Was ist Datenspeicherung? Implementierung effektiver Praktiken

Mehr als nur Speicher: Optimierung der Datenaufbewahrungsrichtlinien für verbesserte Governance

Im digitalen Zeitalter sind Daten zum Lebenselixier von Unternehmen weltweit geworden. Sie treiben Innovationen voran, beeinflussen Entscheidungen und prägen das Kundenerlebnis. Inmitten dieser Datenfülle birgt sie jedoch eine große Herausforderung: Wie lässt sich diese Informationsfülle effektiv verwalten und speichern? Wussten Sie, dass die globale Datensphäre bis 2025 voraussichtlich die unglaubliche Größe von 175 Zettabyte erreichen wird – eine Verzehnfachung gegenüber 2016? Angesichts dieses exponentiellen Wachstums ist die Bedeutung von Datenaufbewahrung war noch nie so ausgeprägt. Die Datenaufbewahrung ist komplex, differenziert und erfordert einen modernen Ansatz, um das wachsende Volumen, die Art und die Sensibilität von Unternehmensdaten zu bewältigen.

Viele Unternehmen speichern Daten systematisch zu lange und setzen sich damit enormen Risiken aus. Rund ein Drittel der Datenspeicher wurde seit drei Jahren nicht mehr angerührt — und 75% der überbehaltenen Aufzeichnungen umfassen personenbezogene oder sensible Daten. Begleiten Sie uns, wenn wir die entscheidende Rolle der Datenaufbewahrung beim Schutz von Erkenntnissen, der Gewährleistung der Compliance und der Stärkung strategischer Entscheidungsfindung in der modernen Zeit untersuchen.

Was ist Datenspeicherung?

Datenaufbewahrung bezeichnet die Speicherung von Daten für einen bestimmten Zeitraum. Dies kann aus verschiedenen Gründen erfolgen, beispielsweise zur Einhaltung gesetzlicher Vorschriften, zur Gewährleistung der Geschäftskontinuität und zur Datenanalyse. Die ordnungsgemäße Datenaufbewahrung ist für Unternehmen wichtig, um den Zugriff auf die Daten zu gewährleisten, die sie für einen effektiven Betrieb benötigen, und gleichzeitig alle gesetzlichen und regulatorischen Anforderungen zu erfüllen.

Je nach Branche und Land kann die Datenaufbewahrung in der Praxis sehr unterschiedlich aussehen. Im US-Gesundheitswesen beispielsweise wird die Datenaufbewahrung durch eine Vielzahl von Gesetzen und Vorschriften geregelt, insbesondere durch die Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA). HIPAA verpflichtet Gesundheitsorganisationen, Patientenakten mindestens sechs Jahre lang aufzubewahren, oder länger, wenn dies nach Landesrecht vorgeschrieben ist.

Was ist eine Richtlinie zur Datenaufbewahrung und was sollte sie beinhalten?

Eine Datenaufbewahrungsrichtlinie ist eine Reihe von Richtlinien, die ein Unternehmen für die Aufbewahrung und Entsorgung von Daten befolgt. Diese Richtlinien basieren auf gesetzlichen Anforderungen und internen Erfordernissen. Um Compliance-Anforderungen zu erfüllen, sollte eine Datenaufbewahrungsrichtlinie Folgendes beinhalten:

• Arten der aufzubewahrenden Daten: Die Richtlinie sollte angeben, welche Arten von Daten aufbewahrt werden sollen, wie etwa finanzielle, rechtliche, gesundheitliche oder persönliche Daten.
• Aufbewahrungsfristen: Die Richtlinie sollte die Aufbewahrungsfristen für jeden Datentyp basierend auf gesetzlichen Anforderungen und Geschäftserfordernissen festlegen. Die Aufbewahrungsfrist sollte lang genug sein, um die Geschäftsanforderungen und gesetzlichen Verpflichtungen zu erfüllen, jedoch nicht länger als nötig, um unnötige Datenspeicherung zu vermeiden.
• Lagerort: Die Richtlinie sollte angeben, wo die Daten gespeichert werden sollen, ob vor Ort, in der Cloud oder in einer hybriden Speicherumgebung.
• Zugriffskontrollen: Die Richtlinie sollte festlegen, wer Zugriff auf die Daten hat und die Verfahren für den Zugriff darauf. Dies sollte Richtlinien für den Zugriff auf Daten enthalten, wer darauf zugreifen kannund wann der Zugriff gewährt wird.
• Datenvernichtung: Die Richtlinie sollte festlegen, wie die Daten am Ende ihrer Aufbewahrungsfrist vernichtet werden. Sie sollte Richtlinien für die sichere Löschung der Daten oder die Entsorgung physischer Datenträger enthalten.
• Aufbewahrung von Aufzeichnungen: Die Richtlinie sollte Verfahren zur Dokumentation der Datenaufbewahrung und -vernichtung beschreiben. Dazu gehören Angaben darüber, wer für die Daten verantwortlich ist, wann sie erstellt und wann sie vernichtet wurden.

Vorteile der Datenaufbewahrung

Unternehmen können Verstöße vermeiden und das Vertrauen ihrer Kunden stärken, indem sie Sanierung Richtlinien zur Datenaufbewahrung im gesamten Unternehmen.

Organisationen, die ein wirksames Programm zur Datenaufbewahrung implementieren, können:

• Definieren Sie Daten danach, wie lange sie aufbewahrt werden sollen
• Unterscheiden Sie kritische Informationen von redundanten, veralteten und trivialen (ROT) Daten
• Berücksichtigung gesetzlich zulässiger Ausnahmen von den Anforderungen zur Datenaufbewahrung (wie z. B. anhängige Gerichtsverfahren oder Audits)
• Bestimmen Sie, ob Datensätze archiviert oder gelöscht werden sollen
• Unterhalten Sie Rechts- und IT-Teams, um Richtlinien zur Datenaufbewahrung zu erstellen und umzusetzen
• eine Brücke zwischen den Rechts- und IT-Teams zu bilden, damit diese eine ständige Kommunikation aufrechterhalten, Compliance erreichen und über alle Vorschriften auf dem Laufenden bleiben können

Best Practices zum Ändern einer Datenaufbewahrungsrichtlinie

• Überprüfen Sie die bestehende Richtlinie: Überprüfen Sie die vorhandene Richtlinie, um Bereiche zu identifizieren, die aktualisiert werden müssen, z. B. Änderungen der gesetzlichen Anforderungen, neue Datentypen oder Änderungen der Geschäftsprozesse.
• Führen Sie eine Risikobewertung durch: Führen Sie eine Risikobewertung durch, um die potenziellen Risiken im Zusammenhang mit der Datenaufbewahrung und die Auswirkungen von Änderungen an der Richtlinie zu ermitteln.
• Bestimmen Sie die entsprechenden Aufbewahrungsfristen: Bestimmen Sie die entsprechenden Aufbewahrungsfristen für jeden Datentyp basierend auf gesetzlichen Anforderungen und Geschäftserfordernissen.
• Identifizieren Sie den entsprechenden Speicherort: Identifizieren Sie für jeden Datentyp den geeigneten Speicherort, z. B. vor Ort oder in der Cloud.
• Entwickeln Sie Verfahren zur Datenvernichtung: Entwickeln Sie Verfahren zur sicheren Vernichtung von Daten am Ende ihrer Aufbewahrungsfrist.
• Aktualisieren Sie die Schulung und Sensibilisierung Ihrer Mitarbeiter: Aktualisieren Sie die Schulungs- und Sensibilisierungsprogramme für Mitarbeiter, um sicherzustellen, dass die Mitarbeiter die aktualisierte Richtlinie kennen und ihre Verantwortung für die Datenaufbewahrung und -vernichtung verstehen.
• Genehmigung einholen: Holen Sie die Genehmigung der Geschäftsleitung oder des Vorstands ein, um sicherzustellen, dass die aktualisierte Richtlinie mit den allgemeinen Risikomanagement und Compliance-Strategien.

Die Häufigkeit der Anpassung einer Datenaufbewahrungsrichtlinie hängt von verschiedenen Faktoren ab, darunter Änderungen der gesetzlichen Anforderungen, Änderungen der Geschäftsprozesse und das mit den Daten verbundene Risiko. Als allgemeine Richtlinie sollten Unternehmen ihre Datenaufbewahrungsrichtlinie mindestens einmal jährlich überprüfen, um sicherzustellen, dass sie aktuell und wirksam bleibt. Darüber hinaus sollten Unternehmen regelmäßige Risikobewertungen durchführen, um Änderungen der mit der Datenaufbewahrung verbundenen Risiken zu identifizieren und bei Bedarf entsprechende Maßnahmen zu ergreifen.

Warum Sie ein leistungsstarkes Programm zur Datenaufbewahrung benötigen

Eine Datenaufbewahrungsrichtlinie ist ein Eckpfeiler jedes Datenmanagements. Sowohl interne als auch externe Richtlinien geben Regeln und Vorschriften vor. Für Unternehmen ist es entscheidend, ein umfassendes Datenaufbewahrungsprogramm zu verwalten, das beides berücksichtigt.

Datenschutz- und Schutzbestimmungen wie die Datenschutz-Grundverordnung (DSGVO) der EU und die Kalifornisches Verbraucherschutzgesetz (CCPA), legen Sie beispielsweise spezifische Anforderungen für die Informationen fest, die Organisationen behalten dürfen – und was sie löschen müssen – um vertrauliche Verbraucherinformationen zu schützen, das Risiko für die Privatsphäre des Einzelnen zu minimieren, Anträge auf Zugang zu personenbezogenen Datenund mehr.

Wie lange ist die Datenaufbewahrungsfrist?

Die Datenaufbewahrungsfrist – auch als „Aufbewahrungsfrist für Aufzeichnungen“ bezeichnet – beschreibt den Zeitraum, in dem ein Unternehmen Daten speichert. Wie lange diese Frist sein sollte, lässt sich nicht pauschal beantworten. Letztendlich kommt es darauf an.

Dies hängt von der Art der Daten, dem Zweck, zu dem diese Daten erhoben oder erstellt wurden, davon ab, ob die Daten noch als nützlich erachtet werden und von weiteren Überlegungen – je nach Verordnung.

Während einige Regelungen wie die Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA) verlangen, dass Informationen mindestens sechs Jahre lang „ab dem Datum ihrer Erstellung oder dem Datum ihrer letzten Gültigkeit, je nachdem, welches Datum später liegt“ aufbewahrt werden, nicht alle Vorschriften Zeitrahmen festlegen.

Einhaltung gesetzlicher Vorschriften

Die spezifischen Anforderungen an die Datenaufbewahrungsrichtlinien variieren je nach Verordnung, hier sind jedoch einige allgemeine Richtlinien:

• Allgemeine Datenschutzverordnung (GDPR): Die DSGVO verpflichtet Unternehmen, personenbezogene Daten nur so lange aufzubewahren, wie es für die Zwecke ihrer Erhebung erforderlich ist. Unternehmen müssen über klare Aufbewahrungsrichtlinien verfügen und deren Einhaltung nachweisen können. Darüber hinaus verpflichtet die DSGVO Unternehmen, personenbezogene Daten sicher zu löschen oder zu vernichten, wenn sie nicht mehr benötigt werden.
• Kalifornisches Verbraucherschutzgesetz (CCPA): Der CCPA verpflichtet Organisationen zur Offenlegung ihrer Datenaufbewahrungsrichtlinien und der spezifischen Kategorien personenbezogener Daten, die sie erheben, verwenden und speichern. Organisationen müssen Verbrauchern außerdem das Recht einräumen, die Löschung ihrer personenbezogenen Daten zu verlangen, und diesen Aufforderungen innerhalb einer bestimmten Frist nachkommen.
• Gesetz zur Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA): HIPAA Gesundheitsorganisationen sind verpflichtet, medizinische Unterlagen und andere geschützte Gesundheitsinformationen (PHI) mindestens sechs Jahre lang ab dem Datum ihrer Erstellung oder ihrer letzten Gültigkeit aufzubewahren. HIPAA verpflichtet Organisationen außerdem zur sicheren Entsorgung nicht mehr benötigter PHI.
• Sarbanes-Oxley Act (SOX): SOX verpflichtet Unternehmen, Finanz- und Buchhaltungsunterlagen mindestens sieben Jahre lang aufzubewahren. SOX verpflichtet Unternehmen außerdem dazu, diese Unterlagen sicher zu entsorgen, wenn sie nicht mehr benötigt werden.
• Gesetz der Federal Trade Commission (FTC): Die FTC verlangt von Organisationen, Daten für einen angemessenen Zeitraum aufzubewahren, um die Zwecke zu erfüllen, für die sie erhoben wurden. Organisationen müssen Daten außerdem sicher entsorgen, wenn sie nicht mehr benötigt werden.
• Gramm-Leach-Bliley-Gesetz (GLBA): Gemäß dem GLBA müssen Finanzinstitute über eine schriftliche Datenaufbewahrungsrichtlinie verfügen, die die Art der vom Institut erhobenen Kundendaten, deren Verwendung und Aufbewahrungsdauer beschreibt. Die Richtlinie sollte auch beschreiben, wie das Institut die Daten sicher entsorgt, wenn sie nicht mehr benötigt werden. Der GLBA schreibt keine spezifische Aufbewahrungsfrist für Kundendaten vor, Finanzinstitute müssen Aufzeichnungen jedoch mindestens fünf Jahre lang ab dem Datum ihrer Erstellung oder dem Datum ihrer Gültigkeit aufbewahren.
• Die Arbeitsschutzbehörde (OSHA): Gemäß den Aufzeichnungspflichten der OSHA müssen Arbeitgeber Aufzeichnungen über Arbeitsunfälle und Berufskrankheiten fünf Jahre lang aufbewahren und außerdem mindestens 30 Jahre lang Aufzeichnungen über die Exposition von Mitarbeitern gegenüber bestimmten gefährlichen Stoffen wie Blei und Asbest führen. Die Aufzeichnungen müssen Informationen wie das Datum der Verletzung oder Krankheit, den Namen und die Berufsbezeichnung des Mitarbeiters, die Art der Verletzung oder Krankheit sowie die erhaltene medizinische Behandlung enthalten.

Beschleunigen Sie Ihr Datenaufbewahrungsprogramm mit BigID

BigID ist die branchenführende Plattform für Datenschutz, Sicherheit, Compliance und KI-Datenmanagement, die Unternehmen hilft, ihre Daten durchgängig besser zu verwalten. Mithilfe fortschrittlicher KI und maschinellem Lernen ermöglicht BigID Unternehmen einen besseren Einblick in alle ihre wertvollsten Assets im gesamten Unternehmen. Multi-Cloud, On-Prem und darüber hinaus.

• Kennen Sie Ihre Daten – im großen Maßstab: BigID verwendet Algorithmen des maschinellen Lernens, um Daten automatisch zu scannen und basierend auf ihrer Sensibilität, ihrem Kontext und ihrem Typ zu klassifizieren. So können Unternehmen die Daten entsprechend den Aufbewahrungsanforderungen angemessen handhaben.
• Definieren Sie Richtlinien zur Datenaufbewahrung: BigIDs App zur Datenaufbewahrung ermöglicht es Unternehmen, Datenaufbewahrungsrichtlinien basierend auf der Sensibilität der Daten, den geltenden gesetzlichen Anforderungen und den Geschäftsanforderungen des Unternehmens zu definieren. Die Plattform automatisiert die Durchsetzung dieser Richtlinien und benachrichtigt Unternehmen, wenn die Aufbewahrungsfrist für Daten abgelaufen ist.
• Verbesserung der Datensicherheitslage: Priorisieren und bekämpfen Sie Datenrisiken proaktiv, beschleunigen Sie SecOps und DSPM automatisieren das macht einen Unterschied.
• Reduzieren Sie Ihre Angriffsfläche: Verkleinern Sie die Angriffsfläche, indem Sie proaktiv unnötige, nicht geschäftskritische sensible Daten eliminieren mit BigIDs App zur DatenlöschungAutomatisieren Sie die sichere Vernichtung von Daten am Ende ihrer Aufbewahrungsfrist und verringern Sie so das Risiko eines unbefugten Zugriffs oder von Datenschutzverletzungen.

So automatisieren und stärken Sie das Datenaufbewahrungsprogramm Ihres Unternehmens: Planen Sie noch heute eine 1:1-Demo mit BigID.

Autor

Alexis Porter

Leiterin für Content Marketing

Alexis arbeitet als Content Marketing Manager für den branchenführenden DSPM-Anbieter BigID. Sie hat sich darauf spezialisiert, Tech-Start-ups dabei zu helfen, ihre Stimme zu schärfen, um überzeugende Geschichten zu erzählen, die bei unterschiedlichen Zielgruppen Anklang finden. Sie hat einen Bachelor-Abschluss in professionellem Schreiben und einen Master-Abschluss in Marketingkommunikation von der University of Denver. Alexis arbeitet von Orlando, FL aus.