche und Bereitstellung digitaler Beweise – relevant bei:

Gerichtsverfahren (Patentstreit, Vertragsbruch) – Anwalt verlangt „alle Mails zwischen X und Y vom Quartal Z".
Behördenanfrage – Staatsanwaltschaft, Finanzamt.
Compliance-Untersuchung – interne Aufklärung bei Verdacht auf Insider-Trading, Datenklau.
Audit – Wirtschaftsprüfer prüft Vollständigkeit von Rechnungs-Belegen.

Ein gutes Archiv-System unterstützt:

Litigation Hold – Mails einer betroffenen Person werden vorübergehend von der Routine-Löschung ausgenommen.
Suchabfragen mit Filtern (Zeitraum, Sender, Empfänger, Keywords, Volltextsuche in Anhängen).
Audit-Log der Suchabfragen selbst (wer hat wann was gesucht?).
Export-Funktion – Ergebnis als PST, EML, PDF mit Hash-Sicherung.
4-Augen-Prinzip – sensitive Suche braucht Co-Genehmigung (Compliance Officer + Betriebsrat).

8) Beschäftigtendatenschutz und Mitbestimmung

Heikles Thema: das Archiv enthält alle Mails, auch private. Konsequenzen:

Private E-Mail-Nutzung muss klar geregelt sein. Wenn private Nutzung erlaubt ist, gelten erweiterte Beschäftigtendatenschutz-Regeln, eventuell Fernmeldegeheimnis (TKG/TTDSG).
Lösung 1: Private Nutzung verbieten. Klare Dienstanweisung, dann gelten reduzierte Schutzpflichten.
Lösung 2: Private Nutzung erlauben, aber Trennung. Anwender muss private Mails in eigenen Ordner verschieben oder mit „[PRIVAT]"-Tag versehen. Archiv-System schließt diese aus.
Betriebsvereinbarung per § 87 BetrVG mit dem Betriebsrat verpflichtend, sobald die IT die Möglichkeit zur Überwachung schafft.
Zugriffe auf einzelne Postfächer (z. B. bei Abwesenheit) – nur mit Anlass, dokumentiert, 4-Augen-Prinzip.

9) Antipatterns

Archiv-System ohne Pflichtenkonzept. System läuft technisch, aber niemand hat festgelegt, welche Mail-Typen wie lange aufbewahrt werden.
Anwender klassifiziert nicht. Wenn die Klassifizierung manuell erfolgen muss, vergisst sie der User. Lösung: regelbasierte Auto-Klassifizierung.
Archiv ohne WORM-Schutz. Mails sind im Archiv, aber Admin könnte sie löschen. Nicht revisionssicher.
Archiv ist gleichzeitig Backup. Zwei verschiedene Anforderungen: Archiv = Compliance-Pflicht, Backup = Disaster Recovery. Architektonisch trennen.
Klartext-Speicherung im Archiv. Personenbezogene Daten im Klartext = DSGVO-Risiko. Lösung: Verschlüsselung at-rest.
Routinelöschung manuell. Nach 10 Jahren von Hand Mails löschen geht nicht skalierbar. Retention Policies automatisieren.
Keine Mitbestimmung. Archiv eingeführt ohne Betriebsrat → später Risiko von Untersagung. Lösung: BV vorher abschließen.
Niemand kennt das Archiv. Im Streitfall wird es zu spät bemerkt, dass die Suche so schlecht ist. Lösung: regelmäßige Test-Suchen üben.
Archiv ohne Audit-Log. Wer hat wann was gesucht? Bei späterer Diskussion keine Antwort. Audit Logs Pflicht.

Zusammenfassung

E-Mail-Archivierung ist in Deutschland für geschäftliche E-Mails (Rechnungen, Verträge, Angebote, Auftragsbestätigungen) gesetzlich vorgeschrieben: HGB § 257 (6 Jahre für Handelsbriefe, 10 Jahre für Buchungsbelege), AO § 147 (10 Jahre für steuerlich relevante Unterlagen), GoBD (technische Anforderungen). Daneben fordert die DSGVO Löschung nach Zweckwegfall – Spannungsfeld, das durch Klassifizierung pro Mail-Typ aufgelöst wird. Anforderungen revisionssicheres Archiv (GoBD): Vollständigkeit, Unveränderbarkeit (WORM), Nachvollziehbarkeit, Auffindbarkeit, Lesbarkeit, Zugriffskontrolle, Migrierbarkeit. Architektur: Journaling Rule im Mailserver → Kopie an Archiv-System mit Klassifizierung und Volltext-Index → WORM-Speicher (Object-Lock S3 oder Tape). Tools: Exchange Online Archive / Microsoft Purview (M365), MailStore (deutscher Mittelstand-Standard), Veritas Enterprise Vault, Mimecast, Barracuda. eDiscovery für Gerichtsverfahren, Behördenanfragen, Audits – mit Litigation Hold, Volltextsuche, Export-Funktion, 4-Augen-Prinzip. Beschäftigtendatenschutz: private E-Mail-Nutzung regeln, BetrVG-Mitbestimmung, klare Trennung. Antipatterns: fehlendes Pflichtenkonzept, fehlende WORM, Archiv = Backup vermischt, Klartext-Speicherung, manuelle Routinelöschung, fehlende Mitbestimmung.

Verwandte Lektionen: DSGVO Grundprinzipien · Beschäftigtendatenschutz · Exchange/M365 · und mehrWeitere relevante LektionenPostfix & Dovecot TLS & S/MIME Backup 3-2-1 TOMs RBAC Betriebshandbuch Patch-Doku

E-Mail-Archivierung und Compliance

1) Rechtliche Grundlagen in Deutschland

2) Pflichten-Matrix nach Mail-Typ

3) Compliance-Zeitstrahl typischer Mails

4) Anforderungen an ein Archiv-System

5) Architektur eines Archiv-Systems

6) Tools am Markt

Exchange Online Archive (M365)

MailStore

Veritas Enterprise Vault

Mimecast Cloud Archive

Barracuda Message Archiver

Microsoft Purview

7) eDiscovery – Suche im Streitfall

8) Beschäftigtendatenschutz und Mitbestimmung

9) Antipatterns

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title