Übersicht über die Inhalte

Die DIN 66398 ist motiviert aus den Löschvorgaben des Datenschutzrechts und deshalb auf ein Löschkonzept  für personenbezogene Daten ausgerichtet. Die Vorgehensweise kann aber auch auf Datenbestände ohne Personenbezug übertragen werden. 

Die Norm beschreibt, welche Elemente ein Löschkonzept haben sollte und empfiehlt eine Dokumentationsstruktur.

Die Norm schlägt eine Vorgehensweise vor, mit der effizient  Löschregeln gefunden werden können. Dazu werden zunächst sogenannte Löschklassen identifiziert. Der Datenbestand der verantwortlichen Stelle wird in Datenarten aufgeteilt. Indem die Datenarten in die Löschklassen eingeordnet werden, ergeben sich dann die Löschregeln.

Die Norm beschreibt außerdem, welche Inhalte in Umsetzungsvorgaben definiert werden sollten.

Die Löschregeln und Umsetzungsvorgaben für eine verantwortliche Stelle ergeben sich aus den

  • spezifischen personenbezogenen Datenbeständen, für die die Stelle verantwortlich ist,
  • konkreten Zwecken, für die die Daten verwendet werden,
  • Rechtsgrundlagen, aus denen sich die Zulässigkeit und Erforderlickeit der Datenverwendung ergibt, und
  • aus den Prozessen, in denen die Stelle ihre Daten verwendet. 

Die DIN 66398 kann und will deshalb keine Löschregeln festlegen - diese zu bestimmen ist die datenschutzrechtliche Aufgabe der jeweiligen verantwortlichen Stelle. Wenn sich Rechtsregeln, Zwecke, Prozesse oder Datenbestände ändern, muss das Löschkonzept  gepflegt werden. Deshalb sind im Löschkonzept auch Verantwortlichkeiten festzulegen.

Schließlich bieten vier Anhänge ergänzende Hinweise zu Aspekten eines Löschkonzepts.

Die DIN 66398 ist eine Empfehlung. Sie kann verantwortlichen Stellen helfen, ihre rechtliche Verpflichtung zur Löschung von personenbezogenen Daten zu erfüllen.