Zielsetzung: Klare Struktur und einfache Beschreibungen

Warum schlägt die DIN 66398 vor, zwischen Regelkatalog und Umsetzungsvorgaben zu trennen? Ein Ziel der Vorgehensweise nach der Norm ist Einfachheit. Die Trennung der Ebenen "Löschregeln" und "Umsetzungsvorgaben" bietet eine bessere Übersicht über den Bestand an Regeln, motiviert zu konsistenten Begründungen für Regeln und führt zu zielgruppenspezifischen und stabilen Dokumenten.

Systemspezifische Regelableitung vs. Regelkatalog

Werden Löschregeln systemspezifisch definiert, kann sich die Komplexität des Löschkonzepts erhöhen:

  • Sollen die Löschregeln nachvollziehbar sein, muss in jedem System begründet werden, warum eine bestimmte Regel gilt und anzuwenden ist. Die gleiche Datenart kann in mehreren Systemen verwendet werden. Dann wächst der Umfang der Dokumentation, weil Begründungen mehrfach notwendig sind. Außerdem werden häufig auch Aspekte des technischen Kontexts Eingang finden.
  • Wird die gleiche Datenart in mehreren Systemen verwendet, dann ist für jedes System eine Regel zu definieren. Bei unterschiedlichen Regeln für eine Datenart in unterschiedlichen Systemen stellt sich die Frage, wie diese Abweichungen zu bewerten und zu behandeln sind. Die Argumente für die Löschregel werden zudem auf mehrere Dokumente verteilt sein -- das macht einen Vergleich der systemspezifischen Löschregeln für die gleiche Datenart schwierig
  • Da bei diessem Vorgehen die Datenarten systemspezifisch identifiziert werden, können die Datenarten auch leicht abweichend definiert werden. Das erschwert Vergleiche von Regeln zusätzlich.
  • Für "neue" Systeme mit einer (mehrfach) bestehenden Datenart muss bei verschiedenen Regeldefinitionen entschieden werden, welche als Referenz verwendet werden kann oder ob eine weitere Regel notwendig ist.

Wird die Begründung jeder Löschregel dagegen in einem Regelkatalog zusammengefasst, wird auf einfache Weise eine hohe Konsistenz erreicht. Alle Löschregeln sind außerdem an einer Stelle zu finden und können dann leicht wiederverwendet werden (siehe unten).

Technikunabhängige Beschreibung von Löschregeln

Die Trennung zwischen Regelkatalog und Umsetzungsvorgaben legt nahe, die Inhalte zwischen den beiden Ebenen klar abzugrenzen: Die Datenarten und zugehörigen Löschregeln werden technikunabhängig beschrieben, die Umsetzungsvorgaben übernehmen dann die Abbildung der Regeln auf die Technik.

Die technikunabhängige Beschreibung der Datenarten und Löschregeln bietet einige Vorteile: Die Beschreibung und Ableitung fokussiert auf die fachlichen Verwendungszwecke und die rechtlichen Vorgaben. Diese beiden Faktoren sind die Eingangsparameter, um eine Löschregel zu definieren. Technische Gründe sind aus der datenschutzrechtlichen Perspektive sekundär und sollten deshalb auch in der Ableitung der Löschregel keine besondere Rolle spielen.

Damit wird auch erreicht, dass die Regel als Sollvorgabe definiert wird, nämlich anhand der begründbaren Verwendung der Daten, und nicht an der in Technik 'machbaren' Lösung orientiert wird. Selbst wenn zum Zeitpunkt der Regeldefinition diese Sollvorgabe technisch nicht erreicht werden kann, ist es notwendig, die Regel so zu definieren. Denn: Nur wenn im Regelkatalog die Sollvorgabe definiert wird, ist langfristig zu erwarten, dass auch passende technische Lösungen gesucht werden (siehe dazu auch unten bei Wiederverwendbarkeit in IT-Projekten).

Technische Details sind häufig komplex und lenken von der Kernfragstellung der Regelbildung ab. Wenn solche Details im Regelkatalog vermieden werden, wird auf Fachebene diskutiert und beschrieben. Damit können Entscheidung über die Regel leichter getroffen werden und die Beschreibung der Regel wird leichter nachvollziehbar.

Wiederverwendbarkeit

Im Gegensatz zu Löschregeln, die systemspezifisch beschrieben werden, sind technikunabhänige Löschregeln unmittelbar für die Wiederverwendung geeignet. Das ist sinnvoll, weil:

  • Zwecke und Rechtsgrundlagen vergleichsweise stabil sind. Die Löschregeln ändern sich daher meist nicht, wenn ein Techniksystem ausgetauscht wird oder Abläufe im Geschäftsprozess angepasst werden. Durch die Trennung des Regelkatalogs von den Umsetzungsvorgaben bleibt der Regelkatalog stabil, auch wenn Technik oder Abläufe geändert werden. So können auch erneute Reviews und Freigaben der Löschregeln vermieden werden.
  • eine Datenart häufig in mehr als einem System verwendet wird, z.B. in einem Produktionssystem und einem Archiv. Da die Löschregel in der Begründung im zentralen Regelkatalog die Aufbewahrungsfristen berücksichtigt, kann die identische Regel in allen Umsetzungsvorgaben angewandt werden. Dabei muss die Vorhaltefrist möglicherweise nur in einem System erreicht werden. In allen anderen Systemen kann die jeweilige Datenart unter fachlichen, datenschutzrechtlichen und technischen Gesichtspunkten möglicherweise früher gelöscht werden. Für diese Entscheidungen sind aber in aller Regel keine großen Analysen und Begründungen mehr notwendig. Sie kann oft im Zusammenhang mit der Implementierung getroffen werden.
  • für Informations- und Auskuftspflichten zur Löschfrist nach Art. 13 bis 15 DSGVO und das Verarbeitungsverzeichnis nach Art. 30 nur an einer Stelle nach der Löschregel gesucht werden muss. Sind die Löschregeln systemspezifisch definiert, müssen für eine korrekte Information möglicherweise mehrere Dokumente geprüft und Inhalte für die Antwort zusammengeführt werden. Der zentrale Regelkatalog könnte dagegen sogar Teil des Verarbeitungsverzeichnisses sein.
  • in IT-Entwicklungs- oder Beschaffungsprojekten die Löschregel aus dem Regelkatalog als Anforderung an das neue System bereits zu Beginn des Projekts zur Verfügung gestellt werden kann. Systemspezifische Regeln leisten dies wahrscheinlich nicht so einfach.

Eine technikunabhängige Beschreibung von Löschregeln ist auch die Voraussetzung dafür, dass Regelkataloge für Branchen erstellt werden können. Diese wiederum bieten die Chance, dass verschiedene Hersteller in ihren Produkten die gleichen Löschregeln implementieren. Im Übrigen ist eine Trennung zwischen "what" (= Anforderung, Löschregeln) und "how" (= Umsetzung) auch eine vielfach geforderte Vorgehensweise in der Anforderungsanalyse von IT-Projekten.