Data Retention Policy (Aufbewahrungsrichtlinie)

Was ist eine Data Retention Policy?

Eine Data Retention Policy (Richtlinie zur Datenaufbewahrung oder Datenaufbewahrungsrichtlinie) legt fest, wie Informationen entsprechend betrieblicher und legaler Vorgaben aufbewahrt werden müssen. In der Regel definieren IT-Verantwortliche, die Rechtsabteilung und die Geschäftsführung gemeinsam diese Richtlinien. Die Datenaufbewahrung in Firmen ist ein Konzept, welches die Prozesse zum Speichern und Vorhalten von Daten sowie die dafür nötigen Zeiträume und Vorgaben beschreibt, um digitale Informationen unternehmensgerecht aufzubewahren.

Bei der Ausarbeitung einer Richtlinie für die Datenaufbewahrung stehen Unternehmen vor wichtigen Aufgaben. Sie müssen zunächst festlegen, wie Informationen organisiert werden sollen, um eine effiziente spätere Suche und Abrufbarkeit zu gewährleisten. Darüber hinaus ist es erforderlich, Verfahren für die Entsorgung von Informationen zu definieren, die nicht mehr benötigt werden. Um diesen Prozess zu erleichtern, greifen viele Unternehmen auf Vorlagen für Richtlinien zur Datenaufbewahrung zurück. Diese Vorlagen bieten einen hilfreichen Rahmen, an dem sich die Unternehmen bei der Ausarbeitung ihrer eigenen, maßgeschneiderten Richtlinien orientieren können.

Was lässt sich mit einer Data Retention Policy erreichen?

Das Ziel der Datenaufbewahrung für diese Unternehmen besteht darin, genügend Zeit für die Gewinnung des erforderlichen Werts aus den Daten einzuplanen und dabei den Datenschutz und die Sicherheit zu berücksichtigen. Unternehmen können zwar ihre eigenen Anforderungen an die Datenaufbewahrung formulieren, aber es gibt auch rechtliche Erwägungen, die von Faktoren wie der geografischen Lage abhängen. Andere Gründe, warum ein Unternehmen der Datenaufbewahrung Vorrang einräumt, könnten der Bedarf an zukünftigen Datenanalysen sein.

Aus welchem Grund auch immer, es ist unerlässlich, dass Unternehmen ihre Daten zu ihrem eigenen Nutzen und zur Einhaltung von Compliance-Anforderungen oder behördlichen Vorschriften ordnungsgemäß verwalten. Da Unternehmen mit vielen verschiedenen Arten von Daten arbeiten und der Nutzen bestimmter Daten im Laufe der Zeit abnehmen kann, kann die Verwaltung und Aufbewahrung solcher Daten kompliziert werden. Aus diesem Grund sind Richtlinien zur Datenaufbewahrung notwendig, um all dies zu bewältigen.

Gute Gründe für eine Datenaufbewahrungsrichtlinie 

Eine Data Retention Policy ist Teil der Gesamtstrategie eines Unternehmens für die Datenverwaltung. Eine Richtlinie ist wichtig, da sich die Datenmenge dramatisch erhöhen kann. Daher ist es entscheidend, festzulegen, wie lange ein Unternehmen bestimmte Daten aufbewahren muss. Ein Unternehmen sollte Daten nur so lange wie nötig aufbewahren, das heißt zum Beispiel sechs Monate oder sechs Jahre. Wenn Daten länger als nötig aufbewahrt werden, wird unnötig viel Speicherplatz verbraucht und es entstehen höhere Kosten.

Welche Vorteile bietet eine Data Retention Policy?

Die Einführung einer soliden Richtlinie zur Datenaufbewahrung bietet zahlreiche Vorteile. Einige der wichtigsten Vorteile sind:

• Automatisierte Einhaltung der Vorschriften (Compliance). Mit einer festgelegten Richtlinie können Unternehmen sicherstellen, dass sie die gesetzlichen Vorschriften zur Aufbewahrung verschiedener Datentypen einhalten.
• Geringere Wahrscheinlichkeit von Bußgeldern im Zusammenhang mit der Einhaltung von Vorschriften. Selbst wenn ein Unternehmen alle gesetzlich vorgeschriebenen Daten aufbewahrt, muss es in der Lage sein, diese Daten vorzulegen, wenn sie von Prüfern angefordert werden (Audits). Wenn nur die minimal erforderliche Datenmenge aufbewahrt wird, ist es einfacher und weniger zeitaufwändig, diese Daten zu finden, wodurch die Wahrscheinlichkeit verringert wird, dass eine Organisation mit einer Geldstrafe belegt wird, weil sie nicht in der Lage ist, aufbewahrungspflichtige Daten vorzulegen.
• Geringere Speicherkosten. Die Speicherung von Daten ist mit direkten Kosten verbunden, und durch die Verringerung des gespeicherten Datenvolumens werden auch die Speicherkosten gesenkt.
• Erhöhte Relevanz der vorhandenen Daten. Daten verlieren mit zunehmendem Alter an Relevanz, und eine Richtlinie zur Datenaufbewahrung entfernt irrelevante Daten, die nicht mehr benötigt werden.
• Geringeres rechtliches Risiko. Sobald Daten nicht mehr benötigt werden, werden sie entfernt/gelöscht, wodurch die Möglichkeit ausgeschlossen wird, dass die Daten bei einer gerichtlichen Offenlegung auftauchen und gegen das Unternehmen verwendet werden können.

Bewährte Praktiken für die Umsetzung einer Data Retention Policy

Bei der Erstellung einer Richtlinie für die Datenaufbewahrung sind die Anforderungen jeder Organisation unterschiedlich. Dennoch gibt es einige bewährte Verfahren, die Unternehmen bei der Erstellung einer Data Retention Policy beachten sollten. Einige dieser bewährten Praktiken umfassen:

• Rechtlichen Anforderungen identifizieren. Unternehmen müssen die Gesetze und Vorschriften ermitteln, die ihre Anforderungen an die Datenaufbewahrung regeln, damit diese Anforderungen in die Data Retention Policy aufgenommen werden können.
• Geschäftliche Anforderungen identifizieren. Die Erstellung einer wirksamen Richtlinie zur Datenaufbewahrung umfasst mehr als nur die Einhaltung der geltenden Vorschriften. Die Richtlinie zur Datenaufbewahrung muss auch die geschäftlichen Anforderungen der Organisation berücksichtigen. Möglicherweise gibt es betriebliche Anforderungen, die es erforderlich machen, Daten länger als gesetzlich vorgeschrieben aufzubewahren.
• Datentypen berücksichtigen. In jeder Organisation sind einige Daten wertvoller als andere. Ein Unternehmen sollte es vermeiden, eine pauschale Richtlinie zur Datenaufbewahrung zu erstellen, die für alle Arten von Daten gilt. Stattdessen sollte die Richtlinie speziell die Art der aufzubewahrenden Daten definieren und die Aufbewahrungsanforderungen für jede Art festlegen.
• Ein gutes Datenarchivierungssystem einführen. Wenn bestimmte Datentypen aufgrund gesetzlicher Bestimmungen länger aufbewahrt werden müssen, als sie vom Unternehmen benötigt werden, sollten Sie die Einführung eines Datenarchivierungssystems in Betracht ziehen. Ein Datenarchivierungssystem kann dazu beitragen, die Kosten für die Speicherung archivierter Daten zu senken, während es gleichzeitig die Verwaltung des Lebenszyklus von Datenautomatisiert und Ihnen die Werkzeuge zum Auffinden von Daten in den Archiven an die Hand gibt.
• Einen Plan für den Rechtsschutz haben. Wenn die Organisation in einen Rechtsstreit verwickelt ist, muss sie wahrscheinlich den Prozess der Datenlebenszyklusverwaltung unterbrechen, damit die Daten, die vorgeladen wurden, nicht automatisch gelöscht werden, sobald sie das Ende der Aufbewahrungsfrist erreicht haben.
• Zwei Versionen erstellen. Wenn ein Unternehmen der Einhaltung gesetzlicher Vorschriften unterliegt, muss es wahrscheinlich seine Anforderungen an die Datenaufbewahrung dokumentieren, um die gesetzlichen Vorgaben zu erfüllen. Dabei handelt es sich um ein förmlich geschriebenes Dokument, das mit juristischem Fachjargon gefüllt sein kann. Als bewährtes Verfahren sollten Sie eine einfachere Version des Dokuments erstellen, die intern verwendet werden kann, um den Beteiligten im Unternehmen ein besseres Verständnis der Aufbewahrungsanforderungen zu ermöglichen.

So erstellen Sie eine Datenaufbewahrungsrichtlinie

Die Erstellung einer Richtlinie für die Datenaufbewahrung ist selten ein einfacher Prozess, und manche Unternehmen halten es für besser, die Erstellung und Umsetzung der Richtlinie auszulagern, als dies intern zu tun. Für Organisationen, die ihre eigenen Data Retention Policys erstellen, gibt es zehn grundlegende Schritte:

1. Bestimmen Sie, wer für die Erstellung der Richtlinie verantwortlich ist. Diese Aufgabe wird in der Regel nicht von einer einzigen Person im Unternehmen erledigt, da sie Fachwissen in verschiedenen Bereichen erfordert. In der Regel ist der Prozess der Erstellung einer Data Retention Policy eine Teamarbeit, an der Mitglieder der IT-Abteilung, der Rechtsabteilung und andere wichtige Interessengruppen beteiligt sind.
2. Ermitteln Sie die rechtlichen Anforderungen des Unternehmens. Die Richtlinie muss die Anforderungen aller für das Unternehmen geltenden Vorschriften erfüllen oder übertreffen. Ermitteln Sie die rechtlichen Anforderungen im Voraus, da sie die Grundlage für die Richtlinie bilden werden.
3. Definieren Sie die geschäftlichen Anforderungen der Organisation. Dies bedeutet, dass verschiedene Datentypen identifiziert und festgelegt werden müssen, ebenso wie lange die einzelnen Datentypen aufbewahrt werden sollen. In der Regel sind die Daten für einen bestimmten Zeitraum aktiv, werden dann in den Archivspeicher verschoben und schließlich im Rahmen des Datenlebenszyklus-Managementprozesses des Unternehmens aus dem Archiv gelöscht.
4. Legen Sie fest, wer dafür verantwortlich ist, dass die Datenaufbewahrung gemäß der Richtlinie durchgeführt wird.
5. Legen Sie fest, wie interne Audits durchgeführt werden sollen, um die Einhaltung der Policy sicherzustellen.
6. Legen Sie fest, in welchen Abständen die Richtlinie zur Datenaufbewahrung überprüft und überarbeitet werden soll.
7. Arbeiten Sie mit den Personal- oder Rechtsabteilungen der Organisation zusammen, um ein Mittel zur Durchsetzung der Richtlinie festzulegen.
8. Legen Sie fest, wie die Anforderungen an die Datenaufbewahrung auf Software-Ebene umgesetzt und durchgesetzt werden.
9. Schreiben Sie die offizielle Data Retention Policy.
10. Legen Sie die Richtlinie nach ihrer Ausarbeitung den wichtigsten Beteiligten zur Genehmigung vor.

Eine Data Retention Policy korrekt umsetzen

Der operative Grund für die Umsetzung einer Data Retention Policy ist die ordnungsgemäße Datensicherung. Die Sicherungsdaten eines Unternehmens helfen bei der Wiederherstellung im Falle eines Datenverlustes. Eine Richtlinie ist wichtig, um sicherzustellen, dass das Unternehmen über die richtigen Daten und die richtige Menge an gesicherten Daten verfügt. Zu wenig gesicherte Daten bedeuten, dass die Wiederherstellung nicht so umfassend wie nötig ist, während zu viele Daten zu Verwirrung führen.

Eine Data Retention Policy sollte archivierte Daten anders behandeln als Backup-Daten. Archivierte Daten werden von der Organisation nicht mehr aktiv genutzt, aber dennoch für die langfristige Aufbewahrung benötigt. Es kann sein, dass ein Unternehmen Daten in Archive verschieben muss, um sie für spätere Zwecke oder zur Einhaltung von Vorschriften aufzubewahren. Archive werden auf billigeren Speichermedien gespeichert, so dass sie die Kosten und das Volumen der primären Datenspeicherung reduzieren. Ein Benutzer sollte in der Lage sein, Archive leicht zu durchsuchen.

Für die ordnungsgemäße Erstellung und Umsetzung einer Data Retention Policy, insbesondere im Hinblick auf die Einhaltung von Vorschriften, sollte das IT-Team mit dem Rechtsteam zusammenarbeiten. Das Rechtsteam hat eine bessere Vorstellung davon, wie lange Daten gesetzlich aufbewahrt werden müssen, während die IT-Abteilung für die tatsächliche Umsetzung der Richtlinie verantwortlich ist.

Seien Sie vorsichtig mit der Richtlinie zur Datenaufbewahrung. Nur weil eine Datei vor Jahrzehnten erstellt wurde, heißt das nicht, dass sie nach einer bestimmten Zeit automatisch gelöscht werden sollte. Bei dieser alten Datei könnte es sich um einen wichtigen Vertrag handeln, den das Unternehmen aufbewahren muss, oder sie könnte andere wertvolle Informationen enthalten.

Ein Speichersystem kann Daten auf der Grundlage von Regeln, die von der IT-Abteilung aufgestellt wurden, aufbewahren oder löschen. Die Verwendung von Metadaten ist eine Möglichkeit, um herauszufinden, wann ein Datenobjekt gelöscht oder einem bestimmten Speicherort zugewiesen werden soll. Automatisierte Software verschiebt alte Daten in Archive, was besonders für Unternehmen mit großen Datenmengen hilfreich ist. Manche Software kann Daten automatisch auf der Grundlage des Alters löschen, das in einem Aufbewahrungsplan festgelegt ist. Die Administratoren müssen sich jedoch vergewissern, dass die gelöschten Daten keinen weiteren Zweck erfüllen.

Compliance-Vorgaben und die Data Retention Policy

Eine Data Retention Policy muss den Wert der Daten im Laufe der Zeit und die Gesetze zur Datenaufbewahrung berücksichtigen, denen ein Unternehmen möglicherweise unterliegt. Im Jahr 2006 hat der Oberste Gerichtshof der USA anerkannt, dass es finanziell nicht möglich ist, alle Daten unbegrenzt aufzubewahren. Unternehmen müssen jedoch nachweisen, dass sie nur Daten löschen, die nicht bestimmten gesetzlichen Anforderungen unterliegen, und dabei einen wiederholbaren und vorhersehbaren Prozess anwenden. Das bedeutet, dass verschiedene Arten von Informationen unterschiedlich lange aufbewahrt werden. Die Aufbewahrungsfrist für die E-Mails der Mitarbeiter eines Krankenhauses ist beispielsweise eine andere als für die Patientenakten.

Obwohl es üblich ist, dass ein Unternehmen seine eigenen Anforderungen an die Datenaufbewahrung festlegt, müssen bestimmte Gesetze zur Datenaufbewahrung beachtet werden. Dies gilt insbesondere für Unternehmen, die in regulierten Branchen tätig sind. So müssen beispielsweise börsennotierte Unternehmen in den USA eine Richtlinie zur Datenaufbewahrung einführen, die dem Sarbanes-Oxley Act (SOX) von 2002 entspricht. Dieses Gesetz wurde verabschiedet, um das Vertrauen der Öffentlichkeit in den Finanzsektor nach Finanzberichtsskandalen wie dem der Enron Corporation wiederherzustellen und Betrug zu verhindern. SOX ist umfassend und hat viele Auswirkungen, aber eine wichtige Auswirkung, die man sich merken sollte, ist, dass es Unternehmen vorschreibt, Finanzberichte mindestens sieben Jahre lang aufzubewahren und sie dann zu vernichten, wenn sie nicht mehr benötigt werden.

In ähnlicher Weise unterliegen Organisationen des Gesundheitswesens den Anforderungen des Health Insurance Portability and Accountability Act (HIPAA) zur Datenaufbewahrung, und Organisationen, die Kreditkarten akzeptieren, müssen eine Richtlinie zur Datenaufbewahrung und -entsorgung nach dem Payment Card Industry Data Security Standard einhalten. So sind Gesundheitsdienstleister nach dem HIPAA verpflichtet, Patientendaten mindestens sechs Jahre lang aufzubewahren, und bestimmte Unternehmen können Patientendaten sogar noch länger aufbewahren.

Die bloße Aufbewahrung von Daten ist nicht ausreichend. Bundesgesetze verlangen von Unternehmen in regulierten Branchen in der Regel, dass sie eine dokumentierte Richtlinie zur Datenaufbewahrung erstellen.

Eine Organisation muss auch die Allgemeine Datenschutzverordnung (DSGVO) berücksichtigen, die im Mai 2018 in Kraft getreten ist und die Datenschutzgesetze in der gesamten Europäischen Union (EU) aktualisiert hat. Die Vorschriften gelten für personenbezogene Daten von EU-Bürgern, unabhängig davon, ob sich das Unternehmen, das die Daten sammelt, in der EU befindet, sowie für alle Personen und Organisationen, deren Daten in der EU gespeichert sind. Es ist von entscheidender Bedeutung, über eine Data Retention Policy zu verfügen, die erklärt, welche Daten aufbewahrt werden, warum und wo sie aufbewahrt werden und wie lange sie in Bezug auf die DSGVO-Richtlinien aufbewahrt werden. Vor allem bei einer so weitreichenden Verordnung wie der DSGVO sollten Sie nur die personenbezogenen Daten aufbewahren, die auch wirklich benötigt werden.

Der umfassendste Rahmen für die Datenspeicherung in den USA ist der California Consumer Privacy Act. Das Gesetz wurde 2018 unterzeichnet und trat ab 2020 in Kraft. Es folgte eine weitere Gesetzesänderung mit dem Namen California Privacy Rights Act, die 2023 in Kraft trat und besagt, dass Unternehmen Daten nur so lange aufbewahren dürfen, wie es für die Erfüllung bestimmter Ziele erforderlich ist. Derzeit gibt es keine festgelegte maximale Aufbewahrungsfrist dafür, wie lange Unternehmen Daten aufbewahren dürfen, wenn sie nicht mehr benötigt werden, aber die Gesetzgebung soll die ethische Nutzung und Speicherung von Daten fördern.

Was sind Beispiele für eine Data Retention Policy?

Die festgelegte Dauer in einer Richtlinie zur Datenaufbewahrung reicht von Minuten bis zu Jahren. Verwenden Sie eine Richtlinien-Engine, die viele verschiedene Felder umfasst, zum Beispiel Benutzer, Abteilung, Ordner und Dateityp.

Eine Data Retention Policy sollte auch E-Mails einschließen. E-Mails häufen sich schnell an, und einige nehmen viel Platz in Anspruch, daher sollten Sie einen vernünftigen Zeitplan für die Aufbewahrung festlegen. Wie bei der Datenaufbewahrungsrichtlinie sollte das IT-Team bei den Details des E-Mail-Aufbewahrungsplans mit der Rechtsabteilung zusammenarbeiten.

Was die Speicherziele betrifft, so ist der Objektspeicher eine beliebte Wahl in einer Datenaufbewahrungsrichtlinie, da er soliden Datenschutz zu moderaten Kosten bietet.

Public-Cloud-Speicher ist ein weiterer gängiger Speicherort für Daten, die eine langfristige Aufbewahrung erfordern. Er ist in der Regel preiswerter als die Speicherung vor Ort, vor allem auf den Ebenen mit seltenem Zugriff. Die Anbieter von Cloud-Diensten bieten einen externen Datenschutz an, was im Falle einer Störung des Hauptrechenzentrums des Unternehmens wichtig ist. Die Geschwindigkeit der Wiederherstellung hängt von der Ebene und der Größe des Datensatzes ab.

Darüber hinaus spielen Bänder weiterhin eine wichtige Rolle bei der langfristigen Datenspeicherung. Historische Daten, auf die nur selten zugegriffen wird, sind auf Bändern gut aufgehoben, wobei die Wiederherstellung länger dauert als bei anderen Formaten. Die jahrelange Speicherung von Daten auf Band ist in der Regel kostengünstiger als die Speicherung in der Cloud und verbraucht weniger Energie als die Speicherung auf Festplatte. Wie die Public Cloud bietet auch das Band eine standortunabhängige Speicherung.

Was sind die Herausforderungen bei der Datenaufbewahrung?

Die Datenmenge nimmt weiterhin dramatisch zu, nicht nur bei der Primärspeicherung, sondern auch bei den Sicherungsdaten und Archiven. Besonders belastend ist die Datensicherung, wenn immer die gleichen Daten gesichert werden. Eine Data Retention Policy ist eine Möglichkeit, das Volumen zu reduzieren und den Prozess der Aufbewahrung von Datensätzen zu automatisieren.

Die Erstellung einer Data Retention Policy ist jedoch komplex. Die Festlegung eines Zeitplans für die Datenaufbewahrung ist nicht einfach. Bestimmte Datensätze müssen aus rechtlichen und betrieblichen Gründen unterschiedlich lange aufbewahrt werden. Ein Unternehmen muss sorgfältig vorgehen, insbesondere wenn es eine automatisierte Form der Datenaufbewahrung einführt.

Auch die Speicherung kann eine Belastung darstellen. Deshalb ist in einer guten Richtlinie zur Datenaufbewahrung klar festgelegt, in welcher Art von Storagedie aufbewahrten Daten gespeichert werden sollen, um Budget und Platz zu optimieren.

Daten ordnungsgemäß entsorgen

Wenn das Alter eines geschützten Datensatzes die geltende Richtlinie zur Datenaufbewahrung überschreitet, muss der Datensatz ordnungsgemäß entsorgt werden. Unternehmen sind zwar nicht immer gesetzlich verpflichtet, alte Daten zu entsorgen, aber es liegt oft in ihrem Interesse, dies zu tun.

Viele Unternehmen verwenden ein automatisiertes System, in der Regel eine spezielle Archivierungssoftware, um Daten, die nicht mehr unter die vorgeschriebene Aufbewahrungsfrist fallen, sicher zu löschen. Durch die Automatisierung wird sichergestellt, dass die Daten im richtigen Zeitrahmen und ohne manuelle Eingriffe entsorgt werden. Einige Unternehmen nutzen die Archivierungsfunktion ihrer Backup-Software, um die Datenentsorgung zu automatisieren.