Go to Top

Wie man eine richtige Datenaufbewahrungs-Richtlinie (Data retention policy) kreiert

Datenaufbewahrungs-Richtlinie

Unternehmen ertrinken heutzutage geradezu in riesigen Datenmengen. Zusätzlich zu den innerhalb des Unternehmen durch verschiedene Abteilungen gesammelten Daten – HR, Finanzen, Forschung und Entwicklung, Vertrieb und BD – kommen so genannte „Große Daten“  (Big Data), die beispielweise über Webseiten-Inhalte und Formulare, dem Verkauf von Produkten über das Smartphone oder ähnliches für die Analyse bestehender und Prognose zukünftiger Geschäfte verwendet werden sollen.

Aber neben der ständig wachsenden Datenmasse, die es fast unmöglich macht, sie zu speichern – auch wenn Technologien wie Virtualisierung oder hyper-konvergente Speicher die Schmerzen für einige Zeit lindern – Daten haben nur einen spezifischen Lebenszyklus. Nachdem die Daten nicht mehr nützlich für das Unternehmen sind oder eine Aufbewahrung bzw. Speicherung durch Landes- oder multinationale Gesetze vorgeschrieben sind, sollten sie sicher zerstört oder gelöscht werden.

Um sicherzustellen, dass die spezifischen Aufbewahrungsfristen eingehalten werden und dass die Datenvernichtungsverfahren erfüllt sind, dazu ist die Datenaufbewahrungsrichtlinie (Data retention policy) da.

Welche Arten von Daten werden von der Aufbewahrungsrichtlinie erfasst?

Um zu vermeiden, dass Sie in Ihrem Unternehmen in der Informationsflut ertrinken – was zu einem Totalausfall der IT münden könnte, wenn es schlichtweg keinen Speicherplatz mehr für neue Daten gibt – ist eines der wichtigsten Dinge, die man machen sollte, Daten loszuwerden, die für das Unternehmen nutzlos geworden sind und die ans Ende ihres Lebenszyklus gelangt sind.

Dabei handelt es sich um eine schlichte Notwendigkeit, die nicht nur für Daten gilt, die für Analysezwecke erhoben wurde und oftmals in Rohform und unstrukturiert vorliegen, sondern auch bei internen Unternehmensdaten.

Diese internen Dokumente und Daten können eine Vielzahl von Informations- und Aufzeichnungsarten umfassen:

  • Geschäftskorrespondenz (Kunde, Vertreter und Zulieferer)
  • Interne und externe Dokumente
  • Tabellen und Datenbanken
  • Kunden- und Mitarbeiterdaten
  • Lieferanten- und Partner-Informationen
  • Transaktionsdaten und Verkaufs-, Rechnungs- und Abbuchungsinformationen
  • Buchhaltungs-, Bank-, Finanz-,Ertrags- undSteuerdaten

Und mehr…

Zudem können die Daten die – z.B. aus Webformularen von Internetverkaufsseiten – wertvolle und sensible persönliche Informationen enthalten, die Unternehmen in vielen Ländern aufgrund strikter lokaler Landes-Datenschutzgesetze nicht unbegrenzt speichern dürfen nachdem ein Produkt oder Dienstleistung an einem Kunden verkauft wurde oder eine Firmen-Partnerschaft beendet wurde. Auch diese Daten müssen von der Datenaufbewahrungsrichtlinie abgedeckt werden.

Wie lang sollte die Aufbewahrungszeit sein?

Die Aufbewahrungsfristen von Unternehmensdaten sind abhängig von zahlreichen Gesetzen und Vorschriften sowohl auf lokaler, Landes- und multinationaler Ebene um Personen zu schützen und Corporate Compliance Regeln in Sachen Betrug, Steuern, Gesundheit und Umwelt, Arbeit und Beschäftigung und mehr durchzusetzen. Für jeden Bereich muss die passende „Data retention peroid“  festgestellt und befolgt werden.

Was soll eine Aufbewahrungsrichtlinie abdecken?

  1. Das Thema der Richtlinie

In diesem Abschnitt sollten alle Daten, die von der Richtlinie erfasst sind, aufgeführt werden:

Rechtliche Daten: Dokumente und Daten, die deshalb für einen fest definierten Zeitraum aufbewahrt werden müssen, weil es aufgrund von Gesetzen in Ihrem Land oder multinationaler Strukturen und Zusammenschlüsse (z.B. die EU) verlangt wird.

Geschäftsdaten:  Daten und Dokumente, die entweder für zukünftige Geschäfte wichtig sein könnten und aufgrund von betriebswirtschaftlichen, handelsrechtlichen und kaufmännischen Gesetzen für eine bestimmte Zeit gepeichert werden müssen (wie z.B. Verträge, Angebote, Projektinformationen und -dokumente).

Andere Daten: Daten, die keine gesetzlich oder durch Geschäftstätigkeiten definierte Aufbewahrungszeit haben.

  1. Kategorisieren der Daten

Um die große Menge an Daten in den Griff zu bekommen sollte man die Dokumente für die Aufbewahrung kategorisieren. Eine Möglichkeit ist es, die Daten anhand der Aufbewahrungszeiten die notwendig sind, zu katalogisieren. Heute, im digitalen Zeitalter und mit den modernen Speichersystemen können Sie leicht innerhalb der Lösung bestimmen, wie lange ein bestimmtes Dokument gespeichert werden soll. Auf diese Weise können Sie sicher sein, dass, wenn Sie verpflichtet sind ein bestimmtes Dokument einem Strafverfolger oder Regulator zur Verfügung zu stellen, dieses auch wirklich dort vorhanden ist.

  1. Datenbeschreibung

Die Datenaufbewahrungsrichtlinien sollten klar beschreiben, welche Arten von Daten das Unternehmen behalten muss. Zusätzlich sollte festgeschrieben werden in welchen Zeitrahmen und in welchem Format die Daten abgespeichert werden sollen.

  1. Datenvernichtungsverfahren

Die Datenaufbewahrungsrichtlinie sollte auch das gesamte Verfahren, das stattfinden muss, wenn Daten sicher gelöscht und vernichtet werden sollen, abdecken.

  1. Benennen Sie die Vertreter

Die Richtlinie sollte die Mitarbeiter oder Vertreter des Unternehmens benennen, die ermächtigt sind Daten zu löschen, nachdem die Aufbewahrungszeit abgelaufen ist. Zudem sollte die Aufbewahrungsrichtlinie einen IT-Mitarbeiter benennen, der der Verantwortliche für die Bestätigung darüber ist, dass alle nicht mehr benötigten Unternehmensdaten auch sicher zerstört und entsorgt wurden.

  1. Verhalten bei Verstößen

Die Datenaufbewahrungsrichtlinie sollte dabei auch abdecken, welche Sanktionen in Kraft treten, wenn diese Richtlinien gebrochen werden oder es zu einem Datenleck gekommen ist. Außerdem sollten alle Parteien, die an diesem Thema beteiligt sind, eine schriftliche Erklärung unterschreiben, dass sie die Richtlinien verstanden haben und dazu beitragen werden, dass diese umgesetzt werden.

Erstellen Sie eine aussagekräftige und detaillierte Dokumentation aller notwendigen Vorgänge.

  1. Beziehen Sie Ihre Mitarbeiter in den Prozess ein

Beschreiben Sie ausführlich die Datenaufbewahrungsrichtlinie und ihre Auswirkungen auf die Mitarbeiter. Machen Sie ihre Mitarbeiter zu einem integralen Teil des Prozesses.

Mit diesen aufgeführten Punkten in der Policy kann die Wahrscheinlichkeit, dass ein Unternehmen Strafzahlungen leisten muss, dadurch, dass es nicht in der Lage ist im Fall der Fälle auf Anfragen seitens Regulierungsbehörden oder Ermittlungsbeamten reagieren zu können, auf ein Minimum reduziert wird. Allerdings muss man darauf achten, dass die Richtlinie auch permanent überprüft und wenn nötig auch überarbeitet werden muss.

Aber nicht nur Daten müssen aufbewahrt werden, sondern auch die Inhalte des am häufigsten genutzten Kommunikationswerkzeuges (nein nicht Facebook – noch nicht!). Auch E-Mails müssen aufgrund gesetzlicher und regulatorischer Gründe im Geschäftsumfeld für lange Zeiträume aufbewahrt und gespeichert werden.

Im nächsten Teil dieses Blogbeitrags am 28. März werden wir auf die speziellen Anforderungen, die sich hierbei ergeben, eingehen.

Bildnachweis: I-vista / pixelio.de