Brauche ich wirklich eine eigene Richtlinie für Löschung, Maskierung und DLP?

ISO 27002:2022 behandelt die drei Themen in separaten Controls (A 8.10, A 8.11, A 8.12), aber sie greifen operativ so eng ineinander, dass ein gemeinsames Dokument sinnvoller ist. Löschung definiert, wann Daten verschwinden. Maskierung schützt Daten, die noch gebraucht werden. DLP verhindert, dass Daten unkontrolliert abfließen. Die Vorlage deckt alle drei plus den Schutz von Aufzeichnungen (A 5.33) ab.

Welche Löschmethode reicht für normale Festplatten?

Für unverschlüsselte magnetische Medien verlangt BSI CON.6 mindestens einen PRNG-basierten Mehrfach-Überschreibvorgang (Stufe O-3). Bei verschlüsselten Medien ist kryptographische Löschung — also die unwiderrufliche Vernichtung des Schlüssels — die bevorzugte Methode. SSDs und Flash-Speicher erfordern kryptographische Löschung plus physische Zerstörung (Stufe E-3), weil Überschreiben bei Wear-Leveling-Controllern keine vollständige Löschung garantiert.

Was muss ein Löschnachweis enthalten?

Datum der Löschung, betroffenes Informationsgut oder Dataset, Medientyp, angewandte Löschmethode, verantwortliche Person und Bestätigung der erfolgreichen Durchführung. Bei externen Dienstleistern kommt ein Löschzertifikat oder ein gleichwertiger Auditbericht hinzu. Diese Nachweise werden gemäß der Aufbewahrungsfrist archiviert.

Darf ich Produktionsdaten in Testumgebungen verwenden?

Personenbezogene Produktionsdaten dürfen in Test-, Entwicklungs- und QA-Umgebungen nur pseudonymisiert — besser anonymisiert — verwendet werden. Wenn vollständige Anonymisierung technisch nicht machbar ist, muss die Datenschutzbeauftragte das Re-Identifikationsrisiko bewerten, bevor der Test beginnt.

Muss ich vor dem DLP-Einsatz den Betriebsrat einbinden?

DLP-Tools überwachen zwangsläufig Kommunikation und Online-Aktivitäten von Beschäftigten. In Deutschland löst das in der Regel eine Mitbestimmungspflicht nach BetrVG aus. Die Vorlage verlangt deshalb ausdrücklich eine rechtliche Prüfung vor der Inbetriebnahme — einschließlich Arbeitsrecht, Datenschutzrecht und ggf. Betriebsvereinbarung.

Wie oft müssen DLP-Regeln überprüft werden?

Mindestens jährlich, nach jedem DLP-Vorfall und bei wesentlichen Änderungen an IT-Systemen, Cloud-Diensten oder der Organisationsstruktur. In der Praxis zeigt sich: DLP-Regeln, die nach der Ersteinführung nie angepasst werden, produzieren entweder zu viele Fehlalarme oder übersehen neue Abflusskanäle.

Richtlinie zu Datenlöschung, Maskierung und Leckagenvermeidung

Daten löschen klingt trivial — Datei markieren, Entfernen drücken, fertig. In Wirklichkeit bleiben bei einem normalen Löschvorgang die Inhalte auf dem Datenträger erhalten, bis sie zufällig überschrieben werden. Genau diese Lücke zwischen „gelöscht” und „unwiederbringlich vernichtet” adressiert die Richtlinie zu Datenlöschung, Maskierung und Leckagenvermeidung.

Das Dokument bündelt vier ISO-27001-Controls: sichere Löschung (A 8.10), Datenmaskierung und Pseudonymisierung (A 8.11), Data Leakage Prevention (A 8.12) und den Schutz von Aufzeichnungen (A 5.33). Ergänzend greift BSI IT-Grundschutz mit CON.6 (Löschen und Vernichten) und CON.2 (Standard-Datenschutzmodell). Die DSGVO gibt dem Ganzen über Art. 17 (Recht auf Löschung) die regulatorische Dringlichkeit. Weiter unten findest du die komplette Vorlage auf Deutsch und Englisch.

Vier Controls, ein Dokument. Sichere Löschung (A 8.10), Datenmaskierung (A 8.11), Data Leakage Prevention (A 8.12) und Schutz von Aufzeichnungen (A 5.33).
Löschmethode nach Medientyp: PRNG-Überschreiben für magnetische Medien, kryptographische Löschung für SSDs, physische Vernichtung nach DIN 66399 bei hoher Klassifizierung.
Drittanbieter liefern Löschnachweise. Cloud-Provider, Managed-Service-Anbieter und zertifizierte Entsorgungsunternehmen müssen Löschzertifikate vorlegen — vor oder bei Vertragsende.
Produktionsdaten in Testumgebungen werden mindestens pseudonymisiert, bevorzugt anonymisiert. Ohne Freigabe durch die Datenschutzbeauftragte geht nichts.
DLP auf Netzwerk- und Endpunktebene erkennt, warnt und blockiert — aber erst nach rechtlicher Prüfung (Arbeitsrecht, Betriebsrat, Datenschutz).

Drei Themen, ein roter Faden

Daten durchlaufen einen Lebenszyklus. Am Anfang stehen Erzeugung und Klassifizierung, in der Mitte stehen Nutzung und Schutz, am Ende stehen Aufbewahrung und Vernichtung. Diese Richtlinie regelt das letzte Drittel — und schützt das mittlere.

Löschung (A 8.10) stellt sicher, dass Daten verschwinden, wenn sie nicht mehr gebraucht werden. Maskierung (A 8.11) schützt Daten, die noch gebraucht werden, aber nicht in Klartext vorliegen müssen. DLP (A 8.12) verhindert, dass Daten unkontrolliert das Unternehmen verlassen. Der Schutz von Aufzeichnungen (A 5.33) sorgt dafür, dass bestimmte Daten gerade nicht gelöscht werden — weil Gesetze, Verträge oder das ISMS selbst sie noch brauchen.

Die vier Controls bilden ein zusammenhängendes System. Wer Löschung ohne DLP betreibt, riskiert, dass Daten vor der Löschung abfließen. Wer DLP ohne Maskierung betreibt, exponiert Klartextdaten in Testumgebungen und Analysen. Wer beides hat, aber keinen Aufbewahrungsplan, löscht entweder zu früh (Compliance-Verstoß) oder zu spät (Datenhalde).

Warum dieses Thema so oft unterschätzt wird

Regulatorischer Druck von mehreren Seiten. Art. 17 DSGVO gibt Betroffenen ein Recht auf Löschung. ISO 27001 verlangt über A 8.10 nachweisbare Löschprozesse. BSI CON.6 definiert Vernichtungsstufen nach Medientyp. PCI DSS fordert Maskierung von Kartendaten. Wer keines dieser Regelwerke bedienen kann, hat im Audit ein Problem — und bei einer Datenpanne ein größeres.

Operativer Aufwand wird unterschätzt. Löschung klingt nach einem einmaligen Vorgang. In der Praxis betrifft sie Backup-Kopien, Archivkopien, Arbeitskopien, temporäre Dateien, Cloud-Snapshots, E-Mail-Anhänge und Collaboration-Plattformen. Jede dieser Kopien muss gefunden und vernichtet werden. Ohne automatisierte Löschroutinen und regelmäßige Sweeps durch den IT-Betrieb bleiben Datenreste an Stellen liegen, die niemand auf dem Schirm hat.

Maskierung verhindert teure Fehler. Testumgebungen mit Produktionsdaten sind ein Klassiker — bis ein Entwickler versehentlich echte Kundendaten in einem Log-File exponiert. Pseudonymisierung oder Anonymisierung vor dem Einsatz in Test- und Entwicklungsumgebungen ist billiger als die anschließende Meldung an die Aufsichtsbehörde.

Was gehört in die Richtlinie?

Die Vorlage gliedert sich in sechs Kernbereiche:

Informationslöschung (A 8.10) — Löschmethoden nach Medientyp, Löschnachweise und -dokumentation, Drittanbieter-Löschnachweise, automatisierte Löschroutinen, Geräteaußerbetriebnahme, Cloud-Löschung
Datenmaskierung und Pseudonymisierung (A 8.11) — Maskierungstechniken (Verschlüsselung, Nulling, Substitution, Hashing), Einsatz in Testumgebungen, Re-Identifikationsprävention, Nutzungsvereinbarungen
Data Leakage Prevention (A 8.12) — Klassifizierung für DLP, Kanalüberwachung (E-Mail, Web-Uploads, USB, Druck), automatisierte Aktionen (Log, Warnung, Quarantäne/Block), Tool-Deployment, Backup-Schutz
Schutz von Aufzeichnungen (A 5.33) — Aufbewahrungsplan mit Fristen und Auslöseereignissen, Speicher- und Handhabungsrichtlinien, Datenabruf über den gesamten Aufbewahrungszeitraum, Schutz verschlüsselter Archive
Rollen und Verantwortlichkeiten — Geschäftsleitung, Informationssicherheitsbeauftragte, Datenschutzbeauftragte, IT-Betrieb, Dateneigentümer, Rechtsberatung, alle Beschäftigten
Überprüfung und Pflege — Jährlicher Review, anlassbezogene Überprüfung nach Vorfällen, Anpassung bei Änderungen an IT-Infrastruktur oder Dienstleistern

So führst du die Richtlinie ein

01

Dateninventar und Aufbewahrungsfristen erheben

Bevor du die Richtlinie schreibst, brauchst du ein Bild davon, welche Daten wo liegen und wie lange sie aufbewahrt werden müssen. Geh durch die Fachabteilungen und erfasse pro Datentyp: Speicherort, Klassifizierung, gesetzliche Aufbewahrungsfrist und den Zeitpunkt, ab dem die Frist läuft (Erstellung, Vertragsende, letzte Transaktion). Das Ergebnis ist dein Aufbewahrungsplan — das Rückgrat jeder Löschstrategie.
02

Löschmethoden pro Medientyp festlegen

Jeder Medientyp hat seine eigene Löschmethode. HDDs werden entmagnetisiert und geschreddert, SSDs kryptographisch gelöscht und physisch zerstört, Papier geschreddert, integrierter Speicher per Werksreset und ggf. physisch vernichtet. Dokumentiere für jeden Medientyp die gewählte Methode, die DIN-66399-Stufe und die zugelassene Software oder den zertifizierten Dienstleister. Diese Zuordnung fließt direkt in die Richtlinie ein.
03

DLP-Scope und rechtliche Prüfung durchführen

Bestimme, welche Datenklassen DLP-Schutz benötigen (personenbezogene Daten, Kartendaten, Quellcode, Geschäftsgeheimnisse). Definiere die Überwachungskanäle: E-Mail, Web-Uploads, USB, Druck. Bevor du ein DLP-Tool in Betrieb nimmst, lässt du die Konfiguration durch Rechtsberatung prüfen — Arbeitsrecht, Datenschutzrecht und ggf. Betriebsvereinbarung. Diesen Schritt zu überspringen ist eines der häufigsten Audit-Findings.
04

Vorlage anpassen und freigeben

Die Vorlage enthält Platzhalter wie [IHR_ORGANISATIONSNAME] und [RICHTLINIEN_EIGENTÜMER_ROLLE]. Ersetze sie. Streiche Abschnitte, die nicht zutreffen — keine Kartendatenverarbeitung? PCI-DSS-Absätze raus. Die Geschäftsleitung genehmigt das fertige Dokument (ISO 27001, Clause 5.2). Danach kommunizierst du es aktiv: Kurz-Briefing für Teamleiter, Zusammenfassung der drei Kernthemen, Frist für Bestätigung.
05

Löschroutinen automatisieren und DLP operationalisieren

Richte automatisierte Löschroutinen ein, die beim Ablauf von Aufbewahrungsfristen oder bei Löschanträgen von Betroffenen greifen. Teste sie mindestens jährlich. Konfiguriere DLP-Regeln mit abgestuften Aktionen: Logging für niedrige Risiken, Benutzerwarnung für mittlere, Quarantäne und Block für hohe. Lege fest, wer DLP-Alarme triagiert und in welcher Frist (die Vorlage empfiehlt einen Geschäftstag für Quarantäne-Benachrichtigungen).

Wo es in der Praxis schiefgeht

Aus Audit-Erfahrung, nach Häufigkeit sortiert:

1. Löschung ohne Nachweis. Daten werden gelöscht, aber niemand dokumentiert wann, wie und durch wen. Im Audit fehlt jeder Beleg. Die DSGVO verlangt Rechenschaftspflicht — ohne Löschprotokoll lässt sich die Einhaltung von Art. 17 nicht belegen.

2. Vergessene Kopien. Die Primärdatenbank wird sauber gelöscht, aber Backup-Kopien, E-Mail-Anhänge, lokale Exporte und Cloud-Snapshots bleiben bestehen. Ein einzelner übersehener Speicherort reicht aus, um eine Löschpflicht zu verletzen.

3. Produktionsdaten in Testumgebungen. Entwicklungsteams kopieren die Produktionsdatenbank in die Testumgebung — inklusive Klarnamen, Adressen und Bankverbindungen. Ohne Maskierung oder Pseudonymisierung ist das ein Datenschutzvorfall, der nur noch nicht entdeckt wurde.

4. DLP als Alibi-Maßnahme. Ein DLP-Tool wird installiert, aber die Regeln sind so weit gefasst, dass entweder alles geblockt wird (Beschäftigte weichen auf private Kanäle aus) oder so wenig, dass sensitive Daten ungehindert abfließen. DLP-Regeln brauchen regelmäßige Kalibrierung anhand realer Vorfälle.

5. Kein Aufbewahrungsplan. Ohne definierten Aufbewahrungsplan weiß niemand, wann gelöscht werden darf. Die Folge: Daten werden aus Angst vor Compliance-Verstößen endlos aufgehoben — was wiederum gegen die DSGVO-Grundsätze der Datenminimierung und Speicherbegrenzung verstößt.

Vorlage: Richtlinie zu Datenlöschung, Maskierung und Leckagenvermeidung

Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]

1. Rechtliche/Regulatorische Grundlage

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Anhang A — Technologische und organisatorische Maßnahmen:

A 8.10 — Löschung von Informationen
A 8.11 — Datenmaskierung
A 8.12 — Verhinderung von Datenabflüssen
A 5.33 — Schutz von Aufzeichnungen

BSI IT-Grundschutz:

CON.6.A1 (Regelung für die Löschung und Vernichtung von Informationen)
CON.6.A2 (Ordnungsgemäße Außerbetriebnahme sensibler Geräte)
CON.6.A3 (Löschung von Datenträgern vor und nach der Verwendung)
CON.6.A4 (Auswahl geeigneter Löschverfahren)
OPS.1.1.6.A11 (Nutzung von Produktivdaten in Test- und Entwicklungsumgebungen)
CON.2 (Datenschutz — Standard-Datenschutzmodell SDM)
NET.1.1.A35 (Netzbasierte Data Loss Prevention)
SYS.2.1.A24 (Umgang mit externen Schnittstellen)
ISMS.1.A13 (Dokumentation des Sicherheitsprozesses)

Weitere jurisdiktionsspezifische Gesetze und Vorschriften — insbesondere DSGVO, nationales Datenschutzrecht, PCI DSS und branchenspezifische Aufbewahrungsanforderungen — sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen.

2. Zweck & Geltungsbereich

Diese Richtlinie legt Regeln für die sichere Löschung von Informationen, die Maskierung und Pseudonymisierung sensibler Daten, die Verhinderung von Datenabflüssen sowie den Schutz organisatorischer Aufzeichnungen bei [IHR_ORGANISATIONSNAME] fest. Sie setzt die Anforderungen der ISO/IEC 27002:2022 Maßnahmen A 8.10, A 8.11, A 8.12 und A 5.33 um und spiegelt die BSI-IT-Grundschutz-Anforderungen an Löschung und Vernichtung, Datenmaskierung und Datenschutz sowie Aufzeichnungsmanagement wider.

Die Richtlinie gilt für alle Beschäftigten, Informationssysteme, Anwendungen, Dienste und Drittanbieter, die im Auftrag der Organisation Informationen speichern, verarbeiten oder handhaben. Sie deckt alle Informationsformen — digital und physisch — über den gesamten Informationslebenszyklus von der Erstellung bis zur endgültigen Löschung oder Entsorgung ab.

Sensible Informationen werden nicht länger aufbewahrt, als sie benötigt werden. Die Reduzierung der Ansammlung nicht mehr benötigter Daten begrenzt das Risiko unbefugter Offenlegung, regulatorischer Nichteinhaltung und Reputationsschäden. Diese Richtlinie unterstützt die Datenaufbewahrungs-Richtlinie der Organisation, indem sie die Kontrollen definiert, die bei Ablauf von Aufbewahrungsfristen, bei Löschanträgen von Betroffenen und bei der Außerbetriebnahme von Geräten gelten.

3. Löschung von Informationen (A 8.10)

Beim Löschen von Informationen aus Systemen, Anwendungen und Diensten ist die gewählte Methode der Sensibilität der Informationen und der Art des betroffenen Speichermediums angemessen. Vereinbarungen mit Dritten enthalten explizite Anforderungen an die Löschung von Informationen — sowohl während der Laufzeit des Dienstes als auch bei dessen Beendigung. Löschvorgänge werden, soweit technisch machbar, gemäß themenspezifischen Aufbewahrungsrichtlinien automatisiert; Protokolle verfolgen oder verifizieren, dass diese automatisierten Löschereignisse stattgefunden haben.

3.1 Löschmethoden & Dokumentation

Auswahl der Löschmethode: Die auf ein gegebenes Informationselement angewendete Löschmethode wird gemäß geschäftlichen Anforderungen und geltenden Gesetzen und Vorschriften gewählt. Für unverschlüsselte digitale Medien wird ein mehrstufiges Überschreiben mit PRNG-Mustern verwendet, das BSI CON.6 Stufe O-3 (oder gleichwertig) erfüllt. Für verschlüsselte digitale Medien, bei denen der Verschlüsselungsschlüssel unwiderruflich zerstört werden kann, ist die kryptographische Löschung die bevorzugte Methode. Für optische Medien entspricht die Löschung ISO/IEC 21964-2 Stufe O-3. Die gewählte Methode und ihre Begründung werden für jedes Löschereignis dokumentiert.
Löschnachweise: Die Ergebnisse jedes Löschereignisses werden als Nachweis erfasst. Die Aufzeichnungen enthalten das Löschdatum, das betroffene Informationsasset oder den betroffenen Datensatz, den Speichermedientyp, die angewandte Löschmethode, die verantwortliche Partei und die Bestätigung, dass die Löschung erfolgreich abgeschlossen wurde. Diese Aufzeichnungen werden gemäß dem Aufbewahrungsplan zu Auditzwecken aufbewahrt.
Löschnachweise Dritter: Wenn externe Dienstleister Informationen im Auftrag der Organisation löschen — einschließlich Cloud-Dienstleistern, Managed-Service-Providern und zertifizierten Entsorgungsunternehmen — werden dokumentierte Löschnachweise vor oder bei Beendigung des Dienstes eingeholt. Die Nachweise erfolgen in Form eines Löschzertifikats, eines Auditberichts oder einer gleichwertigen Bestätigung, die die verwendete Methode angibt. Externe Anbieter müssen dieselben Standards wie interne Löschverfahren einhalten; die Einhaltung wird durch regelmäßige Audits verifiziert.

3.2 Sichere systemweite Löschung

Automatisierte sichere Löschung: Systeme sind so konfiguriert, dass sie Informationen sicher vernichten, wenn sie nicht mehr benötigt werden — sei es durch Ablauf einer in der Datenaufbewahrungs-Richtlinie definierten Aufbewahrungsfrist oder durch einen Antrag eines Betroffenen auf Ausübung des Rechts auf Löschung. Automatisierte Löschroutinen werden mindestens jährlich getestet, um zu bestätigen, dass sie wie vorgesehen ausgeführt werden und keine wiederherstellbaren Reste hinterlassen.
Löschung veralteter Kopien: Veraltete Versionen, Sicherungskopien, Arbeitskopien und temporäre Dateien werden überall dort gelöscht, wo sie sich befinden — einschließlich lokaler Arbeitsplätze, Dateifreigaben, Kollaborationsplattformen, E-Mail-Archive und Cloud-Speicher. Beschäftigte sind für die Identifizierung und Entfernung solcher Kopien in ihren Verantwortungsbereichen verantwortlich; der IT-Betrieb führt regelmäßige Durchläufe durch, um verwaiste Daten zu identifizieren.
Sichere Löschsoftware: Genehmigte, zertifizierte sichere Löschsoftware wird verwendet, um Informationen aus digitalen Speichern dauerhaft so zu löschen, dass eine Wiederherstellung mit spezialisierten forensischen Werkzeugen verhindert wird. Nur Software, die im Register der genehmigten Löschwerkzeuge der Organisation gelistet ist, wird zu diesem Zweck eingesetzt. Die verwendete Softwareversion und die Konfigurationseinstellungen werden als Teil des Löschnachweises erfasst.
Zertifizierte Entsorgungsdienstleister: Wenn die Organisation externe Anbieter für sichere Entsorgungsdienste nutzt, werden nur Anbieter beauftragt, die nach anerkannten Standards (z. B. ISO/IEC 21964 / DIN 66399, NAID AAA) zertifiziert sind. Anbieterzertifizierungen werden vor der Beauftragung und bei jeder jährlichen Vertragsüberprüfung verifiziert. Zentrale Sammelstellen für zu entsorgende Medien sind physisch gesichert und zugriffsbeschränkt, um unbefugte Entnahme zu verhindern.
Medienspezifische Entsorgungsmethoden: Entsorgungsmechanismen werden auf den zu entsorgenden Speichermedientyp abgestimmt. Festplatten und andere magnetische Medien werden entmagnetisiert und anschließend physisch geschreddert, mindestens auf BSI CON.6 Stufe H-3. Solid-State-Laufwerke und Flash-Speicher werden kryptographisch gelöscht, gefolgt von physischer Vernichtung auf Stufe E-3. Papier und Ausdrucke werden vor Ort oder durch einen zertifizierten Anbieter mindestens auf Stufe P-3 geschreddert. Integrierter Speicher (z. B. verlötete Speicher in Smartphones und IoT-Geräten) wird durch Werksreset und, falls die Informationsklassifizierung es erfordert, durch physische Vernichtung behandelt.
Löschung in Cloud-Diensten: Bevor man sich auf die Löschfunktion eines Cloud-Dienstleisters verlässt, verifiziert die Organisation, dass die Löschmethode des Anbieters nach dieser Richtlinie und dem geltenden Recht akzeptabel ist. Wo der Standard-Löschmechanismus des Anbieters unzureichend ist (z. B. keine Wiederherstellung aus Backup-Snapshots verhindert), fordert die Organisation spezifische Löschverfahren an oder macht vertragliche Löschrechte geltend. Eine Bestätigung der Löschung in der Cloud wird schriftlich eingeholt und als Nachweis aufbewahrt.

3.3 Außerbetriebnahme von Geräten

An Hersteller zurückgegebene Geräte: Wenn Geräte an Hersteller zurückgesandt werden — für Reparatur, Ersatz, Upgrade oder zur Rückgabe nach Leasingende — werden alle zusätzlichen Speicher (Festplatten, SSDs, USB-Speicher, SD-Karten) und internen Speichermodule vor Verlassen der Räumlichkeiten der Organisation physisch aus dem Gerät entfernt. Wo eine Entfernung ohne Garantieverlust oder Beschädigung des Geräts technisch unmöglich ist, wird das Speichermedium vor dem Versand durch zertifizierte Vernichtung oder kryptographische Löschung unlesbar gemacht. Eine Checkliste, die die Entfernung oder Vernichtung dokumentiert, wird für jede Gerätrückgabe ausgefüllt.
Klassifizierungsbasierte Gerätelöschung: Die Löschmethode für ein Gerät wird durch die höchste Klassifizierungsstufe der vom Gerät verarbeiteten Informationen bestimmt. Für Geräte, die Informationen der Stufe INTERN oder höher verarbeitet haben, wird Zerstörung oder ein zertifiziertes Werksreset-Verfahren angewendet; ein einfacher benutzerinitiierter Reset ohne Verifizierung reicht nicht aus. Für Smartphones und Tablets ist ein Werksreset gefolgt von einem Setup-Assistenten-Durchlauf der Mindeststandard. Für IoT-Geräte und Netzwerkgeräte wird ein Werksreset mit Änderung der Anmeldedaten auf der Verwaltungsschnittstelle angewendet; wo dies für die Klassifizierungsstufe nicht ausreicht, wird physische Vernichtung angewendet.
Physische Vernichtung: Wo physische Vernichtung von Speichermedien erforderlich ist — entweder weil sichere Löschung technisch nicht machbar ist oder weil die Informationsklassifizierung es verlangt — werden die in der Physischen Sicherheits-Richtlinie definierten Maßnahmen zur physischen Vernichtung angewendet. Die physische Vernichtung macht das Speichermedium und die darin enthaltenen Informationen unwiederbringlich. Das Vernichtungsereignis wird bezeugt, dokumentiert und als Nachweis aufbewahrt.

4. Datenmaskierung & Pseudonymisierung (A 8.11)

Wo der Schutz sensibler Daten — insbesondere personenbezogener Daten (PII) — ein Anliegen ist, wendet die Organisation Datenmaskierungs-, Pseudonymisierungs- oder Anonymisierungstechniken an, um die Daten zu verbergen, die wahre Identität von Betroffenen zu verschleiern oder die Verbindung zwischen sensiblen Informationen und der zugehörigen Identität zu trennen. Bevor man sich auf eine Technik als Datenschutzmaßnahme verlässt, wird ihre Angemessenheit verifiziert: Eine wirksame Datenanonymisierung erfasst alle Elemente der sensiblen Informationen, da eine Person auch nach Entfernung direkter Identifikatoren indirekt durch die Kombination nicht direkt identifizierender Datenpunkte identifiziert werden kann (Re-Identifikationsrisiko).

Produktivdaten mit personenbezogenen Daten werden nicht in Test-, Entwicklungs- oder QA-Umgebungen verwendet, ohne zuvor mindestens pseudonymisiert und vorzugsweise anonymisiert worden zu sein. Wo vollständige Anonymisierung technisch nicht machbar ist, wird die/der Datenschutzbeauftragte an der Bewertung des verbleibenden Re-Identifikationsrisikos vor Beginn der Tests beteiligt.

4.1 Maskierungstechniken

Verschlüsselung: Datenfelder mit sensiblen Informationen werden so verschlüsselt, dass nur autorisierte Benutzer mit dem Entschlüsselungsschlüssel die Klartextwerte sehen können. Zur Maskierung verwendete Verschlüsselung folgt den Algorithmus- und Schlüsselmanagement-Anforderungen der Kryptographie-Richtlinie.
Nullung oder Zeichenlöschung: Zeichen innerhalb eines sensiblen Feldes werden durch Nullwerte, Leerzeichen oder Löschzeichen ersetzt, sodass unbefugte Benutzer den vollständigen Wert nicht rekonstruieren können. Teilmaskierung (z. B. Anzeige nur der letzten vier Ziffern einer Zahlungskartennummer) wird verwendet, wo der Geschäftsprozess ein Fragment des Originalwerts für operative Zwecke erfordert und der Rest geschützt werden muss.
Numerische und datumsbezogene Variation: Numerische Werte und Daten in Datensätzen werden variiert — verschoben, skaliert oder randomisiert — sodass die statistische Verteilung für analytische Zwecke erhalten bleibt, während einzelne Werte nicht mehr realen Datensätzen entsprechen. Der Variationsalgorithmus und seine Parameter werden dokumentiert und konsistent über zusammengehörige Datensätze hinweg angewendet, um die referenzielle Integrität zu erhalten.
Substitution: Sensible Werte werden durch realistische, aber fiktive Ersatzwerte ersetzt (z. B. Ersetzen echter Namen durch Namen aus einem synthetischen Namenswörterbuch oder echter Adressen durch gültige, aber nicht existierende Adressen). Substitutionstabellen und Zuordnungsdateien, die eine Re-Identifikation ermöglichen würden, werden getrennt vom maskierten Datensatz gespeichert und zugriffskontrolliert.
Hashing: Sensible Werte werden durch ihren kryptographischen Hash ersetzt. Wo eine konsistente Pseudonymisierung über Datensätze hinweg erforderlich ist (z. B. um anonymisierte Tabellen zu verknüpfen), wird ein Keyed Hash (HMAC) mit einem geheimen Salt verwendet. Der Salt und der Hash-Algorithmus werden dokumentiert. Einweg-Hashing ohne Salt wird nur für Felder verwendet, bei denen es akzeptabel ist, dass der Hash nicht umkehrbar ist und keine datensatzübergreifenden Verknüpfungen erforderlich sind.

4.2 Umsetzungsanforderungen

Prinzip der Datenminimierung: Nicht allen Benutzern wird Zugriff auf alle Daten gewährt. Datenbankabfragen, API-Antworten und Datenanzeige-Masken sind so gestaltet, dass sie nur die für die Rolle und Aufgabe jedes Benutzers minimal erforderlichen Felder zurückgeben. Rollenbasierte Zugriffskontrollen werden mit Feldebenen-Maskierung kombiniert, sodass sensible Felder für Benutzer, die keinen geschäftlichen Bedarf haben, sie zu sehen, weggelassen oder maskiert werden, selbst wenn sie Zugriff auf den Datensatz als Ganzes haben.
Datensatzebene-Verschleierung: Wo bestimmte Datensätze innerhalb eines Datensatzes für bestimmte Benutzer nicht sichtbar sein sollen — zum Beispiel weil eine betroffene Person ein Vertraulichkeitsrecht über bestimmte Gesundheitsdaten ausgeübt hat — wird ein Mechanismus zur Verschleierung dieser Datensätze implementiert. Benutzer ohne Zugriffsrechte auf den verschleierten Datensatz erhalten einen Hinweis, dass ein Datensatz existiert, aber sein Inhalt eingeschränkt ist, anstatt die sensiblen Daten angezeigt zu bekommen oder eine Fehlermeldung zu erhalten, die den Inhalt indirekt offenbaren könnte.
Verschleierung der Verschleierung: Wo eine betroffene Person verlangt, dass die Tatsache der Verschleierung selbst anderen Benutzern nicht offenbart wird — zum Beispiel in Gesundheitskontexten, in denen die Existenz bestimmter Arten verschleierter Daten selbst sensibel ist — wird das System so konfiguriert, dass der Datensatz so erscheint, als würde keine Verschleierung angewendet. Nur Benutzer mit ausdrücklich zugewiesenen Rollen können erkennen, ob ein Datensatz dieser sekundären Verschleierungsebene unterliegt.
Rechtliche und regulatorische Maskierungsanforderungen: Maskierung wird überall dort angewendet, wo sie gesetzlich oder regulatorisch erforderlich ist. Zahlungskartendaten (PAN, CVV, Ablaufdatum) werden während der Verarbeitung und Speicherung gemäß PCI-DSS-Anforderungen maskiert. Besondere Kategorien personenbezogener Daten gemäß DSGVO (Artikel 9) unterliegen verschärften Maskierungsmaßnahmen. Die SDM-Konformitätsbewertung der Organisation identifiziert weitere Felder, die nach geltendem Datenschutzrecht maskiert werden müssen.

4.3 Nutzungskontrollen & Verhinderung der Re-Identifikation

Stärke der Maskierung: Das Schutzniveau, das durch die Maskierungs-, Pseudonymisierungs- oder Anonymisierungstechnik geboten wird, ist der beabsichtigten Nutzung der verarbeiteten Daten angemessen. Für externe Forschung oder Veröffentlichung freigegebene Daten erfordern eine vollständige Anonymisierung mit dokumentierter Re-Identifikationsrisikobewertung. Für internes Testen verwendete Daten erfordern mindestens Pseudonymisierung. Für interne Analysen verwendete Daten können Pseudonymisierung oder Aggregation nutzen. Die Technikauswahl und die Begründung ihrer Angemessenheit werden dokumentiert.
Zugriffskontrollen auf verarbeitete Daten: Maskierte, pseudonymisierte oder anonymisierte Datensätze unterliegen Zugriffskontrollen, die der verbleibenden Sensibilität der Daten angemessen sind. Auch nach der Maskierung können Datensätze genügend Informationen enthalten, um in Kombination mit anderen Quellen eine Re-Identifikation zu ermöglichen; der Zugriff wird daher auf Personen mit dokumentiertem geschäftlichen Bedarf beschränkt und entzogen, wenn dieser Bedarf entfällt.
Nutzungsvereinbarungen und Einschränkungen: Vereinbarungen oder vertragliche Einschränkungen, die die zulässige Nutzung maskierter oder pseudonymisierter Daten regeln, werden etabliert, bevor die Daten intern oder extern geteilt werden. Empfänger werden über geltende Einschränkungen informiert (z. B. dass die Daten nur für den angegebenen analytischen Zweck verwendet werden dürfen und nicht zur Entscheidungsfindung über Einzelpersonen).
Verbot der Re-Identifikation: Die Zusammenführung maskierter oder pseudonymisierter Daten mit anderen verfügbaren Informationsquellen — seien es interne Datensätze, öffentlich verfügbare Daten oder kommerziell bezogene Daten — zum Zweck der Re-Identifikation einer betroffenen Person ist verboten. Dieses Verbot wird allen Nutzern maskierter Datensätze kommuniziert und in Datenzugriffsvereinbarungen aufgenommen. Verstöße werden als Datenschutzvorfall behandelt und gemäß dem Vorfallmanagementprozess gemeldet.
Nachverfolgung von Datenflüssen: Ein Protokoll wird über alle Fälle geführt, in denen maskierte, pseudonymisierte oder anonymisierte Daten an einen Empfänger bereitgestellt oder von einer Quelle empfangen werden. Das Protokoll enthält das Datum, den betroffenen Datensatz oder die betroffenen Felder, die angewendete Technik, den Empfänger oder die Quelle und den angegebenen Zweck. Dieses Protokoll unterstützt die Zurechenbarkeit, ermöglicht bei Bedarf den Widerruf des Zugriffs und erleichtert Meldungen über Datenschutzverletzungen, falls später ein Re-Identifikationsrisiko erkannt wird.

5. Verhinderung von Datenabflüssen (A 8.12)

Die Organisation implementiert organisatorische und technische Maßnahmen, um das Risiko zu reduzieren, dass sensible Informationen durch vorsätzliche oder versehentliche Datenabflüsse an unbefugte Parteien offengelegt werden. Data Leakage Prevention (DLP) beinhaltet von Natur aus die Überwachung der Kommunikation und Online-Aktivitäten von Beschäftigten; vor der Bereitstellung eines DLP-Werkzeugs oder einer Überwachungsfunktion prüft die Rechtsabteilung die Umsetzung auf Einhaltung des geltenden Arbeitsrechts, Datenschutzrechts und der Betriebsratsbeteiligungspflichten.

5.1 Klassifizierung & Kanalüberwachung

Informationsklassifizierung für DLP: Informationen, die vor Abfluss geschützt werden müssen, werden identifiziert und klassifiziert. Kategorien umfassen personenbezogene Daten, Zahlungskartendaten, Gesundheitsdaten, geistiges Eigentum (Quellcode, Produktdesigns, Preismodelle), rechtlich geschützte Kommunikation und Fusions- oder Übernahmeinformationen. Das in der Richtlinie zur Informationsklassifizierung und -kennzeichnung definierte Klassifizierungsschema bildet die Grundlage für die Bestimmung, welche Informationskategorien DLP-Kontrollen unterliegen und auf welcher Schutzstufe.
Überwachung von Abflusskanälen: Folgende Kanäle werden auf potenzielle Datenabflüsse überwacht: ausgehende E-Mail (einschließlich Anhänge), Web-Uploads und Cloud-Speicher-Synchronisation, Dateitransferdienste und FTP, mobile Geräte und Wechselspeicher von Endpunkten, Drucken und Bildschirmaufzeichnung sowie Instant Messaging und Kollaborationsplattformen. Überwachungsumfang, -methoden und Datenaufbewahrung für Überwachungsprotokolle sind in einer Überwachungsrichtlinie definiert, die von der Rechtsabteilung vor der Bereitstellung überprüft und genehmigt wird.
Abfluss-Präventionsmaßnahmen: Wo DLP-Regeln ein potenzielles Abflussereignis erkennen, ergreift das System je nach Schweregrad eine der folgenden automatisierten Maßnahmen: Nur Protokollierung (für geringfügige Ereignisse, zu Überwachungs- und Trendanalysezwecken), Benutzerbenachrichtigung und Bestätigung (Anforderung an den Benutzer, eine Warnung zu bestätigen, bevor er fortfährt) oder Quarantäne und Blockierung (für Ereignisse mit hohem Risiko, bei denen das ausgehende Element zur Überprüfung durch den Dateneigentümer oder die/den Informationssicherheitsbeauftragte/n zurückgehalten wird, bevor es freigegeben oder gelöscht wird). Quarantäne-Benachrichtigungen werden innerhalb eines Geschäftstags an den entsprechenden Dateneigentümer gesendet.

5.2 Bereitstellung von DLP-Werkzeugen

Entdeckung und Überwachung ruhender sensibler Daten: DLP-Werkzeuge werden eingesetzt, um sensible Informationen zu identifizieren und zu überwachen, die dem Risiko unbefugter Offenlegung ausgesetzt sind, einschließlich unstrukturierter Daten auf Benutzer-Workstations, Freigaben und Kollaborationsplattformen. Automatisierte Entdeckungs-Scans laufen mindestens monatlich, um sensible Daten zu erkennen, die außerhalb genehmigter Ablagen gespeichert wurden, und Befunde werden den Dateneigentümern zur Behebung gemeldet.
Erkennung von Offenlegungsereignissen: DLP-Werkzeuge erkennen die Offenlegung sensibler Informationen über alle überwachten Kanäle, einschließlich Uploads an nicht vertrauenswürdige Cloud-Dienste Dritter, Übertragung über persönliche E-Mail-Konten und Kopieren auf unbefugten externen Speicher. Erkannte Ereignisse erzeugen Warnungen, die innerhalb der im Vorfallmanagementverfahren definierten Reaktionszeiten durch die/den Informationssicherheitsbeauftragte/n oder einen benannten DLP-Analysten überprüft und triagiert werden.
Blockierung unbefugter Übertragungen: Benutzeraktionen und Netzwerkübertragungen, die sensible Informationen außerhalb der Kontrolle der Organisation offenlegen würden, werden auf technischer Ebene blockiert. Spezifische Blockierregeln umfassen: Verhinderung des massenhaften Kopierens von Datenbankeinträgen in Tabellenkalkulationen oder externe Anwendungen; Blockierung des Uploads klassifizierter Daten an Verbraucher-Cloud-Dienste, die nicht auf der Liste genehmigter Dienste stehen; Einschränkung der Nutzung von Wechselmedien-Schnittstellen auf Endgeräten, die nicht für den Datentransfer autorisiert sind; und Verhinderung der Nutzung unbefugter Bildschirmaufnahme-Werkzeuge auf Geräten, die eingeschränkte Informationen verarbeiten.

5.3 Weitere DLP-Maßnahmen

Einschränkungen für Kopieren-Einfügen und Uploads: Wo die Risikobewertung ergibt, dass die Verhinderung von Kopieren-Einfügen oder Upload von Daten an Dienste, Geräte und Speichermedien außerhalb der organisatorischen Kontrolle erforderlich ist, setzt die Organisation DLP-Technologie ein oder konfiguriert bestehende Werkzeuge so, dass Benutzer Daten remote einsehen und mit ihnen arbeiten können, ohne sie in unkontrollierte Umgebungen zu exportieren. Nur-Ansichts-Remote-Zugriffskonfigurationen werden für die sensibelsten Datensätze verwendet, sofern technisch machbar.

Genehmigung durch Dateneigentümer für Exporte: Wo ein legitimer geschäftlicher Bedarf den Export sensibler Daten über die Standard-Zugriffskontrollen hinaus erfordert — zum Beispiel zur Weitergabe an einen Geschäftspartner oder zur Durchführung einer autorisierten Massenanalyse — genehmigt der zuständige Dateneigentümer den Export vor der Durchführung schriftlich. Die Genehmigung erfasst den Zweck, den Empfänger, den betroffenen Datensatz oder die betroffenen Felder, eventuell angewandte Maskierungen und die geltenden Datenverarbeitungspflichten. Benutzer, die genehmigte Exporte durchführen, sind persönlich für die ordnungsgemäße Handhabung der exportierten Daten verantwortlich.

Richtlinie zu Screenshots und Bildschirmaufzeichnungen: Das Erstellen von Screenshots, Bildschirmaufzeichnungen oder Fotos von Bildschirmen, die sensible Informationen anzeigen, wird durch die Richtlinie zur akzeptablen Nutzung der Organisation, die Nutzungsbedingungen für den Systemzugang und Sensibilisierungsschulungen geregelt. Wo technisch durchsetzbar, wird die Screenshot-Funktionalität auf Anwendungen deaktiviert, die die sensibelsten Informationskategorien anzeigen. Die Einhaltung wird durch regelmäßige Audits und Überprüfungen der Benutzeraktivitäten überwacht.

Backup-Schutz: Wo sensible Informationen in Backups enthalten sind, werden die Backup-Medien und Backup-Daten durch Verschlüsselung, rollenbasierte Zugriffskontrollen und physischen Schutz der Speichermedien geschützt. Backup-Verschlüsselungsschlüssel werden gemäß der Kryptographie-Richtlinie verwaltet. Der Zugriff auf Backup-Wiederherstellungsfunktionen für sensible Datensätze ist auf autorisiertes Personal beschränkt und wird protokolliert.

6. Schutz von Aufzeichnungen (A 5.33)

Die Organisation schützt die Authentizität, Verlässlichkeit, Integrität und Nutzbarkeit ihrer Aufzeichnungen während ihres gesamten Lebenszyklus, auch wenn sich Geschäftskontext und Managementanforderungen im Laufe der Zeit ändern. Das Aufzeichnungsmanagement deckt jede Menge von Informationen ab — unabhängig von Struktur oder Form —, die im Geschäftsbetrieb erstellt, erfasst und verwaltet wird, einschließlich Dokumenten, Datensammlungen sowie digitalen oder analogen Informationen. Metadaten, die den Kontext, Inhalt und die Struktur von Aufzeichnungen beschreiben, werden als wesentlicher Bestandteil jeder Aufzeichnung behandelt und mit denselben Maßnahmen geschützt wie die Aufzeichnung selbst.

6.1 Richtlinien zum Aufzeichnungsmanagement

Richtlinien zu Speicherung, Handhabung und Entsorgung: Richtlinien zur Speicherung, Handhabung, Chain of Custody und Entsorgung von Aufzeichnungen werden etabliert und gepflegt. Diese Richtlinien definieren genehmigte Speicherorte und -medien pro Aufzeichnungstyp, Handhabungsverfahren zur Verhinderung unbefugten Zugriffs oder unbefugter Veränderung (einschließlich physischer Zugangskontrollen für Papier-Aufzeichnungen und Zugriffskontrollen für elektronische Aufzeichnungen), Chain-of-Custody-Anforderungen für Aufzeichnungen, die zwischen Abteilungen oder an externe Parteien übertragen werden, sowie Entsorgungsverfahren, die eine unbefugte Rekonstruktion entsorgter Aufzeichnungen verhindern. Die Richtlinien enthalten ausdrückliche Maßnahmen zur Verhinderung von Aufzeichnungsmanipulation, einschließlich manipulationssicherer Speicherung, wo angemessen, und versionskontrollierter Dokumentenverwaltung für elektronische Aufzeichnungen. Die Richtlinien sind mit der themenspezifischen Aufzeichnungsmanagement-Richtlinie der Organisation abgestimmt und werden mindestens jährlich überprüft.

6.2 Aufbewahrungsplan

Aufbewahrungsplan: Ein Aufbewahrungsplan wird geführt, der für jeden Aufzeichnungstyp die anwendbare Aufbewahrungsfrist und das Auslöseereignis definiert, ab dem diese Frist gezählt wird (z. B. Erstellungsdatum, Vertragsbeendigung, Datum der letzten Transaktion). Aufbewahrungsfristen werden gemäß geltender nationaler und regionaler Gesetzgebung, branchenspezifischer Vorschriften, vertraglicher Verpflichtungen und gemeinschaftlicher Erwartungen festgelegt. Der Aufbewahrungsplan wird mindestens jährlich überprüft und aktualisiert, wann immer sich geltende rechtliche oder regulatorische Anforderungen ändern. Aufzeichnungen, die ihre Aufbewahrungsfrist überschritten haben und für die kein Legal Hold oder keine Aussetzung besteht, werden gemäß den sicheren Löschverfahren in Abschnitt 3 dieser Richtlinie entsorgt.

Aufzeichnungskategorien: Aufzeichnungen werden nach Typ kategorisiert, einschließlich Buchhaltungs- und Finanzaufzeichnungen, Geschäftstransaktionsaufzeichnungen, Personalaufzeichnungen, Rechts- und Compliance-Aufzeichnungen sowie Informationssicherheitsaufzeichnungen. Jede Kategorie im Aufbewahrungsplan spezifiziert die anwendbare Aufbewahrungsfrist, die zulässigen Speichermedien (physisch oder elektronisch), die Zugriffsklassifikation und die anwendbare Entsorgungsmethode. Nationales Recht und nationale Vorschriften haben Vorrang bei der Festlegung von Aufbewahrungsfristen, wo sie Mindest- oder Höchstaufbewahrungsfristen für einen bestimmten Aufzeichnungstyp vorschreiben.

Datenabruf: Speichersysteme werden so gewählt und konfiguriert, dass erforderliche Aufzeichnungen über den gesamten Aufbewahrungszeitraum in einem akzeptablen Zeitrahmen und in einem nutzbaren Format abgerufen werden können. Für elektronische Speichermedien werden Verfahren etabliert, um den fortgesetzten Zugriff sicherzustellen — einschließlich Lesbarkeit von Speichermedien und Dateiformaten —, während sich die Technologie während des Aufbewahrungszeitraums ändert. Die Integrität der Medien wird in Intervallen überprüft, die mit Herstellerempfehlungen und dem Risiko einer Medienverschlechterung übereinstimmen.

Verschlüsselte Archive und kryptographische Schlüssel: Wo elektronische Aufzeichnungen in verschlüsselter Form gespeichert oder durch digitale Signaturen geschützt sind, werden die zugehörigen kryptographischen Schlüssel und die Entschlüsselungs- oder Signaturprüfungs-Software für die gesamte Aufbewahrungsdauer der Aufzeichnungen aufbewahrt. Dies stellt sicher, dass Aufzeichnungen während des gesamten Zeitraums, in dem sie aufbewahrt werden müssen, lesbar und verifizierbar bleiben. Die Schlüsselaufbewahrung folgt den in der Kryptographie-Richtlinie definierten Verfahren.

7. Rollen & Verantwortlichkeiten

Geschäftsleitung: Genehmigt diese Richtlinie und stellt sicher, dass angemessene Ressourcen für Lösch-Werkzeuge, DLP-Infrastruktur, Maskierungsfähigkeiten und Aufzeichnungsmanagementsysteme bereitgestellt werden. Erhält jährliche Berichte über den Stand der Datenlöschungs-Compliance und DLP-Vorfalltrends.
Informationssicherheitsbeauftragte/r (ISB): Pflegt diese Richtlinie; definiert genehmigte Löschmethoden, DLP-Regeln und Maskierungsstandards; überwacht die DLP-Warnungstriage; koordiniert die rechtliche Prüfung vor DLP-Bereitstellung; und stellt sicher, dass Löschnachweise und DLP-Vorfallaufzeichnungen gemäß dem Aufbewahrungsplan aufbewahrt werden.
Datenschutzbeauftragte/r (DSB): Überprüft DLP-Bereitstellungspläne und Überwachungskonfigurationen auf Einhaltung der DSGVO und des geltenden Datenschutzrechts; bewertet das Re-Identifikationsrisiko pseudonymisierter und anonymisierter Datensätze; genehmigt die Nutzung von Produktiv-PII in Testumgebungen, wo vollständige Anonymisierung nicht machbar ist; und berät zur Maskierungsangemessenheit für Daten besonderer Kategorien.
IT-Betrieb: Konfiguriert und betreibt sichere Löschwerkzeuge, DLP-Plattformen und automatisierte aufbewahrungsbasierte Löschprozesse; führt Verfahren zur Außerbetriebnahme von Geräten durch; pflegt das Register der genehmigten Löschwerkzeuge und die DLP-Konfigurationsdokumentation; und führt physische Medienentsorgung gemäß dieser Richtlinie aus.
Dateneigentümer: Klassifizieren Informationen unter ihrer Eigentümerschaft gemäß der Richtlinie zur Informationsklassifizierung und -kennzeichnung; genehmigen Datenexporte; empfangen und bearbeiten DLP-Quarantäne-Benachrichtigungen; pflegen die Aufbewahrungsplan-Einträge für ihre Aufzeichnungstypen; und bestätigen, dass Löschnachweise von Dritten, die ihre Daten halten, eingeholt werden.
Rechtsabteilung: Überprüft DLP-Überwachungskonfigurationen vor Bereitstellung auf Arbeitsrechts- und Datenschutz-Compliance; berät zu Löschverpflichtungen aus Betroffenenanträgen und regulatorischen Anforderungen; und pflegt aktuelle Eingaben in den Aufbewahrungsplan, die geltende gesetzliche Aufbewahrungsfristen widerspiegeln.
Alle Beschäftigten: Löschen veraltete Kopien von Informationen in ihren Verantwortungsbereichen; nutzen nur genehmigte Löschwerkzeuge; halten DLP-Richtlinien und Regeln zur akzeptablen Nutzung ein; melden vermutete Datenabflüsse an die/den Informationssicherheitsbeauftragte/n; und absolvieren Sensibilisierungsschulungen zu Datenlöschung und DLP-Verpflichtungen.

8. Überprüfung & Pflege

Diese Richtlinie sowie der zugehörige Aufbewahrungsplan, das Register genehmigter Löschwerkzeuge und das DLP-Regelwerk werden überprüft:

Mindestens jährlich, um die fortlaufende Ausrichtung an geltendem Recht, regulatorischen Anforderungen, Geschäftsprozessen und der Bedrohungslandschaft zu verifizieren.
Wenn geltende Gesetzgebung oder Regulierung geändert wird — insbesondere DSGVO-Durchführungsakte, nationales Datenschutzrecht, branchenspezifische Aufbewahrungsanforderungen oder Exportkontrollregeln, die Löschmethoden betreffen.
Nach jedem Datenabfluss, Löschfehler oder jeder Aufzeichnungsmanagement-Audit-Feststellung — um Kontrolllücken zu identifizieren und Richtlinie, Werkzeuge oder Verfahren entsprechend zu aktualisieren.
Wenn wesentliche Änderungen an den Informationssystemen der Organisation, am Cloud-Dienstportfolio, an der Speicherinfrastruktur oder an der Organisationsstruktur eintreten, die den Umfang oder die Wirksamkeit bestehender Maßnahmen beeinflussen.
Wenn Drittanbieter für Löschung, DLP-Tool-Hersteller oder Cloud-Dienstanbieter hinzugefügt, geändert oder entfernt werden, um die Einhaltung der Anforderungen dieser Richtlinie erneut zu verifizieren.

Alle Versionen dieser Richtlinie werden im Dokumentenmanagementsystem gemäß den Aufzeichnungsmanagement-Richtlinien in Abschnitt 6 archiviert. Die Versionshistorie, einschließlich des Datums jeder Überprüfung, der prüfenden Person und einer Zusammenfassung der Änderungen, wird als Teil des Dokumentnachweises geführt.

Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]

1. Legal/Regulatory Basis

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Annex A — Technological and Organisational Controls:

A 8.10 — Information Deletion
A 8.11 — Data Masking
A 8.12 — Data Leakage Prevention
A 5.33 — Protection of Records

BSI IT-Grundschutz:

CON.6.A1 (Rules for the Deletion and Destruction of Information)
CON.6.A2 (Proper Disposal of Sensitive Equipment)
CON.6.A3 (Deletion of Storage Media Before and After Use)
CON.6.A4 (Selection of Suitable Deletion Methods)
OPS.1.1.6.A11 (Use of Production Data in Test and Development Environments)
CON.2 (Data Protection — Standard Data Protection Model SDM)
NET.1.1.A35 (Network-Based Data Loss Prevention)
SYS.2.1.A24 (Handling of External Interfaces)
ISMS.1.A13 (Documentation of the Security Process)

Additional jurisdiction-specific laws and regulations — in particular GDPR, national data protection law, PCI DSS and sector-specific retention requirements — are listed in the Legal Register and incorporated by reference.

2. Purpose & Scope

This policy establishes rules for the secure deletion of information, the masking and pseudonymisation of sensitive data, the prevention of data leakage and the protection of organisational records at [YOUR_ORGANISATION_NAME]. It implements the requirements of ISO/IEC 27002:2022 controls A 8.10, A 8.11, A 8.12 and A 5.33, and reflects the BSI IT-Grundschutz requirements for deletion and destruction, data masking and privacy, and records management.

The policy applies to all personnel, information systems, applications, services and third-party suppliers that store, process or handle information on behalf of the organisation. It covers all forms of information — digital and physical — across the entire information lifecycle from creation through to final deletion or disposal.

Sensitive information is not kept for longer than it is required. Reducing the accumulation of data that is no longer needed limits the risk of unauthorised disclosure, regulatory non-compliance and reputational harm. This policy supports the organisation's data retention policy by defining the controls that apply when retention periods expire, when data subjects exercise deletion rights and when devices are decommissioned.

3. Information Deletion (A 8.10)

When deleting information from systems, applications and services, the chosen method is commensurate with the sensitivity of the information and the type of storage medium involved. Third-party agreements include explicit requirements on information deletion — both during the term of the service and upon its termination. Deletion processes are automated in accordance with topic-specific retention policies where technically feasible; logs track or verify that these automated deletion events have occurred.

3.1 Deletion Methods & Documentation

Deletion Method Selection: The deletion method applied to a given item of information is chosen in accordance with business requirements and applicable laws and regulations. For unencrypted digital media, a PRNG-based multi-pass overwrite meeting BSI CON.6 level O-3 (or equivalent) is used. For encrypted digital media where the encryption key can be irrecoverably destroyed, cryptographic erasure is the preferred method. For optical media, deletion meets ISO/IEC 21964-2 level O-3. The method selected and its justification are documented for each deletion event.
Deletion Evidence: The results of each deletion event are recorded as evidence. Records include the date of deletion, the information asset or dataset affected, the storage medium type, the deletion method applied, the responsible party and confirmation that the deletion was successfully completed. These records are retained for audit purposes in accordance with the retention schedule.
Third-Party Deletion Evidence: Where external service providers delete information on behalf of the organisation — including cloud service providers, managed service providers and certified disposal contractors — documented evidence of deletion is obtained before or upon termination of the service. Evidence takes the form of a deletion certificate, audit report or equivalent confirmation specifying the method used. External providers are required to meet the same standards as internal deletion procedures; compliance is verified through regular audits.

3.2 Secure System-Level Deletion

Automated Secure Deletion: Systems are configured to securely destroy information when it is no longer required — whether triggered by the expiry of a retention period defined in the data retention policy or by a data subject access request invoking the right to erasure. Automated deletion routines are tested at least annually to confirm they execute as intended and leave no recoverable remnants.
Deletion of Obsolete Copies: Obsolete versions, backup copies, working copies and temporary files are deleted wherever they are located — including local workstations, file shares, collaboration platforms, email archives and cloud storage. Personnel are responsible for identifying and removing such copies in their areas of responsibility; IT operations performs periodic sweeps to identify orphaned data.
Secure Deletion Software: Approved, certified secure deletion software is used to permanently delete information from digital storage in a manner that prevents recovery using specialist forensic tools. Only software listed on the organisation's approved deletion tools register is used for this purpose. The software version and configuration settings used are recorded as part of the deletion evidence.
Certified Disposal Providers: Where the organisation uses external providers for secure disposal services, only providers that are certified to recognised standards (e.g. ISO/IEC 21964 / DIN 66399, NAID AAA) are engaged. Provider certifications are verified before appointment and at each annual contract review. Central collection points for media awaiting disposal are physically secured and access-restricted to prevent unauthorised removal.
Media-Specific Disposal Methods: Disposal mechanisms are matched to the type of storage medium being disposed of. Hard disk drives and other magnetic media are degaussed and then physically shredded to at minimum BSI CON.6 level H-3. Solid-state drives and flash memory are subjected to cryptographic erasure followed by physical destruction to level E-3. Paper and print-outs are shredded to at least level P-3 on site or by a certified provider. Integrated storage (e.g. soldered memory in smartphones and IoT devices) is handled through factory reset followed by physical destruction where required by the information classification.
Cloud Service Deletion: Before relying on a cloud service provider's deletion capability, the organisation verifies that the provider's deletion method is acceptable under this policy and applicable law. Where the provider's standard deletion mechanism is insufficient (e.g. does not prevent recovery from backup snapshots), the organisation requests specific deletion procedures or invokes contractual deletion rights. Confirmation of cloud deletion is obtained in writing and retained as evidence.

3.3 Device Decommissioning

Equipment Returned to Vendors: When equipment is sent back to vendors — for repair, replacement, upgrade or end-of-lease return — all auxiliary storage (hard disk drives, SSDs, USB memory, SD cards) and internal memory modules are physically removed from the equipment before it leaves the organisation's premises. Where removal is technically impossible without voiding warranties or damaging the device, the storage medium is rendered unreadable through certified destruction or cryptographic erasure before dispatch. A checklist documenting the removal or destruction is completed for each equipment return.
Classification-Based Device Deletion: The deletion method for a device is determined by the highest classification level of information the device has handled. For devices that have processed information classified as internal or above, destruction or a certified factory reset procedure is applied; a simple user-initiated reset without verification is not sufficient. For smartphones and tablets, a factory reset followed by a setup wizard run is the minimum standard. For IoT devices and network equipment, a factory reset combined with a credential change on the management interface is applied; where this is not sufficient for the classification level, physical destruction is used.
Physical Destruction: Where physical destruction of storage media is required — either because secure deletion is technically infeasible or because the information classification demands it — the physical destruction controls defined in the Physical Security Policy are applied. Physical destruction renders the storage medium and the information it contains irrecoverable. The destruction event is witnessed, documented and retained as evidence.

4. Data Masking & Pseudonymisation (A 8.11)

Where the protection of sensitive data — in particular personally identifiable information (PII) — is a concern, the organisation applies data masking, pseudonymisation or anonymisation techniques to hide the data, disguise the true identity of PII principals or sever the link between sensitive information and the identity to which it relates. Before relying on any technique as a privacy safeguard, its adequacy is verified: effective data anonymisation covers all elements of the sensitive information, since a person can be identified indirectly through the combination of non-directly-identifying data points even after direct identifiers are removed (re-identification risk).

Production data containing PII is not used in test, development or quality assurance environments without first being at least pseudonymised, and preferably anonymised. Where complete anonymisation is technically infeasible, the Data Protection Officer is involved in assessing the residual re-identification risk before testing commences.

4.1 Masking Techniques

Encryption: Data fields containing sensitive information are encrypted such that only authorised users holding the decryption key can view the plain-text values. Encryption used for masking purposes follows the algorithm and key management requirements of the Cryptography Policy.
Nulling or Character Deletion: Characters within a sensitive field are replaced with null values, spaces or deletion characters so that unauthorised users cannot reconstruct the full value. Partial masking (e.g. showing only the last four digits of a payment card number) is used where the business process requires a fragment of the original value for operational purposes while protecting the remainder.
Numeric and Date Variation: Numeric values and dates in datasets are varied — shifted, scaled or randomised — so that the statistical distribution is preserved for analytical purposes while individual values no longer correspond to real records. The variation algorithm and its parameters are documented and applied consistently across related datasets to maintain referential integrity.
Substitution: Sensitive values are replaced with realistic but fictional substitute values (e.g. replacing real names with names from a synthetic name dictionary, or replacing real addresses with valid but non-existent addresses). Substitution tables and mapping files that would allow re-identification are stored separately from the masked dataset and access-controlled.
Hashing: Sensitive values are replaced with their cryptographic hash. Where consistent pseudonymisation across datasets is required (e.g. to join anonymised tables), a keyed hash (HMAC) with a secret salt is used. The salt and the hash algorithm are documented. One-way hashing without a salt is only used for fields where it is acceptable that the hash cannot be reversed and cross-dataset joins are not required.

4.2 Implementation Requirements

Minimum Data Principle: Not all users are granted access to all data. Database queries, API responses and data display masks are designed to return only the minimum fields required for each user's role and task. Role-based access controls are combined with field-level masking so that sensitive fields are omitted or masked for users who have no business need to see them, even when they have access to the record as a whole.
Record-Level Obfuscation: Where certain records within a dataset are not to be visible to specific users — for example because a data subject has exercised a confidentiality right over certain health records — a mechanism is implemented to obfuscate those records. Users who do not have access rights to the obfuscated record are presented with an indicator that a record exists but its content is restricted, rather than being shown the sensitive data or receiving an error that could reveal the content indirectly.
Obfuscation of Obfuscation: Where a PII principal requires that the fact of obfuscation itself is not revealed to other users — for example in healthcare contexts where the existence of certain types of obfuscated data is itself sensitive — the system is configured to present the record as if no obfuscation is applied. Only users with explicitly granted roles can discern whether a record has been subject to this secondary obfuscation layer.
Legal and Regulatory Masking Requirements: Masking is applied wherever required by law or regulation. Payment card data (PAN, CVV, expiry date) is masked during processing and storage in accordance with PCI DSS requirements. Special categories of personal data under GDPR (Article 9) are subject to enhanced masking controls. The organisation's Standard Data Protection Model (SDM) compliance assessment identifies further fields that require masking under applicable data protection law.

4.3 Usage Controls & Re-identification Prevention

Strength of Masking: The level of protection provided by the masking, pseudonymisation or anonymisation technique is proportionate to the intended use of the processed data. Data released for external research or publication requires full anonymisation with a documented re-identification risk assessment. Data used for internal testing requires at minimum pseudonymisation. Data used for internal analytics may use pseudonymisation or aggregation. The technique selection and the rationale for its adequacy are documented.
Access Controls on Processed Data: Masked, pseudonymised or anonymised datasets are subject to access controls appropriate to the residual sensitivity of the data. Even after masking, datasets may retain enough information to allow re-identification in combination with other sources; accordingly, access is restricted to personnel with a documented business need and is revoked when that need ceases.
Usage Agreements and Restrictions: Agreements or contractual restrictions governing the permissible uses of masked or pseudonymised data are established before the data is shared internally or externally. Recipients are notified of applicable restrictions (e.g. the data may only be used for the stated analytical purpose and may not be used to take decisions affecting individuals).
Prohibition on Re-identification: Collating masked or pseudonymised data with other available information sources — whether internal datasets, publicly available data or commercially obtained data — for the purpose of re-identifying a PII principal is prohibited. This prohibition is communicated to all users of masked datasets and is included in data access agreements. Violations are treated as a data protection incident and reported in accordance with the incident management process.
Tracking of Data Flows: A record is maintained of all instances where masked, pseudonymised or anonymised data is provided to a recipient or received from a source. The record includes the date, the dataset or fields involved, the technique applied, the recipient or source and the stated purpose. This record supports accountability, enables revocation of access where necessary and facilitates breach notifications if a re-identification risk is later identified.

5. Data Leakage Prevention (A 8.12)

The organisation implements organisational and technical measures to reduce the risk of sensitive information being disclosed to unauthorised parties through intentional or accidental data leakage. Data leakage prevention (DLP) inherently involves monitoring personnel communications and online activities; prior to deploying any DLP tool or monitoring capability, legal counsel reviews the implementation for compliance with applicable employment law, data protection law and works council consultation requirements.

5.1 Classification & Channel Monitoring

Information Classification for DLP: Information requiring protection against leakage is identified and classified. Categories include personally identifiable information, payment card data, health data, intellectual property (source code, product designs, pricing models), legally privileged communications and merger or acquisition information. The classification scheme defined in the Information Classification & Labelling Policy provides the basis for determining which information categories are subject to DLP controls and at what level of protection.
Leakage Channel Monitoring: The following channels are monitored for potential data leakage: outbound email (including attachments), web uploads and cloud storage synchronisation, file transfer services and FTP, mobile devices and endpoint removable storage, printing and screen capture activity and instant messaging and collaboration platforms. Monitoring scope, methods and data retention for monitoring logs are defined in a monitoring policy reviewed and approved by legal counsel before deployment.
Leakage Prevention Actions: Where DLP rules detect a potential leakage event, the system takes one of the following automated actions depending on the severity: log only (for low-risk events, for monitoring and trend analysis), user notification and confirmation (requiring the user to acknowledge a warning before proceeding) or quarantine and block (for high-risk events, holding the outbound item for review by the data owner or Information Security Officer before release or deletion). Quarantine notifications are sent to the relevant data owner within one business day.

5.2 DLP Tool Deployment

Discovery and Monitoring of Sensitive Data at Rest: DLP tools are deployed to identify and monitor sensitive information at risk of unauthorised disclosure, including unstructured data residing on user workstations, shared drives and collaboration platforms. Automated discovery scans run at least monthly to detect sensitive data that has been stored outside approved repositories, and findings are reported to data owners for remediation.
Detection of Disclosure Events: DLP tools detect the disclosure of sensitive information across all monitored channels, including uploads to untrusted third-party cloud services, transmission via personal email accounts and copying to unauthorised external storage. Detected events generate alerts that are reviewed and triaged by the Information Security Officer or a delegated DLP analyst within the response times defined in the incident management procedure.
Blocking Unauthorised Transmissions: User actions and network transmissions that would expose sensitive information outside the organisation's control are blocked at the technical level. Specific blocking rules cover: preventing bulk copying of database entries into spreadsheets or external applications; blocking uploads of classified data to consumer cloud services not on the approved services list; restricting the use of removable media interfaces on endpoint devices that have not been authorised for data transfer; and preventing the use of unauthorised screen-capture utilities on devices that process restricted information.

5.3 Additional DLP Measures

Copy-Paste and Upload Restrictions: Where the risk assessment determines that preventing copy-paste or upload of data to services, devices and storage media outside organisational control is necessary, the organisation deploys DLP technology or configures existing tools to allow users to view and work with data held remotely without being able to extract it to uncontrolled environments. Remote-view-only access configurations are used for the most sensitive datasets where technically feasible.

Data Owner Approval for Exports: Where a legitimate business need requires the export of sensitive data beyond standard access controls — for example to share with a business partner or to perform an authorised bulk analysis — the relevant data owner approves the export in writing before it is executed. The approval records the purpose, the recipient, the dataset or fields involved, any masking applied and the applicable data handling obligations. Users who perform approved exports are personally accountable for the proper handling of the exported data.

Screenshot and Screen Recording Policy: Taking screenshots, screen recordings or photographs of screens displaying sensitive information is addressed through the organisation's acceptable use policy, terms and conditions of system access and security awareness training. Where technically enforceable, screenshot functionality is disabled on applications that display the most sensitive categories of information. Compliance is monitored through periodic audits and user activity reviews.

Backup Protection: Where sensitive information is included in backups, the backup media and backup data are protected using encryption, role-based access controls and physical protection of storage media. Backup encryption keys are managed in accordance with the Cryptography Policy. Access to backup restoration functions for sensitive datasets is restricted to authorised personnel and logged.

6. Protection of Records (A 5.33)

The organisation protects the authenticity, reliability, integrity and usability of its records throughout their lifecycle as business context and management requirements change over time. Records management covers any set of information — regardless of structure or form — that is created, captured and managed in the course of business, including documents, collections of data and digital or analogue information. Metadata describing the context, content and structure of records is treated as an essential component of any record and is protected with the same controls as the record itself.

6.1 Records Management Guidelines

Storage, Handling and Disposal Guidelines: Guidelines covering the storage, handling, chain of custody and disposal of records are established and maintained. These guidelines define approved storage locations and media for each record type, handling procedures that prevent unauthorised access or modification (including physical access controls for paper records and access controls for electronic records), chain-of-custody requirements for records transferred between departments or to external parties and disposal procedures that prevent unauthorised reconstruction of disposed records. The guidelines include explicit measures for the prevention of record manipulation, including tamper-evident storage where appropriate and version-controlled document management for electronic records. Guidelines are aligned with the organisation's topic-specific records management policy and reviewed at least annually.

6.2 Retention Schedule

Retention Schedule: A retention schedule is maintained that defines, for each record type, the retention period applicable and the trigger event from which that period is counted (e.g. date of creation, date of contract termination, date of last transaction). Retention periods are set in accordance with applicable national and regional legislation, sector-specific regulations, contractual obligations and community expectations. The retention schedule is reviewed at least annually and updated whenever applicable legal or regulatory requirements change. Records that have passed their retention period and for which no legal hold or override is in effect are disposed of in accordance with the secure deletion procedures in Section 3 of this policy.

Record Categories: Records are categorised by type, including accounting and financial records, business transaction records, personnel records, legal and compliance records and information security records. Each category in the retention schedule specifies the applicable retention period, the allowable storage media (physical or electronic), the access classification and the applicable disposal method. National law and regulation take precedence in setting retention periods where they specify minimum or maximum retention durations for a given record type.

Data Retrieval: Storage systems are chosen and configured to ensure that required records can be retrieved in an acceptable timeframe and in a usable format, throughout the full retention period. For electronic storage media, procedures are established to ensure continued access — including readability of both storage media and file formats — as technology changes over the retention period. Media integrity is checked at intervals consistent with manufacturer recommendations and media deterioration risk.

Encrypted Archives and Cryptographic Keys: Where electronic records are stored in encrypted form or are protected by digital signatures, the associated cryptographic keys and the decryption or signature-verification software are retained for the full duration of the records' retention period. This ensures that records remain readable and verifiable throughout the period they are required to be kept. Key retention follows the procedures defined in the Cryptography Policy.

7. Roles & Responsibilities

Top Management: Approves this policy and ensures that adequate resources are allocated for deletion tooling, DLP infrastructure, masking capabilities and records management systems. Receives annual reporting on the status of data deletion compliance and DLP incident trends.
Information Security Officer (ISO): Maintains this policy; defines approved deletion methods, DLP rules and masking standards; oversees DLP alert triage; coordinates legal review prior to DLP deployment; and ensures that deletion evidence and DLP incident records are retained in accordance with the retention schedule.
Data Protection Officer (DPO): Reviews DLP deployment plans and monitoring configurations for compliance with GDPR and applicable data protection law; assesses re-identification risk for pseudonymised and anonymised datasets; approves the use of production PII in test environments where full anonymisation is not feasible; and advises on masking adequacy for special-category data.
IT Operations: Configures and operates secure deletion tools, DLP platforms and automated retention-based deletion processes; carries out device decommissioning procedures; maintains the approved deletion tools register and the DLP configuration documentation; and executes physical media disposal in accordance with this policy.
Data Owners: Classify information under their ownership in accordance with the Information Classification & Labelling Policy; approve data exports; receive and act on DLP quarantine notifications; maintain the retention schedule entries for their record types; and confirm that deletion evidence is obtained from third parties holding their data.
Legal Counsel: Reviews DLP monitoring configurations for employment law and data protection compliance prior to deployment; advises on deletion obligations arising from data subject requests and regulatory requirements; and maintains up-to-date input to the retention schedule reflecting applicable legal retention periods.
All Personnel: Delete obsolete copies of information from their areas of responsibility; use only approved deletion tools; comply with DLP policies and acceptable use rules; report suspected data leakage events to the Information Security Officer; and complete security awareness training covering data deletion and DLP obligations.

8. Review & Maintenance

This policy and the associated retention schedule, approved deletion tools register and DLP rule set are reviewed:

At least annually, to verify continued alignment with applicable law, regulatory requirements, business processes and the threat landscape.
When applicable legislation or regulation is amended — in particular GDPR implementing acts, national data protection law, sector-specific retention requirements or export control rules affecting deletion methods.
Following any data leakage incident, deletion failure or records management audit finding — to identify control gaps and update policy, tools or procedures accordingly.
When significant changes occur to the organisation's information systems, cloud service portfolio, storage infrastructure or organisational structure that affect the scope or effectiveness of existing controls.
When third-party deletion providers, DLP tool vendors or cloud service providers are added, changed or removed, to re-verify compliance with this policy's requirements.

All versions of this policy are archived in the document management system in accordance with the records management guidelines in Section 6. The version history, including the date of each review, the reviewer and a summary of changes, is maintained as part of the document record.

Quellen

ISO/IEC 27002:2022 Abschnitte 8.10–8.12 und 5.33 — die Controls hinter dieser Richtlinie
BSI IT-Grundschutz CON.6 — Löschen und Vernichten von Informationen
BSI IT-Grundschutz CON.2 — Datenschutz / Standard-Datenschutzmodell
DSGVO Art. 17 — Recht auf Löschung — das Recht auf Vergessenwerden
DIN 66399 — Vernichtung von Datenträgern — Sicherheitsstufen für die physische Vernichtung