Eine Retention Policy (Aufbewahrungsrichtlinie) legt fest, wie lange bestimmte Datentypen gespeichert werden und wann sie gelöscht oder archiviert werden müssen. Sie entsteht aus gesetzlichen Aufbewahrungspflichten (z. B. HGB, AO), vertraglichen Anforderungen und dem DSGVO-Grundsatz der Speicherbegrenzung. Für jede Datenkategorie definierst Du eine Aufbewahrungsfrist und ein Löschverfahren. Im ISMS wird die Retention Policy als Kontrolle dokumentiert und regelmäßig auf Aktualität geprüft. Automatisierte Löschworkflows reduzieren das Risiko, dass Daten länger als zulässig gespeichert bleiben.