Zuständiges Gremium

Auch in der International Standardisation Organisation (ISO) ist für das Thema Datenschutz eine Arbeitsgruppe zuständig: dies ist ISO JTC1 SC27 WG05. Dabei steht:

  • JTC1 für Joint Technical Commitee 1 von ISO und IEC (International Electrotechnical Commission)
  • SC27 für Sub Commitee 27 (Aufgabenbereich: Informationssicherheit und Datenschutz)
  • WG05 für Working Group 05 (Aufgabenbereich: Datenschutz)

Die WG05 ist das Spiegelgremium zum DIN NIA27 AK05. Dieser AK und die entsprechenden Gremien der anderen Nationen entsenden Mitglieder in die WG und bearbeiten die Projekte der WG.

Erste ISO Study-Period 2012 bis 2013

Parallel zum DIN/INS-Projekt wurde das Thema "Löschkonzept" von Vertretern des DIN im Mai 2012 in der ISO/IEC JTC 1/SC 27/WG 5 eingebracht. Dort wurde eine „Study Period on documentation of data deletion principles for personally identifiable information“ eingerichtet. Dr. Volker Hammer von Secorvo übernahm die Rolle des Rapporteurs. Ein Mitglied der englischen Delegation unterstützte im weiteren Verlauf als Co-Rapporteur.

Der Report der Study Period griff die Ergebnisse des DIN/INS-Projekts auf und wurde am 25. Oktober 2012 auf einer Sitzung der WG 5 in Rom vorgestellt als Report on "Study Period on a concept for deletion of personal data by which organisations can support implementation of the respective privacy principles of ISO/IEC 29100 Privacy Framework on Documentation of data deletion for PII in organizations".

Die Study Period wurde verlängert, um einen Editor für ein Standardisierungsprojekt zu suchen. Der abschließende Report wurde im Oktober 2013 vorgestellt: Die Diskussion in der WG zeigte, dass das Thema grundsätzlich auf großes Interesse stieß. Allerdings fand sich kein Editor mit ausreichend Ressourcen, um ein Standardisierungsprojekt zu leiten. Die Study Period wurde  mit diesem Ergebnis geschlossen.

Zweite ISO Study-Period: 2017 bis 2018

Im Oktober 2017 wurde auf der WG05-Sitzuung in in Berlin die englische Sprachfassung der DIN 66398 vorgestellt. Mit dieser neuen Ausgangsbasis wurde eine zweite Study Period eingerichtet, die prüfen sollte, ob der nationale Standard geeignet ist, um ihn in einen ISO-Standard zu übertragen. Rapporteuer war Dr. Volker Hammer. Drei Co-Rapporteure der Delegationen aus England, Indien und Deutschland begleiteten die Prüfung.

Kommentare wurden eingereicht aus Italien, Israel und Südkorea. Sie waren insgesamt zustimmend, merkten aber an, dass eine direkte Übernahme nicht sinnvoll sei, sondern verschiedene Aspekte zu überarbeiten seien. Hinweise gab es u.a. zu den Beispielen, die aus dem deutschen nationalen Datenschutzrecht abgeleitet waren, das inzwischen durch die Datenschutz-Grundverordnung abgelöst worden war, sowie zur Qualität des Textes hinsichtlich der englischen Sprache, die Erwartungen der native Speaker nicht erfüllte.

Mit dieser Ausgangsage wurde entschieden, dass ein New Work Item Proposal (NWIP) eingereicht wird, um die DIN 66398 in einen ISO-Standard zu überführen. Die Ausgangsbasis des NWIP ist die englische Sprachfassung der DIN 66398. Die Durchführung des Projekts als ISO/IEC 27555 wird im Oktober 2018 beschlossen.

ISO/IEC 27555: Standardisierungsprojekt ab 2018

Nach dem positiven Ergebnis der zweiten Study Period richtete die ISO JTC1 SC27 WG08 im Herbst 2018 das Standardisierungsprojekt ISO/IEC 27555 ein. Ziel des Projekts ist die Übertragung der DIN 66398 in einen ISO Standard. Eine Vertreterin der italienschen Aufsichtsbehörde und ein Mitglied der chinesischen Delegation fanden sich als Editorin und Co-Editor.

Zur WG-05-Sitzung im April 2014 in Tel Aviv wurde ein erster Working Draft vorgelegt und von mehreren nationalen Arbeitskreisen kommentiert. Dieser wird nach Diskussionsergebnissen in Tel Aviv zu einem zweiten Working Draft (WD2) überarbeitet. Der aktuelle Vorschlag für den Titel ist "Establishing a personal identifiable information deletion concept in organizations".

In der WG-05-Sitzung im Oktober 2019 in Paris wird der zweite WD diskutiert und überarbeitet. Die ISO-Fassung ist gegenüber der DIN 66398 gestrafft. Außer einigen kleinen Korrekturen und Ergänzungen ergeben sich aber keine inhaltlichen Änderungen. Das Dokument wird im Status erster Commitee Draft (CD1) verabschiedet. Volker Hammer wird als weiterer Co-Editor in das Editoren-Team berufen.

Der CD1 wird aus sechs nationalen Normungsgremien kommentiert. Die 114 Kommentare werden durch zahlreiche Präzisierungen, kleinere inhaltliche Umstellungen oder Ergänzungen und Klarstellungen in den Text eingearbeitet. Es gibt keine Anmerkungen mit großen inhaltlichen Auswirkungen. Der Titel wird auf "Guidelines on personally identifiable information deletion" geändert. Die beschließende WG-"Sitzung" findet wegen der Corona-Krise im April 2020 als Videokonferenz statt. Der überarbeitete CD1 wird als zweiter Commitee Draft (CD2) verabschiedet.

Der Zeitplan des Projekts sieht vor, das der Standard ISO/IEC 27555 Bis Ende 2021 veröffentlicht werden soll.