Elemente eines Löschkonzepts nach DIN 66398

Die Vorgabe der DSGVO

Die DSGVO fordert, dass der Verantwortliche nachweisen kann (Rechenschaftspflicht), dass er die Anforderungen zum Löschen personenbezogener Daten umgesetzt hat.

Das Löschkonzept nach DIN 66398

Im Verständnis der DIN 66398 stellt eine verantwortliche Stelle in einem Löschkonzept dar, wie sie ihrer Aufgabe nachkommt, personenbezogene Daten zu löschen. Dies soll eine Aufsichtsbehörde nachvollziehen können.

Grundlegende Dokumente

Die DIN 66398 schlägt vor, wie die Rechenschaftspflicht erfüllt werden kann. Sie macht dazu Vorschläge für eine Dokumentationsstruktur, in der die Inhalte des Löschkonzepts auf Dokumente verteilt werden. Grundlage der Dokumentationsstruktur ist eine Aufteilung zwischen den Löschregeln (obere Ebene) und den Umsetzungsvorgaben (untere Ebene).

Dass eine Organisation Löschen umgesetzt hat, kann sie dann mit den folgenden Dokumenten zeigen:

dem Regelkatalog, in dem die Löschregeln für Datenarten definiert werden, nach denen die verantwortliche Stelle ihre personenbezogen Daten behandeln will. Der Regelkatalog enthält die Soll-Regeln für das Löschen als Anforderungen für die Umsetzungsebene.
den Umsetzungsvorgaben, mit denen Vorgaben für konkrete Löschmaßnahmen getroffen werden. Eine Umsetzungsvorgabe bezieht sich in der Regel auf einen konkreten Datenbestand.
Anweisungen, mit denen die Aufgaben im Löschkonzept Verantwortlichen zugewiesen werden. Damit soll sichergestellt werden, dass die Löschregeln angewandt und die Löschmaßnahmen auch durchgeführt werden.

Der Verantwortliche muss auch zeigen, dass Löschläufe durchgeführt wurden. Dazu dienen beispielsweise Eintragungen der verantwortlichen Mitarbeiter in Listen oder Log-Protokolle in IT-Systemen. Wo diese Informationen abzulegen sind, legen die jeweiligen Umsetzungsvorgaben fest.

Hintergründe zur Trennung zwischen Regelkatalog und Umsetzungsebene werden in den methodischen Aspekten beschrieben

Einbettung in bestehende Dokumente

Soweit sich dies anbietet, können bestehende Dokumente um Elemente des Löschkonzepts ergänzt werden.

Beispiele:

Für einige Fachprozesse, in denen Dateien mit personenbezogenen Daten auf einem Laufwerk abgelegt werden, gibt es jeweils eine Arbeitsweisung. Dann können die Arbeitsschritte, durch die Löschen umgesetzt wird,in diesen Arbeitsanweisungen ergänzt werden.
Für ein IT-System steht ein Betriebshandbuch zur Verfügung. Der Löschmechanismus und die Konfigutationsvorgaben können in dieses Betriebshandbuch eingefügt werden.
Die Organisation verfügt über ein Organisationshandbuch, in dem Entscheidungen der Führungsebene dokumentiert werden. Dorkt könnte die Zuständigkeit für die Pflege des Regelkatalogs und die Verantwortung für die Umsetzungsaufgaben festgelegt werden.

Pflege des Löschkonzepts

Das Löschkonzept muss gepflegt werden, weil sich im Laufe der Zeit Datenbestände und Zwecke der Verarbeitung ändern können, Fachprozesse umgestaltet oder IT-Systeme angepasst oder ausgetauscht werden. Um das Löschkonzept aktuell zu halten, bedarf es daher eines Pflegeprozesses für den Regelkatalog. Außerdem muss gewährleistet werden, dass Umsetzungsvorgaben aktualisiert werden, wenn Prozesse umgestaltet werden. Für Projekte, in denen neue Prozesse oder IT-Anwendungen geplant werden, ist es sinnvoll, die Löschanforderungen bereits zu Beginn des Projekts aufzunehmen.

Beispiele: Je nach Entwicklungsmethodik in IT-Projekten könnten Löschanforderungen in das Lastenheft aufgenommen oder in User Stories beschrieben werden. Im Verlaufe des Projekts werden die Anforderungen immer weiter konkretisiert, bis den konkreten Datenbeständen die Löschregeln aus dem Regelkatalog zugeordnet werden können und Löschmaßnahmen implementiert sind. Wenn noch keine passenden Datenarten definiert sind, kann im Pflegeprozess für den Regelkatalog eine Ergänzung angestoßen werden.

Ergänzende Informationen

Die DIN macht nur Vorschläge. Wie diese Vorschläge durch eine Organisation angewandt werden, ist deren Entscheidung. Für einen Auditor kann es daher hilfreich sein, wenn eine Organisation auch beschreibt, wie sie die Norm für ihr Löschkonzept übertragen hat. So kann er einfach nachvollziehen, wie beispielsweise die Inhalte des Löschkonzepts auf Dokumente der Organisation verteilt sind und ob z.B. Besonderheiten bei der Definition der Datenarten eingeflossen sind.

Die Begriffe »Datenart« und »Löschregel« aus der DIN 66398 sollten allerdings nicht verändert werden. Das würde erhebliche Probleme beim Verständnis nach sich ziehen und die Übertragbarkeit von Elementen des Löschkonzepts erschweren.

Eine solche kurze Darstellung der "Entwurfsentscheidungen" zur Anwendung der Norm hilft auch bei einem initialen Löschprojekt und der weiteren Pflege des Löschkonzepts: Die Entscheidungen werden transparent und können nachvollzogen werden – auch langfristig. Außerdem lässt sich anhand solcher schriftlicher Festlegungen überprüfen, ob Dokumente die Vorgaben einhalten. Das alles trägt zur Konsistenz des Löschkonzepts bei.

Aufgaben aus den Betroffenenrechten

Die DIN 66398 konzentriert sich darauf, wie die Regellöschung etabliert werden kann. Das »Recht auf Vergessenwerden« nach Art. 17 DSGVO und eine Aussetzung der Löschung im Einzelfall nach Art. 18 DSGVO sind Betroffenenrechte und müssen auf Antrag erfüllt werden, wenn der Antrag berechtigt ist.

Die Anträge können sehr unterschiedlich sein. Im allgemeinen Fall ist deshalb ein Datenschutzprozess notwendig, in dem geprüft wird, ob dem Antrag stattgegeben wird. Passend dazu können dann spezielle Maßnahmen notwendig sein, um die Entscheidung umzusetzen, also einzelne Datenobjekte oder Merkmale vor der Regellöschung zu löschen oder von der Regellöschung auszunehmen.

Den Prozess und die Maßnahmen sollte die Organisation dokumentieren. Wenn gleichgelagerte Fälle häufiger auftreten, können dazu Muster und Routinen entwickelt werden, auch in IT-Systemen.