Das Löschen personenbezogener Daten wird heute vom BDSG und ab 2018 auch von der Datenschutz-Grundverordnung der EU gefordert. In der Praxis gibt es große Umsetzungsdefizite. Das hat zwei Ursachen: Die Löschregeln sind nicht definiert und es fehlen Löschmechanismen in Anwendungen. Der Beitrag motiviert, Löschen als eine wichtige Anforderung aufzugreifen, und bereits zu Beginn von Entwicklungsprojekten zu berücksichtigen. Entwickler sollten deshalb für die Fragestellung sensibilisiert sein.
Die DIN 66398, die durch mehrjährige Praxiserfahrungen des Referenten geprägt ist, gibt konkrete Hilfestellungen bei Löschprojekten: Sie schlägt vor, wie Löschkonzepte etabliert werden sollten und bietet eine effiziente Vorgehensweise zur Ableitung von Löschregeln. Löschprojekte können außerdem positive Wirkungen nach sich ziehen, die weit über die Datenschutz-Anforderungen hinausgehen.
Um Löschregeln zu definieren, kann die Vorgehensweise der im April 2016 erschienen DIN 66398 verwendet werden: Mit Hilfe von Standardfristen und Typen von Startzeitpunkten werden Löschklassen gebildet. Abgegrenzte Arten personenbezogener Daten können dann leicht in die Löschklassen eingeordnet werden. Daraus ergeben sich die Löschregeln mit je einem Startzeitpunkt und einer Regellöschfrist. Diese Löschregeln sind die Grundlage für die Implementierung von Löschmechanismen. Dazu werden für verschiedene Bereiche sogenannte Umsetzungsvorgaben entwickelt.
Mechanismen zur Löschung können sehr unterschiedlich implementiert werden. Entwurfsentscheidungen sind z.B. abhängig vom Verarbeitungsprozess, der Einbettung des Systems in die IT-Landschaft oder Datenvolumen. Beispiele für Implementierungsansätze sind:
- Transport-Files, Log-Files etc.: dateibasiertes Löschen
- Massendatenverarbeitung: partitionieren von Tabellen nach Zeitscheiben und „Drop Table“
- Datensätze in Datenbanken: (SQL-)Statements auf Tabellen
- Attribut-Ebene: Überschreiben von Werten
- Objektorientierte Ansätze z.B.: Die Klasse „kennt“ die Regellöschfrist; über weitere Attribute kann der Startzeitpunkt und ein „aussetzen-Flag“ gesetzt werden. Über Methoden könnten die löschfälligen Datensätze identifiziert und dann auch gelöscht werden.
- Archivieren und Löschen der Archivdateien, bspw. in SAP
Allgemeine Anforderungen an Löschmechanismen:
- Die Löschfrist sollte konfigurierbar sein
- Der Mechanismus muss insgesamt ausgesetzt werden können.
- Je nach Datenart kann es notwendig sein, einzelne Datenobjekte zeitweise aus der Löschung auszunehmen
- Es sollte „sicher“ gelöscht werden.
- Löschläufe sollten dokumentiert werden (z.B. Parameter des Laufs, Anzahl gelöschter Datensätze, Erfolgs-/Fehlermeldungen)
- Die Vorgehensweise kann auch für nicht-personenbezogene Daten angewandt werden. Nutzen – neben der datenschutzgerechten Gestaltung von Prozessen – kann sich u.a. ergeben, weil
- Geschäftsprozesse präzisiert werden
- Systeme und IT-Prozesse entkoppelt werden
- Vorgaben für die Datenhaltung getroffen werden, überflüssige Daten aufgeräumt und Redundanzen abgebaut werden. Dadurch sinken Kosten für den IT-Betrieb und für Migrationen.
Zielpublikum: Alle Entwickler mit Interesse an Datenschutz
Benötigte Vorkenntnisse: keine
Programmiersprachen: werden nicht verwendet
Dr. Volker Hammer
Dr. Volker Hammer, Dipl. Informatiker, bis 1998 interdisziplinäre Arbeiten zur rechtsgemäßen und verletzlichkeitsreduzierenden Gestaltung. Seitdem Mitarbeiter der Secorvo Security Consulting GmbH mit Arbeitsschwerpunkten in Datenschutz und Informationssicherheit. Unter anderem Leiter des Projekts Löschkonzept für die Toll Collect GmbH und Editor der DIN 66398 „Leitlinie Löschkonzept“