New Work Item
Nach dem positiven Ergebnis der zweiten Study Period richtete die ISO JTC1 SC27 WG05 im Herbst 2018 das Standardisierungsprojekt ISO/IEC 27555 ein. Ziel des Projekts ist die Übertragung der DIN 66398 in einen ISO Standard. Eine Vertreterin der italienschen Aufsichtsbehörde und ein Mitglied der chinesischen Delegation fanden sich als Editorin und Co-Editor.
Working Draft 1
Zur WG-05-Sitzung im April 2019 in Tel Aviv wurde ein erster Working Draft (WD1) vorgelegt und von mehreren nationalen Arbeitskreisen kommentiert. Dieser wird nach Diskussionsergebnissen in Tel Aviv zu einem zweiten Working Draft (WD2) überarbeitet. Der aktuelle Vorschlag für den Titel ist "Establishing a personal identifiable information deletion concept in organizations".
Working Draft 2
In der WG-05-Sitzung im Oktober 2019 in Paris wird der WD2 diskutiert und überarbeitet. Die ISO-Fassung ist gegenüber der DIN 66398 gestrafft. Außer einigen kleinen Korrekturen und Ergänzungen ergeben sich aber keine inhaltlichen Änderungen. Das Dokument wird im Status erster Commitee Draft (CD1) verabschiedet. Volker Hammer wird als weiterer Co-Editor in das Editoren-Team berufen.
Commitee Draft 1
Der CD1 wird aus sechs nationalen Normungsgremien kommentiert. Die 114 Kommentare werden durch zahlreiche Präzisierungen, kleinere inhaltliche Umstellungen oder Ergänzungen und Klarstellungen in den Text eingearbeitet. Es gibt keine Anmerkungen mit großen inhaltlichen Auswirkungen. Der Titel wird auf "Guidelines on personally identifiable information deletion" geändert. Die beschließende WG-"Sitzung" findet wegen der Corona-Krise im April 2020 als Videokonferenz statt. Der überarbeitete CD1 wird als zweiter Commitee Draft (CD2) verabschiedet.
Commitee Draft 2
Zum CD2 gaben die nationalen Normungsgremien aus Indien, Italien, Japan, Korea, der Schweiz, der USA und Deutschland insgesamt 76 Kommentare ab. Der überwiegende Teil wurde akzeptiert und eingearbeitet. Weitreichende inhaltliche Änderungen waren:
- Der Begriff "löschen" wird nicht mehr direkt im Sinne von überschreiben/zerstören als sicherem Löschen, sondern über eine risikoadäquate Maßnahme definiert. Hintergrund sind einerseits die entsprechend relativen Vorgaben aus Art. 24 und 32 DSGVO und andererseits die praktischen Schwierigkeiten, bei modernen Speichertechnologien sicherzustellen, dass Daten wirklich überschrieben werden. In Anmerkungen werden die Vorgaben präzisiert.
- Für Backups wurde in den Kommentaren vorgeschlagen, dass diese grundsätzlich innerhalb der Regellöschfrist zu löschen seien. Dieser Kommentar wird im Grundsatz abgelehnt, weil das die Komplexität von Löschregeln sehr erhöhen würde: Sie müssten die Backup-Regeln mit berücksichtigen. Bei der Prüfung des Kommentars wird aber erkannt, dass Backups zu einem Zielkonflikt mit Rechtsregeln führen können, wenn die Löschfrist durch Gesetz vorgegeben ist. Für diesen Fall wird empfohlen, die Regellöschfrist geeignet zu verkürzen, um Spielraum für das Vorhalten von Backups zu erhalten.
- Die zu diesem Zeitpunkt noch verblieben informativen Anhänge zur Organisation von Löschprojekten, zur Anonymisierung und zur Sicherheit von Löschmechanismen werden aus dem Standard gestrichen. Das stand 2019 mit dem WD2 schon zur Diskussion, wurde aber zunächst zurückgestellt. Letzlich war der Aufwand für die Überarbeitung zu hoch und konnte im Zeitrahmen für das Projekt nicht geleistet werden.
Der Text mit den Änderungen wurde zur Registrierung als Draft International Standard (DIS) vorgeschlagen und angenommen. Die Abstimmungsperiode zu diesem Textvorschlag zur Annahme als DIS begann am 08.12.2020 und lief bis zum 03.02.2021. Die nationalen Normungsgremien haben in diesem Zeitraum Gelegenheit, den Text zu prüfen und zu kommentieren.
Draft International Standard
Der DIS wurde ohne Gegenstimmen angenommen. Mit der Abstimmung wurden insgesamt 138 Kommentare abgegeben (Australien, Deutschland, Großbritannien, Korea, Kanada, Japan, Schweiz und ISO). ISO prüft Dokumente beim Übergang auf DIS auch sprachlich und unter verschiedenen formalen Gesichtspunkten. Das führte zu weiteren 451 Änderungen am Text und 28 zusätzlichen Kommentaren im Dokument.
3 der Kommentare waren als "general" und 28 als "technical" eingestuft. Auch diese Kommentare wie auch die weiteren editorischen führten nur zu Überarbeitungen mit Klarstellungen im Text. Weitreichend war, dass nach den ISO-Regularien nicht einfach auf den Abgleich mit oder die Einhaltung von Rechtsvorschriften gefordert werden darf. Das - so die Regularien - sei gefordert, auch ohne dass ein Standard angewandt würde. Zudem ist die Anwendung von ISO-Standards freiwillig und jeder Eindruck, der dies beeinträchtigt, soll vermieden werden.
Inzwischen (Juni 2021) wird der überarbeitete Text für die FDIS-Abstimmung vorbereitet.
Final Draft International Standard
Die Abstimmungsperiode zum FDIS begann am 07.07.2021 und endete am 01.09.2021. Der FDIS wurde ohne Gegenstimmen angenommen. Mit der Abstimmung wurden aber noch 25 redaktionelle Kommentare abgegeben (Schweiz, Japan, Deutschland). ISO arbeitet diese Kommentare ein und veröffentlicht den Standard.
International Standard
Im Oktober 2021 wurde der internationaler Standard ISO/IEC 27555 veröffentlicht.
Auf einer eigenen Seite werden die Unterschiede zur DIN 66398 dargestellt.
Nächste Schritte
Vorläufig gibt es keine Anpassungen. Zum aktuellen Status siehe bei ISO auf der Seite zum Standardisierungsprojekt ISO/IEC 27555.
Die DIN 66398 wird bis auf weiteres noch beibehalten. Auf europäischer Ebene kann geprüft werden, ob die ISO/IEC 27555 als europäische Norm übernommen wird. Das wird in den europäischen Normungsgreminen beratern werden. In diesem Zuge könnte die ISO/IEC 27555 auch ins Deutsche übersetzt werden. Während dieses Prozesses wäre auch zuprüfen, ob die DIN 66398 zurückgezogen wird, damit keine konkurrierenden Normen zum gleichen Thema bestehen.