Erfahren Sie einen praktischen Workflow für Datenaufbewahrung und Legal Holds, der Löschpläne mit Audit‑Anforderungen verbindet – so weisen Sie Compliance nach, ohne Daten unbegrenzt zu speichern.
Die meisten Teams sind sich einig: Daten sollten gelöscht werden, wenn sie nicht mehr benötigt werden. Das reduziert Risiken, spart Speicherplatz und hilft, Datenschutzvorgaben einzuhalten. Das Problem taucht später auf, wenn jemand fragt: „Können Sie nachweisen, was passiert ist?“ Diese Frage kann von einem Auditor, einer Kundenbeschwerde oder einer Klage kommen.
Ein solider Data-Retention-Legal-Hold-Workflow löst eine schwierige Spannung: fristgerecht löschen, aber trotzdem Entscheidungen, Zugriffe und Maßnahmen nachweisen können, nachdem die zugrundeliegenden Daten entfernt wurden.
Aufbewahrung (Retention) ist, wie lange Sie eine Kategorie von Daten aus geschäftlichen oder rechtlichen Gründen aufbewahren. Löschung ist, was Sie tun, wenn diese Zeit abläuft — inklusive Entfernen von Kopien und Backups innerhalb eines definierten Zeitfensters. Ein Legal Hold ist eine vorübergehende Aussetzung der Löschung für bestimmte Datensätze, weil ein Streit, eine Untersuchung oder eine Vorschrift ihre Aufbewahrung verlangt.
„Beweiserhaltung“ bedeutet nicht immer, die vollständigen Daten für immer zu behalten. Häufig reicht ein kleineres, sicheres Set an Nachweisen, das einen Audit unterstützt, ohne die ursprünglichen personenbezogenen Daten wiederherzustellen. Zum Beispiel können Sie aufbewahren:
Das Ziel ist ein wiederholbarer Prozess, der entscheidet, was gelöscht wird, was pausiert wird und welche schlanken Audit-Artefakte erhalten bleiben.
Dies ist operative Anleitung, keine Rechtsberatung. Aufbewahrungsfristen und Hold‑Auslöser sollten mit der Rechtsabteilung abgestimmt und an die Branchenanforderungen angepasst werden.
Sie können keinen sauberen Löschplan oder Legal Hold durchführen, wenn Sie nicht wissen, was Sie halten. Beginnen Sie damit, die Datentypen aufzuschreiben, die Sie sammeln, und listen Sie dann jedes System auf, das sie speichert oder kopiert.
Denken Sie über „die Datenbank“ hinaus. Kundenprofile können in Ihrer Anwendungsdatenbank liegen, dieselben Informationen tauchen aber auch in Support-Tickets, E-Mail-Threads, Chat-Tools, exportierten Tabellen und Dateianhängen auf. Logs, Backups und Analytics enthalten oft zusätzliche Kopien, die leicht vergessen werden.
Eine einfache Methode zur Kartierung ist: Notieren Sie jeden Datensatz und beantworten Sie drei Fragen: Wo wird er erstellt, wohin wird er kopiert und wer kann ihn löschen.
Konzentrieren Sie sich auf die Quellen, die später überraschend sein können:
Nicht alles braucht dieselbe Behandlung von Tag eins an. Definieren Sie, was der Workflow jetzt abdeckt und was später hinzugefügt wird.
Ein praktischer erster Umfang umfasst in der Regel Systeme, die Sie kontrollieren (wo Sie termingerecht löschen können), Systeme, die bei einer rechtlichen Aufbewahrung durchsucht werden müssen, und Systeme, die nach Löschung nur noch Audit‑Beweise speichern.
Schreiben Sie auch auf, was außerhalb des Umfangs liegt (z. B. persönliche Notizen auf Laptops). Diese Lücken sind oft der Anfang von „alles für immer behalten“.
Verwirrung entsteht oft, weil Leute dieselben Wörter unterschiedlich verwenden. Stimmen Sie Definitionen vorher ab, damit der Workflow leichter zu betreiben und zu verteidigen ist.
Eine Aufbewahrungsregel beantwortet eine Frage: Wie lange behalten wir jeden Datentyp? Sie wird üblicherweise durch Gesetz, Verträge oder geschäftliche Notwendigkeit bestimmt. Sie sollte spezifisch sein (z. B.: Support‑Tickets 2 Jahre, Rechnungen 7 Jahre, Anwendungslogs 30 Tage).
Ein Löschplan ist der Ausführungsplan. Er beantwortet: Wann findet die Löschung statt und wie läuft sie ab? Manche Teams löschen in nächtlichen Batches, andere rollen das fortlaufend aus, und viele nutzen ereignisbasierte Löschung (z. B. „30 Tage nach Kontoschließung“). Die Aufbewahrungsregel ist die Vorgabe; der Löschplan ist die Routine, die die Regel anwendet.
Ein Legal Hold ist eine gezielte Aussetzung der Löschung, die mit einem Fall, einer Beschwerde, einer Untersuchung oder einer Klage verbunden ist. Er sollte Umfang (welche Personen, Konten, Systeme oder Datenzeiträume) und Verantwortlichkeit (wer ihn genehmigt hat) enthalten. Ein Legal Hold bedeutet nicht „stoppt alle Löschungen überall.“ Es bedeutet „stoppt die Löschung nur für die betroffenen Datensätze.“
Audit-Anforderungen sind das, was Sie später vorzeigen müssen: wer was getan hat, wann es passiert ist und warum es erlaubt war. Auditoren interessieren sich in der Regel mehr für den Nachweis eines konsistenten Prozesses als dafür, jede Aufzeichnung für immer zu behalten.
Halten Sie die Sprache einfach:
Eine Aufbewahrungsregel scheitert, wenn sie wie ein Gesetzeswerk formuliert ist oder wenn niemand weiß, wer entscheidet. Für jeden Datentyp schreiben Sie auf: Warum behalten wir ihn, wie lange behalten wir ihn, was startet die Uhr und wer ist für die Regel verantwortlich.
Gruppieren Sie Daten nach geschäftlichem Zweck, nicht nach dem Speicherort in Ihren Systemen. „Rechnungen“ ist eine klarere Kategorie als „Zeilen in Tabelle X.“ Halten Sie die Anzahl der Kategorien so klein, dass ein beschäftigter Mensch sie schnell überblicken kann.
Machen Sie Verantwortlichkeiten explizit. Die Finanzabteilung sollte nicht raten müssen, was der Support braucht, und Support sollte keine HR‑Regeln festlegen. Geben Sie jeder Kategorie einen Owner, der Änderungen genehmigt und Fragen beantwortet.
Auslöser sind ebenso wichtig wie Zeitangaben. „7 Jahre“ bedeutet nichts, wenn nicht definiert ist, wann die Frist beginnt: Kontoschließung, Vertragsende, letzte Anmeldung, letzte Zahlung, letztes Ticket‑Update. Wählen Sie nach Möglichkeit pro Kategorie einen Auslöser.
Schreiben Sie Ausnahmen in klaren Worten auf. Das sind die Gründe, warum Löschung pausiert: Streitfälle, Chargebacks, Betrugsprüfung und aktive Legal Holds. Wenn die Ausnahme vage ist, behandeln Leute alles als Ausnahme.
Hier ist ein einfaches Tabellenformat, das Teams tatsächlich nutzen:
| Datenkategorie | Geschäftszweck | Aufbewahrungsdauer | Auslöser (Beginn der Frist) | Owner | Ausnahmen (Löschung pausieren) |
|---|---|---|---|---|---|
| Kundenrechnungen | Steuer und Buchhaltung | 7 Jahre | Rechnung bezahlt/ausgestellt | Finance | Steuerprüfung, Streitfall |
| Support‑Tickets | Kundenservice‑Historie | 24 Monate | Ticket geschlossen | Support | Offener Streit, Betrugsprüfung |
| Benutzerprofil | Dienstbereitstellung | 30 Tage | Kontoschließung | Produkt | Aktiver Legal Hold, Chargeback‑Fenster |
| Access‑Logs | Sicherheitsüberwachung | 90 Tage | Log erstellt | Security/IT | Vorfalluntersuchung |
Ein guter Workflow für Datenaufbewahrung und Legal Holds hat ein Ziel: standardmäßig termingerecht löschen, aber nur die spezifischen Datensätze pausieren, die erhalten werden müssen. Der verlässlichste Ansatz behandelt Aufbewahrung, Löschung und Holds als getrennte Ereignisse, die ein gemeinsames Audit‑Log teilen.
Erstellen oder Aktualisieren einer Aufbewahrungsregel (mit Owner). Definieren Sie den Datensatz, den Grund (Vertrag, Steuer, Support) und die Aufbewahrungsdauer. Erfassen Sie, wer sie genehmigt hat und das Inkrafttretungsdatum.
Führen Sie Löschjobs mit definiertem Umfang aus. Setzen Sie Regeln in automatisierte Jobs um, die Felder, Tabellen, Dateien und Suchindizes löschen oder anonymisieren. Seien Sie explizit, was „gelöscht“ in Ihrer Organisation bedeutet (Hard Delete, Soft Delete oder irreversible Anonymisierung) und welche Systeme einbezogen sind.
Setzen Sie einen Legal Hold (nur das Relevante einfrieren). Wenn ein Streit, eine Untersuchung oder eine behördliche Anfrage auftritt, erstellen Sie einen Hold‑Eintrag, der Personen, Konten, Fall‑IDs, Datumsbereiche und Datentypen adressiert. Der Löschjob sollte nur passende Datensätze überspringen, nicht die gesamte Datenbank.
Heben Sie den Hold auf (dann Löschung sicher fortsetzen). Wenn Legal bestätigt, dass der Hold endet, markieren Sie ihn als freigegeben. Bevor die Löschung wieder startet, bestätigen Sie, dass der Umfang korrekt ist und dass sich keine neuen Holds überschneiden.
Protokollieren Sie jede Aktion. Änderungen an Aufbewahrungen, Löschläufe, gesetzte Holds, aufgehobene Holds und manuelle Ausnahmen. Jeder Eintrag sollte Zeitstempel, Akteur, Genehmiger, Umfang und Ergebnis (Erfolg oder Fehler) enthalten.
Genehmigungen sind häufig der Bruchpunkt. Halten Sie Rollen klar:
Beispiel: Ein Support‑Manager ändert die Aufbewahrungsdauer für Chat‑Transkripte von 24 auf 12 Monate nach Genehmigung. Der wöchentliche Löschjob entfernt Transkripte, die älter als 12 Monate sind. Zwei Monate später setzt Legal einen Hold für das Konto eines Kunden in einem Streitfall, sodass nur die Transkripte dieses Kunden eingefroren werden; alle anderen folgen weiter dem Plan.
Ein Legal Hold sollte die Löschung nur für die Datensätze stoppen, die wichtig sind, und nur für den relevanten Zeitraum. Wenn ein Hold zu „pausiere alle Löschungen überall“ wird, entstehen Kosten, Risiken und Verwirrung.
Beginnen Sie mit dem Umfang. Ein Hold kann auf bestimmte Nutzer, Bestellungen, Support‑Tickets, Projekte, Postfächer, Ordner oder einen Datumsbereich wie „Nachrichten vom 1. März bis 15. April“ beschränkt sein. Je enger der Umfang, desto leichter ist er zu verteidigen und desto weniger Daten bewahren Sie auf.
Um versehentliche Löschungen zu verhindern, sollte ein Hold maschinenlesbar sein. Das bedeutet üblicherweise ein Hold‑Flag plus eine Hold‑ID an jedem Datensatz (oder am Fall‑ oder Auftragsobjekt, das den Datensatz besitzt). Ihr Löschjob hat dann eine harte Regel: Wenn HoldActive = true, überspringe die Löschung und protokolliere, dass sie wegen eines Holds übersprungen wurde.
Neue Daten nach Beginn des Holds sind eine häufige Falle. Entscheiden Sie im Voraus, ob der Hold:
Bei Streitfällen sind fortlaufende Holds oft sicherer (z. B. „alle neuen Tickets für Kunde X, solange der Fall offen ist“).
Denken Sie an zwei Uhren. Die Aufbewahrungsuhr definiert, wann Daten löschungsreif werden. Die Hold‑Uhr definiert, ob die Löschung gerade erlaubt ist. Die Aufbewahrung läuft im Hintergrund weiter, aber der Hold blockiert die endgültige Löschaktion. Wenn der Hold endet, werden bereits ablaufbereite Daten sofort löschungsfähig.
Dokumentieren Sie den Hold so, dass das „Warum" verständlich ist, ohne zu viel zu offenbaren. Kurz halten: Anforderer, Datum, Umfang und ein einfacher Grund wie „Abrechnungsstreit“ oder „Beschwerde des Arbeitnehmers".
Auditoren brauchen in der Regel nicht die gelöschten Inhalte selbst. Sie brauchen den Beleg, dass Ihr Prozess kontrolliert war: wer entschieden hat, was gelöscht wurde, wann es passiert ist und warum es erlaubt war.
Protokollieren Sie Löschereignisse so, wie Sie eine Finanztransaktion protokollieren würden. Der Eintrag sollte auch Monate später noch sinnvoll sein, selbst für jemanden außerhalb des Teams.
Erfassen Sie die wesentlichen Informationen für jedes Lösch‑ oder Anonymisierungsereignis:
Bewahren Sie außerdem den betrieblichen Nachweis, dass der Job lief und abgeschlossen wurde, ohne Inhalte zu speichern:
Vermeiden Sie es, vollständige Datensätze in einer Audit‑Datenbank zu kopieren „für den Fall der Fälle“. Das schafft ein zweites System, das Sie ebenfalls löschen müssten.
Legen Sie für Audit‑Logs selbst eine klare Aufbewahrungsdauer und Zugriffsregeln fest. Viele Teams behalten detaillierte Logs 12 bis 24 Monate und erstellen dann eine kleinere monatliche Zusammenfassung für längere Zeit. Beschränken Sie den Zugriff auf eine kleine Gruppe (Security, Compliance und eine begrenzte Anzahl von Admins) und protokollieren Sie Zugriffe auf die Logs.
Um Audits zu vereinfachen, bereiten Sie einige einfache Berichte vor, die Sie schnell liefern können: eine monatliche Löschzusammenfassung, eine Ausnahmeliste (aktive Holds, blockierte Jobs, ungelöste Fehler) und eine Aufschlüsselung der häufigsten Löschgründe.
Beispiel: Wenn im Juli 1.240 geschlossene Konten gelöscht wurden, kann Ihr Nachweis ein einzelner Job‑Run‑Eintrag sein, der zeigt, wer den Lauf genehmigt hat, welche Aufbewahrungsregel verwendet wurde, die Anzahl, den Abschlussstatus und eine Ausnahmeliste der 12 Konten, die durch aktive Legal Holds blockiert waren.
Die meisten Aufbewahrungsprogramme scheitern aus einem Grund: Wenn etwas riskant erscheint, hören Leute auf zu löschen. Dann häufen sich „temporäre“ Ausnahmen, bis nichts mehr gelöscht wird.
Ein großer blinder Fleck sind Backups, Replikate und archivierter Speicher. Teams löschen den Hauptdatensatz, vergessen aber ältere Kopien in Snapshots oder Read‑Replicas. Seien Sie klar, was „Löschung“ in Ihrer Richtlinie bedeutet: Oft heißt das, dass die Produktionskopie schnell entfernt wird und Backups auf einem separaten, festen Zeitplan auslaufen.
Ein weiterer häufiger Fehler ist, einen Legal Hold über ein gesamtes System zu legen „nur für den Fall“. Das friert irrelevante Daten ein und macht jede zukünftige Löschung riskant. Holds sollten auf spezifische Personen, Datumsbereiche, Datentypen und die Systeme begrenzt sein, die tatsächlich relevante Daten enthalten.
Verantwortungslücken führen ebenfalls zu dauerhaften Holds. Wenn niemand für Genehmigung, Dokumentation und Freigabe eines Holds verantwortlich ist, endet er nie. Behandeln Sie Holds wie eine kontrollierte Änderung mit benannten Rollen.
Exports sind der stille Retentionskiller. Sie können Daten in der App löschen und sie immer noch in Tabellen, E‑Mail‑Anhängen, Shared Drives oder ad‑hoc BI‑Extracts leben lassen.
Einige praktische Maßnahmen verhindern das „alles behalten“-Verhalten:
Logging ist ein Balanceakt: zu wenig und Sie können den Workflow nicht beweisen; zu viel und Ihre Logs werden selbst zum Datenschutzproblem.
Bevor Sie einem Löschplan im echten Betrieb vertrauen, führen Sie einen „können wir es beweisen“-Test durch. Der Workflow ist nur so stark wie die schwächste Übergabe: der fehlende Owner, das stille Backup oder der Job, der das Falsche löscht.
Führen Sie ein kurzes Tabletop‑Exercise mit den Personen durch, die den Prozess nutzen werden (Legal, Security, IT und das Fachteam, das die Daten besitzt).
Wenn ein Punkt schwer zu beantworten ist, verschärfen Sie den Workflow, bevor ein Regulator, Auditor oder Gericht ihn testet.
Wählen Sie ein reales Datenobjekt (z. B. ein Kundenprofil) und verfolgen Sie es End‑to‑End: wo es erstellt wird, wo es kopiert wird und wie es entfernt wird. Setzen Sie dann einen Legal Hold mit einer Fall‑ID, führen Sie einen Löschjob aus, heben Sie den Hold auf und starten Sie die Löschung erneut. Speichern Sie den Bericht und prüfen Sie, ob er für jemanden außerhalb Ihres Teams lesbar ist.
Ein Kunde schließt sein Konto am 1. März. Ihre Richtlinie sagt: Profildaten nach 30 Tagen löschen, Support‑Konversationen nach 90 Tagen löschen und Rechnungen 7 Jahre aufbewahren (steuerliche und finanzielle Gründe erfordern das häufig).
Am 20. April reicht derselbe Kunde einen Abrechnungsstreit für eine Rechnung aus Februar ein. Hier sollte der Workflow präzise und nicht beängstigend wirken.
Sie tun zwei Dinge gleichzeitig. Sie fahren mit normalen Löschungen für alles fort, was nicht zum Streit gehört. Gleichzeitig setzen Sie einen Legal Hold auf eine kleine Menge an Datensätzen, die den Sachverhalt beweisen.
Was planmäßig gelöscht wird (weil es für den Streit nicht benötigt wird) kann Marketing‑Präferenzen, alte Chats ohne Bezug zur Abrechnung, Produktnutzungsereignisse außerhalb des Analysefensters und interne Notizen umfassen, die nicht Teil der Abrechnungsentscheidung sind.
Was Sie als Beweis behalten und auf Hold setzen sollten:
Der Hold sollte gezielt sein: Rechnungen und zugehörige Support‑Tickets only. Das gesamte Konto des Kunden muss nicht generell eingefroren werden, es sei denn, es ist erforderlich.
Wenn der Streit geklärt ist, heben Sie den Hold auf, dokumentieren Sie das Ergebnis (genehmigt, abgelehnt, Teilrückerstattung) und setzen Sie pausierte Löschungen für die gehaltenen Objekte fort.
Die Fragen eines Auditors sind meist grundlegend: Was wurde gelöscht, warum und wie haben Sie die Löschung relevanter Streitdaten verhindert? Sie sollten Aufbewahrungsregeln, Hold‑Start‑ und Enddaten, die Liste der gehaltenen Datensatz‑IDs und eine Ereignis‑Spur vorlegen können, die zeigt, dass Löschungen für alles andere termingerecht ausgeführt wurden.
Eine Aufbewahrungsrichtlinie funktioniert nur, wenn sie zur Routinearbeit wird. Beginnen Sie klein, beweisen Sie den Ablauf und erweitern Sie dann. Wählen Sie einen Datentyp (z. B. Support‑Tickets), ein System und einen Bericht, der zeigt, was gelöscht, was gehalten und warum.
Führen Sie einen kurzen Pilotlauf von 2–4 Wochen durch und suchen Sie nach Reibungspunkten: unklare Owner, fehlende Genehmigungen und Hold‑Anfragen, die zu spät kommen. Beheben Sie diese, bevor Sie auf mehr Systeme ausrollen.
Ein Rollout‑Plan, der Druck aushält:
Halten Sie das Hold‑Verfahren so kurz, dass Leute es tatsächlich nutzen. Eine Seite reicht, wenn sie beantwortet: Wer kann einen Hold anfordern, wer genehmigt ihn, was enthalten sein muss (Umfang, Grund, Startdatum) und was passiert, wenn er endet.
Lassen Sie Holds nicht standardmäßig offen. Setzen Sie Erinnerungen, die eine Entscheidung erzwingen: verlängern mit Begründung, einschränken oder schließen.
Wenn Sie Genehmigungen, Audit‑Logs und Löschläufe mit E‑Mails und Tabellen verwalten, ziehen Sie in Betracht, den Workflow in einer internen App abzubilden, damit der Prozess konsistent ist. Teams bauen so einen Retention‑und‑Hold‑Tracker manchmal mit AppMaster (appmaster.io), sodass Regeln, Holds und Audit‑Logs an einem Ort leben und Löschjobs gehaltene Datensätze zuverlässig überspringen können, während sie alles andere bereinigen.
21. Jan. 2026
8 Min
20. Jan. 20268 Min
20. Jan. 20268 MinExperimentieren Sie mit AppMaster mit kostenlosem Plan.
Wenn Sie fertig sind, können Sie das richtige Abonnement auswählen.
