E-Mail-Compliance-Anforderungen für Unternehmen
E-Mail-Compliance geht über die Sicherstellung der rechtlichen Konformität Ihrer Marketing-E-Mails hinaus und umfasst auch die alltägliche Kommunikation.
Was genau ist E-Mail-Compliance? Unter E-Mail-Compliance versteht man die Einhaltung bestimmter Vorgaben in Datenschutzgesetzen und gesetzlichen Standards. Diese Standards können branchenspezifisch sein, wie HIPAA oder PCI, oder regionsspezifisch, wie GDPR.
Warum ist E-Mail-Compliance wichtig?
Compliance-Standards beinhalten immer auch eine Form des Datenschutzes. Mit der digitalen Technologie ist die Informationssicherheit noch wichtiger geworden. Dementsprechend verlangen die meisten Vorschriften eine Form des Datenschutzes für die Übermittlung personenbezogener Daten über alle Kanäle.
In vielen Fällen können Sicherheitskontrollen in einem relativ kleinen Rahmen funktionieren. Die Verschlüsselung von Dateiübertragungen oder Datenservern ist auf bestimmte Technologien oder Cloud-Umgebungen beschränkt, und die interne Sicherheit kann diese Daten schützen.
Die Rolle der personenbezogenen Informationen
Es gibt noch weitere Bedenken in Bezug auf personenbezogene Daten in E-Mails. Zunächst einmal sind E-Mails standardmäßig unverschlüsselt, es sei denn, sie werden über einen verschlüsselten Server gesendet. Im Gegensatz zu Dateiübertragungssystemen müssen bei der E-Mail-Verschlüsselung sowohl der Absender als auch der Empfänger die gleiche Verschlüsselungsmethode verwenden, um die Sicherheit zu gewährleisten. Da E-Mails so weitverbreitet sind, fällt es vielen öffentlichen und privaten E-Mail-Anbietern unglaublich schwer, die Verschlüsselung zu gewährleisten.
Weil E-Mails eine der am häufigsten genutzten Kommunikationsformen im Internet sind, werden sie außerdem häufig von regulierten Unternehmen für die Kommunikation mit der Öffentlichkeit genutzt. Diese Unternehmen haben keine Kontrolle über E-Mail-Systeme außerhalb ihrer Grenzen, was bedeutet, dass sie die Sicherheit oder den Datenschutz dieser Informationen nicht garantieren können.
Schließlich enthalten viele Vorschriften auch Anforderungen an die Datenspeicherung und –aufbewahrung, und öffentliche Anbieter oder Drittanbieter bieten diese Funktionen möglicherweise nicht an – zumindest nicht standardmäßig und nicht zum Nulltarif.
E-Mail-Compliance ist unglaublich wichtig, denn viele Menschen verlassen sich auf E-Mails. Dennoch sind E-Mails in der Regel nicht sicher und stellen für viele Unternehmen einen potenziell gefährdeten Bereich dar.
Welche Datenschutzgesetze beeinflussen die E-Mail-Kommunikation?
Die Compliance-Anforderungen sind branchen- und anwendungsübergreifend nicht einheitlich. Unternehmen müssen die spezifischen Verpflichtungen und Anforderungen einer bestimmten Branche verstehen, um die Compliance für ein Unternehmen zu definieren.
Zu den gesetzlichen Anforderungen gehören folgende:
Health Insurance Portability and Accountability Act (HIPAA)
Gemäß den HIPAA-Vorschriften müssen Gesundheitsdienstleister die Gesundheitsdaten ihrer Patienten vor unbefugter Offenlegung schützen, was die Verwendung unverschlüsselter E-Mails ausschließt. Viele dieser Organisationen haben sich für verschlüsselte Server, private Datenzentren und sichere Links entschieden, die Patienten zu interaktiven Portalen als Teil eines HIPAA-konformen E-Mail-Konzepts leiten. Mit diesen Links können die Anbieter ihre Patienten zu ihren sicheren Systemen leiten, ohne eine Offenlegung zu riskieren oder gegen die Vorschriften zu verstoßen.
Payment Card Industry Data Security Standard (PCI DSS)
In den meisten Fällen wird ein Unternehmen niemals Bezahlinformationen an einen Kunden senden. Intern jedoch setzen konforme Unternehmen sichere Umgebungen für Karteninhaberdaten ein, die Bezahlinformationen enthalten. E-Mails in diesen Umgebungen müssen die Verschlüsselungsanforderungen des PCI DSS erfüllen.
General Data Protection Regulation (GDPR)
Die GDPR, zu Deutsch Datenschutzgrundverordnung (DSGVO), ist ein auf der Europäischen Union basierendes Compliance Framework, das für seine strengen Informationskontrollen bekannt ist. Compliance im Rahmen der GDPR erfolgt in zwei verschiedenen Kontexten:
- Sicherheit und Verschlüsselung: Verbraucherdaten müssen von den Unternehmen während der Übertragung und Verarbeitung geschützt werden, und das gilt auch für die Kommunikation. Daher müssen E-Mails verschlüsselt und alle kritischen, privaten Informationen auf dem Server und während der Übertragung verschleiert werden.
- Marketing und Zustimmung: Die GDPR fordert auch einen “Opt-in”-Ansatz für die Einhaltung der Marketingvorschriften, bei dem Unternehmen E-Mails nicht ohne die ausdrückliche Zustimmung des Verbrauchers für Marketingzwecke verwenden dürfen. Dies unterscheidet sich erheblich von den US-Gesetzen, die es Unternehmen erlauben, Nutzeradressen in Marketingdatenbanken aufzunehmen und nur Opt-out-Optionen anzubieten.
Ein ähnliches Gesetz, die Privacy and Electronic Communications Regulations von 2003, hat im Vereinigten Königreich vor dem Bestehen der Europäischen Union viel davon umgesetzt, indem es eine direkte Zustimmung für Marketingzwecke verlangt.
Ein anderes, ähnliches Gesetz, der California Consumer Protection Act (CCPA), verlangt strengere E-Mail-Kontrollen für das Marketing, ähnlich wie die GDPR. Allerdings gilt der CCPA nur für Unternehmen, die im Bundesstaat Kalifornien tätig sind.
Federal Risk and Authorization Management Program (FedRAMP) und Cybersecurity Maturity Model Certification (CMMC)
Sowohl FedRAMP als auch CMMC sind Regierungsverordnungen. Erstere betrifft Cloud-Produkte und -Dienste, die von Bundesbehörden genutzt werden, und letztere richtet sich an Auftragnehmer, die digitale Dienste in der Lieferkette des Verteidigungsministeriums anbieten.
In beiden Fällen stützen sich diese Rahmenregelungen auf die vom National Institute of Standards and Technology veröffentlichten Dokumente: NIST 800-53 und NIST 800-171. Beide Dokumente schreiben die Verschlüsselung von E-Mails vor und verbieten die Übertragung geschützter Daten in ungesicherten E-Mails sowohl intern als auch extern.
Darüber hinaus gibt es in beiden Regelwerken Vorschriften für die Überprüfung von E-Mails und für das Scannen auf Sicherheitslücken.
Controlling the Assault of Non-Solicited Pornography and Marketing (CAN-SPAM)
Dieses allgemeine Marketinggesetz (zur “Kontrolle des Missbrauchs nicht angeforderter Pornografie und Werbung”), das 2003 vom US-Kongress verabschiedet wurde, regelt, wie Werbetreibende in den Vereinigten Staaten E-Mails versenden. Dazu gehört die Kontrolle des Marketings durch Standards wie die Forderung nach “Opt-out”-Listen, genauen E-Mail-Inhalten (einschließlich Betreff und “Von”-Informationen) und Beschränkungen bei der Maskierung von Kopfzeileninformationen oder dem Versand an gesammelte Accounts.
E-Mail und Datenaufbewahrung
Die gesetzlichen Bestimmungen enthalten oft eine Aufbewahrungsrichtlinie. Von Unternehmen wird erwartet, dass sie Aufzeichnungen über die gesamte E-Mail-Kommunikation für einen bestimmten Zeitraum aufbewahren, typischerweise in Fällen, in denen Beweise für Gerichtsverfahren oder Untersuchungen benötigt werden.
Einige der gesetzlichen Vorgaben für die Aufbewahrung von E-Mails sind die folgenden:
Vorschriften | Für wen gelten sie? | Erforderliche Dauer der E-Mail-Aufbewahrung |
Freedom of Information Act (FOIA) | Bundes- und Landesbehörden | 3 Jahre |
Sarbanes-Oxley Act (SOX) | Alle börsennotierten Unternehmen | 7 Jahre |
Federal Deposit Insurance Corporation Regulations (FDIC) | Finanzinstitute | 5 Jahre |
Health Insurance Portability and Accountability Act (HIPAA ) | Gesundheitsdienstleister, Versicherungsgesellschaften und Dienstleister, die Patientendaten verwalten | 7 Jahre |
Payment Card Industry Data Security Standard (PCI DSS) | Jedes Unternehmen, das Informationen über Kreditkartenzahlungen verarbeitet oder speichert | 1 Jahr |
IRS-Meldevorschriften | Alle Unternehmen in den Vereinigten Staaten | 7 Jahre |
CMMC und andere Vorschriften des Verteidigungsministeriums | Auftragnehmer des US-Verteidigungsministeriums | 3 Jahre |
Die Aufbewahrungspflicht kann in anderen Rechtssystemen anders funktionieren. Die GDPR enthält zum Beispiel spezielle rechtliche Vorgaben, die die Art und Weise einschränken, wie Unternehmen Verbraucherdaten aufbewahren und verarbeiten dürfen – nämlich nicht über das hinaus, was für ihre angegebenen Geschäftszwecke angemessen ist. Daher gibt es in der GDPR keine verbindlichen Mindest- oder Höchstwerte für die Aufbewahrung von E-Mails.
Herausforderungen und Best Practices für die E-Mail-Compliance
Viele Unternehmen wissen nicht unbedingt, wer die Verantwortung für die Einhaltung der Vorschriften tragen soll, und deshalb werden viele mit einigen Aspekten der Compliance Schwierigkeiten haben.
Im Allgemeinen gibt es einige Herausforderungen was die E-Mail-Compliance anbelangt:
- Training und Ausbildung: Die Mitarbeiter müssen darin geschult werden, welche Informationen sie per E-Mail weitergeben können und welche nicht, und wie sie die E-Mail-Technologie richtig einsetzen, um Verschlüsselungs- und Sicherheitsstandards einzuhalten.
- Automatisierung und Aufbewahrung: Von den Benutzern kann nicht erwartet werden, dass sie alle E-Mails aufbewahren, und bei Hunderttausenden von E-Mails pro Jahr gehen zwangsläufig einige verloren. Die Einrichtung von Automatisierung und sicherer Speicherung kann die Anforderungen an die Aufbewahrung erleichtern, ohne Mitarbeiter oder Administratoren zu belasten.
- Aufbewahren des Zustimmungsnachweises: In Ländern wie denen der Europäischen Union müssen Unternehmen einen Nachweis über die Zustimmung zu Marketing-E-Mails führen. Dieser sollte in CRM- oder andere konforme Systeme integriert werden, damit alle Aufzeichnungen vorhanden sind, falls ein Audit oder eine Anfechtung durch einen Verbraucher erfolgt.
E-Mail-Compliance beginnt mit Compliance-Tools
Das Versenden gesetzeskonformer E-Mails kann wie eine Mammutaufgabe erscheinen. Durch den Einsatz gesetzeskonformer Technologien und Automatisierung im Vorfeld kann ein Unternehmen jedoch die Fallstricke bei der Einhaltung der Vorschriften vermeiden und gleichzeitig die E-Mail-Kommunikation für die Kommunikation mit Kunden und Mitarbeitern nutzen.
Die Kiteworks-Plattform ermöglicht es Unternehmen in Branchen wie Verteidigung und staatlicher Fertigung, Technologie, Gesundheitswesen, Biowissenschaften und Pharmaindustrie sowie im Bereich des Rechtswesens, die E-Mail-Compliance zu gewährleisten. Die Kiteworks-Plattform nutzt ein System aus sicheren E-Mail-Links, geschützten Servern, Daten-Monitoring und Analysen, um sicherzustellen, dass keine sensiblen Informationen per E-Mail weitergegeben werden und dass die Zustimmungs- und “Opt-in”-Dokumentation in einem unveränderlichen Audit-Protokoll gesichert wird.
Um mehr über Kiteworks zu erfahren, fordern Sie eine individuelle Demo an.
–>