Kostenlose Vorlage für eine Data-Retention- und Lösch-Policy

Was ist eine Richtlinie zur Datenaufbewahrung und -vernichtung?

Die Aufbewahrung von Daten, Systemen, Datenbanken, Sicherheitsparametern und anderen Informationsressourcen ist ein wesentlicher Bestandteil der Datenverwaltung und der Data Protection. Dieser Prozess unterscheidet sich von normalen Datensicherungen, die Unternehmen im täglichen Geschäftsbetrieb häufiger verwenden.

Unternehmen benötigen möglicherweise bestimmte Arten von Archivdaten, zum Beispiel Kundendatensätze und juristische Dokumente, um künftige Beweisanforderungen bei Rechtsstreitigkeiten oder Audits zu unterstützen. Die Verwaltung dieser Daten unterscheidet sich von den Daten, die regelmäßig von den verschiedenen Systemen des Unternehmens verwendet werden, doch sollten auch sie den Richtlinien für die Aufbewahrung und Vernichtung entsprechen.

Die Datenvernichtung stellt sicher, dass Unternehmen Daten, Medien und Hardware, die sie nicht mehr für den täglichen Geschäftsbetrieb benötigen, ordnungsgemäß entsorgen. Es stehen zahlreiche Technologien zur Verfügung, die sicherstellen, dass Administratoren Daten dauerhaft löschen und die Medien sicher vernichten können.

Was sollte in einer Richtlinie zur Datenaufbewahrung und -vernichtung enthalten sein?

Für die Datenaufbewahrung und -vernichtung sind mehrere wichtige Maßnahmen erforderlich, und diese Verfahren sollten Folgendes leisten:

• Sie sollten von einem Team entwickelt werden, das sich mit betrieblichen, rechtlichen, ökologischen, wettbewerbsrelevanten und anderen Fragen im Zusammenhang mit der Datenaufbewahrung und -vernichtung befasst.
• Die internen Abteilungen müssen ihre Anforderungen an die Datenaufbewahrung und -vernichtung einbringen.
• Sie sollten regelmäßig durchgeführt werden.
• Sie müssen spezifizieren, was Organisationen aufbewahren und vernichten sollen.
• Sie definieren die Ressourcen für die Aufbewahrung und Vernichtung.
• Sie legen Aufbewahrungsorte fest, zum Beispiel vor Ort oder per Fernzugriff in einem Cloud-Speicher.
• Sie legen die Häufigkeit der Aufbewahrungs- und Vernichtungsaktivitäten fest.
• Sie bestimmen die Dauer der Aufbewahrung von Daten und Systemen.
• Sie legen ein Verfahren zur Überprüfung fest, ob die Aufbewahrungs- und Vernichtungsmaßnahmen erfolgreich waren.
• Sie stellen sicher, dass die Aufbewahrungs- und Vernichtungsaktivitäten mit den einschlägigen Normen und Vorschriften übereinstimmen.

IT-Organisationen müssen zudem bei der Entwicklung von Richtlinien für die Datenaufbewahrung und -vernichtung weitere Kriterien berücksichtigen:

• Verfahren für die Datenaufbewahrung und -vernichtung.
• Technologien für die Datenaufbewahrung und -vernichtung.
• Arten von Daten und Systemen, die aufbewahrt werden sollen, und die damit verbundenen Metriken.
• Umstände, unter denen Unternehmen Datenträger und Systeme vernichten können.
• Anforderungen an die Netzwerkinfrastruktur, um die Aufbewahrungsmaßnahmen garantiert durchführen zu können.
• Internes und externes Fachpersonal, das mit der Durchführung der Aufbewahrungs- und Vernichtungsmaßnahmen beauftragt ist.
• Notfallverfahren für den Fall, dass die Maßnahmen zur Datenaufbewahrung und -vernichtung beeinträchtigt werden.
• Verfahren, die sicherstellen, dass Unternehmen Daten und Systeme sicher in einer geeigneten Aufbewahrungseinrichtung speichern, um den Schaden einer Datenpanne, eines Ransomware-Angriffs oder eines anderen Cybersecurity-Ereignisses zu mindern.
• Verfahren, die den Schutz der Umwelt und die Fortführung von Nachhaltigkeitsaktivitäten sicherstellen.
• Verfahren zur Validierung der erfolgreichen Datenaufbewahrung und -vernichtung.
• Erfolgreiche Integration der Datenaufbewahrung und -vernichtung mit anderen Datenverwaltungs- und Data-Protection-Aktivitäten.

Verwenden Sie die Vorlage für Data Retention und Vernichtung

Nutzen Sie unsere kostenlose Vorlage für Richtlinien zur Datenaufbewahrung und -vernichtung, um Ihre Vorbereitungen zu erleichtern.

Beginnen Sie damit, die oben genannten Daten zu erfassen und als Ausgangspunkt zu nutzen. Im nächsten Schritt sollten Sie die folgenden vorbereitenden Aktivitäten in Betracht ziehen:

• Vergewissern Sie sich, dass die Unternehmensleitung die geplanten Maßnahmen genehmigt hat.
• Bilden Sie ein Team zur Entwicklung von Richtlinien, um diese Aktivitäten zu erleichtern.
• Prüfen Sie die bestehenden IT-Richtlinien auf Struktur und Format. Verwenden Sie relevante Komponenten für die neue Richtlinie.
• Untersuchen Sie Beispiele für andere Richtlinien zur Datenaufbewahrung und -vernichtung und passen Sie diese gegebenenfalls an.
• Untersuchen Sie Softwareprodukte, die bei der Erstellung von Richtlinien helfen können.

Komponenten einer Policy zur Datenaufbewahrung und -vernichtung

Zu Beginn kann eine Richtlinie zur Datenaufbewahrung einfach sein. Ein paar Absätze können ausreichen, in denen die zuvor besprochenen Kennzahlen aufgeführt werden. Bei Bedarf können Unternehmen weitere Details hinzufügen. Nachfolgend finden Sie einen Entwurf für eine Richtlinie, die Unternehmen zur Behandlung von Fragen der Datenaufbewahrung und -vernichtung erstellen können:

• Einleitung. Hier werden die grundlegenden Gründe für die Einführung einer Richtlinie zur Datenaufbewahrung und -vernichtung dargelegt.
• Zweck und Anwendungsbereich. Erläutert den Zweck und den Geltungsbereich der Richtlinie.
• Erklärung zur Einhaltung. Umfasst Gesetze, Vorschriften, Normen und andere Richtlinien, die die Policy erfüllen soll.
• Erklärung zur Richtlinie. Erklärt die Richtlinie in klaren, präzisen Worten.
• Leitung der Richtlinie. Legt fest, wer für die Genehmigung und Umsetzung der Richtlinie verantwortlich ist und welche Sanktionen bei Nichteinhaltung zu verhängen sind.
• Überprüfung der Einhaltung der Richtlinie. Legt fest, was erforderlich ist, um zu überprüfen, ob die Aktivitäten zur Datenaufbewahrung und -vernichtung prüfbar sind und mit der Richtlinie und anderen IT-Anforderungen übereinstimmen.
• Sanktionen bei Nichteinhaltung. Legt Maßnahmen bei der Nichteinhaltung der Richtlinie fest.
• Anhänge (wenn nötig). Enthält zusätzliche Referenzdaten, wie zum Beispiel Listen von Ansprechpartnern und Service-Level-Vereinbarungen.

Zusätzliche Ratschläge finden Sie in der Vorlage für Richtlinien zur Datenaufbewahrung und -vernichtung.

Weitere Maßnahmen

Lassen Sie den Entwurf der Richtlinie zur Datenaufbewahrung und -vernichtung zumindest von der Leitung der IT-Abteilung, der Innenrevision und der Rechtsabteilung prüfen. Bitten Sie andere relevante Abteilungen um Kommentare, wenn es die Zeit erlaubt.

Vergewissern Sie sich, dass die Richtlinie die Einhaltung der einschlägigen Normen und Vorschriften berücksichtigt. Stellen Sie außerdem sicher, dass die Policy Umwelt- und Nachhaltigkeitsaspekte berücksichtigt, um zu zeigen, dass sie mit Green-IT-Verfahren vereinbar ist.

Verteilen Sie die Richtlinie an die entsprechenden internen Abteilungen und gegebenenfalls an externe Parteien. Legen Sie ein Datum fest, an dem die neue Richtlinie in Kraft tritt. Versenden Sie Benachrichtigungen an die Mitarbeiter und die Geschäftsleitung. Informieren Sie die Geschäftsleitung bei Bedarf über die Richtlinie.

Führen Sie die Richtlinie ein, legen Sie einen Zeitplan für die regelmäßige Überprüfung und Aktualisierung fest, und beginnen Sie mit der Wartung und kontinuierlichen Verbesserung.