Lokale und internationale Regelungen haben Auswirkungen darauf, wie Unternehmen und Organisationen mit ihrem E-Mail-Verkehr umgehen. Besonders in der Finanzbranche gelten nationale wie internationale Vorschriften, die unter anderem die Dokumentation von Geschäftsvorgängen verlangen und damit auch den Umgang mit E-Mails und deren Archivierung betreffen. Welche Compliance-Auflagen bestehen in der Versicherungs- und Bankbranche, welche Anforderungen ergeben sich daraus an die Archivierung, und wie können Software-Lösungen bei der Umsetzung der Auflagen unterstützen?
Die E-Mail ist schon seit langem eines der wichtigsten Kommunikationsmittel im Alltag und im Berufsleben. Die Archivierung von geschäftlichen E-Mails ist aber ein Thema, dem Führungskräfte oft nicht viel Zeit widmen. Dies kann jedoch leicht zu Problemen führen, denn es gibt verschiedene Aspekte zu beachten. Während Privatpersonen nach eigenem Ermessen E-Mails behalten und löschen können, gelten für Unternehmen andere Regeln. Die "Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)" regeln beispielsweise in Deutschland diesen Umgang mit geschäftsrelevanten E-Mails aus steuer- und handelsrechtlicher Sicht.
E-Mai-Mail Management muss konsistent sein
Auch die EU-weit geltende Datenschutzgrundverordnung (DSGVO) hat Einfluss darauf, wie ein konsistentes E-Mail-Management aussehen sollte. Unternehmen sind grundsätzlich verpflichtet, alle Dokumente, die für die Besteuerung relevant sind, mehrere Jahre lang vollständig, originalgetreu, manipulationssicher und jederzeit verfügbar aufzubewahren. Dazu kommen in manchen Branchen und Ländern weitere Regulierungen. In der Finanzbranche ist dies beispielsweise die "Markets in Finanical Instruments Directive II (MiFID II)", eine EU-Richtlinie, die Vorgaben zur Dokumentationspflicht festlegt.
Die Finanzbranche ist weltweit einer der am stärksten regulierten Wirtschaftssektoren und die Dokumentation von Geschäftsvorgängen ist hier Pflicht. In der EU regelt die MiFID II, dass jegliche Kommunikation, die zur Auftragserteilung durch einen Kunden führen könnte, dokumentiert und aufbewahrt werden muss. Dazu gehören Kundengespräche genauso wie unternehmensinterne Gespräche oder auch E-Mails. Weiter müssen Finanzunternehmen auch Aufzeichnungen über Dienstleistungen, Tätigkeiten und Geschäfte führen, mit denen die zuständigen Behörden ihrer Aufsichtspflicht nachkommen können. Dementsprechend müssen Finanzdienstleister besondere Vorsicht bei der Auswahl ihrer Archiv-Lösungen walten lassen.
Hilfreiche Features
Finanzinstitute und -dienstleister können die Auflagen umsetzen, indem sie beispielsweise Software-Lösungen für rechtsichere E-Mail-Archivierung nutzen. Einige dieser Tools bieten Features, die es Unternehmen und Organisationen des Finanzwesens ermöglicht, den Compliance-Anforderungen zu entsprechen:
- Auditierbarkeit: Die Archiv-Lösungen, die der Archivierung von E-Mails im Finanzwesen dienlich sind, sollten bestimmte Ereignisse in einem eigenen Audit-Protokoll protokollieren, wie beispielsweise das Verschieben und Löschen von E-Mails, um Aktivitäten der Administratoren und Benutzer nachzuvollziehen. So können Compliance-Verantwortliche im Unternehmen oder auch externe Auditoren mit speziellen Zugangsrechten die Einhaltung rechtlicher und betrieblicher Regelungen überprüfen.
- Verschlüsselung: Die E-Mail-Archive selbst, der Zugriff darauf sowie die Kommunikation zwischen den Archiv-Lösungen und dem E-Mail-System des Finanzunternehmens sollten verschlüsselt sein. Beispielsweise sollten solche E-Mail-Archivierungssysteme auf E-Mails und Dateianhängen eine AES256-Verschlüsselung anwenden. So wird sichergestellt, dass die archivierten Daten nachträglich nicht mehr manipuliert werden können.
- Kontrolle und Limitierung der Zugriffsrechte: Durch die Möglichkeit, Benutzerrollen in der Archiv-Lösung festzulegen, erhalten Finanzunternehmen die Kontrolle darüber, wer Zugriff auf das Archiv und darin enthaltene E-Mails hat. Ebenso werden An- und Abmeldungen von Benutzern sowie alle Zugriffe auf das Archiv protokolliert, so dass nachvollziehbar ist, wer, wann auf E-Mails zugegriffen hat.
DSGVO zog neue Ebene nach sich
Mit dem Inkrafttreten der DSGVO im Mai 2018 ist noch eine weitere Ebene für Unternehmen in der Finanzbranche hinzugekommen. Die Verordnung regelt die Verarbeitung personenbezogener Daten und die Rechte der Betroffenen. Da auch in geschäftlichen E-Mails häufig personenbezogene Daten verarbeitet werden, benötigen Finanzunternehmen eine Lösung, die ihnen bei der Umsetzung der Betroffenenrechte hilft. Dazu zählt zum Beispiel das Recht auf Auskunft (Art. 15 DSGVO) - Unternehmen müssen feststellen und Auskunft geben können, über welche personenbezogenen Daten sie verfügen - oder das Recht auf Löschung dieser Daten (Art. 17 DSGVO). Entsprechende Archiv-Lösungen sollten daher über Features wie eine leistungsstarke Volltextsuche, sowie Aufbewahrungsrichtlinien und eine Auditing-Funktion verfügen.
Um zusätzlich dem Aspekt der Revisionssicherheit (Stichwort "GoBD-Konformität") gerecht zu werden, archivieren manche Finanzunternehmen alle ein- und ausgehenden E-Mails, noch bevor diese in die Postfächer der Mitarbeiter zugestellt werden. Dieses als Journalarchivierung bekannte Verfahren birgt allerdings auch potenzielle Risiken: Wenn Mitarbeiter ihre dienstlichen E-Mail-Konten für private Zwecke nutzen, werden die (personenbezogenen) Daten innerhalb dieser privaten E-Mails ohne eine explizite Einwilligung der jeweiligen Mitarbeiter archiviert. Gemäß DSGVO fehlt dem Unternehmen aber die entsprechende Rechtsgrundlage. Eine Möglichkeit, diese Problematik zu umgehen, ist die private Nutzung des Firmen-E-Mail-Accounts konsequent zu untersagen. Grundsätzlich empfiehlt es sich auch, bei der Auswahl einer passenden Lösung für die Archivierung von E-Mails sowohl den Datenschutzverantwortlichen des Finanzdienstleisters als auch - falls vorhanden - den Betriebsrat einzubeziehen, damit diese Parteien frühzeitig involviert sind und als Stakeholder berücksichtigt werden können.
Neue Herausforderungen für die Finanzwelt
Auch in zivilrechtlichen Verfahren können Finanzunternehmen davon profitieren, E-Mails revisionssicher zu archivieren. Da inzwischen Absprachen oftmals nur noch per E-Mail getroffen werden, sei es zu Vertragsangelegenheiten, Fristen oder Projektplanungen, können diese im Streitfall vor Gericht als Beweismittel dienen. Dabei werden in Deutschland E-Mails mit qualifizierter elektronischer Signatur, die die manuelle Unterschrift ersetzt, mit derselben Beweiskraft gewertet wie unterschriebene Urkunden. Verfügt eine E-Mail jedoch nicht über diese Signatur, kann diese dennoch dem Richter im Rahmen der freien richterlichen Beweiswürdigung als Beweismittel dienen. Dabei kann es von großem Vorteil für das betroffene Unternehmen sein, nachweisen zu können, dass die E-Mail manipulationssicher archiviert wurde.
Neben den regulären Auflagen und Compliance-Anforderungen hat der Wechsel vieler Arbeitnehmer aus der Finanzbranche ins Homeoffice aufgrund der Coronakrise neue Herausforderungen bei der Archivierung von E-Mails aufgeworfen. Dabei spielt die technische Ebene eine wichtige Rolle: Viele Archiv-Lösungen sind als Netzwerkdienst konzipiert, aber die Mitarbeiter benötigen auch von Zuhause aus Zugang zum Archiv. Eine Lösung hierfür ist ein verschlüsselter VPN-Tunnel, mit dem der PC des Mitarbeiters mit dem lokalen Netzwerk des Unternehmens verbunden wird. Alternativ kann der Mitarbeiter auf das Archiv durch die öffentliche Verfügbarkeit dessen Servers über das Port-Forwarding im Router zugreifen.
Die Finanzwelt wird, wie alle anderen Branchen auch, von äußeren Umständen und unvorhersehbaren Entwicklungen beeinflusst, und zählt darüber hinaus zu den komplexesten Branchen überhaupt. Revisionssichere E-Mail Archivierung hilft dabei, den strengen Regularien, Vorschriften und Compliance-Anforderungen zu begegnen. Untersuchungen, Audits und interne Prozesse können so schnell und effizient abgewickelt werden.
Autor(en): Roland Latzel