Löschen ist eine Querschnitssaufgabe mit weitreichenden Implikaitonen. Löschprojekte betreffen häufig viele Bereiche einer Organisation. Löschkonzepte und Löschmaßnahmen haben daher vielfältige Bezüge zu anderen Themen, unter anderem zu den im folgenden aufgeführten.

In der Rubrik 'Bezüge' wird außerdem die Entwicklungsgeschichte der DIN 66398 beschrieben.

Rechtliche Motivation für ein Löschkonzept

Wesentliche Begründung und Anker für ein datenschutzrechtliches Löschkonzept sind die für das Löschen einschlägigen rechtlichen Vorgaben. Diese Vorgaben können auf zwei Ebenen liegen:

  • Eine Art der Vorgaben betrifft die Vorgehensweise im Löschkonzept insgesamt. Dazu gehören ab Ende Mai 2018 die Vorgaben der Datenschutzgrundverordnung der EU zum Löschen. Die DIN 66398 bietet eine Möglichkeit, diese Vorgaben abzudecken.
  • Die andere Art Vorgaben betrifft die Löschregeln für konkrete Datenarten. Konkrete Löschregeln sind aber nicht Gegenstand der DIN 66398 (und auch nicht der EU-DSGVO). Vielmehr wird in der DIN 66398 gezeigt, wie die Löschregeln abgeleitet und dokumentiert werden können. Die zweite Gruppe von Rechtsvorgaben ist daher vom Verantwortlichen bei der Ableitung von Löschregeln zu beachten.

Neben der EU-DSGVO können auch andere Rechtsvorschriften Vorgaben zum Löschen treffen, z.B. ergänzende nationale Rechtsvorschriften, aber auch Verträge, die Löschpflichten ausweisen oder Tarifverträge und Betriebsvereinbarungen. Soweit es Vorgaben zur Vorgehensweise für ein Löschkonzept sind, sollte es möglich sein, sie in die Vorgehensweise nach DIN 66398 zu integrieren. Vorgaben zu  konkreten Zwecken und Fristen gehen in die jeweiligen Löschregeln ein.

 

Mitbestimmung und Betriebsvereinbarungen

Betriebs- und Dienstvereinbarungen können Zwecke der Verarbeitung von Beschäftigtendaten festlegen. Wenn diese zwecke die Rechntsgrundlage bilden, können sie die Löschregeln beeinflussen. Es kann daher für Mitbestimmungsverfahren äußerst hilfreich sein, klare Bezüge zwischen Betriebsvereinbarungen und Löschkonzept herzustellen. Ein Löschkonzept nach DIN 66398 bietet dafür gute Ansatzpunkte. Ein Aufsatz beschreibt Details. 

Aspekte von Löschmechanismen

Auch wenn die größte Hürde für ein Löschkonzept die Festlagung der Löschregeln ist, beleiben gruße Herausforderungen für die Umsetzung dieser Regeln.

Daten müssen schließlich sicher gelöscht oder vernichtet werden. Technische Details zur sicheren Vernichtung definiert die DIN 66399. Die Norm definiert insbesonder Sicherheitsstufen der Vernichtung und die zugehörigen Partikelgrößen für die Zerstörung von Datenträgern aus verschiedenen Materialien. Diese Vorgaben können in Umsetzungsvorgaben aufgegriffen werden.