Datenarten und Löschregeln

»Datenart« und »Löschregel« sind die beiden zentralen Begriffe in der DIN 66398. Diese Seite beschreibt die wichtigsten Kriterien für das Bilden von Datenarten und das Verhältnis der beiden Begriffe zueinander.

Die Löschregeln für alle Datenarten sollen dokumentiert werden. Empfohlen wird, dazu einen "Katalog der Löschregeln" aufzubauen. Dieser Katalog definiert und begründet dann die Anforderungen für die Umsetzung.

Datenarten abgrenzen

Datenarten bilden eine logische Sichtweise auf den Datenbestand einer Organisation. Danach werden Datenobjekte, die zu gleichen (datenschutzrechtlichen) Zwecken verwendet werden, in eine Datenart eingeordnet. Jede Datenart umfasst so einen Bestand unabhängig davon, wo die konkreten Datenobjekte gespeichert oder verarbeitet werden.

Für jede Datenart wird genau eine Löschregel festgelegt (siehe unten).

Für die Definition von Datenarten spielen primär drei Kriterien eine zentrale Rolle: die Zwecke in den Fachprozessen, die Rechtsgrundlagen für die Verarbeitung und die Gruppen von Betroffenen, auf die sich die Daten beziehen. Technische Aspekte sind dagegen nach Möglichkeit für die Definition von Datenarten auszublenden – dazu finden Sie auf einer anderen Seite einige methodische Hintergründe.

Fachliche Zwecke

In Geschäftsprozessen werden die fachlichen Zwecke der Organisation umgesetzt. Soweit die Prozesse datenschutzrechtlich zulässig sind, definieren diese Zwecke Zeiträume, in denen die Daten verwendet werden dürfen oder verwendet werden müssen.

Rechtsgrundlagen

Die fachlichen Zwecke müssen durch Rechtsgrundlagen gemäß Artikel 6 DSGVO unterlegt sein. Wenn sich diese Rechtsgrundlagen für verschiedene Datenobjekte unterscheiden, folgen daraus häufig auch unterschiedliche Löschregeln.

Zu den Rechtsgrundlagen gehören auch die Aufbewahrungspflichten. Aus der Sicht der DIN 66398 sind dies zulässige Zwecke nach Art. 6 (1c) DSGVO. Wenn die Rechtsgrundlagen für verschiedene Datenobjekte unterschiedliche Aufbewahrungspflichten festlegen und die Aufbewahrungsfrist die Regellöschfrist bestimmt, folgen daraus häufig auch unterschiedliche Datenarten. Abweichend können die Datenobjekte in eine Datenart fallen, wenn beispielsweise die fachlichen Zwecke zu einer gemeinsamen langen Frist führen.

Unterschiedliche Gruppen von Betroffenen

In den meisten Fällen umfasst eine Datenart die personenbezogenen Daten einer Gruppe von Betroffenen, hier die "führenden Betroffenen" genannt.

Beispiel: Typischerweise werden Datenarten mit Daten von Kunden von solchen mit Daten der Mitarbeiter unterschieden. Auch Nutzer einer Social-Media-Plattform könnten eine eigene Gruppe von Betroffenen bilden.

Personalakten beispielsweise werden jeweils für einen Mitarbeiter geführt, auch wenn in einzelnen Datenobjekten zusätzliche Informationen über weitere Betroffene enthalten sind, z.B. die Führungskraft (wer hat das Jahresziel vereinbart), der Personalbetreuer aus der Personalabteilung (wer hat das Gespräch über die Teilzeitvereinbarung geführt) oder Externe (wer hat das Seminar gehalten).

Mit den führenden Betroffenen besteht in der Regel eine Beziehung, die viele der Rechtsgrundlagen und der Zwecke bestimmt, für die die personenbezogenen Daten dieser Gruppe verarbeitet werden. Da die Zwecke die Regellöschfristen bestimmen, führen unterschiedliche Gruppen von Betroffenen oft zu unterschiedlichen Löschregeln.

Besonders deutlich wird dies für Datenarten, für die der Lauf der Löschfrist mit dem Ende der Beziehung zum Betroffenen beginnt. In diesen Fällen unterscheidet sich der Startzeitpunkt für verschiedene Betroffene, weil unterschiedliche Beziehungen bestehen:

Beispiel: Zu Endkunden können z.B. Dauerlieferverträge bestehen, zu Mitarbeitern Arbeitsverträge, zu Nutzern einer Web-Plattform eine Nutzungsvereinbarung und so weiter.

Das "Ende der Beziehung" zu einer Gruppe von Betroffenen wird jeweils durch ein unterschiedliches Ereignis bestimmt.

Beispiel: Für die Endkunden bestimmt sich das Ende der Beziehung z.B. durch den Ausgleich aller Forderungen (nach der wirksamen Kündigung des Liefervertrags), für die Mitarbeiter z.B. nach der abschließenden Lohnzahlung (nach der Kündigung des Arbeitsvertrags) und für die Plattformnutzer mit der De-Registrierung ihres jeweiligen Kontos auf der Plattform.

Durch den unterschiedlichen Startzeitpunkt ergeben sich unterschiedliche Löschregeln und damit auch auch unterschiedliche Datenarten .

Wenn in den Datenobjekten einer Datenart neben dem führenden Betroffenen auch Daten weiterer Betroffener enthalten sind, ist zu prüfen, ob diese Merkmale gemeinsam mit den Merkmalen der führenden Betroffenen gelöscht werden können. Sind die Risiken einer langen Speicherung für die weiteren Betroffenen unvertretbar hoch, wären diese spezifischen Merkmale früher zu löschen. Gemäß DIN 66398 könnte man eine solche Situation mit zwei Varianten lösen:

In der ersten Variante würde man eine Datenart definieren, in der ausgewählte Attribute nach der Löschregel zu anonymisieren/löschen wären. Danach würden die verbleibenden Inhalte die Datenart wechseln und damit in eine andere Löschregel fallen.
In der zweiten Variante könnte man eine Datenart mit den Merkmalen der 'weiteren Betroffenen' bilden, die früh zu löschen sind und eine weitere Datenart für die verbleibenen Inhalte der Datenobjekte. Beide Datenarten haben unabhängige Löschregeln.

Beide Varianten führen in der Umsetzung zum gleichen Ergebnis. Die erste erscheint geeigneter, wenn es nur eine (oder wenige) Datenarten mit dieser Konstellation gibt und die Datenobjekte einem klaren Lebenszyklus unterliegen, in deren Verlauf einzelne Merkmale gelöscht werden. Die zweite Variante erscheit sinnvoller, wenn viele unterschiedliche Datenbestände vorliegen, in denen jeweils die Merkmale der 'weiteren Betroffenen' einheitlich gelöscht werden müssen, die Verwendungszwecke und -prozesse der Datenarten aber ansonsten vielfältig sind.

Hinweis

In einigen Fällen ist die vorzeitige Löschung von Merkmalen aus Datenobjekten ausgeschlossen.

Beispiel: Die Aufbewahrungspflichten nach § 147 AO verlangen, dass Dokumente unverändert bleiben. Wird auf einer Rechnung ein Ansprechpartner für Rückfragen angegeben, darf dieser also nicht vorzeitig gelöscht werden.

Lösen kann man solche Zielkonflikte unter Umständen, indem die Datenobjekte geeignet gestaltet werden, also z.B. nicht der Name, sondern eine neutrale Abteilungsnummer angegeben wird. Solche Gestaltungsansätze wirken aber meist nur für die Zukunft; sie können nur selten für Altbeständen angewandt werden.

Ausnahmen

Von den oben genannten Kriterien zur Bildung von Datenarten kann abgewichen werden, wenn dies aus praktischen Gründen notwendig ist. Dies ist insbesondere der Fall, wenn ungeordnete Datenbestände regelmäßig bereinigt werden sollen.

Beispiele:

Unter solche Datenbestände fallen E-Mails in den persönlichen Postfächern der Mitarbeiter einer Organisation.
Ein anderes Beispiel sind die "sonstigen" Dateien, die sich nicht bestimmten Datensarten zuordnen lassen, sei es, weil es keine Ablageregeln dafür gibt, weil keine Meta-Daten vorliegen, aus denen die Datenart bestimmt werden könnte oder weil sich solche "vermischten Bestände" immer wieder ansammeln, für die es schlicht nicht praktikabel (und verhältnismäßig) ist, sie nach Datenarten sortiert abzulegen.

Solche ungeordneten Bestände wird man im Löschkonzept wohl nur behanden können, wenn man "große Töpfe" bildet, beispielsweise die Datenarten "E-Mails in persönlichen Postfächern" oder "allgemeine Dateien", und dafür einfache Löschregeln festlegt. Dafür gibt es allerdings zwei Voraussetzungen:

Die Inhalte in diesen ungeordneten Beständen und ihre Verwendungsmöglichkeiten innerhalb der Regellöschfrist müssen wegen der geringen Sensitivität datenschutzrechtlich grundsätzlich vertretbar sein. Das lässt sich zwar nicht mit absoluter Gewissheit sagen. Aber wenn bekannt ist, dass z.B. Gesundheitsdaten in einzelnen Dateien enthalten sind, dann sollten diese schnell bereinigt werden.
Die Datenobjekte aus den ungeordneten Beständen, die in Geschäftsprozessen benötigt werden, müssen mit hinreichend hoher Wahrscheinlichkeit

entweder so geordnet sein, dass sie auch in diesen geordneten Prozessen verwaltet und entsprechen der Löschregeln behandelt werden, sie dürfen also allenfalls in unwichtigen Kopien in den ungeordneten Beständen enthalten sein;
oder nach der Regellöschfrist für die ungeordneten Bestände aus fachlicher oder rechtlicher Perspektive überflüssig sein.

Beispiel: Für Rechnungen kann man fast immer den ersten Fall annehmen, weil die Buchaltung keine Zahlungen leistet, ohne dass ihr eine Rechnung vorliegt. Auch Verträge sollten in geordneten Prozessen geschlossen und dann entsprechend klarer Regeln abgelegt werden, weil sie für viele Abläufe und Sachverhalte den Rahmen definieren.

Diese beiden Voraussetzungen zeigen, dass ein Löschprojekt in der Umsetzung oft Prozessgestaltung beinhaltet. Sie machen aber auch den Nutzen eines Löschkonzepts für Geschäftsprozesse deutlich: Datenbestände werden fachlich geordnet, vollständiger und besser verfügbar.

Pragmatische Löschregeln mit relativ großzüger Frist erlauben es dann, die ungeordneten Bestände jährlich aufzuräumen bei einem geringen Risiko, wichtige Datenobjekte zu früh zu löschen.

Löschregeln bilden

Wie oben gesagt, wird für jede Datenart genau eine Löschregel abgeleitet. Methodische Gründe für diese Meta-Regel werden auf einer eigenen Seite beschrieben.

Jede Löschregel besteht aus einem Startzeitpunkt und einer Löschfrist. Das ist möglich, weil in der Datenart nur Datenobjekte mit gleichen datenschutzrechtlichen Zwecken enthalten sind. Startzeitpunkt und Regellöschfrist müssen so gewählt werden, dass insbesondere auch rechtliche Aufbewahrungsfristen abgedeckt sind.

Löschklassen verwenden

Um die Löschregeln für Datenarten schnell zu identifizieren, können Löschkassen verwendet werden, wenn dies datenschutzrechtlich möglich ist. Die Löschklasse legt bereits einen abstrakten Startzeitpunkt und die Löschfrist fest. Diese Löschfrist soll gelten, wenn die Objekte dieser Datenart im Regelprozess verarbeitet werden. Sie wird daher auch als Regellöschfrist bezeichnet. Für den Startzeitunkt wird ein geeignetes fachliches Ereignis ausgewählt, häufig aus dem Lebenszyklus der Objekte der Datenart. Der Lauf der Regellöschfrist beginnt mit dem Startzeitpunkt. Ausführlicher werden einige Hintergründe zum Konzept der Regellöschfrist auf einer eigenen Seite beschrieben.

Datenbestände in Archiven und Backups

Für Datenbestände in Archiven gelten die Regellöschfristen der Datenarten im Regelkatalog unverändert.

Datenbestände in Backups müssen in der Regel nach besonderen Fristen gelöscht werden, weil sonst der Zweck der Systemherstellung nicht mehr erfüllt werden kann. Nach der DIN 66398 können die Regellöschfristen in den Backup-Generationen daher etwas überzogen werden.

Als Konsequenz dieser Überlegungen müssen Archive und Backups klar unterschieden werden.

Abweichungen von der Regellöschfrist

Von der Regellöschfrist kann abgewichen werden, soweit dies datenschutzrechtlich zulässig ist. Die Leitlinie Löschkonzept macht mehrere Vorschläge, wie dies innerhalb der Vorgehensweise der Norm abgebildet werden kann.

Datenart wechseln

Ein regulärer Ablauf zur Veränderung der Regellöschfrist besteht drin, dass Datenobjekte ihre Datenart wechseln.

Beispiel: Wenn ein Lieferschein nicht mehr nur im Regelprozess, sondern auch für einen Streitfall benötigt wird, könnte für dieses Datenobjekt ein Kennzeichen gesetzt werden, nach dem es in die Datenart »Streitfallakte« fällt.

Individuelle Ausnahmeregeln

Alternativ können individuelle Ausnahmen geregelt werden. Dabei ist der Datenschutzbeauftragte zu beteiligen.

Beispiel: Die Löschung eines Datenbestandes könnte befristet ausgesetzt werden, weil eine technischen Störung des IT-Systems aufgetreten ist und die Daten erst korrekt verarbeitet werden können, wenn diese behoben ist.

Rückkehr zur Regellöschung

In allen Varianten muss durch Prozesse sichergestellt werden, dass am Ende der Abweichung die Löschung der Datenobjekte sichergestellt ist.

Beispiele:

Im Fall der Streitfallakte greift entweder die Löschregel für diese Datenart oder das Datenobjekt fällt nach dem Ende des Streitfalls zurück in seine ursprüngliche Datenart und wird nach deren Regel gelöscht.
Individuelle Ausnahmeregeln können so gestaltet werden, dass der letzte Schritt der Ausnahme die Löschung des entsprechenden Datenbestandes festlegt. Gesteuert werden kann das beispielsweise über ein Ticket im Change-Management.