Kurzübersicht
Die meisten regulierten Firmen sind gut beim Öffnen von Dateien. Viel weniger haben ein dokumentiertes Datei-Closing-Verfahren, das DSGVO, AML und branchenspezifische Aufbewahrungspflichten erfüllt. Hier ist der komplette Leitfaden – was zu halten, was zu löschen, und wie Sie es richtig beweisen.
- Was der Compliance-Workflow beweisen muss.
- Welche Kontrollen und Beweise Käufer sollten überprüfen.
- Wie HubSecure passt, ohne Rechtsberatung zu ersetzen.
Schließen von Kundendateien: Datenaufbewahrungs-, Lösch- und Prüfungsanforderungen für regulierte Unternehmen: Wie regulierte Unternehmen Kundendateien korrekt schließen sollten – was wie lange aufbewahrt werden soll, was gelöscht werden soll und wie ein prüfungsbereiter Datensatz erstellt werden soll. Deckt ab…
HubSecure ist relevant, wenn Teams sichere Kundendatensätze, Dokumentensammlung, Workflow-Verantwortung, rollenbasierten Zugriff und revisionssichere Beweise in einem verwalteten Arbeitsbereich benötigen.
Wenn eine Client-Frage endet, ist die Compliance-Arbeit nicht beendet. Wenn Sie eine Datei richtig schließen, müssen Sie feststellen, was gespeichert werden muss und wie lange, identifizieren, was gelöscht werden muss und wann, archivieren Sie die richtigen Materialien im richtigen Format und dokumentieren Sie die Schließung in einer Weise, die einen Regler oder eine betroffene Person Anforderung Jahre später erfüllen wird.
Das ist keine Verwaltung. Die ICO und die europäischen DPA haben Maßnahmen gegen Unternehmen ergriffen, die über ihren Zweck hinaus personenbezogene Daten gespeichert haben — und ebenso gegen Unternehmen, die für eine laufende regulatorische Untersuchung benötigte Aufzeichnungen zerstört haben. Das richtige Gleichgewicht zu bekommen erfordert ein dokumentiertes Verfahren.
Verwandte HubSecure Kaufpfad
Dokumentensammlung & Vault führen sichere Dokumentensammlung B01 Modul Dropbox Vergleichsdokumentsammlung Software Guide Bibliothek buchen einen Workflow Demo
Verwandte Sicherheits-, Datenschutz- und Governance-Ressourcen
Weiter mit HubSecure Sicherheits- und Treuhandzentrum, Datenverarbeitungsvereinbarung, Subprozessoren, Compliance Workflows, reguliertem KI-Operator .
Verwandter Anwendungsfall
Dieses Handbuch gehört zum Cluster „Secure Document Collection Guides“. Fahren Sie mit dem Produkthub für sichere Dokumentensammlung fort.
Das DSGVO-Prinzip der Speicherbegrenzung
Artikel 5 Absatz 1 Buchstabe e DSGVO verlangt, dass personenbezogene Daten „in einer Form, die eine Identifizierung der betroffenen Personen ermöglicht, nicht länger aufbewahrt werden, als dies für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist“. Dies ist das Prinzip der Speicherbeschränkung und gilt in vollem Umfang für Kundendateien.
Es gibt keine einheitliche DSGVO-Aufbewahrungsfrist – die richtige Frist hängt von Ihrer Rechtsgrundlage für die Verarbeitung und etwaigen branchenspezifischen Aufbewahrungspflichten ab, die Vorrang vor der Standardvorgabe haben. Der Schlüssel besteht darin, Ihre Aufbewahrungsfrist für jede Datenkategorie zu dokumentieren und diese im Falle einer Anfechtung begründen zu können.
Die Spannung, die Sie bewältigen müssen
DSGVO sagt: löschen, sobald nicht mehr nötig. Das AML-Gesetz besagt: Bewahren Sie KYC-Aufzeichnungen für 5 Jahre nach dem Ende der Geschäftsbeziehung auf. Das Steuerrecht kann 7 Jahre vorsehen. Bei Verjährungsfristen kann es erforderlich sein, dass die Akten bei Ansprüchen aus beruflicher Fahrlässigkeit 6 bis 12 Jahre überdauern. Die Antwort besteht nicht darin, sich für eine zu entscheiden, sondern darin, nur das aufzubewahren, was jede Rechtsgrundlage erfordert, und zwar nur so lange, wie es jede Grundlage zulässt, mit separaten Aufzeichnungen für jede Kategorie.
Aufbewahrungsplan nach Datenkategorie
| Datenkategorie | Mindesteinbehalt | Rechtsgrundlage | Auslösen |
|---|---|---|---|
| AML/KYC-Aufzeichnungen (Ausweisdokumente, UBO-Daten) | 5 Jahre |
AMLD Artikel 40 / nationales AML-Gesetz | Ab Ende der Geschäftsbeziehung |
| Aufzeichnungen zur AML-Transaktionsüberwachung | 5 Jahre |
AMLD Artikel 40 | Ab Datum der Transaktion |
| Akten zu Rechtsangelegenheiten (Rechtsanwalt) | 6 Jahre (England/Wales) | Limitation Act 1980 + SRA-Leitlinien | Vom Abschluss der Sache |
| Beförderungs-/Eigentumsakten | 12 Jahre |
Verjährungsgesetz (Urkunden = 12 Jahre) | Ab Abschluss der Transaktion |
| Finanzberatungsunterlagen (MiFID II) | 5 Jahre (7 Jahre bei Rentenbezug) | MiFID II Artikel 16(7) | Ab Dienstdatum |
| Aufzeichnungen der Versicherungspolice | 3–7 Jahre je nach Gerichtsbarkeit | Nationales Versicherungsrecht | Ab Ablauf der Police |
| Patientenakten im Gesundheitswesen (EU) | 10 Jahre (Erwachsener); länger für Minderjährige | Nationales Gesundheitsrecht / DSGVO Art.9 | Von der letzten Behandlung |
| Buchhaltung/Finanzunterlagen | 7 Jahre |
Nationales Steuerrecht | Ab Geschäftsjahresende |
| Verträge mit Kunden | 6 Jahre |
Verjährungsgesetz / Vertragsrecht | Ab Vertragsablauf |
| E-Mail-Korrespondenz (geregelt) | Befolgen Sie die Aufbewahrung der primären Materie | Mit der Themenkategorie oben verknüpft | Aus der Materie nah |
| Aufzeichnungen zur Marketingeinwilligung | Dauer der Einwilligung + 3 Jahre Nachweis | DSGVO Art.7(1) / ePrivacy | Aus Einwilligungsentzug oder Ablauf |
| Whistleblowing Berichte | 5 Jahre |
Whistleblowing Directive (2019/1937) | Ab dem Datum des Berichtsabschlusses |
Das 8-stufige Verfahren zum Schließen von Dateien
Bestätigung ist geschlossen
Die Abschlussveranstaltung — Abschluss der Transaktion, Abschlussberatung, geschlossener Fall, beendete Beziehung — muss mit einem Datum aufgezeichnet werden. Dieses Datum ist der Auslöser für alle nachfolgenden Retentionsberechnungen. Ohne ein aufgezeichnetes Datum können Sie keinen korrekten Aufbewahrungsplan ausführen.
Kategorisierung aller Dateiinhalte durch Aufbewahrungsfrist
Trennen Sie die Datei in Kategorien nach Ihrem Aufbewahrungsplan. Eine einzelne Client-Datei kann AML-Aufzeichnungen (5yr), Rechtskorrespondenz (6yr), unterzeichnete Verträge (6yr) und Marketing-Einwilligungsaufzeichnungen (3yr) enthalten. Jede Kategorie hat ein eigenes Löschungsdatum — sie folgen nicht alle der längsten Periode.
Originale an den Client zurückgeben
Originaldokumente, die dem Kunden gehören — Urkunden, Urkunden, Urkunden, unterzeichnete Vereinbarungen — sollten beim Dateiabschluss zurückgegeben (oder zur Rücksendung angeboten) werden. Bestätigen Sie den Empfang. Ihre Kopien können dann für den jeweiligen Zeitraum aufbewahrt werden.
Archivierte Materialien sicher
Bewegen Sie die gespeicherten Materialien in ein sicheres Archiv mit Zugriff nur auf zugelassenes Personal. Für digitale Dateien stellen Sie sicher, dass das Archiv verschlüsselt, zugegriffen und nicht geändert werden kann (für Integrität). Für physische Dateien, gesperrt, feuerfeste Speicherung mit einem Zugangsprotokoll.
Automatische Löschen Erinnerungen einstellen
Melden Sie sich das Löschdatum für jede Dateikategorie in Ihrem System an. Die Löschung muss geplant sein — es wird nicht anders geschehen. Die meisten Unternehmen finden, dass automatisierte Erinnerungen (90 Tage vor der Löschung) Zeit für eine abschließende rechtliche Kontrolle vor der Zerstörung erlauben.
Überprüfung des Rechtsschutzes vor der Löschung
Vor jeder geplanten Streichung prüfen Sie, ob ein Rechtsschutz gilt — anhängige Rechtsstreitigkeiten, Regulierungsuntersuchungen, Antrag auf Zugang zum Gegenstand der Akte oder ein anhängiger Versicherungsanspruch. Wenn ein Halt gilt, Pause Löschen und Dokument warum. Ein rechtlicher Halt verlängert die Haltezeit nicht unbegrenzt; er hält sie solange ein, bis der Halt aufgehoben ist.
Löschen und Dokument
Löschen von digitalen Datensätzen muss eine echte Löschung sein – Überschreiben, kryptographische Löschung oder verifizierte Löschung – nicht nur in Müll umziehen. Für physikalische Aufzeichnungen, kreuzgeschnittene Zerkleinerung oder zertifizierte Zerstörung. In beiden Fällen erstellen Sie ein Zerstörungszertifikat: was zerstört wurde, wann, von wem und nach welcher Methode.
Schließen Sie die Stoffaufzeichnung — nicht die Prüfungsspur
Die Stoffaufzeichnung in Ihrem CRM sollte geschlossen werden, mit dem Aufbewahrungsplan und den beigefügten Löschungszertifikaten. Der Prüfungspfad der bestehenden Angelegenheit — Termine, Parteien, erbrachte Dienstleistungen — kann in minimaler Form (keine personenbezogenen Daten über das, was erforderlich ist) solange aufbewahrt werden, wie dies für geschäftliche Kontinuität, Begrenzungsdauermanagement und professionelle Entschädigungszwecke erforderlich ist. Dies unterscheidet sich von der Beibehaltung der materiellen Datei.
DSGVO-Datensubjektrechte und geschlossene Dateien
Das Schließen einer Datei erlöscht keine Rechte der betroffenen Person. Ein Kunde kann eine Betreff Access Request (SAR) für eine Angelegenheit, die vor 3 Jahren abgeschlossen. Sie müssen in der Lage sein, die gespeicherten Datensätze zu lokalisieren, personenbezogene Daten von Drittanbietern zu löschen und innerhalb von 30 Tagen zu reagieren.
Sie können auch die Löschung verlangen. Erasure-Anfragen eines Clients, dessen Datei sich in der Aufbewahrungsfrist befindet, können in der Regel abgelehnt werden, wenn Sie eine gesetzliche Verpflichtung zur Speicherung der Daten haben (Artikel 17 Absatz 3 Buchstabe b)), aber Sie müssen ihnen dies sagen und ihnen sagen, wann die Löschung erfolgt.
Bewahren Sie einen Stoffindex auch nach dem Löschen der Dateiinhalte auf. Der Index sollte aufzeichnen: Referenz der Materie, Kundenname, Art der Materie, Datum der Schließung und Datum der Aufbewahrung. Dies ermöglicht es Ihnen, auf SARs zu reagieren und das Löschen zu bestätigen, ohne die Datei selbst wieder zu öffnen.
Automatisierte Aufbewahrungs- und Löschungsplanung
HubSecure Vault-Modul wendet Ihren Aufbewahrungsplan automatisch an – jede Dokumentkategorie erhält ihr eigenes Löschungsdatum, rechtliche Haltepausen laufen automatisch, und Zerstörungszertifikate werden generiert und gespeichert. Keine Tabellen, keine fehlenden Löschungsfristen.