E-Mail-Archivierung in regulierten Branchen: Finanzwesen

Die Finanzanbranche ist stark reguliertSchon häufig haben wir an dieser Stelle über lokale und internationale Regelungen geschrieben, die Auswirkungen darauf haben, wie Unternehmen und Organisationen mit ihrem E-Mail-Verkehr umgehen. So gibt es zum Beispiel in Österreich die Bundesabgabenordnung (BAO), das Unternehmensgesetzbuch (UGB) und das Umsatzsteuergesetz (UStG). In der Schweiz gilt das Obligationenrecht (OR) und in Deutschland regeln unter anderem die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, kurz GoBD, den Umgang mit geschäftsrelevanten E-Mails. Daraus ergibt sich, dass gewisse E-Mails manipulationssicher archiviert werden müssen. Neben nationalen Erlassen, Gesetzen, Verwaltungsvorschriften usw. hat auch die Europäische Datenschutzgrundverordnung (EU-DSGVO) Auswirkungen auf den Umgang mit E-Mails in Unternehmen. Die soeben aufgezählten Regelungen betreffen Unternehmen aller Branchen. Es gibt aber auch branchenspezifische Regelungen, die unter Umständen nicht weltweit sondern nur national gelten. So unterliegen beispielsweise Unternehmen der Gesundheitsbranche in den USA dem U.S. Health Insurance Portability and Accountability Act (HIPAA). Alle Unternehmen im US-amerikanischen Gesundheitswesen müssen demnach strikte Regeln einhalten, die entwickelt wurden, um die Vertraulichkeit und Integrität von Patientendaten zu schützen.

Compliance-Anforderungen in der Finanzbranche

Für die Finanzbranche gelten weltweit nationale wie internationale Vorschriften, die unter anderem die Dokumentation von Geschäftsvorgängen verlangen und damit auch den Umgang mit E-Mails und deren Archivierung betreffen. Beispielsweise beaufsichtigt und reguliert die Financial Industry Regulatory Authority (FINRA) in den USA Transaktionen der Wertpapierbranche und verlangt von Finanzdienstleistern im Wertpapierhandel unter anderem, E-Mails über bestimmte Zeiträume aufzubewahren, konkret die FINRA Regel 3110.09 .

Auch innerhalb der Europäischen Union (EU) ist die Finanzbranche ein stark regulierter Wirtschaftssektor. 2018 trat die zweite Version der europaweiten Finanzmarktrichtlinie in Kraft. Der englische und international gebräuchliche Titel lautet Markets in Financial Instruments Directive, kurz MiFID II. So fordert diese Richtlinie von den Mitgliedstaaten der Europäischen Union, unter anderem Dokumentationspflichten für Unternehmen des Finanzsektors (z.B. Wertpapierfirmen, Anlageberater oder Kreditinstitute) festzulegen. In Artikel 16 heißt es unter anderem:

Eine Wertpapierfirma sorgt dafür, dass Aufzeichnungen über alle ihre Dienstleistungen, Tätigkeiten und Geschäfte geführt werden, die ausreichen, um der zuständigen Behörde zu ermöglichen, ihrer Aufsichtspflicht nachzukommen“ Und weiter: „Die Aufzeichnungen enthalten die Aufzeichnung von Telefongesprächen oder elektronischer Kommunikation zumindest in Bezug auf die beim Handel für eigene Rechnung getätigten Geschäfte und die Erbringung von Dienstleistungen, die sich auf die Annahme, Übermittlung und Ausführung von Kundenaufträgen beziehen. Diese Telefongespräche und elektronische Kommunikation umfassen auch solche, mit denen Geschäfte im Rahmen des Handels für eigene Rechnung oder die Erbringung von Dienstleistungen veranlasst werden sollen, die sich auf die Annahme, Übermittlung und Ausführung von Kundenaufträgen beziehen, auch wenn diese Gespräche und Mitteilungen nicht zum Abschluss solcher Geschäfte oder zur Erbringung solcher Dienstleistungen führen.“

Die Anforderungen an die Archivierung

In der Praxis bedeutet dieses, dass Wertpapierfirmen Aufzeichnungen auf einem Datenträger speichern, damit diese Informationen der zuständigen Behörde für späteren Zugriff zugänglich sind. Folgende Voraussetzungen sollten dabei erfüllt sein:

  • Die zuständige Behörde kann problemlos auf die Aufzeichnungen zugreifen und jede wichtige Phase der Abwicklung jeder Transaktion wiederherstellen.
  • Korrekturen oder andere Änderungen sowie der Inhalt der ursprünglichen Aufzeichnungen vor solchen Korrekturen oder Änderungen können leicht ermittelt werden.
  • Es ist nicht möglich, die Datensätze anderweitig zu manipulieren oder zu verändern.
  • Die Art der Speicherung ermöglicht eine IT-basierte oder eine andere automatisierte Auswertung, wenn die Analyse der Daten aufgrund des Umfangs und der Art der Daten nicht so ohne Weiteres durchgeführt werden kann.
  • Die Vorkehrungen des Unternehmens entsprechen den Anforderungen an die Aufbewahrung von Unterlagen, unabhängig von der verwendeten Technologie.

Es zeigt sich also deutlich, dass Wertpapierfirmen, Anlageberater oder Kreditinstitute ein besonderes Auge auf das elektronische Kommunikationsmittel E-Mail und deren Archivierung haben sollten, wenn sie MiFID II entsprechen wollen.

E-Mail-Archivierung mit MailStore Server im Einsatz bei Banken

Banken setzen die Auflagen um, indem sie beispielsweise MailStore Server als eine wichtige Grundlage zur rechtsicheren E-Mail-Archivierung nutzen. So setzen einzelne Filialen von öffentlich-rechtlichen Kreditinstituten in Deutschland seit vielen Jahren MailStore Server ein. Auch in Osteuropa entscheiden sich Banken und Finanzinstitute zunehmend für unsere Software. MailStore Server ist daher nicht selten das Mittel der Wahl, wenn es um E-Mail-Archivierung im Finanzsektor geht. Unsere Software bietet Features, die es Unternehmen und Organisationen des Finanzwesens ermöglicht, Compliance-Anforderungen zu entsprechen. Insbesondere zählen dazu:

  • Auditierbarkeit: MailStore Server protokolliert bestimmte Ereignisse, wie beispielsweise das Verschieben von E-Mails oder Ordnern im MailStore eigenen Audit-Protokoll oder dem Windows-Ereignisprotokoll, um Aktivitäten der MailStore-Administratoren und -Benutzer nachzuvollziehen. Dies ermöglicht z.B. einem Compliance Officer im Unternehmen, die Einhaltung rechtlicher und betrieblicher Regelungen zu überwachen. Zum anderen kann einem externen Auditor zu Kontrollzwecken eine eigene, spezielle Benutzerrolle zugewiesen werden.
  • Verschlüsselung: Die E-Mail-Archive selbst, der Zugriff darauf sowie die Kommunikation zwischen MailStore Server und E-Mail-System sind verschlüsselt. MailStore Server wendet auf E-Mail-Texte, Dateianhänge und Audit-Protokolle eine AES256-Verschlüsselung an. Auf diese Weise wird sichergestellt, dass die archivierten Daten im Nachhinein nicht mehr manipuliert werden können. Auf Kommunikationsebene zwischen MailStore Server und E-Mail-System kommt TLS-Verschlüsselung zum Einsatz.
  • Kontrolle und Limitierung der Zugriffsrechte: Durch das Einrichten von Benutzerrollen in MailStore Server kann festgelegt werden, wer Zugriff auf das Archiv und darin enthaltene E-Mails hat. Ebenso werden An- und Abmeldungen von Benutzern sowie alle Zugriffe auf das Archiv protokolliert, so dass nachvollziehbar ist, wer, wann auf E-Mails zugegriffen hat

Sie möchten mehr über rechtliche Grundlagen der E-Mail-Archivierung erfahren? Informieren Sie sich zum Thema MailStore Server und Rechtssicherheit.

Erfahren Sie mehr über MailStore Server: Nehmen Sie gerne an einem unserer kostenlosen Webinare teil

Teilen

Ihr Kommentar