Das E-Mail-Management im Finanzsektor sorgt für oft nicht allseits bekannte Herausforderungen. Hierbei spielt unter anderem auch die zunehmende Beliebtheit hybrider Arbeitsmodelle eine Rolle. Kristina Waldhecker, Manager Product Marketing bei der MailStore Software GmbH, sorgt für Klarheit und erläutert, wie und warum Banken E-Mail-Archivierung in ihre IT-Strategie einbinden sollten.
Was die Erhebung, Speicherung und Verarbeitung von (Kunden-)Daten betrifft, sehen sich Unternehmen aus dem Finanzsektor seit einigen Jahren verschärften Regularien gegenüber. So trat 2018 beispielsweise die zweite Version der EU-Richtlinie über Märkte für Finanzinstrumente (MiFID II) in Kraft. Diese schreibt unter anderem in Artikel 16 (6) vor, dass Finanzunternehmen in Mitgliedsstaaten Aufzeichnungspflichten einführen müssen - und zwar über sämtliche von ihnen erbrachten Leistungen, Tätigkeiten und Geschäfte. Die zuständigen Aufsichtsbehörden können zu jeder Zeit überprüfen, ob sich betroffene Unternehmen an diese Verpflichtungen halten.
Da Finanzunternehmen personenbezogene und andere sensible Daten verarbeiten, müssen auch sie die Grundsätze der EU-DSGVO befolgen. Diese umfassen unter anderem Zweckbindung, Datenminimierung, Integrität, Vertraulichkeit sowie weitere Betroffenenrechte wie das Recht auf Löschung (Art. 17).
Viele dieser Informationen werden auch via E-Mail versendet. Besonders seitdem hybride Arbeitsansätze beliebter werden, müssen Unternehmen Ihren Umgang mit personenbezogenen und anderen sensiblen Daten prüfen und überdenken. Empfehlenswert ist daher für IT-Entscheider eine umfassende E-Mail-Management-Strategie einzuführen. Im Rahmen dieser Strategie müssen sie definieren, wie sie ihre elektronische Kommunikation verarbeiten, verwalten und archivieren - zum Beispiel mithilfe einer professionellen E-Mail-Archivierungslösung.
Im Zusammenhang mit dem E-Mail-Management kommt häufig die Frage auf: Reicht es nicht, wenn ich bereits ein Backup-System im Einsatz habe, das unter anderem Kopien meiner E-Mails und ihrer Anhänge erstellt? Die kurze Antwort ist: Nein. In erster Linie unterscheidet sich die E-Mail-Archivierung in ihrem Ziel von herkömmlichen Backups. Während Backup-Kopien kurz- bis mittelfristig auf einem externen Speichermedium vorgehalten werden und sich daher eher für die Disaster Recovery eignen, ist das Hauptziel der E-Mail-Archivierung die vollständige, revisionssichere, langfristige und jederzeit verfügbare Aufbewahrung der Nachrichten. Das spielt unter anderem dann eine wichtige Rolle, wenn Aufsichtsbehörden die Daten prüfen möchten. Beispiele wären eine Steuerprüfung oder eine Prüfung durch Datenschutzaufsichtsbehörden.
Außerdem ist eine gute E-Mail-Archivierungslösung in der Lage, das gesamte E-Mail-Archiv des Unternehmens effizient zu durchsuchen und bei Bedarf einzelne E-Mails zu extrahieren und/oder zu löschen. Im Idealfall hat ein Finanzunternehmen sowohl entsprechende Backup- als auch eine E-Mail-Archivierungslösung parallel im Einsatz, da sich beide Ansätze ergänzen.
Dafür stehen IT-Managern in Finanzunternehmen zwei strategische Archivierungsansätze zur Verfügung: Bei der Journalarchivierung steht die rechtskonforme Archivierung im Mittelpunkt, bei der Postfacharchivierung die Entlastung des E-Mail-Servers. Auch eine Kombination beider Ansätze ist möglich.
Dadurch kann E-Mail-Archivierung nicht nur die Einhaltung von rechtlichen Vorgaben ermöglichen, sondern steigert auch das Sicherheitsniveau. Kommt es zu einem technisch bedingten Systemausfall oder einem Cyber-Angriff, senkt sie das Risiko des Datenverlusts - die archivierten Datensätze lassen sich vollständig wiederherstellen.
Im Rahmen des E-Mail-Managements stellt sich zudem unweigerlich die Frage, wo die Daten gespeichert werden sollen - auf dem unternehmenseigenen Server oder über einen SaaS-Anbieter in der Cloud? Entscheiden sich Finanzunternehmen für die Cloud gilt es zwei Dinge zu beachten: Zum einen sollten sie branchenspezifische Richtlinien wie zum Beispiel die Richtlinien der Europäischen Bankenaufsichtsbehörde (EBA) oder auch der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) berücksichtigen.
Zum anderen müssen sie sicherstellen, dass - sollten die betroffenen Rechenzentren in einem Land außerhalb der EU liegen - das Datenschutzniveau, dem der EU entspricht. Andernfalls wird es schwer, personenbezogene Daten rechtskonform in Drittländer zu übertragen. Darüber hinaus darf bei Beauftragung eines SaaS-Anbieters der Auftragsverarbeitungsvertrag (AVV) nicht fehlen, in dem die Rechte und Pflichten für den Auftraggeber und Auftragsverarbeiter bezogen auf die Verarbeitung personenbezogener Daten sowie dessen Schutzmaßnahmen geregelt werden.
Finanzunternehmen sollten daher einen soliden E-Mail-Governance-Ansatz, einschließlich einer unabhängigen E-Mail-Archivierungslösung, als Teil ihrer ganzheitlichen Geschäftsstrategie entwickeln, um eine Verletzung der gesetzlichen Regularien zu vermeiden. Die Identifizierung und Verwaltung von Sicherheits- und Datenrisiken innerhalb des Unternehmens können eine Herausforderung darstellen. Jedoch tragen E-Mail-Archivierungslösungen dazu bei, interne Risiken zu minimieren, da sie die Sicherheit und Konformität mit den branchenspezifischen, landes- oder regionalspezifischen Vorschriften ermöglichen.
News vom: 17.10.2023
Bildunterschrift: Kristina Waldhecker, Manager Product Marketing, MailStore Software GmbH
Foto: MailStore Software GmbH
