Die E‑Mail‑Archivierung in Microsoft 365 wirkt auf den ersten Blick einfach. Man erstellt „eine Aufbewahrungsrichtlinie“ – und fertig. Richtig? Leider nein. Wer sich ernsthaft mit GoBD‑konformer Archivierung oder gesetzeskonformen Aufbewahrungen im Microsoft‑365‑Kosmos beschäftigt, trifft früher oder später auf eine typische Erfahrung: Es gibt nicht eine, sondern gleich mehrere Richtlinien‑Systeme, die von der Begrifflichkeit etwas mit „Aufbewahrung“, „Retention“ oder „Archiv“ zu tun haben.
Das Problem: Sie liegen in unterschiedlichen technischen Backends, benötigen unterschiedliche Lizenzen, und erfordern unterschiedliche PowerShell‑Module sowie spezielle Rollen, die selbst ein „Global Admin“ nicht automatisch besitzt.
In diesem Artikel erkläre ich die Unterschiede, demonstriere eine vollständig GUI‑basierte Lösung stelle ein funktionierendes PowerShell‑Skript zur Einrichtung zur Verfügung. Doch zunächst klären wir die relevanten juristischen Fragen und werfen einen Blick auf die Client-Seite, also den Status Quo einer rein MRM-basierten Aufbewahrung mit Exchange Online und was ist überhaupt der Unterschied zwischen Langzeitaufbewahrung und Archiv?
Detail zur GoBD‑konformer Archivierung
Vorab Folgendes: Mit Exchange Online und Microsoft Purview lassen sich zentrale Anforderungen aus …
- § 257 HGB – Handels- und Geschäftsbriefe müssen archiviert werden
- § 147 AO – steuerrelevante E‑Mails (z. B. Rechnungen) müssen 10 Jahre aufbewahrt werden.
- GoBD – fordert revisionssichere Archivierung (Unveränderbarkeit, Nachvollziehbarkeit, Vollständigkeit).
- DSGVO – verlangt Löschkonzepte, die aber mit Aufbewahrungspflichten abgestimmt werden müssen.
erfüllen, insbesondere die geforderten Aspekte:
- Unveränderbarkeit
- Nachvollziehbarkeit
- Vollständigkeit
- Ordnung & Wiederauffindbarkeit
- Schutz vor Löschung
Hier ist insbesondere der Punkt § 147 AO hervorzuheben, denn in puncto Archivierungspflicht für Unternehmen herrscht nicht selten ein Missverständnis vor: GoBD (und die zugrunde liegenden §§ 257 HGB + 147 AO) fordert die revisionssichere Aufbewahrung von „geschäftsrelevanten E-Mails“, also
- Handels- und Geschäftsbriefe (Angebote, Aufträge, Bestätigungen, Verträge, Stornierungen etc.)
- Buchungsbelege oder E-Mails, die Buchungsvorgänge auslösen oder nachweisen
- Alle Unterlagen, die für die Besteuerung von Bedeutung sind (Rechnungen, Lieferscheine, Preisverhandlungen usw.)
Nicht archivierungspflichtig sind in der Regel:
- Private E-Mails
- Spam / Werbung / Newsletter
- Rein interne Absprachen ohne steuerliche oder handelsrechtliche Relevanz
- E-Mails, die nur als „Umschlag“ für einen Anhang dienen (wenn der Anhang selbst archiviert wird)
Das hat Auswirkungen auf die Umsetzung der von mir vorgeschlagenen Lösung. Die Basis-Version meiner Lösung geht nämlich davon aus, dass Nutzer relevante Mails mit Hilfe der von Purview veröffentlichten Aufbewahrungsbezeichnungen manuell markieren. Das ist in Prinzip auch die sicherste und stabilste Lösung. Gleichwohl könnten Sie die hier vorgestellte Lösung mit Hilfe einer Auto-Labeling-Richtlinie („Bezeichnung automatisch anwenden“) dahingehend erweitern, das relevante Mails anhand von inhaltlichen Merkmalen oder SIT automisch gekennzeichnet würden.
Das Gespann Microsoft Purview (mit Exchange Online als Lösung erfüllt also alle von GoBD geforderten Anforderungen, denn EXO/Purview bietet:
- Exchange Online Archiv (In-Place Archive)
Unbegrenzbarer Speicher, automatische Archivierung möglich - Aufbewahrungsrichtlinien (Retention Policies)
Verhindern Löschung und erlauben automatische Aufbewahrung X Jahre. - Aufbewahrungsbezeichnungen (Retention Labels)
Individuelle Klassifizierung & Aufbewahrung. - Litigation Hold / Beweissicherungsverfahren
Schützt Inhalte vor Veränderung/Löschung.
Auf der anderen Seite muss erwähnt werden. Ohne Archivierungsrichtlinie in Exchange Online (MRM) geht es allerdings auch nicht, weil dies die einzige Möglichkeit darstellt, E-Mails automatisch ins Archiv zu verschieben. Purview (allein) kann das bis heute nicht.
Was viele Nutzer grundlegende verwirrt: In Microsoft 365 (Exchange Online/Purview) gibt es 2 oder sogar 3 „Arten von Aufbewahrungsrichtlinien“, je nach „Zählweise“.
1️⃣ Klassische Exchange‑MRM Richtlinien (Messaging Records Management)
Ort: Exchange Admin Center
Name im Postfach: Default MRM Policy oder kundenspezifische Varianten
Eigenschaften:
- steinalte Exchange‑Technologie
- regelt Ordner und Aufbewahrung innerhalb des Exchange‑Postfachs
- wird von Purview nicht verwaltet
- bietet keine Unveränderbarkeit
- kein Ersatz für GoBD, AO oder HGB
Problem:
Viele Postfächer hängen standardmäßig an dieser Policy – auch wenn Admins meinen, Purview‑Retention zu nutzen.
2️⃣ Purview‑Aufbewahrungsrichtlinien (Lifecycle Policies)
- Bestandteil von Microsoft 365 E3
- definieren:
- wie lange Inhalte aufbewahrt werden
- wann Inhalte gelöscht werden
- wirken auf Mailbox, SharePoint, OneDrive
- können NICHT unveränderbar gemacht werden
- können per GUI und per normalem PowerShell‑Modul verwaltet werden
- sind jedoch „allein“ nicht GoBD‑konform, da administrativ jederzeit änderbar
Typische Fehlannahme:
Viele glauben, diese Richtlinien seien die „Compliance-Aufbewahrung“. Das stimmt so nicht. Sie brauchen zusätzlich:
3️⃣ Purview Compliance Retention Policies (Records Management)
Ort: Purview → Records Management / Datensatzverwaltung
Dies ist das einzige System in Microsoft 365, das ..
- echte Unveränderbarkeit (Retention Lock) unterstützt
- Regeln (Compliance Rules) besitzt
- zusammen mit 2) gesetzeskonforme Aufbewahrung (GoBD, AO, HGB) ermöglicht
- als „Regulatory Records“ gesetzt werden kann mit dem EXO-Cmdlet:
Set-RetentionCompliancePolicy -RestrictiveRetention $truegesteuert wird
Hier sind allerdings die Lizenz-Anforderungen höher. Sie benötigen dafür:
- Microsoft 365 E5 oder
- Microsoft 365 E5 Compliance Add‑on oder
- EMS E5 (teilweise)
Neben den Lizenz- müssen Sie zur erfolgreichen Umsetzung auch auf Rollen-Anforderungen beachten. Selbst ein „Global Admin“ sieht diesen Menüpunkt NICHT, bis eine der folgenden Rollen zugewiesen wurde:
- Records Management
- Compliance Administrator
- Information Protection Administrator
- Security Administrator
Dadurch passieren regelmäßig Fehler:
|
System |
Name |
GUI Ort |
PowerShell |
Lizenz |
|
Exchange MRM |
Default MRM Policy |
EAC |
EXO V3 |
E1/E3/E5 |
|
Lifecycle Policy |
Aufbewahrungsrichtlinie |
Purview → Datenlebenszyklus |
ExchangeOnline/Purview Basic |
E3 |
|
Compliance Policy |
Compliance Aufbewahrungsrichtlinie |
Purview → Datensatzverwaltung |
Compliance PowerShell (IPPSSession) |
E5/E5 Add-on |
Und beachten Sie dabei: Der Postfach‑Benutzer benötigt die E5‑Compliance‑Lizenz, nicht der Admin. Der Admin benötigt separate Purview‑Rollen, sonst tauchen die Menüs NICHT auf. Die Entra-Rolle „Global Admin“ deckt Purview‑Rollen NICHT automatisch ab. Das ist Absicht, nicht ein Bug, weil das Purview-Rollenmodell historisch gewachsen ist und teilweise älter, als das von Entra.
Die Client-Sicht
Bevor wir uns allerdings intensiv mit Backend-Themen auseinandersetzen, treten wie noch einen Schritt weiter zurück und schauen auf die „Ausgangslage“ am Client (Outlook).
Fragen aus meinen Kursen lassen vermuten, dass auch hinsichtlich der Aufbewahrungs-Grundlagen im Exchange/EXO-Kontext nicht jedem klar ist, wie die Dinge zusammenhängen, bzw. was man eigentlich unter einem Archiv versteht. Grundsätzlich existieren nämlich aus Sicht des Nutzers/Clients drei Arten von Archiven:
- Outlook‑Archiv
- Exchange Online Archiv (In-Place Archive)
- Microsoft Purview Aufbewahrungsrichtlinien
Beim einfachen Outlook-Archiv handelt es sich lediglich um eine Ordnerstruktur im Benutzerpostfach, die …
- vom Benutzer manuell befüllt wird
- im Postfach gespeichert wird
- komplett löschbar ist
- nicht revisionssicher ist
- nicht rechtssicher ist
- dem Anwender nur „Ordnung“ gibt
Das ist im engeren Sinne kein echtes Archiv, erfüllt daher auch keine gesetzlichen Anforderungen, schützt NICHT vor Datenverlust und ist definitiv nicht unveränderbar.
Beim Archiv in Exchange Online handelt es sich um ein zweites, serverseitiges Mailbox‑basiertes Archiv, das Microsoft ausdrücklich als Compliance-Funktion beschreibt und über folgende Eigenschaften verfügt:
- liegt in der Cloud, nicht lokal
- Benutzer können nichts endgültig löschen (je nach Richtlinie)
- Administratoren können automatische Archivierung konfigurieren (MRM)
- Speicher kann „unendlich“ wachsen (Auto-Expand)
- eignet sich als technischer Speicher für Compliance
- kann als Ziel für Aufbewahrungsrichtlinien dienen
- ist aber wie oben erwähnt, allein noch NICHT GoBD-konform,
weil …
- keine Unveränderbarkeit garantiert
- keine Aufbewahrungsfristen erzwungen
- keine Richtlinienbindung
Das Exchange-Archiv ist also Basis, aber nicht die rechtliche Lösung. In Outlook zeigen sich MRM-Policies wie folgt:
Microsoft Purview Aufbewahrungsrichtlinien (Retention Policies) hingegen bilden den rechtliche Teil der Archivierung ab. Purview übernimmt die Aufgaben, die Gesetze wie HGB/AO/GoBD verlangen, denn derartige E-Mail-Archive müssen :
- unveränderbar sein
- vollständig sein
- nachvollziehbar sein
- revisionsfähig sein
In Purview kommen also für das GoBD-Szenario zwei Regel-Ebenen zum Einsatz, Datenlebenszyklus-Regeln und Retention-Policies in der Datensatzverwaltung. Erst beide zusammen …
- verhindern vor Ablauf jede Löschung
- erzwingen Unveränderbarkeit (Retention Lock)
- steuern, wie lange welche E-Mails aufbewahrt werden
- löschen automatisch nach Ende der Frist
- ermöglichen rechtssichere Dokumentation
- gelten tenantweit oder nutzerspezifisch
Damit erfüllt Purview sämtliche Anforderungen, die durch ,,,
- HGB
- AO (10 Jahre)
- GoBD
- DSGVO (Löschkonzept)
verlangt werden.
Archivierung versus Aufbewahrung
Bevor wir nur mit dem Guide loslegen, beantworte ich noch eine weitere Frage, die bei Einsteigern häufig in Raum steht. Was ist eigentlich im Kontext von Exchange und Exchange Online der Unterschied zwischen Aufbewahrung und Archivierung?
Archivierung (In-Place Archive / MRM-Archivierung)
- Was passiert technisch? E-Mails werden physisch verschoben aus dem Primärpostfach (Primary Mailbox) in ein separates Archiv-Postfach (Archive Mailbox) desselben Benutzers.
- Wo landen die Mails? Nicht mehr im normalen Postfach, sondern in einem eigenen „Online-Archiv“-Bereich. Dort gibt es die gleichen Ordnerstruktur (Inbox → Archiv-Inbox usw.).
- Zweck: Primär Speicherplatz sparen im teuren Primärpostfach (das hat meist ein Limit von 50–100 GB). Das Archiv hat Auto-Expanding bis 1,5 TB oder mehr.
- Steuerung: Nur möglich über die alten Exchange MRM-Richtlinien (Retention Tags mit Aktion „Move to Archive“). Purview-Retention-Labels können das nicht, wie oben bereits erwähnt, d. h. es ist keine „Move to Archive“-Aktion verfügbar.
- Sichtbar in Outlook: Linker Navigationsbaum hat einen separaten Eintrag „Online-Archiv – Vorname Nachname“.
Aufbewahrung (Retention)
- Was passiert technisch? Die E-Mails bleiben am gleichen Ort (im Primärpostfach oder im Archiv-Postfach). Es wird „nur“ eine Metadaten-Markierung (Retention Label / Policy) gesetzt, die steuert:
- Wie lange die Mail nicht gelöscht werden darf.
- Ob sie nach Ablauf der Frist gelöscht wird (oder eine Dispositionsprüfung startet).
- Bei Regulatory Record: Ob sie unveränderlich wird.
- Zweck: Compliance, GoBD, gesetzliche Aufbewahrungspflicht, Löschfristen, Unveränderlichkeit.
- Steuerung: Über Microsoft Purview (Retention Policies + Retention Labels) – das ist die moderne Variante. Die alten MRM-Delete-Tags sind quasi die Legacy-Version davon.
Das Archiv ist also „auch“ nur ein „Ordner“ – aber technisch ein separates Postfach (mit eigener Quota und eigener Verarbeitung). Merken Sie sich:
Aufbewahrung bewegt nichts, sie setzt nur Regeln, wie lange etwas bleiben muss und ob es geschützt ist.
Deshalb kombinieren wir in diesem Workshop beides sinnvoll:
- Archivierung (MRM) → alte, nicht mehr aktive Mails ins Archiv schieben.
- Aufbewahrung (Purview Regulatory Record) → sicherstellen, dass die relevanten Mails (egal ob im Primär- oder Archiv-Postfach) die gesetzliche Frist unveränderlich überleben.
|
Aspekt |
Archivierung (In-Place Archive) |
Aufbewahrung (Retention) |
|
Wo bleibt die E-Mail? |
Wird verschoben ins separate Archiv-Postfach |
Bleibt am ursprünglichen Ort |
|
Hauptziel |
Speicherplatz sparen im Primärpostfach |
Aufbewahrungsfrist einhalten + Unveränderlichkeit |
|
Technik |
Exchange MRM (alte Technologie) |
Purview Retention (moderne Technologie) |
|
Kann Purview ersetzen? |
Nein – Purview kann nicht verschieben |
Ja – Purview ist deutlich stärker |
|
GoBD-Relevanz |
Gering (nur Platz) |
Hoch (besonders als gesetzlicher Datensatz) |
|
In Outlook sichtbar als |
„Archivierungsrichtlinie“ |
„Aufbewahrungsrichtlinie“ + deine Labels |
Nun der versprochene Schritt-für-Schritt-Workshop.
Der komplette GUI‑Weg (sofern möglich)
Dieser Weg funktioniert erst, wenn folgende Kriterien erfüllt sind:
- E5 Compliance Add‑on oder M365 E5 ist dem Postfach zugewiesen
- Admin hat die passende Prview-Rolle („Compliance Admin“ oder „Records Manager“)
- Purview ist synchronisiert (kann 15–180 Minuten dauern)
Gehen Sie nun wie folgt vor:
Schritt 1: Baseline-Aufbewahrungsrichtlinie (Sicherheitsnetz)
Öffnen Sie das Microsoft Purview-Portal.
Navigieren Sie zu „Datenlebenszyklusverwaltung → Richtlinien → Aufbewahrungsrichtlinien“.
Klicken Sie auf „Neue Aufbewahrungsrichtlinie“.
Geben Sie als Namen ein: „GoBD-Baseline – [Benutzername]“.
Wählen Sie unter „Speicherorte“ nur Exchange-Postfächer aus.
Klicken Sie auf „Bestimmte Postfächer“ und wählen Sie den betreffenden Benutzer aus.
Legen Sie die Aufbewahrungsdauer fest (z. B. 10 Jahre ab Erstellung).
Wählen Sie am Ende der Frist „Inhalte dauerhaft löschen“ (oder „Nichts tun“).
Schließen Sie den Assistenten ab und aktivieren Sie die Richtlinie.
Schritt 2: GoBD-Bezeichnung als gesetzlicher Datensatz
Navigieren Sie zu „Datensatzverwaltung → Ablageplan“.
Klicken Sie auf „Bezeichnung erstellen“ (oder „+ Bezeichnung erstellen“ oben).
Geben Sie als Namen ein: „GoBD – Gesetzlicher Datensatz 10 Jahre“.
Geben Sie eine Beschreibung ein: „Unveränderlicher gesetzlicher Datensatz gemäß GoBD“.
Unter „Aufbewahrungseinstellungen“ wählen Sie „Inhalte für einen bestimmten Zeitraum aufbewahren“ und legen die Dauer auf 10 Jahre (oder Ihre gewünschte Frist) fest.
Am Ende der Aufbewahrungsfrist wählen Sie „Inhalte dauerhaft löschen“ (optional mit Dispositionsprüfung).
Wichtig: Aktivieren Sie „Elemente als Datensatz markieren“ und wählen Sie „Als gesetzlichen Datensatz markieren (Regulatory Record).
Schließen Sie den Assistenten ab.
Hinweis: Der in deutscher Lokalisierung neuere „Ablageplan“ bietet erweiterte Funktionen (z. B. Dateiplan-Deskriptoren, Import/Export), ist aber vollständig äquivalent zum früheren „Bezeichnungen“-Bereich.
Schritt 3: Bezeichnungsrichtlinie erstellen (Veröffentlichung)
Navigieren Sie zu „Datenlebenszyklusverwaltung → Richtlinien → Bezeichnungsrichtlinien“.
Klicken Sie auf „Bezeichnungsrichtlinie erstellen“.
Geben Sie als Namen ein: „GoBD – Label-Policy für [Benutzername]“.
Wählen Sie die eben erstellte GoBD-Bezeichnung aus.
Unter Speicherorte wählen Sie nur „Exchange-Postfächer“ und dann „Bestimmte Postfächer“ → wählen Sie den Benutzer aus.
Schließen Sie den Assistenten ab und aktivieren Sie die Richtlinie.
(Optional: Sie können in diesem Schritt auch ein Standard-Label für das Postfach festlegen.)
Schritt 4: (nicht zwingend aber von Microsoft empfohlen) Bezeichnung automatisch anwenden
Navigieren Sie zu „Datensatzverwaltung → Richtlinien → Bezeichnung automatisch anwenden“.
Klicken Sie auf „+ Bezeichnung automatisch anwenden“.
Geben Sie als Namen ein: „GoBD-AutoApply – [Benutzername]“.
Wählen Sie Ihre GoBD-Bezeichnung aus.
Definieren Sie Bedingungen (z. B. Stichwörter wie Rechnung, Angebot, Vertrag, Buchhaltung).
Unter „Speicherorte“ wählen Sie nur das Postfach des Benutzers aus.
Schließen Sie den Assistenten ab und aktivieren Sie die Richtlinie.
Schritt 5: Verteilung beschleunigen
Führen Sie in PowerShell folgenden Befehl aus:
Start-ManagedFolderAssistant -Identity „benutzer@ihredomain.de“
Danach kann es trotzdem noch 24–72 Stunden (in Ausnahmefällen bis 7 Tage) dauern, bis die Bezeichnung in Outlook unter „Richtlinie zuweisen“ erscheint.
Meine Meinung zum automatischen Anwenden von Richtlinien Für strenge GoBD-Nachweisbarkeit ist es oft besser, wenn der Benutzer (bewusst) das Label selbst setzt – das schafft einen klareren Audit-Nachweis. Die oben erwähnten Auto-Apply-Richtlinien sind komplexer und fehleranfälliger (falsche Treffer etc.). Viele Auditoren/Gutachter akzeptieren zwar „Auto-Apply“, aber die manuelle + Default-Variante ist „sauberer“. Trotzdem ist Auto-Apply als Ergänzung sehr sinnvoll, damit nicht jede einzelne Buchhaltungs-E-Mail manuell markiert werden muss.
Was Sie danach in Outlook sehen werden. Nach 1–7 Tagen erscheint unter „Richtlinie zuweisen“ Ihre neue Bezeichnung „GoBD – Gesetzlicher Datensatz 10 Jahre“. Sobald Sie eine Bezeichnungsrichtlinie (Label-Policy) aus Microsoft Purview auf ein Postfach anwenden, blendet Outlook allerdings die klassischen MRM-Einträge (Archivierungsrichtlinie und Aufbewahrungsrichtlinie) in der Liste „Richtlinie zuweisen“ aus. Die alten MRM-Tags verschwinden also für den Benutzer – auch wenn die zugrunde liegende Default-MRM-Policy im Hintergrund weiterhin existiert und für die Archivierung (Verschieben ins Online-Archiv) zuständig bleibt. An ihrer Stelle erscheinen die neuen Purview-Aufbewahrungsbezeichnungen.
Dieses Verhalten ist von Microsoft so vorgesehen und tritt ein, sobald mindestens eine Purview-Bezeichnungsrichtlinie aktiv auf das Postfach wirkt. Sobald das Label als gesetzlicher Datensatz angewendet ist, kann es weder vom Benutzer noch vom Admin entfernt werden.
Die Powershell-Variante
Das fertige Skript finden Sie auf GitHub.
Wichtige Hinweise vorab. Führen Sie das Skript mit einem Administrator aus, der die Rolle „Records Management“ oder „Compliance Administrator“ besitzt. Das Skript ist idempotent (es prüft, ob Objekte bereits existieren). Die Bezeichnung wird als gesetzlicher Datensatz (Regulatory Record) erstellt und ist danach unveränderlich. Es wird keine automatische Standardbezeichnung (Default Label) gesetzt, damit nicht alle E-Mails automatisch gelabelt werden. Die Archivierung (Move to Archive) bleibt weiterhin über die klassische MRM-Policy gesteuert. So führen Sie das Skript aus:
.\GoBD-Setup-Gruppe.ps1 -GroupId „12345678-1234-1234-1234-1234567890ab“ -RetentionYears 10
Ersetzen Sie einfach die „GroupId“ durch die tatsächliche „Object ID“ Ihrer Entra-ID-Gruppe (Security-Gruppe oder Microsoft 365-Gruppe).