Regellöschfrist – und Ausnahmen
Auf dieser Seite wird dargestellt, warum die DIN 66398 in den Löschregeln die sogenannte Regellöschfrist verwendet. Die Einführung in die »methodischen Aspekte« gibt einen Überblick über die Themen der Rubrik.
Motivation
Der Lebenszyklus eines Datenobjekts kann sehr unterschiedliche Verläufe nehmen. Neben einer "üblichen" Verwendung könnte das Datenobjekt beispielsweise auch
- als Beweismittel in einem Streitfall herangezogen werden,
- für Testfälle oder die Analyse nach einem erkannten Angriff benötigt werden,
- als Information einem Fehler-Ticket beigefügt werden, weil bei der Verarbeitung eine Unregelmäßigkeit festgestellt wird oder
- aus dem regulären Speicherort abgezogen werden, weil ein Betroffener sich beschwert und eine Sperrung nach Artikel 18 DSGVO fordert.
Für viele der Abläufe ist die Dauer des speziellen Verlaufs schwer zu prognostizieren. Welche Löschfrist soll der Veranwortliche für seine Löschregel verwenden? Wie können die Sonderfalle abgedeckt werden?
Grundlage ist die Regelverarbeitung
Damit die Löschung am Ende jeder regulären Verarbeitung sichergestellt ist, wurde in der DIN 66398 entschieden, dass für die Löschregel die Sonderfälle ausgeblendet werden. Daher auch der Begriff »Regellöschfrist«: Dies ist die Löschfrist, die bei regulärer Verarbeitung anzuwenden ist.
Weil Sonderfälle wie die oben genannten für die Definition der Löschregel keine Rolle spielen, können die Datenarten mit ihren Löschregeln überhaupt mit vertretbarem Aufwand bestimmt und beschrieben werden.
Die Regellöschfrist deckt alle Verwendungszwecke ab einschließlich der Aufbewahrungspflichten und Archivierungen. Sie schließt einen Zeitraum für die Anwendung der Löschmaßnahme ein. Die Regellöschfrist (= der Gesamtzeitraum) muss datenschutzrechtlich vertretbar sein. NICHT eingeschlossen in der Regellöschfrist sind die Vorhaltefristen für Backups; dies ist die einzige Ausnahme.
Für jede Datenart wird nur eine Löschregel definiert. Diese gilt als maximale Dauer der Speicherung an jedem Speicherort der Datenobjekte dieser Datenart. Sie kann aber in der Umsetzung für einzelne Speicherorte verkürzt werden, wenn an mindestens einer Stelle die Vorhaltefrist eingehalten wird. Diese Vorgehensweise unterstützt die technikunabhängige Beschreibung der Datenarten und hält die Zahl der Datenarten im Regelkatalog niedrig.
Vorschläge zur Behandlung von Sonderfällen
Es wäre unrealistisch, anzunehmen, dass in der Praxis keine Abweichungen von der Regellöschung auftreten würden. Wenn ein Löschkonzept dafür keine Lösungen anbietet, ist es nicht praxistauglich. Abweichungen sollen allerdings so weit wie möglich begrenzt werden. Sie müssen außerdem datenschutzrechtlich vertretbar sein. In jedem Fall muss sichergestellt werden, dass die Abweichung von der Regellöschung beendet wird; auch diese die Datenobjekte also am Ende gelöscht werden.
Die DIN 66398 bietet eine Reihe von Vorschlägen an, wie Sonderfällen behandelt werden können:
- Datenobjekte können die Datenart wechseln und werden dann nach einer anderen Regel gelöscht.
Beispiele:
- Der Verantwortliche benötigt Datenobjekte als Beweismittel in einem Rechtsstreit. Dann können diese beispielsweise in eine Datenart »Streitfallakte« eingeordnet werden, in dem die Löschung dieser Datenobjekt über eine Kennzeichen ausgesetzt wird.
- Ein Bewerber willigt ein, dass seine Bewerbung in ein Pooling aufgenommen wird. Dann wird für die Bewerbungsakte im Pooling eine eigene Datenart definiert.
- Datenobjekte werden – wenn auch selten, aber doch immer wieder – außerhalb des regulären Verarbeitungskontextes benötigt. Dann könnte eine Ausnahme von der Regellöschung per Richtlinie festgelegt werden.
Beispiel: Eine Richtlinie »Produktionsdaten in Testfällen« regelt, unter welchen Bedingungen überhaupt Produktionsdaten für Teststellungen verwendet werden dürfen. Neben anderen Aspekten, wie der Sicherheit der Testumgebung und den Zugriffsberechtigungen, wird auch die Ausnahme von der Regellöschung festgelegt, beispielsweise, dass in der Teststellung für einen Zeitraum von 3 Monaten die Löschung ausgesetzt werden kann. Dauert der Test länger, müssen entweder neue Produktionsdaten eingespielt werden – die zum Übernahmezeitpunkt keine löschfälligen Daten enthalten – oder es muss eine Einzelfall-Ausnahme beantragt werden.
- Datenobjekte werden im Einzelfall länger benötigt. Dazu können entsprechende Einzel-Ausnahmen genehmigt werden, die z.B. im Change-Management verwaltet werden.
Beispiel: Ein Datenbestand mit kurzer Regellöschfrist weist Inkonsistenzen auf. Um ihn geordnet zu verarbeiten, muss das Anwendungssystem angepasst werden. Das Projektteam vereinbart mit dem Datenschutzbeauftragten, dass die Löschung für 6 Monate ausgesetzt wird. Als letzter Schritt im Change-Ticket ist die Aktivierung der Regellöschung vorgesehen.
Da für verschiedene Sonderfälle gleiche oder ähnliche Verfahren angewandt werden können, hält sich die Komplexität der Sonderfall-Behandlung in Grenzen. Die Alternativen eignen sich für unterschiedliche Situationen, je nach Vorbestimmtheit der "Verlängerung" und der Menge an Datenobjekten, für die die Löschung verzögert wird. Mit einem solchen Rahmen sollten die in der Praxis auftretenden Fälle abgedeckt werden können.