{"id":49,"date":"2026-05-26T23:10:44","date_gmt":"2026-05-26T21:10:44","guid":{"rendered":"https:\/\/netzarea.de\/blog\/?p=49"},"modified":"2026-05-27T11:51:32","modified_gmt":"2026-05-27T09:51:32","slug":"gobd-konforme-e-mail-archivierung","status":"publish","type":"post","link":"https:\/\/netzarea.de\/blog\/gobd-konforme-e-mail-archivierung\/","title":{"rendered":"GoBD-konforme E-Mail-Archivierung 2026: Anforderungen, Tools, Kosten"},"content":{"rendered":"\n<div class=\"wp-block-jetpack-markdown\"><blockquote>\n<p>Eine <strong>GoBD-konforme E-Mail-Archivierung<\/strong> speichert jede ein- und ausgehende gesch\u00e4ftliche E-Mail unver\u00e4nderlich, mit Zeitstempel, abh\u00e4ngig vom Dokumenttyp 6 bis 10 Jahre lang. Outlook-PST-Dateien auf einem Mitarbeiter-Notebook erf\u00fcllen das nicht. Auch Microsoft 365 In-Place-Archive nicht ohne Zusatzkonfiguration. Dieser Artikel erkl\u00e4rt, was die GoBD bei E-Mails konkret verlangt, welche Tools die Anforderungen erf\u00fcllen, wie eine saubere Einrichtung aussieht und was es realistisch kostet.<\/p>\n<\/blockquote>\n<hr>\n<h2>Was ist GoBD-konforme E-Mail-Archivierung?<\/h2>\n<p>GoBD-konforme E-Mail-Archivierung bedeutet: jede gesch\u00e4ftliche E-Mail mit steuer- oder buchhaltungsrelevantem Inhalt wird automatisch in ein separates Archivsystem geschrieben, sobald sie das Postfach passiert. Im Archiv ist sie ab diesem Zeitpunkt <strong>unver\u00e4nderlich<\/strong>. Wird die E-Mail im normalen Postfach gel\u00f6scht oder bearbeitet, bleibt das Original im Archiv erhalten \u2014 mit Zeitstempel, vollst\u00e4ndigem Inhalt und Audit-f\u00e4higem Zugriffsprotokoll.<\/p>\n<p>Die <a href=\"https:\/\/www.ihk-muenchen.de\/ratgeber\/steuern\/finanzverwaltung\/grundsaetze-elektronische-buchfuehrung-gobd\/\" target=\"_blank\" rel=\"noopener\">GoBD selbst<\/a> (BMF-Schreiben vom 28.11.2019, zuletzt ge\u00e4ndert 11.03.2024 und 14.07.2025) fordert dabei vier Kernprinzipien, die jede Archivierungsl\u00f6sung technisch sicherstellen muss.<\/p>\n<hr>\n<h2>Warum Outlook-PST und Postfach-Backup nicht reichen<\/h2>\n<p>Viele Steuerkanzleien glauben, sie h\u00e4tten das Thema im Griff: \u201eWir haben ein Backup unseres Mailservers, das reicht doch.&quot; Das ist im Audit-Fall die h\u00e4ufigste Fehlannahme.<\/p>\n<p>Die Probleme bei klassischen Setups:<\/p>\n<ul>\n<li><strong>PST-Dateien auf Notebooks<\/strong> k\u00f6nnen gel\u00f6scht, manipuliert oder durch Festplatten-Defekt verloren gehen. Keine Unver\u00e4nderbarkeit.<\/li>\n<li><strong>Mailserver-Backups<\/strong> sind ein Snapshot \u2014 kein chronologisches Archiv. Wer eine E-Mail vor dem n\u00e4chsten Backup-Lauf l\u00f6scht, sieht sie nirgends mehr.<\/li>\n<li><strong>Microsoft 365 In-Place Archive<\/strong> ist standardm\u00e4\u00dfig keine GoBD-Archivierung. Es kann konfiguriert werden, hat aber substanzielle T\u00fccken (siehe Tool-Vergleich weiter unten).<\/li>\n<li><strong>\u201eWir drucken wichtige E-Mails aus&quot;<\/strong> erf\u00fcllt die Vollst\u00e4ndigkeit nicht. Welche E-Mails sind \u201ewichtig&quot;? Wer entscheidet das? Audit-Pr\u00fcfer sehen sofort, dass selektiv archiviert wurde.<\/li>\n<\/ul>\n<p>Die Konsequenz im Au\u00dfenpr\u00fcfungs-Fall: schon formelle M\u00e4ngel bei der digitalen Buchf\u00fchrung k\u00f6nnen dazu f\u00fchren, dass die Buchhaltung verworfen und die Besteuerungsgrundlagen gesch\u00e4tzt werden \u2014 mit Beweislast beim Steuerpflichtigen. \u00a7147 <a href=\"https:\/\/www.gesetze-im-internet.de\/ao_1977\/__147.html\" target=\"_blank\" rel=\"noopener\">Abgabenordnung<\/a> verlangt unmissverst\u00e4ndlich die geordnete Aufbewahrung s\u00e4mtlicher steuerrelevanter Unterlagen \u2014 und E-Mails z\u00e4hlen dazu, sobald sie buchhalterischen Bezug haben.<\/p>\n<p>Der <strong>Bundesfinanzhof<\/strong> hat das mit Beschluss vom 30. April 2025 (XI R 15\/23) noch einmal ausdr\u00fccklich best\u00e4tigt: E-Mails, die als Handels- oder Gesch\u00e4ftsbriefe gelten oder Buchungsbelege enthalten, sind aufbewahrungspflichtig und m\u00fcssen elektronisch revisionssicher archiviert werden. Ein Ausdruck reicht laut GoBD in der Regel nicht aus, wenn die E-Mail digital empfangen wurde.<\/p>\n<hr>\n<h2>Die 4 Grundprinzipien der GoBD bei E-Mails<\/h2>\n<p>Eine Archivierungsl\u00f6sung muss diese vier Anforderungen technisch erf\u00fcllen \u2014 egal welches Tool zum Einsatz kommt:<\/p>\n<h3>1. Unver\u00e4nderbarkeit<\/h3>\n<p>Eine einmal archivierte E-Mail darf nicht mehr ver\u00e4ndert werden. Auch nicht vom Administrator. Auch nicht durch das System selbst (z.B. bei Migration). Technisch hei\u00dft das: Write-Once-Read-Many (WORM)-Storage oder kryptografische Hash-Verfahren, die jede Ver\u00e4nderung sofort sichtbar machen.<\/p>\n<h3>2. Vollst\u00e4ndigkeit<\/h3>\n<p><strong>Jede<\/strong> gesch\u00e4ftliche E-Mail muss archiviert werden \u2014 nicht nur die \u201ewichtigen&quot;. Eingehend, ausgehend, mit allen Anh\u00e4ngen. Die Auswahl darf nicht beim Mitarbeiter liegen. Technisch: automatische Spiegelung aller Mails per IMAP- oder SMTP-Journal an das Archiv.<\/p>\n<h3>3. Nachvollziehbarkeit<\/h3>\n<p>Wer hat wann auf welche archivierte E-Mail zugegriffen? Wann wurde was archiviert? Das System muss vollst\u00e4ndige Audit-Logs f\u00fchren, die der Pr\u00fcfer einsehen kann. Diese Logs sind selbst wieder unver\u00e4nderlich.<\/p>\n<h3>4. Verf\u00fcgbarkeit \u00fcber die Aufbewahrungsfrist<\/h3>\n<p>E-Mails m\u00fcssen je nach Dokumenttyp unterschiedlich lange lesbar bleiben. Mit dem <strong>Vierten B\u00fcrokratieentlastungsgesetz<\/strong> (in Kraft seit 1. Januar 2025) wurden die Fristen teilweise verk\u00fcrzt:<\/p>\n<table>\n<thead>\n<tr>\n<th>Dokumenttyp<\/th>\n<th>Frist<\/th>\n<th>Rechtsgrundlage<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><strong>Buchungsbelege<\/strong> (Rechnungen, Quittungen, Lieferscheine)<\/td>\n<td><strong>8 Jahre<\/strong> (verk\u00fcrzt von 10)<\/td>\n<td>\u00a7147 Abs. 3 Satz 1 AO, \u00a714b Abs. 1 Satz 1 UStG<\/td>\n<\/tr>\n<tr>\n<td><strong>Handels-\/Gesch\u00e4ftsbriefe<\/strong> (Korrespondenz, Vertr\u00e4ge)<\/td>\n<td><strong>6 Jahre<\/strong><\/td>\n<td>\u00a7147 Abs. 3 AO<\/td>\n<\/tr>\n<tr>\n<td><strong>Bilanzen, Inventare, B\u00fccher, Jahresabschl\u00fcsse<\/strong><\/td>\n<td><strong>10 Jahre<\/strong><\/td>\n<td>\u00a7147 Abs. 3 AO<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Die Aufbewahrungsfrist beginnt mit dem Schluss des Kalenderjahres, in dem das Dokument entstanden ist \u2014 eine E-Mail aus 2025 wird also fr\u00fchestens 2034 (bei Buchungsbeleg-Charakter) oder 2032 (bei Gesch\u00e4ftsbrief-Charakter) zur Vernichtung freigegeben.<\/p>\n<p><strong>Defensive Empfehlung:<\/strong> Trotz der Verk\u00fcrzung empfehlen viele Steuerberater weiterhin eine 10-j\u00e4hrige Aufbewahrung. Grund: die <strong>Festsetzungsfrist nach \u00a7169 AO<\/strong> kann die Pflicht faktisch verl\u00e4ngern (z.B. bei laufender Au\u00dfenpr\u00fcfung, hinterzogenen Steuern oder Steuerstrafverfahren). Wer einheitlich 10 Jahre aufbewahrt, vermeidet die Diskussion \u201eist das jetzt ein Buchungsbeleg oder ein Brief?&quot;.<\/p>\n<p>Technisch ist das eine erstaunliche H\u00fcrde: Formate \u00e4ndern sich, Verschl\u00fcsselungsverfahren werden veraltet, Speichermedien gehen kaputt. Ein professionelles Archiv plant Format-Migration, Backup-Strategie und Storage-Refresh \u00fcber Dekaden ein.<\/p>\n<hr>\n<h2>Wie Benno MailArchiv + Mailcow technisch zusammenarbeiten<\/h2>\n<p>Ein bew\u00e4hrtes und lizenzkostenfreies Open-Source-Setup f\u00fcr eine GoBD-konforme E-Mail-Archivierung kombiniert zwei Komponenten:<\/p>\n<p><strong><a href=\"\/mailcow\">Mailcow<\/a><\/strong> ist der eigentliche E-Mail-Server \u2014 er verarbeitet ein- und ausgehende E-Mails, stellt Postf\u00e4cher bereit, k\u00fcmmert sich um Spam-Filter und Verschl\u00fcsselung.<\/p>\n<p><strong><a href=\"https:\/\/www.benno-mailarchiv.de\/\" target=\"_blank\" rel=\"noopener\">Benno MailArchiv<\/a><\/strong> ist das spezialisierte Archivsystem \u2014 entwickelt von <strong>LWsystems aus Bad Iburg<\/strong> (Region Osnabr\u00fcck), Open Source, explizit f\u00fcr GoBD-Konformit\u00e4t ausgelegt. Wir bei Netzarea richten Benno MailArchiv direkt in Steuerkanzleien ein und betreuen die Installation als Managed Service \u2014 in direkter Partnerschaft mit dem Hersteller LWsystems.<\/p>\n<p>Der technische Workflow sieht so aus:<\/p>\n<ol>\n<li>Mandant sendet E-Mail an die Kanzlei \u2192 Mailcow nimmt sie entgegen<\/li>\n<li>Mailcow ruft Benno <strong>per Milter-Protokoll<\/strong> auf \u2014 der Milter-Daemon cached jede ein- und ausgehende Mail <strong>lokal auf dem Mailserver<\/strong>, inklusive der vollst\u00e4ndigen <strong>SMTP-Envelope-Information<\/strong> (Sender, Empf\u00e4nger, auch BCC-Empf\u00e4nger)<\/li>\n<li>Mailcow stellt die Mail parallel an das Postfach zu \u2014 Mitarbeiter sieht keinen Unterschied im normalen Postfach-Workflow<\/li>\n<li>Ein <strong>asynchroner Job<\/strong> \u00fcbertr\u00e4gt die im Milter-Cache liegenden Mails kontinuierlich an den Benno-Archivspeicher (WORM-Storage oder versiegelte Volumes) \u2014 mit Originalzeitstempel und vollst\u00e4ndigem Inhalt<\/li>\n<li>Im Archiv ist die Mail ab dem Schreiben unver\u00e4nderlich<\/li>\n<li>Mitarbeiter kann die Mail im Postfach jederzeit l\u00f6schen, verschieben oder bearbeiten \u2014 das <strong>Original im Archiv bleibt unangetastet<\/strong> (der Milter-Cache h\u00e4lt die Mail bereits, bevor sie ans Postfach geht)<\/li>\n<li>F\u00fcr den Audit-Zugriff hat ein definierter Personenkreis (z.B. Kanzleiinhaber + DSB) Zugriff auf das Archiv mit Volltext-Suche<\/li>\n<\/ol>\n<p>Der entscheidende Compliance-Vorteil der Milter-Anbindung gegen\u00fcber einer BCC-Spiegelung: die Erfassung passiert <strong>im Mailflow auf dem Mailserver selbst<\/strong>, nicht als nachgelagerter und potenziell fehlschlagender Kopiervorgang. Au\u00dferdem bleibt die <strong>SMTP-Envelope-Information erhalten<\/strong> \u2014 entscheidend, wenn ein BCC-Empf\u00e4nger im Audit nachvollziehbar sein muss (das verliert eine reine Postfach-BCC-L\u00f6sung). Damit erf\u00fcllt der Aufbau alle vier GoBD-Anforderungen, die Daten liegen ausschlie\u00dflich in Deutschland, und die Open-Source-Basis verhindert Vendor Lock-in.<\/p>\n<hr>\n<h2>Tool-Vergleich: Welche Archivierungsl\u00f6sung passt?<\/h2>\n<table>\n<thead>\n<tr>\n<th>Tool<\/th>\n<th>Lizenzmodell<\/th>\n<th>Server-Standort<\/th>\n<th>GoBD-konform out-of-the-box<\/th>\n<th>Setup-Aufwand<\/th>\n<th>Typische Kanzleigr\u00f6\u00dfe<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><strong>Benno MailArchiv<\/strong> (\u00fcber Netzarea als Managed Service oder direkt als <strong>Benno Cloud<\/strong> SaaS vom Hersteller verf\u00fcgbar)<\/td>\n<td>Open Source, lizenzkostenfrei (Self-\/Managed-Hosted); Abo bei Benno Cloud<\/td>\n<td>Eigener Server \/ Managed \/ SaaS (DE)<\/td>\n<td>\u2713<\/td>\n<td>mittel (self-hosted), niedrig (Cloud)<\/td>\n<td>2\u2013500 MA<\/td>\n<\/tr>\n<tr>\n<td><strong>MailStore Server<\/strong> (Teil von OpenText, <strong>von DATEV explizit empfohlen<\/strong>)<\/td>\n<td>Kommerziell, <strong>ab 295 \u20ac f\u00fcr 5 Lizenzen<\/strong> (= ~60 \u20ac\/Lizenz), Mengenrabatt bei gr\u00f6\u00dferen St\u00fcckzahlen, plus optionaler Update-Service. Auch als <strong>MailStore Cloud<\/strong> SaaS verf\u00fcgbar (seit 2025)<\/td>\n<td>Eigener Server \/ Cloud (DE)<\/td>\n<td>\u2713<\/td>\n<td>niedrig<\/td>\n<td>5\u2013500 MA<\/td>\n<\/tr>\n<tr>\n<td><strong>M365 In-Place Archive<\/strong><\/td>\n<td>In E3 (100 GB\/User) bzw. E5 (Auto-Expanding bis 1,5 TB) enthalten<\/td>\n<td>EU Data Boundary<\/td>\n<td>\u26a0 <strong>erst nach Preservation Lock + Konfiguration<\/strong> (irreversibel, siehe unten)<\/td>\n<td>hoch<\/td>\n<td>nur wenn M365 sowieso da<\/td>\n<\/tr>\n<tr>\n<td><strong>Outlook-PST + Backup<\/strong><\/td>\n<td>\u201ekostenlos&quot;<\/td>\n<td>irgendwo<\/td>\n<td>\u2717<\/td>\n<td>\u2014<\/td>\n<td>\u2014 (nicht GoBD-konform)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Microsoft 365 \u2014 die h\u00e4ufige Falle<\/h3>\n<p>M365 In-Place Archive (in E3 und E5 enthalten) wird oft als \u201eGoBD-konform&quot; verkauft. Tats\u00e4chlich ist die Sachlage komplexer:<\/p>\n<ul>\n<li><strong>Litigation Hold allein reicht nicht<\/strong> \u2014 ein Administrator kann den Hold jederzeit deaktivieren, also ist die Unver\u00e4nderbarkeit nicht garantiert.<\/li>\n<li>F\u00fcr echte GoBD-Konformit\u00e4t braucht es <strong>Preservation Lock<\/strong> auf einer Retention Policy: erst dann kann auch ein globaler Admin die Aufbewahrung nicht mehr verk\u00fcrzen oder ausschalten.<\/li>\n<li><strong>Preservation Lock ist irreversibel.<\/strong> Microsoft schreibt in der eigenen Dokumentation: \u201eNEVER enable Preservation Lock for testing.&quot; Selbst Microsoft-Support kann den Lock nicht entfernen \u2014 wer einmal sperrt, sperrt f\u00fcr immer.<\/li>\n<li>Microsoft selbst stellt klar: \u201eRetention is not the same as archiving.&quot; Auch ein gesperrter Retention-Policy-Setup ersetzt kein dediziertes Archiv mit Audit-Trail.<\/li>\n<li>Hinzu kommt das US-CLOUD-Act-Risiko, das bei Mandantendaten relevant bleibt (siehe <a href=\"\/blog\/steuerkanzlei-digitalisieren\/\">Steuerkanzlei digitalisieren<\/a> f\u00fcr die rechtliche Einordnung).<\/li>\n<\/ul>\n<p><strong>Empfehlungen je nach Profil:<\/strong><\/p>\n<ul>\n<li><strong>Kanzlei 2\u201315 MA, Wert auf Datenhoheit + DSGVO:<\/strong> Benno MailArchiv + Mailcow. Beste Kombination aus Funktionsumfang, Kosten und Compliance-Sicherheit. Wir richten Benno in direkter Partnerschaft mit dem Hersteller LWsystems ein.<\/li>\n<li><strong>Kanzlei 5\u201350 MA, weniger technische Tiefe gew\u00fcnscht, Wartungsbudget vorhanden:<\/strong> MailStore Server \u2014 kostenpflichtig, daf\u00fcr sehr einfach administrierbar. <strong>DATEV empfiehlt MailStore explizit<\/strong> seinen ca. 325.000 Kunden und listet die L\u00f6sung im DATEV-Marktplatz \u2014 eine offizielle Empfehlung, die in DATEV-orientierten Kanzleien viel Gewicht hat.<\/li>\n<li><strong>Gr\u00f6\u00dfere Kanzlei mit bestehender M365-Strategie:<\/strong> M365 In-Place Archive mit dokumentiertem Preservation Lock + bewusstem Akzeptieren der Irreversibilit\u00e4t + US-CLOUD-Act-Risikoabw\u00e4gung.<\/li>\n<\/ul>\n<hr>\n<h2>Schritt-f\u00fcr-Schritt: Eine GoBD-konforme E-Mail-Archivierung einrichten<\/h2>\n<p>Vorausgesetzt wird das Setup mit Mailcow + Benno (h\u00e4ufigste Variante in deutschen Kanzleien). Die anderen Tools folgen einer \u00e4hnlichen Logik.<\/p>\n<p><strong>Schritt 1: Mailcow-Server vorbereiten<\/strong>\nEin eigener Mailserver auf einem deutschen Hoster (oder beim spezialisierten Managed-Provider). Domain-MX-Eintrag zeigt auf Mailcow. SPF, DKIM, DMARC sauber konfiguriert.<\/p>\n<p><strong>Schritt 2: Benno MailArchiv installieren<\/strong>\nEigener Server (oder LXC-Container) mit ausreichend Speicher. Realistisch in Steuerkanzleien: rund 5\u201310 GB pro Postfach und Jahr nach Archiv-Deduplikation und -Kompression (variiert stark mit Anhangsvolumen, viele PDF-Belege erh\u00f6hen den Bedarf). F\u00fcr 10 Postf\u00e4cher \u00fcber 10 Jahre also typisch 500\u20131.000 GB Archivvolumen einplanen. Das tats\u00e4chliche Wachstum im ersten Jahr beobachten und Storage entsprechend skalieren.<\/p>\n<p><strong>Schritt 3: Milter-Anbindung zwischen Mailcow und Benno<\/strong>\nBenno wird per Milter-Protokoll in den Postfix-Mailflow von Mailcow eingebunden. Der Milter-Daemon cached jede Mail inklusive SMTP-Envelope-Information lokal auf dem Mailserver; ein asynchroner Job \u00fcbertr\u00e4gt die gecachten Mails kontinuierlich ins Archiv. Vorteil gegen\u00fcber BCC: keine fehleranf\u00e4llige Kopier-Pipeline, vollst\u00e4ndige Envelope-Erhaltung (inklusive BCC-Empf\u00e4nger), und Erfassung passiert im Mailflow selbst.<\/p>\n<p><strong>Schritt 4: Berechtigungs-Konzept im Archiv<\/strong>\nWer darf auf das Archiv zugreifen? Wer sieht welche Mandanten? Standardm\u00e4\u00dfig: Kanzleiinhaber + benannter Mitarbeiter mit Vertretung. Logging dieser Zugriffe aktiviert.<\/p>\n<p><strong>Schritt 5: Backup des Archivs<\/strong>\nDas Archiv selbst muss gegen Hardwareausfall gesch\u00fctzt sein. T\u00e4gliches Backup an einen physisch getrennten Speicherort (siehe 3-2-1-Regel). Wichtig: das Backup ist selbst kein Ersatz f\u00fcr das Archiv \u2014 beide haben unterschiedliche Funktionen.<\/p>\n<p><strong>Schritt 6: Dokumentation f\u00fcr die Au\u00dfenpr\u00fcfung<\/strong>\nVerfahrensdokumentation erstellen: Wer betreibt das System? Welche Daten werden wo archiviert? Wer hat Zugriff? Wie sieht die Recovery-Prozedur aus? Diese Dokumentation wird im Audit-Fall verlangt.<\/p>\n<p><strong>Schritt 7: Erst-Migration der historischen Mails<\/strong>\nFalls bisher PST-Dateien existieren, werden diese einmalig in das Archiv eingespeist. Wichtig: das geschieht <strong>mit Zeitstempel der urspr\u00fcnglichen E-Mail<\/strong>, nicht mit dem Migrationsdatum.<\/p>\n<hr>\n<h2>5 h\u00e4ufige Fehler bei der Eigenbau-Archivierung<\/h2>\n<h3>Fehler 1: Nur das Postfach gesichert, nicht journalisiert<\/h3>\n<p>Backup \u2260 Archivierung. Wer keine Journal-Regel eingerichtet hat, archiviert nicht alle Mails \u2014 nur den jeweils letzten Stand des Postfachs. Gel\u00f6schte Mails fehlen.<\/p>\n<h3>Fehler 2: Archivspeicher ist beschreibbar<\/h3>\n<p>Wenn der Storage, auf dem Benno (oder ein vergleichbares Tool) seine Mails ablegt, ein normales Filesystem ohne WORM-Schutz ist, kann jeder Admin mit Server-Zugriff theoretisch Mails \u00e4ndern. Im Audit muss die Unver\u00e4nderbarkeit aktiv nachgewiesen werden \u2014 entweder durch das Storage-Design oder durch kryptografische Verfahren. L\u00f6sung: append-only-Volumes oder Object Storage mit Object Lock.<\/p>\n<h3>Fehler 3: Keine saubere Zeitsynchronisation<\/h3>\n<p>Wenn der Archivserver einen falschen Zeitstempel hat, sind alle Mails mit fehlerhafter Zeit versehen. Im Audit kann das zur Verwerfung f\u00fchren. Best Practice: NTP-Sync mit mindestens zwei externen Zeitquellen, dokumentiert in der Verfahrensbeschreibung.<\/p>\n<h3>Fehler 4: Vertretungsregelung fehlt<\/h3>\n<p>Wenn nur der Kanzleiinhaber Zugriff auf das Archiv hat und dieser ausf\u00e4llt, ist die Kanzlei im Au\u00dfenpr\u00fcfungs-Fall handlungsunf\u00e4hig. Mindestens eine dokumentierte Vertretung mit gleichen Rechten muss benannt sein.<\/p>\n<h3>Fehler 5: Keine Verfahrensdokumentation<\/h3>\n<p>Die GoBD verlangt <strong>explizit<\/strong> eine Verfahrensdokumentation. Selbst wenn die technische L\u00f6sung perfekt ist \u2014 ohne dokumentiertes Konzept ist das System nicht pr\u00fcfungstauglich. Vorlage gibt es bei der <a href=\"https:\/\/www.bstbk.de\/\" target=\"_blank\" rel=\"noopener\">Bundessteuerberaterkammer<\/a> und beim DStV.<\/p>\n<hr>\n<h2>Was kostet GoBD-konforme E-Mail-Archivierung?<\/h2>\n<p>Realistische Range f\u00fcr eine 10-MA-Kanzlei (Mai 2026):<\/p>\n<table>\n<thead>\n<tr>\n<th>Posten<\/th>\n<th>Range<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Benno MailArchiv Software<\/td>\n<td>0 \u20ac (Open Source)<\/td>\n<\/tr>\n<tr>\n<td>Hosting des Benno-Archivservers (managed)<\/td>\n<td>15\u201335 \u20ac\/Monat<\/td>\n<\/tr>\n<tr>\n<td>Speicherplatz Archiv (10 Jahre, typisch 500\u20131.000 GB f\u00fcr 10 MA)<\/td>\n<td>5\u201315 \u20ac\/Monat<\/td>\n<\/tr>\n<tr>\n<td>Einrichtung (einmalig, professionell durch IT-Dienstleister)<\/td>\n<td>800\u20132.000 \u20ac<\/td>\n<\/tr>\n<tr>\n<td>Verfahrensdokumentation (von Berater oder selbst erstellt)<\/td>\n<td>0\u2013800 \u20ac<\/td>\n<\/tr>\n<tr>\n<td><strong>Gesamt Jahr 1<\/strong><\/td>\n<td><strong>~1.000\u20133.500 \u20ac<\/strong><\/td>\n<\/tr>\n<tr>\n<td><strong>Jahr 2+ laufend<\/strong><\/td>\n<td><strong>~240\u2013600 \u20ac<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Bei kommerziellen L\u00f6sungen (MailStore) kommen ab 295 \u20ac f\u00fcr die Einstiegslizenz (5 User) oder h\u00f6here Pakete f\u00fcr mehr User hinzu, plus optionaler Update-Service.<\/p>\n<p>Im Vergleich: eine einzige Verwerfung der Au\u00dfenpr\u00fcfung wegen fehlender Archivierung kann zu Steuerr\u00fcckforderungen f\u00fchren, die ein Vielfaches dieser Betr\u00e4ge sind. Die Investition rechnet sich nicht durch ersparte Kosten, sondern durch vermiedene Risiken.<\/p>\n<hr>\n<h2>H\u00e4ufige Fragen<\/h2>\n<\/div>\n\n\n<div id=\"rank-math-faq\" class=\"rank-math-block\">\n<div class=\"rank-math-list \">\n<div id=\"faq-question-1779874770427\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Sind alle E-Mails archivierungspflichtig oder nur die \u201ewichtigen&#8220;?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Alle E-Mails mit steuer- oder buchhaltungsrelevantem Inhalt sind nach \u00a7147 AO aufbewahrungspflichtig. In der Praxis l\u00e4sst sich vorab nicht entscheiden, welche Mail relevant ist \u2014 eine vermeintlich unwichtige Mail kann sp\u00e4ter Vertragsbeweis werden. Deshalb gilt: alle gesch\u00e4ftlichen Mails archivieren, vollst\u00e4ndig und automatisch. Private E-Mails sind ausgenommen, sollten aber technisch sauber getrennt sein.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1779874802934\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Wie lange m\u00fcssen E-Mails aufbewahrt werden?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Seit dem 1. Januar 2025 gilt: Buchungsbelege 8 Jahre, Handels- und Gesch\u00e4ftsbriefe 6 Jahre, Bilanzen und B\u00fccher 10 Jahre. Die Festsetzungsfrist nach \u00a7169 AO kann die Pflicht faktisch verl\u00e4ngern. Viele Steuerberater empfehlen weiterhin defensiv 10 Jahre f\u00fcr alle Mails, um die Einzeleinordnung zu vermeiden.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1779874804012\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Reicht es, wenn der E-Mail-Provider die Mails aufhebt?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Nein. Die Aufbewahrungspflicht liegt beim Steuerpflichtigen (also der Kanzlei und ggf. ihren Mandanten), nicht beim Provider. Ein Provider kann gek\u00fcndigt, insolvent oder gehackt werden \u2014 die Mails m\u00fcssen unabh\u00e4ngig davon im eigenen Verantwortungsbereich verf\u00fcgbar sein.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1779874804888\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Ist Microsoft 365 mit aktiviertem Archive ausreichend?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Mit erheblicher Konfigurations-Arbeit ja, automatisch nein. Das M365 In-Place Archive muss kombiniert sein mit einer Retention Policy unter <strong>Preservation Lock<\/strong> (irreversibel!) und einer Verfahrensdokumentation. Hinzu kommt das US-CLOUD-Act-Risiko, das bei Mandantendaten relevant bleibt. Realistisch betrachtet ist ein eigenes Archiv (Benno oder Mailstore) sowohl rechtssicher als auch g\u00fcnstiger.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1779874837903\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Darf ich verschl\u00fcsselte E-Mails archivieren?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Ja \u2014 die Archivierung muss aber die Entschl\u00fcsselbarkeit \u00fcber die gesamte Aufbewahrungszeit sicherstellen. Wenn S\/MIME-Zertifikate eines Mitarbeiters ablaufen oder verloren gehen, sind Mails ohne den privaten Schl\u00fcssel nicht mehr lesbar. L\u00f6sung: Archivierung <strong>vor<\/strong> der client-seitigen Verschl\u00fcsselung (z.B. am Mailserver) oder zentrales Key-Escrow f\u00fcr alle Kanzlei-Zertifikate.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1779874838631\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Was passiert mit dem Archiv, wenn die Kanzlei aufgel\u00f6st wird?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Die Aufbewahrungspflicht endet nicht mit der Kanzleiaufl\u00f6sung. \u00dcblicherweise wird das Archiv an einen Nachfolger \u00fcbergeben oder bei einem externen Treuh\u00e4nder hinterlegt. Bei Verkauf der Kanzlei geh\u00f6rt das Archiv zum \u00dcbertragungsumfang.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1779874849817\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Bekomme ich bei einer Au\u00dfenpr\u00fcfung Vorwarnung?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>In der Regel werden Au\u00dfenpr\u00fcfungen einige Wochen vorher angek\u00fcndigt. Aber: kurzfristige Anordnungen sind m\u00f6glich, und der Datenzugriff (\u00a7147 Abs. 6 AO) kann auch unangek\u00fcndigt erfolgen. Ein funktionierendes Archiv muss jederzeit pr\u00fcfbereit sein, nicht erst nach Vorwarnung \u201eaufger\u00e4umt&#8220; werden.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1779874850499\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Wer haftet, wenn das Archiv ausf\u00e4llt und Mails fehlen?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Im Au\u00dfenverh\u00e4ltnis haftet die Kanzlei gegen\u00fcber dem Finanzamt. Im Innenverh\u00e4ltnis k\u00f6nnen vertragliche Regelungen mit dem IT-Dienstleister Haftungsbeschr\u00e4nkungen vorsehen \u2014 typischerweise auf den Wartungsvertragswert begrenzt. Wichtig: SLA mit dem Provider, klare Wiederherstellungszeiten und Schadensersatzklauseln im Vertrag.<\/p>\n\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n<div class=\"wp-block-jetpack-markdown\"><hr>\n<h2>N\u00e4chste Schritte<\/h2>\n<p>GoBD-konforme E-Mail-Archivierung ist kein optionaler Komfort, sondern ein Kernbaustein einer pr\u00fcfungsf\u00e4higen Kanzlei. Wer ihn unsauber umsetzt, sammelt ein Risiko, das im Audit-Fall unverh\u00e4ltnism\u00e4\u00dfig teuer wird.<\/p>\n<p><strong>Netzarea richtet Benno MailArchiv direkt in Steuerkanzleien ein und betreibt es als Managed Service<\/strong> \u2014 in direkter Partnerschaft mit dem Hersteller LWsystems aus Bad Iburg. Das umfasst Mailcow-Integration, Verfahrensdokumentation und laufende Betreuung. Wenn du wissen m\u00f6chtest, welche Variante zu deiner Kanzleigr\u00f6\u00dfe passt (Benno-Managed-Service \u00fcber uns oder Mailstore mit Eigenbetrieb), bieten wir eine kostenfreie und unverbindliche Bedarfsanalyse f\u00fcr Steuerkanzleien an.<\/p>\n<p><strong>Mehr zum Gesamtkontext:<\/strong> <a href=\"\/blog\/steuerkanzlei-digitalisieren\/\">Steuerkanzlei digitalisieren \u2014 der vollst\u00e4ndige Leitfaden<\/a> zeigt, wie E-Mail-Archivierung in eine komplette Digitalisierungs-Roadmap eingebettet ist.<\/p>\n<p><strong>Beratung anfragen:<\/strong> <a href=\"\/kontakt\">Termin vereinbaren \u2192<\/a> \u00b7 <a href=\"\/steuerberater\">IT f\u00fcr Steuerkanzleien \u2192<\/a><\/p>\n<hr>\n<h2>Weiterf\u00fchrende Quellen<\/h2>\n<ul>\n<li><strong>BFH-Beschluss vom 30.04.2025, XI R 15\/23<\/strong> \u2014 Best\u00e4tigung der Aufbewahrungs- und Vorlagepflicht f\u00fcr E-Mails (siehe Berichterstattung <a href=\"https:\/\/www.twobirds.com\/de\/insights\/2026\/germany\/darf-das-finanzamt-knftig-e-mails-und-chats-prfen\" target=\"_blank\" rel=\"noopener\">Bird &amp; Bird<\/a>)<\/li>\n<li><a href=\"https:\/\/www.ihk-muenchen.de\/ratgeber\/steuern\/finanzverwaltung\/grundsaetze-elektronische-buchfuehrung-gobd\/\" target=\"_blank\" rel=\"noopener\">IHK M\u00fcnchen \u2014 Grunds\u00e4tze zur elektronischen Buchf\u00fchrung (GoBD)<\/a><\/li>\n<li><a href=\"https:\/\/www.gesetze-im-internet.de\/ao_1977\/__147.html\" target=\"_blank\" rel=\"noopener\">Abgabenordnung \u00a7147 \u2014 Aufbewahrungspflichten<\/a><\/li>\n<li><a href=\"https:\/\/www.benno-mailarchiv.de\/\" target=\"_blank\" rel=\"noopener\">Benno MailArchiv \u2014 Open-Source-Archivierungssoftware (LWsystems)<\/a><\/li>\n<li><a href=\"https:\/\/learn.microsoft.com\/de-de\/purview\/retention-preservation-lock\" target=\"_blank\" rel=\"noopener\">Microsoft Learn \u2014 Preservation Lock f\u00fcr Retention Policies<\/a><\/li>\n<li><a href=\"https:\/\/www.bstbk.de\/\" target=\"_blank\" rel=\"noopener\">Bundessteuerberaterkammer \u2014 Berufsspezifische Vorlagen<\/a><\/li>\n<\/ul>\n<hr>\n<\/div>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":1,"featured_media":56,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[3],"tags":[],"class_list":["post-49","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-steuerkanzleien"],"jetpack_featured_media_url":"https:\/\/netzarea.de\/blog\/wp-content\/uploads\/2026\/05\/GoBD-konforme-E-Mail-Archivierung.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/netzarea.de\/blog\/wp-json\/wp\/v2\/posts\/49","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/netzarea.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/netzarea.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/netzarea.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/netzarea.de\/blog\/wp-json\/wp\/v2\/comments?post=49"}],"version-history":[{"count":8,"href":"https:\/\/netzarea.de\/blog\/wp-json\/wp\/v2\/posts\/49\/revisions"}],"predecessor-version":[{"id":62,"href":"https:\/\/netzarea.de\/blog\/wp-json\/wp\/v2\/posts\/49\/revisions\/62"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/netzarea.de\/blog\/wp-json\/wp\/v2\/media\/56"}],"wp:attachment":[{"href":"https:\/\/netzarea.de\/blog\/wp-json\/wp\/v2\/media?parent=49"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/netzarea.de\/blog\/wp-json\/wp\/v2\/categories?post=49"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/netzarea.de\/blog\/wp-json\/wp\/v2\/tags?post=49"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}