Richtlinie zur Datenaufbewahrung und -entsorgung – KMU

Die Richtlinie zur Datenaufbewahrung und -entsorgung – KMU (Richtlinie P14S) wurde speziell für kleine und mittlere Unternehmen (KMU) entwickelt und berücksichtigt die Einschränkungen und besonderen Verantwortlichkeiten, mit denen solche Organisationen konfrontiert sind. Diese Richtlinie ist vollständig auf KMU angepasst – erkennbar an der Einbindung des General Managers als Richtlinienverantwortlichem – ohne die Annahme spezialisierter Rollen wie Security Operations Center (SOC) oder Chief Information Security Officer (CISO), und stellt zugleich die Ausrichtung an führenden Rahmenwerken wie ISO/IEC 27001:2022, GDPR und verwandten Vorschriften sicher. Zweck dieser Richtlinie ist es, klare, durchsetzbare Regeln für die Aufbewahrung und sichere Entsorgung von Informationen festzulegen, sodass Aufzeichnungen nur so lange aufbewahrt werden, wie es durch Gesetz, vertragliche Anforderungen oder geschäftliche Notwendigkeit vorgeschrieben ist. Nach Erfüllung dieser Anforderungen müssen Informationen irreversibel vernichtet werden. Die Richtlinie adressiert die Bedeutung der Minimierung rechtlicher Exponierung und operativer Risiken, indem sie unbefugte oder redundante Datenaufbewahrung verhindert. Sie hebt außerdem die Vorteile einer gut gesteuerten Aufbewahrung und Entsorgung für Auditbereitschaft, reduzierte Kosten und verbesserte Systemleistung hervor. Für KMU dient die Richtlinie als praktisches Mittel, sowohl digitale als auch papierbasierte Datenbestände verantwortungsvoll zu verwalten – unabhängig von der Größe des IT-Teams. Der umfassende Geltungsbereich umfasst alle Arten von Aufzeichnungen, Geschäftsdokumenten, Betriebsprotokollen, Finanzdateien und personenbezogenen Daten und gilt für jedes Speichermedium – von lokalen Laufwerken und Cloud-basierten Systemen bis hin zu Papierablage und Datensicherungssystemen. Sämtliche Mitarbeiter und Auftragnehmer sowie Drittdienstleister, die Organisationsdaten verarbeiten, sind an diese Richtlinie gebunden. Die Richtlinie deckt jede Phase des Datenlebenszyklus ab – von der Erstellung bis zur sicheren Entsorgung oder Vernichtung. Ein zentrales Merkmal ist die klare Abgrenzung von Rollen und Verantwortlichkeiten. Der General Manager erteilt Genehmigungen, stellt die Ausrichtung an rechtlichen und geschäftlichen Risiken sicher und behandelt Ausnahmen sowie Legal Hold und Löschsperre. Benannte Datenverantwortliche werden je Datenkategorie zugewiesen und sind verantwortlich für Klassifizierung, Festlegung von Aufbewahrungsfristen und Autorisierung von Löschungen; sie unterstützen zudem Auditprozesse. Der IT-Support-Provider oder interne IT-Leiter ist dafür zuständig, Systeme für Aufbewahrungsregeln, Entsorgungsprotokollierung und sichere Löschung zu konfigurieren – einschließlich für Datensicherungssysteme und Archive. Mitarbeiter und Auftragnehmer müssen die Richtlinie einhalten, unsachgemäße Aufbewahrung vermeiden, verwaiste Benutzerkonten bzw. verwaiste Daten melden und ausschließlich genehmigte Systeme zur Datenspeicherung verwenden. Die zentralen Governance-Anforderungen drehen sich um die Pflege eines detaillierten Aufbewahrungsregisters, das Aufzeichnungskategorien, zugewiesene Fristen, Entsorgungsverfahren, rechtliche Begründung und Datenverantwortliche aufführt. Dieses Register muss jährlich oder bei relevanten rechtlichen oder geschäftlichen Auslösern überprüft werden. Entsorgungsverfahren werden anhand der Datenklassifizierung ausgewählt und nutzen sichere Verfahren wie Partikelschnitt-Schreddern, kryptografische Löschung oder physische Zerstörung von Speichermedien. Legal Hold und Löschsperre sind ausdrücklich beschrieben; sobald angewendet, verhindern sie Löschungen unabhängig von der geplanten Aufbewahrungsfrist und erfordern eine monatliche Überprüfung. Die Richtlinie schreibt außerdem Mitarbeiterschulungen und jährliche Auffrischungsschulungen vor, um die Sensibilisierung sicherzustellen. Ausnahmen werden streng kontrolliert, mit Prozessen für Dokumentation, Genehmigung, Überprüfung und begründetes Ablaufdatum. Durchsetzungsmechanismen umfassen regelmäßige Audits, Stichprobenprüfungen und strikte Konsequenzen bei Verstößen – bis hin zur Vertragsbeendigung oder regulatorischen Meldung im Fall unsachgemäßer Handhabung personenbezogener Daten. Insgesamt stellt diese Richtlinie sicher, dass ein KMU rechtmäßig konform, auditierbar und ressourceneffizient arbeiten kann, auch wenn fortgeschrittene IT-Sicherheitsrollen nicht vorhanden sind. Sie ist gezielt auf die Ausrichtung an ISO/IEC 27001:2022 und Datenschutzgesetze ausgelegt und bietet KMU eine robuste Grundlage für das Datenlebenszyklusmanagement ohne unnötige Komplexität.