Interesse des DIN

Im Deutschen Institut für Normung e.V. (DIN) wurde 2010 im DIN in einem FOCUS.ICT-Workshop diskutiert, welche strategische Themen für künftige Infrastrukturen, wie Smart Grid oder Elektromobilität, standardisiert werden sollten. Am 18.03.2011 wurde das "Löschkonzept bei Toll Collect" in einem weiteren Workshop vorgestellt. Die Vorarbeiten bei Toll Collect stießen auf vielfältiges Interesse.

In der Folge schrieb das DIN als Projektträger im Rahmen des Programms „Innovation mit Normen und Standards“ (INS) ein DIN/INS-Projekt zum Thema Löschkonzept aus. Das Programm wird vom Bundesministerium für Wirtschaft und Technologie gefördert.

DIN/INS-Projekt

Im Jahr 2012 erhielt Secorvo den Auftrag, das DIN/INS-Projekt „Datenschutzkonformes Löschkonzept – Standardisierungsmöglichkeiten für einen Best-Practice-Ansatz“ durchzuführen.

Ziel des Projekts war es, aus dem Ansatz von Toll Collect für ein Löschkonzept und aus anderen Ansätzen eine verallgemeinerte Vorgehensweise abzuleiten, mit der ein Löschkonzept in einer Organisation etabliert werden kann. Diese verallgemeinerte Vorgehensweise sollte auf Standardisierbarkeit geprüft werden.

Das Projekt stieß in der Fachöffentlichkeit auf großes Interesse. In zwei Workshops beteiligten sich Vertreter der Blancco GmbH, des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, der Daimler AG, der Deutsche Bahn AG, der Deutsche Post Adress GmbH, des DIN e.V., der Toll Collect GmbH, der SAP AG, der Swiss Reinsurance Company Ltd., der TÜV Informationstechnik GmbH, des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und der Verlagsgesellschaft Madsack GmbH & Co. KG.

Am 28.06.2012 wurden in einem ersten Workshop Vorschläge für die Bausteine und die Gliederung einer Vorgehensweise für Löschkonzepte zusammengetragen. Die Ergebnisse wurden im Entwurf der "Leitlinie Löschkonzept" zusammengefasst. Im zweiten Workshop am 16.10.2012 wurde der Entwurf diskutiert und verbessert. Die Teilnehmer des Review-Workshops stellten fest, dass die Leitlinie als Ausgangspunkt für ein internationales Standardisierungsprojekt gut geeignet sei.

Das Ergebnis des Projekts, die "Leitlinie Löschkonzept", wurde der Öffentlichkeit Ende 2012 vorgelegt.

Das Interesse an diesem Dokument war groß. Es zeigte außerdem, dass die Vorgehensweise dem Stand der Technik entspricht und eine Standardisierung der Vorgehensweise möglich ist. Die Leitlinie sollte daher auf eine noch breitere Basis gestellt werden.

ISO-Aktivitäten

Parallel zum DIN/INS-Projekt wurde das Thema "Löschkonzept" von Vertretern des DIN bei der ISO für eine Study Period eingebracht mit dem Titel: "Documentation of data deletion principles for personally identifiable information“. Inhaltlich zuständig ist dort ISO/IEC JTC 1/SC 27/WG 5. Dr. Volker Hammer von Secorvo übernahm die Aufgaben des Rapporteurs, Alan Shipman von Group 5 aus Großbritannien wurde Co-Rapporteuer.

Der Report griff die Ergebnisse des DIN/INS-Projekts auf und wurde als "Report on a Concept for Deletion of PII“ am 25. Oktober 2012 auf einer Sitzung der WG 5 in Rom und der Folgesitzung am 24. April 2013 in Sophia Antipolis vorgestellt.

Der Report empfahl zwar eine "Guideline for establishing a PII deletion concept with special focus on deletion periods” zu entwickeln; der Vorschlag wurde auch positiv diskutiert. Leider konnten die erforderlichen Ressourcen für ein Standardisierungsprojekt bei ISO nicht gewonnen werden.

Mit fünf Förderunternehmen konnte allerdings ein Normungsprojekt beim DIN durchgeführt werden.

Weiterführende Informationen

Die "Leitlinie Löschkonzept" ist das Vordokument zur DIN 66398. Die erste Fassung wurde am 10.12.2012 veröffentlicht. In der aktuellen Version 1.0.3 der Leitlinie der wurde der Text redaktionell korrigiert und ein Hinweis auf die DIN 66398 ergänzt. Inhaltliche Anpassungen wurden nicht vorgenommen.

Die grundlegende Vorgehensweise für die Erstellung eines Löschkonzepts entspricht bereits in dieser urspünglichen Fassung der Leitlinie der Vorgehensweise der Norm. Insofern kann die (kostenlose) Leitlinie auch gut als Einstiegsdokument verwendet werden. Allerdings wurden in der Arbeit an der Norm die Gliederung normgerecht überarbeitet und an einigen Stellen ergänzt, Begriffe präzisiert und präziser verwendet, manche Bezeichnungen angepasst und Details zu einigen Schritten der Vorgehensweise ergänzt oder ausgebaut.