Löschen impliziert Gestaltung von Fachprozessen

Diese Seite beschreibt den Nutzen eines Löschkonzepts für die Gestaltung und die Dokumentation von Fachprozessen. Die Einführung in den »Nutzens eines Löschkonzepts und der Anwendung der DIN 66398« gibt einen Überblick über die Themen der Rubrik.

Fachprozesse und Löschen?

Zwischen Fachprozessen und der Aufgabenstellung "Löschen" bestehen enge Zusammenhänge. Drei Ziele fallen in den Fokus der Prozessgestaltung:

Der Prozess muss so gestaltet werden, dass die Daten entbehrlich sind, also alle Aufgaben im Prozess abgeschlossen wurden, die löschfällige Daten benötigen können.
Damit Löschmaßnahmen überhaupt angewandt werden können, müssen die löschfälligen Daten identifiziert werden können. Der Datenbestand muss dafür vorbereitet sein und der Fachprozess muss dafür die Voraussetzungen schaffen.
Schließlich sollen Löschläufe effizient sein. Auch dafür kann in einigen Fällen durch Prozessgestaltung eine bessere Ausgangslage geschaffen werden.

Ansatzpunkte für die Gestaltung von Fachprozessen

Fachliche Aufgaben abschließen

Die datenschutzrechtlich zulässigen Verwendungszwecke aus dem oder den Fachprozessen sind die wesentlichen Eingangsparameter für eine Datenart, um die Regellöschfrist und den Startzeitpunkt zu bestimmen. Mit der Definition der Löschregel stellt sich gleichzeitig die Frage, ob die fachlichen Aufgaben denn so bearbeitet werden, dass auf löschfällige Daten verzichtet werden kann, ob die Aufgaben also auch geeignet abgeschlossen sind.

In vielen Fachprozessen bestehen zwar gewisse Spielräume in der Zweckbestimmung und der Auslegung von Zulässigkeitsgrundlagen, um angemessene Fristen zu definieren. Die Argumente müssen aber einer kritischen Prüfung durch eine Aufsichtsbehörde standhalten. Fachprozesse müssen unter diesem Blickwinkel in vernünftigen Zeiträumen zu einem Ende kommen. Damit kann dann auch die Löschregel festgelegt werden. Die Behandlung von Sonderfällen und Abweichungen von der Regellöschfrist wird dabei ausgeklammert; sie sind für den allgemeinen Bestand einer Datenart keine Argumente für eine generelle Fristverlängerung. Vorschläge zur Behandlung von Ausnahmen und Sonderfällen bietet die DIN 66398 aber ebenfalls an.

Manchmal ist der Fachprozess bereits so gestaltet, dass die Löschregel prinzipiell angewandt werden kann. Ist dagegen nicht sichergestellt, dass der Fachprozess für einige oder viele Vorgänge und Datenobjekte innerhalb der begründbaren Regellöschfrist abgeschlossen ist, dürfte es notwendig sein, den Fachprozess anzupassen. Ziel ist es dabei, die Abläufe so zu gestalten, dass die Datenobjekte innerhalb der durch die Löschregel gesetzten Frist löschfällig werden dürfen: Alle Aufgaben sind erledigt. Dies führt unter anderem zu Fragen wie:

Welche Hürden bestehen und müssen ausgeräumt werden, um Abläufe abzuschließen und zu beschleunigen?
Welche Sonderfälle im Fachprozess mit (über-)langen Fristen sollen unterstützt werden? Welche müssen unterstützt werden? Wie können diese Sonderfälle reduziert werden? Können die Fristen für die Bearbeitung reduziert werden, beispielsweise durch eine andere Art der Bearbeitung oder andere Ergebniserwartungen?
Wie können die Ziele für den Fachprozess im Rahmen der zulässigen Verwendungszwecke erreicht werden? Beispielsweise: Welche Kennzahlen brauchen wir und wie können diese (nicht-personenbezogenen) Kennzahlen so zeitnah berechnet werden, dass sie zum Ende der Vorhaltefrist in hoher Qualität zur Verfügung stehen?

Die Antworten auf diese Fragen münden oft direkt in Prozessgestaltung.

Unterscheidungsmerkmale für löschfällige Daten

Löschfällige Daten müssen von den nicht-löschfälligen unterschieden werden können, sonst können die Löschmechanismen nicht angewandt werden. Die Unterscheidungsmerkmale können je nach Datenart und Fachprozess sehr unterschiedlich sein. Für viele Datenarten korreliert das Merkmal für "löschfällig" aus der Löschregel mit einem Ereignis in den Fachprozessen, in denen das Datenobjekt verwendet wird. Für automatisierte Prozesse ist es Voraussetzung, dass dieses Merkmal technisch in geeigneter Form bereitgestellt wird. Sonst kann das Kriterium nicht in Löschfunktionen verwendet werden.

Beispiele:

Für Buchhaltungsdaten könnte das Attribut "Verbuchungsdatum" den Wert für den Startzeitpunkt enthalten. Der automatisierte Löschprozess könnte darauf abstellen.

Informationsschreiben an Kunden, die im Dateisystem abgelegt werden, könnten in Jahresverzeichnissen sortiert werden. Aus dem jeweiligen Verzeichnis würde sich dann das Unterscheidungsmerkmal für löschfällige Dateien ergeben.

Ein technisches Merkmal kann z.B. über Meta-Daten bereitgestellt werden. So könnten in einem Dokumenten-Managementsystem über eine "Dokumentenliste" mehrere Dokumente zu einer Akte zusammengefasst werden. In den Metadaten der Akte könnte ein Datum für das Ende der Vorhaltefrist vermerkt sein, das dann für alle zugeordneten Dokumente den Startzeitpunkt für die Löschregel definiert.

Für einige Datenarten kann gefordert sein, dass Randbedingungen erfüllt sind, damit Datenobjekte löschfällig werden.

Beispiele:

Für Buchhaltungsdaten könnte gefordert sein, dass die Forderung aus einer Rechnung vollständig ausgeglichen oder ausgebucht ist. Der Startzeitpunkt würde sich dann erst aus dem Datum der abschließenden Buchung ergeben.

Änliches gilt auch für Datenobjekte, die durch Kennzeichen als »Streitfalldaten« von der Löschung ausgenommen werden. Nach der Erledigung des Streitfalls muss das Kennzeichen zurückgenommen werden.

In die Bewilligung und Überweisung öffentlicher Mittel zum Bau von privaten Krankenhäusern könnte in »Förderakten« dokumentiert werden. Da der Träger des Krankenhauses die korrekte Verwendung der Mittel lange nachweisen muss, wäre die Löschfälligkeit auch abhängig von den Nachweisfristen zur korrekten Mittelverwendung.

Im Fachprozess muss dann sichergestellt werden, dass diese Merkmale mit geeigneten Werten belegt werden, damit Daten auch technisch löschfällig werden können. Wird es versäumt, ein notwendiges Kennzeichen geeignet bereitzustellen, zu setzen oder im Fall von Ausnahmen von der Regellöschung zurückzunehmen, fallen solche Daten aus den Löschläufen heraus und werden dann unzulässigerweise weiter gespeichert.

Sind keine technisch auswertbaren Merkmale verfügbar, müssen die Datenobjekte durch Sachbearbeiter geprüft werden und in diesem Ablauf gelöscht werden.

Beispiel: Das gilt häufig für Papierakten.

Die Beispiele machen deutlich, dass Löschläufe nur dann einfach ausgeführt werden können, wenn die Datenbestände konsolidiert und die relevanten Merkmale mit guter Qualität gepflegt sind. Diese Anforderung kommt aber allen Schritten in einem Fachprozess zu gute: Datenobjekte werden besser gefunden und ihre Aussagekraft kann verlässlicher werden.

Effiziente Abläufe beim Löschen

Die eigentlichen Löschläufe sollen in aller Regel möglichst effizent gestaltet werden, inbesondere für Massendaten oder in manuellen Prozessen. Manchmal ist die bisherige Datenhaltung dafür aber ungünstig, beispielsweise weil Dokumente verteilt abgelegt sind oder in einer Datenbank das Merkmal für den Startzeitpunkt nur mit gewissem Aufwand ausgewertet werden kann. Damit effizientes Löschen möglich wird, kann es deshalb notwendig sein, die Datenhaltung so anzupassen, dass löschfällige Datenobjekte einfach erkannt und gelöscht werden können.

Beispiele:

Damit abgeschlossene Papierakten schnell entsorgt werden können, könnten diese in Archivkartons nach Vernichtungsjahr sortiert werden. Alternativ könnten in einer Ablage die "Löschjahre" durch farbige Punkte unterschieden werden: grün = 2020, blau = 2021, rot = 2022, ...

Eine Excel-Tabelle könnte um eine Spalte ergänzt werden, in der das »Datum für Löschen ab ...« berechnet wird.

In einer Datenbank könnte ein Index über das Merkmal, aus dem sich die Löschfälligkeit ableitet, eine schnelle Identifikation der löschfälligen Datensätze erlauben.

Wenn die Datenhaltung angepasst werden soll, genügen manchmal bereits kleine technische Änderungen. In anderen Fällen sind aber auch Anpassungen in den Vorgängen des Fachprozess notwendig.

Die Anpassungen in der Umsetzung der vorangegangen Beispiele in manuellen Prozessen betreffen jeweils die Tätigkeiten am Ende des Lebenszyklus eines Dokuments. In anderen Fällen könnte es aber bereits am Beginn des Lebenszyklus notwendig sein, die Voraussetzungen für das Löschen zu verbessern.

Beispiel: So könnte es für eine umfassende Umsetzung einer Löschregel notwendig sein, die (auch elektronischen) Dokumente zu einer Akte mit einer eindeutigen Fallnummer zu kennzeichnen, z.B. Verträge in der Ablage der Rechtsabteilung, Bürgschaften im Tresor und die Sammlung des Schriftverkehrs in der Fachabteilung. Die löschfälligen Datenobjekte können dann anhand ihrer Fallnummer an allen Speicherorten identifiziert werden.

Nebeneffekte

Die Auseinandersetzung mit den Fachprozessen unter der Perspektive Löschen führt in aller Regel in zu wertvollen Nebeneffekten: Verbesserungen können entstehen für das inhaltliche Ergebnis, die Dokumentation des Prozesses, die Ergebnisqualität, die Effizienz des Prozesses, zur Konsolidierung der Datenhaltung und unter Datenschutzgesichtspunkten zur Prüfung und Dokumentation der Rechtsgrundlagen.

Zusatznutzen für Prozesse

Um Löschregeln festzulegen, muss geprüft werden, wie Daten in Fachprozessen verwendet werden. Dabei nehmen die Beteiligten einen bisher meist ungewohnten Blickwinkel ein: Sie betrachten die Prozesse vom Ende her. Dieser andere Blickwinkel kann zu neuen Erkenntnissen für die Prozessgestaltung führen.

Die Definition und Umsetzung von Löschregeln erfordert insbesondere, dass Abläufe in Fachprozessen hinreichend geklärt und präzisiert werden. Manchmal zeigt sich, dass eine zumindest kurze Beschreibung notwendig ist, damit alle Beteiligten das gleiche Verständnis der Voraussetzungen, der Arbeitsschritte und der Ergebnisse haben. Dabei klärt sich in der Regel auch, ob das Konzept für den Fachprozess hinreichend sicherstellen kann, dass alle löschfälligen Datenobjekte durch einen Löschlauf erreicht werden. Falls nicht, sollte der Fachprozess konsolidiert werden.

Beispiel: Die interne Abwicklung von Bewerbungsverfahren über E-Mails verhindert eine systematische Löschung der Datenobjekte nachdem die Entscheidung über die Einstellung getroffen wurde. Denn die Teilinformationen und Datenobjekte, die zu einer konkreten Bewerbung gehören, sind verteilt auf alle Postfächer und Dateiablagen von Mitarbeitern, die an dem konkreten Verfahren beteiligt sind. Die Personalabteilung kann dann zwar darum bitten, die E-Mails, Attachments und Notizen zu löschen. Aber sie hat keine Kontrolle darüber; und die Aufforderung wird wohl kaum vollständig umgesetzt werden.

Um die Kontrolle zu erhalten, müssen die Unterlagen für eine Bewerbung unter der Aufsicht der Personalabteilung stehen. Dazu könnten sie z.B. in einem Verzeichnis abgelegt werden, auf das während des Verfahrens die Beteilgten zugreifen dürfen. Organisatorisch wäre zu regeln, dass lokale Kopien unzulässig sind. Der verantwortliche Sachbearbeiter kann das Verzeichnis dann entsprechend der Löschregel für die Datenart »Bewerbungsakte« aufräumen.

Nutzen entsteht aus solchen Anpassungen von Fachprozessen z.B. weil

ein einheitlicheres Service-Level für den Prozess ereicht werden kann;
die Datenhaltung konsistenter wird, für die einzelnen Aufgabenstellungen Informationen schneller gefunden werden und die Informationslage besser abgesichert ist;
komplexe Abläufe manchmal effizienter gestaltet werden können und entschieden wird, welche Sonderfälle in der Prozessabwicklung berücksichtigt und welche abgelehnt werden;
in manchen Fällen auch deutlich wird, dass für eine vernünftige Abwicklung der Fälle eine angemessene softwaretechnische Unterstützung sinnvoll ist.

Durch solche Nebeneffekte dürfte in vielen Fällen die Qualität der Abläufe verbessert werden. Außerdem ergeben sich Prüfkriterien, mit denen die Bearbeitung von Fällen bewertet werden kann.

Damit Löschen nach einer initalen Projektphase kontinuierlich weiter umgesetzt werden kann, müssen Vorgaben für die Datenhaltung getroffen werden. Für Anwendungssysteme erfolgt dies meist implizit in den Programmen. Für manuelle Abläufe ist dagegen die Disziplin der Mitarbeiter gefordert und eine minimale Dokumentation sinnvoll.

Dokumentation von Fachprozessen

Oft wird klar, dass die Verbesserungen – und die Voraussetzungen für systematisches Löschen – nur erreicht werden können, wenn Festlegungen getroffen werden. Damit diese dauerhaft eingehalten werden und eingehalten werden können, ist etwas Dokumentation notwendig, z.B. in Form einer Aufgabenbeschreibung oder Arbeitsanweisung, in der kritische Schritte beschrieben werden. Auch wenn dies zunächst Aufwand erzeugt, ergeben sich daraus langfristig Vorteile:

Durch klare Beschreibungen werden Abläufe vereinheitlicht.
Die Weitergabe von Fällen an Kollegen fällt im Vertretungsfall leichter.
Die Übergabe der Aufgabe an neue Mitarbeiter im Fall von Aufgabenwechsel oder Ausscheiden der bisherigen Fachverantwortlichen wird einfacher möglich und Vertreter oder Nachfolger für einen Arbeitsplatz können leichter eingearbeitet werden.
Es wird ersichtlich, welche Aufgaben für einen Fachprozess erledigt werden müssen – und welche nicht. Das hilft bei der Kapazitäts- und Ressourcenplanung.

Zusatznutzen für die Datenhaltung

In vielen Fällen wird es ein Ziel sein, die zu löschenden Datenbestände einheitlicher zu handhaben. Dazu können dienen:

einheitlichere Datenablage und Konzentration auf wenige Speicherorte;
Verringerung von Redundundanz; oder wenn Redundanz gewünscht ist, dann klare Entscheidungen über führende und nachgeordnete Bestände und die Replikationsmechanismen;
einheitlichere Pflege von Inhalten/Merkmalen/Attributen und Metadaten: der Datenbestand erhält eine bessere Qualität und wird konsistenter;
Entscheidungen über den Umgang mit Altdaten.

Zumindest mittelfristig wirken sich die Anpassungen der Fachprozesse daher günstig auf die Datenhaltung auf. Dies hat in der Regel wiederum günstige Effekte für die Anwender, die die Bestände in ihren Arbeitsabläufen nutzen. Für die IT können sich beispielsweise Systemlast und Backup-Volumen reduzieren.

Zusatznutzen für den Datenschutz

In vielen Fällen werden während der Diskussion der Fachprozesse und der Löschregeln für Datenarten auch die Rechtsgrundlagen der Verarbeitung zusammengetragen – zumindest die, aus denen sich die Vorhaltefrist und die Regellöschfrist ableiten. Die Rechtsgrundlagen werden dabei oft gründlicher zusammengestellt und geprüft, als dies sonst bei der Erstellung des Verarbeitungsverzeichnisses der Fall ist. Werden diese Ergebnisse dokumentiert, beispielsweise im Katalog der Löschregeln oder im Verarbeitungsverzeichnis, sind sie auch langfristig nachvollziehbar.

Die Arbeit am Löschkonzept bietet daher auch die Chance für eine systematische Prüfung der Rechtsgrundlagen und die bessere Dokumentation der datenschutzrechtlichen Grundlagen für die Verarbeitungstätigkeiten.

Schrittweise umsetzen

Wenn Prozesse und Datenhaltung angepasst werden sollen (oder müssen), entsteht oft größerer Aufwand. In vielen Fällen stehen die notwendigen Ressourcen aber nicht unmittelbar zur Verfügung.

Da aus der Sicht der DIN 66398 die Umsetzung als eine separate Projektphase organisiert werden kann, besteht in diesem Rahmen auch die Möglichkeit, solche Prozessanpassungen zurückzustellen und zunächst nur in die Umsetzungsplanung aufzunehmen. Das gilt auch für Maßnahmen, mit denen Altbestände gelöscht werden sollen, wenn die oben beschriebenen Voraussetzungen, z.B. für eine Automatisierung, noch nicht gegeben sind.

Die Priorisierung kann z.B. in einem Umsetzungsprojekt gesteuert werden. Dabei sind regelmäßige Berichte an die Leitungsebene der Organisation sinnvoll, denn sie muss letztlich das Datenschutzrisiko tragen.

Weiterer Nutzen ...

... ergibt sich, weil die DIN 66398 gute Voraussetzungen dafür schafft, dass Bausteine eines Löschkonzepts – Löschregeln einerseits und Löschmaßnahmen andererseits – gut zwischen Organisationen übertragen werden können.