1、Mai 2016DEUTSCHE NORM Preisgruppe 21DIN Deutsches Institut fr Normung e. V. Jede Art der Vervielfltigung, auch auszugsweise, nur mit Genehmigung des DIN Deutsches Institut fr Normung e. V., Berlin, gestattet.ICS 03.160; 35.020!%LZ*“2415507www.din.deDIN 66398Leitlinie zur Entwicklung eines Lschkonzep
2、ts mit Ableitung von Lschfristen fr personenbezogene DatenGuideline for development of a concept for data deletion with derivation of deletion periods for personal identifiable informationLigne directrice pour llaboration dun concept deffacement et la dtermination de priodes de suppression des donne
3、s personnellesAlleinverkauf der Normen durch Beuth Verlag GmbH, 10772 Berlin www.beuth.deGesamtumfang 59 SeitenDDIN-Normenausschuss Informationstechnik und Anwendungen (NIA)DIN 66398:2016-05 2 Inhalt Seite Vorwort 5 Einleitung 6 1 Anwendungsbereich . 9 2 Begriffe 9 3 Abkrzungen . 13 4 Grundlagen ein
4、es Lschkonzepts 13 4.1 Allgemeines . 13 4.2 Anwendung einschlgiger datenschutzrechtlicher Vorschriften 15 4.3 Was bedeutet Lschen“? 16 4.4 Fr jede Datenart eine Lschregel 16 4.4.1 Datenarten . 16 4.4.2 Lschregeln 16 4.4.3 Vorhaltefrist und Regellschfrist 17 4.4.4 Behandlung nicht-produktiver Datenbe
5、stnde: Archive und Sicherungskopien 19 4.4.5 Standardlschfristen, Startzeitpunkte, Lschregeln und Lschklassen . 19 4.4.6 Lschen in Sondersituationen 20 4.5 Dokumentenstruktur im Lschkonzept 20 5 Datenarten bilden . 21 5.1 Datenbestnde, Zwecke und Datenarten 21 5.2 Datenarten systematisch erfassen 22
6、 5.3 Gestaltungskriterien fr die Bildung von Datenarten . 22 5.3.1 Hinweise aus der Praxis 22 5.3.2 Orientierung an Rechtsvorgaben. 22 5.3.3 Orientierung an Betroffenen . 22 5.3.4 Orientierung an Verwendungszwecken 23 5.3.5 Orientierung an der Sensitivitt von Daten . 23 6 Lschfristen festlegen 23 6.
7、1 Standardlschfristen verwenden 23 6.2 Fristfestlegungen . 24 6.2.1 Vorgehensweise und Standardlschfristen . 24 6.2.2 Verfahren zur Fristableitung. 26 6.2.3 Katalog von Standardlschfristen festlegen 27 6.3 Besonderheiten fr Fristfestlegungen . 27 6.3.1 Regellschfristen und Abweichungen 27 6.3.2 Fris
8、tnderungen durch Verdichtung mit Wechsel der Datenart . 27 6.3.3 Wechsel der Datenart fr Sonderflle mit lngerer Verwendung . 28 6.3.4 Ausnahmen von Regelprozessen: Aussetzung der Lschung 28 6.3.5 Abweichungen von Standardlschfristen fr Sicherungskopien. 28 7 Lschklassen . 29 7.1 Abstrakte Startzeitp
9、unkte abstrakte Lschregeln . 29 7.2 Matrix der Lschklassen . 30 7.3 Datenarten, Lschklassen und Lschregeln 30 8 Vorgaben fr die Umsetzung von Lschregeln . 32 8.1 Struktur und Inhalte der Umsetzungsvorgaben 32 DIN 66398:2016-05 3 8.1.1 Verhltnis zwischen dem Dokument Lschregeln“ und Umsetzungsvorgabe
10、n . 32 8.1.2 Inhalt von Umsetzungsvorgaben . 33 8.2 Umsetzungsvorgaben fr Querschnittsbereiche . 34 8.3 Umsetzungsvorgaben fr einzelne IT-Systeme 36 8.4 Einzelmanahmen zur Lschung von Datenbestnden 38 8.4.1 Allgemeine Hinweise zu Umsetzungsvorgaben fr Einzelmanahmen 38 8.4.2 Umsetzungsvorgaben fr Da
11、tenobjekte im Arbeitsalltag 38 8.4.3 Umsetzungsvorgaben fr Datenbestnde in regelmigen manuellen Prozessen 39 8.4.4 Umsetzungsvorgaben fr Kopien personenbezogener Daten fr Sonderverwendungen 40 8.4.5 Umsetzungsvorgaben fr Restbestnde in IT-Systemen 41 8.4.6 Umsetzungsvorgaben fr unzulssige Bestnde mi
12、t personenbezogenen Daten . 42 8.5 Umsetzungsvorgaben fr Dienstleister. 43 9 Aufbau- und Ablauforganisation: Verantwortung und Prozesse fr das Lschen von personenbezogenen Daten 44 9.1 Organisatorische Einbettung 44 9.2 Leitung der Organisation 44 9.3 Rolle des Ansprechpartners fr Datenschutz . 45 9
13、.3.1 Pflegeverantwortung fr Dokumente 45 9.3.2 Prozesse beim Ansprechpartner fr Datenschutz 45 9.3.3 Freigabe-Beteiligungen . 45 9.4 Verantwortung fr Umsetzungsvorgaben 46 9.4.1 Organisationseinheiten mit Verantwortung fr Bestnde mit personenbezogenen Daten 46 9.4.2 Weitere Aufgaben im Zusammenhang
14、mit Umsetzungsvorgaben 47 9.4.3 Organisationseinheit Change-Management 48 9.4.4 Organisationseinheiten mit Verantwortung zur Steuerung von Dienstleistern 48 9.5 Allgemeine Meldepflichten 49 Anhang A (informativ) Hinweise fr ein Projekt Lschkonzept“ 50 Anhang B (informativ) Hinweise zur Anonymisierun
15、g personenbezogener Daten . 53 Anhang C (informativ) Hinweise zu Vorgaben fr die Sicherheit von Lschmechanismen . 55 Anhang D (informativ) Hinweise zur Sperrung von Datenbestnden . 57 Literaturhinweise. 59 Tabellen Tabelle 1 Verwendete Abkrzungen . 13 Tabelle 2 Empfehlungen fr die Pflegeverantwortun
16、g und Freigaberegeln des Dokuments Lschregeln“ . 31 Tabelle 3 Empfehlungen fr Pflegeverantwortung und Freigaberegeln der Umsetzungsvorgaben fr Querschnittsbereiche“ . 36 Tabelle 4 Empfehlungen fr Pflegeverantwortung Bestandsverzeichnis der Datentrger“ . 36 Tabelle 5 Empfehlungen fr die Pflegeverantw
17、ortung und Freigaberegeln der Umsetzungsvorgaben fr einzelne IT-Systeme“ 38 Tabelle 6 Empfehlungen fr die Pflegeverantwortung und Freigaberegeln der Umsetzungsvorgaben fr Datenobjekte im Arbeitsalltag 39 Tabelle 7 Empfehlungen fr Pflegeverantwortung und Freigaberegeln Umsetzungsvorgaben fr Datenbest
18、nde in regelmigen manuellen Prozessen 39 DIN 66398:2016-05 4 Tabelle 8 Empfehlungen fr Pflegeverantwortung und Freigaberegeln Umsetzungsvorgaben fr Kopien personenbezogener Daten fr Sonderverwendungen“ 40 Tabelle 9 Empfehlungen fr Pflegeverantwortung und Freigaberegeln bersicht ber Ausnahmeregelunge
19、n“ 41 Tabelle 10 Empfehlungen fr Pflegeverantwortung und Freigaberegeln Umsetzungsvorgaben fr Restbestnde in IT-Systemen“ 42 Tabelle 11 Empfehlungen fr die Pflegeverantwortung und Freigaberegeln der Umsetzungsvorgaben fr unzulssige Bestnde mit personenbezogenen Daten“ . 43 Tabelle 12 Empfehlungen fr
20、 die Pflegeverantwortung und Freigaberegeln der Umsetzungsvorgaben fr Dienstleister“. 44 Tabelle 13 Empfehlungen fr die Pflegeverantwortung der bersicht ber IT-Systeme und andere Bestnde mit pbD“ . 47 Tabelle 14 Empfehlungen fr die Pflegeverantwortung der Handlungsbedarfe aus Umsetzungsvorgaben“ 48
21、Bilder Bild 1 Beispiel fr Fristabschnitte fr einen Auftrag im Lschkonzept 18 Bild 2 Mgliche Standardlschfristen eines TK-Dienstleisters 27 Bild 3 Beispielhafte Matrix von Lschklassen fr einen TK-Dienstleister . 30 Bild 4 Verhltnis zwischen Dokument Lschregeln“ und Umsetzungsvorgaben 32 Bild A.1 Auft
22、eilung in Projektphasen . 51 DIN 66398:2016-05 5 Vorwort Dieses Dokument wurde vom DIN-Normenausschuss Informationstechnik und Anwendungen (NIA), Arbeitskreis NA 043-01-27-05 AK Identittsmanagement und Datenschutz-Technologien“ erarbeitet. Es wird auf die Mglichkeit hingewiesen, dass einige Elemente
23、 dieses Dokuments Patentrechte berhren knnen. DIN ist nicht dafr verantwortlich, einige oder alle diesbezglichen Patentrechte zu identifizieren. DIN 66398:2016-05 6 Einleitung In sehr vielen Geschftsprozessen und IT-Anwendungen werden personenbezogene Daten (pbD) verwendet. Sie unterliegen den Recht
24、svorgaben des Datenschutzes, der in Europa Verfassungsrang hat. Die Rechtsvorgaben des Datenschutzes als Konkretisierung des informationellen Selbstbestimmungsrechts fordern unter anderem, die Prinzipien der Erforderlichkeit, Datenvermeidung und Datensparsamkeit im Umgang mit pbD zu beachten. Daraus
25、 resultiert auch das Gebot zur Lschung derartiger Daten. So enthlt Artikel 6 der EU-Datenschutzrichtlinie von 1995 7 eine Lsch- und Anonymisierungsvorgabe. Sie war in allen nationalen Datenschutzgesetzen der EU-Lnder umzusetzen. Das deutsche Bundesdatenschutzgesetz (BDSG, 8) beispielsweise konkretis
26、iert in den 20 Abs. 2 und 35 Abs. 2 die Forderung nach Lschung fr diejenigen Daten, die fr die rechtlich zulssigen Zwecke nicht mehr erforderlich sind. Die Prinzipien sind auch in ISO 29100 als Data minimization“ und Use, retention and disclosure limitation“ festgelegt 4. In der Praxis wird die Rech
27、tsvorgabe der Lschung allerdings nur in geringem Ma umgesetzt. Sie stt auf vielfltige Probleme, insbesondere weil: es notwendig ist, unbestimmte Rechtsbegriffe auszulegen, um Lschregeln zu bilden; es verantwortlichen Stellen schwerfllt, fr Datenbestnde das Ende der Verwendung in Prozessen und damit
28、konkrete Lschfristen festzulegen; viele Personen daran beteiligt sind, die Lschregeln festzulegen und die Lschmechanismen in IT-Systemen und anderen Ablufen zu implementieren, und die Beteiligten dies nur knnen, wenn sie die Lschregeln verstehen; oder es an klaren Vorstellungen fehlt, wie die korrek
29、te Umsetzung der Lschregeln berprft und gegebenenfalls nachgewiesen werden kann. Um eine rechtskonforme Lschung von pbD sicherzustellen, ist es fr die verantwortliche Stelle unabdingbar, ein Regelwerk zu entwickeln und Verantwortung zuzuweisen. Die Etablierung eines solchen Lschkonzepts ist eine kom
30、plexe und umfangreiche Aufgabe. Die Erfolgsaussichten fr dessen Entwicklung knnen verbessert werden, wenn die verantwortliche Stelle auf einen bewhrten Vorschlag zur Vorgehensweise und zur Gestaltung zurckgreifen kann. In dieser Norm wird eine Vorgehensweise fr die Entwicklung und Etablierung eines
31、Lschkonzepts vorgeschlagen. Der Vorgehensweise liegt die Annahme zugrunde, dass die durchgngige Lschung von pbD einen tragfhigen Kompromiss zwischen rechtlichen Vorgaben und praktischen Anforderungen erfordert. Grundlegende Datenschutzkenntnisse werden bei Anwendern dieser Norm vorausgesetzt. Ziele
32、dieser Norm Diese Norm untersttzt verantwortliche Stellen dabei, ihre rechtlichen Pflichten zur Lschung personenbezogener Daten zu erfllen. Als Leitlinie gibt sie Empfehlungen fr die Inhalte, den Aufbau und die Zuordnung von Verantwortung in einem Lschkonzept fr pbD. Die Vorgehensweise und die Struk
33、turierungsvorschlge sind fr alle verantwortlichen Stellen geeignet. Diese Norm richtet sich an Personen, die datenschutzrechtliche Lschkonzepte entwickeln, z. B. Projektverantwortliche oder den Ansprechpartner fr Datenschutz. DIN 66398:2016-05 7 Vorgehensweise mit Lschklassen In einem Lschkonzept le
34、gt die verantwortliche Stelle fest, wie sie die datenschutzrechtlichen Pflichten zur Lschung von pbD erfllt. Diese Leitlinie beschreibt, wie ein Lschkonzept fr pbD in einer Organisation etabliert werden kann. Abschnitt 4 gibt einen berblick ber Grundlagen und Begriffe. Fr das Lschkonzept bentigt die
35、 verantwortliche Stelle insbesondere Regeln, nach denen die Bestnde mit pbD gelscht werden sollen. Alle Beteiligten sollen diese Lschregeln nachvollziehen knnen; die Regeln sollen deshalb berschaubar bleiben. Einfache Lschregeln sind daher der Schlssel zum Erfolg. Diese Norm empfiehlt aus diesem Gru
36、nd die Verwendung organisationsspezifisch standardisierter Lschfristen und sogenannter Lschklassen. Die Lschregeln bilden den Anker des Lschkonzepts. Sie werden jeweils fr Teile des Datenbestandes festgelegt, sogenannte Datenarten (siehe Abschnitt 5). Die Lschregeln knnen fr eine Organisation in fol
37、genden Schritten gebildet werden: Die Projektbeteiligten suchen zunchst gute Stellvertreter fr typische Arten personenbezogener Daten. Mit diesen Stellvertretern knnen Standardlschfristen identifiziert werden (siehe Abschnitt 6). Die Standardlschfristen werden in einem iterativen Prozess so gewhlt,
38、dass sie eine datenschutzrechtlich vertretbare Abstufung bilden. Aus den Standardlschfristen ergeben sich durch drei Typen von Startzeitpunkten fr den Lauf der Lschfrist die Lschklassen der Organisation (siehe Abschnitt 7). Diese Lschklassen reduzieren die Komplexitt und bilden den Kern des Lschkonz
39、epts. Die weiteren Arten personenbezogener Daten werden dann in die Lschklassen eingeordnet. Dadurch werden den Datenarten implizit Lschregeln zugeordnet; lediglich die Bedingungen fr den Startzeitpunkt mssen konkretisiert werden. Es ergibt sich der Katalog der Lschregeln fr eine Organisation. Fr ko
40、nkrete Datenbestnde, beispielsweise in IT-Systemen, wird dann geprft, welche Datenarten enthalten sind. Die Lschregeln dazu knnen aus dem Katalog entnommen werden. Diese werden dann in Umsetzungsvorgaben ausformuliert, um die Regeln zu implementieren und Lschlufe zu steuern (siehe Abschnitt 8). Um d
41、as Lschkonzept dauerhaft zu etablieren, sollte festgelegt werden, wer fr die aus dem Lschkonzept entstehenden Aufgaben der Umsetzung, berprfung und Fortschreibung verantwortlich ist (siehe Abschnitt 9). Einige Hinweise zur Vorgehensweise in einem Projekt Lschkonzept“ gibt schlielich Anhang A. Nutzen
42、 Ein Lschkonzept der hier vorgeschlagenen Art hat fr eine verantwortliche Stelle vielfltigen Nutzen: Es dient dem Schutz der Betroffenen im Sinne des Rechts auf informationelle Selbstbestimmung. Die verantwortliche Stelle kann belegen, dass sie Manahmen definiert und umgesetzt hat, um ihre datenschu
43、tzrechtlichen Pflichten zur Lschung personenbezogener Daten zu erfllen. Die Umsetzung von Lschfristen erfordert, dass Geschftsprozesse hinreichend geklrt werden. Komplexe Ablufe knnen oftmals effizienter gestaltet werden. Die Datenhaltung wird systematisiert und konsolidiert. Weil auch Altbestnde in
44、 die Lschung einbezogen werden sollten, werden diese Bestnde bereinigt. Dies reduziert den Aufwand und die Kosten fr die Datenmigration bei Systemwechseln erheblich. DIN 66398:2016-05 8 Durch die Bereinigung von Datenbestnden und das Auflsen unntiger Redundanz knnen Kosten im IT-Betrieb gesenkt werd
45、en. Da das Lschkonzept Soll-Vorgaben fr die Lschung von Datenbestnden macht, knnen daraus mit geringem Aufwand Prfbedingungen fr Audits abgeleitet werden. Durch die systematische Erhebung der Bestnde mit pbD und der verbundenen Lschprozesse erhlt der Ansprechpartner fr Datenschutz wertvolle Detailin
46、formationen zur Systemdokumentation. Die Diskussion um Lschregeln und die konstruktive Gestaltung von Geschfts- und IT-Prozessen verbessert das Datenschutzverstndnis innerhalb der verantwortlichen Stelle. In dieser Norm werden zentrale Begriffe definiert, die zur Festlegung von Lschregeln bentigt we
47、rden. Einsatzgebiet dieser Norm Vorrangiges Einsatzgebiet dieser Norm ist die Entwicklung eines Lschkonzepts mit Lschregeln und deren Umsetzung durch eine verantwortliche Stelle. Bei der Konzeption von Geschftsprozessen knnen Lschanforderungen auf der Grundlage der definierten Lschregeln frhzeitig b
48、ercksichtigt werden. Fr Systementwicklungs- und Systembeschaffungsprozesse knnen ebenfalls Lschanforderungen definiert werden. Diese Norm gibt zudem Software-Herstellern Hinweise darauf, wie IT-Systeme gestaltet sein sollten, um die verantwortlichen Stellen bei der rechtskonformen Lschung von pbD zu untersttzen (Privacy by Design“). Darber hinaus bietet diese Norm eine Grundlage, um Muster-Kataloge mit Lschklassen entsprechend nationaler, supranationaler oder branchenspezifischer Rechtsvorgaben
