Data Retention Policy

Warum ist eine Richtlinie zur Datenaufbewahrung wichtig?

Eine Data Retention Policy ist Teil der Gesamtstrategie eines Unternehmens für die Datenverwaltung. Eine Richtlinie ist wichtig, da sich die Datenmenge dramatisch erhöhen kann. Daher ist es entscheidend, festzulegen, wie lange ein Unternehmen bestimmte Daten aufbewahren muss. Ein Unternehmen sollte Daten nur so lange wie nötig aufbewahren, das heißt zum Beispiel sechs Monate oder sechs Jahre. Wenn Daten länger als nötig aufbewahrt werden, wird unnötig viel Speicherplatz verbraucht und es entstehen höhere Kosten.

Was sind die Vorteile einer Richtlinie zur Datenaufbewahrung?

Die Einführung einer soliden Richtlinie zur Datenaufbewahrung bietet zahlreiche Vorteile. Einige der wichtigsten Vorteile sind:

• Automatisierte Einhaltung der Vorschriften (Compliance). Mit einer festgelegten Richtlinie können Unternehmen sicherstellen, dass sie die gesetzlichen Vorschriften zur Aufbewahrung verschiedener Datentypen einhalten.
• Geringere Wahrscheinlichkeit von Bußgeldern im Zusammenhang mit der Einhaltung von Vorschriften. Selbst wenn ein Unternehmen alle gesetzlich vorgeschriebenen Daten aufbewahrt, muss es in der Lage sein, diese Daten vorzulegen, wenn sie von Prüfern angefordert werden (Audits). Wenn nur die minimal erforderliche Datenmenge aufbewahrt wird, ist es einfacher und weniger zeitaufwändig, diese Daten zu finden, wodurch die Wahrscheinlichkeit verringert wird, dass eine Organisation mit einer Geldstrafe belegt wird, weil sie nicht in der Lage ist, aufbewahrungspflichtige Daten vorzulegen.
• Geringere Speicherkosten. Die Speicherung von Daten ist mit direkten Kosten verbunden, und durch die Verringerung des gespeicherten Datenvolumens werden auch die Speicherkosten gesenkt.
• Erhöhte Relevanz der vorhandenen Daten. Daten verlieren mit zunehmendem Alter an Relevanz, und eine Richtlinie zur Datenaufbewahrung entfernt irrelevante Daten, die nicht mehr benötigt werden.
• Geringeres rechtliches Risiko. Sobald Daten nicht mehr benötigt werden, werden sie entfernt/gelöscht, wodurch die Möglichkeit ausgeschlossen wird, dass die Daten bei einer gerichtlichen Offenlegung auftauchen und gegen das Unternehmen verwendet werden können.

Tipps für die Data Retention Policy

Bei der Erstellung einer Richtlinie für die Datenaufbewahrung sind die Anforderungen jeder Organisation unterschiedlich. Dennoch gibt es einige bewährte Verfahren, die Unternehmen bei der Erstellung einer Data Retention Policy beachten sollten. Einige dieser bewährten Praktiken umfassen:

• Rechtlichen Anforderungen identifizieren. Unternehmen müssen die Gesetze und Vorschriften ermitteln, die ihre Anforderungen an die Datenaufbewahrung regeln, damit diese Anforderungen in die Data Retention Policy aufgenommen werden können.
• Geschäftliche Anforderungen identifizieren. Die Erstellung einer wirksamen Richtlinie zur Datenaufbewahrung umfasst mehr als nur die Einhaltung der geltenden Vorschriften. Die Richtlinie zur Datenaufbewahrung muss auch die geschäftlichen Anforderungen der Organisation berücksichtigen. Möglicherweise gibt es betriebliche Anforderungen, die es erforderlich machen, Daten länger als gesetzlich vorgeschrieben aufzubewahren.
• Datentypen berücksichtigen. In jeder Organisation sind einige Daten wertvoller als andere. Ein Unternehmen sollte es vermeiden, eine pauschale Richtlinie zur Datenaufbewahrung zu erstellen, die für alle Arten von Daten gilt. Stattdessen sollte die Richtlinie speziell die Art der aufzubewahrenden Daten definieren und die Aufbewahrungsanforderungen für jede Art festlegen.
• Ein gutes Datenarchivierungssystem einführen. Wenn bestimmte Datentypen aufgrund gesetzlicher Bestimmungen länger aufbewahrt werden müssen, als sie vom Unternehmen benötigt werden, sollten Sie die Einführung eines Datenarchivierungssystems in Betracht ziehen. Ein Datenarchivierungssystem kann dazu beitragen, die Kosten für die Speicherung archivierter Daten zu senken, während es gleichzeitig die Verwaltung des Lebenszyklus von Daten automatisiert und Ihnen die Werkzeuge zum Auffinden von Daten in den Archiven an die Hand gibt.
• Einen Plan für den Rechtsschutz haben. Wenn die Organisation in einen Rechtsstreit verwickelt ist, muss sie wahrscheinlich den Prozess der Datenlebenszyklusverwaltung unterbrechen, damit die Daten, die vorgeladen wurden, nicht automatisch gelöscht werden, sobald sie das Ende der Aufbewahrungsfrist erreicht haben.
• Zwei Versionen erstellen. Wenn ein Unternehmen der Einhaltung gesetzlicher Vorschriften unterliegt, muss es wahrscheinlich seine Anforderungen an die Datenaufbewahrung dokumentieren, um die gesetzlichen Vorgaben zu erfüllen. Dabei handelt es sich um ein förmlich geschriebenes Dokument, das mit juristischem Fachjargon gefüllt sein kann. Als bewährtes Verfahren sollten Sie eine einfachere Version des Dokuments erstellen, die intern verwendet werden kann, um den Beteiligten im Unternehmen ein besseres Verständnis der Aufbewahrungsanforderungen zu ermöglichen.

Wie erstellt man eine Data Retention Policy?

Die Erstellung einer Richtlinie für die Datenaufbewahrung ist selten ein einfacher Prozess, und manche Unternehmen halten es für besser, die Erstellung und Umsetzung der Richtlinie auszulagern, als dies intern zu tun. Für Organisationen, die ihre eigenen Data Retention Policys erstellen, gibt es zehn grundlegende Schritte:

1. Bestimmen Sie, wer für die Erstellung der Richtlinie verantwortlich ist. Diese Aufgabe wird in der Regel nicht von einer einzigen Person im Unternehmen erledigt, da sie Fachwissen in verschiedenen Bereichen erfordert. In der Regel ist der Prozess der Erstellung einer Data Retention Policy eine Teamarbeit, an der Mitglieder der IT-Abteilung, der Rechtsabteilung und andere wichtige Interessengruppen beteiligt sind.
2. Ermitteln Sie die rechtlichen Anforderungen des Unternehmens. Die Richtlinie muss die Anforderungen aller für das Unternehmen geltenden Vorschriften erfüllen oder übertreffen. Ermitteln Sie die rechtlichen Anforderungen im Voraus, da sie die Grundlage für die Richtlinie bilden werden.
3. Definieren Sie die geschäftlichen Anforderungen der Organisation. Dies bedeutet, dass verschiedene Datentypen identifiziert und festgelegt werden müssen, ebenso wie lange die einzelnen Datentypen aufbewahrt werden sollen. In der Regel sind die Daten für einen bestimmten Zeitraum aktiv, werden dann in den Archivspeicher verschoben und schließlich im Rahmen des Datenlebenszyklus-Managementprozesses des Unternehmens aus dem Archiv gelöscht.
4. Legen Sie fest, wer dafür verantwortlich ist, dass die Datenaufbewahrung gemäß der Richtlinie durchgeführt wird.
5. Legen Sie fest, wie interne Audits durchgeführt werden sollen, um die Einhaltung der Policy sicherzustellen.
6. Legen Sie fest, in welchen Abständen die Richtlinie zur Datenaufbewahrung überprüft und überarbeitet werden soll.
7. Arbeiten Sie mit den Personal- oder Rechtsabteilungen der Organisation zusammen, um ein Mittel zur Durchsetzung der Richtlinie festzulegen.
8. Legen Sie fest, wie die Anforderungen an die Datenaufbewahrung auf Software-Ebene umgesetzt und durchgesetzt werden.
9. Schreiben Sie die offizielle Data Retention Policy.
10. Legen Sie die Richtlinie nach ihrer Ausarbeitung den wichtigsten Beteiligten zur Genehmigung vor.

Ordnungsgemäße Umsetzung

Der operative Grund für die Umsetzung einer Data Retention Policy ist die ordnungsgemäße Datensicherung. Die Sicherungsdaten eines Unternehmens helfen bei der Wiederherstellung im Falle eines Datenverlustes. Eine Richtlinie ist wichtig, um sicherzustellen, dass das Unternehmen über die richtigen Daten und die richtige Menge an gesicherten Daten verfügt. Zu wenig gesicherte Daten bedeuten, dass die Wiederherstellung nicht so umfassend wie nötig ist, während zu viele Daten zu Verwirrung führen.

Eine Data Retention Policy sollte archivierte Daten anders behandeln als Backup-Daten. Archivierte Daten werden von der Organisation nicht mehr aktiv genutzt, aber dennoch für die langfristige Aufbewahrung benötigt. Es kann sein, dass ein Unternehmen Daten in Archive verschieben muss, um sie für spätere Zwecke oder zur Einhaltung von Vorschriften aufzubewahren. Archive werden auf billigeren Speichermedien gespeichert, so dass sie die Kosten und das Volumen der primären Datenspeicherung reduzieren. Ein Benutzer sollte in der Lage sein, Archive leicht zu durchsuchen.

Für die ordnungsgemäße Erstellung und Umsetzung einer Data Retention Policy, insbesondere im Hinblick auf die Einhaltung von Vorschriften, sollte das IT-Team mit dem Rechtsteam zusammenarbeiten. Das Rechtsteam hat eine bessere Vorstellung davon, wie lange Daten gesetzlich aufbewahrt werden müssen, während die IT-Abteilung für die tatsächliche Umsetzung der Richtlinie verantwortlich ist.

Seien Sie vorsichtig mit der Richtlinie zur Datenaufbewahrung. Nur weil eine Datei vor Jahrzehnten erstellt wurde, heißt das nicht, dass sie nach einer bestimmten Zeit automatisch gelöscht werden sollte. Bei dieser alten Datei könnte es sich um einen wichtigen Vertrag handeln, den das Unternehmen aufbewahren muss, oder sie könnte andere wertvolle Informationen enthalten.

Ein Speichersystem kann Daten auf der Grundlage von Regeln, die von der IT-Abteilung aufgestellt wurden, aufbewahren oder löschen. Die Verwendung von Metadaten ist eine Möglichkeit, um herauszufinden, wann ein Datenobjekt gelöscht oder einem bestimmten Speicherort zugewiesen werden soll. Automatisierte Software verschiebt alte Daten in Archive, was besonders für Unternehmen mit großen Datenmengen hilfreich ist. Manche Software kann Daten automatisch auf der Grundlage des Alters löschen, das in einem Aufbewahrungsplan festgelegt ist. Die Administratoren müssen sich jedoch vergewissern, dass die gelöschten Daten keinen weiteren Zweck erfüllen.

Einhaltung gesetzlicher Vorschriften

Eine Data Retention Policy muss den Wert der Daten im Laufe der Zeit und die Gesetze zur Datenaufbewahrung berücksichtigen, denen ein Unternehmen möglicherweise unterliegt. Im Jahr 2006 hat der Oberste Gerichtshof der USA anerkannt, dass es finanziell nicht möglich ist, alle Daten unbegrenzt aufzubewahren. Unternehmen müssen jedoch nachweisen, dass sie nur Daten löschen, die nicht bestimmten gesetzlichen Anforderungen unterliegen, und dabei einen wiederholbaren und vorhersehbaren Prozess anwenden. Das bedeutet, dass verschiedene Arten von Informationen unterschiedlich lange aufbewahrt werden. Die Aufbewahrungsfrist für die E-Mails der Mitarbeiter eines Krankenhauses ist beispielsweise eine andere als für die Patientenakten.

Obwohl es üblich ist, dass eine Organisation ihre eigenen Anforderungen an die Datenaufbewahrung festlegt, müssen bestimmte Gesetze zur Datenaufbewahrung beachtet werden. Dies gilt insbesondere für Organisationen, die in regulierten Branchen tätig sind. So müssen beispielsweise börsennotierte Unternehmen in den USA eine Data Retention Policy nach dem Sarbanes-Oxley Act (SOX) einführen. Ebenso unterliegen Organisationen im Gesundheitswesen den Anforderungen des Health Insurance Portability and Accountability Act zur Datenaufbewahrung, und Organisationen, die Kreditkarten akzeptieren, müssen eine Richtlinie zur Datenaufbewahrung und -entsorgung nach dem Payment Card Industry Data Security Standard einhalten.

Die bloße Aufbewahrung von Daten ist nicht ausreichend. Bundesgesetze verlangen von Unternehmen in regulierten Branchen in der Regel, dass sie eine dokumentierte Richtlinie zur Datenaufbewahrung erstellen.

Eine Organisation muss auch die Allgemeine Datenschutzverordnung (DSGVO) berücksichtigen, die im Mai 2018 in Kraft getreten ist und die Datenschutzgesetze in der gesamten Europäischen Union (EU) aktualisiert hat. Die Vorschriften gelten für personenbezogene Daten von EU-Bürgern, unabhängig davon, ob sich das Unternehmen, das die Daten sammelt, in der EU befindet, sowie für alle Personen und Organisationen, deren Daten in der EU gespeichert sind. Es ist von entscheidender Bedeutung, über eine Data Retention Policy zu verfügen, die erklärt, welche Daten aufbewahrt werden, warum und wo sie aufbewahrt werden und wie lange sie in Bezug auf die DSGVO-Richtlinien aufbewahrt werden. Vor allem bei einer so weitreichenden Verordnung wie der DSGVO sollten Sie nur die personenbezogenen Daten aufbewahren, die auch wirklich benötigt werden.

Beispiele für Data Retention Policys

Die festgelegte Dauer in einer Richtlinie zur Datenaufbewahrung reicht von Minuten bis zu Jahren. Verwenden Sie eine Richtlinien-Engine, die viele verschiedene Felder umfasst, zum Beispiel Benutzer, Abteilung, Ordner und Dateityp.

Eine Data Retention Policy sollte auch E-Mails einschließen. E-Mails häufen sich schnell an, und einige nehmen viel Platz in Anspruch, daher sollten Sie einen vernünftigen Zeitplan für die Aufbewahrung festlegen. Wie bei der Datenaufbewahrungsrichtlinie sollte das IT-Team bei den Details des E-Mail-Aufbewahrungsplans mit der Rechtsabteilung zusammenarbeiten.

Was die Speicherziele betrifft, so ist der Objektspeicher eine beliebte Wahl in einer Datenaufbewahrungsrichtlinie, da er soliden Datenschutz zu moderaten Kosten bietet.

Public-Cloud-Speicher ist ein weiterer gängiger Speicherort für Daten, die eine langfristige Aufbewahrung erfordern. Er ist in der Regel preiswerter als die Speicherung vor Ort, vor allem auf den Ebenen mit seltenem Zugriff. Die Anbieter von Cloud-Diensten bieten einen externen Datenschutz an, was im Falle einer Störung des Hauptrechenzentrums des Unternehmens wichtig ist. Die Geschwindigkeit der Wiederherstellung hängt von der Ebene und der Größe des Datensatzes ab.

Darüber hinaus spielen Bänder weiterhin eine wichtige Rolle bei der langfristigen Datenspeicherung. Historische Daten, auf die nur selten zugegriffen wird, sind auf Bändern gut aufgehoben, wobei die Wiederherstellung länger dauert als bei anderen Formaten. Die jahrelange Speicherung von Daten auf Band ist in der Regel kostengünstiger als die Speicherung in der Cloud und verbraucht weniger Energie als die Speicherung auf Festplatte. Wie die Public Cloud bietet auch das Band eine standortunabhängige Speicherung.

Was sind die häufigsten Probleme bei der Datenaufbewahrung?

Die Datenmenge nimmt weiterhin dramatisch zu, nicht nur bei der Primärspeicherung, sondern auch bei den Sicherungsdaten und Archiven. Besonders belastend ist die Datensicherung, wenn immer die gleichen Daten gesichert werden. Eine Data Retention Policy ist eine Möglichkeit, das Volumen zu reduzieren und den Prozess der Aufbewahrung von Datensätzen zu automatisieren.

Die Erstellung einer Data Retention Policy ist jedoch komplex. Die Festlegung eines Zeitplans für die Datenaufbewahrung ist nicht einfach. Bestimmte Datensätze müssen aus rechtlichen und betrieblichen Gründen unterschiedlich lange aufbewahrt werden. Ein Unternehmen muss sorgfältig vorgehen, insbesondere wenn es eine automatisierte Form der Datenaufbewahrung einführt.

Auch die Speicherung kann eine Belastung darstellen. Deshalb ist in einer guten Richtlinie zur Datenaufbewahrung klar festgelegt, in welcher Art von Storage die aufbewahrten Daten gespeichert werden sollen, um Budget und Platz zu optimieren.

Ordnungsgemäße Datenentsorgung

Wenn das Alter eines geschützten Datensatzes die geltende Richtlinie zur Datenaufbewahrung überschreitet, muss der Datensatz ordnungsgemäß entsorgt werden. Unternehmen sind zwar nicht immer gesetzlich verpflichtet, alte Daten zu entsorgen, aber es liegt oft in ihrem Interesse, dies zu tun.

Viele Unternehmen verwenden ein automatisiertes System, in der Regel eine spezielle Archivierungssoftware, um Daten, die nicht mehr unter die vorgeschriebene Aufbewahrungsfrist fallen, sicher zu löschen. Durch die Automatisierung wird sichergestellt, dass die Daten im richtigen Zeitrahmen und ohne manuelle Eingriffe entsorgt werden. Einige Unternehmen nutzen die Archivierungsfunktion ihrer Backup-Software, um die Datenentsorgung zu automatisieren.