Ursprung der ISO/IEC27555

Die ISO/IEC 27555 wurde aus der DIN 66398 abgeleitet. Basis des ISO/IEC-Projekts war die englische Sprachfassung der DIN 66398. Der Titel des  internationalen Standards lautet: ISO/IEC 27555:2021 - Information security, cybersecurity and privacy protection – Guidelines on personally identifiable information deletion.

Der internationale Standard wurde am 01.09.2021 durch die Abstimmung der nationalen Normungsorganisationen verabschiedet und im Oktober 2021 veröffentlicht.

Inhaltliche Übereinstimmung und Unterschiede

Die Vorgehensweise für ein Löschkonzept nach DIN 66398 ist auch die Vorgehensweise nach ISO/IEC 27555: Inhaltlich gibt es auf dieser Ebene keine Unterschiede.

Viele Anpassungen des Textes sind eher redaktioneller Art. Für manche Themen wurden die Inhalte verdichtet, andere Aspekte wurden präzisiert. Das ISO/IEC-Dokument ist kürzer (25 Seiten im Unterschied zur englische Sprachfassung der DIN 66398 mit 58 Seiten inklusive der 9 Seiten Anhänge). 

Einige Anpassungen werden im Weiteren aufgeführt und erläutert.

Terminologie

Personenbezogene Daten werden mit personally identifiable information (PII) übersetzt, wie schon in der englischen Sprachfasssung der DIN 66398. Außerdem sind einige Defintionen entfallen, unter anderem weil im ISO-Stil die Definitionen aus der referenzierten ISO/IEC 29100 auch für die ISO/IEC 27555 gelten. Während der Bearbeitung der ISO/IEC 27555 wurden einige Begriffe gegenüber der englischen Sprachfassung der DIN 66398 angepasst.

DIN 66398 deutsch
DIN 66398 englisch
ISO/IEC 27555
Datenart type of PII
cluster of PII
Datenbestand pool of data
entfallen;
im Text wird beispielsweise "set of ..." verwendet
Löschkonzept deletion concept
entfallen;
im Text wird verwendet "framework for developing and establishing policies and procedures personally identifiable information for PII deletion"
Die Rollen in der Datenschutz-Regulierung: Betroffener, verantwortliche Stelle, Auftragnehmer
PII pricipal, PII controller, PII processor
keine explizite Definition in ISO/IEC 27555; durch Verweis werden die gleichlautenden Begriffe aus ISO/IEC 29100 verwendet
Ansprechpartner für Datenschutz
privacy authority of the organization entfallen
(im Text wird verwendet: person responsible for privacy matters within the organization)
in der DIN 66398 nicht definiert:
rechtliche Aufbewahrungsfrist
(aber im Text als Teil der Vorhaltefrist verwendet)
legal retention period
nur im Text verwendet:
Querschnittsbereiche cross-sectional areas organization-wide aspects

Definition von "Löschen"

Die Definitionen zum Begriff "Löschen" unterscheiden sich in DIN 66398 und ISO/IEC 27555 etwas.

In der [DIN 66398, 2.9]  wird Löschen als "sicheres Löschen" definiert: "Prozess, durch den pbD derart irreversibel verändert werden, dass sie nach dem Vorgang nicht mehr vorhanden oder unkenntlich sind und nicht mehr verwendet oder rekonstruiert werden können". In einer Anmerkung wird dies dann mit Verweis auf die [DIN 66399-1] vorsichtig relativert: "In der Regel ist "sicheres Löschen" gefordert. Sicheres Löschen meint, dass der Aufwand für die Rekonstruktion der Daten entweder unmöglich oder nur mit erheblichem Aufwand (Personen, Hilfsmittel, Zeit) möglich ist. Für die Wahl der Löschverfahren ist der Schutzbedarf der Daten zu berücksichtigen."

[ISO/IEC 27555:2021, Abschnitt 3.1] definiert Löschen direkt über einen risikoorientierten Ansatz:
"deletion [is a] process by which personally identifiable information (PII) is changed so that it is no longer present or recognizable and usable and can only be reconstructed with excessive effort". Die Formulierung "excessive effort" soll "unverhältnismäßigen Aufwand" fordern. Der Standard weist in den Notes zur Definition unter anderem aus, dass die Möglichkeiten forensischer Werkzeuge bei der Bewertung von "unverhältnismäßigem Aufwand" berücksichtigt werden müssen. Dadurch könnten sich die geforderten Maßnahmen über die Zeit ändern. 

Die Anpassung der Definition in der ISO/IEC 27555 war motiviert dadurch, dass es mit modernen Speichermedien immer schwieriger wird, die physikalischen Speicherbereiche von Datenobjekten direkt zu adressieren und dann zu überschreiben. Auch werden in Anwendungen vielfach gar keine Möglichkeiten angeboten, Daten effizient zu überschreiben. So wird man auf Datenbankebene zwar einen Datensatz löschen können. Der Speicherbereich dürfte aber oft unbehandelt in der internen Speicherverwaltung der Datenbank vorgehalten und zu einen späteren Zeitpunt wiederverwendet werden. Wann und wie der Speicherbereich wiederverwendet wird (und damit auch überschrieben wird), liegt außerhalb der Kontrolle des Benutzers und oft auch des Administrators.

Ein "angemessener Aufwand" für die Löschmechanismen erscheint zunächst als eine pragmatische und praxisgerechte Lösung. Eine solche relativ sichere Löschung ist natürlich auch aus der Perspektive der ISO ausreichend, weil Standards grundsätzlich ohne Bezug zu rechtlichen Regelungen definiert werden (siehe unten). Die risikoorientierte Definition "passt" von Grundsatz her auch in die Rahmensetzung der DSGVO, nach der in den Art. 24, 25 und 32 angemessene Maßnahmen gefordert werden. Und selbstverständlich würde sicheres Löschen auch die Definition in der ISO/IEC 27555 erfüllen. Es spricht also nichts dagegen, Mechanismen zu verwenden, die Daten überschreiben.

Die Frage, welche datenschutzrechtliche Implikationen sich aus nur "ziemlich gelöschten" Daten ergeben, ist aber nicht beantwortet. Wenn Daten nicht endgültig gelöscht sind, sind sie eben doch noch vorhanden. Aus der Perspektive des Datenschutzes bedeutet dies vermutlich, dass

  • weiter technisch-organisatorische Maßnahmen zu ihrem Schutz ergriffen werden müssen,
  • zu klären ist, in wie weit die Betroffenenrechte Anwendung finden können,
  • womöglich die Aufsichtsbehörde die Daten prüfen könnte oder
  • im Falle eines Datenmissbrauchs von den Betroffenen Schadenersatz gefordert werden könnte.

Zwei Vertreter von Aufsichtsbehörden waren an der Diskussion beteiligt und haben dem Ergebnis nicht widersprochen. Ich bin gespannt, wie die Anforderungen in diesem Punkt konkretisiert werden.

Backups

Die Vorgehensweise für "Backups" ist klarer herausgearbeitet. 

Anlass war unter anderem ein Kommentar, dass bei gesetzlich vorgegebener Löschfrist für eine Datenart gefordert sein kann, dass die Datenobjekte auch im Backup bereits innerhalb der vorgegebenen Frist gelöscht werden. Dafür wird die Option angeführt, für die Datenart die Regellöschfrist geeignet zu verkürzen, so dass Spielraum für Backups bleibt. Für die Vorgehensweise für Regelkataloge kann dadurch erreicht werden, dass die Löschung von Backups weiter mit einer einheitlichen "on-Top-Frist" zur Regellöschfrist festgelegt wird. Die Regelung für Backups bleibt weiter unabhängig von den Datenarten; die zu sichernden Datenbestände werden in die verschiednen (wenigen) Gruppen von Backups eingeordnet.

Datenschutzrecht nur als indirekter Treiber für Löschregeln

ISO-Standards müssen weltweit anwendbar sein. Deshalb geben die Direktiven von ISO vor, dass im normativen Text keine Fomulierungen verwendet werden, die fordern, dass geltendes Recht eingehalten wird. Dies sei auch dadurch begründet (so eine Erläuterung in einer Diskussion), dass möglicherweise in manchen Ländern/Rechtsordnungen für einen Sachverhalt gar keine gesetzlichen Regelungen gegeben seien. Im übrigen sei es sowieso selbstverständlich, dass geltendes Recht einzuhalten ist. Daher müsse in Standards darauf nicht noch einmal hingewiesen werden.

Die Vorgehensweise für Löschkonzepte ist im Konext der Normung primär getrieben von datenschutzrechtlichen Vorgaben zum Löschen. Für die DIN 66398 war daher offensichtlich, dass die Löschregeln unter datenschutzrechtlichen Gesichtspunkten verhältnismäßig und vertretbar sein mussten. Dies wird so auch immer wieder im Text der Norm formuliert.

So direkt durfte das im ISO-Standard nicht ausgedrückt werden. Weil die Vorgaben für die Löschregeln für personenbezogene Daten aber aus rechtlichen Regelungen entstehen, konnten Verweise auf das Recht nicht wegfallen. Die ISO-Direktiven öffnen dafür aber nur wenige Wege. Unter anderem darf im normativen Text empfohlen werden, dass der Anwender des Standards eine Aktivität durchführt, in der er rechtliche Vorgaben prüft. Ein zweiter Weg sind "Notes": Diese Anmerkungen sind kein normativer Text. Dort darf auf Rechtsregeln hingewiesen werden. Eine mögliche Formulierung ist dann "Es kann Rechtsregeln geben, die ...". Im Fall der Regellöschfristen kann man so z.B. darauf hinweisen, dass Rechtsregeln den zeitlichen Spielraum für die Gestaltung des Löschprozesses begrenzen können. Im Fall der Backups kann entsprechend darauf hingewiesen werden, dass Rechtsregeln den zeitlichen Spielraum für die Frist begrenzen können, für die die Datenobjekte in den Backups über die Regellöschfrist hinaus vorgehalten werden.

Datenschutz ist die Motivation für den Standard. Daher sollte der Bezug zum Recht nicht aufgelöst werden. Es war manchmal schwierig, Formulierungen zu finden, die den ISO-Direktiven entprechen. An mehreren Stellen weicht der Text jetzt auf "Notes" aus. Insgesamt wird nach meinem Eindruck das Verständnis des Standards erschwert und die Bedeutung der datenschutzrechtlichen Vorschriften sprachlich relativiert. Für eine Vorgehensweise für datenschutzrechtliche Löschkonzepte erscheint mir das nicht praxisgerecht. Aber dies sind die Vorgaben der ISO ...

Anhänge sind entfallen

In der DIN 66398 sind vier Anhänge enthalten, die ergänzende Hinweise für Löschkonzepte geben: zur Gestaltung eines initialen Projekts, zur Anonymisierung, zur Sicherheit von Löschmechanismen und zur Sperrung von Datenbeständen. Diese Anhänge sind entfallen. Aus der Sicht der WG05 hätte der zusätzliche Umfang weitere Zeit für die Bearbeitung des Standards gekostet. Die Inhalte seien für das Verständnis der Vorgehensweise nicht wichtig, so die Bewertung.

Der Bewertung kann man grundsätzlich folgen. Allerdings werden in Löschprojekten immer wieder Diskussionen zu den Themen der Anhänge geführt. Die Anhänge der DIN 66398 bieten wichtige Argumente für diese Diskussionen. Ein internationaler Standard ohne Anhänge war unter diesen Randbedinungen aber besser als kein Standard, weil das Projekt wegen Zeitmagels ohne Veröffentlichung beendet worden wäre.

Weiterführende Informationen

In der Rubrik "Materialien" ist die Referenz zur ISO/IEC 27555 aufgeführt.