Zum Hauptinhalt springen
Blog

Rechtliche Anforderungen an die Archivierung im Finanzsektor

Cloud, Compliance, Finanzdienstleistung

In den letzten 20 Jahren haben sich nicht nur der erweiterte Zugang von Kunden zu Bank- und Finanz-Netzwerken und die Art und Weise des Datenmanagements bei Bankdaten geändert. Auch das Auftreten von Finanzskandalen, Internetkriminalität und Geldwäsche sind angestiegen. Deshalb wurden in den letzten Jahren Richtlinien verschärft oder neue auf den Weg gebracht, die die Rückverfolgung von Transaktionen erleichtern sollen. Doch was bedeutet das für die Aufbewahrungsfristen von aufgezeichneten Gesprächen? Und was genau passiert mit den Daten von Anruf bis Archiv?

Auswirkungen von MiFID II und Co auf die Archivierung im Finanzsektor

Eine Vielzahl von Gesetzen und Richtlinien, die in den letzten Jahren im Finanzsektor eingeführt wurden, haben direkten Einfluss auf die Aufzeichnung und Archivierung von Kundeninteraktionen. So auch das Zweite Finanzmarktnovellierungsgesetz (MiFID II), die die EU-Richtlinie über Märkte für Finanzinstrumente in deutsches Recht umsetzt. In der MiFID II-Richtlinie wurden Regelungen der 2007 in Kraft getretenen MiFID I-Richtlinie verschärft und neue Regeln hinzugefügt, die bisher nicht definiert waren. Ziel war vor allem, den Anlegerschutz weiter zu verstärken und die Transparenz der Finanzmärkte zu erhöhen.

Seit 2018 sind Banken, Haftungsdächer und Vermögensverwalter mit BaFin Lizenz nach § 32 des Kreditwesengesetzes (KWG) nach MiFID II Artikel 16 Abs. 7 verpflichtet, telefonische oder Video-geführte Beratungsgespräche sowie jegliche damit in Verbindung stehende elektronische Kommunikation aufzuzeichnen und revisionssicher zu speichern bzw. zu archivieren. Revisionssichere Archivierung bedeutet grundsätzlich, dass die abgelegten Daten vor einer nachträglichen Abänderung geschützt sind und es zu keiner Manipulation im Archiv kommt. Gleichzeitig sind die Informationen nachvollziehbar, leicht auffindbar, unveränderbar und verfälschungssicher zu archivieren. Die Aufzeichnungen müssen fünf Jahre aufbewahrt werden. Fristbeginn ist die Aufzeichnungserstellung. Auf Verlangen der Aufsicht kann die Aufbewahrungspflicht sieben Jahre betragen.

Ein weiteres wichtiges Gesetz für die Archivierung und Aufbewahrung elektronischer Kommunikation ist der Dodd-Frank Act (Dodd-Frank Wall Street Reform and Consumer Protection Act), ein amerikanisches Bundesgesetz, welches als Reaktion auf die Finanzmarktkrise von 2007 verabschiedet wurde. Der Dodd-Frank Act soll für die finanzielle Stabilität des Finanzmarkts der Vereinigten Staaten von Amerika sorgen. So müssen Unternehmen u. a. Aufzeichnungen über alle Aktivitäten im Zusammenhang mit der Geschäftstätigkeit des Standorts, einschließlich eines vollständigen Audit-Trails in einer für die zuständige Aufsichtsbehörde akzeptablen Form und Weise und für einen Zeitraum von mindestens 5 Jahren aufbewahren.

Aufbewahrungspflicht versus Löschpflicht

Auch bei der EU-Datenschutzgrundverordnung (DSGVO) stellt die rechtskonforme Aufbewahrung, aber auch die Vernichtung personenbezogener Unterlagen, einen zentralen Themenkomplex dar. So darf eine Verarbeitung und dementsprechend auch die Aufbewahrung grundsätzlich nur so lange erfolgen, wie es für die Zwecke der Datenverarbeitung zwingend erforderlich ist. Demgegenüber stehen nun aber die oben beschriebenen Aufbewahrungspflichten. Hier gilt: Spezialgesetzliche Aufbewahrungsfristen gehen stets den datenschutzrechtlichen Löschpflichten vor. Personenbezogene Daten dürfen also nicht gelöscht werden, sofern derartige Aufbewahrungsfristen bestehen. Ist die vorgeschriebene Aufbewahrungszeit abgelaufen, gilt es die personenbezogenen Daten zu löschen.

Da eine Datenlöschung – insbesondere im Finanzsektor – in der Vergangenheit tunlichst vermieden werden sollte, gab es in den entsprechenden Aufzeichnungssystemen auch keine Möglichkeit zum manuellen Löschen. Um der Richtlinie gerecht zu werden, mussten die Systeme entsprechend umgerüstet werden. Individuelle Funktionsrechte stellen heute sicher, dass nur berechtigte Personen Daten löschen können. Auch spezifische Löschzeiten (time to live), die bereits bei Anlegen der Aufzeichnung konfiguriert werden, tragen zu einem zuverlässigen compliance-konformen Datenmanagement bei.

Compliance ist das A und O

Besonders in der Finanzbranche sind die Inhalte von Kundeninteraktionen meist höchst sensibel und streng vertraulich. Deshalb müssen Aufzeichnungs- und Archivierungslösungen strenge Vorschriften erfüllen und auf lange Sicht Datenintegrität, Verfügbarkeit und Datenschutz gewährleisten. Spezialisierte Softwareanbieter, wie ASC, bieten Banken und anderen Finanzdienstleistern mit ausfallsicheren Systemen eine Antwort auf genau diese Anforderungen. Im Unterschied zu herkömmlichen Aufzeichnungssystemen sorgt die Software von ASC für mehr Sicherheit und eine detailliertere Speicherung der Daten. So werden die Datenströme aus den Kundeninteraktionen (Telefonie, Videotelefonie, Videoberatung, Bildschirm, Chat) erfasst, an das ASC-eigene Aufzeichnungssystem verschlüsselt übermittelt und dort gespeichert.

Zudem ist es in der Lage, Daten auf vielfältige Weise zu erfassen. Das ist insbesondere deshalb notwendig, da jedes Telefonsystem und jede Anlage anders reagiert. Damit alle Gespräche aufgezeichnet werden können, muss für jede Telefonanlage der unterschiedlichen Hersteller eine explizite Integration geschrieben werden. Dadurch erfasst die ASC-Software nicht nur die notwendigen Gesprächsdaten, sondern auch wichtige Zusatzdaten, wie Kunden- oder Transaktions-IDs, die ein Gespräch eindeutig identifizieren können. Indem die Daten zu dem jeweiligen Gespräch gespeichert werden, lassen sich Aufzeichnungen sehr viel schneller wiederfinden. Um die sichere Handhabung der sensiblen Daten zu garantieren, arbeitet ASC zudem mit einem eigenen Datenformat, das nur innerhalb der ASC-Wiedergabeapplikation decodiert werden kann. Diese wird durch individuelle Berechtigungskonzepte zusätzlich abgesichert. Somit ist es Dritten nicht möglich Daten abzugreifen.

Daten im Homeoffice sicher verwalten

Seit dem letzten Jahr hat das Arbeiten im Homeoffice deutlich zugenommen. Aus diesem Grund brauchen Unternehmen Lösungen, die ein gewohntes Arbeiten auch aus der Ferne reibungsfrei ermöglichen. Doch gerade für Mitarbeiter aus der Finanzdienstleistung ist das keine leichte Aufgabe: Oftmals ist eine Kundenberatung von zu Hause aus nicht möglich, da nur im Büro die Möglichkeit zur notwendigen Aufzeichnung von Gesprächen besteht. Wird ein VPN-Zugang eingerichtet, kommt es dann wiederum auf eine sichere und stabile Verbindung ins Firmennetzwerk an. Ein Faktor, der nicht bei jedem gegeben ist.

Deshalb werden auch im Finanzbereich immer häufiger Cloud-Lösungen verwendet, um den Zugriff von jedem Ort aus zu ermöglichen. Für Mitarbeiter im Homeoffice, die durch ihre vorhandene Kommunikationslösung keine Möglichkeit zur compliance-konformen Aufzeichnung und Archivierung von Beratergesprächen haben, hat ASC eine flexible und schnell einsetzbare Cloud-Lösung entwickelt. Mit jedem vorhandenen Festnetz- und Mobiltelefon sowie diverser Collaboration-Tools (Microsoft Teams, Cisco WebEx, Unify Circuit, Slack, Snapview, Purpleview, uvm.) lassen sich Gespräche rechtssicher aufzeichnen und archivieren – und das auch von zuhause aus.

Die Aufzeichnung und Archivierung ist bewusst ganz einfach: Der Berater ruft den Kunden an oder der Kunde ruft den Berater an: Wenn das Gespräch aufzeichnungspflichtig wird, schaltet der Berater mittels definierter Einwahlnummer das Cloud-Aufzeichnungssystem (3er-Konferenz) hinzu. Optional kann die Aufzeichnung während des Gesprächs mit einer vordefinierten Taste pausiert und wieder gestartet werden. Beginnt die Aufzeichnung, erfolgt automatisch die Ansage „Ihr Gespräch wird aufgezeichnet“. Nach Beenden des Gesprächs wird der aufzeichnungspflichtige Teil in der ASC neo cloud nach den geltenden Richtlinien beweis- und fälschungssicher gespeichert und steht danach zur Suche und Wiedergabe zur Verfügung.

Aufzeichnungs- und Archivierungslösungen für eine sichere digitale Kommunikation

In Zeiten, in denen das Leben vermehrt online stattfindet und die digitale Transformation rasant voranschreitet, ist die Sicherheit persönlicher und sensibler Daten wichtiger denn je. Vor allem im Bankenbereich ist die digitale Transformation deutlich zu spüren. Bankfilialen werden geschlossen, Prozesse digitalisiert und Beratungsgespräche finden vermehrt online statt. Mithilfe von qualifizierten Aufzeichnungs- und Archivierungslösungen kann eine sichere und rechtskonforme digitale Verarbeitung und Archivierung der Daten gewährleistet werden. Diese Lösungen dienen allerdings nicht nur dem Schutz von Daten, sondern entlasten auch Mitarbeiter des Finanzwesens. So können sich Mitarbeiter darauf fokussieren, ihren Kunden trotz digitaler Kommunikation, persönlichen Kontakt sowie einen schnellen und zuverlässigen Service zu bieten.

Martin Komm
Product Manager

Martin Komm ist Product Manager bei ASC. Er ist verantwortlich für die Weiterentwicklung der Aufzeichnungslösungen anhand von Kundenanforderungen und neuen gesetzlichen Vorschriften in den Zielmärkten von ASC, speziell im Finanzbereich. In enger Zusammenarbeit mit Vertriebs- und Entwicklungsabteilungen sorgt er für die Umsetzung wichtiger neuer Technologien in den ASC Produkten. Durch seine Arbeit als Technical Trainer für die ASC Academy stehen auch Servicethemen und einfache Benutzeroberflächen im Fokus der Produktentwicklung.