policy Enterprise

Richtlinie zur Datenaufbewahrung und -entsorgung

Definieren Sie, wie Ihre Organisation Daten sicher aufbewahrt und entsorgt, um zentrale regulatorische Anforderungen einzuhalten, den Datenschutz zu schützen und Geschäftsrisiken zu minimieren.

Übersicht

Die Richtlinie zur Datenaufbewahrung und -entsorgung beschreibt organisatorische Anforderungen für die Aufbewahrung und sichere Entsorgung von Daten, stellt die Einhaltung rechtlicher und regulatorischer Rahmenwerke sicher, minimiert Risiken und setzt klare Rollen und Governance über alle Phasen des Datenlebenszyklus durch.

Regulatorische Compliance

Erfüllt die Anforderungen an Aufbewahrung und Entsorgung gemäß ISO/IEC 27001:2022, DSGVO, NIS2, DORA und COBIT 2019.

Sichere Datenentsorgung

Setzt irreversible und dokumentierte Vernichtungsmethoden für digitale und physische Aufzeichnungen durch.

Vollständige Abdeckung des Datenlebenszyklus

Deckt Erstellung, Nutzung, Archivierung und compliancegetriebene sichere Entsorgung für alle Datentypen ab.

Definierte Rollen und Verantwortlichkeiten

Weist der Geschäftsleitung, IT, Dateneigentümern, Drittparteien und Mitarbeitenden klare Rechenschaftspflichten zu.

Vollständige Übersicht lesen
Die Richtlinie zur Datenaufbewahrung und -entsorgung (P14) legt umfassende Anforderungen für die Aufbewahrung und sichere Entsorgung aller Organisationsdaten über ihren gesamten Lebenszyklus fest, um Compliance sicherzustellen, Risiken zu reduzieren und die operative Wirksamkeit zu unterstützen. Diese Richtlinie gilt organisationsweit und erstreckt sich auf jedes physische und digitale Informations-Asset, das vom Unternehmen besessen, verarbeitet oder aufbewahrt wird, einschließlich solcher, die von Drittparteien, Tochtergesellschaften und Auslagerungspartnern verwaltet werden. Abgedeckte Assets reichen von digitalen Dateien, Datenbanken, E-Mails und Datensicherungssystemen bis hin zu Papierunterlagen und außer Betrieb genommenen Geräten. Der Hauptzweck der P14-Richtlinie besteht darin, strenge Kontrollen dafür zu definieren, wie lange Daten auf Basis rechtlicher, regulatorischer und operativer Anforderungen aufbewahrt werden, und ihre dauerhafte, sichere Löschung sicherzustellen, sobald sie nicht mehr erforderlich sind. Durch die Durchsetzung klarer Aufbewahrungspläne und strenger Entsorgungsverfahren unterstützt die Richtlinie die Anforderungen von ISO/IEC 27001:2022, ermöglicht eine nachvollziehbare Aufzeichnungsverwaltung und schützt Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Wichtig ist, dass die Richtlinie der Organisation hilft, unnötige Datenansammlungen zu verhindern, die zu Datenschutzverstößen, Ineffizienzen oder erhöhtem Geschäftsrisiko führen könnten. Rollen und Verantwortlichkeiten sind in der Richtlinie klar abgegrenzt: Die Geschäftsleitung genehmigt und überwacht die Einhaltung; der CISO verantwortet, definiert und überwacht die Umsetzung der Richtlinie; der Datenschutzbeauftragte (DPO) berät zum Datenschutz und validiert den Umgang mit personenbezogenen Daten; und Information Owners stellen sicher, dass Zeitpläne begründet und autorisiert sind. IT-Teams sind für die Umsetzung technischer Maßnahmen verantwortlich, während alle Mitarbeiter und Auftragnehmer sowie relevante Drittparteien verpflichtet sind, Aufbewahrungs- und Entsorgungsanweisungen zu befolgen. Ausgelagerte Dienstleistungen, Lieferanten und Cloud-Anbieter müssen vertragliche Sicherheitsklauseln einhalten und auf Anfrage Auditnachweise zur Entsorgung bereitstellen. Governance-Anforderungen schreiben die Erstellung und Pflege eines Master Data Retention Schedule (MDRS) vor, der mindestens jährlich überprüft wird, sowie die Genehmigung von Entsorgungsmethoden und Zertifikaten für alle abgelaufenen Daten. Die Richtlinie setzt klassifizierungsgetriebene Aufbewahrungsfristen durch, die an Geschäftsanforderungen und Rechtsgrundlagen gekoppelt sind, und untersagt ausdrücklich eine unbefristete, verwaiste oder nicht genehmigte Datenaufbewahrung. Spezielle Regelungen adressieren die Aufbewahrung von Backups und Archiven, stellen die Ausrichtung an Notfallwiederherstellungszielen sicher und unterstützen die Datenlöschung auf Anfrage gemäß DSGVO oder anderen Datenschutzgesetzen. Entsorgungskontrollen werden gemäß NIST SP 800-88 oder gleichwertigen Normen durchgesetzt und schreiben irreversible und dokumentierte Vernichtungsmethoden sowohl für digitale als auch für Papiermedien vor. Legal Hold und Löschsperre setzen normale Löschzeitpläne im Fall von Gerichtsverfahren oder Untersuchungen außer Kraft, und alle Ausnahmen von der geplanten Aufbewahrung erfordern eine Risikobeurteilung und die Freigabe durch das Management. Aktivitäten zu Durchsetzung und Einhaltung umfassen regelmäßige Audits, Compliance-Prüfungen, Vorfallsmeldungen und Disziplinarmaßnahmen nach Bedarf. Die Richtlinie fordert außerdem fortlaufende Schulungen zur Sensibilisierung für Informationssicherheit und verweist bei jeder Datenschutzverletzung oder jedem Entsorgungsvorfall auf die Incident-Response-Richtlinie (P30). Durch die regelmäßige Überprüfung und Aktualisierung der Richtlinie sowie die Synchronisierung verknüpfter Dokumente wie Zugriffskontrollrichtlinie und Asset-Management-Richtlinien stellt die Organisation einen belastbaren, effizienten und regulatorisch ausgerichteten Ansatz für die Governance des Datenlebenszyklus sicher.

Richtliniendiagramm

Diagramm zur Richtlinie zur Datenaufbewahrung und -entsorgung, das Phasen des Datenlebenszyklus, klassifizierungsgetriebene Aufbewahrungspläne, automatisierte Kontrollen und Workflows zur sicheren Vernichtung veranschaulicht.

Diagramm anklicken, um es in voller Größe anzuzeigen

Inhalt

Geltungsbereich und Regeln der Zusammenarbeit

Governance des Master Data Retention Schedule (MDRS)

Aufbewahrungs- und Entsorgungsprozesse für digitale und physische Daten

Legal Hold und Löschsperre sowie Ausnahmemanagement

Umgang mit Backup- und Archivdaten

Entsorgungskontrollen für Drittparteien und Lieferanten

Framework-Konformität

🛡️ Unterstützte Standards & Frameworks

Dieses Produkt ist auf die folgenden Compliance-Frameworks ausgerichtet, mit detaillierten Klausel- und Kontrollzuordnungen.

Framework Abgedeckte Klauseln / Kontrollen
ISO/IEC 27001:2022
6.1.38.1
ISO/IEC 27002:2022
5.105.125.30
NIST SP 800-53 Rev.5
AU-11MP-6SI-12PL-2
EU GDPR
5(1)(e)1732
EU NIS2
21(2)(a-e)
EU DORA
59
COBIT 2019
DSS01DSS05MEA03

Verwandte Richtlinien

Zugriffskontrollrichtlinie

Stellt sicher, dass während der Aufbewahrungsfrist nur autorisierte Personen auf Daten zugreifen und dass abgelaufene Daten bis zur Entsorgung eingeschränkt werden.

Asset-Management-Richtlinie

Identifiziert, welche Assets Daten enthalten, die planmäßig entsorgt werden müssen, und verfolgt ihren Lebenszyklus von der Beschaffung bis zur Vernichtung.

Richtlinie zur Datenklassifizierung und Kennzeichnung

Leitet Klassifizierungsentscheidungen, die direkt beeinflussen, wie lange Daten aufbewahrt werden und welche Entsorgungsmethode erforderlich ist.

Richtlinie zu Backup und Wiederherstellung

Definiert Aufbewahrungsfristen und Entsorgungsverfahren für Backup-Medien und replizierte Daten-Assets.

Richtlinie zu kryptografischen Kontrollen

Unterstützt kryptografische Löschung zur Entsorgung und setzt Verschlüsselung während der Datenspeicherung bis zur Vernichtung durch.

Incident-Response-Richtlinie (P30)

Wird aktiviert, wenn unsachgemäße Entsorgung zu potenziellem Datenverlust, einer Datenschutzverletzung oder einem regulatorischen Verstoß führt.

Über Clarysec-Richtlinien - Richtlinie zur Datenaufbewahrung und -entsorgung

Wirksame Sicherheitsgovernance erfordert mehr als nur Worte; sie verlangt Klarheit, Rechenschaftspflicht und eine Struktur, die mit Ihrer Organisation skaliert. Generische Vorlagen scheitern häufig und erzeugen Unklarheit durch lange Absätze und undefinierte Rollen. Diese Richtlinie ist als operatives Rückgrat Ihres Sicherheitsprogramms konzipiert. Wir weisen Verantwortlichkeiten den spezifischen Rollen zu, die in einem modernen Unternehmen vorkommen, einschließlich CISO, IT- und Informationssicherheitsteams und relevanter Ausschüsse, und stellen so klare Rechenschaftspflichten sicher. Jede Anforderung ist eine eindeutig nummerierte Klausel (z. B. 5.1.1, 5.1.2). Diese atomare Struktur macht die Richtlinie leicht umsetzbar, ermöglicht Audits gegen spezifische Kontrollen und erlaubt eine sichere Anpassung, ohne die Dokumentintegrität zu beeinträchtigen – und verwandelt sie von einem statischen Dokument in ein dynamisches, umsetzbares Rahmenwerk.

Master Data Retention Schedule

Ordnet jeden Informationstyp einer Aufbewahrungsfrist, einem Verantwortlichen, einer Rechtsgrundlage und einer Entsorgungsmethode zu – für nachvollziehbare, auditierbare Richtlinieneinhaltung.

Automatisierte Lebenszyklus-Kontrollen

Schreibt systemgestützte Kennzeichnung, geplante Löschung und automatisierte Warnmeldungen für wirksames Zugriffslebenszyklusmanagement und Prozessintegrität vor.

Leitlinien zu Ausnahmen sowie Legal Hold und Löschsperre

Integriert einen dokumentierten Ausnahmeantragsprozess, Legal-Hold-Verfahren und jährliche Revalidierung für regulatorische und operative Flexibilität.

Häufig gestellte Fragen

Von Führungskräften – für Führungskräfte

Diese Richtlinie wurde von einer Sicherheitsführungskraft mit über 25 Jahren Erfahrung in der Implementierung und Auditierung von ISMS-Frameworks für globale Unternehmen verfasst. Sie ist nicht nur als Dokument gedacht, sondern als belastbares Rahmenwerk, das einer Prüfung durch Auditoren standhält.

Verfasst von einem Experten mit folgenden Qualifikationen:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Abdeckung & Themen

🏢 Zielabteilungen

IT-Betrieb Sicherheit Compliance Audit und Compliance Recht und Compliance

🏷️ Themenabdeckung

Datenklassifizierung Dokumentierte Informationen Richtlinienmanagement Compliance-Management
€49

Einmaliger Kauf

Sofortiger Download
Lebenslange Updates
Data Retention and Disposal Policy

Produktdetails

Typ: policy
Kategorie: Enterprise
Standards: 7