GH GambleHub

Speicherung und Löschung von Nutzerdaten

1) Warum Sie eine Aufbewahrungs- und Löschrichtlinie benötigen

Ziel ist es, nur die gewünschten Daten so lange wie nötig zu speichern und am Ende der Verarbeitungszwecke sicher zu löschen. Dies reduziert die rechtlichen Risiken, die Angriffsfläche, die Infrastrukturkosten und vereinfacht die Prüfung (Lizenzen, PSP-Partner, Aufsichtsbehörden).

Die wichtigsten Grundsätze sind:
  • Zweckbindung/Basis (Vertrag, Gesetz, berechtigtes Interesse, Einwilligung).
  • Minimierung und Segregation (PII ↔ Pseudonyme ↔ anonym).
  • Planbare Fristen und nachweisbare Löschverfahren.
  • Kontinuierliche Überwachung (Protokolle, Berichte, Metriken).

2) Datenzonen und architektonische Säulen

Zone A - PII/sensitiv: KYC, Zahlungstoken, Biometrie (wo zulässig). At-Rest-Verschlüsselung, strenge RBAC/ABAC, JIT-Zugriffe.
Zone B - Pseudonymisiert: stabile Token für Analytics/ML; Verbot der direkten De-Identifizierung.
Zone C - Anonyme Aggregate: Berichterstattung/Forschung; Eine lange Haltbarkeit ist erlaubt.

Unterstützende Mechanismen:
  • Datenkatalog/RoPA (Betriebsregister), Retention Service (Regeln), Deletion Orchestrator (End-to-End-Löschung), WORM-Archiv (Audit/Incidents).

3) Retention-Matrix: wie man komponiert

Schritte:

1. Vergleichen Sie die Verarbeitungszwecke ↔ Rechtsgrundlagen ↔ Datenkategorien ↔ Fristen.

2. Beschreiben Sie die Auslöser für den Beginn des Countdowns (Ereignisse: Kontoerstellung, letzter Login, Kontoschließung, Vertragsende, letzte Transaktion).

3. Fixieren Sie die Methode am Ende: Löschung, Anonymisierung, Sperrung (wenn ein „Fries“ benötigt wird).

4. Geben Sie den Eigentümer und die Ausnahmen an (AML/Steuern/Streitigkeiten/Betrug).

Beispiel (für Wiki):
KategorieDas ZielDie GründungDie FristAuslöser des StartsMethode am Ende
Konto (IDs, Kontakt)Führung von AufzeichnungenDer VertragDauer der Beziehung + 6 Monate.Konto schließenDie Entfernung
KYC (Dokumente, Selfie-Vorlagen)Identifizierung/AMLJur. Pflicht≥5 Jahre nach dem Ende der BeziehungLetzte Transaktion/AbschlussSperrung → Löschung nach Frist
ZahlungstokenZahlungen/SchlussfolgerungenVertrag/Pflicht2 Jahre nach der letzten OperationLetzte ZahlungsaktivitätDie Entfernung
Sicherheitsprotokolle (Eingänge/IP)Sicherheit/BetrugLegitimes Interesse12-24 Monate.Aufzeichnung eines EreignissesAnonimisazija
Analytik (Pseudo-ID)ProduktanalytikBerechtigtes Interesse/Einwilligung13 Monate (häufig)Event sammelnAnonymisierung/Löschung
Marketing (E-Mail/SMS/Push)Die KommunikationenDas Einverständnissolange Einverständnis besteht + 30 TageWiderruf/AblaufDie Entfernung
Fälle von VorfällenCompliance/UntersuchungJur. Interesse/Pflicht3-6 JahreSchließen des FallesArchiv → Löschen
💡 Werte - Orientierungspunkte; Aktualisieren Sie unter dem lokalen Lizenzrecht und den vertraglichen Anforderungen der PSP.

4) Aufbewahrungsrichtlinie (Skelett)

1. Umfang, Rollen (Data Owner, DPO, Security, Operations).
2. Definitionen (PD Kategorien, Zonen, Archiv, Backup, Anonymisierung/Pseudonymisierung).
3. Verknüpfung der Daten mit Zielen/Gründen und Fristen (Verweis auf die Retention-Matrix).
4. Verwaltung von Ausnahmen (Legal Hold, Untersuchungen, regulatorische Anfragen).
5. Zugriffskontrollen, Verschlüsselung, Upload-Audit.
6. Reihenfolge der Revision (vierteljährlich/bei Änderung der Ziele/Anbieter).

5) Pipeline der Löschung und Anonymisierung

Die Phasen sind:
  • Mark-for-Deletion: Markieren von Einträgen und Abhängigkeiten; Überprüfung der „Holds“.
  • Grace Period: Puffer (z. B. 7-30 Tage), um versehentlich zu stornieren.
  • Soft Delete: logisches Ausblenden von Prod-Diensten; Stoppen von Mailings/Behandlungen.
  • Hard Delete/Anonymize: Physische Bereinigung/irreversible Anonymisierung im Primärspeicher.
  • Cascade & Fan-out: Kaskade zu Derivaten (Caches, Suchindizes, fiche-stor, DWH, ML-Schichten).
  • Backups: Verzögerte Bereinigung durch die Backup-Richtlinie (siehe unten).
  • Evidence: Löschvorgang (ID, Klassifikator, Zeit, Systeme), Log in WORM.
Technische Regeln:
  • Löschen nach Subjektschlüssel mit Zeilenverfolgung.
  • Idempotente Aufgaben, Retrays, Team-Deduplizierung.
  • SLA: Die meisten Löschungen ≤30 Tage ab Anfrage (falls zutreffend).
  • Kontrolle der „nicht löschbaren“ Felder: durch Token/Maske ersetzen.

6) Backups und Replikate: Was mit Kopien zu tun ist

Immutable Backups (Ransomware-Resilienz) werden gemäß einer separaten Richtlinie gespeichert; Direkte Bearbeitung ist verboten.
Die Entfernung des Subjekts aus den Backups erfolgt über den Ablauf des Backups und das Verbot von Wiederherstellungen in die Kampfumgebung, wenn dies zu einer Re-Identifikation führt.
Dokumentation: Speicherfenster von Backups (z. B. 30/60/90 Tage), Wiederherstellungsskripten und „Sanitisierung“ des Wiederherstellungsprozesses (Post-Skripte zum erneuten Löschen markierter Datensätze).

7) Ausnahmen und "legal hold'

Manchmal kann die Löschung nicht sofort erfolgen (z.B. AML, Steuerprüfungen, Rechtsstreitigkeiten). Vorgehensweise:
  • Legen Sie Legal Hold unter Angabe von Grund, Dauer und Eigentümer.
  • Blockieren Sie den Zugriff auf Daten für andere als die angegebenen Zwecke.
  • Überprüfen Sie regelmäßig die Holds und schießen Sie, sobald die Basis wegfällt.

8) Dokumentation und Artefakte

Retention-Matrix (versionierbar).
Löschverfahren (SOP): Schritte, Rollen, SLA, Eskalation.
Deletion Evidence Log (WORM): Wer/Was/Wann/Ergebnis.
Backups Policy: Zeitrahmen, Speicherklasse, Wiederherstellungstests.
Data Lineage Map: von primären Tabellen bis zu abgeleiteten Ebenen.
Ausnahmen/Legal Holds Register.

9) Metriken und Qualitätskontrolle

Retention Adherence:% der planmäßig gelöschten Datensätze.
Deletion SLA: Median/95. Perzentil seit Abfrage/Trigger.
Cascade Completion Rate: Anteil der Systeme, bei denen die Deinstallation abgeschlossen ist.
Backups Window Compliance: Anteil der nach Laufzeit gelöschten Backups.
Access/Export Violations: Nicht autorisierte Lesungen/Uploads.
DSR SLA (falls zutreffend): Antworten ≤ festgelegten Fristen.
Incident Rate: Anzahl der Löschfehler/Nicht-Synchronisierungen.

10) Checklisten (operativ)

Vor dem Fichi-Start

  • Zweck/Basis der Verarbeitung und Lagerbereich (A/B/C) sind definiert.
  • Zeile zur Retention-Matrix hinzugefügt (Term, Trigger, Methode).
  • Deletion Orchestrator konfiguriert (Schlüssel, Kaskaden, Idempotency).
  • Audit aktiviert (WORM-Protokolle), RoPA aktualisiert.

Täglich/Wöchentlich

  • Der Löschaufgabenplaner hat fehlerfrei gearbeitet.
  • Neue Legal Holds sind registriert, überfällig - entfernt.
  • Berichte zu Backups (Erstellung/Ablauf) geprüft.

Vierteljährlich

  • Revue der Retention-Matrix und Ausnahmen.
  • Wiederherstellungstest aus Backup + „Sanitisierung“ von Skripten.
  • Überleitung von Metriken (SLA, Cascade, Violations), Verbesserungsplan.

11) Häufige Fehler und wie man sie vermeidet

Lagerung „in Reserve“ → starre Bindung an Ziele; automatische TTL nach Kategorien.
Es gibt keine Kaskade → die Daten bleiben in den Caches/Indizes/Datenstore; Implementieren Sie einen universellen Orchestrator.
Dev/Stage mit Prod-PD → Verwenden Sie synthetische Kits/Maskierung; automatisches Sägen von Dumps.
Backups außerhalb der Politik → Definieren Sie Fenster, verbieten Sie nicht autorisierte Wiederherstellungen, „Sanitization“ -Tests.
Mangel an Beweisen → WORM-Log, Löschaktionen, regelmäßige Berichte.
Mischen von Gründen → Trennen Sie Marketing/Sicherheit/Vertrag; Ziehen Sie keine Fristen „nur für den Fall“.

12) Beispiel für benutzerdefinierte Löschung (End-to-End-Skript)

1. Der Nutzer schließt das Konto oder reicht den DSR zur Löschung ein.
2. Überprüfung von Ausnahmen (AML, Streitigkeiten) → falls vorhanden - Legal Hold mit Einschränkung der Zwecke.

3. Mark-for-Deletion → Grace 14 Tage → Soft Delete

4. Hard Delete/Anonymize in der Transaktionsschicht, dann Kaskade in Caches, Indizes, DWH, ML-fiche-stor.
5. Protokollierung in Evidence Log, Statusaktualisierung in Profil/Mail.
6. Bereinigung von Backups nach Ablauf des Speicherfensters.

13) Rollen und Verantwortung (RACI)

Data Owner/Domain Lead - Fristen und Ziele; Aktualisierung der Retention-Matrix.
DPO/Privacy - Rechtskonformität, Beratung bei Ausnahmen.
Security/CISO - Verschlüsselung, Zugriffe, Auditing, Backups/Recovery.
Data Engineering — Deletion Orchestrator, lineage, каскады.
Support/Operations - Kommunikation über DSR, Status und SLA.
Legal - Legal Holds, Interaktion mit Aufsichtsbehörden/Gerichten.

14) Vorlagen für Ihr Wiki

Retention-Matrix. xlsx/MD (Kategorie → Zweck → Basis → Zeitraum → Methode).
Deletion-SOP. md (Stufenregelung mit Eskalationen).
Backups-Policy. md (Fenster, Speicherklassen, Wiederherstellungstestplan).
Legal-Holds-Register. md (Formen der Inszenierung/Rückzug).
Data-Lineage-Diagram (Verweise aus Tabellen auf Derivate).
Monthly-Privacy-Ops-Report. md (Metriken, Incidents, Verbesserungen).

15) Umsetzungsfahrplan (6 Schritte)

1. Bestandsaufnahme: Daten-/Flusskarte, Gegenüberstellung von Zielen und Gründen.
2. Retention-Matrix: Entwurf der Fristen + Eigentümer; Abstimmung mit Legal/DSB.
3. Der Orchestrator der Löschungen: Schlüssel, Kaskaden, Backup-Desinfektion, WORM-Protokolle.
4. Richtlinien/Verfahren: Retention Policy, Deletion SOP, Backups Policy, Legal Hold.
5. Automatisierung und Überwachung: Zeitpläne, Warnungen, Dashboards von Metriken.
6. Audits und Schulungen: vierteljährliche Überprüfung, Template Acts, Recovery-Training.

Ergebnis

Die effiziente Speicherung und Löschung von Daten ist ein überschaubarer Kreislauf: Zweck → Frist → Kontrolle → sichere Löschung/Anonymisierung → Nachweisbarkeit. Zonensegregation, Retention-Matrix, Kaskadenlöschung (inklusive Backups), nachvollziehbare Ausnahmen und Metriken machen Datenschutz und Compliance vom Risiko zum Wettbewerbsvorteil - ohne Einbußen bei Produktgeschwindigkeit und UX-Qualität.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Telegram
@Gamble_GC
Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.