LOGO: Informationen zur DIN 66398 ... Die Webseite zur "Leitlinie Löschkonzept"!

Standardlöschfristen

Auf dieser Seite wird dargestellt, welche Rolle die Standardlöschfristen in der Vorgehensweise der DIN 66398 spielen. Die Einführung in die »methodischen Aspekte« gibt einen Überblick über die Themen der Rubrik.

Motivation

Für die Datenarten ist es naheliegend, die Regellöschfrist jeweils durch eine Prozessanalyse zu bestimmen. Im ersten Löschprojekt bei Toll Collect, in dem die Vorgehensweise der Norm entstand, arbeiteten wir für die Mautdaten auch so. Als das Löschkonzept auf andere Datenbestände ausgeweitet wurde, zeigte sich aber, dass eine detaillierte Prozessanalyse und die Dokumentation der zeitlichen Beiträge zur Regellöschfrist einer Datenart sehr aufwendig ist. Angesichts der Menge an Datenarten, den Unterschieden zwischen Prozessen und der Dynamik der Prozessänderung in einer mittelgroßen Organisation wurde sehr deutlich, dass der Aufwand einer differenzierten Prozessanalyse für alle Datenarten in einem Löschprojekt nicht leistbar ist.

Zielsetzung der Norm: Schnelle Identifikation der Regellöschfristen

Wie konnte dieses Problem bewältigt werden? Ausgangspunkt der Überlegungen war, dass man für alle Datenarten nur wenige Fristen verwendet. Diese Fristen werden in der DIN 66398 »Standardlöschfristen« genannt. Diese Fristen können anhand der Regellöschfrist von einzelnen Datenarten identifiziert werden. Solche Datenarten übernehmen eine "Stellvertreter-Rolle". Hat eine andere Datenart einen Zweck, der ähnlich gelagert ist wie der einer Stellvertreter-Datenart, wird deren Regellöschfrist dann auch für die neue Datenart verwendet. Die DIN 66398 macht Vorschläge, wie man Standardlöschfristen finden kann.

Die Löschregeln der Datenarten unterscheiden sich aber durchaus: Es werden unterschiedliche Startzeitpunkte verwendet.

Beispiel: In der Wohnungsvermietung werden für das Mietverhältnis unterschiedliche Datenarten benötigt. Hier zwei mögliche Datenarten:

  • Alle Datenobjekte, die den Mietvertrag ausgestalten, müssen während des gesamten Mietverhältnisses und entsprechend der buchhalterischen Aufbewahrungspflichen gespeichert werden, weil sie aufeinander aufbauen können und im Dauerschuldverhältnis auch die Miethöhe festlegen. Die Löschregel könnte sein: "12 Jahre nach Beendigung des Mietverhältnisses".
  • Über die gesamte Laufzeit leistet der Mieter Mietzahlungen und Zahlungen für die Betriebskosten. Die Abrechungen, Zahlungsbelege und Verrechnungen auf dem Mietkonto des einzelnen Mieters werden aber nur so lange benötigt, bis der Zeitraum für die (mögliche) Finanzprüfung der Buchhaltungsdaten abgeschlossen ist. In vielen Fällen ergibt sich daraus eine Regellöschfrist von "12 Jahren ab Forderungsausgleich".

Beide Datenarten verwenden die gleiche Standardlöschfrist. In der Matrix der Löschklassen finden sich beide Datenarten in der gleichen Spalte. Das hilft die Konsistenz zu prüfen: Die Vertragsunterlagen werden erste gelöscht, wenn die letzten Datenobjekte zum Mietkonto gelöscht sind. Der Startzeitpunkt der beiden Datenarten unterscheidet sich aber: Datenobjekte im Mietkonto werden jährlich aufgeräumt, Datenobjekte zum Mietvertrag nur einmal nach dem Ende des Mietverhältnisses.

Die Startzeitpunkte lassen sich zu drei Typen gruppieren, den abstrakten Startzeitpunkten:

Mit den abstrakten Startzeitpunkten und den Standardfristen lässt sich die Matrix der Löschklassen aufspannen.

Mittels der Standardlöschfristen bzw. in der Matrix lässt sich in vielen Fällen für eine neue Datenart sehr schnell die Regellöschfrist bestimmen: Anhand eines Vergleichs mit Datenarten mit ähnlichen Zwecken. Dabei kann der datenschutzrechtliche Spielraum zur Gestaltung der Regellöschfrist genutzt werden. Durch Variation der Vorhaltefrist und der Löschperiode lassen sich vielfach größere Gruppen von Datenarten in einer Löschklasse gruppieren.

Beispiel:

  • Für eine wenig sensible Datenart könnte ein größerer Spielraum zwischen der Vorhaltefrist von einem Jahr ab einem Ereignis und der Regellöschfrist von zwei Jahren ab diesem Ereignis eingeräumt werden: Es muss mindestens einmal im Jahr gelöscht werden.
  • Für eine Datenarten mit sensibleren Merkmalen, die zwei Jahre ab einem Ereignis vorzuhalten ist, könnte dagegen eine monatliche Löschung geboten sein.

Wählt man eine Standardlöschfrist von 25 Monaten, würden beide Datenarten in dieselbe Löschklasse fallen.

Beim Auswählen einer Spalte in der Matrix der Löschklassen – nichts anderes ist die Standardlöschfrist – werden häufig intuitiv alle Fristbestandteile berücksichtigt: aktive Verwendung, fachliche Aufbewahrung, rechtliche Aufbewahrungspflichten und Zeiträume für die Gestaltung des Löschprozesses.

Mit dem Vorschlag einer Löschklasse ist die Löschregel allerdings noch nicht bestimmt: Der fachliche Startzeitpunkt muss noch identifiziert werden. Dazu kann man mit den Fachexperten prüfen, anhand welcher Ereignisse die variablen Zeitanteile in der Verwendung von Datenobjekten am besten "herausgehalten" werden. Wenn es dann keine passende Standardlöschfrist gibt, kann man u.U. einen alternativen Startzeitpunkt suchen, mit dem die Löschregel in eine Löschklasse fällt.

Der schnelle Vorschlag für eine Löschregel ist oft motivierend, denn die Beteiligten sehen den Fortschritt bei der Regelbildung. Der konkrete Vorschlag für die Löschregel führt außerdem dazu, dass die Fachexperten sofort nach kritischen Gegenbeispielen suchen können, also Fällen, in denen die Vorhaltefrist oder Regellöschfrist aus Erfahrung zu kurz wäre. Diese Fälle werden auf ihre datenschutzrechtliche Belastbarkeit geprüft und führen dann ggf. dazu, dass die Löschregel angepasst wird.

Auch wenn die Matrix mit den Löschklasse schnelle Ergebnisse einleitet und damit der Startzeitpunkt und die Regellöschfrist mit den Fachexperten gefunden werden: Die Matrix ist nur ein Hilfsmittel! Sie liefert keine Zwecke und Rechtsgrundlagen. Deshalb ergibt sich dann noch etwas Arbeit für den Autor der Löschregel: Die Löschregel muss im Regelkatalog noch datenschutzrechtlich begründet werden. Dazu genügen oft aber die Eckpunkte, aus denen sich das "lange Ende" der Regellöschfrist ergibt.

Vorteile von Standardlöschfristen

Wenn die Regellöschfristen für die meisten Datenarten aus den (möglichst wenigen) Standardlöschfristen der Organisation ausgewählt werden, treten mehrere Effekte auf:

Klare Struktur der Löschfristen

Mit wenigen Standardlöschfristen bildet sich für den Anwender (und auch den Editor) des Regelkatalog eine einfache Friststruktur heraus. Die Löschregeln lassen sich dann viel leichter erfassen, als wenn viele unterschiedliche Fristen relevant sind.

Die Matrix der Löschklassen wird möglich

Wenn es wenige Standardlöschfristen gibt, ergibt sich eine Matrix wenige Spalten, die einen guten Überblick über die Datenarten bieten kann. Sie erlaubt es auch, die Einordnung von Datenarten in die "Fristenlandschaft" auf Konsistenz zu prüfen. Wenn es sehr viele unterschiedliche Löschfristen im Regelkatalog gibt, wird die die Matrix der Löschregeln sehr breit und verliert damit teilweise diese Funktionen.

Gut zu merken

In vielen Fällen ist es mit einer kleinen Zahl von Standardlöschfrist möglich, die wesentlichen Löschregel im Kopf zu haben. Dies hilft bei den Diskussionen über Datenarten, denn viele der Regeln "kennt man" und muss sie nicht erst nachschlagen.

Hilfreich für Implementierung und Betrieb

In manchen Fällen hilft die einfache Struktur der Regellöschfristen auch bei der Implementierung: Gleiche Fristen für mehrere Datenarten in einem Anwendungssystem oder manuellen Prozess können zu einfacheren Mechanismen führen.

Auch Administratoren haben so eine bessere Chance, die Löschregeln zu überblicken. Das kann Fehler beim Einsatz von Löschmechanismen vermeiden.