LOGO: Informationen zur DIN 66398 ... Die Webseite zur "Leitlinie Löschkonzept"!

Trennung von Löschregeln und Umsetzungsvorgaben

Auf dieser Seite werden methodischen Hintergründe für die Empfehlung der DIN 66398 dargestellt, nach der die Löschregeln von den Umsetzungsvorgaben getrennt werden sollen. Die Einführung in die »methodischen Aspekte« gibt einen Überblick über die Themen der Rubrik.

Motivation

Warum schlägt die DIN 66398 vor, zwischen Regelkatalog und Umsetzungsvorgaben zu trennen? Schließlich könnte man für jedes Anwendungssystem untersuchen, nach welchen Regeln die dort verwendeten Datenbestände zu löschen sind. Im Systemhandbuch begründet man dann die Löschregeln und beschreibt, wie sie ausgeführt werden.

Die DIN geht davon aus, dass jede Löschregel auch fachlich und rechtlich begründet werden muss, damit der Veranwortliche seiner Rechenschaftspflicht nach Art. 5(2) DSGVO nachkommt.

Effekte einer systemspezifischen Regelableitung

Wenn sich eine Löschregel auf die konkreten Daten in einem Anwendungssystem bezieht, hat die technische Realisierung der Abläufe in diesem System mit hoher Wahrscheinlichkeit Einfluss auf die Darstellung der Datenart und auch auf die Löschregel.

Werden die gleichen Daten in mehreren Anwendungssystemen verwendet, können unterschiedliche Löschregeln entstehen; insbesondere auch, weil sie unterschiedlich begründet werden. Die Begründungen werden aber häufig nicht gegeneinander abgegrenzt sein, sondern sich vielmehr überlappen. Die Erfahrung lehrt, dass zwischen den verschiedenen Darstellungen häufig auch Inkonsistenzen bestehen werden, weil die Kapazitäten fehlen, um die Beschreibungen miteinander zu vergleichen, aneinander anzupassen oder bei Änderungen an mehreren Stellen zu pflegen.

Zielsetzungen der DIN 66398

Löschregel als Soll-Vorgabe

Aus der Perspektive des Datenschutzes werden Löschregeln gesucht, die sich aus den Zwecken begründen lassen. Für jeden Datenart sind daher die fachlichen Zwecke und gegebenenfalls rechtliche Vorgaben für die Verwendung zu suchen. Nur aus diesen soll die Löschregel abgeleitet werden. Nur sie sollen für die Begründung der Löschregel eine Rolle spielen. Technische Gründe sind aus der datenschutzrechtlichen Perspektive sekundär und sollten deshalb in der Ableitung der Löschregel keine Rolle spielen.

Der Regelkatalog enthält daher die Soll-Regeln für die Löschung – nicht die technisch umsetzbaren Regeln. Die Trennung zwischen Regelkatalog und Umsetzungsvorgaben hängt daher auch eng mit der technikunabhängigen Definition von Datenarten zusammen.

Konsistente Definition von Datenarten

Da die Umsetzung für die Definition der Datenart keine Rolle spielen soll, werden die Beschreibungen der Datenarten einfacher und erhalten eine klarere Struktur. Das gilt im übrigen auch für die Umsetzungsvorgaben: Dort werden keine Begründungen für die Löschregeln mehr diskutiert. Der Fokus liegt auf den Löschmaßnahmen.

Die Löschregeln berücksichtigen die rechtlichen und fachlichen Aufbewahrungsfristen. Daher kann die identische Regel als Obergrenze in allen Umsetzungsvorgaben angewandt werden. Die Vorhaltefrist muss aber möglicherweise nur in einem System erreicht werden. In allen anderen Systemen kann die jeweilige Datenart unter fachlichen, datenschutzrechtlichen und technischen Gesichtspunkten möglicherweise früher gelöscht werden. Für diese Entscheidungen sind aber in aller Regel keine großen Analysen und Begründungen mehr notwendig. Sie kann oft im Zusammenhang mit der Implementierung getroffen werden.

Beispiel: Die Löschregel für die Datenart »Buchhaltungsdaten« lautet "12 Jahre nach Forderungsausgleich, mit einer Vorhaltefrist von 11 Jahren". Die einzelnen Datenobjekte durchlaufen einen Workflow und werden in verschiedenen Systemen gespeichert. Entsprechend sind jeweils Löschmaßnahmen umzusetzen. Dabei wird die Frist nach Möglichkeit verkürzt:

  • In Systemen, die Buchhaltungsbelege nur transportieren, werden sie nur so lange gespeichert, bis sie im produktiven Buchhaltungsssystem sicher angekommen sind. (Im Beispiel könnten das 2 Wochen sein.)
  • In einem Workflow-System wird sichergestellt, dass alle Rechnungen im 4-Augen-Prinzip freigegeben werden. Die Freigabevermerke werden in Begleitdokumenten vermerkt und als Anlagen ebennfalls im produktiven Buchhaltungssystem gespeichert. Details des Freigabe-Workflows werden bis maximal 6 Monate nach Freigabe einer Rechnung benötigt. (Im Beispiel könnten im Workflow-System die entstandenen Begleitdokumente und die weiteren Details des Ablaufs der Freigabe deshalb nach 7 Monaten gelöscht werden.)
  • Wenn Forderungen ausgeglichen sind, müssen sie noch in der Bilanz berücksichtigt werden. Diese Zusammenhänge werden von den Wirtschaftsprüfern regelmäßig noch für zwei Jahre zurück im produktiven Buchhaltungssystem aufgerufen. Danach werden alle Datenobjekte der Buchhaltungsdaten in einem Archivsystem gespeichert. (Im Beispiel können die Datenobjekte im produktiven Buchhaltungssystem daher nach der Übertragung ins Achiv gelöscht werden.)
  • Im Archivsystem werden die Daten im 12ten Jahr nach Forderungsausgleich gelöscht.

Vorteile der Trennung von Regelkatalog und Umsetzungsvorgaben

Ein Ziel der Vorgehensweise der Norm ist Einfachheit. Die Trennung der Ebenen »Löschregeln« und »Umsetzungsvorgaben« bietet eine bessere Übersicht über den Bestand an Regeln, motiviert zu konsistenten Begründungen für Regeln und führt zu zielgruppenspezifischen und stabilen Dokumenten.

Wird die Begründung jeder Löschregel in einem Regelkatalog zusammengefasst, wird auf einfache Weise eine hohe Konsistenz erreicht. Damit wird auch der Umfang der Begründungen reduziert, weil sie an einer Stelle beschrieben werden (und nicht an jeder, an der sie angewendet weden). Die Komplexität des Löschkonzepts wird reduziert, weil es nur die Datenarten im Regelkatalog und nicht viel mehr systemspezifische gibt. Die Gesamtzahl der Datenarten dürfte dadurch auch reduziert werden.

Alle Löschregeln sind außerdem an einer Stelle zu finden. Die Löschregeln können dann leicht wiederverwendet werden (siehe dazu auch unter technikunabhängige Definition von Datenarten). Für neue IT-Anwendungen kann an einer Stelle nachgeschlagen werden, welche Löschregeln anzuwenden sind.

Schließlich bildet der Regelkatalog auch die zentrale Informationbasis zur Löschfrist für die Informations- und Auskuftspflichten nach Art. 13 bis 15 DSGVO und das Verarbeitungsverzeichnis nach Art. 30: Es muss nur an einer Stelle nach der Löschregel gesucht werden. (Wären die Löschregeln systemspezifisch definiert, müssen für eine korrekte Information möglicherweise mehrere Dokumente geprüft und Inhalte für die Antwort zusammengeführt werden.)