E-Mail-Archivierung als Must-do der IT-Strategie

© Song_about_summer – stock.adobe.com

Wie die meisten Unternehmen in Deutschland, Österreich und der Schweiz sind auch Vertreter der Finanzbranche dazu verpflichtet, wichtige Dokumente über lange Zeit hinweg zugänglich aufzubewahren – einschließlich des elektronischen Schriftverkehrs. Was sie dabei zu beachten haben und welche Rolle professionelle E-Mail-Archivierungslösungen dabei spielen.

Ein Beitrag von Roland Latzel, Senior Director Marketing bei MailStore.

Roland Latzel, Senior Director Marketing, MailStore Software GmbH

In den vergangenen Jahren ist die Arbeit mit Daten immer komplexer geworden. Das liegt einerseits daran, dass das Volumen aus strukturierten und unstrukturierten Daten sowie sensiblen und personenbezogenen Inhalten, die IT-Mitarbeiter täglich managen müssen, kontinuierlich ansteigt.

Andererseits haben sich die IT-Infrastrukturen von Unternehmen – unter anderem bedingt durch das Aufkommen dezentraler, flexibler Arbeitsmodelle – deutlich verändert. Informationslandschaften sind stark fragmentiert und Daten verteilen sich mittlerweile auf verschiedene lokale sowie Multi- und Hybrid-Cloud-Systeme. Allein diese Faktoren haben die Wahrnehmung der Relevanz des Informations- und damit auch des E-Mail-Managements bereits gestärkt.

Erschwerend kommt hinzu, dass der Gesetzgeber vorschreibt, dass die meisten Unternehmen steuer- und handelsrechtlich relevante Daten – unabhängig ihres Speicherortes – lückenlos aufzubewahren hat. Dies schließt elektronische Dokumente mit ein und wird in Deutschland unter Berücksichtigung der GoBD geregelt (GoBD = Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff).

Datenverarbeitung und -speicherung unterliegen strengen gesetzlichen Vorgaben

Von diesen Vorgaben sind Unternehmen des Finanzwesens nicht ausgeschlossen. Da es sich hierbei zudem um eine stark regulierte Branche handelt, greifen noch weitere gesetzliche Auflagen. Diese Regularien haben in den vergangenen Jahren einige Verschärfungen erfahren.

2018 trat die zweite Fassung der EU-Direktive zum Wertpapierhandel „Markets in Financial Instruments Directive“ (MiFID II) europaweit in Kraft. Seitdem müssen EU-Mitgliedstaaten unter anderem dafür sorgen, dass im Finanzsektor tätige Unternehmen alle erbrachten Services und durchgeführten Geschäfte sauber und lückenlos dokumentieren. Die Aufzeichnungen sollen beispielsweise Aufsichtsbehörden oder der Rechtsabteilung dauerhaft zugänglich sein.

Unternehmen, die personenbezogene Daten erheben und verarbeiten, sind grundsätzlich dazu verpflichtet, die Grundsätze der EU-DSGVO einzuhalten – darunter Zweckbindung, Datenminimierung, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Die geschäftskritischen Dokumente und Korrespondenzen von Unternehmen im Finanzwesen enthalten solche sensiblen und personenbezogenen Inhalte, die es besonders zu schützen gilt.

Daher greifen neben den für den Finanzmarkt spezifischen Regularien selbstverständlich auch die datenschutzrechtlichen Vorgaben der EU-DSGVO. Im Übrigen gibt es in der Schweiz mit dem Datenschutzgesetz (DSG) sehr ähnliche Regularien.

Datenhoheit, Datenschutz und weitergehende rechtliche Anforderungen

Bei der Verarbeitung und Speicherung von Daten, und in diesem Kontext besonders E-Mails und ihre Anhänge, müssen sich Unternehmen zwischen unternehmenseigenen Servern oder unabhängigen SaaS-Alternativen (oder beides in Kombination als Hybridlösung) entscheiden.

Ist die Cloud Teil der Informationsmanagement-Strategie, müssen sie prüfen, wo sich die jeweiligen (Cloud-) Rechenzentren befinden, ob sie dort ausreichend geschützt sind und von wo Instanzen darauf zugreifen können. Gemäß Artikel 44 ff. EU-DSGVO dürfen personenbezogene Daten nur dann an ein Drittland übermittelt werden, wenn das Datenschutzniveau den Anforderungen der EU entspricht. Zudem sind die Richtlinien der Europäischen Bankenaufsichtsbehörde (EBA) sowie der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersvorsorge (EIOPA) zu berücksichtigen.

Im Zuge eines Vertragsabschlusses mit einem SaaS-Anbieter bietet es sich an, einen zusätzlichen Auftragsverarbeitungsvertrag (AVV) abzuschließen, um den Anforderungen des Artikel 28 EU-DSGVO nachzukommen. Sie ist erforderlich, wenn personenbezogene Daten im Auftrag an Dritte (“Auftragsverarbeiter”) weitergegeben und verarbeitet werden.

Business Continuity geht über Backups hinaus

Vom Gesetzgeber vorgeschriebene, branchenspezifische Regularien sind jedoch nicht die einzigen Aspekte, die Finanzinstitutionen in ihrer Informationsmanagement-Strategie bedenken müssen. Auch sie können Opfer von Systemausfällen sein. Anwenderfehler, Manipulation durch das absichtliche Löschen von Daten, Probleme mit der Hardware bei der hauseigenen IT, Ausfälle auf Seiten von IT-Service Providern und natürlich auch die immer häufiger vorkommenden Cyber-Angriffe und Ransomware-Attacken sind nur einige der möglichen Ursachen für potenziell folgenschwere Störungen.

Diese beeinträchtigen nicht nur den allgemeinen Geschäftsbetrieb und schmälern eventuell gar den Umsatz, sondern können ebenfalls zu einem erheblichen Datenverlust führen – einschließlich geschäftskritischer und sensibler E-Mail-Inhalte wie Rechnungen, Angebote oder Verträge.

Finanzunternehmen sollten daher eine entsprechende Lösung implementieren, um im Ernstfall eine umfangreiche Wiederherstellung vornehmen zu können. Ansonsten drohen ihnen unter anderem juristische Konsequenzen, da entsprechende Aufsichtsbehörden prüfen, ob Datenschutzvorgaben und Aufbewahrungspflichten eingehalten wurden. Wenig überraschend – bei einem schwerwiegenden Ausfall des E-Mail-Servers ist die Wahrscheinlichkeit hoch, dass dies nicht der Fall ist.

Oftmals gehen Unternehmen davon aus, dass ein Backup-System ausreicht, um sich vor dem Datenverlust zu schützen und die Geschäftskontinuität zu wahren. Das ist jedoch ein Trugschluss. Ein Backup-System legt in vordefinierten, regelmäßigen Abständen Kopien der E-Mail-Daten bzw. des ganzen E-Mail-Servers in der Cloud oder einem anderen externen Speichermedium ab.

Ein erfolgreiches Backup macht im besten Fall den E-Mail-Server wieder verfügbar, ist aber keine Garantie auf eine lückenlose Wiederherstellung des historischen E-Mail-Bestandes. Im Sinne der Disaster Recovery mag dies für die akute Wiederherstellung von Daten vielleicht ausreichen, ist jedoch nicht konform mit rechtlichen Vorgaben, die eine lückenlose, revisionssichere Aufbewahrung voraussetzen.

Zwar sollten Finanzunternehmen Backup-Lösungen in ihrer Business Continuity-Strategie selbstverständlich einplanen, brauchen ergänzend jedoch noch eine weitere Lösung, die E-Mails revisionssicher vorhält, bewahrt und dauerhaft verfügbar macht – und dies unter Berücksichtigung von datenschutzrechtlichen Rahmenbedingungen.

Compliance und Business Continuity mit E-Mail-Archivierungslösungen fördern

Eine professionelle, unabhängige E-Mail-Archivierungslösung bietet sich als Ergänzung zu herkömmlichen Backup-Systemen an. Sie erstellt kontinuierlich Kopien von einzelnen E-Mails samt Anhängen und speichert diese lückenlos, revisionssicher und über einen langen Zeitraum hinweg in einem zentralen Archiv.

Professionelle E-Mail-Archivierungslösungen bieten die Möglichkeit je nach Bedarf zwischen verschiedenen strategischen Archivierungsansätzen zu wählen. Wenn die rechtskonforme E-Mail-Archivierung im Vordergrund steht, ist die Journalarchivierung die beste Archivierungsoption.

Wenn die Entlastung des E-Mail-Servers das Hauptziel ist, ist die Archivierung von Postfächern in Verbindung mit definierbaren Löschregeln die bessere Wahl. Auch eine Kombination beider Ansätze ist möglich, so dass Finanzunternehmen von beiden Archivierungsansätzen profitieren und die E-Mail-Archivierungslösung als unverzichtbaren Teil ihrer Unternehmensstrategie einsetzen können..

Ein weiterer Vorteil ist, dass die Einsicht in und Zugriff auf das Archiv jederzeit – auch im Störfall – möglich ist. Hier erweisen sich Such- und Exportfunktionen besonders im Audit-Kontext oder im Rahmen einer juristischen Angelegenheit als äußerst praktisch. Auch Mitarbeiter können je nach Konfiguration E-Mail-Bestände eigenständig durchsuchen und Daten bei Bedarf in ein Standardformat exportieren oder wiederherstellen. Dafür müssen sie keine Anfragen mehr an die IT-Abteilung stellen.

Fazit

Eine E-Mail-Archivierungslösung unterstützt Finanzunternehmen in vielerlei Hinsicht dabei, rechtlichen und damit auch datenschutzrechtlichen Anforderungen nachzukommen. Sie gewährleisten die vollständige und revisionssichere Aufbewahrung über mehrere Jahre hinweg – Mitarbeiter und Prüfer gleichermaßen können kontinuierlich auf den gesamten archivierten E-Mail-Bestand zugreifen.

Diese Vollständigkeit bildet einen wichtigen Baustein für fortlaufende Business Continuity. Daher sollten Finanzunternehmen eine professionelle E-Mail-Archivierungslösung ergänzend zu Backup- und Security-Lösungen einsetzen – ein wichtiger Schritt in Richtung einer soliden Business Continuity-Strategie.

Bilder (2–3): © MailStore Software GmbH