Fristbeiträge für Löschregeln

Eine Löschregel besteht nach DIN 66398 aus Startzeitpunkt und Regellöschfrist (zur Definition siehe bei den Begriffen). Wie aber können der Startzeitpunkt und die Regellöschfrist bestimmt werden?

Lebenszyklus von Datenobjekten

Die Datenobjekte einer Datenart werden zu den gleichen Zwecken verwendet. Wenn diese Zwecke abgearbeitet werden, entsteht durch die verschiedneen Schritte ein Lebenszyklus für die Datenobjekte. Die Fristbeiträge der Schritte werden verwendet, um die Löschregel zu bestimmen. Die Grafik zeigt ein Beispiel für einen Vertrag mit den verallgemeinerten Phasen nach DIN 66398.

Fristbeiträge zur Löschregel

Schritte im Lebenszyklus eines Datenobjekts liefern Fristbeiträge zur Löschregel.
(Grafik in Anlehnung an [DIN 66398])

Für alle Schritte im Lebenszyklus gilt, dass sie im Rahmen einer rechtmäßgen Verarbeitung erfolgen müssen, also durch Rechtsgrundlagen nach Art. 6 DSGVO abgedeckt sind.

Flexible Anteile abgrenzen: Startzeitpunkt

Damit eine "stabile" und damit datenschutzrechtlich enge Regellöschfrist gefunden wird, hilft es, die flexiblen Teile im Lebenszyklus vor den Startzeitpunkt zu ziehen.

Im Beispiel der Grafik oben kann man davon ausgehen, dass die Aktivitäten während der aktiven Verwendung für die verschiedenen Verträge unterschiedliche lange dauern: Verhandlungen sind schnell erledigt oder dauern lange, die Unterschrift wird sofort geleistet oder erst nach Verzögerungen, es kann sofort geliefert werden oder es muss erst wieder Ware ins Lager kommen, der Kunde zahlt unverzügliche nach Rechnungserhalt oder erst nach der zweiten Mahnstufe.

Ein Zeitpunkt nach dem Ende der variablen Schritte erlaubt es häufig, eine stabile Regellöschfrist festzulegen. Wenn datenschutzrechtlich vertretbar, sollte die Regellöschfrist aus einer Löschklasse gewählt werden. Der Startzeitpunkt sollte ein fachliches Datum sein, das im Lebenzyklus auftritt. Wenn es mehrere geeignete fachliche Startzeitpunkte gibt, kann bei der Auswahl als "Nebenbedingung" berücksichtigt werden, ob das Merkmal auch technisch verfügbar ist. In der Definition der Löschregel wird aber immer auf das fachlichen Termin abgestellt und – wegen der technikunabhängigen Definition von Datenarten – nicht auf das technische Attribut.

Vorhaltefrist

So lange Fachprozesse das Datenobjekt benötigen, sollte das Datenobjekt an mindestens einer Stelle gespeichert oder aufbewahrt werden, wenn dies datenschutzrechtlich vertretbar ist. Beiträge zur Vorhaltefrist liefern außerdem rechtliche Aufbewahrungspflichten.

Im Beispiel der Grafik oben gelten Aufbewahrungspflichten nach AO und HGB für Verträge (= Geschäftsbrief). Außerdem könnte der Vertrag aus fachlicher Sicht noch wegen möglicher Gewährleistungsansprüche oder besonderer Garantiezusagen vorgehalten werden. Die Fristen überlagern sich oft. Für die Vorhaltefrist wird das Maximum aus beiden bestimmt. Wird ein Datenobjekt vor dem Ende der Vorhaltefrist gelöscht, verliert möglicherweise der Fachprozess eine Arbeitsgrundlage oder – im Falle von Aufbewahrungspflichten – liegt ein Verstoß gegen Rechtsvorgaben vor.

Organisation des Löschlaufs

Die DIN 66398 und die ISO/IEC 27555 gehen davon aus, dass das Datenschutzrecht einen Spielraum für die Organisation des Löschlaufs einräumt. Als Anknüpfungspunkt können die "angemessenen Maßnahmen" nach Art. 24 und 32 DSGVO herangezogen werden.

Anmerkung

An den Standardisierungsprojekten bei DIN und ISO/IEC waren Vertreter von Aufsichtsbehörden beteiligt. Sie haben dieser Auffassung nicht wiedersprochen oder sie als Editor sogar mitgetragen.

Die Frist für die Organisation des Löschlaufs muss aber in einem datenschutzrechtlich vertretbaren Verhältnis stehen:

zur Frist, die den gesamten Lebenszyklus der Daten umfasst – die Frist zur Organisation des Löschlaufs darf diese nicht über Gebühr verlängern;
zur Sensitivität der Datenobjekte und dem daraus entstehenden Risiko für die Betroffenen;
zur Frist, nach der die nächsten Datenobjekte löschfällig werden.

Im Beispiel der Grafik oben ergibt sich aus den Aufbewahrungspflichten mindestens eine Vorhaltefrist von 6 Jahren. Diese beginnt ab dem Ende des Kalenderjahres. Mit einer Vorhaltefrist von 7 Jahren würde man das Anfangsjahr mit abdecken. Wenn die aktive Verwendung in der Größenordnung von einem Jahr liegt, würde der Lebenszyklus von aktiver Verwendung und Vorhaltefrist in der Größenordnung von 8 Jahren liegen.

Die Verträge beinhalten Artikel aus einem normalen Online-Shop und werden datenschutzrechtlich nicht als besonders sensitiv eingestuft. Nach einem Jahreswechsel wird neue Gruppe von Verträgen löschfällig. Die Löschregel soll auch für Papierdokumente gelten. Für diese sollte eine Vernichtung einmal im Jahr zumutbar sein. Dann wäre ein Jahr die längste Frist für die Organisation des Löschlaufs.

Regellöschfrist

Die Regellöschfrist wird damit bestimmt aus den Fristanteilen im Lebenszyklus des Datenobjekte ab dem Startzeitpunkt einschließlich der Frist für die Organisation des Löschlaufs.

Im Beispiel der Grafik oben ergibt sich so eine Regellöschfrist von 8 Jahren.

Nach Ablauf der Regellöschfrist müssen die Datenobjekte gelöscht sein, wenn sie im Regelprozess verarbeitet werden (daher Regellöschfrist).