Aufbewahrungsfristen für E-Mails nach HGB und AO im Überblick: 6, 8 und 10 Jahre, die Verkürzung für Buchungsbelege seit 2025 und wann die Frist beginnt.
„Wie lange müssen wir E-Mails eigentlich aufbewahren?" – eine Frage, die in jedem Unternehmen früher oder später auftaucht. Die kurze Antwort: Es kommt auf den Inhalt an, nicht auf das Medium. Eine geschäftlich relevante E-Mail unterliegt denselben Aufbewahrungspflichten wie ein Brief oder eine Rechnung auf Papier.
Maßgeblich sind das Handelsgesetzbuch (§ 257 HGB) und die Abgabenordnung (§ 147 AO). Sie kennen im Kern drei Fristen:
| Frist | Was darunter fällt | Rechtsgrundlage |
|---|---|---|
| 10 Jahre | Bücher, Inventare, Jahresabschlüsse, Eröffnungsbilanz, Lageberichte | § 257 Abs. 1 Nr. 1, Abs. 4 HGB · § 147 Abs. 1 Nr. 1, Abs. 3 AO |
| 8 Jahre | Buchungsbelege inkl. Eingangs- und Ausgangsrechnungen | § 257 Abs. 4 HGB · § 147 Abs. 3 AO (seit 2025) |
| 6 Jahre | Empfangene und abgesandte Handels- und Geschäftsbriefe, sonstige steuerrelevante Unterlagen | § 257 Abs. 1 Nr. 2, 3, Abs. 4 HGB · § 147 Abs. 1 Nr. 2, 3, Abs. 3 AO |
Eine E-Mail mit einer angehängten Rechnung ist ein Buchungsbeleg – 8 Jahre. Ein Angebot, eine Bestellung oder eine Auftragsbestätigung ohne Belegcharakter ist ein Geschäftsbrief – 6 Jahre. Der Jahresabschluss und die zugrunde liegenden Bücher bleiben bei 10 Jahren.
Bis Ende 2024 galten für Buchungsbelege ebenfalls 10 Jahre. Mit dem Vierten Bürokratieentlastungsgesetz wurde diese Frist auf 8 Jahre verkürzt – wirksam seit dem 1. Januar 2025 für alle Belege, deren 10-jährige Frist zu diesem Zeitpunkt noch nicht abgelaufen war. Für Unternehmen unter BaFin-Aufsicht greift die Verkürzung erst ab dem 1. Januar 2026.
Die Frist startet nicht am Tag des E-Mail-Eingangs, sondern mit dem Schluss des Kalenderjahres, in dem die Nachricht entstanden ist. Eine Rechnung vom März 2025 mit 8 Jahren Frist muss also bis Ende 2033 aufbewahrt werden, nicht nur bis März 2033. Wer die Frist ab dem Eingangsdatum rechnet, löscht potenziell zu früh.
Genauso wichtig wie das Aufbewahren ist das fristgerechte Löschen: Personenbezogene Daten dürfen nach der DSGVO nicht unbegrenzt vorgehalten werden. Eine unbefristete „Sicherheitskopie aller Mails" ist datenschutzwidrig. Ein sauberes Archiv setzt die passende Frist je Nachricht automatisch und löscht nach Ablauf nachvollziehbar. Wie sich Aufbewahrungs- und Löschpflicht vereinbaren lassen, lesen Sie in unserem Beitrag DSGVO-Löschpflicht trifft GoBD-Aufbewahrung.
Die neuesten Beiträge aus unserem Blog.
Aufbewahrungspflicht und Löschpflicht scheinen sich zu widersprechen. Wie revisionssichere E-Mail-Archivierung DSGVO und GoBD zugleich erfüllt – ohne Konflikt.
So richten Sie in Exchange Online eine Journalregel für die revisionssichere E-Mail-Archivierung ein: dedizierte Ingestion-Adresse, TLS, Hybrid und Kontrolle.

Conbool MailGuard bietet jetzt einen nativen SIEM-Export: Phishing-, Malware-, DLP- und Mailflow-Events per REST-Pull-API oder Webhook an jedes gängige SIEM.
Von Hand ist das nicht zu leisten. Ein revisionssicheres Archiv wie Conbool Archive vergibt die Frist beim Archivieren automatisch – mit einer Standardfrist plus Regeln je Postfach, Richtung oder Abteilung. Die Frist ist danach unveränderbar, wird nur verlängert, nie verkürzt, und die Löschung nach Ablauf läuft protokolliert. Den rechtlichen Rahmen dazu fasst unsere Lösungsseite GoBD-konforme E-Mail-Archivierung zusammen.
Dieser Beitrag ist eine allgemeine Orientierung und ersetzt keine Rechts- oder Steuerberatung.