Das erste Löschkonzept
Das erste Löschkonzept in der Vorgehensweise der DIN 66398 wurde bei der Toll Collect GmbH entwickelt, lange bevor die Norm entstand.
Damit begann die Entwicklungsgeschichte der DIN 66398 und ISO/IEC 27555. Diese Anfänge werden hier beschrieben. Die Einführung in die »Entwicklungsgeschichte« gibt einen Überblick über die Themen der Rubrik.
Anfänge bei Toll Collect: Aufbau eines Löschkonzepts
Die Toll Collect GmbH war für den Aufbau und ist für den Betrieb des deutschen LKW-Mautsystems verantwortlich. Sie musste gegenüber dem Bundesamt für Güterverkehr (BAG) nachweisen, dass die Mautdaten datenschutzgerecht gelöscht werden. Die Vorgaben für den Umfang der Mautdaten waren festgelegt im § 4 Autobahnmautgesetz (ABMG) für die Mautentrichtung und § 7 für die Kontrollmaßnahmen der Mauterhebung. Die engen Vorgaben für die Löschung wurden in § 9 ABMG festgelegt.
Anmerkung
Inzwischen wurde das Gesetz zum Bundesfernstraßenmautgesetz (BFStrMG) weiterentwickelt, enthält aber weiter die entsprechenden Vorschriften (Stand 09.12.2023). Diese sind allerdings deutlich differenzierter als 2004, weil inzwischen ein zentrales Erhebungsverfahren zulässig ist, die erhobenen Daten für statistische Zwecke verwendet werden dürfen und weitere Akteuere an der Mauterhebung mitwirken können. Das Bundesamt für Güterverkehr ist zum Bundesamtes für Logistik und Mobilität umfirmiert.
Um den Nachweis der Datenlöschung systematisch zu erbringen, entwickelte die Toll Collect mit Unterstützung der Secorvo Security Consulting GmbH ein Löschkonzept. Die Eckpfeiler dieser Vorgehensweise waren:
- Die Inhalte des Löschkonzepts wurden in zwei Ebenen aufgeteilt: die technikunabhängige Beschreibung von Löschregeln für Datenarten einerseits und die Festlegung von Umsetzungsvorgaben für Systeme andererseits. Diese beiden Ebenen bildeten die Dokumentationsstruktur.
- Für die verschiedenen Datenarten wurden Löschregeln für den Regelbetrieb identifiziert, die sogenannten Regellöschfristen.
- Die Umsetzungsvorgaben wurden gruppiert nach Richtlinen für Datenbestände, die systemübergreifend einheitlich behandelt werden, beispielsweise Log-Protokolle oder Backups, und systemspezifischen Vorgaben, den Systemlöschkonzepten.
Diese Eckpfeiler finden sich später auch in der Vorgehensweise der DIN 66398 wieder.
Ausbau des Löschkonzepts: Standardfristen und Löschklassen sind der Schlüssel
Für die Mautdaten wurden die Regellöschfristen mit Hilfe von Prozessanalysen identifiziert. Diese Vorgehensweise lies sich aber für andere Arten personenbezogener Daten nur eingeschränkt übertragen. Zwar sind Datenarten oft leicht zu identifizieren. Eine genaue Prozessanalyse für die Erfoderlichkeit der Daten im Sinne des Datenschutzes ist dagegen wegen komplexer Geschäftsprozesse oft nur mit hohem Aufwand möglich. An diesem Aufwand kann die Erstellung des Löschkonzepts für eine Organisation scheitern.
Einen Ausweg aus dieser Aufwandsfalle bieten Standardlöschfristen und Löschklassen. Diese methodische Weiterentwicklung für Löschkonzepte wurde in Fachkreisen vielfach vorgestellt und 2011 publiziert. Sie führte zu Kontakten mit dem DIN und dem DIN/INS-Projekt zur Standardisierbarkeit von Löschkonzepten.
Weiterführende Informationen
Die methodischen Grundlagen zur Vorgehensweise für Löschkonzepte werden beschrieben in drei Aufsätzen von Reinhard Fraenkel und Volker Hammer.