Rechtssichere E-Mail-Archivierung & Backups in Microsoft 365 – Verantwortung, Richtlinien, Tools

In der digitalen Geschäftswelt ist die sichere Aufbewahrung von E-Mails nicht nur Organisation, sondern eine Compliance-Pflicht. Wer Microsoft Exchange Microsoft Exchange ist mehr als einfach nur eine E-Mail-Lösung, denn es bietet eine vielfältige Palette an Tools, um den eigenen Arbeitsalltag besser zu strukturieren und zu organisieren. Außerdem erleichtert es mit seinen Teamfunktionen die Zusammenarbeit und Kommunikation im Team ungemein. On top kommt noch hinzu, dass es mit den anderen Cloud Services von Microsoft, wie Microsoft Teams, SharePoint, uvm. perfekt… mehr erfahren (Microsoft 365) nutzt, hat eine gute Basis – für vollständige Rechtssicherheit braucht es jedoch klare Aufbewahrungsrichtlinien, ein revisionssicheres Archiv und ein unabhängiges Backup. Dieser Beitrag erklärt, was zu tun ist, wer verantwortlich ist und wie Olbricht IT unterstützt.

Microsoft Exchange: Gute Grundlage, aber nicht das ganze Paket

Wichtige Bordmittel in Microsoft 365:

• Aufbewahrungsrichtlinien (Retention Policies) zur gesteuerten Löschung/Aufbewahrung
• Litigation Hold (Rechtshaltefunktion) für Unveränderbarkeit im Streitfall
• eDiscovery zur gezielten Suche und Nachweisführung

Diese Funktionen verhindern versehentliches Löschen und helfen, E-Mails im Ursprungszustand zu bewahren. Sie ersetzen jedoch keine unabhängige Datensicherung und sind nicht automatisch gleichzusetzen mit einer GoBD-konformen E-Mail-Archivierung.

Backup vs. Archivierung – der entscheidende Unterschied

Merkmal	Backup	Archivierung
Zweck	Schutz vor Datenverlust (z. B. Löschen, Ransomware Ransomware ist bösartige Software (Malware), die dazu dient, Ihnen den Zugriff auf Ihre eigenen Daten zu verwehren. Dies geschieht in der Regel durch Verschlüsselung oder andere Methoden zum Sperren von Dateien. Die Daten werden also quasi gegen ein Lösegeld (engl. „ransom“) als Geiseln genommen – daher der Name. Quelle mehr erfahren, Ausfall)	Langfristige, manipulationssichere Aufbewahrung aus rechtlichen/organisatorischen Gründen
Speicherdauer	Kurz- bis mittelfristig (je nach Sicherungsplan)	Langfristig (gesetzliche Aufbewahrungsfristen, z. B. 6/10 Jahre je nach Dokumenttyp)
Struktur	Gesamte Systeme/Datenstände werden gesichert	Strukturierte, durchsuchbare Ablage mit Nachvollziehbarkeit
Wiederherstellung	Schnelles Wiederherstellen auf einen früheren Zustand	Gezieltes Auffinden/Nachweisen einzelner E-Mails inkl. Historie
Beispiel	Restore eines Postfachs nach versehentlichem Löschen	Nachweis einer E-Mail aus einem früheren Jahr bei einer Prüfung

Kurz: Backup = technisches Sicherheitsnetz. Archivierung = rechtssichere Langzeitaufbewahrung. Beides wird benötigt.

Keepit als unabhängige Backup-Lösung für Microsoft 365

Keepit ist eine spezialisierte Cloud-Backup-Lösung für Microsoft 365 (Exchange Microsoft Exchange ist mehr als einfach nur eine E-Mail-Lösung, denn es bietet eine vielfältige Palette an Tools, um den eigenen Arbeitsalltag besser zu strukturieren und zu organisieren. Außerdem erleichtert es mit seinen Teamfunktionen die Zusammenarbeit und Kommunikation im Team ungemein. On top kommt noch hinzu, dass es mit den anderen Cloud Services von Microsoft, wie Microsoft Teams, SharePoint, uvm. perfekt… mehr erfahren, OneDrive Microsoft OneDrive ist ein Filehosting-Dienst von Microsoft. Aus unserer Sicht der beste Cloudspeicher auf dem Markt! Hier findest du hilfreiche Tipps und Hilfe zu Microsoft OneDrive: Hilfe und Tipps zu OneDrive Die offizielle Hilfeseite von Microsoft findest du dazu hier: https://support.microsoft.com/de-de/onedrive mehr erfahren, SharePoint SharePoint ist die Intranetlösung von Microsoft. SharePoint Online SharePoint online (SPO)  ist in der Regel in deinem Microsoft 365-Abonnements enthalten, kann aber auch direkt erworben werden. SharePoint Online hat den Vorteil, dass kein eigener Server betrieben werden muss, es fehlen jedoch die Anpassungsoptionen einer selbst gehosteten Installation von SharePoint.SharePoint-Online ist zwar auf Kernfunktionen im Bereich der Zusammenarbeit, des Dokumenten- und Content-Managements sowie… mehr erfahren, Teams Microsoft Teams ermöglicht zu jeder Zeit an jedem Ort praktisches Arbeiten im Team. Den Teammitgliedern werden verschiedenste Funktionen bereitgestellt, um die Arbeit möglichst einfach, aber effizient zu gestalten. Hier findet ihr eine Youtube-Playlist mit hilfreichen Schulungsvideos! Lerne Microsoft Teams mit uns: https://www.oit.rocks/slides/microsoft-teams-grundkurs-2   mehr erfahren). Sie ergänzt die Bordmittel um unabhängige Datensicherung:

• Unabhängige Speicherung außerhalb der Microsoft-Infrastruktur (reduziert Abhängigkeiten)
• Automatische Sicherungen mehrmals täglich und granulare Wiederherstellung
• Versionierung und unbegrenzte Aufbewahrung nach Bedarf
• Schnelles Restore einzelner E-Mails, ganzer Postfächer oder kompletter Konten
• EU-Speicherstandorte und Funktionen zur Unterstützung von DSGVO/GoBD-Anforderungen
• Manipulationsschutz und Nachvollziehbarkeit

Wer trägt die Verantwortung für die Archivierung?

Die rechtliche Verantwortung für eine ordnungsgemäße, rechtssichere E-Mail-Archivierung liegt immer beim Unternehmen. Externe Dienstleister (z. B. Olbricht IT) oder Anbieter (Microsoft, Keepit, Archivsysteme) können die technische Umsetzung übernehmen, die Compliance-Verantwortung verbleibt beim Auftraggeber.

Das Unternehmen muss insbesondere:

• geeignete Archivierungs- und Backup-Lösungen auswählen und beauftragen,
• Aufbewahrungsfristen definieren und einhalten,
• Zugriffs-, Lösch- und Prüfprozesse regeln,
• eine lückenlose Dokumentation (Richtlinien, Verfahren, Verantwortlichkeiten) führen,
• regelmäßige Kontrollen/Audits durchführen und nachweisen.

Ein IT-Dienstleister wie Olbricht IT unterstützt bei Konzeption, Implementierung, Schulung, Betrieb und Dokumentation – inklusive Nachweisen für interne/externe Audits.

Dokumentation im Qualitätsmanagement (QM-Handbuch)

Damit Prozesse prüfbar sind, gehört die E-Mail-Archivierung ins QM-Handbuch, z. B. mit:

• Ziel & Geltungsbereich: Welche Postfächer, Systeme und Daten sind erfasst?
• Rollen & Verantwortlichkeiten: Fachbereich, IT, Datenschutz, Revision
• Aufbewahrungsfristen: nach Dokumenttyp (z. B. kaufmännische, steuerrelevante, projektbezogene Kommunikation)
• Technische Umsetzung: Archivlösung, Speicherorte, Backup-Konzept, Integrität/Unveränderbarkeit
• Prozesse: Erfassung, Recherche, Export, Legal Hold, Löschung nach Frist
• Kontrollen: regelmäßige Tests, Protokolle, Verantwortliche, Eskalation
• Schulung & Awareness: Vorgaben für Mitarbeitende (z. B. E-Mails nicht privat löschen/umgehen)

Muster: Aufbewahrungsrichtlinie (Auszug)

1. Zweck: Sicherstellung einer gesetzeskonformen, manipulationssicheren E-Mail-Aufbewahrung.
2. Geltungsbereich: Alle geschäftlichen E-Mail-Postfächer der Organisation (inkl. Funktionspostfächer).
3. Klassifikation: Einteilung nach Relevanz (steuerrelevant, kaufmännisch, fachlich, projektbezogen).
4. Fristen: Aufbewahrung gemäß gesetzlichen Vorgaben und internen Anforderungen (z. B. 6/10 Jahre, projektspezifisch länger).
5. Technik: Einsatz einer revisionssicheren Archivlösung; Unveränderbarkeit & Protokollierung sind sicherzustellen.
6. Zugriff: Rollenbasiert; Auskünfte nur durch autorisierte Personen (z. B. ComplianceIT-Compliance beschreibt in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft. mehr erfahren/Legal/Revision).
7. Löschung: Nach Ablauf der Fristen nachweisbar und dokumentiert; Löschsperren (Legal Hold) bei Bedarf.
8. Backup: Unabhängige Datensicherung (z. B. Keepit) ergänzend zum Archiv; regelmäßige Restore-Tests.
9. Kontrollen: Jährliche Wirksamkeitsprüfung, Protokollierung, Maßnahmenplan bei Abweichungen.
10. Schulung: Pflichtunterweisungen für betroffene Mitarbeitende, Onboarding-Check.

Archivierungstools (Auswahl)

• Microsoft 365 Purview (Retention/Records Management) – Richtlinien & Legal Hold in der M365-Suite
• MailStore Server – verbreitete E-Mail-Archivierung für KMU
• Hornetsecurity Email Archiving – Cloud-Archivierung mit Journal-Erfassung
• Barracuda Message Archiver – Appliance/Cloud-Archiv für E-Mail-Compliance

Hinweis: Die endgültige Tool-Wahl hängt von Größe, Branche, Rechtsrahmen und IT-Landschaft ab.

Empfehlung von Olbricht IT

1. Workshop & Anforderungsanalyse: Fristen, Datenklassen, Prozesse, Nachweispflichten
2. Design & Toolauswahl: Archiv + unabhängiges Backup (z. B. Keepit)
3. Implementierung: Richtlinien, Journal-Erfassung, Rollen/Rechte, Monitoring
4. Dokumentation: QM-Handbuch-Kapitel, Prozessdiagramme, Prüflisten
5. Schulung & Audit-Vorbereitung: Awareness, Protokolle, jährliche Reviews

Fazit

Microsoft Exchange Microsoft Exchange ist mehr als einfach nur eine E-Mail-Lösung, denn es bietet eine vielfältige Palette an Tools, um den eigenen Arbeitsalltag besser zu strukturieren und zu organisieren. Außerdem erleichtert es mit seinen Teamfunktionen die Zusammenarbeit und Kommunikation im Team ungemein. On top kommt noch hinzu, dass es mit den anderen Cloud Services von Microsoft, wie Microsoft Teams, SharePoint, uvm. perfekt… mehr erfahren bietet eine solide Basis – Rechtssicherheit entsteht erst durch eine revisionssichere Archivierung plus ein unabhängiges Backup. Die Compliance-Verantwortung liegt beim Unternehmen; Olbricht IT sorgt für die reibungslose, prüfbare Umsetzung.

Bereit, das sauber aufzusetzen? Wir unterstützen von der Strategie bis zum Audit-Nachweis. Jetzt Beratung anfragen!

Keine Rechtsberatung: Dieser Beitrag ersetzt keine individuelle Rechtsberatung. Für verbindliche Aussagen konsultieren Sie bitte Ihre Rechts- oder Steuerberatung.

Dieser Beitrag ist auch verfügbar auf: English (Englisch)