Wolfram Bartuschka, WP/StB

Pflicht zur E-Mail-Archivierung für die Betriebsprüfung – notwendige Anpassungen in Prozessen und Systemen von Unternehmen

E-Mails sind ein nicht mehr aus dem beruflichen oder privaten Leben wegzudenkender Fakt. Die Anzahl der empfangenen oder gesendeten E-Mails ist über die letzten 10–15 Jahre kontinuierlich angestiegen. Heute geht man davon aus, dass täglich weltweit knapp 400 Mrd. E-Mails versendet und empfangen werden. Unternehmen müssen sich nicht zuletzt seit dem BFH-Urteil vom 30.4.2025 mit der Frage auseinandersetzen, ob E-Mails aufbewahrungspflichtig sein können und wie damit umzugehen ist. Im nachfolgenden Beitrag wird nach einer kurzen Darstellung der grundsätzlichen Anforderungen spezifisch darauf eingegangen, wie Unternehmen dieser Pflicht zum einen rückwirkend für vergangene Zeiträume und zum anderen prospektiv durch eine Anpassung der Systeme und Prozesse dauerhaft gerecht werden können. Dabei werden Lösungsansätze mit der Nutzung von Systemen der Künstlichen Intelligenz (KI) aufgezeigt.

I. Grundsätzliche Anforderungen zur Aufbewahrung von Dokumenten

1. Handelsrecht

Die handelsrechtlichen Aufbewahrungsregeln für Unterlagen finden sich in § 257 HGB. Demnach ist zu unterscheiden zwischen Handelsbüchern, Jahres- und Konzernabschlüssen, Lageberichten und Konzernlageberichten, Inventaren sowie den zum Verständnis der Abschlüsse erforderlichen Arbeitsanweisungen und sonstigen Unterlagen, die für die Dauer von zehn Jahren aufzubewahren sind (§ 257 Abs. 1 S. 1 Nr. 1 HGB i. V. m. § 257 Abs. 4 S. 1 HGB). Für empfangene und Wiedergaben abgesendeter Handelsbriefe beträgt die Aufbewahrungsfrist sechs Jahre (§ 257 Abs. 1 S. 1 Nr. 2 und 3 i. V. m. § 257 Abs. 4 S. 1 HGB). Buchungsbelege sind acht Jahre aufzubewahren (§ 257 Abs. 1 S. 1 Nr. 4 i. V. m. § 257 Abs. 4 S. 1 HGB). Für Banken, Versicherungen und Finanzdienstleister verlängert sich die Frist für Buchungsbelege auf zehn Jahre (§ 257 Abs. 4 S. 2 HGB).

Die Frist beginnt jeweils mit dem Ende des Kalenderjahres, in dem die letzte Eintragung in das Handelsbuch gemacht wurde, das Inventar aufgestellt, die Jahresabschlüsse festgestellt oder der Konzernabschluss aufgestellt bzw. die Handelsbriefe versendet oder empfangen wurden und Buchungsbelege entstanden sind (§ 257 Abs. 5 HGB). Bei vom Kalenderjahr abweichendem Geschäftsjahr ist hier also der Fristbeginn ausgehend vom Kalenderjahr zu beachten.1

Für die Beantwortung der Frage, welche dieser Fristen für E-Mails zutreffen, ist auf die Inhalte der E-Mails abzustellen.

2. Steuerrecht

Im Steuerrecht wird die Aufbewahrung von Unterlagen im Wesentlichen in § 147 AO geregelt.

Die Regelung des § 147 AO entspricht grundsätzlich den Regelungen des § 257 HGB. Bücher, Inventare und Jahresabschlüsse sowie die zu ihrem Verständnis erforderlichen Unterlagen sind auch steuerrechtlich für zehn Jahre, empfangene und die Wiedergaben versendeter Handels- oder Geschäftsbriefe für sechs Jahre und Buchungsbelege für acht Jahre aufzubewahren (§ 147 Abs. S. 1 Nr. 1–4 i. V. m. § 147 Abs. 3 AO). § 147 Abs. 1 S. 1 Nr. 4 AO regelt die Aufbewahrung von Unterlagen für die Zollanmeldung und -abwicklung. § 147 Abs. 1 S. 1 Nr. 5 AO erweitert die Aufbewahrungsverpflichtung i. S. e. Auffangregelung auf sonstige, für die Besteuerung relevante Unterlagen.

Die Regelung in § 147 Abs. 4 AO zum Beginn der Aufbewahrungsfrist ist zunächst inhaltsgleich mit der handelsrechtlichen Regelung und würde damit zu einem Gleichlauf der handels- und steuerrechtlichen Aufbewahrungsfristen führen. Aufgrund der Fristhemmung des § 147 Abs. 3 S. 5 AO, die einen Ablauf der Aufbewahrungsfrist vor Ablauf der Festsetzungsfrist für die jeweiligen Steuerfestsetzungen verhindert, ist die steuerrechtliche Aufbewahrungsfrist jedoch regelmäßig länger als die handelsrechtliche.

Auch aus steuerrechtlicher Sicht ergibt sich die Aufbewahrungspflicht für E-Mails damit aus den allgemeinen Vorschriften und der Einordnung der E-Mails zu den entsprechenden aufbewahrungspflichtigen Unterlagen aus dem Inhalt der E-Mails.

II. Neuerungen durch die BFH-Entscheidung vom 30.4.2025

1. Konkreter Sachbezug der Entscheidung – Vorlage von E-Mails im Rahmen der Betriebsprüfung

Die Entscheidung des BFH durch Beschluss vom 30.4.2025 befasste sich mit den Fragen, ob zum einen im Rahmen der Betriebsprüfung E-Mails als versendete oder empfangene Handelsbriefe bzw. sonstige für die Besteuerung relevante Unterlagen durch den Steuerpflichtigen herauszugeben sind und ob die Finanzverwaltung in diesem Zusammenhang ein Gesamtjournal der versendeten und empfangenen E-Mails verlangen kann.2

2. Einordnung von E-Mails als aufbewahrungspflichtige Dokumente

Während sich der BFH hinsichtlich der Vorlage des Gesamtjournals der Vorinstanz anschloss und die Verpflichtung zur Herausgabe des Gesamtjournals verneinte, bestätigte er das Recht der Finanzverwaltung, E-Mails im Rahmen der Betriebsprüfung anzufordern, wenn diese als Handels- oder Geschäftsbriefe oder als sonstige steuerlich relevante Unterlagen anzusehen sind. Die Ersteinschätzung, ob es sich bei den E-Mails um solche Unterlagen handelt, kann dabei durch den Steuerpflichtigen erfolgen.3

3. Qualifikation von E-Mails als aufbewahrungspflichtig

Zur Frage, ob E-Mails aufbewahrungspflichtig sind, stellte der BFH in seiner Entscheidung darauf ab, dass nicht nur Ein- und Ausgangsrechnungen von Handelsgesellschaften Handels- oder Geschäftsbriefe darstellen,

“sondern aufzubewahren ist die gesamte, den betrieblichen Bereich betreffende Korrespondenz, soweit sie sich auf die Vorbereitung, Durchführung oder Rückgängigmachung eines Handelsgeschäfts i. S. d. §§ 343, 344 des Handelsgesetzbuchs (HGB) bezieht (Drüen, in: Tipke/Kruse, § 147 AO, Rn. 17b; Koenig/Haselmann, Abgabenordnung, 5. Aufl., § 147, Rn. 9). Auf die Form kommt es dabei nicht an; auch Fernschreiben, Telegramme und insbesondere E-Mails sind grundsätzlich aufbewahrungspflichtig (vgl. Drüen, in: Tipke/Kruse, § 147 AO, Rn. 17b; Koenig/Haselmann, Abgabenordnung, § 147, Rn. 9). Dies gilt nach Auffassung des erkennenden Senats jedenfalls insoweit, als die E-Mail selbst – und nicht lediglich ihr Anhang – rechnungslegungsrelevante Informationen enthalten; ansonsten ist jedenfalls der Anhang aufzubewahren.”4

Eine E-Mail, die eine Auftragsbestätigung, eine Vertragsannahme, eine preis- und leistungsbestimmende Nebenabrede, eine Rechnung oder steuerlich relevante Meldungen enthält, ist aufzubewahren – inklusive relevanter Anhänge und Metadaten (z. B. Sende-/Empfangszeit, Absender/Empfänger, Betreff). Diese inhaltliche Sicht hat die Rechtsprechung bereits früher gestützt; das Urteil von April 2025 schreibt diese Linie fort und konkretisiert, welche Mindestinformationen revisionssicher vorzuhalten sind, damit ein Prüfer den Geschäftsvorfall vollständig nachvollziehen kann.5

III. Umsetzung des BFH-Urteils für zurückliegende Zeiträume

1. Umfang der umfassten Zeiträume

Entscheidend für die Frage, für welche Zeiträume die E-Mails rückwirkend zu identifizieren und zu archivieren sind, ist – wie in Abschn. II. 3. dargestellt – der Inhalt der entsprechenden E-Mails. In der weitaus überwiegenden Zahl der Fälle dürften die E-Mails als Handelsbriefe zu kategorisieren sein, sodass sich eine Aufbewahrungsfrist von sechs Jahren ergibt. Da sich aufgrund der Fristhemmung des § 147 Abs. 3 S. 5 AO regelmäßig eine längere steuerrechtliche Aufbewahrungsfrist ergibt, ist auf diese abzustellen.6

2. Identifikation relevanter E-Mails

Eine der wesentlichen Herausforderungen bei der Umsetzung der regulatorischen Anforderungen liegt in der puren Anzahl von zu analysierenden E-Mails. So gehen Schätzungen von einer Anzahl von ca. 392 Mrd. E-Mails bei 4,7 Mrd. E-Mail-Nutzern weltweit aus.7

Wie bereits in Abschn. I. 3. erläutert, erfordert die Einschätzung, ob die E-Mails aufbewahrungspflichtig sind, eine Prüfung des Inhalts der E-Mails. Dabei ergibt sich der Inhalt oft nicht allein aus dem reinen Text der E-Mail, sondern auch aus Anlagen. Diese Anlagen können in verschiedenen Datenformaten, z. B. als pdf-Datei oder gescannt als Bildformat, und darüber hinaus möglicherweise in verschiedenen Sprachen vorliegen.

3. Einsatz von KI zur Identifikation relevanter E-Mails

Der Einsatz von KI-Systemen ist aufgrund der dargestellten Herausforderungen (Menge der E-Mails, verschiedene Sprachen und Formate) nahezu zwingend. Darüber hinaus werden durch die Weiterleitung, Beantwortung von E-Mails Inhalte dupliziert.

Für die Identifikation der relevanten E-Mails mit Hilfe von KI-Systemen kann das nachstehende Vorgehensmodell implementiert werden:

a) Datenerhebung und -erfassung

In Phase 1 muss zunächst erfasst werden, aus welchen Quellen E-Mails zu verarbeiten sind. Dazu müssen ggf. auch Quellen identifiziert werden, die nicht mehr aktuell sind, in denen aber über den potenziellen Aufbewahrungszeitraum E-Mails gespeichert wurden. Dann müssen die E-Mails inklusive der Header, Inhalte und Anlagen eingelesen, normalisiert und mit einem einheitlichen Zeitstempel (des Versands bzw. Erhalts der entsprechenden E-Mail) und einem Identifikationsschema versehen werden. Wichtig ist hier auch die Deduplikation von weitergeleiteten, beantworteten E-Mails oder von Nachrichten an mehrere Verteiler.

Um das Volumen von Anfang an zu steuern, sollten bereits in dieser Phase sicher irrelevante Nachrichten, wie Newsletter etc., bereits ausgefiltert werden. Dies kann beispielsweise über häufig verwendete Syntax der E-Mailadressen (newsletter@. . ..com etc.) erfolgen.

b) Vorverarbeitung und Normalisierung

In Phase 2 werden die Inhalte und Anhänge durch entsprechende KI-basierte Optical-Character-Recognition-Verfahren z. B. aus Bilddateien erschlossen und Texte extrahiert und ggf. durch Large-Language-Modell-(LLM-)basierte Übersetzungsdienste in eine einheitliche Sprache überführt. Im gesamten Projektverlauf sind datenschutzrechtliche und betriebsverfassungsrechtliche Sachverhalte zu berücksichtigen. Durch Trainingszyklen mit vorklassifizierten Daten können die Qualität und die Geschwindigkeit der Extraktion und Normalisierung der zu extrahierenden Daten erheblich verbessert werden.

c) Kategorisierung

In der Phase 3, der Kategorisierung, erfolgt der Aufbau einer entsprechenden Taxonomie zur anschließenden Klassifizierung der Dokumente. Um dem Ziel der Klassifikation gerecht zu werden, sind die Kategorien daher mit Blick auf die Entscheidung zur Aufbewahrungspflicht und -dauer zu definieren.

Sinnvoll sind Kategorien wie: Geschäftsbrief/Handelsbrief (Angebote, Auftragsbestätigungen, Liefervereinbarungen), Buchungsbeleg bzw. rechnungsrelevante Kommunikation (z. B. Rechnung als Anhang, Gutschrift, Storno, Klarstellungen zur Abrechnung), Verträge und Vertragszusätze, steuerliche Korrespondenz (z. B. Umsatzsteuer-Identifikationsnummern [USt-Id.-Nr.], Zusammenfassende Meldung, Intrastat, Zoll), sowie prozessrelevante Nachweise (z. B. Versand- und Leistungsnachweise, Abnahmeprotokolle). Jede Kategorie erhält Aufbewahrungsregeln, Metadatenanforderungen und Verknüpfungen zu Geschäftsprozessen.

d) (Hybride) Klassifikation

In Phase 4 erfolgt die eigentliche Klassifikation der E-Mails. Hierfür bietet sich ein hybrider Ansatz an.8 Mit regelbasierten Vorfiltern, z. B. basierend auf dem Betreff, dem Absender, Datentypen oder erkannten Mustern wie “Invoice”, “Rechnung”, “Contract”, “Auftragsbestätigung”, USt-IdNr.-Muster), kann die Menge, die ein großsprachiges Modell prüfen muss, in einem ersten Schritt reduziert werden. Anschließend bewertet ein LLM-/GenAI-Modell den Kontext: Handelt es sich um eine verhandlungsrelevante E-Mail? Enthält der Anhang eine Rechnung i. S. v. § 14 UStG? Ist die E-Mail Teil einer Auftragskette, die für die Beurteilung des Geschäftsvorfalls relevant ist? Ergänzend kommt domänenspezifische Informationsextraktion (Named Entity Recognition) zum Einsatz, um Kernfelder zu erkennen: Lieferantenname, Kundennummer, USt-IdNr., Bestell-/Auftrags-/Rechnungsnummer, Beträge, Währungen, Leistungsdaten. Diese Extrakte werden – wo möglich – mit Stammdaten z. B. aus dem Enterprise-Ressource-Planning-(ERP-)System oder Customer-Relationship-Management-(CRM-)System abgeglichen (retrieval-augmented classification). Wenn eine extrahierte Rechnungsnummer im ERP existiert und Beträge konsistent sind, steigt die Klassifikationssicherheit, und die Zuordnung zu Buchungen wird belastbarer.

e) Qualitätssicherung

Phase 5 beinhaltet die Qualitätssicherung, um Fehler in der Klassifizierung zu identifizieren. Ein Evaluationsplan mit stichprobenbasierten Referenzwerten, klaren Zielmetriken (z. B. 95 % Trefferquote für rechnungsrelevante E-Mails bei mindestens 85 %iger Genauigkeit) und kalibrierten Konfidenzschwellen ist zu etablieren. Unsichere Fälle sollten in einen Human-in-the-Loop-Workflow fließen, in dem Fachmitarbeiter stichprobenweise prüfen, Zwischenergebnisse kommentieren und Modelle nachschärfen. Alle Entscheidungen – inklusive Modelldefinitionen, Prompts, Trainingsdatenquellen, Versionen und Schwellenwerte – sind versioniert zu dokumentieren. Die Verfahrensdokumentation sollte beschreiben, wie das Unternehmen sicherstellt, dass die KI-Entscheidungswege nachvollziehbar sind und dass Kontrollen greifen, wenn die Modellleistung driftet.

f) Migration in ein GoBD-konformes Archiv

In der abschließenden sechsten Phase müssen dann die Daten in ein GoBD-konformes Archivsystem übergeleitet werden, das mit den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) vereinbar ist. Hier ist wichtig, dass die Verbindung zwischen E-Mail, Anhängen und extrahierten Metadaten erhalten bleibt. Die Speicherung sollte Unveränderbarkeit (oder eine gleichwertige Kontrollkette) gewährleisten, Zugriffe und Änderungen protokollieren und maschinelle Auswertungen erlauben. Über ein entsprechendes Berechtigungskonzept sollten Nutzerrechte gesteuert werden können. Die Speicherung muss Write-Once-Read-Multiple-(WORM-)Funktionalität bieten oder über Hash-/Signaturketten und Audit-Trails eine gleichwertige Sicherung bieten. Ein weiterer Aspekt ist die Z3-Fähigkeit: Prüfer erwarten Exporte mit strukturierten Metadaten und nachvollziehbarer Referenz auf die Quelle.9 Eine saubere Chain-of-Custody – vom ursprünglichen E-Mail-Header bis zum archivierten Objekt – erleichtert die Prüfung erheblich.

4. Aufbewahrung der relevanten E-Mails

Die identifizierten und archivierten E-Mails sind dann über die Dauer der jeweiligen Frist aufzubewahren und können nach Ablauf der Frist, soweit nicht andere Gründe dagegensprechen vernichtet werden.10 Bei enthaltenen personenbezogenen Daten wird auf den Abschn. V. verwiesen.

IV. Anpassung der betrieblichen Prozesse und Systeme zur künftigen Einhaltung der Aufbewahrungsverpflichtung

1. Klassifikation von E-Mails als aufbewahrungspflichtig

a) Alternative Wiederholung der retrospektiven Betrachtung in Intervallen

Grundsätzlich wäre es auch möglich, der Aufbewahrungspflicht nachzukommen, wenn die retrospektive Analyse und Archivierung der E-Mails in Intervallen (z. B. monatlich oder halbjährlich) nach dem in Abschn. III. vorgeschlagenen Verfahren erfolgt.

b) Lösung ohne Einsatz von KI

Eine mögliche Lösung, die auch bereits von Unternehmen praktiziert wird, ist die manuell initiierte Klassifikation von ein- und ausgehenden E-Mails durch den Empfänger bzw. Versender der E-Mails. Dieser Lösungsansatz erfordert eine regelmäßige Schulung der E-Mail-Versender und Empfänger sowie eine, z. B. stichprobenweise, Qualitätssicherung zur Sicherstellung der Einhaltung der Vorschriften.

c) Lösung durch Einsatz von KI

Das Vorgehen basiert grundsätzlich auf ähnlichen Prozessschritten wie das retrospektive Vorgehen in Abschn. III. mit einem hybriden Klassifikationsmodell aus regelbasierten und KI-Anteilen. Während regelbasierte Komponenten offensichtliche Fälle, z. B. Rechnungen bekannter Lieferanten, eindeutige Betreffvermerke etc. ausfiltern, bewerten LLM den Kontext und die Semantik vor allem in freien Texten, um zu klassifizieren, um welche Inhalte es sich handelt oder ob die E-Mail im Zusammenhang mit einer Buchung steht und daher aufzubewahren ist. Unsichere Fälle werden als solche markiert und durch definierte Eskalationspfade einer Entscheidung zugeführt. Basierend auf der Entscheidung, ob diese E-Mail aufzubewahren ist, werden entsprechende Merkmale zur Aufbewahrungspflicht und -frist vergeben.

2. Maßnahmen zur Umsetzung der laufenden Einhaltung der Aufbewahrungsverpflichtung

a) Bereitstellung der Daten

Für die Bereitstellung der Daten kann entweder eine laufende Überwachung vordefinierter Postfächer oder ein Journalfeed, z. B. Journal-Routing bei Microsoft365 oder Vault/Journal-Report bei Google Workspace, genutzt werden. Aus diesen Quellen wird dann eine Near Real-time Pipeline gespeist, die – wie in Abschn. III. bereits dargestellt – die Nachrichten und Anhänge verarbeitet, ggf. übersetzt, normalisiert, mit Stammdaten anreichert, klassifiziert und – soweit die Nachrichten als aufbewahrungspflichtig bewertet werden – diese an ein Archiv- oder DMS leitet.

b) Qualitätssicherung und Korrekturprozesse

Zur Sicherung der Qualität und gleichzeitig zur Unterstützung der Nutzer sollten Add-ins in die Mailprogramme installiert werden, die es erlauben, automatisch generierte Archivierungsmerkmale zu korrigieren, fehlende Metadaten zu ergänzen und Fehler (false positives, false negatives) zu melden. Diese Korrekturen müssen auch Input für Trainings- bzw. Validierungsschleifen darstellen, um die Modelle laufend zu verbessern und so den Anteil manueller Eingriffe immer weiter zu reduzieren. Voraussetzung dafür sind, wie bei der rein manuellen Klassifikation in Abschn. IV. 1. b), klar verständliche, regelmäßig aktualisierte Richtlinien, welche Dokumente aufzubewahren sind.

c) Betrieb und Monitoring der Machine-Learning(ML-)Modelle

Für die eingesetzten Verfahren sind entsprechende Verfahrensdokumentationen zu erstellen. Die Performance der Modelle muss mittels Monitoring überwacht werden. Dazu sind Qualitätskriterien und Performancekennzahlen zu definieren und entsprechende Prozesse zur laufenden Überwachung einzurichten und Schwellenwerte zu definieren, bei deren Überschreiten Maßnahmen zur Verbesserung von Performance bzw. Qualität ergriffen werden.

ML-Modelle unterliegen einem sog. Drift: Die Modelle wurden auf Basis bestimmter Daten trainiert. Die zugrundeliegenden Daten unterliegen aber im Zeitverlauf Veränderungen. Neue Merkmale sind zu ergänzen, Vorschriften ändern sich, auch die Sprache entwickelt sich weiter. Damit kann sich die Performance und Qualität der Ergebnisse verschlechtern. Um dieser Tatsache gerecht zu werden, muss ein regelmäßiges oder ereignisbasiertes Retraining der Modelle mit aktuellen validierten Daten (E-Mails und Anhängen) erfolgen und, wie in Abschn. IV. 3. b) dargestellt, durch Eingriff des Menschen (human-in-the-loop) ein aktives Lernen sichergestellt werden.11

d) Sicherheit, Datenschutz und Souveränität

Unabhängig von der in Abschn. V. zu behandelnden Frage personenbezogener Daten sind die Fragestellungen rund um die Sicherheit der Daten zu klären. Gesetzliche (EU AI Act12, Datenschutz-Grundverordnung – DSGVO, Bundesdatenschutzgesetz – BDSG etc.) wie vertragliche Regelungen dazu sind bei der Wahl des Betriebsmodells zu beachten, und deren Einhaltung ist unter Abwägung weiterer Kriterien, wie Wirtschaftlichkeit, vorhandene ML-Kompetenz, zu gewährleisten. So werden bei kritischen Daten eher On-premise-Modelle als cloudbasierte Lösungen zum Einsatz kommen. Durch entsprechende Benutzerrollen und eine angemessene Berechtigungsvergabe ist das Prinzip der Datenminimierung zu gewährleisten. Der Einsatz von End-zu-End-Verschlüsselungsmethoden kann die Sicherheit der Daten weiter verbessern.

e) Prüfungs- und Nachweisfähigkeit

Eines der wesentlichen Kriterien guter KI-Governance ist die Nachvollziehbarkeit und Prüfbarkeit der KI-Entscheidungen. Dies bedeutet, dass jede Klassifikations- und Archivierungsentscheidung nachvollziehbar ist. Daher muss dokumentiert werden:

• Welche Regeln und ML-Modelle waren an der Entscheidung beteiligt?
• Welche Konfidenzen lagen vor?
• Wurden manuelle Korrekturen vorgenommen?
• Wer hat wann zugegriffen?

Diese Informationen müssen in einem Audit-Trail abgelegt und bereitgestellt werden. Für eventuelle Betriebsprüfungen müssen Z3-konforme Exporte erstellt werden können. Dazu müssen neben den eigentlichen aufbewahrungspflichtigen Daten auch Meta-, Stamm- und Bewegungsdaten sowie interne und externe Verknüpfungen bereitgestellt werden.13

V. Umgang mit gegebenenfalls betroffenen personenbezogenen Daten

1. Identifikation entsprechender E-Mails

Personenbezogene Daten unterliegen dem besonderen Schutz gem. DSGVO und BDSG. Grundsätzlich liegt in der handels- und steuerrechtlichen Aufbewahrungspflicht eine Berechtigung zur Verarbeitung personenbezogener Daten vor. Zu beachten sind aber insbesondere die Informations-, Auskunfts-, Berichtigungs- und Löschungsverpflichtungen der Art. 12–19 DSGVO.14

Um die DSGVO-konforme Verarbeitung der in den E-Mails möglicherweise vorhandenen personenbezogenen Daten zu gewährleisten, müssen diese zunächst identifiziert werden.

Auch hier kann ein hybrider Klassifikationsansatz aus regel- und KI-basierten Entscheidungsmodellen eingesetzt werden, indem in den Inhalten der E-Mails und ggf. auch der Anhänge diese personenbezogenen Daten identifiziert und dann in den Archiv- oder DMS-Systemen als solche gekennzeichnet werden.

2. DSGVO-konforme Umsetzung

Um die entsprechenden Regelungen der DSGVO und des BDSG umzusetzen, müssen vor allem Regelungen und technische Maßnahmen getroffen werden, um

• den betroffenen Personen Auskünfte gem. Art. 15 DSGVO zur Verarbeitung der personenbezogenen Daten erteilen zu können;
• der Verpflichtung zur Berechtigung eventuell unrichtiger gespeicherter Daten gem. Art. 16 DSGVO nachkommen zu können;
• dem Recht auf Löschung der Daten gem. Art. 17 DSGVO nach Ablauf der handels- und steuerrechtlichen Aufbewahrungsfrist und damit dem Entfall der Berechtigung zur Speicherung der personenbezogenen Daten nachzukommen.

VI. Vorschlag zur konkreten Vorgehensweise zur Umsetzung der Anforderungen aus dem BFH-Urteil vom 30.4.2025

Für das Vorgehen zur Umsetzung der Anforderungen bietet sich ein Projekt in vier Phasen an:

1. Bestandsaufnahme

In der Bestandsaufnahme (ca. ein bis drei Monate) werden zunächst alle relevanten Prozesse, Systeme, rechtlichen und sonstigen Rahmenbedingungen erhoben. Auf dieser Basis sollten eine Risikoanalyse und eine Einschätzung der zu erwartenden Komplexität und des technischen Volumens durchgeführt werden.

Basierend auf einer initialen Analyse der Mail-Systeme zu Dokumententypen, Verknüpfungen mit Ablagesystemen und den bereits vorhandenen Archivierungsregeln wird eine initiale Archivierungsrichtlinie erstellt.

In einer Datenschutzfolgeabschätzung nach Art. 35 DSGVO sind, soweit noch nicht erfolgt, die Folgen der zukünftigen Verarbeitung personenbezogener Daten abzuschätzen.

Mit dem Betriebsrat sind die Eckpunkte für die E-Mail-Analyse abzustimmen, soweit noch keine passende Betriebsvereinbarung vorliegt.

2. Pilot

In der Pilotphase (drei bis sechs Monate) werden zunächst für zwei bis drei gut abgrenzbare Kategorien mit hohem Nutzen und klaren Mustern, z. B. Eingangsrechnungen bestimmter Lieferanten initial die Prozesse und Systeme für alle künftigen Schritte zur Archivierung der E-Mails aufgebaut: Ausgehend von den Schnittstellen zu den E-Mail-Postfächern über die Vorverarbeitung, die hybride Klassifikation, Extraktion der Metadaten, Anreicherung mit ERP-Daten, das Setzen der Aufbewahrungsmerkmale bis zur Archivierung in einem DMS- oder Archivierungssystem.

3. Skalierung

In der Phase der Skalierung (ca. sechs bis neun Monate) werden die Prozesse und Systeme so ausgebaut, dass künftig das gesamte Volumen der E-Mails und damit verbundenen Anhänge verarbeitet werden kann. Dazu sind die entsprechenden technischen Plattformen, ggf. über entsprechende Cloud-Anbieter oder als Hybrid-Modelle, bereitzustellen. Die Schnittstellen zu ERP, CRM und Archivsystemen sind für die künftig zu erwartenden Kapazitäten zu optimieren. Trainingsprogramme sind aufzusetzen und inhaltlich vorzubereiten.

Zur kontinuierlichen Überwachung der Performance und Qualität der Prozesse und Systeme sind die entsprechenden Parameter zu definieren, Systeme anzubinden und Eskalationspfade bei Performance- oder Qualitätsproblemen zu definieren.

4. Rollout

Im Rollout (Dauer abhängig von der Größe und Komplexität der Organisation) erfolgt dann die Einführung der Verfahren und Systeme über die gesamte Organisation. Soweit Einheiten im Ausland vorhanden sind, muss der Rollout ggf. die unterschiedlichen Anforderungen abbilden können. Betriebsvereinbarungen müssen final getroffen und kommuniziert werden. Soweit erforderlich, müssen Archivierungsrichtlinien angepasst werden.

Durch eine entsprechende Qualitätssicherung mit entsprechenden Stichproben ist die Qualität und Effizienz über den gesamten Rollout sicherzustellen. Das Monitoring der KI-Systeme ist in eine kontinuierliche Performance- und Qualitätssicherung zu überführen.

VII. Zusammenfassung

 

1. Die Pflicht zur Aufbewahrung von E-Mails ergibt sich aus den Vorschriften des HGB und der AO.
2. Um zu entscheiden, ob E-Mails aufbewahrungspflichtig sind, muss der Inhalt der E-Mails analysiert werden.
3. Werden E-Mails durch die Unternehmen bisher nicht entsprechend aufbewahrt, sind die E-Mails über den gesamten Zeitraum der steuer- und handelsrechtlichen Fristen hinweg zu prüfen und ggf. zu archivieren.
4. Aufgrund der großen Menge an Daten erscheint der Einsatz von KI-Systemen unumgänglich. Durch diese Systeme erfolgt eine Aufbereitung der Inhalte der E-Mails einschließlich Anlagen und daran anschließend eine Klassifikation hinsichtlich der Aufbewahrungsverpflichtung. Im Anschluss sind die als aufbewahrungspflichtig klassifizierten E-Mails in ein Archivsystem zu überführen.
5. Für die laufende Klassifikation der E-Mails können neben einer manuellen Kennzeichnung als aufbewahrungspflichtig ebensolche KI-Systeme zur Aufbereitung und Klassifikation der E-Mails eingesetzt werden.
6. Da in den E-Mails auch personenbezogene Daten enthalten sein können, sind die Anforderungen der DSGVO zu beachten.
7. Die Umsetzung der Klassifikation von E-Mails mittels KI-Systemen erfordert ein Einführungsprojekt, das in vier Phasen unterteilt werden kann: Ausgehend von einer Bestandsaufnahme erfolgt die Pilotierung. Anschließend werden die Skalierung und der organisationsweite Rollout durchgeführt.

---