senn-techsenn-tech
Strategie
Strategie2026-07-06· von Mag. (FH) Franz Senn

E-Mail-Archivierung: GoBD-konform, on-prem, ohne Lock-in

Wer Geschäftsemails löscht oder unbegrenzt im Postfach liegen hat, riskiert kein IT-Problem, sondern ein steuerliches. E-Mails gelten als handelsrechtliche Aufzeichnung — und sobald sie eine Rechnung, einen Vertrag oder eine Buchungsreferenz enthalten, greift die Aufbewahrungspflicht.

Was wirklich gefordert ist

  • Dauer: Sechs Jahre (handelrechtlich) bzw. zehn Jahre, wenn eine Buchungsreferenz daraus hervorgeht — gerechnet ab Jahresende.
  • Unveränderbarkeit: Archiv und Original müssen identisch bleiben. Jeder Eingriff muss protokollierbar sein (WORM — Write Once, Read Many).
  • Auffindbarkeit: Eine Volltextsuche, die im Fall der Fälle auch eine Behörde bedienen kann. Postfächer sind keine Archive.
  • Vollständigkeit: Alles, was ins System kommt, wird erfasst — automatisch, nicht nach Gefühl.

Warum on-prem

Eine SaaS-Archivierung verlagert das Compliance-Risiko in ein Rechenzentrum, dessen Standort und Subauftragnehmer man nicht kontrolliert. Bei sensibler Kunden- und Buchungskorrespondenz ist das kein theoretischer Einwand: Wer archiviert, bleibt datenschutzrechtlich der Verantwortliche — und muss nachweisen können, wo die Daten liegen.

Mit Open Archiver auf eigener Hardware laufen IMAP-Pull, Volltextindex (Meilisearch), Inhaltsanalyse (Apache Tika) und Postgres-Speicher im eigenen Netz. Die Mails verlassen das Haus nicht.

Wie der Pull funktioniert

  • Der Archiver verbindet sich per IMAP zu jedem Postfach, das archiviert werden soll — intern wie extern gehostet.
  • Neue Nachrichten werden gezogen, indiziert und unveränderbar abgelegt.
  • Postfächer bleiben davon unberührt — Mitarbeiter können weiterhin löschen und aufräumen, das Archiv bleibt vollständig.

Unsere Sicht

Postfach-Größen limitieren ist Symptombekämpfung. Das echte Problem ist fehlende Revisionssicherheit. Wer einmal eine steuerliche oder rechtliche Anfrage hatte, in der sechs Jahre E-Mail-Verlauf gesucht werden mussten, archiviert danach nicht mehr optional. Der Betriebsaufwand von Open Archiver on-prem ist gering — das Ausfallrisiko einer fehlenden Archivierung ist es nicht.

FAQ
Wie lange müssen geschäftliche E-Mails überhaupt aufbewahrt werden?+

Sechs Jahre handelsrechtlich, zehn Jahre, wenn eine Buchungsreferenz daraus hervorgeht — gerechnet ab Jahresende. Sobald eine Mail eine Rechnung, einen Vertrag oder eine Buchungsreferenz enthält, greift die Aufbewahrungspflicht. Postfächer sind keine Archive: Wer aufräumt oder löscht, verletzt die Pflicht. Deshalb wird alles, was ins System kommt, automatisch und unveränderbar erfasst.

Reicht nicht eine Cloud-Archivierung für die GoBD-Pflicht?+

Technisch oft ja, aber sie verlagert das Compliance-Risiko in ein Rechenzentrum, dessen Standort und Subauftragnehmer man nicht kontrolliert. Wer archiviert, bleibt datenschutzrechtlich der Verantwortliche und muss nachweisen können, wo die Daten liegen. Mit Open Archiver on-prem laufen IMAP-Pull, Volltextindex und Speicher im eigenen Netz — die Mails verlassen das Haus nicht.

Was bedeutet Revisionssicherheit in der Praxis?+

Unveränderbarkeit (WORM), Vollständigkeit und Auffindbarkeit. Jeder Eingriff ins Archiv muss protokollierbar sein, eine Volltextsuche muss auch eine Behörde bedienen können, und es darf nichts verloren gehen. Der Archiver zieht neue Nachrichten per IMAP und legt sie unveränderbar ab — Mitarbeiter können im Postfach weiterhin löschen, das Archiv bleibt vollständig.