SORMAS-X Datenschutz: Einzelne Themen (3)
Wie in den vorangegangenen Beiträgen bereits erwähnt, besteht die Datenschutz-Dokumentation aus über 50 einzelnen Dokumenten. Nachfolgend stellen wir die Wichtigsten kurz vor. Dies ist die letzte Folge zum Thema Datenfelder und Zwecke. Heute geht es um das Löschkonzept für die SORMAS-X Software.
Löschkonzept
Zu Beginn des SORMAS@DEMIS Projektes konnten Daten aus der Software nur manuell gelöscht werden. Unklar war zunächst auch, ob sie tatsächlich gelöscht wurden, oder ob sie nur aus dem Sichtfeld der Anwenderin in einen verborgenen Teil der Datenbank verschoben wurden. So oder so war klar, dass dies nicht so bleiben konnte. Wir brauchten eine Idee für die Umsetzung des automatisierten Löschens von Daten aus der SORMAS-X Software.
Wir setzen für unsere Auftraggeber schon länger eine Vorlage für ein Löschkonzept ein, die mein technischer Sachverständiger entwickelt hat. Sie basiert auf der Grundlage der DIN 66398 „Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“. Die Vorlage ermöglicht eine Schritt-für-Schritt Erstellung eines Löschkonzepts.
Eine Vorlage für die Gesundheitsämter
Wir passten diese Vorlage an die SORMAS-X Anforderungen an und füllten sie mit Vorschlägen zu Löschfristen. Die Löschfristen sollten, so der Plan, den Gesundheitsämtern als Leitlinie für die Entwicklung und Ergänzung eigener Löschfristen dienen. Die endgültige Festlegung der Löschfristen stand anfangs noch unter dem Vorbehalt der Abstimmung mit den Landesdatenschutzbeauftragten. Die Löschfristen zu definieren war nicht ganz einfach, aber verglichen mit der anschließenden Entwicklung eines Plans für die tatsächliche Umsetzung dieser Anforderungen in der Software war dieser Teil ein kleiner Spaziergang. Die Datenbank-Logik der SORMAS-X Software arbeitet nicht personenzentriert, sondern ereignisbasiert. Würde man für das Löschen bei den Informationen über die Person ansetzen, liefe man Gefahr Informationen entweder zu kurz oder viel zu lange aufzubewahren.
Die Softwareentwickler sahen uns ratlos an, als wir ihnen die datenschutzrechtlichen Anforderungen vorstellten. „Was glaubt ihr, wie das gehen soll? Wie sollen wir das denn machen?“ Ich war versucht zu antworten, dass sie das doch wissen müssten? Seid ihr die Programmierer oder wir? Damit wären wir aber keinen Millimeter weiter gewesen. Entweder, wir würden mit ihnen einen Weg finden, oder wir würden keine Umsetzung unseres Konzepts bekommen.
Vorteil Schwarmintelligenz
An dieser Stelle zeigte sich wieder einmal der Vorteil der „Schwarmintelligenz“, die im SORMAS Datenschutzteam zusammengefunden hatte. Zwei der technischen Sachverständigen aus dem Team überführten in teils langwierigen Verhandlungen mit den Entwicklern unser formal-theoretisches Konzept in die Beschreibung der praktischen Umsetzung. Sie wählten einen innovativen Ansatz. Die Aufbewahrungsfristen sollen nicht „übergreifend“ an den (Personen-) Datensatz gebunden sein, sondern an jedes einzelne Datenfeld.
Feldweises Löschen
Auf diese Weise ist es möglich, dass jeder Datensatz automatisiert feldweise „von hinten nach vorne“ gelöscht werden kann, beginnend mit dem Feld mit der kürzesten Aufbewahrungsfrist. Erst, wenn auch das letzte Feld mit der längsten Aufbewahrungsfrist gelöscht ist, wird der Datensatz einer Person gelöscht. Die Aufbewahrungsfristen werden dementsprechend für jedes einzelne Datenfeld hinterlegt. Auf diese Weise wird jede Information automatisch zu exakt dem Zeitpunkt gelöscht, zu dem die Löschung rechtlich vorgegeben ist. Die Löschfristen werden direkt in der Software hinterlegt. Sie können von den Stellen, die SORMAS-X einsetzen, ergänzt und verändert werden.
Umsetzung folgt
Wie bei anderen Themen auch, verhinderte die Fülle der Aufgaben und die Knappheit der Zeit die tatsächliche Umsetzung des Plans, aber aufgeschoben ist nicht aufgehoben. Netzlink hat es sich zur Aufgabe gemacht, die Implementierung des automatisierten Löschens in der SORMAS-X Software gleich im ersten Quartal 2023 auf den Weg zu bringen.