3.7 KiB
Datenaufbewahrung, Löschung und Legal Hold
Dokumenttyp: Konzept
Geltungsbereich: Alle Kundendaten (Inhaltsdaten, Metadaten) der PORTA-Plattform
Version: 1.0
Status: Entwurf zur internen Freigabe
Owner: Datenschutzverantwortlicher / Betrieb
Letzte Aktualisierung: 02.06.2026
Deckt ab (CACC): 1, 2, 38, 72
Verweist auf: datenbank-handling.md
1. Legal Hold (#1)
Punkt #1 verlangt, dass der Kunde Inhalte (inkl. Metadaten) für rechtliche Zwecke aufbewahren und exportieren kann.
| Funktion | Status |
|---|---|
| Daten eines Mandats vollständig exportieren (JSON) | Umgesetzt (Admin-UI / Script, siehe datenbank-handling.md) |
| Gezieltes „Einfrieren" einzelner Datensätze gegen Löschung (Legal Hold) | [ZU PRÜFEN: technisch vorhanden? Sonst als Massnahme / manuelle Prozedur dokumentieren] |
| Forensischer Export in lesbarem Format | Umgesetzt (JSON) |
Manuelle Legal-Hold-Prozedur (Übergang, falls keine Funktion vorhanden): Auf Kundenanfrage wird ein vollständiger Export des betroffenen Mandats erstellt und gesichert abgelegt; betroffene Daten werden von automatischen Löschroutinen ausgenommen.
2. Aufbewahrung und Löschung pro Datenkategorie (#2)
Punkt #2 verlangt konfigurierbare Aufbewahrungsfristen pro Datenkategorie mit sicherer Löschung/Anonymisierung und Ausnahmemöglichkeit.
| Datenkategorie (DB) | Aufbewahrung | Löschung |
|---|---|---|
Chat-Konversationen (poweron_chat) |
[ZU PRÜFEN / festlegen] | [ZU PRÜFEN: automatisch?] |
Chatbot-Logs (poweron_chatbot) |
[ZU PRÜFEN] | [ZU PRÜFEN] |
RAG-Wissensdaten (poweron_knowledge) |
bis Kunde löscht | manuell |
Abrechnungsdaten (poweron_billing) |
gesetzliche Frist (CH: 10 Jahre Geschäftsbücher) | nach Frist |
Auth-/Login-Protokoll (AuthEvent) |
[ZU PRÜFEN, Vorschlag: 12 Monate] | [ZU PRÜFEN] |
Offener Punkt: Aktuell besteht keine automatische, kategorienbasierte Löschroutine. Daten bleiben, bis ein Mandat/Datensatz manuell gelöscht wird. Massnahme: Aufbewahrungsfristen je Kategorie definieren und — soweit möglich — automatisierte Löschung/Anonymisierung implementieren, mit Ausnahmemechanismus (Legal Hold).
3. Löschung bei Vertragsende (#38)
Nach Vertragsende und erfolgter Datenmigration darf PowerOn keine lesbare Kopie der Berufsgeheimnisdaten mehr besitzen.
| Schritt | Vorgehen | Status |
|---|---|---|
| Datenexport an Kunden | vollständiger JSON-Export | Umgesetzt |
| Löschung aus Produktiv-DB | Mandat und zugehörige Daten löschen | [ZU PRÜFEN: vollständige Löschroutine pro Mandat?] |
| Löschung aus Backups/Exports | Krypto-Löschung (Schlüssel vernichten) bzw. Löschung der Export-Dateien | [ZU PRÜFEN] |
| Löschung bei Subprozessoren | LLM-Provider: keine Speicherung (Zero-Retention) | [ZU PRÜFEN: vertraglich] |
| Löschbestätigung | schriftliche Bestätigung an Kunden | Neu — Vorlage erstellen |
4. Schlüssellöschung (#72)
Sichere Löschung von Verschlüsselungsschlüsseln am Ende des Lebenszyklus — siehe 04_Verschluesselung_und_Schluesselmanagement.md.
5. Datenschutz-Hinweise (aus bestehender Doku)
Aus datenbank-handling.md übernommen und verbindlich: Export-Dateien enthalten alle Kundendaten, dürfen nicht auf unsicheren Speichern abgelegt werden und sind nach Gebrauch zu löschen. Zugriff auf Export/Import nur für SysAdmins, serverseitig geloggt.
6. Stand der Umsetzung / Lücken
| Thema | Status | Massnahme |
|---|---|---|
| Kategorienbasierte Aufbewahrungsfristen | Offen | Definieren |
| Automatische Löschung/Anonymisierung | Offen | Implementieren |
| Legal-Hold-Funktion | [ZU PRÜFEN] | Funktion oder manuelle Prozedur |
| Löschbestätigung bei Vertragsende | Neu | Vorlage erstellen |