Die Aufbewahrungspflicht kann auch für E-Mails gelten. Die Dauer richtet sich nach dem Inhalt der E-Mail und nach den üblichen steuerrechtlichen Aufbewahrungsfristen.
- Eine 10-jährige Aufbewahrungsfrist gilt z. B. für Buchungsbelege.
- Unabhängig davon gilt für Rechnungen eine 10-jährige Aufbewahrungsfrist.
- Für Handels- oder Geschäftsbriefe, bzw. E-Mails, gilt die Frist von 6 Jahren.
Die Archivierungspflichten für E-Mails ergeben sich somit aus einem Zusammenspiel der beschriebenen Vorschriften des HGB, der AO und den GoBD-Grundsätzen.
Zu berücksichtigen sind bei der Archivierung von E-Mails und sonstigen Internetdaten zusätzlich auch die Vorschriften des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Allerdings umfasst das TDDDG primär den Datenschutz bei der E-Mail-Übertragung und -Nutzung, nicht aber die Aufbewahrungsfristen, die wie beschrieben aus Handels- und Steuerrecht ergeben.
E-Mail-Anbieter gelten als "Anbieter digitaler Dienste" i. S. d. § 2 Abs. 2 TDDSG. Dies ist jede natürliche oder juristische Person, die eigene oder fremde digitale Dienste erbringt, an deren Erbringung mitwirkt oder den Zugang zur Nutzung eigener oder fremder digitaler Dienste vermittelt.
Der Anbieter digitaler Dienste darf "Bestandsdaten" erheben. Diese sind laut § 2 Abs. 2 TDDDG "die personenbezogenen Daten, deren Verarbeitung zum Zweck der Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Anbieter von digitalen Diensten und dem Nutzer über die Nutzung von digitalen Diensten erforderlich ist". Dies entspricht dem Art. 6 der DSGVO, der eine "Rechtmäßigkeit der Verarbeitung" personenbezogener Daten einräumt, wenn die Verarbeitung für die Erfüllung eines Vertrags notwendig ist (Art. 6 Abs. 1 lit. b DSGVO).
Allgemein müssen E-Mails revisionssicher, unveränderbar und maschinell auswertbar archiviert werden. Die GoBD (siehe oben) legen fest, wie eine korrekte elektronische Archivierung auszusehen hat.
E-Mail-Anbieter sind gem. § 3 Abs. 2 Nr. 1 TDDDG zur Wahrung des Fernmeldegeheimnisses verpflichtet. Ergänzend legt § 3 Abs. 3 TDDDG fest, dass sich der Anbieter keine Kenntnis über den Inhalt oder die näheren Umstände der Telekommunikation verschaffen darf. Dies schließt z. B. eine Weitergabe an Dritte für die Nutzung von Werbung aus.
Da E-Mails (wie Chat-Nachrichten von Messenger-Diensten) in aller Regel nicht direkt von Absender zu Empfänger geschickt werden, sondern eine oder mehrere dazwischen liegende Server passieren, gilt hier auch § 6 TDDDG. Gem. dessen dürfen Anbieter, die nach § 3 Abs. 2 Satz 1 Nr. 1 und 2 verpflichtet sind, bei Diensten mit Zwischenspeicherung Nachrichteninhalte von Endnutzer verarbeiten. Diese Anbieter sind
- Anbieter von öffentlich zugänglichen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken.
- Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken.
Die Anbieter haben nach Beendigung der Verbindung aus den Verkehrsdaten die für die Berechnung des Entgelts erforderlichen Daten zu ermitteln. Diese Daten dürfen bis zu 6 Monate nach Versendung der Rechnung gespeichert werden. Für die Abrechnung nicht erforderliche Daten sind unverzüglich zu löschen. Wenn es vonseiten der Endnutzer Einwende gegen die Höhe der gestellten Rechnung hat, dürfen die Daten gespeichert werden, bis die Einwendungen abschließend geklärt sind.
Unabhängig von der Gesetzeslage ist aufgrund der Übermittlung von E-Mails über Zwischenstationen der Einsatz von kryptografischen Schlüsseln (PGP, GPG o. ä.) sehr empfehlenswert. Jede Zwischenstation ist ein zusätzlicher, potenzieller Angriffspunkt.