Zum Inhalt springen
AMPthilly-Startseite
Jetzt starten
Compliance und Audit

Was ist eine Datenaufbewahrungsrichtlinie?

Grundlagen der Datenaufbewahrungsrichtlinie: was sie abdeckt, typische Aufbewahrungsfristen, Zusammenspiel mit der DSGVO und was sie für ausgemusterte Geräte und Aufzeichnungen bedeutet.

AMPthilly Aktualisiert

Eine Datenaufbewahrungsrichtlinie legt fest, wie lange eine Organisation jeden Datentyp oder jede Aufzeichnung behält und wann und wie sie sicher gelöscht oder vernichtet werden muss.

Eine Datenaufbewahrungsrichtlinie ist ein Dokument, das festlegt, wie lange eine Organisation jeden Datentyp oder jede Aufzeichnung aufbewahrt und wann und wie diese Daten nach Fristende sicher gelöscht oder vernichtet werden müssen. Sie beantwortet zwei Fragen, die sonst dem Zufall überlassen bleiben: „Warum haben wir das überhaupt noch?” und „Wer hat gesagt, dass wir das löschen dürfen?”. In der Praxis steht sie neben der übergeordneten Asset-Management-Richtlinie, denn die Daten, die sie regelt, liegen auf den Laptops, Telefonen und Laufwerken, die jene Richtlinie erfasst.

Was eine Datenaufbewahrungsrichtlinie abdeckt

Eine brauchbare Richtlinie ist eine Tabelle, kein Essay. Pro Aufzeichnungskategorie steht:

  • Der Aufzeichnungstyp - Rechnungen, Verträge, Personalakten, Videoüberwachung, E-Mail, Kundendaten, Systemlogs.
  • Die Aufbewahrungsfrist - wie lange aufbewahrt wird und was die Frist in Gang setzt (Erstellung, Vertragsende, Ausscheiden).
  • Die rechtliche oder geschäftliche Begründung - Gesetz, Vorschrift oder betrieblicher Bedarf hinter der Frist.
  • Die Entsorgungsmethode - sichere Löschung, Datenlöschung des Geräts oder physische Vernichtung.
  • Der Verantwortliche - wer für die Kategorie zuständig ist und wer die Entsorgung ausführt.

Wie Aufbewahrungsfristen gesetzt werden

Fristen kommen aus drei Richtungen. Das Gesetz setzt die Mindestfristen: In Deutschland schreiben Handels- und Steuerrecht (HGB, AO, GoBD) für Buchungsbelege und Geschäftsunterlagen Fristen von in der Regel sechs oder zehn Jahren vor; Arbeits-, Lohn- und Gesundheitsunterlagen haben je nach Rechtsraum eigene Regeln. Verträge und Versicherer können weitere Anforderungen ergänzen. Alles andere ist eine geschäftliche Einschätzung - und die ehrliche Grundhaltung für Daten ohne Begründung lautet „löschen”, nicht „für immer behalten, nur für alle Fälle”.

Aufbewahrung und DSGVO

Für personenbezogene Daten macht das Speicherbegrenzungsprinzip der DSGVO die Aufbewahrung von einer Frage der Ordnung zu einer Rechtspflicht: Personenbezogene Daten dürfen nicht länger als für ihren Zweck nötig aufbewahrt werden. Das wirkt in beide Richtungen - die Richtlinie muss die Aufbewahrung begründen und zugleich gesetzliche Mindestfristen einhalten, die Sie zwingen, manche Aufzeichnungen auch nach einem Löschantrag aufzubewahren. Im Aufbewahrungsplan werden diese beiden Anforderungen schriftlich in Einklang gebracht, bevor eine Aufsichtsbehörde oder ein Prüfer danach fragt.

Was es für ausgemusterte Geräte bedeutet

Der Teil, den die meisten Richtlinien zu vage lassen, ist die Hardware. Jeder Laptop, jedes Telefon und jeder Server, der aus dem Dienst geht, ist ein datenträgendes Gerät, und die Aufzeichnungen darauf fallen nicht plötzlich aus der Richtlinie, nur weil die Maschine im Schrank steht. Eine Richtlinie mit Biss sagt, was am Ende der Nutzungsdauer passiert: welche Geräte vor Wiederverwendung oder Weiterverkauf bereinigt werden müssen, welche vernichtet werden müssen und welcher Nachweis bleibt - meist ein Zertifikat eines ITAD-Anbieters oder ein internes Löschprotokoll je Seriennummer. Teams mit Asset-Register lässt sich dieser Teil leicht belegen; in AMPthilly liefern Audit-Historie und angehängte Dokumente am Asset-Datensatz für jedes Gerät eine Spur darüber, wann es ausgemustert wurde und welcher Entsorgungsnachweis vorliegt.

Häufige Fehler

  • Alles für immer behalten. Speicher ist günstig, doch alte Daten sind ein reines Risiko - sie können abfließen, im Rahmen einer Vorladung herausverlangt oder Gegenstand von Auskunftsanfragen werden, lange nachdem sie aufgehört haben, nützlich zu sein.
  • Eine Richtlinie, die niemand umsetzt. Ein Plan, der „nach Fristende löschen” sagt, aber ohne benannten Verantwortlichen und wiederkehrende Aufgabe, ist totes Papier.
  • Kopien vergessen. Exporte, Backups, Duplikate auf gemeinsamen Laufwerken und das Laufwerk im alten Laptop einer ausgeschiedenen Person überdauern die „offizielle” Kopie, wenn die Richtlinie sie nicht mit abdeckt.
  • Kein Entsorgungsnachweis. Wird verlangt zu belegen, dass eine Aufzeichnung oder ein Gerät vernichtet wurde, ist „wir sind ziemlich sicher” keine Antwort, die ein Prüfer akzeptiert.

Verwandte Begriffe

  • Asset-Management-Richtlinie - die übergeordnete Richtlinie für die Geräte, auf denen die Daten liegen
  • Nutzungsrichtlinie - die Regeln für die tägliche Nutzung von Geräten und Daten durch Mitarbeitende
  • ITAD - der Entsorgungsprozess, der die Richtlinie am Ende der Hardware-Nutzungsdauer umsetzt
  • Datenlöschung - die Methoden, die eine Löschung dauerhaft machen
  • Datenträgendes Gerät - jedes Asset, das Daten speichert und unter die Richtlinie fällt
Glossar

Weiterlesen

Verwandte Leitfäden

Glossarbegriffe in diesem Leitfaden

Kostenlos starten, keine Kreditkarte nötig

Setzen Sie Ihr Register produktiv ein

AMPthilly gibt jedem Asset einen Eigentümer, einen Standort und eine Historie - Ausgabe und Rückgabe, druckbare QR-Etiketten, Service Desk und Audit-Historie an einem Ort. Der Free-Plan deckt 3 Nutzer und 25 Assets ab, SSO und MFA inklusive.

Kostenlos starten Funktionen ansehen