Datenaufbewahrungs- und Löschrichtlinien richtig anlegen

Was sollte in einer Richtlinie zur Datenaufbewahrung und -vernichtung enthalten sein?

Für die Datenaufbewahrung und -vernichtung sind mehrere Schlüsselaktivitäten erforderlich, und diese Verfahren sollten:

• von einem Team entwickelt werden, das sich mit betrieblichen, rechtlichen, wettbewerbsrechtlichen und anderen Fragen im Zusammenhang mit der Datenaufbewahrung und -vernichtung befassen kann;
• von internen Abteilungen hinsichtlich ihrer Anforderungen an die Aufbewahrung und Vernichtung von Daten unterstützt werden;
• regelmäßig geplant werden;
• festlegen, was aufbewahrt und vernichtet werden soll;
• Verfahren und Ressourcen für die Aufbewahrung und Vernichtung festlegen;
• den Ort der Aufbewahrung bestimmen;
• die Häufigkeit der Aufbewahrungs- und Vernichtungsaktivitäten festlegen;
• die Dauer der aufbewahrten Daten und Systeme bestimmen; und
• Verfahren zur Überprüfung festlegen, die überwachen, ob die Aufbewahrungs- und Vernichtungsmaßnahmen erfolgreich waren.

IT-Organisationen sollten bei der Entwicklung von Richtlinien für die Datenaufbewahrung und -vernichtung die folgenden Punkte berücksichtigen:

• Verfahren für die Datenaufbewahrung und -vernichtung
• Technologien für die Datenaufbewahrung und -vernichtung
• Arten von Daten und Systemen, die aufbewahrt werden sollen, und die damit verbundenen Metriken
• Umstände, unter denen Unternehmen Datenträger und Systeme zerstören können
• Anforderungen an die Netzwerkinfrastruktur, um sicherzustellen, dass Organisationen die Aufbewahrungsaktivitäten durchführen können
• internes und externes Fachpersonal, das mit der Durchführung der Aufbewahrungs- und Vernichtungsmaßnahmen beauftragt ist
• Notfallverfahren für den Fall, dass die Maßnahmen zur Datenaufbewahrung und -vernichtung beeinträchtigt werden
• Verfahren, mit denen sichergestellt wird, dass Organisationen Daten und Systeme sicher in einer geeigneten Aufbewahrungseinrichtung speichern, um den Schaden einer Datenpanne, eines Ransomware-Angriffs oder eines anderen Cybersicherheitsvorfalls zu begrenzen
• Verfahren zur Überprüfung, ob die Maßnahmen zur Datenaufbewahrung und -vernichtung erfolgreich waren
• Integration der Datenaufbewahrung und -vernichtung mit anderen Datenverwaltungs- und Datenschutzaktivitäten

Nutzen Sie die Vorlage für Richtlinien zur Datenaufbewahrung und -vernichtung

Verwenden Sie diese Vorlage für Richtlinien zur Datenaufbewahrung und -vernichtung, um sich vorzubereiten.

Beginnen Sie damit, die oben genannten Daten zu erfassen; sie dienen als Ausgangspunkt. Als nächstes sollten Sie die folgenden vorbereitenden Aktivitäten in Betracht ziehen:

• Prüfen Sie bestehende IT-Richtlinien auf Struktur und Format. Verwenden Sie relevante Komponenten für die neue Richtlinie.
• Untersuchen Sie Beispiele für andere Richtlinien zur Datenaufbewahrung und -vernichtung und passen Sie diese gegebenenfalls an.
• Untersuchen Sie Softwareprodukte, die bei der Erstellung von Richtlinien helfen können.

Bestandteile einer Richtlinie zur Datenaufbewahrung und -vernichtung

Eine Richtlinie zur Datenaufbewahrung kann einfach sein. Einige wenige Absätze können ausreichen, in denen die zuvor besprochenen Kennzahlen aufgeführt werden. Bei Bedarf können Unternehmen weitere Details hinzufügen. Nachfolgend finden Sie ein Muster für eine Richtlinie, die Unternehmen für die Aufbewahrung und Vernichtung von Daten erstellen können:

• Einleitung. Hier werden die grundlegenden Gründe für die Einführung einer Richtlinie zur Datenaufbewahrung und -vernichtung dargelegt.
• Zweck und Anwendungsbereich. Erläutert den Zweck und den Geltungsbereich der Richtlinie.
• Erklärung zur Einhaltung. Nennt Gesetze, Vorschriften, Normen und andere Vorgaben, die die Richtlinie erfüllen soll.
• Erklärung zur Richtlinie. Erklärt die Richtlinie in klaren, spezifischen Worten.
• Leitung der Richtlinie. Legt fest, wer für die Genehmigung und Umsetzung der Richtlinie sowie für die Verhängung von Sanktionen bei Nichteinhaltung verantwortlich ist.
• Überprüfung der Einhaltung der Richtlinie. Legt fest, was erforderlich ist, um zu überprüfen, ob die Aktivitäten zur Datenwiederherstellung und -vernichtung nachprüfbar sind und mit der Richtlinie und anderen IT-Vorgaben übereinstimmen.
• Sanktionen bei Nichteinhaltung. Legt Sanktionen für die Nichteinhaltung der Richtlinie fest.
• Anhänge (je nach Bedarf). Fügen Sie zusätzliche Referenzdaten ein, wie Listen von Ansprechpartnern und Service-Level-Vereinbarungen.

Weitere Anleitungen finden Sie in der Vorlage für Richtlinien zur Datenaufbewahrung und -vernichtung.

Nächste Schritte

Lassen Sie den Entwurf einer Richtlinie zur Datenaufbewahrung und -vernichtung zumindest von der Leitung der IT-Abteilung und der Rechtsabteilung prüfen. Bitten Sie andere relevante Abteilungen um Kommentare, wenn es die Zeit erlaubt.

Verteilen Sie die Richtlinie an die entsprechenden internen Abteilungen und externen Parteien (falls erforderlich). Leiten Sie Betriebs- und Wartungsaktivitäten ein.