Zentrale Begriffe in der DIN 66398

Während der ersten Arbeiten in Löschprojekten war es eine wichtige Aufgabe, einen Satz gut verständlicher und stabiler Begriffe zu definieren. Das Ziel war es, für die vielen Beteiligten sicherzustellen, dass sie über die gleichen Sachverhalte reden.

Die in der DIN 66398 und entsprechend auch in der ISO 27555 definierten Begriffe bieten eine hervorragende Ausgangsbasis zur Verständigung innerhalb einer Organisation zwischen Fachexperten, IT-Verantwortlichen, Datenschützern, den Vertretern der Informationssicherheit und der Geschäftsführung. Besonders hilfreich sind einheitliche Begriffe für die organisationsübergreifende Kommunikation zum Thema Löschen mit Dienstleistern, Herstellern, Auditoren, Aufsichtsbehörden oder anderen Beteiligten.

Die DIN 66398 verwendet zwei zentrale Begriffe: den der Datenart und den der Löschregel. Im Folgenden werden beide Begriffe näher erläutert. Für die Definition der Datenart werden zunächst die Elemente beschrieben, aus denen Datenarten zusammengesetzt werden: Merkmale als kleinste Einheit und Datenobjekte als gößere inhaltliche Einheiten mit mehreren Merkmalen.

Warum wird mit der Datenart ein Begriff verwendet, der von der Bezeichnung der »Datenkategorie« aus der DSGVO abweicht? Dafür gibt es gute Argumente.

Im Weiteren werden die wichtigsten Begriffe aus der DIN 66398 vorgestellt und ausführlich erläutert.

Merkmale

In der Terminologie der DIN 66398 sind Merkmale die kleinsten informationstragenden Einheiten.

Beispiel: Eine Adresse könnte aus den Merkmalen Vorname, Nachname, Straße mit Hausnummer, Postleitzahl, Stadt und Ländercode bestehen.

Der Begriff des Merkmals wird in der Norm nicht formal definiert. Er wird verwendet, um die Inhalte von Datenobjekten (siehe unten) zu beschreiben.

Mehrere Merkmale bilden in Kombination ein Datenobjekt.

Beispiel: Der "Stammdatensatz Endkunde" könnte als Datenobjekt aus den Merkmalen der Adresse bestehen und weitere Merkmale enthalten, z.B. die Kundenummer, die Bankverbindung und Einträge für das Datum des ersten und des letzten Kontakts.

In Datenbanken werden Merkmale häufig als Attribute realisiert.

Ein konkretes Merkmal oder Merkmalskombinationen einer betroffenen Person können in verschiedenen Zusammenhängen verwendet werden und deshalb Bestandteil verschiedener Datenobjekte und damit auch verschiedener Datenarten sein.

Beispiel: Die Merkmale einer Adresse sind typischerweise enthalten in Datenobjekten wie dem Stammdatensatz, in Rechnungen, Quittungen oder in Dokumenten des Schriftverkehrs mit einem Betroffenen.

Über die Merkmale kann im Regelkatalog insbesondere aufgezeigt werden, wie sensibel die Inhalte einer Datenart sind.

In den meisten Fällen sind Datenobjekte mit mehreren Merkmalen Gegenstand der Löschung. Gelegentlich, beispielsweise bei Stammdaten, zielen Löschregeln auch auf einzelne Merkmale (siehe dazu unten Löschen und Anonymisieren von Datenobjekten).

Datenobjekt

Definition: Datenobjekte sind Elemente, die Daten enthalten, wie z. B. Dateien, Papier-Dokumente, Datensätze in Datenbanken, PDF-Dokumente, Tonaufzeichnungen, Bilder, Videos, ggf. aber aus größere Einheiten wie eine Tabelle oder eine Partition in einer Datenbank.

Der Begriff Datenobjekt wird im Kontext der DIN 66398 universell verwendet. Er dient insbesondere dazu, zu beschreiben, welche "logischen Einheiten" in eine Datenart fallen.

Anmerkung

Der Begriff Datenobjekt ist bewußt unscharf und weit gefasst. So können Datenobjekte auch "geschachtelt" sein:

Beispiele:

Eine Datenart »Personalakte« sammelt verschiedene Dokumente zum Anstellungsverhältnis, unter anderem Teile der Bewerbung (mit mehreren Dokumenten = Datenobjekte feinerer Granularität), den Arbeitsvertrag und Vertragsergänzungen, das Stammdatenblatt, Zertifikate aus Weiterbildungen und Vermerke zum Werdegang in der Organisation.
Eine »Vorfallsakte« könnte z.B. eine Sammlung von Dokumenten als 'Ausgangslage', verschiedene Dokumente als 'Belege', eine Tabelle mit einer 'Verlaufsbeschreibung' und einen 'Abschlussbericht mit Anlagen' (mit mehreren Dokumenten = Datenobjekte feinerer Granularität) enthalten.

Gleiche Datenobjekte in mehreren Datenarten

Ein Datenobjekt kann in mehreren Datenarten vorkommen, beispielsweise wenn Kopien des Datenobjekts verwendet werden.

Beispiel: So könnte eine Rechnung in den Buchhaltungsdaten abgelegt werden. Eine Kopie könnte auch Teil einer 'Bauwerksakte' sein, in der über den Lebenszyklus des Bauwerks dokumentiert wird, welche Maßnahmen mit welchen Mitteln ergriffen wurden. Und schließlich könnte sie auch Teil der Dokumentation der Beziehung zum Lieferanten sein. Wenn die Kopien eigenständig verwaltet werden, können die drei Fachbereiche eigenständig mit den Dokumenten umgehen und ihre jeweils eigenen Löschregeln anwenden.

Wenn nur eine Rechnung abgelegt wird, müssen die Zugriffe darauf geeignet kontrolliert werden. So könnte die Bauwerksakte viel länger existieren als die Aufbewahrungspflicht für die Buchhaltungsdaten besteht. Dann dürfte der Fachbereich Finanzen nach dem Ende der steuerrechtlichen Aufbewahrungspflichten nicht mehr, die zuständigen MitarbeiterInnen des Baureferats aber sehr wohl noch darauf zugreifen. Für die Löschung müssen dann alle fachlichen Zwecke abgearbeitet sein. Es kann dann schwierig sein, diese Voraussetzungen zu prüfen. Auch das Formulieren der genau einen Löschregel für die Datenart gestaltet sich dann unter Umständen schwierig.

Löschen und Anonymisieren von Datenobjekten

In aller Regel werden Datenobjekte als Ganzes gelöscht, d.h. die Löschregel der Datenart wird auf alle Merkmale und Bestandteile eines Datenobjekts gleichzeitg angewandt. Dies ist bestimmt durch die Erwartung, dass eine PDF-Datei, ein Dokument oder ein Datensatz in einer Datenbank auf einmal gelöscht/vernichtet wird (und nicht Merkmal für Merkmal).

Ausnahmen von dieser Grundregel - also die Löschung einzelner Merkmale - können notwendig sein, beispielweise wenn

in einem Datenobjekt mit ansonsten wenig sensiblen Merkmalen einzelne sensible Informationen enthalten sind, beispielsweise eine Telekommunikationsadresse und der Zeitpunkt der Verbindung in einem Kontakteintrag in einem CRM-System. Dann könnte es datenschutzrechtlich gefordert sein, diese Verbindungsdaten bald zu löschen oder zu aggregieren.
Datenobjekte anonymisiert werden sollen. Dazu müssen einzelne Merkmale im Datenobjekt so verändert werden, dass nicht mehr auf den jeweiligen Betroffenen bezogen werden können (siehe dazu auch Anonymisierung - wird noch ausgeführt).

In beiden Fällen wird mit der Löschregel für die Merkmale angegeben, wann die Löschung oder Anonymisierung spätestens erfolgen muss. Im Falle der Anonymisierung ist auch die konkrete "Formel" für die Anpassung der Werte vorzugeben.

Datenart

Unter einer Datenart versteht die DIN 66398 eine Gruppe von Datenobjekten, die zu einem einheitlichen Zweck verarbeitet wird. Hintergrund ist, dass mit der Erfüllung des Zwecks die Erforderlichkeit der personenbezogenen Daten nicht mehr gegeben ist. Die Daten sind dann zu löschen. Wenn der Zweck einheitlich ist, folgt daraus eine gemeinsame Löschregel.

Die wichtigsten Kriterien für die Bildung der Datenarten in einer Organisation sind:

die fachlichen Zwecke in den Geschäftsprozessen
die Rechtsgrundlagen für die Verarbeitung
die Gruppen von Betroffenen

»Datenart« im Verhältnis zur »Datenkategorie«

Die DIN 66398 entstand vor der Verabschiedung der DSGVO. Der Begriff der Datenkategorie wurde damals im Datenschutz noch nicht verwendet. Nachdem die DSGVO in Kraft getreten war, wurde in Projekten diskutiert, ob der Begriff der »Datenart« auf die »Datenkategorie« umgestellt werden soll. Wir haben davon jedoch in den meisten Fällen Abstand genommen. In Projekten zeigt sich, dass die Unterscheidung der beiden Begriffe sehr hilfreich und nützlich für die Diskussionen und die Definition der Datenarten ist.

Die beiden Begriffe erlauben es, den Kontext deutlich zu unterscheiden: Mit der »Datenkategorie« bewegt man sich in den Inhalten der DSGVO, die für die Datenkategorie keine scharfe Abgrenzung kennt. Dagegen wird die »Datenart« nur im Löschkonzept verwendet und bezieht sich immer auf einen Datenbestand, der zu datenschutzrechtlich einheitlichen Zwecken verwendet wird (siehe oben).

Die DSGVO verwendet den Begriff »Kategorie« an verschiedenen Stellen zur Bildung von Gruppen, z.B. im Zusammenhang mit Datenübermittlungen in Art. 4 (20), Empfängern in Art 14 (1e), den Verarbeitungskategorien in Art 23 (2a), Kategorien von Verantwortlichen in Art 23 (2e) oder den Kategorien betroffener Personen in Art. 28 (3). Zur Beschreibung von Datenbeständen wird in der DSGVO unterschieden zwischen »Kategorien personenbezogener Daten« (insbesondere in den Artikeln zu Informationspflichten) und »besondere Kategorien personenbezogener Daten« (Art. 9 und andere). Es wird aber nicht definiert, wie eine solche Kategorie zu bilden oder Kategorien personenbezogener Daten voneinander zu abzugrenzen sind. Der Verordnungsgeber wäre an dieser Stelle wohl auch überfordert gewesen, denn er hätte ja die unterschiedlichen fachlichen Sachverhalte (mit ihren ggf. abweichenden Rechtsgrundlagen) aufgreifen müssen. Diese Präzisierung überlässt er der Anwendungsebene der DSGVO in den Organisationen.

In Löschprojekten nach DIN 66398 muss aber ein Begriff zur Verfügung stehen, mit dem die Datenbestände für die einzelnen Löschregeln präzise unterschieden werden können. Eine weitere Variante von »Datenkategorie« würde eher verwirren, als zur Klarheit beitragen. In Löschprojekten gibt es deshalb gute Gründe, nicht von Datenkategorien zu sprechen, sondern die »Datenart« zu verwenden.

Die »Kategorie personenbezogener Daten« steht dann als Begriff gegebenenfalls immer noch für die Kommunikation mit den betroffenen Personen zur Verfügung, wenn Datenarten nicht im Detail genannt oder beschrieben, sondern größere Einheiten von Datenbeständen in den Informationspflichten zusammenfassend genannt werden sollen.

Beispiel: So könnten im Personalwesen zwar unterschiedliche Löschregeln für die Datenarten "Kommen/Gehenzeiten" und "Zeiterfassungslisten" aus manueller Aufschreibung gelten, in der Informations für die Beschäftigten könnte aber eine Kategorie "Daten zur Zeiterfassung" gebildet werden.

Hinweis

Die DIN 66398 ist nur eine Empfehlung. Daher könnte eine Organisation auch entscheiden, in ihrem Löschkonzept den Begriff der »Datenkategorie« statt den der »Datenart« zu verwenden. Davon rate ich aber dringend ab. Der Preis für diese Abweichung von der Norm ist, dass

die scharfe Abgrenzung zwischen Datenarten sprachlich verschwimmt, weil die DSGVO für die Datenkategorie keine einheitlichen Zwecken fordert; und
die Übertragbarkeit von Elementen eines Löschkonzepts deutlich verringert wird, weil bei der Übernahme oder Bereitstellung der Definition von Datenarten oder Dokumentationen zu Löschmaßnahmen die Texte an die andere Begrifflichkeit angepasst werden müssen.

Wenn diese begriffliche Abweichung trotzdem angewandt wird, sollte sie in jedem Fall sehr klar ausgewiesen werden, damit Externe, insbesondere Auditoren und Aufsichtsbehörden, dies leicht erkennen können.

Löschregel

Definition: Eine Löschregel wird gebildet aus einem Startzeitpunkt und einer Löschfrist, die ab dem Startzeitpunkt läuft. Als Frist wird nach der DIN 66398 die Regellöschfrist angegeben – die Frist, die bei regelgerechter Verarbeitung anzuwenden ist.

Die DSGVO spricht in den Informationspflichten in den Artikeln 13 (2a), 14 (2a) und 15 (1d) zwar nur von "der Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, [den] Kriterien für die Festlegung dieser Dauer" und fordert in Art. 30 (1f) im Verarbeitungsverzeichnis die Angabe "wenn möglich, der vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien". Eine reine Dauer/Frist ist aber in der Praxis ungenügend, um Löschregeln zu implementieren.

Die DIN 66398 gibt eine Reihe von Hinweisen, um Löschregeln effizient zu bilden. Die Zusammenhänge zwischen Datenart und Löschregel werden auf einer eigenen Seite dargestellt.

Löschklasse

Definition: Eine Löschklasse wird gebildet aus einer Standardlöschfrist und einem abstrakten Startzeitpunkt.

Als Standardlöschfristen werden solche Löschfristen verwendet, die jeweils möglichst für mehrere Datenarten angewandt werden können und hinreichend granular sind, um datenschutzrechtlich vertretbare Löschregeln zu definieren.

Die abstrakten Startzeitpunkte werden so genannt, weil sie von den konkreten Ereignissen, die den Fristlauf auslösen, abstrahieren. Es hat sich bewährt, die konkreten fachlichen Startzeitpunkt in drei Gruppen zusammenzufassen: den Typen von Startzeitpunkten.

Die Standardlöschfristen und die abstrakten Startzeitpunkte spannen eine Matrix auf: die »Matrix der Löschklassen«. Methodisch sind die Löschklassen und die Matrix Werkzeuge, um den Katalog der Löschregeln effizient zu erstellen.