Im September 2025 wurde die DIN 66398:2016‑05 offiziell zurückgezogen und durch die DIN EN ISO/IEC 27555:2025‑09 ersetzt. Für viele Unternehmen war die DIN 66398 bislang de facto der Referenzrahmen zur Entwicklung von Löschkonzepten und Löschverfahren; mit der ISO‑Fassung liegt nun ein international harmonisiertes Pendant vor, das inhaltlich auf der DIN aufbaut, aber Terminologie, Struktur und einige Detailanforderungen modernisiert.
Inhaltsverzeichnis
Dieser Beitrag erklärt die wichtigsten praktischen Änderungen und liefert eine integrierte Gegenüberstellung samt Handlungsempfehlungen.
Von der nationalen Leitlinie zur internationalen Norm
- Herkunft und Kontinuität. Die ISO/IEC 27555 ist aus der DIN 66398 abgeleitet; die Vorgehensweise (Regelkatalog je Zweck/„Datenart“, Startzeitpunkte, Regellöschfristen, Löschklassen, Umsetzungsvorgaben) bleibt methodisch erhalten. Der ISO‑Text ist schlanker, verdichtet und auf das ISO‑Privacy‑Vokabular ausgerichtet (ISO/IEC 29100).
- Status in DE/EU. Mit der DIN EN ISO/IEC 27555:2025‑09 liegt die europäische Übernahme in deutscher Sprache vor; die DIN 66398 ist bei DIN Media als „zurückgezogen“ geführt.
- Ausblick. Die ISO arbeitet bereits an einer Revision (Edition 2) der 27555 – Unternehmen sollten also mit weiteren Präzisierungen in den nächsten Jahren rechnen.
Begriffsklärung: Aus „Datenart“ wird cluster of PII – endlich weniger Missverständnisse
Die deutsche Übersetzung verwendet an einigen Stellen weiterhin den Begriff „Datenart“. Inhaltlich wird er jedoch präziser gefasst und mit dem englischen Terminus „cluster of PII (personally identifiable information)“ unterlegt. Gemeint ist ein logischer Bestand personenbezogener Informationen, der für einen einheitlichen fachlichen Zweck verarbeitet wird. Unabhängig von der technischen Repräsentation (Datenbank, Dokument, Papier) und einschließlich nicht‑elektronischer personenbezogener Daten. Diese Präzisierung folgt der ISO‑Terminologie und dem in der DIN etablierten methodischen Ansatz.
In der Praxis wurde „Datenart“ oft historisch bedingt ähnlich einer Gruppierung der „besonderen Arten personenbezogener Daten“ aus dem BDSG a. F. (§ 3 Abs. 9) assoziiert. Das begünstigte Missverständnisse. Die ISO‑Begriffe verschiebt den Fokus wieder auf den Zweck (Use Case).
Datenobjekte & Löschgranularität: Löschen in sinnvollen Einheiten
Erfreulich klar ist auch die inhaltliche Betonung, dass nicht einzelne Attribute, sondern logische Einheiten – Datenobjekte – den Regelfall der Löschung bilden (z. B. Dokumente, Datensätze zu einer Person). Die DIN beschreibt das seit jeher („Merkmale“ → „Datenobjekte“ → „Datenart“), die ISO spricht im Text von „set of …“ bzw. fasst Bestände in „clusters of PII“ zusammen. Ergebnis: Löschregeln beziehen sich auf sinnzusammenhängende Objekte und lassen sich dadurch technikneutral und wiederverwendbar formulieren.
Risikoorientierung bei Löschmechanismen
Ein zentraler Unterschied zwischen DIN 66398 und ISO/IEC 27555 liegt in der Definition von „Löschen“. Während die DIN stark auf den Begriff des „sicheren Löschens“ fokussierte, verfolgt die ISO einen risikobasierten Ansatz.
Die Norm verlangt, dass personenbezogene Informationen so verändert oder entfernt werden, dass sie nicht mehr präsent, erkennbar oder nutzbar sind und nur mit unverhältnismäßigem Aufwand rekonstruiert werden könnten.
Das bedeutet:
- Technische Maßnahmen wie Überschreiben, Kryptoschlüsselvernichtung oder physische Zerstörung bleiben Best Practice, sind aber nicht zwingend vorgeschrieben.
- Unternehmen müssen Risikoanalysen durchführen: Welche Wiederherstellungsmöglichkeiten existieren? Welche Tools und forensischen Fähigkeiten sind realistisch verfügbar?
- Die Löschstrategie wird damit flexibler, aber auch aufwändiger: Dokumentieren Sie, warum eine gewählte Methode angesichts des Bedrohungsmodells als „angemessen“ gilt.
Dieser Ansatz ist praxisnah, weil er die Verhältnismäßigkeit berücksichtigt. Etwa bei Cloud-Diensten oder virtuellen Umgebungen, wo physische Vernichtung nicht praktikabel ist. Gleichzeitig erhöht er die Anforderungen an Governance und Nachweisführung, um Compliance und Auditfähigkeit sicherzustellen.
Übersicht über die Änderungen:
| Thema / Aspekt | DIN 66398 | ISO/IEC 27555:2021 |
|---|---|---|
| Geltungsbereich / Scope | Leitlinie für Löschkonzepte zu personenbezogenen Daten (starker DSGVO‑Bezug). | Leitfaden zur PII‑Löschung (internationaler Fokus), verankert im ISO‑Privacy‑Framework (ISO/IEC 29100); keine länderspezifischen Rechtsforderungen im Normtext. |
| Terminologie | „Datenart“, „Löschregel“, „Löschklasse“, „Umsetzungsvorgaben“; Rollen nach DSGVO/BDSG. | „cluster of PII“ statt „Datenart“; Rollen via ISO/IEC 29100 (PII controller/processor/principal). |
| Begriff „Löschen“ | Schwerpunkt „sicheres Löschen“; Bezug auf Schutzbedarf (u. a. DIN 66399). | Risikobasierte Definition: PII nicht mehr präsent/erkennbar/nutzbar; Rekonstruktion nur mit unverhältnismäßigem Aufwand; keine Mechanismus‑Vorgaben. |
| Risikobetrachtung / Rekonstruktionsrisiko | Fristenableitung rechtlich/praktisch (Zweck, Aufbewahrung); Risikoaspekte vorhanden, aber weniger technisch ausgearbeitet. | Betonung des Rekonstruktionsrisikos inkl. forensischer Fähigkeiten (Stand der Technik). |
| Dokumentation & Nachweis | Katalog der Löschregeln, Umsetzungsvorgaben, Verantwortlichkeiten. | Policies & Procedures inkl. Rollen; dokumentationsstarke ISO‑Erwartung (Nachweise/Auditfähigkeit). |
| Backup / Archiv | Praktisch: on‑top‑Frist zur Regellöschfrist; technikneutral geregelt. | Präziser: Regellöschfrist ggf. so modellieren, dass Backups innerhalb rechtlicher Grenzen abgedeckt sind; on‑top bleibt möglich. |
| Technische Maßnahmen (Erasure‑Methoden) | Verweist auf Umsetzungsregeln; Vernichtung über DIN 66399. | Keine konkreten Mechanismen vorgegeben (weder Überschreiben noch Crypto‑Erase verpflichtend). |
| Rollen & Verantwortlichkeiten | Klare Verantwortung innerhalb des Löschkonzepts (verantwortliche Stelle, Auftragsverarbeiter etc.). | Rollen via ISO‑Privacy‑Vokabular; stärkere Schnittstelle zu ISMS/Privacy‑Management. |
| Compliance & Rechtsbezug | Direkte DSGVO‑Bezüge im Text. | Keine Rechtsforderungen im normativen Text; Rechtsprüfung als Prozess/„Note“ vorgesehen. |
| Scope auf nicht‑pbD | Fokus auf pbD; Methode grundsätzlich übertragbar. | Fokus PII (vergleichbar pbD), internationale Anwendung und Lieferketten im Blick. |
| Normenstatus / Revision | Zurückgezogen. | DIN EN ISO/IEC 27555:2025‑09 gültig; ISO‑Revision (Edition 2) in Arbeit. |
Sie möchten das in Ihrem Unternehmen umsetzen?
Gern bereiten wir Ihnen auf Basis Ihres bestehenden Regelkatalogs eine konkrete Umstellungs‑Checkliste (Begriffs‑Mapping, Policy‑Snippets, Backup‑Formulierungen, Nachweispaket) auf DIN EN ISO/IEC 27555 inklusive für Ihr Löschkonzept vor.
