Zielsetzung: Einfache Struktur der Löschregeln

Warum schlägt die DIN 66398 vor, die Regellöschfrist als Sortierkriterium zu verwenden? Man könnte ja auch die Vorhaltefrist zur Strukturierung verwenden.

Die Erfahrung zeigt, dass die Orientierung an der Regellöschfrist zur Einfachheit der Löschregeln beiträgt und insgesamt im Projekt einfacher zu verwenden ist. Ausgangspunkt ist die Matrix der Löschregeln. Wenn die Matrix wenige Spalten besitzt, bildet sich für den Betrachter eine einfache Struktur heraus. Die Löschregeln lassen sich dann viel leichter erfassen, als wenn viele unterschiedliche Fristen relevant sind. In vielen Fällen ist es mit einer einfach aufgebauten Matrix möglich, die wesentlichen Regeln im Kopf zu haben. Das vereinfacht die Diskussion um Löschregeln und ihre Anwendung sehr.  

Da die Regellöschfrist den Spielraum zur Gestaltung enthält, lassen sich vielfach größere Gruppen von Datenarten bilden: Für wenig sensitive Datenarten kann ein größerer Spielraum eingeräumt werden, bspw. eine jährliche Löschung bei einer Vorhaltefrist von einem Jahr ab Ereignis, während für eine andere Datenart ab Ereignis mit einer Vorhaltefrist von zwei Jahren eine monatliche Löschung anzuwenden wäre. Wählt man eine Standardlöschfrist von 25 Monaten, könnten beide Datenarten in dieselbe Löschklasse fallen.

Da die Regellöschfristen für die meisten Datenarten aus den (möglichst wenigen) Standardlöschfristen der Organisation ausgewählt werden, treten mehrere Effekte auf:

  • Beim Auswählen einer Löschregel in der Matrix der Löschklassen werden häufig intuitiv unmittelbar alle Fristbestandteile berücksichtigt: aktive Verwendung, fachliche Aufbewahrung, rechtliche Aufbewahrungspflichten und Zeiträume für die Gestaltung des Löschprozesses.  
  • Die Entscheidung über eine erste Regellöschfrist kann meist sehr schnell gefällt werden. Das ist beim Thema "Löschen" motivierend, denn trotz des unguten Gefühls, löschen zu müssen, sieht man den Fortschritt bei der Regelbildung.
  • Würde man mit der Vorhaltefrist arbeiten, bräuchte man als zusätzliche Angabe den Spielraum für die Gestaltung der Löschprozesse. Und man müsste für Vergleiche rechnen oder die Regellöschfrist als dritten Wert mitführen. Das alles macht Diskussionen komplizierter.
  • Die Regellöschfrist kann auch für Datenarten bestimmt werden, für die aus Fachprozessen oder rechtlichen Vorgaben keine formale Vorhaltefrist definiert ist.
  • Wie weit die Differenz zwischen Vorhaltefrist und Regellöschfrist ausgenutzt werden kann, spielt an dieser Stelle nur eine nebengeordnete Rolle. Unter Umständen kann dies sogar erst mit den Umsetzungsvorgaben entschieden werden.

Die Beteiligten am Löschprojekt fokussieren mit der Regellöschfrist auf den spätesten Zeitpunkt der Löschung: Nach diesem Zeitpunkt müssen die Verwendungen  der Datenart abgeschlossen sein. Die Diskussionsbeiträge lauten dann z.B.: Nach einem Jahr sind wir damit fertig. Wenn wir einmal im Jahr löschen ....". Das genügt, um eine Regellöschfrist vorzuschlagen.

Informations- und Dokumentationspflichten

Die Vorgaben der DSGVO in den Art. 30 und 13 bis 15 fordern, dass der Verantwortliche "falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer" im Verarbeitungsverzeichnis dokumentiert und die betroffenen Personen darüber informiert. Im Sinne der DIN 66398 sind dies aber genau Startzeitpunkt und Regellöschfrist.

Auch aus den rechtlichen Vorgaben heraus bietet es sich daher an, die Darstellung an der Regellöschfrist zu orientieren.

Nutzen einfacher Löschregeln

Gut zu merken

Durch das in der Norm vorgeschlagene Vorgehen erhalten die Löschregeln eine einfache Struktur. Wenn die Löschregeln eine einfache Struktur aufweisen, kann man sich viele der Regeln gut merken. Dies hilft bei den Diskussionen über Datenarten, denn viele der Regeln "kennt man" und muss sie nicht erst nachschlagen. Auch wenn Bezüge sichergestellt werden müssen, z.B. "Datenart A wird noch verwendet, solange Datenart B" gespeichert wird, lässt sich dies leichter in einer Systematik von Regellöschfristen diskutieren als mit Vorhaltefristen.

Hilfreich für Implementierung und Betrieb

In manchen Fällen hilft die einfache Struktur der Regellöschfristen auch bei der Implementierung, weil gleiche Fristen zu einfacheren Mechanismen führen können.

Auch Administratoren haben so eine bessere Chance, die Löschregeln zu überblicken. Das kann Fehler beim Einsatz von Löschmechanismen vermeiden.

Prüfen von Löschmechanismen

Um festzustellen, ob eine Löschregel durch einen Mechanismus korrekt umgesetzt ist, wird in der Regel geprüft werden, ob nach einem Löschlauf noch löschfällige Datensätze vorhanden sind. Ist dies nicht der Fall, kann man davon ausgehen, dass die Regel korrekt angewendet wird. Sind dagegen löschfällige Daten vorhanden, muss dies begründbar sein, beispielsweise anhand von Sperrungen im Einzelfall; Anderenfalls liegt ein Verstoß gegen die Löschregel vor.

Tests, Überprüfungen im Betrieb oder Audit stellt immer auf die Regellöschfrist ab. Daher ist eine einfache Struktur der Fristen auch für diese Situationen hilfreich. Wenn die Prüfbedingungen formuliert werden, genügt es für viele Datenarten schon, die Struktur der Löschregeln im Kopf zu haben. Und wenn in der Test- oder Audit-Situation selbst Klärungsbedarf entsteht, kann oft auch direkt diskutiert werden ohne nachzuschlagen.