法律 电子邮件存档 要求德国公司以防篡改的方式存储和查看商业电子邮件。它以《德国商法典》、《德国财政法典》和 GoBD 为基础,确保工作合法合规、数字可追溯性和税务文件义务。
中心点
- 保存期限6 至 10 年,视电子邮件类型而定
- 符合 GoBD 标准软件解决方案的强制性要求
- 数据完整性需要加密和访问控制
- 自动化存档和删除必须基于规则
- 培训课程员工必须了解符合归档标准的流程
企业往往低估了完全合规的电子邮件存档所需的工作量。即使是微小的疏忽也会导致归档工作出现漏洞,例如,如果手动删除了带有税务参考的电子邮件,或者自动系统配置不当。通过仔细审查现有流程并引入清晰的文件化指导原则,可以避免此类失误。
还应注意的是,法律要求会不断更新。其中一个例子就是数据保护法规的变化,如 GDPR 或特定国家的修正案。因此,最好持续监控法律和技术更新。只有这样,才能确保存档系统不仅符合当前的法律标准,而且在未来也能继续符合这些标准。
电子邮件存档的法律依据
在德国,企业必须依法安全地归档商务电子邮件,这意味着电子邮件必须始终可追溯、不可更改且完整无缺。相关的法律依据是《德国财政法典》(AO)第 147 条、《德国商法典》(HGB)第 257 条和《德国商业法》(GoBD)。这些法规规定了与业务相关的电子邮件必须以数字形式保留的时间。与税务相关的电子邮件,如发票,必须 10 年 存储。对于纯粹的商务或商业信件,适用以下规定 6 岁 截止日期
一些自由职业者和小型企业不受此义务约束--特定行业的特殊规定除外。商业信函的定义还经常包括有关报价、合同安排或商业协议的电子邮件。任何不正确归档这些邮件的人都会面临严重罚款和税务投诉的风险。
为了提高法律的确定性,最好在与 IT 服务提供商和托管服务提供商签订的合同中加入有关保留电子邮件数据的条款。这将使双方明确各自的义务,并降低在数据保留方面出现差异时发生争议的风险。同样重要的是,公司能够随时证明存档中的电子邮件没有任何变化,其内容随后也没有被篡改。
审计证明存档要求
防审计存档意味着电子邮件不得在日后被更改或删除而不被察觉。此外,所有记录都必须完整、可验证地存储。传统的电子邮件收件箱或本地文件夹存储方式无法满足这一要求。公司需要符合这些标准的归档软件,并提供清晰的 通道结构 提供。
符合 GoBD 标准的系统具有日志功能,可记录所有更改,并提供单个信息的版本管理。这从法律角度保证了可追溯性。使用 Microsoft 365 或类似平台的任何人都可以通过专门的附加组件或应用程序接口创建符合法律规定的存档连接。
必须特别注意所谓的 日志 存储:根据电子邮件基础设施的不同,每封收发邮件的副本都会自动转移到指定的存档中。这样就不会出现意外或故意删除重要信件的情况。日志的具体实施方式在很大程度上取决于所使用的电子邮件系统,因此建议与 IT 经理或归档解决方案提供商密切联系。
技术实现和软件集成
许多存档系统允许直接集成到 Microsoft Outlook、Exchange、Gmail 或 Zimbra 等常用群件系统中。这样,接收和发出的电子邮件都能自动捕获并移至存档。归档是基于规则的,通常基于发件人、主题、时间戳或附件。利用相应的附加解决方案,可通过以下方式进行归档 Plesk 电子邮件地址 安全--无论是事先还是事后。
所选软件必须符合《德国民法典》第 146 条第 1 款的规定。这意味着电子邮件必须以及时、可由机器分析和结构化的方式存储。软件还应支持保留期过后的自动删除--这有助于节省存储空间和系统性能。有些归档解决方案还支持 .eml 或 .msg 等特殊格式,为第三方系统提供应用程序接口(API),或将其存储在具有合规审计功能的云存储中。
另一个技术方面是访问存档电子邮件的速度。一个高性能的解决方案可以很快收回成本,尤其是在每天接收数千封电子邮件的大型公司。在决定采用内部部署还是云计算变体时,还应考虑安全问题和网络带宽。原则上,专用存档设备可提供更多内部控制,而基于云的解决方案则可提供扩展和维护优势。
管理员应不断检查访问日志,因为在审计时,正是这些日志可以提供有关谁在何时访问过存档电子邮件以及是否进行过更改的信息。对系统进行监控--类似于 IDS/IPS(入侵检测/预防系统)--也有助于及早发现未经授权的操作,并及时采取应对措施。
保存期限和档案结构
法律规定的期限是基于电子邮件的内容,而不是其格式。从税务角度看,这种区别很重要,因为带有附件或增值税责任信息的 PDF 发票也必须存档。下表概述了典型的归档要求:
| 典型内容 | 种类 | 保存期限(年) |
|---|---|---|
| 发票/报价 | 与税务相关 | 10 |
| 合同信函 | 商业信函 | 6 |
| 最终报告/年度财务报表 | 资产负债表文件 | 10 |
| 项目协议 | 商务信函 | 6 |
| 个人资料 | 与 GDPR 相关 | 取决于语境 |
存档结构应以业务流程为导向,例如,根据各自的内容划分文件夹或类别。这是因为,清晰的结构更容易快速找到相关电子邮件,无论是内部搜索还是作为审计的一部分。此外,敏感内容(如个人数据)可以存储在特别安全的区域,从而满足 GDPR 和内部合规性的要求。
安全:加密和访问保护数据
数据安全 是合法存档的重要组成部分。每封存储的电子邮件都必须安全可靠,未经授权不得访问。因此,现代系统会在传输和静止时对所有存储内容进行加密。此外,还通过多级授权分配(例如通过 LDAP 或 Active Directory)对访问进行管理。这意味着每次访问都可以在审计时进行跟踪。
可靠的 电子邮件加密 是对安全概念的补充。此外,建议使用恶意软件扫描进行自动系统检查,以便在早期阶段剔除受损或有害的内容。加密备份和定期测试恢复可确保存档信息的长期完整性。
IT 部门经常采取的另一个步骤是实施标准化的安全准则,这些准则同时适用于生产性电子邮件系统和存档。这可确保在这两种环境中一致实施反恶意软件程序、垃圾邮件过滤器和对可执行附件的限制。这样,公司就能最大限度地降低受感染或恶意文件进入存档的风险。
指导原则和培训可提高清晰度
公司应明确 存档指南 记录内部流程和责任。处理电子邮件的工作指南、确定的存储位置、保留期限和特殊情况(如个人数据)的程序,可防止信息丢失并最大限度地减少解释空间。
培训课程有助于员工了解处理业务相关电子邮件的正确方法。员工应知道如何识别需要存档的内容,以及何时需要人工干预。一个实际例子:自动归档所有来自"@kunde.de "或"@steuerberater.de "域名的电子邮件。这样就能系统地确保重要业务交易的安全。
除了这些培训课程外,确定归档问题的内部联络点也很有用,例如 "归档官员 "或 IT 部门。这样,员工在需要时就能获得快速帮助和宝贵的专业知识。如果能在新员工入职的头几周向他们介绍电子邮件归档的概况及其重要性,他们将受益匪浅。
自动化和合规控制
先进的自动化使公司更容易遵守内部和外部规则。归档工具可以自动应用删除期限,根据特定规则对电子邮件进行分组,并生成有关存储状态和违反规则情况的报告。合规性不再是一次性项目,而是 IT 基础设施的日常组成部分。
经验丰富的管理者会定期进行内部审计或在外部审计人员的帮助下进行审计。这可确保不存在法律上的关键漏洞。此外,许多系统还提供 REST API 或网络钩子,将存档与第三方系统(如 ERP 或 DMS)连接起来。这减少了人工错误源,支持高效工作。
一个经常被低估的因素是 监测 的存储资源。自动电子邮件归档会迅速增加数据量,尤其是大型附件。定期进行容量规划并尽早扩展存储容量可防止出现瓶颈。这不仅会对系统性能产生影响,还能防止旧邮件被意外删除或转移到其他位置。
给初学者和管理员的实用提示
当遇到法律纠纷或税务审计时,一个正常运行的归档系统会起到决定性作用。在开始每个新的电子邮件归档项目时,我都会进行一次清单检查:已经存储了哪些内容,如何存储?是否存在影子邮箱?迄今为止,电子邮件是否已被手动删除?只有这样,我才会选择合适的系统。
我还建议创建一份公司典型电子邮件类型的列表,并为它们指定特定的归档类别。例如发票 → 10 年,内部会议记录 → 无归档义务。这样可以减少不确定性,提高规划的透明度。一定要考虑扫描的纸质文件或第三方来源的附件,并以合规的方式进行数字化。
经验法则有助于实施:例如,您可以指定所有带有特定客户或项目编号的电子邮件默认发送到一个特殊的子存档。这不仅提供了安全性,还大大提高了业务交易的可追溯性。如果还使用明确的命名规则(如 "2023_ProjectXY_Invoice.pdf"),就更容易快速找到它们。
扩展实用指南:常见错误来源和解决方案
特别是在引入防审计电子邮件归档的初始阶段,会遇到一些典型的绊脚石。例如,一个常见的错误是认为只需捕获所有电子邮件就足够了。但是,如果不明确规定删除期限和分类规则,很快就会出现堆积如山的数据,让人无从下手。可以通过以下方法解决这个问题 角色和权利模式决定谁有权查看或编辑哪些类别。
第二个常见错误是使用多个不同步的归档系统。如果某些项目电子邮件被手动保存在本地文件夹中,而其他电子邮件则最终保存在云归档中,这就会造成空白或重叠,在出现疑问时无法再进行追踪。以下情况在此适用: 单点真理 - 应该有一个明确负责并被确定为权威来源的中央系统。
我还建议不要让员工未经事先协商就删除邮箱中的大量数据。即使这些信息看起来并不重要,但如果不小心删除,日后出现保修问题或纠纷时,可能就会丢失这些信息。因此,归档应自动生效且不留漏洞,这样就不可能再进行手动过滤。
管理员还可以定期进行还原测试:这包括检查存档电子邮件是否能按预期还原,以及数据完整性和时间戳是否得到正确保存。这种练习不仅能提高对存档的信任,还能发现在持续运行过程中可能被忽视的技术或组织缺陷。
通过定期检查确保可持续性
归档工作必须长期有效,而不是一开始就这样做,而是每天都这样做。因此,我计划定期检查系统、检查条目的一致性、运行样本搜索和评估功能日志。如果每年都记录存档工作的时间和方式,就能在紧急情况下节省大量调查时间。
每年,我还会更新所使用的软件,检查是否有新功能或法律变化。更新不应被低估--由于新的行政指令或特定行业的建议,要求经常会发生变化。您还可以在我们的以下指南中了解更多相关信息 法律要求和最佳做法.
电子邮件归档解决方案的可持续性最终取决于它能否适应不断增长和变化的业务需求。扩大或改变业务领域的公司可能需要定义新的类别和存档类别。与其他系统(如企业资源规划、客户关系管理)的集成也会增长,应在早期阶段纳入规划。由于电子邮件存档通常与其他数据备份策略结合使用,因此建议创建一个整体概念,为未来发展提供足够的缓冲。
长期存档还需要了解数据保护法规,这些法规会随着时间的推移而发生变化。其中一个例子是前员工数据的保留,尤其是与 GDPR 相关的信息。在这种情况下,公司必须权衡哪些数据必须继续保存,哪些可以或应该删除。
元数据的重要性也被低估了:许多归档系统允许存储附加信息,如关键字或客户 ID。如果能始终如一地维护这些字段,归档文件就能成为一个强大的知识库,在其中可以更容易地找到历史项目流程或客户沟通信息。这不仅保证了法律的确定性,还为日常业务提供了真正的附加值。
最后的考虑
从长远来看,及时全面地处理电子邮件归档工作的企业将节省成本并降低风险。在紧急情况下,不完整或无序的归档可能会造成巨大损失--无论是罚款、法律诉讼损失,还是因无法追踪通信而导致的客户关系受损。有了明确的指导方针、精心选择的软件解决方案和定期检查,企业就能为电子邮件数据的专业处理奠定稳定的基础。
