SDM: Standard-Datenschutzmodell erleichtert Auswahl und Bewertung geeigneter TOM

© Sikov – stock.adobe.com

Viele Datenschutzverantwortliche stehen vor der Frage, wie sie die rechtlichen Anforderungen der DSGVO in technische und organisatorische Maßnahmen (TOM) umsetzen. Das Standard-Datenschutzmodell (SDM) unterstützt sie dabei mit einem Maßnahmenkatalog.

Standard-Datenschutzmodell (SDM): Definition  

Das Standard-Datenschutzmodell (SDM) stellt eine Methode dar, mit der die Risiken, die bei der Verarbeitung personenbezogener Daten für die Rechte und Freiheiten Betroffener einhergehen, beseitigt oder zumindest auf ein tragbares Maß reduziert werden. Um solche Risiken zu minimieren, müssen Unternehmen und Behörden technische und organisatorische Maßnahmen (TOM) ergreifen, an die seit der DSGVO erhöhte Anforderungen gestellt werden. Bei der Auswahl und Bewertung solcher TOM werden sie vom SDM unterstützt. 

Denn mit dem SDM wurden Mechanismen erarbeitet, um die rechtlichen Anforderungen der DSGVO zum Schutz personenbezogener Daten in geeignete technische und organisatorische Maßnahmen überzuführen. Es zielt also auf die datenschutzkonforme Umsetzung der nach DSGVO geeigneten TOM ab. Hierfür strukturiert das SDM die rechtlichen Vorgaben in Form von Gewährleistungszielen.  

SDM wurde von Datenschutzaufsichtsbehörden entwickelt

Das SDM wurde von den Datenschutzaufsichtsbehörden entwickelt, um für den operativen Datenschutz im Hinblick auf TOM ein einheitliches Prüfverfahren sicherzustellen. Es dient der Bewältigung ihrer gesetzlichen Prüf-, Beratungs- und Sanktionsaufgaben. Verantwortliche können also davon ausgehen, dass das SDM vermehrt bei Audits oder in einzelnen Beratungsvorgängen angewendet wird. 

Datenschutzverantwortliche können es insbesondere sinnvoll für die IT-Planung und -Konfiguration sowie die rechtskonforme Gestaltung von Verarbeitungsprozessen und deren Aufrechterhaltung einsetzen.  

SDM ersetzt kein Security-Managementsystem

Das SDM ersetzt weder die Etablierung eines Systems zur Risikobewertung noch die Implementierung eines Security-Managementsystems. Vielmehr setzt das Datenschutzmodell eine Risikobewertung voraus und kann als Teil eines Security-Managementsystems verstanden werden. 

Zur Gewährleistung von normalem und hohem Schutzbedarf werden im Maßnahmenkatalog des SDM Einzelmaßnahmen definiert. Diese kann der Datenschutzverantwortliche zur Eindämmung der festgestellten Risiken implementieren oder als Referenzmaßnahmen zum Abgleich mit bestehenden oder vorgesehenen Maßnahmen nutzen.  

Tiefer greifende Informationen zur Implementierung von IT-Sicherheit-Managementsystemen sowie praxisnahe Erläuterungen zu datenschutzrechtlichen Vorgaben erhalten Verantwortliche im Handbuch „Datenschutz 2019“.

Sichern Sie sich jetzt wertvolles Datenschutzwissen samt Arbeitshilfen zur Umsetzung in der Praxis!

Datenschutz 2019

mehr erfahren

Gewährleistungsziele des SDM 

Als zentrales Element enthält das SDM sieben Gewährleistungsziele: 

  • Datenminimierung
  • Verfügbarkeit 
  • Integrität
  • Vertraulichkeit
  • Transparenz
  • Nichtverkettung
  • Intervenierbarkeit 

Im Datenschutzmodell selbst werden die Gewährleistungsziele als „Übersetzungshilfe vom Recht zur Technik“ bezeichnet, die den „ständigen Dialog zwischen Juristen und Technikern“ unterstützt. Insofern stellen die Gewährleistungsziele des SDM die datenschutzrechtlichen Anforderungen an Verarbeitungstätigkeiten in komprimierter sowie strukturierter Art und Weise dar, auf deren Grundlage die konkreten TOM des Maßnahmenkatalogs abgeleitet werden können. 

Beispiele aus Maßnahmenkatalog des SDM   

Unter der Prämisse, dass der Maßnahmenkatalog aus den Gewährleistungszielen des SDM entwickelt wird, können Verantwortliche annehmen, dass die Implementierung einer bestimmten Maßnahme auch der datenschutzrechtlichen Anforderung genügt. Erste Bausteine zu Referenz-Schutzmaßnahmen des Datenschutzes liegen bereits vor, z.B. zur Aufbewahrung, zur Dokumentation oder zum Datenschutzmanagement. Die einzelnen Bausteine des Katalogs werden nach und nach veröffentlicht und zur Anwendung freigegeben.

Gleichwohl müssen nicht alle im SDM bzw. im Maßnahmenkatalog genannten Schutzmaßnahmen genau umgesetzt werden. Welche Schutzmaßnahmen umzusetzen sind, ergibt sich aus dem ermittelten Schutzbedarf für die Verarbeitungstätigkeiten. 

Beispiele für Schutzmaßnahmen gemäß Gewährleistungsziel „Datenminimierung“ 

  • Reduzierung von erfassten Attributen der betroffenen Personen 
  • Reduzierung der Verarbeitungsoptionen in Verarbeitungsprozessschritten 
  • Reduzierung von Möglichkeiten der Kenntnisnahme vorhandener Daten

Beispiele für Schutzmaßnahmen gemäß Gewährleistungsziel „Verfügbarkeit“

  • Anfertigung von Sicherheitskopien von Daten, Prozesszuständen, Konfigurationen, Datenstrukturen und Transaktionshistorien u. Ä. gemäß eines getesteten Konzepts 
  • Schutz vor äußeren Einflüssen (Schadsoftware, Sabotage, höhere Gewalt) 
  • Dokumentation der Syntax der Daten 

Fazit zum Standard-Datenschutzmodell   

Das Standard-Datenschutzmodell stellt also ein Werkzeug dar, mit dem die Auswahl und Bewertung technischer und organisatorischer Maßnahmen unterstützt werden. Mit diesen stellen Unternehmen und Behörden zum einen sicher, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DSGVO erfolgt ist  und erbringen zum anderen den Nachweis dafür. Das standardisierte Datenschutzmodell richtet sich an folgende Parteien: 

  • Verantwortliche für die Verarbeitung personenbezogener Daten: Diese können mit dem Standard-Datenschutzmodell erforderliche Funktionen und Schutzmaßnahmen systematisch planen, umsetzen und kontinuierlich überwachen. 
  • Datenschutzaufsichtsbehörden: Aufsichtsbehörden greifen mit dem SDM auf eine einheitliche Methode zurück, um Verarbeitungsprozesse und deren Komponenten transparent und nachvollziehbar zu beurteilen. 

Quellen: „Datenschutz 2019“, „Das Standard-Datenschutzmodell“, „Infodienst Datenschutz für Praktiker“

Sie wollen mehr Fachwissen, Praxistipps und kostenlose Arbeitshilfen zum Bereich Datenschutz und IT erhalten? Dann melden Sie sich gleich zu unserem kostenlosen Fach-Newsletter an!

War der Artikel hilfreich?
finde ich gut 0