Eine GoBD-konforme E-Mail-Archivierung speichert jede ein- und ausgehende geschäftliche E-Mail unveränderlich, mit Zeitstempel, abhängig vom Dokumenttyp 6 bis 10 Jahre lang. Outlook-PST-Dateien auf einem Mitarbeiter-Notebook erfüllen das nicht. Auch Microsoft 365 In-Place-Archive nicht ohne Zusatzkonfiguration. Dieser Artikel erklärt, was die GoBD bei E-Mails konkret verlangt, welche Tools die Anforderungen erfüllen, wie eine saubere Einrichtung aussieht und was es realistisch kostet.
Was ist GoBD-konforme E-Mail-Archivierung?
GoBD-konforme E-Mail-Archivierung bedeutet: jede geschäftliche E-Mail mit steuer- oder buchhaltungsrelevantem Inhalt wird automatisch in ein separates Archivsystem geschrieben, sobald sie das Postfach passiert. Im Archiv ist sie ab diesem Zeitpunkt unveränderlich. Wird die E-Mail im normalen Postfach gelöscht oder bearbeitet, bleibt das Original im Archiv erhalten — mit Zeitstempel, vollständigem Inhalt und Audit-fähigem Zugriffsprotokoll.
Die GoBD selbst (BMF-Schreiben vom 28.11.2019, zuletzt geändert 11.03.2024 und 14.07.2025) fordert dabei vier Kernprinzipien, die jede Archivierungslösung technisch sicherstellen muss.
Warum Outlook-PST und Postfach-Backup nicht reichen
Viele Steuerkanzleien glauben, sie hätten das Thema im Griff: „Wir haben ein Backup unseres Mailservers, das reicht doch." Das ist im Audit-Fall die häufigste Fehlannahme.
Die Probleme bei klassischen Setups:
- PST-Dateien auf Notebooks können gelöscht, manipuliert oder durch Festplatten-Defekt verloren gehen. Keine Unveränderbarkeit.
- Mailserver-Backups sind ein Snapshot — kein chronologisches Archiv. Wer eine E-Mail vor dem nächsten Backup-Lauf löscht, sieht sie nirgends mehr.
- Microsoft 365 In-Place Archive ist standardmäßig keine GoBD-Archivierung. Es kann konfiguriert werden, hat aber substanzielle Tücken (siehe Tool-Vergleich weiter unten).
- „Wir drucken wichtige E-Mails aus" erfüllt die Vollständigkeit nicht. Welche E-Mails sind „wichtig"? Wer entscheidet das? Audit-Prüfer sehen sofort, dass selektiv archiviert wurde.
Die Konsequenz im Außenprüfungs-Fall: schon formelle Mängel bei der digitalen Buchführung können dazu führen, dass die Buchhaltung verworfen und die Besteuerungsgrundlagen geschätzt werden — mit Beweislast beim Steuerpflichtigen. §147 Abgabenordnung verlangt unmissverständlich die geordnete Aufbewahrung sämtlicher steuerrelevanter Unterlagen — und E-Mails zählen dazu, sobald sie buchhalterischen Bezug haben.
Der Bundesfinanzhof hat das mit Beschluss vom 30. April 2025 (XI R 15/23) noch einmal ausdrücklich bestätigt: E-Mails, die als Handels- oder Geschäftsbriefe gelten oder Buchungsbelege enthalten, sind aufbewahrungspflichtig und müssen elektronisch revisionssicher archiviert werden. Ein Ausdruck reicht laut GoBD in der Regel nicht aus, wenn die E-Mail digital empfangen wurde.
Die 4 Grundprinzipien der GoBD bei E-Mails
Eine Archivierungslösung muss diese vier Anforderungen technisch erfüllen — egal welches Tool zum Einsatz kommt:
1. Unveränderbarkeit
Eine einmal archivierte E-Mail darf nicht mehr verändert werden. Auch nicht vom Administrator. Auch nicht durch das System selbst (z.B. bei Migration). Technisch heißt das: Write-Once-Read-Many (WORM)-Storage oder kryptografische Hash-Verfahren, die jede Veränderung sofort sichtbar machen.
2. Vollständigkeit
Jede geschäftliche E-Mail muss archiviert werden — nicht nur die „wichtigen". Eingehend, ausgehend, mit allen Anhängen. Die Auswahl darf nicht beim Mitarbeiter liegen. Technisch: automatische Spiegelung aller Mails per IMAP- oder SMTP-Journal an das Archiv.
3. Nachvollziehbarkeit
Wer hat wann auf welche archivierte E-Mail zugegriffen? Wann wurde was archiviert? Das System muss vollständige Audit-Logs führen, die der Prüfer einsehen kann. Diese Logs sind selbst wieder unveränderlich.
4. Verfügbarkeit über die Aufbewahrungsfrist
E-Mails müssen je nach Dokumenttyp unterschiedlich lange lesbar bleiben. Mit dem Vierten Bürokratieentlastungsgesetz (in Kraft seit 1. Januar 2025) wurden die Fristen teilweise verkürzt:
| Dokumenttyp | Frist | Rechtsgrundlage |
|---|---|---|
| Buchungsbelege (Rechnungen, Quittungen, Lieferscheine) | 8 Jahre (verkürzt von 10) | §147 Abs. 3 Satz 1 AO, §14b Abs. 1 Satz 1 UStG |
| Handels-/Geschäftsbriefe (Korrespondenz, Verträge) | 6 Jahre | §147 Abs. 3 AO |
| Bilanzen, Inventare, Bücher, Jahresabschlüsse | 10 Jahre | §147 Abs. 3 AO |
Die Aufbewahrungsfrist beginnt mit dem Schluss des Kalenderjahres, in dem das Dokument entstanden ist — eine E-Mail aus 2025 wird also frühestens 2034 (bei Buchungsbeleg-Charakter) oder 2032 (bei Geschäftsbrief-Charakter) zur Vernichtung freigegeben.
Defensive Empfehlung: Trotz der Verkürzung empfehlen viele Steuerberater weiterhin eine 10-jährige Aufbewahrung. Grund: die Festsetzungsfrist nach §169 AO kann die Pflicht faktisch verlängern (z.B. bei laufender Außenprüfung, hinterzogenen Steuern oder Steuerstrafverfahren). Wer einheitlich 10 Jahre aufbewahrt, vermeidet die Diskussion „ist das jetzt ein Buchungsbeleg oder ein Brief?".
Technisch ist das eine erstaunliche Hürde: Formate ändern sich, Verschlüsselungsverfahren werden veraltet, Speichermedien gehen kaputt. Ein professionelles Archiv plant Format-Migration, Backup-Strategie und Storage-Refresh über Dekaden ein.
Wie Benno MailArchiv + Mailcow technisch zusammenarbeiten
Ein bewährtes und lizenzkostenfreies Open-Source-Setup für eine GoBD-konforme E-Mail-Archivierung kombiniert zwei Komponenten:
Mailcow ist der eigentliche E-Mail-Server — er verarbeitet ein- und ausgehende E-Mails, stellt Postfächer bereit, kümmert sich um Spam-Filter und Verschlüsselung.
Benno MailArchiv ist das spezialisierte Archivsystem — entwickelt von LWsystems aus Bad Iburg (Region Osnabrück), Open Source, explizit für GoBD-Konformität ausgelegt. Wir bei Netzarea richten Benno MailArchiv direkt in Steuerkanzleien ein und betreuen die Installation als Managed Service — in direkter Partnerschaft mit dem Hersteller LWsystems.
Der technische Workflow sieht so aus:
- Mandant sendet E-Mail an die Kanzlei → Mailcow nimmt sie entgegen
- Mailcow ruft Benno per Milter-Protokoll auf — der Milter-Daemon cached jede ein- und ausgehende Mail lokal auf dem Mailserver, inklusive der vollständigen SMTP-Envelope-Information (Sender, Empfänger, auch BCC-Empfänger)
- Mailcow stellt die Mail parallel an das Postfach zu — Mitarbeiter sieht keinen Unterschied im normalen Postfach-Workflow
- Ein asynchroner Job überträgt die im Milter-Cache liegenden Mails kontinuierlich an den Benno-Archivspeicher (WORM-Storage oder versiegelte Volumes) — mit Originalzeitstempel und vollständigem Inhalt
- Im Archiv ist die Mail ab dem Schreiben unveränderlich
- Mitarbeiter kann die Mail im Postfach jederzeit löschen, verschieben oder bearbeiten — das Original im Archiv bleibt unangetastet (der Milter-Cache hält die Mail bereits, bevor sie ans Postfach geht)
- Für den Audit-Zugriff hat ein definierter Personenkreis (z.B. Kanzleiinhaber + DSB) Zugriff auf das Archiv mit Volltext-Suche
Der entscheidende Compliance-Vorteil der Milter-Anbindung gegenüber einer BCC-Spiegelung: die Erfassung passiert im Mailflow auf dem Mailserver selbst, nicht als nachgelagerter und potenziell fehlschlagender Kopiervorgang. Außerdem bleibt die SMTP-Envelope-Information erhalten — entscheidend, wenn ein BCC-Empfänger im Audit nachvollziehbar sein muss (das verliert eine reine Postfach-BCC-Lösung). Damit erfüllt der Aufbau alle vier GoBD-Anforderungen, die Daten liegen ausschließlich in Deutschland, und die Open-Source-Basis verhindert Vendor Lock-in.
Tool-Vergleich: Welche Archivierungslösung passt?
| Tool | Lizenzmodell | Server-Standort | GoBD-konform out-of-the-box | Setup-Aufwand | Typische Kanzleigröße |
|---|---|---|---|---|---|
| Benno MailArchiv (über Netzarea als Managed Service oder direkt als Benno Cloud SaaS vom Hersteller verfügbar) | Open Source, lizenzkostenfrei (Self-/Managed-Hosted); Abo bei Benno Cloud | Eigener Server / Managed / SaaS (DE) | ✓ | mittel (self-hosted), niedrig (Cloud) | 2–500 MA |
| MailStore Server (Teil von OpenText, von DATEV explizit empfohlen) | Kommerziell, ab 295 € für 5 Lizenzen (= ~60 €/Lizenz), Mengenrabatt bei größeren Stückzahlen, plus optionaler Update-Service. Auch als MailStore Cloud SaaS verfügbar (seit 2025) | Eigener Server / Cloud (DE) | ✓ | niedrig | 5–500 MA |
| M365 In-Place Archive | In E3 (100 GB/User) bzw. E5 (Auto-Expanding bis 1,5 TB) enthalten | EU Data Boundary | ⚠ erst nach Preservation Lock + Konfiguration (irreversibel, siehe unten) | hoch | nur wenn M365 sowieso da |
| Outlook-PST + Backup | „kostenlos" | irgendwo | ✗ | — | — (nicht GoBD-konform) |
Microsoft 365 — die häufige Falle
M365 In-Place Archive (in E3 und E5 enthalten) wird oft als „GoBD-konform" verkauft. Tatsächlich ist die Sachlage komplexer:
- Litigation Hold allein reicht nicht — ein Administrator kann den Hold jederzeit deaktivieren, also ist die Unveränderbarkeit nicht garantiert.
- Für echte GoBD-Konformität braucht es Preservation Lock auf einer Retention Policy: erst dann kann auch ein globaler Admin die Aufbewahrung nicht mehr verkürzen oder ausschalten.
- Preservation Lock ist irreversibel. Microsoft schreibt in der eigenen Dokumentation: „NEVER enable Preservation Lock for testing." Selbst Microsoft-Support kann den Lock nicht entfernen — wer einmal sperrt, sperrt für immer.
- Microsoft selbst stellt klar: „Retention is not the same as archiving." Auch ein gesperrter Retention-Policy-Setup ersetzt kein dediziertes Archiv mit Audit-Trail.
- Hinzu kommt das US-CLOUD-Act-Risiko, das bei Mandantendaten relevant bleibt (siehe Steuerkanzlei digitalisieren für die rechtliche Einordnung).
Empfehlungen je nach Profil:
- Kanzlei 2–15 MA, Wert auf Datenhoheit + DSGVO: Benno MailArchiv + Mailcow. Beste Kombination aus Funktionsumfang, Kosten und Compliance-Sicherheit. Wir richten Benno in direkter Partnerschaft mit dem Hersteller LWsystems ein.
- Kanzlei 5–50 MA, weniger technische Tiefe gewünscht, Wartungsbudget vorhanden: MailStore Server — kostenpflichtig, dafür sehr einfach administrierbar. DATEV empfiehlt MailStore explizit seinen ca. 325.000 Kunden und listet die Lösung im DATEV-Marktplatz — eine offizielle Empfehlung, die in DATEV-orientierten Kanzleien viel Gewicht hat.
- Größere Kanzlei mit bestehender M365-Strategie: M365 In-Place Archive mit dokumentiertem Preservation Lock + bewusstem Akzeptieren der Irreversibilität + US-CLOUD-Act-Risikoabwägung.
Schritt-für-Schritt: Eine GoBD-konforme E-Mail-Archivierung einrichten
Vorausgesetzt wird das Setup mit Mailcow + Benno (häufigste Variante in deutschen Kanzleien). Die anderen Tools folgen einer ähnlichen Logik.
Schritt 1: Mailcow-Server vorbereiten Ein eigener Mailserver auf einem deutschen Hoster (oder beim spezialisierten Managed-Provider). Domain-MX-Eintrag zeigt auf Mailcow. SPF, DKIM, DMARC sauber konfiguriert.
Schritt 2: Benno MailArchiv installieren Eigener Server (oder LXC-Container) mit ausreichend Speicher. Realistisch in Steuerkanzleien: rund 5–10 GB pro Postfach und Jahr nach Archiv-Deduplikation und -Kompression (variiert stark mit Anhangsvolumen, viele PDF-Belege erhöhen den Bedarf). Für 10 Postfächer über 10 Jahre also typisch 500–1.000 GB Archivvolumen einplanen. Das tatsächliche Wachstum im ersten Jahr beobachten und Storage entsprechend skalieren.
Schritt 3: Milter-Anbindung zwischen Mailcow und Benno Benno wird per Milter-Protokoll in den Postfix-Mailflow von Mailcow eingebunden. Der Milter-Daemon cached jede Mail inklusive SMTP-Envelope-Information lokal auf dem Mailserver; ein asynchroner Job überträgt die gecachten Mails kontinuierlich ins Archiv. Vorteil gegenüber BCC: keine fehleranfällige Kopier-Pipeline, vollständige Envelope-Erhaltung (inklusive BCC-Empfänger), und Erfassung passiert im Mailflow selbst.
Schritt 4: Berechtigungs-Konzept im Archiv Wer darf auf das Archiv zugreifen? Wer sieht welche Mandanten? Standardmäßig: Kanzleiinhaber + benannter Mitarbeiter mit Vertretung. Logging dieser Zugriffe aktiviert.
Schritt 5: Backup des Archivs Das Archiv selbst muss gegen Hardwareausfall geschützt sein. Tägliches Backup an einen physisch getrennten Speicherort (siehe 3-2-1-Regel). Wichtig: das Backup ist selbst kein Ersatz für das Archiv — beide haben unterschiedliche Funktionen.
Schritt 6: Dokumentation für die Außenprüfung Verfahrensdokumentation erstellen: Wer betreibt das System? Welche Daten werden wo archiviert? Wer hat Zugriff? Wie sieht die Recovery-Prozedur aus? Diese Dokumentation wird im Audit-Fall verlangt.
Schritt 7: Erst-Migration der historischen Mails Falls bisher PST-Dateien existieren, werden diese einmalig in das Archiv eingespeist. Wichtig: das geschieht mit Zeitstempel der ursprünglichen E-Mail, nicht mit dem Migrationsdatum.
5 häufige Fehler bei der Eigenbau-Archivierung
Fehler 1: Nur das Postfach gesichert, nicht journalisiert
Backup ≠ Archivierung. Wer keine Journal-Regel eingerichtet hat, archiviert nicht alle Mails — nur den jeweils letzten Stand des Postfachs. Gelöschte Mails fehlen.
Fehler 2: Archivspeicher ist beschreibbar
Wenn der Storage, auf dem Benno (oder ein vergleichbares Tool) seine Mails ablegt, ein normales Filesystem ohne WORM-Schutz ist, kann jeder Admin mit Server-Zugriff theoretisch Mails ändern. Im Audit muss die Unveränderbarkeit aktiv nachgewiesen werden — entweder durch das Storage-Design oder durch kryptografische Verfahren. Lösung: append-only-Volumes oder Object Storage mit Object Lock.
Fehler 3: Keine saubere Zeitsynchronisation
Wenn der Archivserver einen falschen Zeitstempel hat, sind alle Mails mit fehlerhafter Zeit versehen. Im Audit kann das zur Verwerfung führen. Best Practice: NTP-Sync mit mindestens zwei externen Zeitquellen, dokumentiert in der Verfahrensbeschreibung.
Fehler 4: Vertretungsregelung fehlt
Wenn nur der Kanzleiinhaber Zugriff auf das Archiv hat und dieser ausfällt, ist die Kanzlei im Außenprüfungs-Fall handlungsunfähig. Mindestens eine dokumentierte Vertretung mit gleichen Rechten muss benannt sein.
Fehler 5: Keine Verfahrensdokumentation
Die GoBD verlangt explizit eine Verfahrensdokumentation. Selbst wenn die technische Lösung perfekt ist — ohne dokumentiertes Konzept ist das System nicht prüfungstauglich. Vorlage gibt es bei der Bundessteuerberaterkammer und beim DStV.
Was kostet GoBD-konforme E-Mail-Archivierung?
Realistische Range für eine 10-MA-Kanzlei (Mai 2026):
| Posten | Range |
|---|---|
| Benno MailArchiv Software | 0 € (Open Source) |
| Hosting des Benno-Archivservers (managed) | 15–35 €/Monat |
| Speicherplatz Archiv (10 Jahre, typisch 500–1.000 GB für 10 MA) | 5–15 €/Monat |
| Einrichtung (einmalig, professionell durch IT-Dienstleister) | 800–2.000 € |
| Verfahrensdokumentation (von Berater oder selbst erstellt) | 0–800 € |
| Gesamt Jahr 1 | ~1.000–3.500 € |
| Jahr 2+ laufend | ~240–600 € |
Bei kommerziellen Lösungen (MailStore) kommen ab 295 € für die Einstiegslizenz (5 User) oder höhere Pakete für mehr User hinzu, plus optionaler Update-Service.
Im Vergleich: eine einzige Verwerfung der Außenprüfung wegen fehlender Archivierung kann zu Steuerrückforderungen führen, die ein Vielfaches dieser Beträge sind. Die Investition rechnet sich nicht durch ersparte Kosten, sondern durch vermiedene Risiken.
Häufige Fragen
Sind alle E-Mails archivierungspflichtig oder nur die „wichtigen“?
Alle E-Mails mit steuer- oder buchhaltungsrelevantem Inhalt sind nach §147 AO aufbewahrungspflichtig. In der Praxis lässt sich vorab nicht entscheiden, welche Mail relevant ist — eine vermeintlich unwichtige Mail kann später Vertragsbeweis werden. Deshalb gilt: alle geschäftlichen Mails archivieren, vollständig und automatisch. Private E-Mails sind ausgenommen, sollten aber technisch sauber getrennt sein.
Wie lange müssen E-Mails aufbewahrt werden?
Seit dem 1. Januar 2025 gilt: Buchungsbelege 8 Jahre, Handels- und Geschäftsbriefe 6 Jahre, Bilanzen und Bücher 10 Jahre. Die Festsetzungsfrist nach §169 AO kann die Pflicht faktisch verlängern. Viele Steuerberater empfehlen weiterhin defensiv 10 Jahre für alle Mails, um die Einzeleinordnung zu vermeiden.
Reicht es, wenn der E-Mail-Provider die Mails aufhebt?
Nein. Die Aufbewahrungspflicht liegt beim Steuerpflichtigen (also der Kanzlei und ggf. ihren Mandanten), nicht beim Provider. Ein Provider kann gekündigt, insolvent oder gehackt werden — die Mails müssen unabhängig davon im eigenen Verantwortungsbereich verfügbar sein.
Ist Microsoft 365 mit aktiviertem Archive ausreichend?
Mit erheblicher Konfigurations-Arbeit ja, automatisch nein. Das M365 In-Place Archive muss kombiniert sein mit einer Retention Policy unter Preservation Lock (irreversibel!) und einer Verfahrensdokumentation. Hinzu kommt das US-CLOUD-Act-Risiko, das bei Mandantendaten relevant bleibt. Realistisch betrachtet ist ein eigenes Archiv (Benno oder Mailstore) sowohl rechtssicher als auch günstiger.
Darf ich verschlüsselte E-Mails archivieren?
Ja — die Archivierung muss aber die Entschlüsselbarkeit über die gesamte Aufbewahrungszeit sicherstellen. Wenn S/MIME-Zertifikate eines Mitarbeiters ablaufen oder verloren gehen, sind Mails ohne den privaten Schlüssel nicht mehr lesbar. Lösung: Archivierung vor der client-seitigen Verschlüsselung (z.B. am Mailserver) oder zentrales Key-Escrow für alle Kanzlei-Zertifikate.
Was passiert mit dem Archiv, wenn die Kanzlei aufgelöst wird?
Die Aufbewahrungspflicht endet nicht mit der Kanzleiauflösung. Üblicherweise wird das Archiv an einen Nachfolger übergeben oder bei einem externen Treuhänder hinterlegt. Bei Verkauf der Kanzlei gehört das Archiv zum Übertragungsumfang.
Bekomme ich bei einer Außenprüfung Vorwarnung?
In der Regel werden Außenprüfungen einige Wochen vorher angekündigt. Aber: kurzfristige Anordnungen sind möglich, und der Datenzugriff (§147 Abs. 6 AO) kann auch unangekündigt erfolgen. Ein funktionierendes Archiv muss jederzeit prüfbereit sein, nicht erst nach Vorwarnung „aufgeräumt“ werden.
Wer haftet, wenn das Archiv ausfällt und Mails fehlen?
Im Außenverhältnis haftet die Kanzlei gegenüber dem Finanzamt. Im Innenverhältnis können vertragliche Regelungen mit dem IT-Dienstleister Haftungsbeschränkungen vorsehen — typischerweise auf den Wartungsvertragswert begrenzt. Wichtig: SLA mit dem Provider, klare Wiederherstellungszeiten und Schadensersatzklauseln im Vertrag.
Nächste Schritte
GoBD-konforme E-Mail-Archivierung ist kein optionaler Komfort, sondern ein Kernbaustein einer prüfungsfähigen Kanzlei. Wer ihn unsauber umsetzt, sammelt ein Risiko, das im Audit-Fall unverhältnismäßig teuer wird.
Netzarea richtet Benno MailArchiv direkt in Steuerkanzleien ein und betreibt es als Managed Service — in direkter Partnerschaft mit dem Hersteller LWsystems aus Bad Iburg. Das umfasst Mailcow-Integration, Verfahrensdokumentation und laufende Betreuung. Wenn du wissen möchtest, welche Variante zu deiner Kanzleigröße passt (Benno-Managed-Service über uns oder Mailstore mit Eigenbetrieb), bieten wir eine kostenfreie und unverbindliche Bedarfsanalyse für Steuerkanzleien an.
Mehr zum Gesamtkontext: Steuerkanzlei digitalisieren — der vollständige Leitfaden zeigt, wie E-Mail-Archivierung in eine komplette Digitalisierungs-Roadmap eingebettet ist.
Beratung anfragen: Termin vereinbaren → · IT für Steuerkanzleien →
Weiterführende Quellen
- BFH-Beschluss vom 30.04.2025, XI R 15/23 — Bestätigung der Aufbewahrungs- und Vorlagepflicht für E-Mails (siehe Berichterstattung Bird & Bird)
- IHK München — Grundsätze zur elektronischen Buchführung (GoBD)
- Abgabenordnung §147 — Aufbewahrungspflichten
- Benno MailArchiv — Open-Source-Archivierungssoftware (LWsystems)
- Microsoft Learn — Preservation Lock für Retention Policies
- Bundessteuerberaterkammer — Berufsspezifische Vorlagen