# Retention- und Loesch-Runbook fuer bestandsuebersicht-acdp.faust-web.de

Retention-/Deletion-Readiness 58/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.

> Automatisch aus öffentlicher Website-Evidenz und SaferPage-Artefakten abgeleitete Retention-/Deletion-Readiness. Interne Systeme, Backups, gesetzliche Aufbewahrung und tatsächliche Löschläufe muss der Betreiber fachlich ergänzen.

## Retention Schedule
- **Cookies, LocalStorage und SessionStorage**: Session bis 13 Monate je Zweck prüfen; Trigger: Ablauf, Widerruf, Zweckende, technische Bereinigung; Owner: Marketing/IT
- **Kontakt-, Newsletter- und Formularangaben**: Zweckende plus notwendige Nachweis-/Verjährungsfrist; Trigger: Anfrage erledigt, Abmeldung, Zweckende, Löschanfrage; Owner: Fachbereich/Datenschutz
- **Drittanbieter-, Tracking- und Supportdaten**: Nach Anbieterzweck, AVV/DPA und Transferprüfung; Trigger: Vendor-Offboarding, Zweckende, DSAR-Löschung, Vertragsende; Owner: Vendor Owner/Legal
- **Security-, Consent- und Audit-Nachweise**: Nachweispflicht und Sicherheitsbedarf fachlich festlegen; Trigger: Fristablauf, Zweckende, Archivierung oder Rechtsgrund entfällt; Owner: Compliance/IT

## Loeschworkflow
- [ ] Identifizieren (Tag 0-3, Datenschutz/Support): Datenart, Zweck, Systeme, Anbieter und Rechtsgrundlage bestimmen.
- [ ] Legal Hold & Aufbewahrung (Tag 3-7, Legal/Fachbereich): Gesetzliche Aufbewahrung, Verjährung, Betrugsprävention und Sperrung statt Löschung prüfen.
- [ ] Löschung / Sperrung (Tag 7-21, IT/Vendor Owner): System- und Vendor-Aufgaben ausführen, Backups/Archive nach Retention-Regel behandeln.
- [ ] Nachweis & Antwort (bis Tag 30, Datenschutz/Compliance): Negativsuche, Ausnahmen und Abschlussantwort dokumentieren.

## Nachweise
- Retention Matrix (vorbereitet): Datenkategorie, Zweck, Rechtsgrundlage, Speicherfrist, Löschtrigger, Owner.
- Deletion Log (Betreiber-Nachweis): Ticket, Suchlauf, Lösch-/Sperraktion, Ausnahmen, Vendor-Antworten, Abschluss.
- Vendor-Löschbestätigung (nicht einschlägig): AVV/DPA-Klausel, Löschbestätigung, Subprozessor-Rückmeldung, Backup-Frist.
- Backup-/Archiv-Regel (Betreiber-Nachweis): Backup-Retention, Restore-Sperre, Legal Hold, endgültige Löschung nach Fristablauf.