Nutzen durch eine erprobte Vorgehensweise für Löschprojekte
Diese Seite beschreibt, auf welchen Ebenen die Vorgehensweise der DIN 66398 Vorteile für ein Löschprojekt erschließt. Die Einführung in den »Nutzens eines Löschkonzepts und der Anwendung der DIN 66398« gibt einen Überblick über die Themen der Rubrik.
Wie vorgehen in Löschprojekten?
In einem Löschprojekt soll die Organisation in die Lage versetzt werden, ihre personenbezogenen Daten datenschutzgerecht zu löschen. Die Beteiligten stehen zu Beginn des Projekts vor großen Datenbergen und haben oft keine Vorstellung davon, wie sie das Projekt angehen sollen.
Räder müssen nicht neu erfunden werden!
An dieser Stelle hilft die DIN 66398 »Leitlinie Löschkonzept«. Die in der Norm empfohlene Vorgehensweise wurde aus einem Industrieprojekt abgeleitet. Mit den Erfahrungen, die in der Norm verarbeitet wurden, werden Projekte klar strukturiert und beschleunigt.
Handhabbare Arbeitspakete
Die vielleicht wichtigste Leistung der Vorgehensweise nach DIN 66398 ist, dass die gewaltige Herausforderung eines Löschkonzepts in handhabbare Arbeitspakete zerlegt wird. Sie setzt an bei der Trennung zwischen den fachlichen Aufgaben der Definition von Datenarten und Löschregeln einerseits und den Teilprojekten für die Umsetzung andererseits. Diese Zerlegung ist der Ausgangspunkt für die Projektplanung und Steuerung.
Dokumentationsstruktur (siehe unten) und Löschklassen tragen vielfach dazu bei, dass ein Löschkonzept für eine Organisation erst greif- und umsetzbar wird.
Gemeinsame Sprachebene, einheitliches Vorgehen
In einem Löschprojekt sind viele Stakeholder und Experten beteiligt, insbesondere
- die Leitung der Organisation, die das Projekt wollen, finanzieren und unterstützen muss,
- Mitarbeiter aus Fachabteilungen, in deren Prozesse die personenbezogenen Daten verwendet werden,
- Vertreter des Betriebsrats, weil Daten der Beschäftigten betroffen sind,
- die Projektleitung und das Projektteam, das das Projekt steuert und einiges an Arbeit erledigt,
- der Datenschutzbeauftragte, der die Begründung der Löschregeln kritisch prüfen muss,
- die IT, die Informationen zu Datenbeständen einbringt und in der Regel die technischen Löschläufe ausführt,
- interne oder externe Anbieter von Anwendungssystemen und/oder Entwickler, die Löschmechanismen bereitstellen oder implementieren sollen,
- Dienstleister, die im Rahmen ihrer Leistungen auch für die Löschung sorgen müssen.
In einem Projekt mit vielen Beteiligten aus unterschiedlichen Bereichen ist eine gemeinsame Sprache wichtig. Die DIN 66398 bietet erprobte Begriffe, die eine klare und konstruktive Diskussion über Löschkonzept und Löschregeln fördern; sie müssen im Projekt nicht erst gesucht und entwickelt werden. Die Begriffe aus der Norm können den Kern für ein Glossar im Löschprojekt bilden. Begriffe aus der Organisation können dieses Glossar ergänzen.
Auch eine einheitliche Vorgehensweise – die in der DIN zwischen der Dokumentationsebene des Regelkatalogs und der der Umsetzungsvorgabe unterscheidet – bietet für alle Beteiligten Vorteile, weil nicht erst Ideen für die Arbeit im Projekt entwickelt werden müssen.
Wenn andere Beteiligte die Norm kennen, werden zudem Abstimmungsaufwände vermindert.
Löschregeln effizient festlegen
Durch die komplexe Landschaft von Geschäftsprozessen in Organisationen ist es häufig schwierig, die Regellöschfristen für Datenarten festzulegen.
Mit den Vorschlägen der Norm muss nicht erst nach den Projektschritten oder Methoden für die Definition von Löschregeln gesucht werden. Die »Leitlinie Löschkonzept« bietet dafür einen pragmatischen Ansatz: Mit Standardlöschfristen und Typen von Startzeitpunkten werden Löschklassen gebildet. Die Löschregeln für Datenarten werden mit Hilfe der Löschklassen sehr effizient festgelegt. Dadurch kann mit den begrenzten Ressourcen der Beteiligten der Katalog der Löschregeln schnell aufgebaut werden.
Weiterer Nutzen ...
... ergibt sich für die Gestaltung von Fachprozessen, weil sie geprüft und angepasst werden.