Multi-Plattform Compliance Recording in regulierten Branchen: Was Unternehmen beachten müssen
Die meisten regulierten Unternehmen betreiben zwei oder drei separate Recording-Lösungen und erfüllen damit die Anforderungen an ein auditfähiges Multi-Plattform Compliance Recording nicht. Jede dieser Lösungen ist an unterschiedliche Telefonieplattformen, Archive und Aufbewahrungskonfigurationen gebunden. Jede hat ihre eigene Benutzeroberfläche und Suchlogik. Das setzt Unternehmen dem Risiko aus, dass unentdeckte Aufzeichnungslücken erst während eines Audits sichtbar werden.
Dieser Artikel stützt sich auf jahrzehntelange Implementierungserfahrung im Finanzdienstleistungssektor. Er zeigt, wie sich Multi-Plattform Compliance Recording umsetzen lässt, wo fragmentierte Recording-Setups Risiken erzeugen und was eine zertifizierte Lösung leisten muss.
Was bedeutet Multi-Plattform Compliance Recording?
Multi-Plattform Compliance Recording ist die Erfassung von Kommunikation über jede Plattform und Modalität hinweg, die ein reguliertes Unternehmen nutzt, gespeichert in einem einheitlichen Archiv, das Aufbewahrungsregeln anwendet und auf Anfrage vollständige Aufzeichnungen liefert.
Die Komplexität, dies konsistent über eine fragmentierte Kommunikationslandschaft hinweg umzusetzen, ist heute so gross wie nie zuvor. Regulierte Benutzende kommunizieren über Microsoft Teams, Webex, Zoom, Mobilgeräte und Trading-Plattformen und erwarten nahtlose Konnektivität, wo immer das Geschäft sie hinführt. Die Ära einer einzigen On-Premise-Plattform für die gesamte Unternehmenskommunikation ist endgültig vorbei.
Was verlangen die Vorschriften für Multi-Plattform Compliance Recording?
Die zentrale Aufzeichnungspflicht ist über die wichtigsten regulatorischen Rahmenwerke hinweg konsistent: alle relevanten Geschäftskommunikationen erfassen, diese für einen definierten Zeitraum aufbewahren und auf Anfrage bereitstellen. Aufbewahrungsfristen und Geltungsbereich variieren je nach Jurisdiktion.
| Regulierung | Region | Aufzeichnungspflicht | Aufbewahrungsfirst |
| MiFID II (Richtlinie über Märkte für Finanzinstrumente II) | EU | Kommunikation, die zu Transaktionen führt oder darauf abzielt | 5-7 Jahre |
| DORA (Gesetz zur digitalen Betriebssicherheit) | EU | IKT-bezogene Kommunikation, die der Vorfallsmeldung und Audits unterliegt | Gemäss IKT-Risikomanagement-Richtlinie |
| DSGVO (Datenschutz-Grundverordnung) | EU | Aufzeichnung zulässig bei berechtigtem Interesse, gesetzlicher Verpflichtung oder Einwilligung | Dauer des Geschäftszwecks |
| FINRA (Finanzaufsichtsbehörde) und Dodd-Frank | U.S. | Sämtliche Geschäftskommunikation über jedes genutzte Medium | 3-6 Jahre |
| FINMA (Eidgenössische Finanzmarktaufsicht) | CH | Nachweis für Kundenberatungskommunikation | Bis zu 10 Jahre |
Eine detaillierte Aufschlüsselung der überarbeiteten MiFID-II-Umsetzungsanforderungen finden Sie in unserem MiFID-III-Compliance-Leitfaden. Die Auswirkungen von DORA auf Drittanbieter im Kommunikationsbereich behandelt dieser DORA-Compliance-Artikel.
Drei Punkte, die regulierte Unternehmen beim Multi-Plattform Compliance Recording beachten müssen
Unabhängig davon, ob ein Unternehmen zwei oder zehn verschiedene Plattformen aufzeichnet, hängt die Auditfähigkeit einer Multi-Plattform-Lösung von drei Anforderungen ab: zuverlässige Aufzeichnung, korrekte Aufbewahrung und schneller Abruf. Alle drei verschlechtern sich unter einem fragmentierten Multi-Vendor-Ansatz, aber sie versagen nicht gleichermassen.
Aufzeichnung: Alles jederzeit erfassen
Der entscheidende Faktor beim Compliance Recording ist, ob die Infrastruktur jeden Kanal abdeckt, auf dem regulierte Kommunikation tatsächlich stattfindet. Ein nicht aufgezeichneter Anruf ist verloren. Keine Aufbewahrungsrichtlinie greift bei einer Aufzeichnung, die nie entstanden ist. Kein Abrufsystem liefert eine Datei, die nicht existiert.
Diese Asymmetrie ist der Grund, warum die Aufzeichnungszuverlässigkeit bei jeder Bewertung eines Compliance-Recording-Setups an erster Stelle steht. In einer Multi-Plattform-Umgebung ist diese Zuverlässigkeit schwerer zu garantieren, als die meisten Unternehmen annehmen.
In der Praxis klafft fast immer eine Lücke zwischen den von der IT freigegebenen Plattformen und den Kanälen, die Mitarbeitende tatsächlich nutzen. Die Recording-Infrastruktur eines Unternehmens orientiert sich typischerweise am offiziellen Kommunikations-Stack: an den Plattformen, welche die IT beschafft, eingeführt und konfiguriert hat. Das Kommunikationsverhalten der Mitarbeitenden bleibt jedoch nicht immer innerhalb dieses Perimeters. Kundengespräche wandern auf private Geräte ab. Geschäfte werden über Messaging-Anwendungen vorangetrieben, die nie unter eine Recording-Richtlinie fielen. Eine im Rahmen einer Akquisition eingeführte Plattform bringt Kommunikationskanäle mit sich, die nie an die Recording-Infrastruktur angebunden werden.
Zuverlässige Erfassung in einer Multi-Plattform-Umgebung erfordert eine Lösung, die den vollständigen aktiv genutzten Kanal-Footprint abdeckt – nicht nur die Kanäle im IT-Inventar. Die am schwersten sichtbaren Kanäle sind diejenigen, die das grösste Risiko erzeugen: Kein einzelnes plattformspezifisches Tool ist darauf konfiguriert, diese Kommunikation zu erfassen. Eine siloartige Architektur verfügt über keinen Mechanismus, sie überhaupt als fehlend zu erkennen.
Aufbewahrung: Aufzeichnungen für die geforderte Dauer speichern
Die praktische Konsequenz von Aufbewahrungsanforderungen in einer Multi-Plattform-Umgebung ist, dass Aufzeichnungen aus unterschiedlichen Plattformen die korrekten Aufbewahrungsregeln tragen müssen, ganz unabhängig davon, wo sie entstanden sind. Eine Aufzeichnung aus einem Webex-Anruf und eine Aufzeichnung aus einem IPC-Trading-Turret, die sich auf dieselbe Transaktion beziehen, unterliegen unter MiFID II beispielsweise derselben Aufbewahrungspflicht.
In einem siloartigen Setup werden Aufbewahrungsregeln pro System konfiguriert. Eine Richtlinienänderung, die in einem Archiv angewendet, in einem anderen aber übersehen wird, führt dazu, dass Aufzeichnungen derselben Pflicht unterschiedlich behandelt werden. Diese Abweichung wird oft erst sichtbar, wenn ein Auditor eine Abfrage stellt.
Das Aufbewahrungsproblem ist keine Frage der Komplexität. Es ist die Vervielfachung der menschlichen Fehlerangriffsfläche mit jedem zusätzlichen System. Anders als ein Erfassungsfehler ist ein Aufbewahrungsfehler reparabel – aber nur, wenn er rechtzeitig entdeckt wird.
Einer unserer Kunden hat diese Realität vor der Konsolidierung auf eine einzige Plattform wie folgt beschrieben:
Abruf: Auf die richtige Aufzeichnung zugreifen, wenn es darauf ankommt
Der Abruf ist der Moment, in dem Erfassungs- und Aufbewahrungsfehler sichtbar werden, weil hier die Vollständigkeit auf die Probe gestellt wird. Ein Auditor, der einen bestimmten Kommunikationsdatensatz anfordert, erwartet einen schnellen Zugriff auf einen vollständigen Datensatz. Eine einheitliche Suchoberfläche über alle aufgezeichneten Plattformen hinweg liefert dies in einem einzigen Schritt. Ein siloartiges Setup erfordert hingegen, bereits im Voraus zu wissen, welches System die Aufzeichnung enthält, dann innerhalb dieses Systems zu suchen und anschliessend zu prüfen, ob relevante Kommunikation in anderen Systemen existiert. Unter Auditbedingungen ist dieser Prozess nicht nur langsam, sondern selbst bereits ein Audit-Befund.
Christian Jordan stellt fest, dass dies bei grossen Finanzdienstleistern eher die Regel als die Ausnahme ist:
Worauf bei einer Multi-Plattform-Compliance-Recording-Lösung zu achten ist
Eine Lösung, die Multi-Plattform-Aufzeichnung konsolidiert, muss drei Anforderungen erfüllen, um operativ glaubwürdig zu sein: zertifizierte Integrationen für jede eingesetzte Plattform, ein wirklich einheitliches Archiv (nicht nur eine gemeinsame Oberfläche über getrennten Speichersystemen) und ein Aufbewahrungsmanagement, das mehrere regulatorische Rahmenwerke automatisch auflöst.
Plattform-Zertifizierungen & -Integrationen
Die wichtigste Unterscheidung bei der Bewertung von Anbieterversprechen ist jene zwischen Zertifizierung und Kompatibilität. Eine zertifizierte Integration auf API-Ebene ist vom Plattformanbieter für Compliance-fähige Erfassung validiert. Sie bewältigt das vollständige Spektrum plattformspezifischer Szenarien wie geräteübergreifende Anrufe, Remote-Benutzende, plattformspezifische Verschlüsselung und Edge Cases, die bei Migrationen entstehen. Diese Szenarien wurden vom Plattformanbieter selbst geprüft und bestätigt.
Eine kompatible Integration funktioniert unter Standardbedingungen. Sie ist nicht für die Edge Cases validiert, aus denen Aufzeichnungslücken entstehen. Tritt während eines Audits eine Lücke auf, ist allgemeine Kompatibilität gegenüber einer Aufsichtsbehörde keine verteidigungsfähige Position. Für Microsoft Teams ist beispielsweise die spezifische Bezeichnung M365-zertifiziertes Compliance Recording zu prüfen. Für Trading-Plattformen ist die Zertifizierung direkt beim Plattformanbieter zu verifizieren. Anbieteraussagen zur Kompatibilität sind kein Ersatz.
Ein einheitliches Archiv für Abruf & Auditfähigkeit
Eine einheitliche Oberfläche ist nicht dasselbe wie ein einheitliches Archiv. Dieser Unterschied ist unter Auditbedingungen entscheidend. Eine Lösung, die Aufzeichnungen aus verschiedenen Plattformen in getrennte Speichersysteme leitet und sie über ein gemeinsames Frontend sichtbar macht, reproduziert das Abrufproblem: Sie legt eine Schicht darüber, ohne die zugrunde liegende Struktur zu lösen. Vollständigkeit lässt sich aus einer einzigen Abfrage heraus nicht verifizieren.
Ein wirklich einheitliches Archiv konsolidiert Aufzeichnungen auf Datenebene. Dieselben Aufbewahrungsrichtlinien, manipulationssicheren Speicherkontrollen sowie dasselbe Metadatenschema gelten unabhängig von der Ursprungsplattform. Eine Suche liefert den vollständigen Datensatz. Vollständigkeit lässt sich somit bestätigen.
Skalierbarkeit über Regionen & regulatorische Rahmenwerke hinweg
Für Unternehmen, die in mehreren Jurisdiktionen tätig sind, muss die Recording-Lösung unterschiedliche Aufbewahrungsregeln auf Aufzeichnungen aus unterschiedlichen regulatorischen Umgebungen automatisch anwenden. Ein Unternehmen mit Niederlassungen in London, New York und Zürich operiert beispielsweise gleichzeitig unter MiFID II, FINRA und FINMA. Aufbewahrungsrichtlinien sollten diese Anforderungen auf Systemebene auflösen; nicht durch manuelle Konfiguration bei jedem neuen Markt oder jeder neuen Regulierung.
Wie deckt Luware Recording mehrere Kommunikationsplattformen ab?
Luware Recording, Luwares zertifizierte Multi-Plattform-Compliance-Recording-Lösung für regulierte Branchen, verbindet sich über zertifizierte Integrationen auf API-Ebene mit den Audio-, Video-, Chat- und Trading-Kommunikationsplattformen, die ein Unternehmen einsetzt. Diese speisen jede Aufzeichnung in ein einziges einheitliches Archiv mit konsistenten Aufbewahrungsregeln, Metadaten und manipulationssicheren Speicherkontrollen.
Für Microsoft Teams nutzt Luware Recording eine native, richtlinienbasierte Integration, die Sprachanrufe, Videomeetings, Chats und Bildschirmfreigaben direkt aus der Microsoft Cloud über zertifizierte In-Cloud-API erfasst. Auf Endgeräten der Benutzenden ist keine Software-Installation erforderlich. Damit ist die Erfassung unabhängig vom Standort oder Gerät, sofern die Kommunikation auf den unterstützten Plattformen stattfindet.
Für Cisco Webex, IPC-Trading-Turrets und 1GLOBAL Mobile Recording setzt Luware dedizierte Konnektor-Integrationen ein, die Aufzeichnungen direkt in dasselbe Archiv wie die Teams-Interaktionen einspeisen. Unabhängig von der Ursprungsplattform werden Aufzeichnungen zentral und konsistent gemäss den konfigurierten Aufbewahrungsrichtlinien, Metadatenschemata und Speicherkontrollen verwaltet. In der Praxis bedeutet dies: Eine Compliance-Verantwortliche oder ein Auditor kann eine einzige Abfrage über alle Plattformen hinweg ausführen, statt sich in separate Systeme einzuloggen, getrennte Suchoberflächen zu bedienen und Ergebnisse manuell abzugleichen.
Zu Luwares Zertifizierungen und Technologiepartnerschaften gehören:
-
Microsoft 365-zertifizierte Compliance-Recording-Lösung
-
ISO 27001
-
ISO 9001
-
SOC 2 Typ II
-
Verint Financial Compliance Partner
Was ist der erste Schritt zu auditfähigem Multi-Plattform Compliance Recording?
Der Ausgangspunkt für Compliance-Verantwortliche, die ihr aktuelles Setup bewerten, ist eine Überprüfung der Plattformabdeckung: ein strukturierter Abgleich jedes aktiv genutzten Kommunikationskanals mit der vorhandenen Recording-Infrastruktur. Wenn diese beiden Listen nicht übereinstimmen, ist die Lücke dazwischen die Compliance-Exponierung.
Falls Sie noch keine zuverlässige Compliance-Recording-Grundlage etabliert haben, lesen Sie diesen Leitfaden zu Risiken und Nutzen von Compliance Recording, bevor Sie eine Anbieterbewertung durchführen.
Wie ein globaler Rückversicherer von fragmentiertem Multi-Plattform-Recording auf eine einzige konsolidierte Lösung gewechselt hat, zeigt die Swiss Re-Fallstudie.
