Retention Schedule - Definition
Ein Retention Schedule (deutsch: Aufbewahrungsplan bzw. Aufbewahrungsfristenplan) ist eine formale Übersicht über Aufbewahrungsfristen sowie Regeln zur Löschung oder Archivierung definierter Informationskategorien. Im Kontext der Verarbeitung personenbezogener Daten sowie von Video- und Bildmaterial dient er als Nachweis für die Einhaltung des Grundsatzes der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO sowie des Grundsatzes der Datenminimierung. Die Definition ist in etablierten Standards des Dokumenten- und Informationsmanagements verankert, unter anderem in ISO 15489‑1:2016 sowie in der datenschutzbezogenen Erweiterung ISO/IEC 27701:2019. Diese Normen unterstützen die Dokumentation von Retentionskriterien, verantwortlichen Stellen und Durchsetzungsmechanismen.
Im Zusammenhang mit der Anonymisierung von Fotos und Videoaufzeichnungen beschreibt ein Retention Schedule den Lebenszyklus von Quelldateien, anonymisierten Versionen (z. B. nach dem Verpixeln von Gesichtern und Kfz-Kennzeichen), technischen Metadaten, Zwischendateien sowie Verarbeitungsprotokollen. Er legt fest, wann Rohmaterial unwiderruflich zu löschen ist, unter welchen Bedingungen anonymisierte Versionen länger gespeichert werden dürfen und wie die Irreversibilität der Anonymisierung nachgewiesen wird. Die Leitlinien des EDPB 3/2019 zu Videoverarbeitungssystemen verknüpfen die Aufbewahrung strikt mit dem Verarbeitungszweck und dem Prinzip der zeitlichen Begrenzung, ohne pauschale Fristen vorzugeben - die konkrete Dauer muss aus einer Zweck- und Rechtsgrundlagenanalyse abgeleitet werden.
Rolle bei der Anonymisierung von Bildern und Videos
In der Praxis implementieren Datenschutzbeauftragte (DSB) und IT‑Sicherheitsteams den Retention Schedule als festen Bestandteil der Verarbeitungskette. Diese umfasst die Erfassung des Materials, den Transfer in eine On‑Premise‑Umgebung, die Erkennung und Verpixelung von Gesichtern oder Kennzeichen mithilfe von Deep‑Learning‑Modellen, Qualitätsprüfungen, den Export sowie die anschließende Löschung. Werden dedizierte KI‑Modelle zur Gesichts‑ oder Kennzeichenerkennung trainiert, muss der Retention Schedule auch Trainings‑ und Validierungsdatensätze abdecken, einschließlich Regelungen zu deren Erhebung, Speicherung und sicheren Vernichtung nach Abschluss des Trainings.
Bei Anonymisierungstools in On‑Premise‑Umgebungen unterscheidet der Aufbewahrungsplan klar zwischen Ausgangsmaterial und dem Ergebnis mit angewendetem Blur. In vielen Anwendungsfällen darf die anonymisierte Version länger gespeichert werden, sofern der Prozess die Anonymisierungskriterien aus der Stellungnahme der Artikel‑29‑Gruppe WP216 erfüllt und das Risiko einer Re‑Identifizierung bewertet und minimiert wurde.
Technologien und Umsetzung der Retention
Die Implementierung von Retentionsregeln in der Bild‑ und Videoverarbeitung erfordert konsistente technische Mechanismen. Neben Richtlinien und Verzeichnissen von Verarbeitungstätigkeiten sind automatisierte Durchsetzungsmechanismen sowie eine sichere Datenvernichtung nach Fristablauf entscheidend. Typische Komponenten in On‑Premise‑Umgebungen sind:
- Speicherebene: WORM‑Partitionen, Lifecycle‑Policies in S3‑kompatiblen Objektspeichern, unterschiedliche Storage‑Klassen für Rohmaterial und anonymisierte Daten.
- Datenbanken und Metadaten: TTL‑Felder, Cron‑Jobs zur Rekonsolidierung, irreversible Hashes als Integritätsnachweis.
- Löschung und Sanitization: Kryptografisches Löschen, Überschreiben nach NIST SP 800‑88 Rev. 1, revisionssichere Audit‑Logs mit Fall‑ID.
- Orchestrierung: Workflows, die Verarbeitungszweck, Löschfrist, Ausnahmestatus und rechtliche Sperren (Legal Holds) miteinander verknüpfen.
Bei Tools zur Verpixelung von Gesichtern und Kfz‑Kennzeichen ist zu berücksichtigen, dass die automatische Erkennung in der Regel nur diese beiden Objektklassen umfasst. Andere Bildelemente können eine manuelle Markierung erfordern und damit einen separaten Retentionszyklus für Arbeitsdateien und Editiermasken nach sich ziehen. Der Verzicht auf Echtzeitverarbeitung vereinfacht die Durchsetzung der Aufbewahrung, da alle Schritte batchweise erfolgen und vollständig im administrativen Umfeld protokolliert werden.
Zentrale Parameter und Kennzahlen der Retention
Damit ein Retention Schedule messbar und auditierbar ist, sollten klar definierte, technisch überprüfbare Parameter festgelegt werden. Die folgende Tabelle zeigt typische Attribute und deren Verifikation.
Attribut | Beschreibung | Verifikation
|
|---|---|---|
Datenkategorie | Rohvideo, Zwischenframes, anonymisiertes Ergebnis, Metadaten, Logs | Verzeichnis der Verarbeitungstätigkeiten, Ordnerstruktur |
Rechtsgrundlage | Begründung von Zweck und Aufbewahrungsdauer | DPIA, Datenschutzhinweise |
Aufbewahrungsfrist | Frist je Kategorie und Zweck | Retention‑Policy verknüpft mit ROPA |
Purge Latency | Zeitspanne zwischen Fristablauf und endgültiger Löschung | Metriken aus Lösch‑Jobs |
Datenträgersanitization | Methode der Datenvernichtung nach Ablauf | Verfahren gemäß NIST SP 800‑88 |
Ausnahmen | Legal Hold, Incident‑Untersuchungen | Ausnahmeregister mit Rechtsgrundlage |
Lösch‑Nachweis | Reports und Prüfsummen | Audit‑Logs, Zeitstempel |
Die Abschätzung des Speicherbedarfs lässt sich auf ein einfaches Modell stützen. Wesentliche Variablen sind unter anderem Datenzufluss und Aufbewahrungsdauer.
geschätzte_Kapazität = (Datenrate_MB_pro_Tag × Retentionsdauer_in_Tagen × Replikationsfaktor) ÷ Kompressionsfaktor
Diese Parameter helfen, Storage‑Klassen und Schwellen für automatische Archivierung oder Löschung zu definieren, ohne willkürliche Fristen festzulegen.
Rechtliche Herausforderungen und Einschränkungen
In der Europäischen Union existiert keine einheitliche, starre Aufbewahrungsfrist für Videoaufzeichnungen. Die DSGVO verlangt, dass die Speicherdauer auf das für den Zweck notwendige Minimum begrenzt ist. Der EDPB betont in seinen Leitlinien 3/2019 zur Videoverarbeitung, dass Retention stets begründet und risikoadäquat sein muss. Sektorspezifische Vorschriften können jedoch strengere Grenzen setzen. In Polen schreibt das Arbeitsgesetzbuch vor, dass Videoaufzeichnungen aus der Mitarbeiterüberwachung grundsätzlich nicht länger als drei Monate gespeichert werden dürfen, es sei denn, sie dienen als Beweismittel in einem Verfahren - in diesem Fall verlängert sich die Frist bis zum rechtskräftigen Abschluss des Verfahrens (Art. 222 § 3).
Der Status von Kfz‑Kennzeichen als personenbezogene Daten wird national unterschiedlich bewertet. Aufsichtsbehörden und Rechtsprechung tendieren dazu, Kennzeichen als personenbezogen einzustufen, sofern eine realistische Zuordnung zu einer Person möglich ist. Ein Retention Schedule sollte diese Unsicherheit berücksichtigen und einen vorsichtigen, im Rahmen einer DPIA dokumentierten Ansatz verfolgen, insbesondere bei Aufnahmen im öffentlichen Raum.
Anwendungsbeispiele aus der Praxis des Datenschutzbeauftragten
Vor der Einführung konkreter Retentionsregeln empfiehlt sich eine Analyse der Datenflüsse und Risiken. Die folgenden Szenarien zeigen typische Entscheidungen in Projekten zur Bild‑ und Videoanonymisierung.
- Betriebliche Videoüberwachung: Rohmaterial dient der Gefahrenabwehr und unterliegt den sektoralen Fristen des Arbeitsrechts. Anonymisierte Versionen, etwa für Schulungen oder die Weitergabe an Dienstleister, können länger gespeichert werden, sofern die Verpixelung eine Identifizierung ausschließt und keine zumutbaren Re‑Identifikationsmittel bestehen.
- Beweisprojekte: Wird ein Videosegment als Beweismittel benötigt, aktiviert der Retention Schedule einen Ausnahmefall mit Löschsperre bis zum Abschluss des Verfahrens. Für die Weitergabe an Dritte wird eine anonymisierte Fassung verwendet, deren Löschfrist vertraglich festgelegt ist.
- Training von Erkennungsmodellen: Trainingsdatensätze mit Bildnissen erfordern klare Retentionsfristen und eine dokumentierte Rechtsgrundlage. Nach Abschluss des Trainings werden die Daten gemäß NIST SP 800‑88 gelöscht; erhalten bleiben lediglich die Modellgewichte, die in der Regel keine personenbezogenen Daten darstellen.
- On‑Premise‑Betrieb: Der Aufbewahrungsplan unterscheidet Eingabematerial, Zwischendateien aus manueller Bearbeitung und das Endergebnis. Das Tool speichert keine Detektionsprotokolle mit personenbezogenen Daten, wodurch der Retentionsumfang auf Anwendungsebene reduziert wird. Die vollständige Kontrolle über Löschvorgänge liegt beim Verantwortlichen.
Normative Referenzen und Quellen
- DSGVO - Art. 5 Abs. 1 lit. e, Grundsatz der Speicherbegrenzung. EUR‑Lex, 2016, https://eur-lex.europa.eu/eli/reg/2016/679/oj.
- EDPB, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, angenommen am 29.01.2020, Link.
- ISO 15489‑1:2016, Information and documentation - Records management - Part 1: Concepts and principles, ISO, 2016, https://www.iso.org/standard/62542.html.
- ISO/IEC 27701:2019, Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management, ISO/IEC, 2019, https://www.iso.org/standard/71670.html.
- NIST SP 800‑88 Rev. 1, Guidelines for Media Sanitization, Dezember 2014, https://csrc.nist.gov/publications/detail/sp/800-88/rev-1/final.
- Polnisches Arbeitsgesetzbuch, Art. 222 § 3 - Aufbewahrung von Videoüberwachungsaufzeichnungen des Arbeitgebers, konsolidierte Fassung: GBl. 2023 Pos. 1465, ISAP.
Artikel‑29‑Datenschutzgruppe, Stellungnahme 05/2014 zu Anonymisierungstechniken (WP216), 10.04.2014, Link.