Geschäftsprozesse und Löschen?

Zwischen Geschäftsprozessen und der Aufgabenstellung "Löschen" bestehen enge Zusammenhänge. Drei  Ziele fallen in den Fokus der Prozessgestaltung:

  • Der Prozess muss so gestaltet werden, dass die Daten entbehrlich sind, also alle Aufgaben im Prozess abgeschlossen wurden, die löschfällige Daten benötigen können.
  • Damit Löschmaßnahmen überhaupt angewandt werden können, müssen die löschfälligen Daten identifiziert werden können. Der Datenbestand muss dafür vorbereitet sein und der Geschäftsprozess muss dafür die Voraussetzungen schaffen.
  • Schließlich sollen Löschläufe effizient sein. Auch dafür kann in einigen Fällen durch Prozessgestaltung eine bessere Ausgangslage geschaffen werden.

Fachliche Aufgaben abschließen

Die datenschutzrechtlich zulässigen Verwendungszwecke aus dem oder den Geschäftsprozessen sind die wesentlichen Eingangsparameter für eine Datenart, um die Regellöschfrist und den Startzeitpunkt zu bestimmen. Mit der Definition der Löschregel stellt sich gleichzeitig die Frage, ob die fachlichen Aufgaben denn so bearbeitet werden, dass auf löschfällige Daten verzichtet werden kann, ob die Aufgaben also auch geeignet abgeschlossen sind.

In vielen Geschäftsprozessen bestehen zwar gewisse Spielräume in der Zweckbestimmung und der Auslegung von Zulässigkeitsgrundlagen, um angemessene Fristen zu definieren. Die Argumente müssen aber einer kritischen Prüfung durch eine Aufsichtsbehörde standhalten. Geschäftsprozesse müssen unter diesem Blickwinkel in vernünftigen Zeiträumen zu einem Ende kommen. Damit kann dann auch die Löschregel festgelegt werden. Die Behandlung von Sonderfällen und Abweichungen von Regellöschfristen wird dabei ausgeklammert; sie sind für den allgemeinen Bestand einer Datenart keine Argumente für eine generelle Fristverlängerung. Vorschläge zur Behandlung von Ausnahmen und Sonderfällen bietet die DIN 66398 aber ebenfalls an. 

Manchmal ist der Geschäftsprozess bereits so gestaltet, dass die Löschregel prinzipiell angewandt werden kann. Ist dagegen nicht sichergestellt, dass der Geschäftsprozess für einige oder viele Vorgänge und Datenobjekte innerhalb der begründbaren Regellöschfrist abgeschlossen ist, dürfte es notwendig sein, den Geschäftsprozess anzupassen. Ziel ist es dabei, die Abläufe so zu gestalten, dass die Datenobjekte innerhalb der durch die Löschregel gesetzten Frist löschfällig werden dürfen: Alle Aufgaben sind erledigt. Dies führt unter anderem zu Fragen wie:

  • Welche Hürde bestehen und müssen ausgeräumt werden, um Abläufe abzuschließen und zu beschleunigen?
  • Welche Sonderfälle im Geschäftsprozess mit (über-)langen Fristen wollen wir unterstützen? Welche müssen wir unterstützen? Wie können diese Sonderfälle reduziert werden? Können die Fristen für die Bearbeitung reduziert werden, bspw. durch eine andere Art der Bearbeitung oder andere Ergebniserwartungen?
  • Wie können wir unsere Ziele für den Geschäftsprozess im Rahmen der zulässigen Verwendungszwecke erreichen? Beispielsweise: Welche Kennzahlen brauchen wir und wie können diese (nicht-personenbezogenen) Kennzahlen so zeitnah berechnet werden, dass sie zum Ende der Vorhaltefrist in hoher Qualität zur Verfügung stehen?

Die Antworten auf diese Fragen münden oft direkt in Prozessgestaltung.

Unterscheidungsmerkmale für löschfällige Daten

Löschfällige Daten müssen von den nicht-löschfälligen unterschieden werden können, sonst können die Löschmechanismen nicht angewandt werden. Die Unterscheidungsmerkmale können je nach Datenart und Geschäftsprozess sehr unterschiedlich sein. Für viele Datenarten korreliert das Merkmal für "löschfällig" aus der Löschregel mit einem Ereignis in den Geschäftsprozessen, in denen das Datenobjekt verwendet wird. Für automatisierte Prozesse ist es Voraussetzung, dass dieses Merkmal technisch in geeigneter Form bereitgestellt wird. Sonst kann das Kriterium nicht in Löschfunktionen verwendet werden.

Beispiele: Für Buchhaltungsdaten könnte das Attribut "Verbuchungsdatum" den Wert für den Startzeitpunkt enthalten. Geschäftsbriefe, die im Verzeichnissystem abgelegt werden, könnten in Jahresverzeichnissen sortiert werden. Aus dem jeweiligen Verzeichnis würde sich dann das Unterscheidungsmerkmal für löschfällige Dateien ergeben. Das Merkmal kann auch über Meta-Daten bereitgestellt werden. So könnten in einem Dokumenten-Managementsystem über eine "Dokumentenliste" mehrere Dokumente zu einer Akte zusammengefasst werden. In den Metadaten der Akte könnte ein Datum für das Ende der Vorhaltefrist vermerkt sein, das dann für alle zugeordneten Dokumente den Startzeitpunkt für die Löschregel definiert.

Für einige Datenarten kann gefordert sein, dass Randbedingungen erfüllt sind, damit Datenobjekte löschfällig werden.

Für Buchhaltungsdaten könnte gefordert sein, dass die Forderung aus einer Rechnung vollständig ausgeglichen oder ausgebucht ist. Der Startzeitpunkt würde sich dann erst aus dem Datum der abschließenden Buchung ergeben. Änliches gilt auch für Datenobjekte, die durch Kennzeichen als 'Streitfalldaten' von der Löschung ausgenommen werden. Nach der Erledigung des Streitfalls muss das Kennzeichen zurückgenommen werden. In 'Förderakten' könnten die Bewilligung und Überweisung öffentlicher Mittel zum Bau von privaten Krankenhäusern dokumentiert werden. Da der Träger des Krankenhauses die korrekte Verwendung der Mittel lange nachweisen muss, wäre die Löschfälligkeit auch abhängig von den Nachweisen zur korrekten Mittelverwendung.

Im Geschäftsprozess muss dann sichergestellt werden, dass diese Merkmale mit geeigneten Werten belegt werden, damit Daten auch technisch löschfällig werden können. Wird es versäumt, ein notwendiges Kennzeichen geeignet bereitzustellen, zu setzen oder im Fall von Ausnahmen von der Regellöschung zurückzunehmen, fallen solche Daten aus den Löschläufen heraus und werden dann unzulässigerweise weiter gespeichert.

Sind keine technisch auswertbaren Merkmale verfügbar, müssen die Datenobjekte durch Sachbearbeiter geprüft werden und in diesem Ablauf gelöscht werden. Das gilt beispielsweise in der Regel für Papierakten.

Effiziente Abläufe beim Löschen

Die eigentlichen Löschläufe sollen in aller Regel möglichst effizent gestaltet werden, inbesondere für Massendaten oder in manuellen Prozessen. Manchmal ist die bisherige Datenhaltung dafür aber ungünstig, beispielsweise weil Dokumente verteilt abgelegt sind oder in einer Datenbank das Merkmal für den Startzeitpunkt nur mit gewissem Aufwand ausgewertet werden kann. Damit effizientes Löschen möglich wird, kann es deshalb notwendig sein, die Datenhaltung so anzupassen, dass löschfällige Datenobjekte einfach erkannt und gelöscht werden können.

Beispiele: Damit abgeschlossene Papierakten schnell entsorgt werden können, könnten diese in Archivkartons nach Vernichtungsjahr sortiert werden. Alternativ könnten in einer Ablage die "Löschjahre" durch farbige Punkte unterschieden werden: grün = 2020, blau = 2021, rot = 2022, ...
In einer Datenbank könnte ein Index über das Merkmal, aus dem sich die Löschfälligkeit ableitet, eine schnelle Identifikation der löschfälligen Datensätze erlauben.

Wenn die Datenhaltung angepasst werden soll, genügen manchmal bereits technische Änderungen. In anderen Fällen sind aber auch Anpassungen in den Vorgängen des Geschäftsprozess notwendig.  

Die Anpassungen in der Umsetzung der vorangegangen Beispiele in manuellen Prozessen betreffen jeweils die Tätigkeiten am Ende des Lebenszyklus eines Dokuments. In anderen Fällen  könnte es aber bereits am Beginn des Lebenszyklus notwendig sein, die Voraussetzungen für das Löschen zu verbessern. So könnte es für eine umfassende Umsetzung einer Löschregel notwendig sein, die (auch elektronischen) Dokumente zu einer Akte mit einer eindeutigen Fallnummer zu kennzeichnen, z.B. Verträge in der Ablage der Rechtsabteilung, Bürgschaften im Tresor und die Sammlung des Schriftverkehrs in der Fachabteilung.

Nebeneffekte

Die Auseinandersetzung mit den Geschäftsprozessen unter der Perspektive Löschen führt in aller Regel in zu wertvollen Nebeneffekten: unter fachlichen Gesichtspunkten für die Dokumentation, Qualität und häufig auch Effizienz von Prozessen, zur Konsolidierung der Datenhaltung und unter Datenschutzgesichtspunkten zur Prüfung und Dokumentation der Rechtsgrundlagen.

Zusatznutzen für Prozesse

Um Löschregeln festzulegen, muss geprüft werden, wie Daten in Geschäftsprozessen verwendet werden. Dabei nehmen die Beteiligten einen bisher meist ungewohnten Blickwinkel ein: Sie betrachten die Prozesse vom Ende her. Dieser andere Blickwinkel kann zu neuen Erkenntnissen für die Prozessgestaltung führen.  

Die Definition und Umsetzung von Löschregel erfordert insbesondere, dass Abläufe in Geschäftsprozessen hinreichend geklärt und präzisiert werden. Manchmal zeigt sich, dass eine zumindest kurze Beschreibung notwendig ist, damit alle Beteiligten das gleiche Verständnis der Voraussetzungen, der Arbeitsschritte und der Ergebnisse haben. Dabei klärt sich in der Regel auch, ob das Konzept für den Geschäftsprozess hinreichend sicherstellen kann, dass alle löschfälligen Datenobjekte durch einen Löschlauf erreicht werden. Falls nicht, sollte der Geschäftsprozess konsolidiert werden.

Beispiel: Die interne Abwicklung von Bewerbungsverfahren über E-Mails verhindert eine systematische Löschung der Datenobjekte nach dem die Entscheidung über die Einstellung getroffen wurde. Denn die Teilinformationen und Datenobjekt, die zu einer konkreten Bewerbung gehören, sind verteilt auf alle Postfächer von Mitarbeitern, die an dem konkreten Verfahren beteiligt sind. Die Personalabteilung kann dann zwar darum bitten, die E-Mails, Attachments und Notizen zu löschen. Aber sie hat keine Kontrolle darüber; und die Aufforderung wird wohl kaum vollständig umgesetzt werden.

Um die Kontrolle zu erhalten, müssen die Unterlagen für eine Bewerbung unter der Kontrolle der Personalabteilung sein. Dazu könnten sie z.B. in einem Verzeichnis abgelegt werden, auf das während des Verfahrens die Beteilgten zugreifen dürfen. Organisatorisch wäre zu regeln, dass lokale Kopien unzulässig sind. Der verantworltiche Sachbearbeiter kann das Verzeichnis dann entsprechend der Löschregel für die Datenart 'Bewerbungsakte' aufräumen.

Nutzen entsteht aus solchen Anpassungen von Geschäftsprozessen z.B. weil

  • durch klare Beschreibungen Abläufe vereinheitlicht werden;
  • ein einheitlicheres Service-Level für den Prozess ereicht werden kann;
  • die Datenhaltung konsistenter wird, für die einzelnen Aufgabenstellungen Informationen schneller gefunden werden und die Informationslage besser abgesichert ist;
  • die Weitergabe von Fällen im Vertretungsfall an Kollegen leichter fällt;
  • eine einfachere Übergabe der Aufgabe an neue Mitarbeiter im Fall von Aufgabenwechsel oder Ausscheiden der bisherigen Fachverantwortlichen möglich wird und Vertreter oder Nachfolger für einen Arbeitsplatz leichter eingearbeitet werden können;
  • komplexe Abläufe manchmal effizienter gestaltet werden können und entschieden wird, welche Sonderfälle in der Prozessabwicklung berücksichtigt und welche abgelehnt werden;
  • in manchen Fällen auch deutlich wird, dass für eine vernünftige Abwicklung der Fälle eine angemessene softwaretechnische Unterstützung sinnvoll ist.

Durch solche Nebeneffekte dürfte in vielen Fällen die Qualität der Abläufe verbessert werden. Außerdem ergeben sich Prüfkriterien, mit denen die Bearbeitung von Fällen bewertet werden kann.

Damit Löschen nach einer initalen Projektphase kontinuierlich weiter umgesetzt werden kann, müssen Vorgaben für die Datenhaltung getroffen werden. Für Anwendungssysteme erfolgt dies meist implizit in den Programmen. Für manuelle Abläufe ist dagegen die Disziplin der Mitarbeiter gefordert.

Zusatznutzen für die Datenhaltung

In vielen Fällen wird es ein Ziel sein, die zu löschenden Datenbestände einheitlicher zu handhaben. Dazu können dienen:

  • einheitlichere Datenablage und Konzentration auf wenige Speicherorte;
  • Verringerung von Redundundanz; oder wenn Redundanz gewünscht ist, dann klare Entscheidungen über führende und nachgeordnete Bestände und die Replikationsmechanismen;
  • einheitlichere Pflege von Inhalten/Merkmalen/Attributen und Metadaten: der Datenbestand erhält eine bessere Qualität und wird konsistenter;
  • Entscheidungen über den Umgang mit Altdaten.

Zumindest mittelfristig wirken sich die Anpassungen der Geschäftsprozesse daher günstig auf die Datenhaltung auf. Dies hat in der Regel wiederum günstige Effekte für die Anwender, die die Bestände in Ihren Arbeitsabläufen nutzen. Für die IT können sich beispielsweise Systemlast und Backup-Volumen reduzieren.

Zusatznutzen für den Datenschutz

In vielen Fällen werden während der Diskussion der Geschäftsprozesse und der Löschregeln für Datenarten auch die Rechtsgrundlagen der Verarbeitung zusammengetragen - zumindest die, aus denen sich die Vorhaltefrist und die Regellöschfrist ableiten. Die Rechtsgrundlagen werden dabei oft gründlicher zusammengestellt und geprüft, als dies sonst bei der Erstellung des Verarbeitungsverzeichnisses der Fall ist. Werden diese Ergebnisse dokumentiert, beispielsweise im Katalog der Löschregeln oder im Verarbeitungsverzeichnis, sind sie auch langfristig nachvollziehbar.

Die Arbeit am Löschkonzept bietet daher auch die Chance für eine systematische Prüfung der Rechtsgrundlagen und die bessere Dokumentation der datenschutzrechtlichen Grundlagen für die Verarbeitungstätigkeiten. 

Schrittweise umsetzen

Wenn Prozesse und Datenhaltung angepasst werden sollen (oder müssen), entsteht oft größerer Aufwand. In vielen Fällen stehen die notwendigen Ressourcen aber nicht unmittelbar zur Verfügung. 

Da aus der Sicht der DIN 66398 die Umsetzung als eine separate Projektphase organisiert werden kann, besteht in diesem Rahmen auch die Möglichkeit, solche Prozessanpassungen zurückzustellen und zunächst nur in die Umsetzungsplanung aufzunehmen. Das gilt auch für Maßnahmen, mit denen Altbestände gelöscht werden sollen, wenn die oben beschriebenen Voraussetzungen noch nicht gegeben sind.

Weiterer Nutzen ...

... kann sich mittelfristig für Branchen und Produkte ergeben.