Das Standard Datenschutzmodell

Die Datenschutzkonferenz hat ein Standard Datenschutzmodell entwickelt, das Unternehmen als Leitfaden zur Einhaltung der DSGVO dient. Erfahren Sie, was genau es mit dem Datenschutz Standardmodell auf sich hat und welche Vorteile es mit sich bringt.

Das Standard Datenschutzmodell (SDM) gibt technische und organisatorische Maßnahmen zur Umsetzung der Datenschutzgrundverordnung (DSGVO) vor.

In Art. 5 DSGVO werden die Anforderungen an die Verarbeitung personenbezogener Daten festgelegt. Demgemäß gelten für die Datenverarbeitung folgende Grundsätze:

• Rechtmäßigkeit
• Verarbeitung nach Treu und Glauben
• Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit

Die Einhaltung dieser Grundsätze muss von Unternehmen gegenüber Betroffenen und Aufsichtsbehörden im Sinne der Rechenschaftspflicht nachgewiesen werden.

Die Anforderungen der DSGVO werden im Standard-Datenschutzmodell in die sogenannten Gewährleistungsziele übersetzt. Diese lauten:

• Datenminimierung: Die Verarbeitung personenbezogener Daten soll auf das notwendige Maß beschränkt werden.
• Verfügbarkeit: Der Zugriff auf personenbezogene Daten muss bei Bedarf sofort möglich sein.
• Integrität: Personenbezogene Daten sollen durch unbefugte Dritte nicht verändert werden können. Sie müssen vor Beschädigung, Zerstörung und Verlust geschützt werden.
• Vertraulichkeit: Personenbezogene Daten dürfen für unbefugte Dritte nicht zugänglich sein.
• Nichtverkettung: Personenbezogene Daten dürfen nicht für einen anderen Zweck verarbeitet werden als für den Zweck, zu dem sie erhoben worden sind.
• Transparenz: Es muss nachvollziehbar sein, welche personenbezogenen Daten wann und zu welchem Zweck erhoben wurden, wie diese wann und von wem verarbeitet werden, wo sie gespeichert und wann sie gelöscht werden.
• Intervenierbarkeit: Betroffene müssen auf Anfrage jederzeit Auskunft über ihre personenbezogenen Daten erhalten und Widerspruch gegen deren Verarbeitung und Speicherung einlegen können.

Hält ein Unternehmen diese Ziele ein, ist eine DSGVO-konforme Datenverarbeitung gewährleistet. Die Gewährleistungsziele dienen dem Datenschutzbeauftragten also als Leitfaden für die Umsetzung der Anforderungen der DSGVO. Für Unternehmen ist es nicht verpflichtend, das Standard-Datenschutzmodell anzuwenden. Dennoch ist es für eine Compliance mit der DSGVO empfehlenswert, sich bei der Datenverarbeitung an den Gewährleistungszielen des SDM zu orientieren.

Das Standard Datenschutzmodell macht es dem Datenschutzbeauftragten leichter, die Festlegung und Implementierung von Maßnahmen für den Datenschutz im Unternehmen zu systematisieren. Mit dem SDM hat der Datenschutzbeauftragte immer alle konkreten Gewährleistungsziele und einen umfangreichen Maßnahmenkatalog zur Hand, die eine effektive Umsetzung von Datenschutzmaßnahmen ermöglichen. Anhand der umgesetzten Maßnahmen aus dem SDM können Unternehmen ihre Compliance mit der DSGVO gegenüber der zuständigen Aufsichtsbehörde nachweisen.

Auf der anderen Seite erleichtert das SDM auch den Aufsichtsbehörden die Arbeit. Diese können sich an den Gewährleistungszielen des SDM orientieren, um die DSGVO-Compliance eines Unternehmens zu prüfen und ihr Urteil nachvollziehbar zu begründen.

Das StandardsDatenschutzmodell verknüpft somit die Theorie der DSGVO mit der Praxis in Form von konkreten technisch-organisatorischen Maßnahmen und erleichtert zudem die Kommunikation zwischen einem Unternehmen bzw. dem Datenschutzbeauftragten und der Aufsichtsbehörde.

Im Standard-Datenschutzmodell wird jedes Datenverarbeitungsverfahren in die Bestandteile

• Daten
• IT-Systeme
• Prozesse

unterteilt. Es werden Anforderungen an das IT-System oder die Prozesse in einem Unternehmen für eine DSGVO-konforme Verarbeitung personenbezogener Daten genannt. So können konkrete Maßnahmen festgelegt und umgesetzt werden.

Für die Einhaltung der Gewährleistungszielewird zuerst das Risiko einer Datenverarbeitung für die Rechte und Freiheiten Betroffener untersucht. Ein Risiko besteht zum einen dann, wenn die Gewährleistungsziele des SDM, die sich wiederum aus den Anforderungen gemäß Art. 5 DSGVO ableiten, nicht eingehalten werden. Zum anderen kann durch eine mangelhafte IT-Sicherheit ein Risiko bestehen, indem dadurch unbefugten Dritten der Zugriff auf die Daten durch eine Sicherheitslücke erleichtert wird. Es ist nie der Fall, dass kein Risiko vorhanden ist. Ein geringes Risiko wird als normales Risiko gewertet.

Es erfolgt eine Schutzbedarfsanalyse, wobei der Schutzbedarf in drei Stufen (normal, hoch oder sehr hoch) unterteilt ist. Dabei geht es darum, zu ermitteln, wie umfangreich der Schutz der personenbezogenen Daten aus der Sicht der Betroffenen im jeweiligen Fall sein muss. Die Höhe des zuvor geschätzten Risikos bestimmt die Höhe des Schutzbedarfs. Ist der Schutzbedarf ermittelt, geht es darum, angemessene Schutzmaßnahmen festzulegen. Hier kann der für den Datenschutz Verantwortliche einen Blick in den umfangreichen Maßnahmenkatalog des SDM werfen. Die Ausarbeitung dieses Maßnahmenkatalogs ist noch nicht abgeschlossen.

Durch die Maßnahmen soll ein ausreichend hohes Schutzniveau der Datenverarbeitung erreicht werden, mit dem das Risiko für die Rechte und Freiheiten Betroffener, egal wie hoch es vorher war, verringert wird.

Der Maßnahmenkatalog des StandardsDatenschutzmodells ist in verschiedene Bausteine gegliedert. Nach Beschluss der Datenschutzkonferenz werden die einzelnen Bausteine sukzessive veröffentlicht. Sie sollen von den Anwendern des SDM zunächst getestet und dann von den Zuständigen der DSK weiter optimiert werden. Zuständig für die Erarbeitung der SDM-Bausteine ist eine speziell dafür gegründete Arbeitsgruppe aus Datenschutzexperten der DSK.

Diese Bausteine aus dem Maßnahmenkatalog sind bereits freigegeben.

Das Standard-Datenschutzmodell bringt viele Vorteile mit sich. Es ermöglicht eine systematische Planung und Umsetzung von Maßnahmen für eine DSGVO-konforme Verarbeitung personenbezogener Daten und angemessene IT-Sicherheit zur Risikominimierung. Zwar bietet das SDM eine hilfreiche Orientierung für Unternehmen, ist jedoch immer noch komplex und erfordert entsprechend Fachkenntnisse. Lassen Sie sich von einem Datenschutzexperten helfen! Als Ihr externer Datenschutzbeauftragter ist es für uns selbstverständlich, die Gewährleistungsziele des SDM zu erreichen und damit die Anforderungen der DSGVO für Ihr Unternehmen zu erfüllen. Die Immerce Consulting GmbH kümmert sich um die Implementierung von transparenten, nachvollziehbaren Prozessen für die Datenverarbeitung im Sinne des Standard-Datenschutzmodells, während Sie sich auf Ihr Kerngeschäft konzentrieren können.