Rexoma IT· Rexoma Team · Compliance & Datenschutz · 5 min read
DSGVO-konforme E-Mail-Archivierung für KMU – Pflichten und Lösungen
Jedes Unternehmen hat gesetzliche Aufbewahrungspflichten für geschäftliche E-Mails – bis zu zehn Jahre. Wer falsch oder gar nicht archiviert, riskiert Bußgelder, Steuernachzahlungen und im Streitfall fehlende Belege.
Viele kleine und mittlere Unternehmen in Deutschland archivieren ihre E-Mails nicht – oder falsch. Dabei sind die gesetzlichen Anforderungen klar: Geschäftliche E-Mails unterliegen Aufbewahrungsfristen von bis zu zehn Jahren. Wer diese ignoriert, riskiert empfindliche Bußgelder nach der DSGVO, Probleme bei der Betriebsprüfung und steht im Ernstfall ohne Belege da.
Gerade für ostdeutsche KMU, die digitale Prozesse zunehmend über E-Mail abwickeln, ist das Thema E-Mail-Archivierung längst kein „Nice-to-have” mehr – sondern Pflicht.
Warum E-Mail-Archivierung keine Kür ist
Die meisten Unternehmer denken bei „DSGVO-konformer E-Mail-Archivierung” zuerst an Datenschutz. Das ist nicht falsch, aber nur ein Teil der Geschichte. Mindestens genauso relevant sind steuerrechtliche und handelsrechtliche Pflichten:
- § 147 Abgabenordnung (AO): Geschäftliche Unterlagen – einschließlich E-Mails mit Bestellungen, Angeboten und Rechnungen – müssen 10 Jahre aufbewahrt werden.
- § 257 Handelsgesetzbuch (HGB): Handelsbriefe (auch digital) unterliegen einer Aufbewahrungspflicht von 6 Jahren.
- DSGVO Art. 5 Abs. 2: Unternehmen müssen nachweisen können, dass sie personenbezogene Daten korrekt verarbeiten und auf Anfrage löschen – auch aus Archiven.
Das klingt widersprüchlich: aufbewahren und gleichzeitig löschen? Genau das ist die eigentliche Herausforderung einer DSGVO-konformen E-Mail-Archivierung für KMU.
Was E-Mail-Archivierung von E-Mail-Backup unterscheidet
Ein häufiger Irrtum: Viele Unternehmen glauben, ihr tägliches E-Mail-Backup sei bereits eine Archivierung. Das ist es nicht.
| Merkmal | Backup | Archivierung |
|---|---|---|
| Zweck | Wiederherstellung bei Datenverlust | Langzeitspeicherung, Nachweisbarkeit |
| Unveränderlichkeit | Nein | Ja – manipulationssicher (WORM) |
| Suchbarkeit | Begrenzt | Volltext-Indexierung |
| Aufbewahrungsfrist | Kurz (Tage bis Wochen) | Jahre (nach gesetzlicher Vorgabe) |
| Löschung auf Anfrage | Nicht gezielt möglich | Steuerbar nach Rechtsgrundlage |
Ein Archiv muss revisionssicher sein: E-Mails dürfen nicht nachträglich verändert oder unbemerkt gelöscht werden. Gleichzeitig müssen Sie auf Anfrage einer betroffenen Person deren Daten gezielt entfernen können – soweit keine Aufbewahrungspflicht entgegensteht.
Welche E-Mails müssen archiviert werden?
Nicht jede E-Mail ist ein Geschäftsbrief. Interne Urlaubsabstimmungen oder informelle Rückfragen fallen in der Regel nicht unter die gesetzliche Aufbewahrungspflicht. Archiviert werden müssen:
- Angebote, Auftragsbestätigungen, Bestellungen
- Rechnungen und Lieferscheine (digital versandt oder empfangen)
- Verträge und vertragsrelevante Korrespondenz
- Steuerlich relevante Unterlagen jeder Art
Für KMU in Sachsen und ganz Ostdeutschland gilt: In einer Betriebsprüfung durch das Finanzamt müssen diese E-Mails innerhalb kurzer Zeit abrufbar und nachweislich unverändert sein. Fehlen sie, kann das zu Schätzungen und Steuernachzahlungen führen.
Technische Lösungen für die E-Mail-Archivierung
On-Premise: Mailpiler auf eigenem Linux-Server
Mailpiler ist eine quelloffene Archivierungslösung, die sich auf einem eigenen Linux-Server installieren lässt. Sie protokolliert alle ein- und ausgehenden E-Mails, indexiert diese vollständig und speichert sie manipulationssicher. Für KMU in Dresden mit eigener Serverinfrastruktur ist das eine kosteneffiziente Option – einmalige Einrichtung, keine laufenden Lizenzkosten.
Vorteile on-premise:
- Vollständige Datenkontrolle (kein Cloud-Anbieter hat Zugriff)
- Einmalige Investition statt monatlicher SaaS-Kosten
- DSGVO-freundlich: Daten bleiben auf eigenem Server in Deutschland
Nachteile:
- Eigene Hardware und Wartung notwendig
- Technisches Know-how für Einrichtung und Betrieb erforderlich
Cloud: Microsoft 365 Compliance-Archiv
Wer bereits Microsoft 365 nutzt, kann mit dem integrierten Compliance-Archiv und dem Litigation Hold eine rechtskonform archivierte E-Mail-Umgebung aufbauen. Microsoft betreibt europäische Rechenzentren in Deutschland und den Niederlanden.
Vorteile:
- Nahtlose Integration in Outlook und Exchange Online
- Kein zusätzlicher Server notwendig
- Automatisch skalierbar
Nachteile:
- Erfordert mindestens Microsoft 365 Business Premium
- Datenhaltung beim US-Anbieter – erfordert sorgfältige Gestaltung des Auftragsverarbeitungsvertrags (AVV)
Hosted Archivierung: Spezialdienste mit deutschen Rechenzentren
Anbieter wie Hornetsecurity oder Retarus bieten gehostete E-Mail-Archivierung explizit für KMU an – mit deutschen Rechenzentren und vordefinierten Aufbewahrungsregeln. Preise liegen typischerweise zwischen 1 und 5 Euro pro Postfach und Monat.
Schritt für Schritt: E-Mail-Archivierung einführen
1. Bestandsaufnahme der E-Mail-Infrastruktur
Welches System nutzen Sie? Microsoft Exchange/Microsoft 365, Google Workspace oder ein selbst gehosteter Mailserver (z. B. Postfix/Dovecot)? Die Antwort bestimmt die passende Archivierungslösung.
2. Archivierungsrichtlinie schriftlich festlegen
Definieren Sie, welche E-Mails wie lange aufbewahrt werden. Typische Regel: alle ein- und ausgehenden E-Mails mit externen Empfängern → 10 Jahre Aufbewahrung, manipulationssicher.
3. Lösung auswählen und implementieren
Je nach Infrastruktur: Mailpiler auf eigenem Server, Microsoft 365 Compliance-Features aktivieren oder einen Drittanbieter einbinden. Wichtig: Das Archiv sollte physisch vom produktiven Mailserver getrennt sein.
4. Mitarbeiter informieren
Mitarbeiter müssen wissen, dass E-Mails archiviert werden – das ist eine Datenschutzpflicht gegenüber den eigenen Beschäftigten. Eine kurze Betriebsvereinbarung oder schriftliche Mitarbeiterinformation genügt in der Regel.
5. Datenschutzbeauftragten einbinden
Falls Ihr Unternehmen einen Datenschutzbeauftragten hat (intern oder extern): Er muss eingebunden werden, und das Verarbeitungsverzeichnis muss die E-Mail-Archivierung aufführen.
6. Regelmäßige Funktionskontrolle
Mindestens einmal jährlich prüfen: Funktioniert die Archivierung? Können Löschanfragen korrekt umgesetzt werden? Haben sich gesetzliche Anforderungen geändert?
Typische Fehler – und wie Sie sie vermeiden
Nur ausgehende E-Mails archivieren. Eingehende E-Mails sind genauso aufbewahrungspflichtig – Angebote und Bestellungen kommen schließlich von außen.
Archiv auf demselben Server wie der Mailserver. Fällt der Server aus oder wird er kompromittiert, gehen Archiv und Produktivdaten gemeinsam verloren.
Mitarbeiter können das Archiv selbst löschen. Revisionssicherheit bedeutet, dass niemand – auch kein Administrator – E-Mails nachträglich spurlos entfernen kann.
Keine Dokumentation der Archivierungsprozesse. Im Streitfall oder bei einer Prüfung müssen Sie nachweisen, dass die DSGVO-konforme E-Mail-Archivierung korrekt funktioniert. Ohne schriftliche Dokumentation wird das schwierig.
Unterstützung für KMU in Dresden und Sachsen
Sie betreiben ein Unternehmen in Dresden oder Sachsen und möchten Ihre E-Mail-Archivierung DSGVO-konform und revisionssicher aufsetzen? Rexoma IT unterstützt ostdeutsche KMU bei der Auswahl und Einrichtung passender Lösungen – ob selbst gehostet auf Linux-Servern oder integriert in Ihre bestehende Microsoft-365-Umgebung. Wir übernehmen die technische Umsetzung und helfen bei der Dokumentation für Datenschutz und Betriebsprüfungen.
Jetzt Beratungsgespräch anfragen →
FAQ: DSGVO-konforme E-Mail-Archivierung für KMU
Muss ich als kleines Unternehmen E-Mails wirklich archivieren? Ja. Die Aufbewahrungspflicht nach AO und HGB gilt unabhängig von der Unternehmensgröße. Sobald Sie geschäftliche E-Mails versenden oder empfangen, sind diese im Regelfall aufbewahrungspflichtig.
Wie lange müssen E-Mails aufbewahrt werden? Handelsrelevante E-Mails (Angebote, Auftragsbestätigungen, Verträge): 6 Jahre nach HGB. Steuerrelevante Unterlagen (Rechnungen, Buchungsbelege): 10 Jahre nach AO. Im Zweifel gilt die längere Frist von 10 Jahren.
Darf ich personenbezogene Daten im Archiv einfach behalten? Nicht unbegrenzt. Wenn eine Person nach DSGVO Art. 17 die Löschung ihrer Daten verlangt, müssen Sie prüfen, ob einer gesetzlichen Aufbewahrungspflicht entgegensteht. Besteht keine, ist die Löschung – auch aus dem Archiv – verpflichtend.
Reicht das Cloud-Backup bei Microsoft 365 als Archiv? Nein. Das Exchange Online-Backup stellt Daten wieder her, ist aber kein revisionssicheres Archiv im rechtlichen Sinne. Sie benötigen zusätzlich das In-Place Archive mit Litigation Hold oder eine dedizierte Archivierungslösung.
Was kostet eine E-Mail-Archivierung für KMU? Das hängt von der gewählten Lösung ab. Selbst gehostete Open-Source-Lösungen wie Mailpiler verursachen primär einmalige Einrichtungskosten. Cloudbasierte Dienste kosten typischerweise 1–5 Euro pro Postfach und Monat. Die Kosten einer fehlenden Archivierung – Bußgelder, Steuernachzahlungen, Rechtsstreit ohne Belege – übersteigen diese Ausgaben in der Regel deutlich.
