Warum Unternehmen der Finanzindustrie sich mit E-Mail-Management auseinandersetzen sollten

Die Pandemie hat bei vielen Organisationen das Gefühl hinterlassen, dass sie flexibler und anpassungsfähiger sein müssen. Im Mittelpunkt steht dabei die Umstellung auf einen hybriden Arbeitsansatz, bei dem mithilfe von Kollaborationssoftware und -tools ein produktives Arbeitsklima für räumlich getrennte Mitarbeiter (Stichwort Homeoffice) und Geschäftspartner ermöglicht werden soll.

E-Mail-Management und Aufbewahrungsrichtlinien in der Finanzindustrie

Die Verschiebung hin zu einem hybriden Arbeitsansatz in der digitalisierten Geschäftswelt haben viele Unternehmen dazu veranlasst, mehr Verantwortung für ihre Daten zu übernehmen, z. B. durch umfassende E-Mail-Management-Strategien.

Das betrifft auch Unternehmen aus der Finanzbranche, denn diese müssen sich seit einigen Jahren mit verschärften Regularien auseinandersetzen. So trat 2018 die zweite Version der europaweiten Richtlinie über Märkte für Finanzinstrumente (MiFID II) in Kraft, die die EU-Mitgliedstaaten dazu verpflichtet, Aufzeichnungspflichten für im Finanzsektor tätige Unternehmen (z. B. Wertpapierfirmen, Kreditinstitute oder Datenmeldedienstleister) einzuführen.

Wie in Artikel 16 (6) der MiFID II festgelegt, muss eine Wertpapierfirma dafür sorgen, dass Aufzeichnungen über alle von ihr erbrachten Dienstleistungen, Tätigkeiten und Geschäfte geführt werden. Zuständige Aufsichtsbehörden können zu jeder Zeit die Einhaltung aller Verpflichtungen überprüfen. Es liegt daher auf der Hand, dass Finanzorganisationen genau darauf achten müssen, wie sie ihre elektronische Kommunikation im Rahmen der E-Mail-Management-Strategie verwalten und archivieren.

E-Mail-Archivierung vs. E-Mail-Backup

Das Hauptziel der E-Mail-Archivierung besteht darin, Kopien aller E-Mails inklusive Dateianhänge über viele Jahre hinweg sicher, originalgetreu, schnell wiederauffindbar und jederzeit verfügbar aufzubewahren. Unternehmen müssen analysieren, welche geschäftsrelevanten E-Mails für wie lange archiviert werden müssen. Beispiele für geschäftskritische Informationen in E-Mails sind beispielsweise Rechnungen, Angebote, Support-Anfragen oder Service-Beschwerden. Eine E-Mail-Management-Strategie muss jedoch auch die Anforderungen der EU-DSGVO und ähnlicher Datenschutzvorschriften berücksichtigen.

E-Mail-Archivierungslösungen unterscheiden sich daher von Backup-Lösungen, die Kopien der E-Mail-Daten auf einem externen Speichermedium oder in einer Cloud nur temporär vorhalten. Der eigentliche Zweck eines Backup-Systems ist die Disaster Recovery. Es ermöglicht das Zurückkopieren temporär gesicherter Datensätze und Systeme (z.B. E-Mails inklusive dem E-Mail-Server) von einem externen Speichermedium im Falle eines Datenverlusts oder Systemausfalls, z. B. aufgrund eines Hardwareausfalls oder eines Cyberangriffs. E-Mail-Archivierung und Backup sind sich ergänzende Ansätze und sollten daher parallel betrieben werden.

Wichtige Anforderungen bei der Einhaltung von Datenschutzgesetzen

Geschäftsrelevante E-Mails enthalten fast immer personenbezogene Daten oder andere sensible Informationen. Branchenspezifische Vorschriften und Datenschutzgesetze wie die EU-DSGVO haben in den letzten Jahren das Bewusstsein der Unternehmen für ihre E-Mail-Management-Strategie geschärft. Datenschutzgesetze enthalten Bestimmungen zum Schutz der Grundrechte und -freiheiten von Personen bei der Verarbeitung ihrer personenbezogenen Daten. Zu den allgemeinen Grundsätzen der EU-DSGVO gehören Zweckbindung, Datenminimierung, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Unternehmen, die personenbezogene Daten erheben und verarbeiten, sind für die Einhaltung dieser Grundsätze verantwortlich.

Eine E-Mail-Archivierungslösung sollte beispielsweise in der Lage sein, erfolgreich archivierte E-Mails bei Bedarf automatisch zu löschen, um Speicherplatz freizugeben und bestimmten Datenschutzgrundsätze, wie zum Beispiel Datenminimierung und Zweckbindung gemäß Art. 5 EU-GDPR, zu genügen.

Speicherstandort, Datenhoheit und Auslagerung an Dienstleister

Bei der Entwicklung einer E-Mail-Management-Strategie ist auch zu prüfen, ob die E-Mails auf einem unternehmenseigenen Server vor Ort gespeichert werden, oder bei einem unabhängigen SaaS-Anbieter oder dessen Subunternehmern. Werden Daten in der Cloud gespeichert, profitieren Unternehmen in der Regel von einer problemlosen Skalierung der erforderlichen Speicherkapazitäten. Allerdings wird dabei oft die Frage vernachlässigt, wo, d.h. in welcher Region oder in welchem Land, die Daten gespeichert werden und ob sie ausreichend geschützt sind.

Zieht ein Finanzunternehmen die Nutzung einer Cloud-Lösung in Betracht, müssen einerseits branchenspezifische Anforderungen wie die Richtlinien der Europäischen Bankenaufsichtsbehörde (EBA) oder der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) zur Auslagerung an Cloud-Dienstleister sorgfältig berücksichtigt werden.

Andererseits muss unbedingt festgelegt werden, wo die E-Mails verarbeitet und archiviert werden, d. h. wo sich die Rechenzentren befinden und von wo aus der Zugriff möglich ist. Dies ist relevant nach Art. 44 ff. EU-DSGVO: die Übermittlung personenbezogener Daten in ein Drittland darf nur dann erfolgen, wenn das dortige Datenschutzniveau nicht geringer als in der EU ist. In der Vergangenheit konnten sich Unternehmen beispielsweise auf das sogenannten Safe Harbor Abkommen berufen, um ein solches angemessenes Schutzniveau zu gewährleisten. Safe Harbor wurde jedoch 2015 vom Europäischen Gerichtshof („EuGH“) für ungültig erklärt. Dies war die erste Schrems-Entscheidung, benannt nach dem inzwischen bekannten österreichischen Aktivisten Max Schrems. Der EU-US-Privacy Shield trat die Nachfolge von Safe Harbour an, das 2020 in einem weiteren EuGH-Fall, bekannt als Schrems II, für ungültig erklärt wurde. Infolgedessen ist es aktuell sehr schwierig, personenbezogene Daten rechtskonform in Drittländer zu übertragen.

Darüber hinaus sollte ein Unternehmen bei der Beauftragung eines SaaS-Anbieters den Abschluss eines Auftragsverarbeitungsvertrag (AVV) in Betracht ziehen. Ein AVV ist eine Vereinbarung, die die Anforderungen von Art. 28 der EU-DSGVO abdeckt. Sie ist erforderlich, wenn personenbezogene Daten im Auftrag an Dritte („Auftragsverarbeiter“) weitergegeben und verarbeitet werden. Der Auftraggeber muss sicherstellen, dass der Auftragsverarbeiter technische und organisatorische Maßnahmen getroffen hat, die einen angemessenen Schutz bei der Übermittlung und Verarbeitung personenbezogener Daten bieten.

E-Mail-Archivierung als Teil Ihres Business Continuity Managements

Wir empfehlen allen Finanzorganisationen, einen soliden E-Mail-Governance-Ansatz, einschließlich einer unabhängigen E-Mail-Archivierungslösung, als Teil ihrer ganzheitlichen Geschäftsstrategie zu implementieren.

Die Identifizierung und Verwaltung von Sicherheits- und Datenrisiken innerhalb des Unternehmens kann eine Herausforderung darstellen. E-Mail-Archivierung trägt dazu bei, interne Risiken zu minimieren, da sie die Sicherheit und Konformität mit den branchenspezifischen, landes- oder regionalspezifischen Vorschriften gewährleistet kann.

Professionelle E-Mail-Archivierungslösungen bieten die Möglichkeit je nach Bedarf zwischen verschiedenen strategischen Archivierungsansätzen zu wählen. Wenn die gesetzeskonforme E-Mail-Archivierung im Vordergrund steht, ist Journaling die beste Archivierungsoption. Wenn die Entlastung des E-Mail-Servers das Hauptziel ist, ist die Archivierung von Postfächern in Verbindung mit definierbaren Löschregeln die bessere Wahl.

Auch eine Kombination beider Ansätze ist möglich, so dass Finanzunternehmen von beiden Archivierungsansätzen profitieren und die E-Mail-Archivierungslösung als unverzichtbaren Teil ihrer Unternehmensstrategie einsetzen können.

Dieser Artikel ist (in englischer Fassung) zuerst auf https://www.financederivative.com/why-regulated-industries-must-take-caution-around-email-management/ erschienen.

Möchten Sie mehr über die Vorteile der E-Mail-Archivierung im Zusammenhang mit rechtlichen Vorschriften erfahren? Dann empfehlen wir Ihnen den Download unseres Rechtsleitfadens, für die Länder Deutschland, Österreich und Schweiz.

Teilen


Ihr Kommentar