Zielsetzung: Klare Struktur und einfache Beschreibungen

Warum schlägt die DIN 66398 vor, zwischen Regelkatalog und Umsetzungsvorgaben zu trennen? Ein Ziel der Vorgehensweise ist Einfachheit. Die Trennung der Ebenen "Löschregeln" und "Umsetzungsvorgaben" bietet eine bessere Übersicht über den Bestand an Regeln, motiviert zu konsistenten Begründungen für Regeln und führt zu zielgruppenspezifischen und stabilen Dokumenten.

Systemspezifische Regelableitung vs. Regelkatalog

Werden Löschregeln systemspezifisch definiert, entstehen zwei Probleme:

  • Sollen die Löschregeln nachvollziehbar sein, muss in jedem System begründet werden, warum eine bestimmte Regel gilt und anzuwenden ist. Dadurch wächst der Umfang der Dokumentation, weil Begründungen mehrfach notwendig sind. Außerdem werden häufig auch Aspekte des technischen Kontexts Eingang finden.
  • Die gleiche Datenart kann in mehreen Systemen verwendet werden. Dann ist für jedes System eine Regel zu definieren. Bei unterschiedlichen Regeln für eine Datenart in unterschiedlichen Systemen stellt sich die Frage, wie diese Abweichungen zu bewerten und zu behandeln sind. Die Argumente für die Löschregel werden zudem auf mehrere Dokumente verteilt sein -- das macht einen Vergleich der systemspezifischen Löschregeln für die gleiche Datenart schwierig

  • Außerdem könnte es sein, dass auch die Datenarten unterschiedliche definiert werden. Das erschwert Vergleiche zusätzlich.

  • Für "neue" Systeme mit der Datenart muss entschieden werden, welche der bestehenden Regeldefinitionen als Referenz verwendet werden kann oder ob eine weitere Regeldefinition notwendig ist.

Wird die Begründung jeder Löschregel dagegen in einem Regelkatalog zusammengefasst, wird auf einfache Weise eine hohe Konsistenz erreicht. Alle Löschregeln sind außerdem an einer Stelle zu finden und können dann leicht wiederverwendet werden (siehe unten).

Technikunabhängige Beschreibung von Löschregeln

Die Trennung zwischen Regelkatalog und Umsetzungsvorgaben legt nahe, die Inhalte zwischen den beiden Ebenen klar abzugrenzen: Die Datenarten und zugehörigen Löschregeln werden technikunabhängig beschrieben, die Umsetzungsvorgaben übernehmen dann die Abbildung der Regeln auf die Technik.

Die technikunabhängig Beschreibung der Datenarten und Löschregeln bietet einige Vorteile: Die Beschreibung und Ableitung fokussiert auf die fachlichen Verwendungszwecke und die rechtlichen Vorgaben. Diese beiden Faktoren sind die Eingangsprameter, um eine Löschregel zu definieren. Technische Gründe sind sekundär und sollten deshalb auch in der Ableitung der Löschregel keine besondere Rolle spielen. Damit wird auch  erreicht, dass die Regel als Sollvorgabe definiert wird, nämlich anhand der begründbaren Verwendung der Daten, und nicht an der in Technik 'machbaren' Lösung orientiert wird. Selbst wenn zum aktuellen Zeitpunkt die Sollvorgabe technisch nicht erreicht werden kann, Nur wenn im Regelkatalog diese Sollvorgabe definiert wird, ist langfristig zu erwarten, dass auch datenschutzrechtlich passende technische Lösungen gesucht werden (siehe dazu auch unten bei Wiederverwendbarkeit in IT-Projekten).

Technische Details sind häufig komplex und lenken von der Kernfragstellung der Regelbildung ab. Wenn solche Details im Regelkatalog vermieden werden, wird auf Fachebene diskutiert und beschrieben. Damit können Entscheidung über die Regel leichter getroffen werden und die Beschreibung der Regel wird leichter nachvollziehbar.

Wiederverwendbarkeit

Im Gegensatz zu Löschregeln, die systemspezifisch beschrieben werden, sind technikunabhänige Löschregeln unmittelbar für die Wiederverwendung geeignet. Das ist sinnvoll, weil:

  • Zwecke und Rechtsgrundlagen vergleichsweise stabil sind. Die Löschregeln ändern sich daher meist nicht, wenn ein Techniksystem ausgetauscht wird oder Geschäftsprozesse angepasst werden. Durch die Trennung des Regelkatalogs von den Umsetzungsvorgaben bleibt der Regelkatalog stabil, auch wenn Technik oder Abläufe geändert werden. So können auch erneute Reviews und Freigaben der Löschregeln vermieden werden.
  • eine Datenart häufig in mehr als einem System verwendet wird, z.B. in einem Produktionssystem und einem Archiv. Da die Löschregel in der Begründung im zentralen Regelkatalog die Aufbewahrungsfristen berücksichtigt, kann die identische Regel in allen Umsetzungsvorgaben angewandt werden. Dabei muss die Vorhaltefrist möglicherweise nur in einem System erreicht werden. In allen anderen Systemen kann die jeweilige Datenart unter fachlichen, datenschutzrechtlichen und technischen Gesichtspunkten möglicherweise früher gelöscht werden. Für diese Entscheidungen sind aber in aller Regel keine großen Analysen und Begründungen mehr notwendig.
  • für Informations- und Auskuftspflichten nach Art. 13 bis 15 DSGVO nur an einer Stelle nach der Löschregel gesucht werden muss. Sind die Löschregeln systemspezifisch definiert, müssen für eine korrekte Information möglicherweise mehrere Dokumente geprüft und Inhalte für die Antwort zusammengeführt werden.
  • in IT-Entwicklungs- oder Beschaffungsprojekten die Löschregel aus dem Regelkatalog als Anforderung an das neue System bereits zu Beginn des Projekts zur Verfügung gestellt werden kann. Systemspezifische Regeln leisten dies wahrscheinlich nicht so einfach.

Eine technikunabhängige Beschreibung von Löschregeln ist auch die Voraussetzung dafür, dass Regelkataloge für Branchen erstellt werden können. Diese wiederum bieten die Chance, dass verschiedene Hersteller in ihren Produkten die gleichen Löschregeln implementieren. Im Übrigen ist eine Trennung zwischen "what" (= Anforderung, Löschregeln) und "how" (= Umsetzung) auch eine vielfach geforderte Vorgehensweise in der Anforderungsanalyse von IT-Projekten.