Definition der Richtlinie zur Datenaufbewahrung

Was ist eine Richtlinie zur Datenaufbewahrung?

Eine Richtlinie zur Datenaufbewahrung ist das Verfahren einer Organisation zum Aufbewahren von Informationen, um ihre Compliance-Anforderungen zu erfüllen.

Eine Datenaufbewahrungsrichtlinie legt fest, welche Daten gespeichert oder archiviert werden sollen, wo dies geschehen soll und für wie lange genau. Sobald die Aufbewahrungsfrist für einen bestimmten Datensatz abgelaufen ist, kann dieser gelöscht oder als historische Daten je nach Bedarf auf einen sekundären oder tertiären Speicher verschoben werden. Auf diese Weise bleibt der Primärspeicher sauberer und die Organisation erfüllt die Vorschriften.

Natürlich ist es wichtig, historische Daten für die weitere Verwendung aufzubewahren, aber Richtlinien zur Datenaufbewahrung dienen eigentlich dazu, gesetzliche Anforderungen zu erfüllen. Organisationen, die solchen Anforderungen unterliegen, verfügen finanziell nicht über die Mittel, alle Daten für immer aufzubewahren, und das ist auch kein wünschenswertes Ziel.

Stattdessen müssen Unternehmen nachweisen, dass sie Daten selektiv gemäß den spezifischen gesetzlichen Anforderungen ihrer Branche und ihres Standorts aufbewahren und löschen. Beispielsweise können für Personalakten und vertrauliche Finanz- oder Krankenakten unterschiedliche Aufbewahrungsfristen gelten.

Wichtige Grundsätze der DSGVO zur Datenaufbewahrung:

• Speicherbegrenzung : Personenbezogene Daten dürfen nicht länger als nötig gespeichert werden. Definieren Sie klare Aufbewahrungsfristen basierend auf dem Zweck der Datenerfassung.
• Datenminimierung : Erfassen Sie nur die Daten, die für Ihren Geschäftsbetrieb unbedingt erforderlich sind. Vermeiden Sie eine übermäßige Datenerfassung, um die Vorschriften einzuhalten.
• Datengenauigkeit : Stellen Sie sicher, dass personenbezogene Daten während ihres gesamten Lebenszyklus genau, aktuell und zuverlässig bleiben.

Beispielsweise sollte die Personalabteilung keine Lebensläufe von Bewerbern aufbewahren, die für eine Stelle nicht qualifiziert sind. Die Vorschriften zur Vorratsdatenspeicherung ähneln dem Grundsatz der Datenminimierung, der besagt, dass die Dauer der Speicherung personenbezogener Daten auf ein striktes Minimum beschränkt sein sollte.

Spezifische Ausnahmen

Die DSGVO und das DPA 2018 legen ausdrücklich Ausnahmen fest, bei denen Daten länger als „notwendig“ aufbewahrt werden können. Dazu gehört die Aufbewahrung von Daten für Archivierungszwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschung oder statistische Zwecke. Wenn Sie Daten für einen dieser Zwecke aufbewahren, darf dies Ihr einziger Aufbewahrungszweck sein und Sie dürfen die Daten später nicht für einen anderen Zweck verwenden, insbesondere nicht für Entscheidungen, die eine Person betreffen könnten, deren Daten Sie besitzen. Darüber hinaus dürfen Sie Daten nicht „nur für den Fall“ aufbewahren, dass sie in Zukunft nützlich sein könnten.

Außerdem müssen laut Gesetz die Rechte des Einzelnen geschützt werden, wenn Sie sich entscheiden, die Daten aufzubewahren. Wenn eine der Ausnahmen zutrifft, kann in einigen Fällen eine Pseudonymisierung zum Schutz der Daten angemessen sein. Es ist jedoch zu beachten, dass die Pseudonymisierung keine Verteidigung nach Artikel 5 der DSGVO oder nach dem DPA 2018 darstellt, wenn die von Ihnen gespeicherten Daten nicht unter eine der angegebenen Ausnahmen fallen. Ähnlich dem Grundsatz des Gesetzes von 1998 können Sie die Daten jedoch so lange aufbewahren, wie Sie möchten, wenn Sie sie anonymisieren.

Müssen Sie die Aufbewahrungsfrist für Daten festlegen?

Die meisten Artikel der DSGVO erfordern eine Art Dokumentation, um nachzuweisen, dass Ihr Unternehmen die Vorschriften einhält. Bei der Datenaufbewahrung ist das nicht anders. Die Dokumentation muss Einzelheiten zu den Verarbeitungsvorgängen und Aktivitäten enthalten, die den Lebenszyklus der Daten beschreiben.

Sie können problemlos ein Datenaufbewahrungsdokument in Ihre Datenflusskarte integrieren. Beachten Sie, dass diese Datenaufbewahrungsdokumentation aufgrund der DSGVO nur personenbezogene Daten enthalten muss.

Es reicht jedoch nicht aus, ein Dokument mit den Aufbewahrungsfristen für Daten aufzubewahren; Sie müssen diese auch in die Praxis umsetzen. Die Verordnung legt keine Standardaufbewahrungsfrist fest, da sie von zwei Grundsätzen abhängt:

• Speicherbegrenzung: das Prinzip, das sich direkt auf diese Compliance-Maßnahme bezieht
• Zweckbeschränkung : Dieses Prinzip bezieht sich auf den Grund der Verarbeitung, auf den wir später noch näher eingehen.

Um die Aufbewahrungsfrist festzulegen, müssen Sie diese beiden Grundsätze verstehen und wissen, wie sie in Ihrer Organisation in die Praxis umgesetzt werden.

Was tun mit personenbezogenen Daten, die Sie nicht mehr benötigen?

Daten, die Sie nicht mehr benötigen, müssen ordnungsgemäß entsorgt werden. Im Allgemeinen enthält ein Teil der Datenflusskarte einen Abschnitt, der zeigt, was mit den Daten am Ende des Informationslebenszyklus geschieht.

Es gibt jedoch einige Alternativen zur Datenlöschung. Sie könnten die Daten vollständig anonymisieren oder alle Kennungen entfernen. Dies könnte jedoch mehr Aufwand verursachen, als die Daten einfach zu löschen. Der Vorteil besteht darin, dass Sie eine Form anonymisierter Daten als Tracking-Tool behalten können.

Das Tracking erfolgt getrennt von allen Diensten oder Produkten, die personenbezogene Daten erfordern. Ein Beispiel hierfür ist die Verwendung anonymisierter Daten bei der Verfolgung der Gesamtzahl der Kunden, die Ihre Site während ihres gesamten Betriebs besucht haben.

Kurz gesagt handelt es sich gemäß der DSGVO um eine Anforderung zur Löschung aller personenbezogenen Daten, die Ihr Unternehmen nicht mehr verwendet. Vermeiden Sie die Ansammlung von Datenseen.

Welche Vorteile bietet die Festlegung einer Richtlinie zur Datenaufbewahrung?

Vermeidung von Datenseen und Datenfriedhöfen : Ein Datensee liegt vor, wenn die Organisation oder das Informationssystem unnötige personenbezogene Daten sammelt. Die Daten sind überflüssig, da sie normalerweise nichts mit dem Geschäftsbetrieb oder den bereitgestellten Diensten zu tun haben. Die Führung eines Datensees ist gemäß der Verordnung nicht zulässig. Die Festlegung einer Aufbewahrungsfrist kann dazu beitragen, eine übermäßige Datenerfassung zu vermeiden. Der Datenfriedhof hingegen ist, wie der Name schon sagt, ein Friedhof inaktiver personenbezogener Daten. Diese Daten befinden sich normalerweise in einem Speichersystem, ohne jemals berührt zu werden. Eine Datenaufbewahrungsrichtlinie hilft Ihnen dabei, einen Zeitrahmen festzulegen, in dem Sie statische Daten vernichten sollten.

Ressourcen sparen: Am Beispiel der oben genannten Datenseen und -friedhöfe lässt sich sagen, dass diese Aufbewahrungsrichtlinie Ihnen letztlich Zeit und Geld spart. Die Datenaufbewahrungsrichtlinie verbessert auch die Geschwindigkeit des Informationssystems. Die beste Möglichkeit, den Fluss zu verbessern, besteht darin, die „Rohre“ der Infrastruktur zu reinigen.

Wichtige Erkenntnisse und Zusammenfassung

In diesem Artikel haben wir die wesentlichen Aspekte einer Richtlinie zur Datenaufbewahrung untersucht:

• Eine Richtlinie zur Datenaufbewahrung besagt, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie dies zur Erfüllung des beabsichtigten Zwecks erforderlich ist.
• Es gibt spezifische Ausnahmen für die Vorratsdatenspeicherung, etwa zur Archivierung im öffentlichen Interesse und für die wissenschaftliche Forschung, diese müssen jedoch strengen Richtlinien entsprechen.
• Eine robuste Richtlinie zur Datenaufbewahrung hilft Unternehmen, Risiken zu minimieren, Datenansammlungen zu vermeiden und Ressourcen zu sparen.
• Für die Einhaltung der Vorschriften sind ordnungsgemäße Methoden zur Datenentsorgung, einschließlich Löschung oder Anonymisierung, von entscheidender Bedeutung.
• Organisationen sollten ihre Datenaufbewahrungsfristen als Teil ihres umfassenderen DSGVO-Compliance-Rahmens dokumentieren und durchsetzen.

Durch die Implementierung einer robusten Richtlinie zur Datenaufbewahrung wird die Einhaltung von Vorschriften sichergestellt, die Betriebseffizienz verbessert und personenbezogene Daten wirksam geschützt.

DSGVO-Datenspeicherung – Häufig gestellte Fragen

Wie lange dürfen personenbezogene Daten gemäß DSGVO gespeichert werden?

Die DSGVO legt keine Standardaufbewahrungsfrist fest. Daten sollten nur so lange aufbewahrt werden, wie es zur Erfüllung ihres ursprünglichen Zwecks erforderlich ist. Organisationen müssen ihre Aufbewahrungsfristen definieren und dokumentieren.

Was passiert, wenn personenbezogene Daten länger als nötig gespeichert werden?

Die Aufbewahrung von Daten über einen längeren Zeitraum als nötig verstößt gegen die Grundsätze der DSGVO, insbesondere gegen die Vorschriften zur Speicherbegrenzung und Zweckbindung. Dies kann zu Strafen und Reputationsschäden führen.

Was ist der Unterschied zwischen Datenlöschung und Anonymisierung?

Bei der Datenlöschung werden personenbezogene Daten dauerhaft gelöscht, sodass sie nicht wiederhergestellt werden können. Bei der Anonymisierung werden Kennungen entfernt, sodass die Daten zwar erhalten bleiben, aber nicht mehr einer Einzelperson zugeordnet werden können, eine erneute Identifizierung jedoch nicht möglich ist.

Können Daten gemäß der DSGVO für historische oder Forschungszwecke aufbewahrt werden?

Ja, die DSGVO sieht Ausnahmen vor, wie etwa die Archivierung im öffentlichen Interesse, für wissenschaftliche Forschung oder statistische Zwecke. Allerdings gelten strenge Richtlinien und die Daten dürfen nicht für andere Zwecke verwendet werden.

Was ist eine Richtlinie zur Datenaufbewahrung?

Eine Richtlinie zur Datenaufbewahrung legt fest, wie lange personenbezogene Daten gespeichert werden sollen, wo sie gespeichert werden und welche Methoden zum sicheren Löschen oder Archivieren dieser Daten verwendet werden, wenn sie nicht mehr benötigt werden.

Wie sollten personenbezogene Daten gemäß der DSGVO entsorgt werden?

Personenbezogene Daten sollten sicher gelöscht oder anonymisiert werden, wenn sie nicht mehr benötigt werden. Die Methoden hängen von der Art der Daten ab, müssen aber sicherstellen, dass sie nicht abgerufen oder wiederhergestellt werden können.