Aufbewahrungspflicht und Löschpflicht scheinen sich zu widersprechen. Wie revisionssichere E-Mail-Archivierung DSGVO und GoBD zugleich erfüllt – ohne Konflikt.
Auf den ersten Blick stehen zwei Pflichten gegeneinander: Das Steuer- und Handelsrecht verlangt, geschäftliche E-Mails jahrelang aufzubewahren. Die DSGVO verlangt, personenbezogene Daten zu löschen, sobald der Zweck entfällt (Art. 5 Abs. 1 lit. e, Grundsatz der Speicherbegrenzung). Wie passt das zusammen?
Die DSGVO erlaubt die Verarbeitung ausdrücklich, wenn eine rechtliche Verpflichtung sie erfordert (Art. 6 Abs. 1 lit. c). Eine gesetzliche Aufbewahrungspflicht ist genau so eine Verpflichtung. Für die Dauer der Frist überwiegt die Aufbewahrungspflicht – die Mail darf und muss vorgehalten werden. Erst nach Ablauf der Frist kippt die Waage: Dann greift die Löschpflicht, und die Nachricht ist zu entfernen.
Der Konflikt entsteht also nur, wenn ein Unternehmen eines von beiden tut: entweder gar nicht archiviert (Verstoß gegen GoBD/HGB) oder alles unbegrenzt behält (Verstoß gegen die DSGVO). Der richtige Weg ist beides – zeitlich gestaffelt.
1. Fristen je Nachricht. Jede E-Mail erhält beim Archivieren die passende Frist – 6, 8 oder 10 Jahre je nach Inhalt. Welche Mail wie lange, erklärt unser Beitrag E-Mail-Aufbewahrungsfristen. Eine Standardfrist plus Regeln je Postfach, Richtung oder Abteilung bilden auch komplexe Fälle ab.
2. Automatisierte Löschung nach Ablauf. Ist die Frist vorbei, wird die Nachricht nachvollziehbar gelöscht – nicht Jahre später von Hand, sondern durch einen protokollierten Lauf. Das ist der aktive Teil der DSGVO-Konformität, den viele Archive schlicht weglassen.
3. Legal Hold als begründete Ausnahme. Läuft ein Rechtsstreit oder eine Prüfung, dürfen betroffene Nachrichten nicht gelöscht werden – auch wenn die Frist abläuft. Eine Sperre (Legal Hold) nimmt sie begründet und protokolliert von der Löschung aus, bis der Anlass entfällt.
4. Umgang mit privater Mail. Rein private Nachrichten unterliegen keiner Aufbewahrungspflicht und haben in einem geschäftlichen Archiv oft nichts zu suchen. Eine saubere Lösung erlaubt es, Privatnutzung datenschutzkonform zu behandeln, statt pauschal alles zu speichern.
Revisionssicherheit bedeutet, dass eine archivierte Nachricht innerhalb ihrer Frist nicht verändert oder gelöscht werden kann (WORM-Prinzip, abgesichert über eine Hash-Kette). Es bedeutet nicht, dass sie ewig bleibt. Genau diese Kombination – unveränderbar bis zum Fristende, danach zwingend gelöscht – ist der Kern eines datenschutzkonformen Archivs.
Die neuesten Beiträge aus unserem Blog.
Aufbewahrungsfristen für E-Mails nach HGB und AO im Überblick: 6, 8 und 10 Jahre, die Verkürzung für Buchungsbelege seit 2025 und wann die Frist beginnt.
So richten Sie in Exchange Online eine Journalregel für die revisionssichere E-Mail-Archivierung ein: dedizierte Ingestion-Adresse, TLS, Hybrid und Kontrolle.

Conbool MailGuard bietet jetzt einen nativen SIEM-Export: Phishing-, Malware-, DLP- und Mailflow-Events per REST-Pull-API oder Webhook an jedes gängige SIEM.
Aufbewahren und Löschen sind kein Entweder-oder, sondern ein Nacheinander. Ein Archiv, das Fristen automatisch setzt, nach Ablauf protokolliert löscht und Ausnahmen sauber abbildet, erfüllt DSGVO und GoBD zugleich. Wie Conbool Archive das umsetzt – revisionssicher, in EU-Rechenzentren und mit lückenlosem Audit-Log – zeigt die Lösungsseite GoBD-konforme E-Mail-Archivierung.
Dieser Beitrag ist eine allgemeine Orientierung und ersetzt keine Rechtsberatung.