Aufbewahrung von Videokonferenzdaten: Ein Leitfaden für Rechts- und Compliance-Teams
Aufzeichnungen von Videokonferenzen, Transkripte, Chatprotokolle und Metadaten sind gleichzeitig Beweismittel, Schulungsmaterialien, geistiges Eigentum und personenbezogene Daten. Rechts- und Compliance-Abteilungen benötigen ein strukturiertes Vorgehen, um festzulegen, wie lange diese Daten aufbewahrt werden, wer darauf zugreifen darf, wann sie gelöscht werden müssen und wie mit widersprüchlichen Anforderungen verschiedener Rechtsordnungen und Vorschriften umzugehen ist. Dieser Leitfaden bietet Ihnen die notwendigen Rahmenbedingungen, Tabellen und Checklisten für den Aufbau eines rechtssicheren Aufbewahrungsprogramms.
Warum die Datenspeicherung bei Videokonferenzen wichtig ist
Organisationen stehen im Hinblick auf Besprechungsdaten unter Druck aus verschiedenen Richtungen:
- Regulatorische Vorgaben erfordern die Aufbewahrung für bestimmte Zeiträume (SEC Rule 17a-4, MiFID II Article 16, HIPAA).
- Datenschutzbestimmungen schreiben die Löschung von Daten vor, sobald diese nicht mehr benötigt werden (Grundsatz der Speicherbegrenzung gemäß Artikel 5 Absatz 1 Buchstabe e DSGVO).
- Für die Aufbewahrung von Beweismitteln im Rahmen von Rechtsstreitigkeiten gelten Aufbewahrungspflichten, die den normalen Löschfristen vorgehen.
- Betriebliche Erfordernisse führen zu Anfragen nach der Speicherung von Daten für Schulungszwecke, Qualitätssicherung und Wissensmanagement.
Artikel 5 Absatz 1 Buchstabe e DSGVO – Speicherbegrenzung: „Personenbezogene Daten dürfen nur so lange in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht, wie es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist.“ Daraus ergibt sich eine rechtliche Verpflichtung zur Festlegung und Durchsetzung von Aufbewahrungsfristen.
Definieren Sie, was Sie behalten
Nicht alle Besprechungsdaten sind gleichwertig. Erfassen Sie jeden Datentyp und ordnen Sie ihn den entsprechenden Aufbewahrungsregeln zu:
Vorlage für einen Aufbewahrungsplan nach Datentyp
| Datentyp | Beschreibung | Gemeinsamer regulatorischer Auslöser | Empfohlene Standardaufbewahrungsdauer | Anmerkungen |
|---|---|---|---|---|
| Besprechungsmetadaten | Teilnehmerliste, Ein- und Austrittszeiten, Dauer, Titel der Besprechung | DSGVO-, HIPAA- und SOC-2-Auditanforderungen | 1–3 Jahre | Niedrige Speicherkosten; nützlich für die Konformitätsprüfung |
| Chat-Nachrichten | Text-Chat während des Meetings | DSGVO, SEC 17a-4, FINRA 4511 | 3–7 Jahre (reguliert) / 1 Jahr (allgemein) | Kann personenbezogene Daten oder geschäftskritische Informationen enthalten |
| Videoaufnahmen | Vollständige Audio-/Videoaufzeichnung des Treffens | § 17a-4, MiFID II Art. 16, HIPAA, staatliche Aufzeichnungsgesetze | 3–7 Jahre (reguliert) / 90 Tage (allgemein) | Höchste Speicherkosten; größte Auswirkungen auf die Privatsphäre |
| Nur-Audio-Aufnahmen | Sprachaufzeichnung ohne Video | Dasselbe wie bei Videoaufnahmen | 3–7 Jahre (reguliert) / 90 Tage (allgemein) | Geringere Speicherkosten; gleiche rechtliche Behandlung wie Video |
| Transkripte | Texttranskription des gesprochenen Inhalts | DSGVO (personenbezogene Daten), SEC/FINRA, HIPAA | Gleiches gilt für die entsprechende Aufnahme. | Werden als personenbezogene Daten behandelt; durchsuchbar – höheres Entdeckungsrisiko |
| KI-Zusammenfassungen | KI-generierte Besprechungszusammenfassungen | DSGVO (automatisierte Verarbeitung), HIPAA (ePHI) | Dasselbe wie die entsprechende Aufnahme oder kürzer | Kann implizite Informationen enthalten; rechtliche Grundlage dokumentieren |
| Freigegebene Dateien / Bildschirmaufnahmen | Während des Treffens ausgetauschte Dokumente | DSGVO, Richtlinien zum geistigen Eigentum | Im Einklang mit der Dokumentenmanagementrichtlinie | Möglicherweise werden Dokumente, die an anderer Stelle gespeichert sind, dupliziert. |
| Audit-Protokolle | Systemgenerierte Ereignisprotokolle | SOC 2, ISO 27001, HIPAA, DSGVO Art. 5(2) | 3–7 Jahre | Unerlässlich für den Nachweis der Einhaltung der Vorschriften; geringer Anteil personenbezogener Daten |
Branchenspezifische Anforderungen an die Mitarbeiterbindung
| Sektor | Primärverordnung | Mindestaufbewahrungsdauer | Hauptanforderung |
|---|---|---|---|
| Finanzdienstleistungen (USA) | SEC-Regel 17a-4; FINRA-Regel 4511 | 3–6 Jahre | Geschäftskorrespondenz muss in den ersten 2 Jahren in einem nicht überschreibbaren, nicht löschbaren Format aufbewahrt werden. |
| Finanzdienstleistungen (EU) | MiFID II Artikel 16(7) | 5–7 Jahre | Auftragsbezogene Kommunikation muss aufgezeichnet und aufbewahrt werden; sie ist den Aufsichtsbehörden auf Anfrage zur Verfügung zu stellen. |
| Finanzdienstleistungen (UK) | FCA COBS 11.8 | 5 Jahre | Die Kommunikation im Zusammenhang mit Kundenaufträgen muss aufbewahrt und abrufbar sein. |
| Gesundheitswesen (USA) | HIPAA (45 CFR § 164.530(j)) | 6 Jahre | Richtlinien und Dokumente zur Einhaltung der HIPAA-Bestimmungen müssen 6 Jahre lang aufbewahrt werden; die jeweiligen Landesgesetze zur medizinischen Dokumentation können längere Aufbewahrungsfristen vorschreiben. |
| Gesundheitswesen (EU) | DSGVO + nationale Gesundheitsgesetze | Variiert je nach Mitgliedstaat | Der Grundsatz der Speicherbegrenzung findet Anwendung; nationale Gesetze können Aufbewahrungsfristen für Krankenakten festlegen. |
| Recht | Regeln der Anwaltskammer; Verpflichtungen zur Beweissicherung | Dauer des Verfahrens + Nachbearbeitungszeitraum | Vertrauliche Unterlagen müssen geschützt werden; Aufbewahrungspflichten im Rahmen von Rechtsstreitigkeiten haben Vorrang vor Löschfristen. |
| Regierung (USA) | Bundesarchivgesetz; NARA-Listen | Variiert je nach Datensatztyp | Bundesbehörden müssen die von der NARA genehmigten Aufbewahrungsfristen einhalten. |
| Bildung (USA) | FERPA (20 USC § 1232g) | Solange Aufzeichnungen geführt werden | Schülerdaten müssen geschützt werden; die Aufbewahrung erfolgt gemäß den institutionellen Richtlinien. |
| Allgemeine Handelsbeziehungen (EU) | Artikel 5(1)(e) der DSGVO | Nicht länger als nötig | Aufbewahrungsfrist muss begründet werden; Löschung nach Erfüllung des Zwecks |
Erstellung einer Aufbewahrungsrichtlinie
Schritt 1: Inventardatentypen
Erfassen Sie alle Datentypen, die Ihre Videoplattform generiert oder speichert. Dazu gehören Metadaten, Chatverläufe, Aufnahmen (Video und Audio), Transkripte, KI-Ergebnisse, freigegebene Dateien und Systemprotokolle.
Schritt 2: Zuordnung zu Vorschriften und Verpflichtungen
Ermitteln Sie für jeden Datentyp alle anwendbaren Vorschriften, vertraglichen Verpflichtungen und Aufbewahrungspflichten im Rahmen von Rechtsstreitigkeiten. Wenn mehrere Vorschriften gelten, verwenden Sie die längste vorgeschriebene Aufbewahrungsfrist als Mindestfrist und stellen Sie sicher, dass diese nicht mit den datenschutzrechtlichen Höchstfristen kollidiert.
Schritt 3: Aufbewahrungsstufen definieren
Erstellen Sie Aufbewahrungsstufen, die auf Ihre Meeting-Typen abgestimmt sind. DigitalMeet unterstützt Aufbewahrungsrichtlinien pro Meeting-Typ, sodass Sie unterschiedliche Zeitpläne für Kundengespräche (lange Aufbewahrung), interne Meetings (kurze Aufbewahrung) und aufgezeichnete Schulungssitzungen (mittlere Aufbewahrung) anwenden können.
Schritt 4: Umsetzung der Verfahren zur rechtlichen Aufbewahrung
Rechtliche Aufbewahrungspflichten müssen die automatische Löschung außer Kraft setzen, wenn ein Rechtsstreit, eine behördliche Untersuchung oder eine Prüfung zu erwarten ist oder bereits läuft. Definieren Sie, wer Aufbewahrungspflichten einleiten und aufheben kann, wie diese kommuniziert werden und wie sie mit der automatisierten Aufbewahrung interagieren. Die Funktion „Rechtliche Aufbewahrungspflicht“ von DigitalMeet verhindert die automatische Löschung bestimmter Meetings und der zugehörigen Daten.
Schritt 5: Automatisieren und Testen
Manuelle Löschungen in großem Umfang sind fehleranfällig. Konfigurieren Sie automatisierte Aufbewahrungsrichtlinien in Ihrer Videoplattform und testen Sie diese in einer Testumgebung. Stellen Sie sicher, dass:
- Daten werden planmäßig gelöscht, wenn keine Sperre aktiv ist.
- Rechtliche Sperren verhindern erwartungsgemäß die Löschung.
- In den Audit-Protokollen werden alle Lösch- und Exportvorgänge erfasst.
- Anträge betroffener Personen auf Löschung werden innerhalb der vorgegebenen Fristen bearbeitet.
Löschung und Anfragen betroffener Personen
Gemäß DSGVO und ähnlichen Datenschutzgesetzen haben Betroffene das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen (Artikel 17). Ihre Aufbewahrungsrichtlinie muss Folgendes berücksichtigen:
- Automatische Löschung nach Ablauf der Aufbewahrungsfristen, es sei denn, eine gesetzliche Aufbewahrungspflicht oder behördliche Auflage hat Vorrang.
- Einzelne Löschungsanträge werden innerhalb der gesetzlichen Frist (1 Monat gemäß DSGVO) bearbeitet.
- Teillöschung, sofern technisch möglich – beispielsweise das Entfernen eines Teilnehmers aus einer Aufnahme unter Beibehaltung des Restes.
- Prüfdokumentation aller Löschvorgänge zur Überprüfung der Einhaltung der Vorschriften
DigitalMeet unterstützt Export- und Löschvorgänge mit vollständiger Protokollierung. Bei grenzüberschreitenden Angelegenheiten ist die strengste anwendbare Regel zu beachten. Spezielle Hinweise zur DSGVO finden Sie unter DSGVO-Konformität für Videokonferenzen .
Betriebscheckliste
- ☐ Schriftlicher Aufbewahrungsplan, der an Besprechungskategorien und Datentypen gekoppelt ist
- ☐ Aufbewahrungsfristen gemäß allen geltenden Vorschriften und Verträgen
- ☐ Rechtliche Aufbewahrungsverfahren mit klaren Eskalationswegen dokumentiert
- ☐ Automatisierte Aufbewahrungsrichtlinien konfiguriert und in der Staging-Umgebung getestet
- ☐ Verfahren für Anfragen betroffener Personen, definiert mit SLA-Zielen
- ☐ Der/Die Inhaber/in ist für Aktualisierungen der Richtlinien und die jährliche Überprüfung zuständig.
- ☐ Mitarbeiterschulung zu Einwilligungsdokumentation, Aufbewahrungskriterien und Sperrverfahren
- ☐ Es wurde ein Prüfprozess für das Audit-Protokoll eingerichtet, der Lösch- und Exportereignisse berücksichtigt.
- ☐ Grenzüberschreitende Beibehaltungskonflikte dokumentiert mit Lösungsansatz
- ☐ Jährliche Überprüfung der Aufbewahrungsrichtlinie mit den zuständigen Mitarbeitern aus den Bereichen Recht, Compliance und IT.
Häufig gestellte Fragen
Wie lange sollten wir die Aufzeichnungen der Besprechungen aufbewahren?
Es gibt keine allgemeingültige Antwort. Die Aufbewahrungsfrist sollte sich nach der längsten geltenden gesetzlichen Vorgabe, vertraglichen Verpflichtung oder Aufbewahrungspflicht im Rahmen eines Rechtsstreits richten – abgewogen gegen den Grundsatz der Speicherbegrenzung gemäß DSGVO. Nutzen Sie die obige branchenspezifische Tabelle als Ausgangspunkt.
Werden Transkripte hinsichtlich der Aufbewahrungsdauer genauso behandelt wie Aufnahmen?
Im Allgemeinen ja. Transkripte enthalten personenbezogene Daten und unterliegen oft denselben Vorschriften wie die Aufnahmen, von denen sie stammen. Da sie durchsuchbar sind, bergen sie auch ein höheres Risiko der Offenlegung.
Kann DigitalMeet die Aufbewahrung automatisch erzwingen?
Ja. Konfigurieren Sie in der Administrationskonsole Aufbewahrungsrichtlinien pro Meeting-Typ. Die automatische Löschung erfolgt planmäßig, sofern keine rechtliche Aufbewahrungspflicht besteht. Testen Sie die Richtlinien in einer Testumgebung, bevor Sie sie in der Produktionsumgebung einsetzen.
Wie gehen wir mit widersprüchlichen Aufbewahrungsvorschriften um?
Wenn eine gesetzliche Vorgabe die Aufbewahrung von Daten vorschreibt (z. B. SEC 17a-4, 6 Jahre) und ein Datenschutzgesetz die Löschung vorschreibt (z. B. Speicherbegrenzung gemäß DSGVO), hat die gesetzliche Vorgabe in der Regel Vorrang hinsichtlich der Aufbewahrungsfrist. Dokumentieren Sie den Konflikt und Ihre Lösung in Ihren Datenschutzunterlagen. Ausführliche Hinweise finden Sie unter „Sichere Videokonferenzen für Finanzdienstleistungen“ .
Was ist eine rechtliche Sperre und wann wird sie angewendet?
Eine Anordnung zur Aufbewahrung von Beweismitteln (auch als Beweissicherung im Rechtsstreit bezeichnet) ist eine Anweisung zur Sicherung relevanter Daten, wenn mit hinreichender Wahrscheinlichkeit ein Rechtsstreit, eine behördliche Untersuchung oder eine Prüfung stattfindet. Sie hat Vorrang vor den üblichen Aufbewahrungs- und Löschfristen. Die Nichtbeachtung einer solchen Anordnung kann Sanktionen wegen Beweismittelvernichtung nach sich ziehen.
Wie gehen wir mit Anträgen betroffener Personen auf Löschung ihrer Daten während einer gerichtlichen Aufbewahrungspflicht um?
Rechtliche Aufbewahrungspflichten haben im Allgemeinen Vorrang vor Löschanträgen während der Dauer der Aufbewahrungspflicht. Dokumentieren Sie den Konflikt, informieren Sie die betroffene Person darüber, dass ihr Antrag aufgrund einer rechtlichen Verpflichtung vorübergehend ausgesetzt ist, und veranlassen Sie die Löschung, sobald die Aufbewahrungspflicht aufgehoben wird.
Unterstützt DigitalMeet unterschiedliche Aufbewahrungsrichtlinien für verschiedene Meeting-Typen?
Ja. Die Aufbewahrung nach Besprechungsart ist eine Kernfunktion. Konfigurieren Sie unterschiedliche Aufbewahrungsfristen für Kundengespräche, interne Besprechungen, Schulungen und andere Besprechungskategorien.
Wie sollten wir KI-generierte Zusammenfassungen in unserer Aufbewahrungsrichtlinie behandeln?
KI-Zusammenfassungen werden aus Aufzeichnungen erstellt und können personenbezogene Daten oder abgeleitete Informationen enthalten. Die Aufbewahrungsfrist ist dieselbe oder kürzer als die der Originalaufzeichnung. Die Rechtsgrundlage für die KI-Verarbeitung ist zu dokumentieren. Spezielle Hinweise zu KI im Gesundheitswesen finden Sie unter „HIPAA-konforme Videokonferenzen“ .