Unternehmen in stark regulierten Branchen sehen sich oft mit Hindernissen bei der Einhaltung von Vorschriften konfrontiert. Die Fristen können variieren, die Datenbestände nehmen ständig zu und die internen Prozesse können veraltet sein - doch die Bewältigung dieser Herausforderungen kann vereinfacht werden. Die Verbesserung der Information Governance ist eine Option, die insbesondere für Finanzdienstleistungsunternehmen in Betracht gezogen werden sollte. Die Branche unterliegt aufgrund der Art der Geschäfte in diesem Sektor strengen regulatorischen Anforderungen. Diejenigen, die mit der Erstellung von Richtlinien, Technologieinvestitionen und der Verwaltung der Einhaltung von Vorschriften betraut sind, sollten ihre Optionen kennen und eine entsprechende Strategie entwickeln.

Ein anspruchsvolles regulatorisches Umfeld

Finanzdienstleistungsunternehmen unterliegen einer verschärften aufsichtsrechtlichen Kontrolle der digitalen Kommunikation. Es ist geschäftskritisch zu verstehen, welche Daten aufbewahrt werden müssen, wie sie aufbewahrt werden sollen und wie lange. Dieser Aufwand mag zwar mühsam erscheinen, doch der erste Schritt besteht darin, zu wissen, welche Vorschriften gelten und was erwartet wird, um die jeweiligen Verpflichtungen ausreichend zu erfüllen.

Ein gutes Beispiel dafür ist die Regel 17a-4 des Securities and Exchange Act. In dieser Vorschrift sind die Anforderungen an die Aufbewahrung und Erhaltung von Aufzeichnungen durch Broker-Dealer und andere beaufsichtigte Unternehmen festgelegt. SEC-Regel 17a-4(b)(4) schreibt vor, dass ein Broker-Dealer die Originale aller eingegangenen Mitteilungen und Kopien aller von ihm gesendeten Mitteilungen, die sich auf seine "Geschäftstätigkeit als solche" beziehen, mindestens drei Jahre lang aufbewahren muss - und in den ersten zwei Jahren an einem leicht zugänglichen Ort.

Darüber hinaus enthält die 17a-4 spezifische Bestimmungen für die Verwendung einer "wurmtauglichen" Speicherung (Write Once, Read Many) für bestimmte Arten von elektronischen Aufzeichnungen. Die Wertpapier- und Börsenaufsichtsbehörde (SEC) hat im Jahr 2022 Leitlinien zu diesem Thema herausgegeben und der bestehenden Anforderung, dass Broker-Dealer elektronische Aufzeichnungen ausschließlich in einem nicht überschreibbaren und nicht löschbaren Format aufbewahren müssen, eine Alternative mit Prüfpfaden hinzugefügt. Diese Änderungen ermöglichen den Einsatz moderner Technologien zur Einhaltung dieser Vorschriften, so dass die Notwendigkeit entfällt, alte, langsame und kostspielige Speicher zu verwenden.
Ein weiteres Beispiel, das in den Zuständigkeitsbereich der SEC fällt, ist die Regel 15F(g)(1) der Commodities Future Trading Commission (CFTC), CFTC SEA 15F(g)(1). Diese Vorschrift ist in Bezug auf den Handel mit Warentermingeschäften enger gefasst. Sie verlangt, dass Broker-Dealer alle täglichen Handelsmitteilungen aufbewahren, die sich mit sicherheitsbezogenen Swaps befassen.

Die oben genannten Beispiele sind nur einige der kommunikationsbezogenen rechtlichen Verpflichtungen, denen die Finanzdienstleistungsbranche unterliegt. Die Mitteilungsvorschriften der Financial Industry Regulatory Authority (FINRA) sind ein weiteres Beispiel für aufsichtsrechtliche Verpflichtungen, denen Unternehmen unterliegen können. Unternehmen, die diese Vorschriften nicht einhalten, müssen mit Geldstrafen, Rufschädigung und einer Störung des Geschäftsbetriebs rechnen.

Microsoft Information Governance-Lösungen

Die meisten Unternehmen gehen davon aus, dass die Aufsichtsbehörden ihre Kommunikation in Zukunft stärker überwachen werden, weshalb diese Unternehmen begonnen haben, die Purview-Plattform von Microsoft erneut zu prüfen. Daher ist es für Entscheidungsträger in Finanzdienstleistungsunternehmen von entscheidender Bedeutung, ihre Optionen zu kennen, und Information Governance ist die Grundlage für die Aufrechterhaltung solider Aufbewahrungspraktiken. Auf Compliance ausgerichtete Information-Governance-Programme sollten auch die Richtlinien für autorisierte Kommunikationskanäle hervorheben, da dies den Unternehmen dabei hilft, den Überblick über die zu archivierenden Daten zu behalten und das Risiko der Verwendung unkontrollierter Kommunikation zu verringern.

Um sich weiterhin zu beschweren, sollten Finanzdienstleistungsunternehmen Microsoft 365 (M365) in Betracht ziehen. Obwohl viele Finanzdienstleister M365 bereits für E-Mail, Dokumentenmanagement und Zusammenarbeit eingeführt haben, speichern sie ihre Nachrichten weiterhin in separaten Archivlösungen. Diese Legacy-Archive sind seit 10, 15 oder sogar 20 Jahren im Einsatz und speichern oft Petabytes an Informationen. Sie verfügen möglicherweise über Funktionen für eDiscovery, Legal Hold, Überwachung und Archivierung. Unternehmen überdenken M365 und planen ihre Roadmap, um M365 als Archivsystem zu nutzen, um die gesetzlichen Auflagen zu erfüllen.

Die Wiederverwendung von Tools, die bereits für andere Funktionen verwendet werden, bietet erhebliche Kosteneinsparungen und Vorteile bei der Implementierung. Microsoft bietet die gleichen Funktionen wie die bisherigen Archivlösungen, einschließlich Archivierung, Überwachung, eDiscovery und Records Management. Die Finanzdienstleistungsbranche und die Aufsichtsbehörden haben erkannt, dass M365 Purview spezielle Anforderungen, wie die 17a-4-Vorschriften, erfüllen kann.

Zu den wichtigsten Funktionen gehören:

• Aufbewahrung und Records Management: M365 verfügt über integrierte Funktionen, die es Unternehmen ermöglichen, hochwertige Inhalte zu verwalten und gesetzliche Auflagen zu erfüllen. Die Anwendung von Aufbewahrungskennzeichnungen und -richtlinien bietet eine grundlegende Governance für Daten in M365-Workloads.
• Microsoft Purview eDiscovery Premium: Mit dieser Lösung können Unternehmen M365-Daten vor Ort aufbewahren, potenziell relevante Informationen sammeln und diese Daten dann innerhalb der M365-Umgebung überprüfen und aussondern. Unternehmen können die Menge an irrelevanten, aber vertraulichen Daten, die ihre Umgebung verlassen, reduzieren und dadurch Einsparungen bei der zukünftigen Produktion erzielen.
• Legal Hold und In-Place Preservation: Es gibt einen integrierten Kommunikations-Workflow, mit dem Benachrichtigungen über gesetzliche Aufbewahrungsfristen an Verwahrer gesendet und Bestätigungen verfolgt werden können. Benutzer können auch eine Automatisierung für die In-Place Preservation mit Graph APIs aufbauen oder eine Benutzeroberfläche zur Verwaltung des Prozesses verwenden.
• Konforme Archivierung: Unternehmen können Daten aufbewahren, um die Anforderungen von FINRA, SEC, FERC und anderen Behörden zu erfüllen. Es stehen Funktionen zur Verfügung, um die Einhaltung von Aufsichts- und Überwachungspflichten zu optimieren, indem Benutzer die Kommunikation überprüfen und bei Verstößen Untersuchungen einleiten können.
• Schutz vor Datenverlust (DLP): Diese Funktionen helfen bei der Kontrolle sensibler Daten in Exchange, Teams, SharePoint, OneDrive und auf Geräten. Diese Funktionen in einer einzigen Plattform zu haben, ist äußerst wertvoll. Es ist wichtig zu bedenken, dass die Einführung von M365 als Archivsystem zu einer Vielzahl von Dokumentationsaktualisierungen führt. Eine Bestandsaufnahme und Überprüfung der Dokumentation ist erforderlich, um sicherzustellen, dass sich die Funktionen in den Unternehmensrichtlinien, Verfahren, Onboarding- und Offboarding-Aktivitäten für Mitarbeiter sowie in den Schulungsunterlagen widerspiegeln. Auch wenn die Einführung einige Zeit in Anspruch nehmen wird, sollten Unternehmen nach der Implementierung einen erheblichen ROI und eine verbesserte Benutzerfreundlichkeit feststellen.

Der Inhalt dieses Artikels dient nur der allgemeinen Information und stellt keine Rechtsberatung oder -meinung dar.