Eine Aufbewahrungsfrist ist der gesetzlich oder intern festgelegte Zeitraum, für den Dokumente, Aufzeichnungen oder Daten aufbewahrt werden müssen. Nach Ablauf der Frist sind die Daten zu löschen — insbesondere wenn personenbezogene Daten betroffen sind (DSGVO Art. 5 Abs. 1 lit. e).
Im ISMS regelt ISO 27001 Annex A Control A.5.33 (Schutz von Aufzeichnungen) den Umgang mit aufbewahrungspflichtigen Dokumenten. Du brauchst eine Übersicht, welche Aufbewahrungsfristen für welche Datenarten gelten — in Deutschland z. B. 6 Jahre für Geschäftsbriefe (Paragraph 257 HGB) und 10 Jahre für Buchungsbelege (Paragraph 147 AO). Die Herausforderung liegt darin, nach Fristablauf auch tatsächlich zu löschen: Ohne automatisierte Löschprozesse sammeln sich Daten an, die rechtlich nicht mehr aufbewahrt werden dürfen.