# Datenaufbewahrung, Löschung und Legal Hold

**Dokumenttyp:** Konzept
**Geltungsbereich:** Alle Kundendaten (Inhaltsdaten, Metadaten) der PORTA-Plattform
**Version:** 1.0
**Status:** Entwurf zur internen Freigabe
**Owner:** Datenschutzverantwortlicher / Betrieb
**Letzte Aktualisierung:** 02.06.2026
**Deckt ab (CACC):** 1, 2, 38, 72
**Verweist auf:** `datenbank-handling.md`

---

## 1. Legal Hold (#1)

Punkt #1 verlangt, dass der Kunde Inhalte (inkl. Metadaten) für rechtliche Zwecke aufbewahren und exportieren kann.

| Funktion | Status |
|---|---|
| Daten eines Mandats vollständig exportieren (JSON) | Umgesetzt (Admin-UI / Script, siehe `datenbank-handling.md`) |
| Gezieltes „Einfrieren" einzelner Datensätze gegen Löschung (Legal Hold) | **[ZU PRÜFEN: technisch vorhanden? Sonst als Massnahme / manuelle Prozedur dokumentieren]** |
| Forensischer Export in lesbarem Format | Umgesetzt (JSON) |

**Manuelle Legal-Hold-Prozedur (Übergang, falls keine Funktion vorhanden):** Auf Kundenanfrage wird ein vollständiger Export des betroffenen Mandats erstellt und gesichert abgelegt; betroffene Daten werden von automatischen Löschroutinen ausgenommen.

## 2. Aufbewahrung und Löschung pro Datenkategorie (#2)

Punkt #2 verlangt konfigurierbare Aufbewahrungsfristen pro Datenkategorie mit sicherer Löschung/Anonymisierung und Ausnahmemöglichkeit.

| Datenkategorie (DB) | Aufbewahrung | Löschung |
|---|---|---|
| Chat-Konversationen (`poweron_chat`) | [ZU PRÜFEN / festlegen] | [ZU PRÜFEN: automatisch?] |
| Chatbot-Logs (`poweron_chatbot`) | [ZU PRÜFEN] | [ZU PRÜFEN] |
| RAG-Wissensdaten (`poweron_knowledge`) | bis Kunde löscht | manuell |
| Abrechnungsdaten (`poweron_billing`) | gesetzliche Frist (CH: 10 Jahre Geschäftsbücher) | nach Frist |
| Auth-/Login-Protokoll (`AuthEvent`) | [ZU PRÜFEN, Vorschlag: 12 Monate] | [ZU PRÜFEN] |

> **Offener Punkt:** Aktuell besteht **keine automatische, kategorienbasierte Löschroutine**. Daten bleiben, bis ein Mandat/Datensatz manuell gelöscht wird. **Massnahme:** Aufbewahrungsfristen je Kategorie definieren und — soweit möglich — automatisierte Löschung/Anonymisierung implementieren, mit Ausnahmemechanismus (Legal Hold).

## 3. Löschung bei Vertragsende (#38)

Nach Vertragsende und erfolgter Datenmigration darf PowerOn keine lesbare Kopie der Berufsgeheimnisdaten mehr besitzen.

| Schritt | Vorgehen | Status |
|---|---|---|
| Datenexport an Kunden | vollständiger JSON-Export | Umgesetzt |
| Löschung aus Produktiv-DB | Mandat und zugehörige Daten löschen | [ZU PRÜFEN: vollständige Löschroutine pro Mandat?] |
| Löschung aus Backups/Exports | Krypto-Löschung (Schlüssel vernichten) bzw. Löschung der Export-Dateien | [ZU PRÜFEN] |
| Löschung bei Subprozessoren | LLM-Provider: keine Speicherung (Zero-Retention) | [ZU PRÜFEN: vertraglich] |
| Löschbestätigung | schriftliche Bestätigung an Kunden | Neu — Vorlage erstellen |

## 4. Schlüssellöschung (#72)

Sichere Löschung von Verschlüsselungsschlüsseln am Ende des Lebenszyklus — siehe `04_Verschluesselung_und_Schluesselmanagement.md`.

## 5. Datenschutz-Hinweise (aus bestehender Doku)

Aus `datenbank-handling.md` übernommen und verbindlich: Export-Dateien enthalten alle Kundendaten, dürfen nicht auf unsicheren Speichern abgelegt werden und sind nach Gebrauch zu löschen. Zugriff auf Export/Import nur für SysAdmins, serverseitig geloggt.

## 6. Stand der Umsetzung / Lücken

| Thema | Status | Massnahme |
|---|---|---|
| Kategorienbasierte Aufbewahrungsfristen | Offen | Definieren |
| Automatische Löschung/Anonymisierung | Offen | Implementieren |
| Legal-Hold-Funktion | [ZU PRÜFEN] | Funktion oder manuelle Prozedur |
| Löschbestätigung bei Vertragsende | Neu | Vorlage erstellen |