Während der ersten Arbeiten in Löschprojekten war es eine wichtige Aufgabe, einen Satz gut verständlicher und stabiler Begriffe zu definieren. Das Ziel war es, für die vielen Beteiligten sicherzustellen, dass sie "über die gleichen Sachverhalte reden". Die in der DIN 66398 und entsprechend auch künftig in der ISO 27555 definierten Begriffe bieten eine hervorragende Ausgangsbasis zur Verständigung innerhalb einer Organisation zwischen Fachabteilungen, IT-Verantwortlichen, Datenschützern, den Vertretern der Informationssicherheit und der Geschäftsführung. Besonders hilfreich sind einheitliche Begriffe für die organisationsübergreifende Kommunikation zum Thema Löschen mit Dienstleistern, Herstellern, Auditoren, Aufsichtsbehörden oder anderen Beteiligten.

Die DIN 66398 verwendet zwei zentrale Begriffe: den der Datenart und den der Löschregel. Im Folgenden werden beide Begriffe näher erläutert. Für die Definition der Datenart werden zunächst die Elemente beschrieben, aus denen Datenarten zusammengesetzt werden: Merkmale als kleinste Einheit und Datenobjekte  als gößere inhaltliche Einheiten mit mehreren Merkmalen.

Warum wird mit der Datenart ein Begriff verwendet, der von der 'Datenkategorie' aus der DSGVO abweicht? Dafür gibt es gute Argumente

Im Weiteren werden die wichtigsten Begriffe aus der DIN 66398 vorgestellt und ausführlich erläutert.

Merkmale

In der Terminologie der DIN 66398 sind Merkmale die kleinsten informationstragenden Einheiten. Beispielsweise kann eine Adresse aus den Merkmalen Vorname, Nachname, Straße mit Hausnummer, Postleitzahl, Stadt und Ländercode bestehen. Der Begriff des Merkmals wird in der Norm verwendet, aber nicht formal definiert. Er wird verwendet, um die Inhalte von Datenobjekten (siehe unten) zu beschreiben. Insbesondere über die Merkmale kann auch aufgezeigt werden, wie sensitiv die Inhalte einer Datenart sind. In Datenbanken werden Merkmale häufig als Attribute realisiert.

Mehrere Merkmale bilden in Kombination ein Datenobjekt.

Beispiel: Der "Stammdatensatz Endkunde" könnte aus den Merkmalen der Adresse bestehen und weitere Merkmale enthalten, z.B. die Kundenummer, die Bankverbindung und Einträge für das Datum des ersten und des letzten Kontakts.

Ein konkretes Merkmal oder gleiche Merkmalskombinationen einer betroffenen Person können in verschiedenen Zusammenhängen verwendet werden und deshalb Bestandteil verschiedener Datenobjekte und damit auch verschiedener Datenarten sein.

Die Merkmale einer Adresse sind typischerweise enthalten im Stammdatensatz, in Rechnungen, Quittungen oder im Schriftverkehr mit einem Betroffenen.

Datenobjekt

Der Begriff Datenobjekt wird im Kontext der DIN 66398 universell verwendet. Er dient insbesondere dazu, zu beschreiben, welche "logischen Einheiten" in eine Datenart fallen. 

Datenobjekte sind Elemente, die Daten enthalten, wie z. B. Dateien, Papier-Dokumente, Datensätze in Datenbanken, PDF-Dokumente, Tonaufzeichnungen, Bilder, Videos, ggf. aber aus größere Einheiten wie eine Tabelle oder eine Partition in einer Datenbank.

Datenobjekte in Datenarten

Ein Datenobjekt kann in mehrern Datenarten vorkommen, beispielsweise wenn Kopien in mehreren Datenarten verwendet werden.

So könnte eine Rechnung in den Buchhaltungsdaten abgelegt werden. Eine Kopie könnte auch Teil einer 'Bauwerksakte' sein, in der über den Lebenszyklus dokumentiert wird, welche Maßnahmen mit welchen Mitteln ergriffen wurden. Und schließlich könnte sie auch Teil der Dokumentation der Beziehung zum Lieferanten sein. Wenn die Kopien eigenständig verwaltet werden, können die drei Fachbereiche eigenständig mit den Dokumenten umgehen und ihre jeweils eigenen Löschregeln anwenden.

Wenn nur eine Rechnung abgelegt wird, müssen die Zugriffe darauf geeignet kontrolliert werden. So könnte die Bauwerksakte viel länger existieren als die Aufbewahrungspflicht für die Buchhaltungsdaten besteht. Dann dürfte der Fachbereich Finanzen nicht mehr, die zuständigen MitarbeiterInnen des Baureferats aber sehr wohl noch darauf zugreifen. Für die Löschung müssen dann alle fachlichen Zwecke abgearbeitet sein. Es kann dann schwierig sein, diese Voraussetzungen zu prüfen. Auch das Formulieren der genau einen Löschregel für die Datenart gestaltet sich dann unter Umständen schwierig.  

Löschen und Anonymisieren von Datenobjekten

In aller Regel werden Datenobjekte als Ganzes gelöscht, d.h. die Löschregel der Datenart wird auf alle Merkmale und Bestandteile eines Datenobjekts gleichzeitg angewandt. Dies ist bestimmt durch die Erwartung, dass eine PDF-Datei, ein Dokument oder ein Datensatz in einer Datenbank auf einmal gelöscht/vernichtet wird (und nicht Merkmal für Merkmal). 

Ausnahmen von dieser Grundregel - also die Löschung einzelner Merkmale - können notwendig sein, beispielweise wenn

  • in einem Datenobjekt mit ansonsten wenig sensitiven Merkmalen einzelne sensitive Informationen enthalten sind, beispielsweise eine Telekommunikationsadresse und der Zeitpunkt der Verbindung in einem Kontakteintrag in einem CRM-System. Dann könnte es datenschutzrechtlich gefordert sein, diese Verbindungsdaten bald zu löschen oder zu aggregieren.
  • Datenobjekte anonymisiert werden sollen. Dazu müssen einzelne Merkmale im Datenobjekt so verändert werden, dass nicht mehr auf den jeweiligen Betroffenen bezogen werden können (siehe dazu auch Anonymisierung - wird noch ausgeführt).

In beiden Fällen wird über die Löschregeln für die Merkmale angegeben, wann die Löschung oder Anonymisierung spätestens erfolgen muss. IM Falle der Anonymisierung ist auch die konkrete "Formel" für die Anpassung der Werte vorzugeben.

Anmerkung

Der Begriff Datenobjekt ist bewußt unscharf und weit gefasst. So können Datenobjekte auch "geschachtelt" sein:

Eine 'Personalakte' sammelt verschiedene Dokumente zum Anstellungsverhältnis, unter anderem den 'Arbeitsvertrag' und 'Vertragsergänzungen', 'Zertifikate' aus Weiterbildungen, 'Vermerke zum Werdegang' in der Organisation und das 'Stammdatenblatt'.

Eine 'Vorfallsakte' könnte z.B. eine Sammlung von Dokumenten als 'Ausgangslage', verschiedene Dokumente als 'Belege', eine Tabelle mit einer 'Verlaufsbeschreibung' und einen 'Abschlussbericht' enthalten.

Datenart

Unter einer Datenart versteht die DIN 66398 eine Gruppe von Datenobjekten, die zu einem einheitlichen Zweck verarbeitet wird. Hintergrund ist, dass mit der Erfüllung des Zwecks die Erforderlichkeit der personenbezogenen Daten nicht mehr gegeben ist. Die Daten sind dann zu löschen. Wenn der Zweck einheitlich ist, folgt daraus eine gemeinsame Löschregel. 

Die wichtigsten Kriterien für die Bildung der Datenarten in einer Organisation sind:

  • die fachlichen Zwecke in den Geschäftsprozessen
  • die Rechtsgrundlagen für die Verarbeitung
  • die Betroffenen

Fachliche Zwecke

In Geschäftsprozessen werden die fachlichen Zwecke der Organisation umgesetzt. Soweit die Prozesse datenschutzrechtlich zulässig sind, definieren diese Zwecke Zeiträume, in denen die Daten verwendet werden dürfen oder verwendet werden müssen.

Rechtsgrundlagen

Die fachlichen Zwecke müssen durch Rechtsgrundlagen gemäß Artikel 6 DSGVPO unterlegt sein. Wenn sich diese Rechtsgrundlagen für verschiedene Datenobjekte unterscheiden, folgen daraus häufig auch unterschiedliche Löschregeln.

Zu den Rechtsgrundlagen gehören auch die Aufbewahrungspflichten. Aus der Sicht der DIN 66398 sind dies auch zulässige Zwecke (Art. 6 (1c) DSGVO). Wenn die Rechtsgrundlagen für verschiedene Datenobjekte unterschiedliche Aufbewahrungspflichten festlegen und die Aufbewahrungsfrist die Regellöschfrist bestimmt, folgen daraus häufig auch unterschiedliche Datenarten. Abweichend können die Datenobjekte in eine Datenart fallen, wenn beispielsweise die fachlichen Zwecke zu einer gemeinsamen langen Frist führen.

Unterschiedliche Gruppen von Betroffenen

In den meisten Fällen umfasst eine Datenart die personenbezogenen Daten einer Gruppe von Betroffenen, hier die "führenden Betroffenen" genannt.

Personalakten beispielsweise werden jeweils für einen Mitarbeiter geführt, auch wenn in einzelnen Datenobjekten zusätzliche Informationen über weitere Betroffene enthalten sind, z.B. Mitarbeiter der Personalabteilung (wer hat das Jahresziel vereinbart) oder Externe (wer hat das Seminar gehalten).  

Mit den führenden Betroffenen besteht in der Regel eine Beziehung, die viele der Rechtsgrundlagen und der Zwecke bestimmt, für die die personenbezogenen Daten dieser Gruppe verarbeitet werden. Da die Zwecke die  Regellöschfristen bestimmen, führen unterschiedliche Gruppen von Betroffenen oft zu unterschiedlichen Löschregeln.

Besonders deutlich wird dies für Datenarten, für die der Lauf der Löschfrist mit dem Ende der Beziehung zum Betroffenen beginnt. In diesen Fällen unterscheidet sich der Startzeitpunkt für verschiedene Betroffene, weil unterschiedliche Beziehungen bestehen:

Zu Endkunden können z.B. Dauerlieferverträge bestehen, zu Mitarbeitern Arbeitsverträge, zu Nutzern einer Web-Plattform eine Nutzungsvereinbarung und so weiter.

Das "Ende der Beziehung" zu einer Gruppe von Betroffenen wird jeweils durch ein unterschiedliches Ereignis bestimmt.

Für die Endkunden bestimmt sich das Ende der Beziehung z.B. durch den Ausgleich aller Forderungen (nach der wirksamen Kündigung des Liefervertrags), für die Mitarbeiter z.B. nach der abschließenden Lohnzahlung (nach der Kündigung des Arbeitsvertrags) und für die Plattformnutzer mit der De-Registrierung ihres jeweiligen Kontos auf der Plattform. 
Durch den unterschiedlichen Startzeitpunkt ergeben sich unterschiedliche Löschregeln und damit auch auch unterschieldiche Datenarten .

Wenn in den Datenobjekten einer Datenart neben dem führenden Betroffenen auch Daten weiterer Betroffener enthalten sind, ist zu prüfen, ob diese Merkmale unabhängig von den Merkmalen der führenden Betroffenen gelöscht werden können. Sind die Risiken einer langen Speicherung für diese weiteren Betroffenen unvertretbar hoch, wären diese spezifischen Merkmale früher zu löschen. Gemäß DIN 66398 könnte man eine solche Situation mit zwei Varianten lösen:

  • In der ersten Variante würde man eine Datenart definieren, in der ausgewählte Attribute nach der Löschregel zu anonymisieren/löschen wären. Danach würen die verbleibenden Inhalte die Datenart wechseln und damit in eine Löschregel fallen.
  • In der zweiten Variante könnte man eine Datenart mit den Merkmalen der 'weiteren Betroffenen' bilden, die früh zu löschen sind und eine weitere Datenart für die verbleibenen Inhalte der Datenobjekte. Beide Datenarten haben unsbhängige Löschregeln.

Beide Varianten führen zum gleichen Ergebnis. Die erste erscheint geeigneter, wenn es nur eine (oder wenige) Datenarten mit dieser Konstellation gibt und die Datenobjekte einem einen klaren Lebenszyklus unterliegen, in deren Verlauf einzelen Merkmale gelöscht werden. Die zweite Variante erscheit sinnvoller, wenn viele unterschiedliche Datenbestände vorliegen, in denen jeweils die Mermale der 'weiteren Betroffenen' einheitlich gelöscht werden müssen, die Verwendungszwecke und -prozesse der Datenarten aber ansonsten vielfältig sind.

Hinweis: In einigen Fällen ist die vorzeitige Löschung von Merkmalen aus Datenobjekten ausgeschlossen. So verlangen die Aufbewahrungsprlichten nach § 147 AO, dass Dokumente unverändert bleiben. Wird auf einer Rechnung ein Ansprechpartner für Rückfragen angegeben, darf dieser also nicht vorzeitig gelöscht werden. Lösen kann man solche Zielkonflikte, indem die Datenobjekte geeignet gestaltet werden, als z.B. nicht der Name, sondern eine neutrale Abteilungsnummer angegeben wird.

Ausnahmen

Von den oben genannten Kriterien zur Bildung von Datenarten kann abgewichen werden, wenn dies aus praktischen Gründen notwendig ist. Dies ist insbesondere der Fall, wenn ungeordnete Datenbestände regelmäßig bereinigt werden sollen.

Beispiele für solche Datenbestände sind E-Mails in den persönlichen Postfächern der Mitarbeiter einer Organisation. Ein anderes Beispiel sind die "sonstigen" Dateien, die sich nicht bestimmten Datensarten zuordnen lassen, sei es, weill es keine Ablageregeln dafür gibt, weil keine Meta-Daten vorliegen, aus denen die Datenart bestimmt werden könnte oder weil sich solche "vermischten Bestände" immer wieder ansammeln. 

Solche ungeordneten Bestände wird man im Löschkonzept wohl nur behanden können, wenn man "große Töpfe" bildet, beispielsweise die Datenarten "E-Mails in persönlichen Postfächern" oder "allgemeine Dateien" und dafür einfache Löschregeln festlegt. Dafür gibt es allerdings zwei Voraussetzungen:

  • Die Inhalte in diesen ungeordneten Beständen und ihre Verwendungsmöglichkeiten innerhalb der Regellöschfrist müssen wegen der geringen Sensitivität datenschutzrechtlich grundsätzlich vertretbar sein. Das lässt sich zwar nicht mit absoluter Gewissheit sagen. Aber wenn bekannt ist, dass z.B. Gesundheitsdaten in einzelen Dateien enthalten sind, dann sollten diese soweit möglich schnell bereinigt werden.
  • Die Datenobjekte aus den ungeordneten Beständen, die in Geschäftsprozessen benötigt werden, müssen mit hinreichend hoher Wahrscheinlichkeit 
    • entweder so geordnet sein, dass sie auch in diesen geordneten Prozessen verwaltete und entsprechen der Löschregeln behandelt werden, sie dürfen also allenfalls in unwichtigen Kopien in den ungeordneten Beständen enthalten sein;

Für Rechnungen kann man dies fast immer annehmen, weil die Buchaltung keine Zahlungen leistet, ohne dass ihr eine Rechnung vorliegt. Auch Verträge sollten in geordneten Prozessen geschlossen und dann entsprechend klarer Regeln abgelegt werden, weil sie für viele Abläufe und Sachverhalte den Rahmen definieren. 

    • oder nach der Regellöschfrist für die ungeordneten Bestände aus fachlicher oder rechtlicher Perspektive überflüssig sein.  

Diese beiden Voraussetzungen zeigen, dass ein Löschprojekt in der Umsetzung oft Prozessgestaltung beinhaltet. Sie machen aber auch den  Nutzen eines Löschkonzepts für Geschäftsprozesse deutlich: Datenbestände werden fachlich geordnet, vollständiger und besser verfügbar.

Pragmatische Löschregeln mit relativ großzüger Frist erlauben es dann, die ungeordneten Bestände jährlich aufzuräumen bei einem geringen Risiko, wichtige Datenobjekte zu früh zu löschen.

Datenart im Verhältnis zur Datenkategorie

Die DIN 66398 entstand vor der Verabschiedung der DSGVO. Der Begriff der Datenkategorie wurde damals im Datenschutz noch nicht verwendet. Nachdem die DSGVO in Kraft getreten war, wurde in Projekten diskutiert, ob der Begriff der Datenart zur Datenkategorie gewechselt weren soll. Wir haben davon jedoch in den meisten Fällen Abstand genommen. In Projekten zeigt sich, dass die Unterscheidung der beiden Begriffe hilfreich für Diskussionen ist.

Die beiden Begriffe erlauben es, den Kontext deutlich zu unterscheiden: Mit der 'Datenkategorie' bewegt man sich im Bereich der DSGVO, der für die Datenkategorie keine scharfe Abgrenzung kennt. Dagegen wird die 'Datenart' nur im Löschkonzept verwendet und bezieht sich auf einen Datenbestand, der zu datenschutzrechtlich einheitlichen Zwecken verwendet wird (siehe oben).

Die DSGVO verwendet den Begriff  'Kategorie' an verschiedenen Stellen zur Bildung von Gruppen, z.B. im Zusammenhang mit Datenübermittlungen in Art. 4 (20), Empfängern in Art 14 (1e), den Verarbeitungskategorien in Art 23 (2a), Kategorien von Verantwortlichen in Art 23 (2e) oder den Kategorien betroffener Personen in Art. 28 (3). Zur Beschreibung von Datenbeständen wird in der DSGVO unterschieden zwischen 'Kategorien personenbezogener Daten' (insbesondere in den Artikeln zu Informationspflichten) und 'besondere Kategorien personenbezogener Daten' (Art. 9 und andere). Es wird aber nicht definiert, wie eine solche Kategorie zu bilden oder Kategorien personenbezogener Daten voneinander zu abzugrenzen sind. Der Verordnungsgeber wäre an dieser Stelle wohl auch überfordert gewesen, denn er hätte ja die unterschiedlichen fachlichen Sachverhalte (mit ihren ggf. abweichenden Rechtsgrundlagen) aufgreifen müssen. Diese Präzisierung überlässt er der Anwendungsebene der DSGVO in den Organisationen.

In der Löschprojekten nach DIN 66398 muss aber ein Begriff zur Verfügung stehen, mit dem die Datenbestände für die einzelnen Löschregeln präzise unterschieden werden können. Eine weitere Variante von 'Datenkategorie' würde eher verwirren, als zu Klarheit beitragen. In Löschprojekten gibt es deshalb gute Gründe, nicht von Datenkategorien zu sprechen, sonder die 'Datenart' zu verwenden.

Die 'Kategorie personenbezogener Daten' steht dann als Begriff gegebenenfalls immer noch für die Kommunikation mit den betroffenen Personen zur Verfügung, wenn Datenarten nicht im Detail genannt oder beschrieben, sondern größere Einheiten von Datenbeständen in den Informationspflichten zusammenfassend genannt werden sollen.

So könnten im Personalwesen zwar unterschiedliche Löschregeln für die Datenarten "Kommen/Gehenzeiten" und "Zeiterfassungslisten" aus manueller Aufschreibung gelten, in der Informations für die Beschäftigten könnte aber eine Kategorie "Daten zur Zeiterfassung" gebildet werden.

Unabhängig von diesen Argumenten kann eine Organisation aber auch entscheiden, in ihrem Löschkonzept den Begriff der Datenkategorie für die Datenarten zu verwenden. Das sollte nur klar ausgewiesen werden, damit Externe, insbesondere Auditoren und Aufsichtsbehörden, dies leicht erkennen können.

Löschregel

Eine Löschregel wird gebildet aus einem Startzeitpunkt und einer Löschfrist, die ab diesem Startzeitpunkt läuft. Als Frist wird nach der DIN 66398 die Regellöschfrist angegeben, die Frist, die bei regelgerechter Verarbeitung anzuwenden ist.

Die DSGVO spricht in den Informationspflichten in Art. 13 (2a), 14 (2a), 15 (1d) zwar nur von "der Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, [den] Kriterien für die Festlegung dieser Dauer" und fordert in Art. 30 (1f) im Verarbeitungsverzeichnis die Angabe "wenn möglich, der vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien". Eine reine Dauer/Frist ist aber in der Praxis ungenügend, um Löschregeln zu implementieren.

Die DIN 66398 gibt eine Reihe von Hinweisen, um Löschregeln effizient zu bilden. Die Zusammenhänge zwischen Datenart und Löschregel werden auf einer eigenen Seite dargestellt.

Löschklasse

Der Begriff der Löschklasse spielt ein zentrale Rolle bei der effizienten Zuordnung von Datenarten zu Löschregeln.

Eine Löschklasse wird gebildet aus einer Standardlöschfrist und einem abstrakten Startzeitpunkt

Als Standardlöschfristen werden solche Löschfristen verwendet, die jeweils möglichst für mehrere Datenarten angewandt werden können und hinreichend granular sind, um datenschutzrechtlich vertretbare Löschregeln zu definieren. 

Die abstrakten Startzeitpunkte werden so genannt, weil sie von den konkreten Ereignissen, die den Fristlauf auslösen, abstrahieren. Es hat sich bewährt, drei konkreten Startzeitpunkt in drei Gruppen zusammenzufassen: den Typen von Startzeitpunkten.

Die Standardlöschfristen und die abstrakten Startzeitpunkte spannen eine Matrix auf: die 'Matrix der Löschklassen'. Methodisch sind die Löschklassen und die Matrix Werkzeuge, um den Katalog der Löschregeln effizient zu erstellen.