New Work Item

Nach dem positiven Ergebnis der zweiten Study Period richtete die ISO JTC1 SC27 WG05 im Herbst 2018 das Standardisierungsprojekt ISO/IEC 27555 ein. Ziel des Projekts ist die Übertragung der DIN 66398 in einen ISO Standard. Eine Vertreterin der italienschen Aufsichtsbehörde und ein Mitglied der chinesischen Delegation fanden sich als Editorin und Co-Editor.

Working Draft 1

Zur WG-05-Sitzung im April 2014 in Tel Aviv wurde ein erster Working Draft (WD1) vorgelegt und von mehreren nationalen Arbeitskreisen kommentiert. Dieser wird nach Diskussionsergebnissen in Tel Aviv zu einem zweiten Working Draft (WD2) überarbeitet. Der aktuelle Vorschlag für den Titel ist "Establishing a personal identifiable information deletion concept in organizations".

Working Draft 2

In der WG-05-Sitzung im Oktober 2019 in Paris wird der WD2 diskutiert und überarbeitet. Die ISO-Fassung ist gegenüber der DIN 66398 gestrafft. Außer einigen kleinen Korrekturen und Ergänzungen ergeben sich aber keine inhaltlichen Änderungen. Das Dokument wird im Status erster Commitee Draft (CD1) verabschiedet. Volker Hammer wird als weiterer Co-Editor in das Editoren-Team berufen.

Commitee Draft 1

Der CD1 wird aus sechs nationalen Normungsgremien kommentiert. Die 114 Kommentare werden durch zahlreiche Präzisierungen, kleinere inhaltliche Umstellungen oder Ergänzungen und Klarstellungen in den Text eingearbeitet. Es gibt keine Anmerkungen mit großen inhaltlichen Auswirkungen. Der Titel wird auf "Guidelines on personally identifiable information deletion" geändert. Die beschließende WG-"Sitzung" findet wegen der Corona-Krise im April 2020 als Videokonferenz statt. Der überarbeitete CD1 wird als zweiter Commitee Draft (CD2) verabschiedet.

Commitee Draft 2

Zum CD2 gaben die nationalen Normungsgremien aus Indien, Italien, Japan, Korea, der Schweiz, der USA und Deutschland insgesamt 76 Kommentare ab. Der überwiegende Teil wurde akzeptiert und eingearbeitet. Weitreichende inhaltliche Änderungen waren:

  • Der Begriff  "löschen" wird nicht mehr direkt im Sinne von überschreiben/zerstören als sicherem Löschen, sondern über eine risikoadäquate Maßnahme definiert. Hintergrund sind einerseits die entsprechend relativen Vorgaben aus Art. 24 und 32 DSGVO, und andererseits die praktischen Schwierigkeiten, bei modernen Speichertechnologien sicherzustellen, dass Daten wirklich überschrieben werden. In Anmerkungen werden die Vorgaben präzisiert. 
  • Für Backups wurde in den Kommentaren vorgeschlagen, dass diese grundsätzlich innerhalb der Regellöschfrist zu löschen seien. Dieser Kommentar wird im Grundsatz abgelehnt, weil das die Komplexität von Löschregeln sehr erhöhen würde: Sie müssten die Backup-Regeln mit berücksichtigen. Bei der Prüfung des Kommentars wird aber erkannt, dass Backups zu einem Zielkonflikt mit Rechtsregeln führen können, wenn die Löschfrist durch Gesetz vorgegeben ist. Für diesen Fall wird empfohlen, die Regellöschfrist geeignet zu verkürzen, um Spielraum für das Vorhalten von Backups zu erhalten.
  • Die zu diesem Zeitpunkt noch verblieben informativen Anhänge zur Organisation von Löschprojekten, zur Anonymisierung und zur Sicherheit von Löschmechanismen werden aus dem Standard gestrichen. Das stand 2019 mit dem WD2 schon zur Diskussion, wurde aber zunächst zurückgestellt. Letzlich war der Aufwand für die Überarbeitung zu hoch und konnte im Zeitrahmen für das Projekt nicht geleistet werden. 

Der Text mit den Änderungen wurde zur Registrierung als Draft International Standard (DIS) vorgeschlagen.

Nächste Schritte

Der Zeitplan des Projekts sieht vor, das der Standard ISO/IEC 27555 Bis Ende 2021 veröffentlicht werden soll. Zum aktuellen Stand siehe bei ISO auf der Seite zum Standardisierungsprojekt ISO/IEC 27555.