Das Projekt ISO/IEC 27555
Auf dieser Seite wird beschrieben, wie aus der DIN 66398 die ISO/IEC 27555 entwickelt wurde. Das Standardisierungsprojekt bei ISO/IEC war der zweite Schritt in der Internationalisierung. Die Einführung in die »Entwicklungsgeschichte« gibt einen Überblick über die Themen der Rubrik.
New Work Item
Nach dem positiven Ergebnis der zweiten Study Period richtete die ISO JTC1 SC27 WG05 im Herbst 2018 das Standardisierungsprojekt ISO/IEC 27555 ein. Ziel des Projekts war die Übertragung der DIN 66398 in einen ISO Standard. Eine Vertreterin der italienschen Aufsichtsbehörde und ein Mitglied der chinesischen Delegation fanden sich als Editorin und Co-Editor.
Working Draft 1
Zur WG-05-Sitzung im April 2019 in Tel Aviv wurde ein erster Working Draft (WD1) vorgelegt und von mehreren nationalen Arbeitskreisen kommentiert. Dieser wurde nach Diskussionsergebnissen in Tel Aviv zu einem zweiten Working Draft (WD2) überarbeitet. Der damalige Vorschlag für den Titel war "Establishing a personal identifiable information deletion concept in organizations".
Working Draft 2
In der WG-05-Sitzung im Oktober 2019 in Paris wurde der WD2 diskutiert und überarbeitet. Die ISO-Fassung war gegenüber der DIN 66398 gestrafft. Außer einigen kleinen Korrekturen und Ergänzungen ergaben sich aber keine inhaltlichen Änderungen. Das Dokument wurde im Status erster Commitee Draft (CD1) verabschiedet. Volker Hammer wurde als weiterer Co-Editor in das Editoren-Team berufen.
Commitee Draft 1
Der CD1 wurde aus sechs nationalen Normungsgremien kommentiert. Die 114 Kommentare wurden durch zahlreiche Präzisierungen, kleinere inhaltliche Umstellungen oder Ergänzungen und Klarstellungen in den Text eingearbeitet. Es gab keine Anmerkungen mit großen inhaltlichen Auswirkungen. Der Titel wurde auf "Guidelines on personally identifiable information deletion" geändert. Die beschließende WG-"Sitzung" fand wegen der Corona-Krise im April 2020 als Videokonferenz statt. Der überarbeitete CD1 wurde als zweiter Commitee Draft (CD2) verabschiedet.
Commitee Draft 2
Zum CD2 gaben die nationalen Normungsgremien aus Indien, Italien, Japan, Korea, der Schweiz, der USA und Deutschland insgesamt 76 Kommentare ab. Der überwiegende Teil wurde akzeptiert und eingearbeitet. Weitreichende inhaltliche Änderungen waren:
- Der Begriff "löschen" wird nicht mehr direkt im Sinne von überschreiben/zerstören als sicherem Löschen, sondern über eine risikoadäquate Maßnahme definiert. Hintergrund sind einerseits die entsprechend relativen Vorgaben aus Art. 24 und 32 DSGVO und andererseits die praktischen Schwierigkeiten, bei modernen Speichertechnologien sicherzustellen, dass Daten wirklich überschrieben werden. In Anmerkungen werden die Vorgaben präzisiert.
- Für Backups wurde in den Kommentaren vorgeschlagen, dass diese grundsätzlich innerhalb der Regellöschfrist zu löschen seien. Dieser Kommentar wird im Grundsatz abgelehnt, weil das die Komplexität von Löschregeln sehr erhöhen würde: Sie müssten die Backup-Regeln mit berücksichtigen. Bei der Prüfung des Kommentars wird aber erkannt, dass Backups zu einem Zielkonflikt mit Rechtsregeln führen können, wenn die Löschfrist durch Gesetz vorgegeben ist. Für diesen Fall wird empfohlen, die Regellöschfrist geeignet zu verkürzen, um Spielraum für das Vorhalten von Backups zu erhalten.
- Die zu diesem Zeitpunkt noch verblieben informativen Anhänge der DIN 66398 zur Organisation von Löschprojekten, zur Anonymisierung und zur Sicherheit von Löschmechanismen wurden aus dem Standard gestrichen. Das stand 2019 mit dem WD2 schon zur Diskussion, wurde aber zunächst zurückgestellt. Letzlich war der Aufwand für die Überarbeitung zu hoch und konnte im Zeitrahmen des Projekts nicht geleistet werden.
Der Text mit den Änderungen wurde zur Registrierung als Draft International Standard (DIS) vorgeschlagen. Die Abstimmungsperiode zu diesem Textvorschlag zur Annahme als DIS begann am 08.12.2020 und lief bis zum 03.02.2021. Die nationalen Normungsgremien hatten in diesem Zeitraum Gelegenheit, den Text zu prüfen und zu kommentieren.
Draft International Standard
Der DIS wurde ohne Gegenstimmen angenommen. Mit der Abstimmung wurden insgesamt 138 Kommentare abgegeben (Australien, Deutschland, Großbritannien, Korea, Kanada, Japan, Schweiz und ISO). ISO prüft Dokumente beim Übergang auf DIS auch sprachlich und unter verschiedenen formalen Gesichtspunkten. Das führte zu weiteren 451 Änderungen am Text und 28 zusätzlichen Kommentaren im Dokument.
Drei der Kommentare waren als "general" und 28 als "technical" eingestuft. Diese Kommentare wie auch die weiteren editorischen führten nur zu Überarbeitungen mit Klarstellungen im Text. Weitreichend war, dass nach den ISO-Regularien nicht einfach der Abgleich mit oder die Einhaltung von Rechtsvorschriften gefordert werden darf. Das – so die Regularien – sei gefordert, auch ohne dass ein Standard angewandt würde. Zudem ist die Anwendung von ISO-Standards freiwillig und jeder Eindruck, der dies beeinträchtigt, soll vermieden werden.
Inzwischen (Juni 2021) wurde der überarbeitete Text für die FDIS-Abstimmung vorbereitet. Die Abstimmungsperiode zum FDIS begann am 07.07.2021 und endete am 01.09.2021.
Final Draft International Standard
Der FDIS wurde ohne Gegenstimmen angenommen. Mit der Abstimmung wurden aber noch 25 redaktionelle Kommentare abgegeben (Schweiz, Japan, Deutschland). ISO arbeitete diese Kommentare ein und veröffentlichte den Standard.
International Standard
Im Oktober 2021 wurde der internationaler Standard ISO/IEC 27555 veröffentlicht.
In diesem Web-Auftritt werden auf einer eigenen Seite die Unterschiede zur DIN 66398 dargestellt.
Nächste Schritte
Vorläufig gibt es keine Anpassungen; der Standard unterliegt dem normalen Überprüfungszyklus. Zum aktuellen Status siehe bei ISO auf der Seite zum Standardisierungsprojekt ISO/IEC 27555.
Die DIN 66398 wird bis auf weiteres als nationale Norm beibehalten. Auf europäischer Ebene kann geprüft werden, ob die ISO/IEC 27555 als europäische Norm übernommen wird. Das wird in den europäischen Normungsgremien beraten werden. In diesem Zuge könnte die ISO/IEC 27555 auch ins Deutsche übersetzt werden. Während dieses Prozesses wäre auch zuprüfen, ob die DIN 66398 zurückgezogen wird, damit keine konkurrierenden Normen zum gleichen Thema bestehen.