Zurück zum Blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Dokumentation der Proxy-Nutzung für Compliance: Vorlagen und Sicherheitsrichtlinien

Vollständiger Leitfaden zur Dokumentation der Nutzung von Proxy-Servern zur Einhaltung von Compliance-Anforderungen: Richtlinientemplates, Zugriffsprotokolle und praktische Empfehlungen.

📅3. März 2026
```html

Wenn Ihr Unternehmen mit personenbezogenen Daten von Kunden arbeitet, Zahlungen entgegennimmt oder Sicherheitsprüfungen unterliegt, wird die Dokumentation der Nutzung von Proxy-Servern zur Pflicht. Das Fehlen der richtigen Dokumentation kann zu Geldstrafen von bis zu 20 Millionen Euro gemäß GDPR oder zum Verlust der PCI DSS-Zertifizierung führen.

In diesem Leitfaden werden wir erörtern, wie man die Nutzung von Proxys korrekt dokumentiert, um den Anforderungen der Aufsichtsbehörden gerecht zu werden, welche Richtlinien erstellt werden müssen und wie Zugriffsprotokolle geführt werden. Sie erhalten fertige Dokumentvorlagen und Checklisten zur Implementierung.

Warum die Dokumentation von Proxys für Compliance entscheidend ist

Proxy-Server werden oft zur "blinden Zone" in der Unternehmensdokumentation für Sicherheit. Unternehmen beschreiben sorgfältig die Prozesse im Umgang mit Datenbanken, vergessen jedoch zu dokumentieren, wie ihre Mitarbeiter oder Systeme auf externe Ressourcen über Proxys zugreifen.

Das Problem wird in mehreren Situationen kritisch:

  • Audit der Informationssicherheit: Auditoren von ISO 27001 oder SOC 2 verlangen Nachweise, dass alle Zugangswege zu Daten dokumentiert und kontrolliert werden. Proxys sind ein Zugangsweg.
  • Untersuchung von Vorfällen: Bei Datenlecks oder Verdacht auf Betrug müssen Sie nachweisen, wer, wann und warum Proxys verwendet hat, um auf bestimmte Ressourcen zuzugreifen.
  • GDPR-Prüfung: Wenn Sie Daten von EU-Bürgern über Proxys in anderen Ländern verarbeiten, müssen Sie die Rechtmäßigkeit der grenzüberschreitenden Datenübertragung dokumentieren.
  • PCI DSS-Zertifizierung: Für Unternehmen, die Kartenzahlungen akzeptieren, müssen alle Zugangswege zu Kartendaten dokumentiert werden, einschließlich Proxy-Server.

Ein reales Beispiel: Im Jahr 2022 erhielt ein europäisches Fintech-Unternehmen eine Warnung von der Aufsichtsbehörde wegen fehlender Dokumentation darüber, wie ihr Risikomonitoring-System Proxys zur Überprüfung von Transaktionen verwendet. Die Geldstrafe konnte nur vermieden werden, nachdem ein vollständiges Dokumentationspaket und rückblickende Protokolle für 12 Monate erstellt wurden.

Wichtig: Die Dokumentation sollte VOR der Nutzung von Proxys erstellt werden, nicht im Moment des Audits. Die rückblickende Erstellung von Dokumenten weckt immer Verdacht bei den Auditoren.

Welche regulatorischen Anforderungen Proxys betreffen

Verschiedene regulatorische Standards stellen spezifische Anforderungen an die Dokumentation der Nutzung von Proxy-Servern. Hier sind die wichtigsten, mit denen Unternehmen konfrontiert sind:

GDPR (Allgemeine Datenschutzverordnung)

Wenn Sie Proxys zur Verarbeitung personenbezogener Daten von EU-Bürgern verwenden, müssen Sie dokumentieren:

  • Zwecke der Nutzung von Proxys (Artikel 5.1.b — Zweckbindung)
  • Geografische Lage der Proxy-Server (Artikel 44 — grenzüberschreitende Datenübertragung)
  • Sicherheitsmaßnahmen zum Schutz von Daten bei der Übertragung über Proxys (Artikel 32)
  • Verträge mit dem Proxy-Anbieter als Datenverarbeiter (Artikel 28)
  • Zugriffsprotokolle zur Gewährleistung der Rechenschaftspflicht (Artikel 5.2)

Praktisches Beispiel: Wenn Ihre Marketingabteilung residential Proxys zur Analyse von Wettbewerbern in verschiedenen EU-Ländern verwendet und dabei Daten zu Preisen oder Sortimenten sammelt (die indirekt personenbezogene Daten enthalten können), benötigen Sie eine Richtlinie für die GDPR-konforme Nutzung von Proxys.

PCI DSS (Payment Card Industry Data Security Standard)

Für Unternehmen, die Zahlungen verarbeiten, umfassen die Anforderungen der PCI DSS Version 4.0:

  • Anforderung 1.2.1: Dokumentation aller zulässigen Verbindungen zwischen der Umgebung für Kartendaten und externen Netzwerken (Proxys sind solche Verbindungen)
  • Anforderung 10.2: Protokollierung aller Aktivitäten von Benutzern mit Administratorrechten, einschließlich der Verwaltung von Proxys
  • Anforderung 12.3: Richtlinie zur Nutzung von Technologien, einschließlich Proxy-Servern

ISO 27001 (Informationssicherheits-Managementsystem)

Der Standard verlangt eine Dokumentation im Kontext der Kontrolle A.13.1.1 (Management von Netzwerksicherheitselementen):

  • Inventarisierung aller Proxy-Server und deren Konfigurationen
  • Zugangsmanagementverfahren für Proxys
  • Überwachung der Nutzung und Erkennung von Anomalien
  • Regelmäßige Überprüfung der Richtlinien (mindestens jährlich)

152-FZ "Über personenbezogene Daten" (Russland)

Die russische Gesetzgebung verlangt die Dokumentation von:

  • Bedrohungsmodell für die Sicherheit personenbezogener Daten (Proxys als Schutzmittel oder potenzielle Bedrohung)
  • Technische Spezifikation für die Erstellung oder Modernisierung eines Informationssystems (wenn Proxys Teil davon sind)
  • Akt der Klassifizierung und Kategorisierung von Informationssystemen
Standard Schlüsseldokument Aktualisierungsfrequenz
GDPR Verzeichnis der Verarbeitungstätigkeiten (ROPA) Bei Änderungen
PCI DSS Datenflussdiagramm Jährlich
ISO 27001 Richtlinie zur Informationssicherheit Jährlich
152-FZ Bedrohungsmodell Alle 3 Jahre

Vorlage für die Nutzung von Proxy-Servern

Die Richtlinie zur Nutzung von Proxys ist ein grundlegendes Dokument, das Regeln, Verantwortlichkeiten und Verfahren definiert. Hier ist die Struktur der Richtlinie, angepasst an die Anforderungen der Compliance:

1. Allgemeine Bestimmungen

Dokumenttitel: Richtlinie zur Nutzung von Proxy-Servern

Version: 1.0

Genehmigungsdatum: [Datum]

Genehmigende Person: [Position und Name, z.B.: Direktor für Informationssicherheit]

Datum der nächsten Überprüfung: [Datum in 12 Monaten]

Zweck der Richtlinie: Die Regeln für die Nutzung von Proxy-Servern zu definieren, um Sicherheit, Vertraulichkeit und die Einhaltung regulatorischer Anforderungen beim Zugriff auf externe Ressourcen und der Verarbeitung von Daten zu gewährleisten.

Geltungsbereich: Die Richtlinie gilt für alle Mitarbeiter, Auftragnehmer und automatisierte Systeme des Unternehmens, die Proxy-Server zum Zugriff auf Internetressourcen oder zur Verarbeitung von Daten nutzen.

2. Zulässige Zwecke der Nutzung von Proxys

Proxy-Server dürfen nur für die folgenden Geschäftszwecke verwendet werden:

  • Wettbewerbsmonitoring: Sammlung öffentlich zugänglicher Informationen über Preise, Sortiment und Marketingaktivitäten von Wettbewerbern zur Marktanalyse (Abteilungen: Marketing, Produkt).
  • Testen von Webdiensten: Überprüfung der Verfügbarkeit und Funktionsfähigkeit eigener Webressourcen aus verschiedenen geografischen Regionen (Abteilungen: Entwicklung, QA).
  • Verifizierung von Werbekampagnen: Überprüfung der Anzeige von Werbung in verschiedenen Regionen und auf verschiedenen Geräten (Abteilung: Marketing).
  • Schutz vor DDoS: Maskierung der IP-Adressen von Unternehmenssystemen bei Zugriff auf externe APIs (Abteilung: IT).
  • Gewährleistung der Anonymität: Schutz personenbezogener Daten der Mitarbeiter bei der Durchführung von Untersuchungen oder der Arbeit mit sensiblen Informationen (Abteilung: Sicherheit, Compliance).

Verboten: Nutzung von Proxys zum Umgehen von Unternehmenssicherheitsrichtlinien, Zugriff auf verbotene Ressourcen, Verbergen unbefugter Aktivitäten oder jegliche Handlungen, die gegen das Gesetz verstoßen.

3. Arten von Proxys und deren Anwendung

Proxy-Typ Zulässige Aufgaben Datenanforderungen
Residential Proxys Wettbewerbsmonitoring, Verifizierung von Werbung, Tests aus verschiedenen Regionen Nur öffentliche Daten, keine personenbezogenen Daten
Mobile Proxys Testen von mobilen Anwendungen, Überprüfung mobiler Werbung Nur öffentliche Daten, keine personenbezogenen Daten
Datacenter Proxys Automatisiertes Scraping, massenhafte Überprüfung der Verfügbarkeit von Ressourcen Nur öffentliche Daten, hohe Geschwindigkeit

4. Verfahren zum Zugriff auf Proxys

Jeder Mitarbeiter, der Zugriff auf Proxy-Server benötigt, muss das folgende Verfahren durchlaufen:

  1. Beantragung: Ausfüllen des Antragsformulars mit Angabe der geschäftlichen Begründung, des Proxy-Typs und der Nutzungsdauer.
  2. Genehmigung durch den Vorgesetzten: Genehmigung durch den direkten Vorgesetzten der Abteilung.
  3. Compliance-Prüfung: Bewertung des Antrags durch die Abteilung für Informationssicherheit oder Compliance auf Übereinstimmung mit der Richtlinie.
  4. Bereitstellung von Anmeldedaten: Die IT-Abteilung stellt den Zugriff mit einzigartigen Anmeldedaten für jeden Benutzer bereit.
  5. Schulung: Der Mitarbeiter erhält eine kurze Einweisung zur sicheren Nutzung von Proxys (kann in Form eines Videos oder Dokuments erfolgen).

Bearbeitungszeit des Antrags: Höchstens 3 Werktage nach Antragstellung.

5. Verantwortung und Rollen

  • Direktor für Informationssicherheit (CISO): Genehmigung der Richtlinie, Überwachung der Einhaltung, Koordination von Audits.
  • IT-Abteilung: Technische Umsetzung, Bereitstellung von Zugängen, Überwachung der Proxy-Infrastruktur.
  • Compliance-Beauftragter: Überprüfung der Übereinstimmung der Nutzung von Proxys mit den regulatorischen Anforderungen, Führung der Dokumentation.
  • Abteilungsleiter: Genehmigung von Anträgen ihrer Mitarbeiter, Überwachung der zielgerichteten Nutzung.
  • Endbenutzer: Einhaltung der Richtlinie, sofortige Meldung von Vorfällen oder verdächtigen Aktivitäten.

Zugriffsprotokolle und Monitoring: Was zu protokollieren ist

Die Führung von Protokollen (Logs) zur Nutzung von Proxys ist nicht nur eine technische Notwendigkeit, sondern eine verpflichtende Anforderung der meisten Compliance-Standards. Logs ermöglichen es, nachzuvollziehen, wer, wann und zu welchen Zwecken Proxys genutzt hat, sowie Anomalien oder unbefugten Zugriff zu erkennen.

Verpflichtende Felder im Zugriffsprotokoll

Jeder Eintrag im Protokoll sollte folgende Daten enthalten:

Feld Beschreibung Beispiel
Timestamp Datum und Uhrzeit der Verbindung (UTC) 2024-01-15 14:23:45 UTC
User ID Eindeutige Benutzerkennung user_12345 oder ivanov@company.com
Proxy IP IP-Adresse des verwendeten Proxys 185.123.45.67
Proxy Location Geografische Lage des Proxys DE, Frankfurt
Target URL Zielressource (Domain, ohne vollständige URL aus Datenschutzgründen) example.com
Session Duration Dauer der Sitzung 00:15:32
Data Volume Volumen der übertragenen Daten 15.3 MB
Purpose Code Zweckcode aus der Richtlinie COMP_MONITOR (Wettbewerbsmonitoring)
Status Status des Sitzungsabschlusses SUCCESS / ERROR / BLOCKED

Automatisierung der Protokollerfassung

Die meisten Proxy-Anbieter stellen APIs zur Verfügung, um Nutzungsstatistiken zu erhalten. Integrieren Sie diese Daten in Ihr SIEM-System (Security Information and Event Management) oder in ein zentrales Protokollspeicher.

Empfohlene Tools zur Erfassung und Analyse von Protokollen:

  • ELK Stack (Elasticsearch, Logstash, Kibana): Kostenlose Lösung für kleine und mittlere Unternehmen, ermöglicht die Visualisierung der Proxy-Nutzung in Echtzeit.
  • Splunk: Kommerzielle Plattform mit leistungsstarken Möglichkeiten zur Ereigniskorrelation und Anomalieerkennung.
  • Graylog: Offene Alternative zu Splunk mit einer benutzerfreundlichen Oberfläche.
  • Azure Monitor / AWS CloudWatch: Cloudlösungen für Unternehmen, die entsprechende Plattformen nutzen.

Einrichtung von Alerts (Benachrichtigungen)

Automatische Benachrichtigungen helfen, Verstöße gegen die Richtlinie oder verdächtige Aktivitäten zu erkennen:

  • Ungewöhnliches Datenvolumen: Wenn ein Mitarbeiter über 1 GB über einen Proxy in einer Sitzung übertragen hat (kann auf das Herunterladen von Datenbanken hinweisen).
  • Zugriff außerhalb der Arbeitszeiten: Nutzung von Proxys in der Nacht oder am Wochenende ohne vorherige Genehmigung.
  • Änderung der Geolokalisierung: Ein Benutzer verwendet Proxys aus 5+ verschiedenen Ländern in kurzer Zeit.
  • Zugriff auf verbotene Ressourcen: Versuch, sich mit Domains aus der schwarzen Liste des Unternehmens zu verbinden.
  • Mehrere fehlgeschlagene Versuche: Mehr als 10 fehlgeschlagene Authentifizierungsversuche innerhalb einer Stunde (mögliche Kompromittierung der Anmeldedaten).

Hinweis: Richten Sie wöchentliche automatische Berichte für die Abteilungsleiter über die Nutzung von Proxys durch ihre Mitarbeiter ein. Dies erhöht das Bewusstsein und die Disziplin.

Dokumentation des Schutzes personenbezogener Daten über Proxys

Wenn Ihre Systeme personenbezogene Daten über Proxys verarbeiten (z.B. zur Verifizierung von Benutzern, zur Überprüfung von betrügerischen Transaktionen oder zur Datensammlung), müssen Sie die Schutzmaßnahmen für diese Daten dokumentieren.

Data Processing Impact Assessment (DPIA) für Proxys

Die GDPR verlangt die Durchführung einer Datenschutz-Folgenabschätzung (DPIA) für Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen können. Die Nutzung von Proxys kann unter diese Anforderung fallen, wenn:

  • Sie sensible personenbezogene Daten verarbeiten (Gesundheit, Finanzen, Biometrie)
  • Sie Proxys in Ländern mit unzureichendem Datenschutzniveau verwenden (außerhalb der EU)
  • Sie Daten in großem Umfang verarbeiten (mehr als 10.000 betroffene Personen)

Struktur der DPIA für die Nutzung von Proxys:

  1. Beschreibung der Verarbeitung: Welche Daten über Proxys übertragen werden, zu welchen Zwecken, welche Kategorien von betroffenen Personen betroffen sind.
  2. Notwendigkeit und Verhältnismäßigkeit: Begründung, warum die Nutzung von Proxys notwendig ist und es keine weniger risikobehafteten Alternativen gibt.
  3. Risiken für betroffene Personen: Was schiefgehen könnte (Datenleck, unbefugter Zugriff, Verlust der Kontrolle über Daten).
  4. Risikominderungsmaßnahmen: Verschlüsselung, Zugangsbeschränkungen, Verträge mit dem Proxy-Anbieter, regelmäßige Audits.
  5. Beratung mit dem DPO: Wenn Sie einen Datenschutzbeauftragten haben, sollte dessen Meinung dokumentiert werden.

Vertrag mit dem Proxy-Anbieter als Datenverarbeiter

Wenn der Proxy-Anbieter technisch in der Lage ist, auf personenbezogene Daten zuzugreifen, die über seine Server übertragen werden, wird er rechtlich als "Datenverarbeiter" im Sinne der GDPR betrachtet.

Im Vertrag mit dem Anbieter sollten folgende Punkte festgelegt werden:

  • Gegenstand und Dauer der Verarbeitung: Welche Daten verarbeitet werden, über welchen Zeitraum.
  • Pflichten des Verarbeiters: Gewährleistung von Sicherheit, Vertraulichkeit, Unterstützung bei der Umsetzung der Rechte der betroffenen Personen.
  • Unterverarbeiter: Darf der Anbieter Dritte hinzuziehen, ist Ihre Zustimmung erforderlich.
  • Grenzüberschreitende Übertragung: In welchen Ländern die Proxy-Server stehen, welche Schutzmechanismen angewendet werden (Standardvertragsklauseln, Angemessenheitsentscheidung).
  • Benachrichtigung über Vorfälle: Verpflichtung des Anbieters, unverzüglich über Sicherheitsverletzungen zu informieren.
  • Audits und Inspektionen: Ihr Recht, die Einhaltung der Vertragsbedingungen durch den Anbieter zu überprüfen.

Wichtig: Viele Proxy-Anbieter arbeiten nach dem Prinzip "no-log" (speichern keine Traffic-Logs). Holen Sie sich eine schriftliche Bestätigung dieser Richtlinie und fügen Sie sie der Compliance-Dokumentation bei.

Verschlüsselung von Daten bei der Übertragung über Proxys

Dokumentieren Sie, welche Verschlüsselungsmethoden angewendet werden:

  • HTTPS-Proxys: Der gesamte Traffic zwischen Ihrem System und dem Proxy-Server wird über TLS 1.2 oder höher verschlüsselt.
  • SOCKS5 mit SSH-Tunnel: Zusätzliche Verschlüsselungsebene für besonders sensible Daten.
  • End-to-End-Verschlüsselung: Daten werden auf der Senderseite verschlüsselt und nur auf der Empfängerseite entschlüsselt, der Proxy sieht nur den verschlüsselten Traffic.

Geben Sie in der Dokumentation die Protokollversionen und Verschlüsselungsalgorithmen an (z.B.: "TLS 1.3 mit AES-256-GCM").

Vorbereitung der Dokumentation für das Audit

Wenn die Zeit für ein externes oder internes Audit gekommen ist, müssen Sie schnell ein vollständiges Dokumentationspaket bereitstellen, das die Compliance der Nutzung von Proxys bestätigt. Folgendes sollte im Voraus bereit sein:

Dokumentationspaket für das Audit

  1. Richtlinie zur Nutzung von Proxy-Servern (aktuelle Version mit Unterschrift der genehmigenden Person)
    • Änderungshistorie der Richtlinie
    • Dokumente über die Schulung der Mitarbeiter (unterzeichnete oder elektronische Bestätigungen)
  2. Inventarisierung der Proxy-Server
    • Liste aller verwendeten Proxys (IP-Adressen, geografische Standorte, Typen)
    • Informationen über Anbieter (Firmennamen, Kontaktdaten, Vertragsdetails)
    • Datum des Beginns der Nutzung jedes Proxys
  3. Zugriffsprotokolle
    • Logs der letzten 12 Monate (oder der Zeitraum, der von Ihrem Standard gefordert wird)
    • Berichte über festgestellte Anomalien und ergriffene Maßnahmen
    • Nutzungsstatistik nach Abteilungen
  4. Verträge mit Anbietern
    • Hauptvertrag über die Bereitstellung von Proxy-Diensten
    • Data Processing Agreement (DPA) für die GDPR-Compliance
    • Standardvertragsklauseln (SCC), wenn Proxys außerhalb der EU stehen
    • SLA (Service Level Agreement) mit Verfügbarkeits- und Sicherheitsgarantien
  5. DPIA (Data Protection Impact Assessment) — falls zutreffend
  6. Verfahren zum Zugangsmanagement
    • Formular für den Antrag auf Zugriff auf Proxys
    • Beispiele für genehmigte und abgelehnte Anträge
    • Verfahren zum Entzug des Zugangs bei Kündigung eines Mitarbeiters
  7. Vorfälle und deren Untersuchung
    • Register der Vorfälle im Zusammenhang mit Proxys (falls vorhanden)
    • Berichte über Untersuchungen
    • Korrekturmaßnahmen
  8. Schulung und Bewusstsein
    • Schulungsmaterialien zur sicheren Nutzung von Proxys
    • Aufzeichnungen über die Schulung der Mitarbeiter

Typische Fragen von Auditoren

Bereiten Sie sich darauf vor, folgende Fragen zu beantworten (mit Nachweisen):

  • "Wie kontrollieren Sie, dass Proxys nur für zulässige Zwecke verwendet werden?" — Zeigen Sie die Protokolle und das Überwachungsverfahren.
  • "Wie stellen Sie sicher, dass personenbezogene Daten nicht an den Proxy-Anbieter gelangen?" — Zeigen Sie das DPA, die Verschlüsselungspolitik, die Bestätigung der No-Log-Richtlinie.
  • "Wie oft überprüfen Sie die Liste der Mitarbeiter mit Zugriff auf Proxys?" — Zeigen Sie das Verfahren zur vierteljährlichen Überprüfung.
  • "Was passiert, wenn der Proxy-Anbieter den Betrieb einstellt oder kompromittiert wird?" — Zeigen Sie den Business Continuity Plan (BCP) und die Liste alternativer Anbieter.
  • "Wie stellen Sie die Compliance bei grenzüberschreitenden Datenübertragungen sicher?" — Zeigen Sie die SCC und die Analyse der Länder, in denen die Proxys stehen.

Automatisierung der Auditvorbereitung

Erstellen Sie einen "Audit-Ordner" (physisch oder elektronisch) mit den aktuellen Versionen aller Dokumente. Bestimmen Sie eine verantwortliche Person für die Aktualisierung (in der Regel Compliance-Beauftragter oder CISO).

Verwenden Sie GRC-Plattformen (Governance, Risk, Compliance) zur Automatisierung:

  • OneTrust: Verwaltung von Richtlinien, automatische Erinnerungen zur Überprüfung von Dokumenten.
  • ServiceNow GRC: Integration mit IT-Prozessen, automatisierte Erfassung von Compliance-Nachweisen.
  • Vanta / Drata: Automatisierung der Compliance für SOC 2, ISO 27001 mit kontinuierlicher Überwachung.

Aufbewahrungsfristen für Dokumente und Logs

Verschiedene Standards und Gesetze legen Mindestaufbewahrungsfristen für Dokumentationen und Protokolle fest. Die Nichteinhaltung dieser Fristen kann zu Geldstrafen oder zur Unmöglichkeit führen, die Compliance im Falle einer Untersuchung nachzuweisen.

Dokumenttyp Mindestaufbewahrungsfrist Rechtsgrundlage
Richtlinie zur Nutzung von Proxys Dauerhaft (mit Änderungsprotokoll) ISO 27001, interne Richtlinie
Zugriffsprotokolle für Proxys 12 Monate (mindestens) GDPR, ISO 27001
Zugriffsprotokolle (finanzielle Daten) 7 Jahre PCI DSS, Steuerrecht
Verträge mit Anbietern Laufzeit + 5 Jahre Zivilrecht
DPIA (Folgenabschätzung) Solange die Verarbeitung aktuell ist + 3 Jahre GDPR
Anträge auf Zugriff auf Proxys 3 Jahre Interne Prüfung
Berichte über Vorfälle 5 Jahre ISO 27001, interne Richtlinie
Zertifikate über die Schulung von Mitarbeitern Dauer der Beschäftigung + 1 Jahr Arbeitsrecht

Empfehlung: Bewahren Sie Zugriffsprotokolle für Proxys mindestens 24 Monate auf, auch wenn der Standard nur 12 Monate verlangt. Dies ermöglicht eine rückblickende Analyse und das Erkennen langfristiger Missbrauchsmuster.

Verfahren zur sicheren Löschung

Nach Ablauf der Aufbewahrungsfrist müssen Dokumente und Protokolle sicher gelöscht werden, um das Risiko eines Datenlecks veralteter Daten zu minimieren:

  • Elektronische Dokumente: Verwenden Sie sichere Löschmethoden (nicht nur "Löschen", sondern Daten mindestens 3 Mal überschreiben).
  • Papierdokumente: Zerstörung durch einen Schredder mit Geheimhaltungsgrad P-4 oder höher (nach DIN 66399).
  • Sicherheitskopien: Vergessen Sie nicht, die Daten aus allen Backups zu löschen, nicht nur aus dem Hauptspeicher.
  • Dokumentation der Löschung: Führen Sie Protokolle über die Löschung.
```