Wie die meisten Unternehmen in Deutschland, Österreich und der Schweiz sind auch Vertreter der Finanzbranche dazu verpflichtet, wichtige Dokumente über lange Zeit hinweg zugänglich aufzubewahren – einschließlich des elektronischen Schriftverkehrs. Was sie dabei zu beachten haben und welche Rolle professionelle E-Mail-Archivierungslösungen dabei spielen.
Ein Beitrag von Roland Latzel, Senior Director Marketing bei MailStore.
In den vergangenen Jahren ist die Arbeit mit Daten immer komplexer geworden. Das liegt einerseits daran, dass das Volumen aus strukturierten und unstrukturierten Daten sowie sensiblen und personenbezogenen Inhalten, die IT-Mitarbeiter täglich managen müssen, kontinuierlich ansteigt.
Andererseits haben sich die IT-Infrastrukturen von Unternehmen – unter anderem bedingt durch das Aufkommen dezentraler, flexibler Arbeitsmodelle – deutlich verändert. Informationslandschaften sind stark fragmentiert und Daten verteilen sich mittlerweile auf verschiedene lokale sowie Multi- und Hybrid-Cloud-Systeme. Allein diese Faktoren haben die Wahrnehmung der Relevanz des Informations- und damit auch des E-Mail-Managements bereits gestärkt.
Erschwerend kommt hinzu, dass der Gesetzgeber vorschreibt, dass die meisten Unternehmen steuer- und handelsrechtlich relevante Daten – unabhängig ihres Speicherortes – lückenlos aufzubewahren hat. Dies schließt elektronische Dokumente mit ein und wird in Deutschland unter Berücksichtigung der GoBD geregelt (GoBD = Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff).
Datenverarbeitung und -speicherung unterliegen strengen gesetzlichen Vorgaben
Von diesen Vorgaben sind Unternehmen des Finanzwesens nicht ausgeschlossen. Da es sich hierbei zudem um eine stark regulierte Branche handelt, greifen noch weitere gesetzliche Auflagen. Diese Regularien haben in den vergangenen Jahren einige Verschärfungen erfahren.
2018 trat die zweite Fassung der EU-Direktive zum Wertpapierhandel „Markets in Financial Instruments Directive“ (MiFID II) europaweit in Kraft. Seitdem müssen EU-Mitgliedstaaten unter anderem dafür sorgen, dass im Finanzsektor tätige Unternehmen alle erbrachten Services und durchgeführten Geschäfte sauber und lückenlos dokumentieren. Die Aufzeichnungen sollen beispielsweise Aufsichtsbehörden oder der Rechtsabteilung dauerhaft zugänglich sein.
Unternehmen, die personenbezogene Daten erheben und verarbeiten, sind grundsätzlich dazu verpflichtet, die Grundsätze der EU-DSGVO einzuhalten – darunter Zweckbindung, Datenminimierung, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Die geschäftskritischen Dokumente und Korrespondenzen von Unternehmen im Finanzwesen enthalten solche sensiblen und personenbezogenen Inhalte, die es besonders zu schützen gilt.
Daher greifen neben den für den Finanzmarkt spezifischen Regularien selbstverständlich auch die datenschutzrechtlichen Vorgaben der EU-DSGVO. Im Übrigen gibt es in der Schweiz mit dem Datenschutzgesetz (DSG) sehr ähnliche Regularien.
Datenhoheit, Datenschutz und weitergehende rechtliche Anforderungen
Bei der Verarbeitung und Speicherung von Daten, und in diesem Kontext besonders E-Mails und ihre Anhänge, müssen sich Unternehmen zwischen unternehmenseigenen Servern oder unabhängigen SaaS-Alternativen (oder beides in Kombination als Hybridlösung) entscheiden.
Ist die Cloud Teil der Informationsmanagement-Strategie, müssen sie prüfen, wo sich die jeweiligen (Cloud-) Rechenzentren befinden, ob sie dort ausreichend geschützt sind und von wo Instanzen darauf zugreifen können. Gemäß Artikel 44 ff. EU-DSGVO dürfen personenbezogene Daten nur dann an ein Drittland übermittelt werden, wenn das Datenschutzniveau den Anforderungen der EU entspricht. Zudem sind die Richtlinien der Europäischen Bankenaufsichtsbehörde (EBA) sowie der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersvorsorge (EIOPA) zu berücksichtigen.
Im Zuge eines Vertragsabschlusses mit einem SaaS-Anbieter bietet es sich an, einen zusätzlichen Auftragsverarbeitungsvertrag (AVV) abzuschließen, um den Anforderungen des Artikel 28 EU-DSGVO nachzukommen. Sie ist erforderlich, wenn personenbezogene Daten im Auftrag an Dritte (“Auftragsverarbeiter”) weitergegeben und verarbeitet werden.
Business Continuity geht über Backups hinaus
Vom Gesetzgeber vorgeschriebene, branchenspezifische Regularien sind jedoch nicht die einzigen Aspekte, die Finanzinstitutionen in ihrer Informationsmanagement-Strategie bedenken müssen. Auch sie können Opfer von Systemausfällen sein. Anwenderfehler, Manipulation durch das absichtliche Löschen von Daten, Probleme mit der Hardware bei der hauseigenen IT, Ausfälle auf Seiten von IT-Service Providern und natürlich auch die immer häufiger vorkommenden Cyber-Angriffe und Ransomware-Attacken sind nur einige der möglichen Ursachen für potenziell folgenschwere Störungen.
Diese beeinträchtigen nicht nur den allgemeinen Geschäftsbetrieb und schmälern eventuell gar den Umsatz, sondern können ebenfalls zu einem erheblichen Datenverlust führen – einschließlich geschäftskritischer und sensibler E-Mail-Inhalte wie Rechnungen, Angebote oder Verträge.
Finanzunternehmen sollten daher eine entsprechende Lösung implementieren, um im Ernstfall eine umfangreiche Wiederherstellung vornehmen zu können. Ansonsten drohen ihnen unter anderem juristische Konsequenzen, da entsprechende Aufsichtsbehörden prüfen, ob Datenschutzvorgaben und Aufbewahrungspflichten eingehalten wurden. Wenig überraschend – bei einem schwerwiegenden Ausfall des E-Mail-Servers ist die Wahrscheinlichkeit hoch, dass dies nicht der Fall ist.
Oftmals gehen Unternehmen davon aus, dass ein Backup-System ausreicht, um sich vor dem Datenverlust zu schützen und die Geschäftskontinuität zu wahren. Das ist jedoch ein Trugschluss. Ein Backup-System legt in vordefinierten, regelmäßigen Abständen Kopien der E-Mail-Daten bzw. des ganzen E-Mail-Servers in der Cloud oder einem anderen externen Speichermedium ab.
Ein erfolgreiches Backup macht im besten Fall den E-Mail-Server wieder verfügbar, ist aber keine Garantie auf eine lückenlose Wiederherstellung des historischen E-Mail-Bestandes. Im Sinne der Disaster Recovery mag dies für die akute Wiederherstellung von Daten vielleicht ausreichen, ist jedoch nicht konform mit rechtlichen Vorgaben, die eine lückenlose, revisionssichere Aufbewahrung voraussetzen.
Zwar sollten Finanzunternehmen Backup-Lösungen in ihrer Business Continuity-Strategie selbstverständlich einplanen, brauchen ergänzend jedoch noch eine weitere Lösung, die E-Mails revisionssicher vorhält, bewahrt und dauerhaft verfügbar macht – und dies unter Berücksichtigung von datenschutzrechtlichen Rahmenbedingungen.
Compliance und Business Continuity mit E-Mail-Archivierungslösungen fördern
Eine professionelle, unabhängige E-Mail-Archivierungslösung bietet sich als Ergänzung zu herkömmlichen Backup-Systemen an. Sie erstellt kontinuierlich Kopien von einzelnen E-Mails samt Anhängen und speichert diese lückenlos, revisionssicher und über einen langen Zeitraum hinweg in einem zentralen Archiv.
Professionelle E-Mail-Archivierungslösungen bieten die Möglichkeit je nach Bedarf zwischen verschiedenen strategischen Archivierungsansätzen zu wählen. Wenn die rechtskonforme E-Mail-Archivierung im Vordergrund steht, ist die Journalarchivierung die beste Archivierungsoption.
Wenn die Entlastung des E-Mail-Servers das Hauptziel ist, ist die Archivierung von Postfächern in Verbindung mit definierbaren Löschregeln die bessere Wahl. Auch eine Kombination beider Ansätze ist möglich, so dass Finanzunternehmen von beiden Archivierungsansätzen profitieren und die E-Mail-Archivierungslösung als unverzichtbaren Teil ihrer Unternehmensstrategie einsetzen können..
Ein weiterer Vorteil ist, dass die Einsicht in und Zugriff auf das Archiv jederzeit – auch im Störfall – möglich ist. Hier erweisen sich Such- und Exportfunktionen besonders im Audit-Kontext oder im Rahmen einer juristischen Angelegenheit als äußerst praktisch. Auch Mitarbeiter können je nach Konfiguration E-Mail-Bestände eigenständig durchsuchen und Daten bei Bedarf in ein Standardformat exportieren oder wiederherstellen. Dafür müssen sie keine Anfragen mehr an die IT-Abteilung stellen.
Fazit
Eine E-Mail-Archivierungslösung unterstützt Finanzunternehmen in vielerlei Hinsicht dabei, rechtlichen und damit auch datenschutzrechtlichen Anforderungen nachzukommen. Sie gewährleisten die vollständige und revisionssichere Aufbewahrung über mehrere Jahre hinweg – Mitarbeiter und Prüfer gleichermaßen können kontinuierlich auf den gesamten archivierten E-Mail-Bestand zugreifen.
Diese Vollständigkeit bildet einen wichtigen Baustein für fortlaufende Business Continuity. Daher sollten Finanzunternehmen eine professionelle E-Mail-Archivierungslösung ergänzend zu Backup- und Security-Lösungen einsetzen – ein wichtiger Schritt in Richtung einer soliden Business Continuity-Strategie.
Themen:
LESEN SIE AUCH
E-Mail-Archivierung gehört zu einer guten Cyber-Resilienz-Strategie
E-Mails enthalten zahlreiche geschäftskritische Informationen wie Personaldaten, Rechnungen und Verträge. Umso wichtiger ist es, dass Unternehmen auch im Falle einer Störung Zugriff auf diese Daten haben. Mit diesen Tipps kann die Cyber-Resilienz gestärkt werden.
Digitales Fort Knox?
Datenschutz muss von der Gründung an konsequent verfolgt und beherzigt werden. Anfängliche Versäumnisse münden anderenfalls in aufwendigen Anpassungsprozessen und können schlimmstens die gesamte Unternehmenstätigkeit gefährden.
Wie ein Dokumentenmanagement-System zu mehr Erfolg verhelfen kann
In Zeiten, in denen Finanzdienstleister auf allen Kanälen um neue Kunden buhlen, sind effiziente und kundenorientierte Geschäftsprozesse, modernste Technologien sowie eine gesetzeskonforme Datenverarbeitung ein Muss. Eine integrierte DMS-Lösung kann hier unterstützen.
Rechtsmissbräuchlichkeit in Verbindung mit dem DSGVO-Auskunftsanspruch
Ist ein Auskunftsanspruch aus der Datenschutz-Grundverordnung rechtsmissbräuchlich, wenn damit nicht primär datenschutzrechtliche Zwecke, sondern andere Ziele wie die Informationen über Prämienanpassungen verfolgt werden? Darüber hatte das Oberlandesgericht Nürnberg zu befinden.
No-Gos bei beruflich genutzten Messengern
Beim Einsatz von Kommunikationslösungen lauern hinsichtlich Datensicherheit viele Fallstricke. Um unternehmenskritische Kommunikation nicht zu kompromittieren, muss der Datenschutz also bei der Wahl von Messengern im Businesskontext höchste Priorität haben. Was es bei der Messenger-Wahl zu prüfen gilt.
ADAC: Neuer Telematik-Baustein „Fahr + Spar“
Versicherungsbranche erwartet 2025 stabiles Wachstum – GDV fordert Reformen
Die Versicherungswirtschaft prognostiziert für 2025 ein branchenweites Beitragswachstum von fünf Prozent. Besonders die Schaden- und Unfallversicherung sowie die PKV legen zu. Gleichzeitig fordert der GDV Reformen in der Altersvorsorge, Cybersicherheit und dem Steuerrecht.
Kennzeichenwechsel für Mofas, Mopeds und E-Scooter: Ab März gilt nur noch Grün
Zum 1. März müssen Mofas, Mopeds und E-Scooter auf ein grünes Versicherungskennzeichen umgestellt werden. Wer weiterhin mit dem blauen Kennzeichen unterwegs ist, fährt nicht nur ohne Versicherungsschutz, sondern macht sich auch strafbar. Die aktuellen Zahlen des GDV zeigen zudem: Schäden und Diebstähle haben 2023 deutlich zugenommen.
Lebensversicherung: Überschussbeteiligung 2025 steigt weiter – doch nicht in der Breite
Die Überschussbeteiligungen deutscher Lebensversicherer steigen weiter, wenn auch weniger stark als im Vorjahr. Eine Analyse von MORGEN & MORGEN zeigt, dass fast alle Versicherer mindestens zwei Prozent bieten, während jeder fünfte Anbieter drei Prozent oder mehr gewährt. Thorsten Saal, Bereichsleiter Mathematik & Rating, bewertet die Entwicklung als kundenfreundlich, betont aber auch die individuelle Strategie der Versicherer.
Lebensversicherung führt Beschwerde-Statistik an
Der Versicherungsombudsmann e. V. hat seinen Tätigkeitsbericht zur Streitbeilegung vorgelegt. Insgesamt 21.548 Beschwerden wurden im Jahr 2024 bearbeitet. Dabei fällt auf: Beschwerden über Versicherungsvermittler sind mit 334 Fällen gering und zeigen kaum Veränderungen zu den Vorjahren.
Maul- und Klauenseuche in Deutschland: Was Versicherungen wirklich abdecken
Maul- und Klauenseuche nach Jahrzehnten erneut in Deutschland: Der Ausbruch in Brandenburg zeigt, wie schnell Tierseuchen enorme wirtschaftliche Risiken für Landwirte mit sich bringen. Versicherungen helfen bei direkten Schäden, lassen Landwirte bei Einkommensverlusten durch Exportverbote jedoch oft allein.
Versicherer fordern Rechtsrahmen für automatisierte Binnenschifffahrt
Automatisierte Binnenschiffe könnten schon heute einsatzbereit sein – doch es fehlt an klaren gesetzlichen Vorgaben. Der GDV fordert die Bundesregierung und internationale Flusskommissionen auf, Standards zu schaffen, um die Technologie voranzutreiben.