E-Mail-Archivierung als Must-do der IT-Strategie

Wie die meisten Unternehmen in Deutschland, Österreich und der Schweiz sind auch Vertreter der Finanzbranche dazu verpflichtet, wichtige Dokumente über lange Zeit hinweg zugänglich aufzubewahren – einschließlich des elektronischen Schriftverkehrs. Was sie dabei zu beachten haben und welche Rolle professionelle E-Mail-Archivierungslösungen dabei spielen.

(PDF)
Laptop-Haende-E-Mail-416930594-AS-Song-about-summerLaptop-Haende-E-Mail-416930594-AS-Song-about-summerSong_about_summer – stock.adobe.com

Ein Beitrag von Roland Latzel, Senior Director Marketing bei MailStore.

In den vergangenen Jahren ist die Arbeit mit Daten immer komplexer geworden. Das liegt einerseits daran, dass das Volumen aus strukturierten und unstrukturierten Daten sowie sensiblen und personenbezogenen Inhalten, die IT-Mitarbeiter täglich managen müssen, kontinuierlich ansteigt.

Andererseits haben sich die IT-Infrastrukturen von Unternehmen – unter anderem bedingt durch das Aufkommen dezentraler, flexibler Arbeitsmodelle – deutlich verändert. Informationslandschaften sind stark fragmentiert und Daten verteilen sich mittlerweile auf verschiedene lokale sowie Multi- und Hybrid-Cloud-Systeme. Allein diese Faktoren haben die Wahrnehmung der Relevanz des Informations- und damit auch des E-Mail-Managements bereits gestärkt.

Erschwerend kommt hinzu, dass der Gesetzgeber vorschreibt, dass die meisten Unternehmen steuer- und handelsrechtlich relevante Daten – unabhängig ihres Speicherortes – lückenlos aufzubewahren hat. Dies schließt elektronische Dokumente mit ein und wird in Deutschland unter Berücksichtigung der GoBD geregelt (GoBD = Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff).

Datenverarbeitung und -speicherung unterliegen strengen gesetzlichen Vorgaben

Von diesen Vorgaben sind Unternehmen des Finanzwesens nicht ausgeschlossen. Da es sich hierbei zudem um eine stark regulierte Branche handelt, greifen noch weitere gesetzliche Auflagen. Diese Regularien haben in den vergangenen Jahren einige Verschärfungen erfahren.

2018 trat die zweite Fassung der EU-Direktive zum Wertpapierhandel „Markets in Financial Instruments Directive“ (MiFID II) europaweit in Kraft. Seitdem müssen EU-Mitgliedstaaten unter anderem dafür sorgen, dass im Finanzsektor tätige Unternehmen alle erbrachten Services und durchgeführten Geschäfte sauber und lückenlos dokumentieren. Die Aufzeichnungen sollen beispielsweise Aufsichtsbehörden oder der Rechtsabteilung dauerhaft zugänglich sein.

Unternehmen, die personenbezogene Daten erheben und verarbeiten, sind grundsätzlich dazu verpflichtet, die Grundsätze der EU-DSGVO einzuhalten – darunter Zweckbindung, Datenminimierung, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Die geschäftskritischen Dokumente und Korrespondenzen von Unternehmen im Finanzwesen enthalten solche sensiblen und personenbezogenen Inhalte, die es besonders zu schützen gilt.

Daher greifen neben den für den Finanzmarkt spezifischen Regularien selbstverständlich auch die datenschutzrechtlichen Vorgaben der EU-DSGVO. Im Übrigen gibt es in der Schweiz mit dem Datenschutzgesetz (DSG) sehr ähnliche Regularien.

Datenhoheit, Datenschutz und weitergehende rechtliche Anforderungen

Bei der Verarbeitung und Speicherung von Daten, und in diesem Kontext besonders E-Mails und ihre Anhänge, müssen sich Unternehmen zwischen unternehmenseigenen Servern oder unabhängigen SaaS-Alternativen (oder beides in Kombination als Hybridlösung) entscheiden.

Ist die Cloud Teil der Informationsmanagement-Strategie, müssen sie prüfen, wo sich die jeweiligen (Cloud-) Rechenzentren befinden, ob sie dort ausreichend geschützt sind und von wo Instanzen darauf zugreifen können. Gemäß Artikel 44 ff. EU-DSGVO dürfen personenbezogene Daten nur dann an ein Drittland übermittelt werden, wenn das Datenschutzniveau den Anforderungen der EU entspricht. Zudem sind die Richtlinien der Europäischen Bankenaufsichtsbehörde (EBA) sowie der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersvorsorge (EIOPA) zu berücksichtigen.

Im Zuge eines Vertragsabschlusses mit einem SaaS-Anbieter bietet es sich an, einen zusätzlichen Auftragsverarbeitungsvertrag (AVV) abzuschließen, um den Anforderungen des Artikel 28 EU-DSGVO nachzukommen. Sie ist erforderlich, wenn personenbezogene Daten im Auftrag an Dritte (“Auftragsverarbeiter”) weitergegeben und verarbeitet werden.

Business Continuity geht über Backups hinaus

Vom Gesetzgeber vorgeschriebene, branchenspezifische Regularien sind jedoch nicht die einzigen Aspekte, die Finanzinstitutionen in ihrer Informationsmanagement-Strategie bedenken müssen. Auch sie können Opfer von Systemausfällen sein. Anwenderfehler, Manipulation durch das absichtliche Löschen von Daten, Probleme mit der Hardware bei der hauseigenen IT, Ausfälle auf Seiten von IT-Service Providern und natürlich auch die immer häufiger vorkommenden Cyber-Angriffe und Ransomware-Attacken sind nur einige der möglichen Ursachen für potenziell folgenschwere Störungen.

Diese beeinträchtigen nicht nur den allgemeinen Geschäftsbetrieb und schmälern eventuell gar den Umsatz, sondern können ebenfalls zu einem erheblichen Datenverlust führen – einschließlich geschäftskritischer und sensibler E-Mail-Inhalte wie Rechnungen, Angebote oder Verträge.

Finanzunternehmen sollten daher eine entsprechende Lösung implementieren, um im Ernstfall eine umfangreiche Wiederherstellung vornehmen zu können. Ansonsten drohen ihnen unter anderem juristische Konsequenzen, da entsprechende Aufsichtsbehörden prüfen, ob Datenschutzvorgaben und Aufbewahrungspflichten eingehalten wurden. Wenig überraschend – bei einem schwerwiegenden Ausfall des E-Mail-Servers ist die Wahrscheinlichkeit hoch, dass dies nicht der Fall ist.

Oftmals gehen Unternehmen davon aus, dass ein Backup-System ausreicht, um sich vor dem Datenverlust zu schützen und die Geschäftskontinuität zu wahren. Das ist jedoch ein Trugschluss. Ein Backup-System legt in vordefinierten, regelmäßigen Abständen Kopien der E-Mail-Daten bzw. des ganzen E-Mail-Servers in der Cloud oder einem anderen externen Speichermedium ab.

Ein erfolgreiches Backup macht im besten Fall den E-Mail-Server wieder verfügbar, ist aber keine Garantie auf eine lückenlose Wiederherstellung des historischen E-Mail-Bestandes. Im Sinne der Disaster Recovery mag dies für die akute Wiederherstellung von Daten vielleicht ausreichen, ist jedoch nicht konform mit rechtlichen Vorgaben, die eine lückenlose, revisionssichere Aufbewahrung voraussetzen.

Zwar sollten Finanzunternehmen Backup-Lösungen in ihrer Business Continuity-Strategie selbstverständlich einplanen, brauchen ergänzend jedoch noch eine weitere Lösung, die E-Mails revisionssicher vorhält, bewahrt und dauerhaft verfügbar macht – und dies unter Berücksichtigung von datenschutzrechtlichen Rahmenbedingungen.

Compliance und Business Continuity mit E-Mail-Archivierungslösungen fördern

Eine professionelle, unabhängige E-Mail-Archivierungslösung bietet sich als Ergänzung zu herkömmlichen Backup-Systemen an. Sie erstellt kontinuierlich Kopien von einzelnen E-Mails samt Anhängen und speichert diese lückenlos, revisionssicher und über einen langen Zeitraum hinweg in einem zentralen Archiv.

Professionelle E-Mail-Archivierungslösungen bieten die Möglichkeit je nach Bedarf zwischen verschiedenen strategischen Archivierungsansätzen zu wählen. Wenn die rechtskonforme E-Mail-Archivierung im Vordergrund steht, ist die Journalarchivierung die beste Archivierungsoption.

Wenn die Entlastung des E-Mail-Servers das Hauptziel ist, ist die Archivierung von Postfächern in Verbindung mit definierbaren Löschregeln die bessere Wahl. Auch eine Kombination beider Ansätze ist möglich, so dass Finanzunternehmen von beiden Archivierungsansätzen profitieren und die E-Mail-Archivierungslösung als unverzichtbaren Teil ihrer Unternehmensstrategie einsetzen können..

Ein weiterer Vorteil ist, dass die Einsicht in und Zugriff auf das Archiv jederzeit – auch im Störfall – möglich ist. Hier erweisen sich Such- und Exportfunktionen besonders im Audit-Kontext oder im Rahmen einer juristischen Angelegenheit als äußerst praktisch. Auch Mitarbeiter können je nach Konfiguration E-Mail-Bestände eigenständig durchsuchen und Daten bei Bedarf in ein Standardformat exportieren oder wiederherstellen. Dafür müssen sie keine Anfragen mehr an die IT-Abteilung stellen.

Fazit

Eine E-Mail-Archivierungslösung unterstützt Finanzunternehmen in vielerlei Hinsicht dabei, rechtlichen und damit auch datenschutzrechtlichen Anforderungen nachzukommen. Sie gewährleisten die vollständige und revisionssichere Aufbewahrung über mehrere Jahre hinweg – Mitarbeiter und Prüfer gleichermaßen können kontinuierlich auf den gesamten archivierten E-Mail-Bestand zugreifen.

Diese Vollständigkeit bildet einen wichtigen Baustein für fortlaufende Business Continuity. Daher sollten Finanzunternehmen eine professionelle E-Mail-Archivierungslösung ergänzend zu Backup- und Security-Lösungen einsetzen – ein wichtiger Schritt in Richtung einer soliden Business Continuity-Strategie.

(PDF)

LESEN SIE AUCH

E-Mail-504959071-AS-NicoElNinoE-Mail-504959071-AS-NicoElNinoNicoElNino – stock.adobe.comE-Mail-504959071-AS-NicoElNinoNicoElNino – stock.adobe.com
Digitalisierung

E-Mail-Archivierung gehört zu einer guten Cyber-Resilienz-Strategie

E-Mails enthalten zahlreiche geschäftskritische Informationen wie Personaldaten, Rechnungen und Verträge. Umso wichtiger ist es, dass Unternehmen auch im Falle einer Störung Zugriff auf diese Daten haben. Mit diesen Tipps kann die Cyber-Resilienz gestärkt werden.

Code-171054954-AS-immimageryCode-171054954-AS-immimageryimmimagery – stock.adobe.comCode-171054954-AS-immimageryimmimagery – stock.adobe.com

Digitales Fort Knox?

Datenschutz muss von der Gründung an konsequent verfolgt und beherzigt werden. Anfängliche Versäumnisse münden anderenfalls in aufwendigen Anpassungsprozessen und können schlimmstens die gesamte Unternehmenstätigkeit gefährden.

Investor analyzing stock market with charts on screen at restaurInvestor analyzing stock market with charts on screen at restaurleszekglasner – stock.adobe.comInvestor analyzing stock market with charts on screen at restaurleszekglasner – stock.adobe.com
Digitalisierung

Wie ein Dokumentenmanagement-System zu mehr Erfolg verhelfen kann

In Zeiten, in denen Finanzdienstleister auf allen Kanälen um neue Kunden buhlen, sind effiziente und kundenorientierte Geschäftsprozesse, modernste Technologien sowie eine gesetzeskonforme Datenverarbeitung ein Muss. Eine integrierte DMS-Lösung kann hier unterstützen.

Fair social justice concept with gavel and stethoscope front vieFair social justice concept with gavel and stethoscope front vieDavizro Photography – stock.adobe.comFair social justice concept with gavel and stethoscope front vieDavizro Photography – stock.adobe.com
Assekuranz

Rechtsmissbräuchlichkeit in Verbindung mit dem DSGVO-Auskunftsanspruch

Ist ein Auskunftsanspruch aus der Datenschutz-Grundverordnung rechtsmissbräuchlich, wenn damit nicht primär datenschutzrechtliche Zwecke, sondern andere Ziele wie die Informationen über Prämienanpassungen verfolgt werden? Darüber hatte das Oberlandesgericht Nürnberg zu befinden.

Frau-Sprechblase-530544767-AS-kegfireFrau-Sprechblase-530544767-AS-kegfirekegfire – stock.adobe.comFrau-Sprechblase-530544767-AS-kegfirekegfire – stock.adobe.com
Digitalisierung

No-Gos bei beruflich genutzten Messengern

Beim Einsatz von Kommunikationslösungen lauern hinsichtlich Datensicherheit viele Fallstricke. Um unternehmenskritische Kommunikation nicht zu kompromittieren, muss der Datenschutz also bei der Wahl von Messengern im Businesskontext höchste Priorität haben. Was es bei der Messenger-Wahl zu prüfen gilt.

Maedchen-Auto-120713966-AS-Flamingo-ImagesMaedchen-Auto-120713966-AS-Flamingo-ImagesFlamingo Images – stock.adobe.comMaedchen-Auto-120713966-AS-Flamingo-ImagesFlamingo Images – stock.adobe.com
Produkte

ADAC: Neuer Telematik-Baustein „Fahr + Spar“

Kunden der ADAC Autoversicherung können nun mit einer sicheren Fahrweise ihre Prämien jährlich um bis zu 30 Prozent reduzieren. Hierfür können sie kostenlos den Telematik-Baustein Fahr + Spar abschließen.

Mehr zum Thema

GDV-Präsident Dr. Norbert Rollinger (rechts) und GDV-Hauptgeschäftsführer Jörg Asmussen (Archiv).GDVGDV-Präsident Dr. Norbert Rollinger (rechts) und GDV-Hauptgeschäftsführer Jörg Asmussen (Archiv).GDV
Assekuranz

Versicherungsbranche erwartet 2025 stabiles Wachstum – GDV fordert Reformen

Die Versicherungswirtschaft prognostiziert für 2025 ein branchenweites Beitragswachstum von fünf Prozent. Besonders die Schaden- und Unfallversicherung sowie die PKV legen zu. Gleichzeitig fordert der GDV Reformen in der Altersvorsorge, Cybersicherheit und dem Steuerrecht.

Zum 1. März müssen Mofas, Mopeds und E-Scooter auf ein grünes Versicherungskennzeichen umgestellt werden.Laney5569 / pixabayZum 1. März müssen Mofas, Mopeds und E-Scooter auf ein grünes Versicherungskennzeichen umgestellt werden.Laney5569 / pixabay
Assekuranz

Kennzeichenwechsel für Mofas, Mopeds und E-Scooter: Ab März gilt nur noch Grün

Zum 1. März müssen Mofas, Mopeds und E-Scooter auf ein grünes Versicherungskennzeichen umgestellt werden. Wer weiterhin mit dem blauen Kennzeichen unterwegs ist, fährt nicht nur ohne Versicherungsschutz, sondern macht sich auch strafbar. Die aktuellen Zahlen des GDV zeigen zudem: Schäden und Diebstähle haben 2023 deutlich zugenommen.

Thorsten Saal, Bereichsleiter Mathematik & RatingMORGEN & MORGENThorsten Saal, Bereichsleiter Mathematik & RatingMORGEN & MORGEN
Assekuranz

Lebensversicherung: Überschussbeteiligung 2025 steigt weiter – doch nicht in der Breite

Die Überschussbeteiligungen deutscher Lebensversicherer steigen weiter, wenn auch weniger stark als im Vorjahr. Eine Analyse von MORGEN & MORGEN zeigt, dass fast alle Versicherer mindestens zwei Prozent bieten, während jeder fünfte Anbieter drei Prozent oder mehr gewährt. Thorsten Saal, Bereichsleiter Mathematik & Rating, bewertet die Entwicklung als kundenfreundlich, betont aber auch die individuelle Strategie der Versicherer.

ACWells / pixabayACWells / pixabay
Assekuranz

Lebensversicherung führt Beschwerde-Statistik an

Der Versicherungsombudsmann e. V. hat seinen Tätigkeitsbericht zur Streitbeilegung vorgelegt. Insgesamt 21.548 Beschwerden wurden im Jahr 2024 bearbeitet. Dabei fällt auf: Beschwerden über Versicherungsvermittler sind mit 334 Fällen gering und zeigen kaum Veränderungen zu den Vorjahren.

Bei einer Wasserbüffel-Herde in Brandenburg wurde Maul- und Klauenseuche (MKS) nachgewiesen.Anduka66 / pixabayBei einer Wasserbüffel-Herde in Brandenburg wurde Maul- und Klauenseuche (MKS) nachgewiesen.Anduka66 / pixabay
Assekuranz

Maul- und Klauenseuche in Deutschland: Was Versicherungen wirklich abdecken

Maul- und Klauenseuche nach Jahrzehnten erneut in Deutschland: Der Ausbruch in Brandenburg zeigt, wie schnell Tierseuchen enorme wirtschaftliche Risiken für Landwirte mit sich bringen. Versicherungen helfen bei direkten Schäden, lassen Landwirte bei Einkommensverlusten durch Exportverbote jedoch oft allein.

Technisch sind automatisierte Binnenschiffe längst realisierbar, doch rechtliche Hürden bremsen ihren Einsatz - das soll sich ändern, fordern die Versicherer (Symbolbild).Couleur / pixabayTechnisch sind automatisierte Binnenschiffe längst realisierbar, doch rechtliche Hürden bremsen ihren Einsatz - das soll sich ändern, fordern die Versicherer (Symbolbild).Couleur / pixabay
Assekuranz

Versicherer fordern Rechtsrahmen für automatisierte Binnenschifffahrt

Automatisierte Binnenschiffe könnten schon heute einsatzbereit sein – doch es fehlt an klaren gesetzlichen Vorgaben. Der GDV fordert die Bundesregierung und internationale Flusskommissionen auf, Standards zu schaffen, um die Technologie voranzutreiben.