Retention Policies in M365: aufbewahren oder löschen – wer entscheidet?

Manche Daten müssen aufbewahrt werden (steuerliche Pflichten), andere müssen zwingend gelöscht werden (GDPR). Retention Policies regeln das automatisch – vorausgesetzt, sie sind richtig eingerichtet.

Retention Policies in Microsoft Purview legen fest, wie lange Inhalte in M365 gespeichert bleiben. Ohne Policies wird alles unbegrenzt aufbewahrt – was in der Regel GDPR-widrig und speicherkostentreibend ist.

Policy-Kategorien

• Retain: Inhalte dürfen nicht gelöscht werden – mindestens X Jahre aufbewahren.
• Delete: Inhalte werden nach X Jahren automatisch gelöscht.
• Retain then delete: X Jahre aufbewahren, danach löschen. Am häufigsten genutzt.

Beispiele für KMU

• E-Mail: 7 Jahre Retain then Delete (entspricht der steuerlichen Aufbewahrungspflicht).
• Teams-Chat: 2 Jahre Retain then Delete (entspricht ISO/GDPR-Richtlinien).
• SharePoint-Seiten für Kundenprojekte: 5 Jahre nach Projektabschluss.
• OneDrive ausgeschiedener Mitarbeiter: 90 Tage nach Offboarding (entspricht 30-Tage-Regel + Archiv).

Lizenz

Basis-Retention ist in Business Premium enthalten. Erweiterte Funktionen (automatisch angewendet via Machine Learning) erfordern E5. Für KMU ist die Basislizenz mehr als ausreichend.

Risiken

• Zu aggressive Delete-Policies können Legal Holds im Streitfall verhindern.
• Zu konservative Retain-Policies können zum GDPR-Problem werden (zu lange Speicherung personenbezogener Daten).
• Policies benötigen 1–7 Tage, um mandantenweit aktiv zu werden – zuerst in kleinem Umfang testen.

Siehe auch: Aufbewahrungsfristen Personalakte, GDPR-Compliance-Grundlagen.