Die 7 SDM-Gewährleistungs­ziele und ihr effektiver Einsatz im Unternehmen

von Björn Möller, Co-Founder & CEO
16. April 2024
8 Minuten
Das Standard-Datenschutzmodell (SDM) formuliert sieben Gewährleistungsziele, die Unternehmen verfolgen sollten, um die Anforderungen der Datenschutz-Grundverordnung (DSGVO) umzusetzen. Doch welche Gewährleistungsziele gibt es konkret? Und was bedeuten sie in der Praxis? Das erklären wir in diesem Blogbeitrag.

Standard-Datenschutz­modell: Der Ursprung der 7 Gewährleistungs­ziele

Die DSGVO stellt zahlreiche Anforderungen an Unternehmen, um die rechtskonforme Verarbeitung personenbezogener Daten zu gewährleisten. Diese datenschutzrechtlichen Anforderungen ergeben sich vor allem aus den Grundsätzen, die in Art. 5 der DSGVO festgehalten sind.

Die Herausforderung bei diesen Grundsätzen: Sie enthalten relativ abstrakte rechtliche Anforderungen, die sich nicht ohne weiteres technisch und organisatorisch umsetzen lassen.

Dafür bietet das sogenannte Standard-Datenschutzmodell (SDM) eine Orientierungshilfe und übersetzt diese in die folgenden sieben Gewährleistungsziele:

1.

Datenminimierung

2.

Verfügbarkeit

3.

Integrität

4.

Vertraulichkeit

5.

Nichtverkettung

6.

Transparenz

7.

Intervenierbarkeit


Der Vorteil, der sich daraus ergibt, liegt in der “gemeinsamen Sprache”, die Jurist:innen und IT-Fachpersonen finden. So können beide sichergehen, dass die rechtlichen Anforderungen auch tatsächlich technisch und organisatorisch umgesetzt werden.
Kurz gesagt:

Das SDM stellt hilfreiche Gewährleistungsziele bereit, mit denen Unternehmen die rechtlichen Anforderungen in konkrete Maßnahmen übersetzen können. So können Datenschutzverantwortliche die sieben Gewährleistungsziele nutzen, um daraus entsprechende technische und organisatorische Maßnahmen abzuleiten.

Die 7 Gewährleistungs­ziele des Standard-Datenschutz­modells im Detail

Welche Gewährleistungsziele gibt es? Und was bedeuten sie genau? Diesen Fragen gehen wir im Folgenden nach.Welche Gewährleistungsziele gibt es? Und was bedeuten sie genau? Diesen Fragen gehen wir im Folgenden nach.

1. Gewährleistungsziel
Datenminimierung

Das Gewährleistungsziel der Datenminimierung umfasst die Anforderung, so wenig personenbezogene Daten wie möglich zu verarbeiten. Je weniger Daten erfasst werden, desto weniger Schadenspotenzial birgt die Verarbeitung der Daten. Dementsprechend sollten Unternehmen die Datenverarbeitung auf genau das Minimum reduzieren, das nötig ist, um zum Beispiel die Leistung zu erbringen, die Kund:innen sich wünschen.

Bei der Datenminimierung geht es jedoch nicht nur darum, möglichst wenige Daten zu verarbeiten. Auch die Speicherdauer und die Zugänglichkeit der Daten sollten nach Möglichkeit kurz beziehungsweise klein gehalten werden. All diese Faktoren sollten Unternehmer:innen bei digitalen Anwendungen im Blick behalten: von deren Entwicklung bis zu ihrer tatsächlichen Nutzung.

Das Gewährleistungsziel der Datenminimierung kann zum Beispiel erreicht werden durch:

Minimierung der Anzahl an erfassten Eigenschaften von betroffenen Personen

Festlegung von Voreinstellungen für betroffene Personen nach dem Prinzip „Privacy by Default“

2. Gewährleistungsziel
Verfügbarkeit

Bei diesem Gewährleistungsziel müssen Berechtigte in der Lage sein, auf personenbezogene Daten zuzugreifen. Darüber hinaus müssen diese Daten ordnungsgemäß eingesetzt werden können für den jeweiligen Zweck, für den sie erfasst wurden. Das heißt, dass sie zu allen Zeiten auffindbar zu sein haben.

Unter das Gewährleistungsziel der Verfügbarkeit fällt auch, dass die personenbezogenen Daten gegen physische oder technische Zwischenfälle abgesichert und schnell wiederherstellbar sind.

Typische Maßnahmen zur Gewährleistung der Verfügbarkeit sind beispielsweise:

Erstellung von Sicherheitskopien von Daten und Prozessen

Sicherstellung des Schutzes vor äußeren Einflüssen (zum Beispiel durch Schadsoftware oder Sabotage) durch Implementierung einer Firewall

3. Gewährleistungsziel
Integrität

Ein weiteres Gewährleistungsziel für deinen Datenschutz ist die Integrität. Zum einen bedeutet das, dass Systeme und Programme ihre technischen Voreinstellungen kontinuierlich einhalten und nicht nachträglich Veränderungen vorgenommen werden, die die Verarbeitung von personenbezogenen Daten beeinflussen. Zum anderen muss diesem Ziel zufolge ebenso sichergestellt werden, dass die verarbeiteten Daten unverändert, vollständig, richtig und aktuell bleiben. Falls doch einmal Änderungen durchgeführt werden sollen, müssen diese erkennbar sein und rückgängig gemacht werden können.

Zum Ziel der Integrität zählt ebenfalls, dass automatisierte Prozesse keine Personen oder Personengruppen diskriminieren. Dazu müssen potenziell diskriminierende, automatisierte Entscheidungsprozesse vor ihrer ersten Anwendung rechtlich geprüft werden. Außerdem sind sie während des Betriebs zu überwachen, um auch eine mögliche künftige Diskriminierung auszuschließen. Insbesondere, wenn dein Unternehmen KI-Verfahren entwickelt oder anwendet, musst du dieses Gewährleistungsziel beachten.

Typische Maßnahmen zur Gewährleistung der Integrität oder zur Feststellung von
Integritätsverletzungen sind etwa:

Einschränkung der Schreib- und Änderungsrechte

Zuweisung von Berechtigungen und Rollen sowie die Dokumentation letzterer

Fortwährende Löschung beziehungsweise Berichtigung falscher Daten

4. Gewährleistungsziel
Vertraulichkeit

Vertraulichkeit nimmt innerhalb der DSGVO naturgemäß einen hohen Stellenwert ein und dies trifft auch auf die Methodologie der 7 Gewährleistungsziele des SDM zu. Das bedeutet in der Praxis, dass keine unbefugte Person personenbezogene Daten nutzen oder überhaupt zur Kenntnis nehmen darf. Mit dem Begriff „Unbefugte“ sind zum einen Dienstleister gemeint, die diese Daten nicht benötigen, um Leistungen zu erbringen. Doch auch Personen in deinem Unternehmen, die nicht in eine bestimmte Verarbeitungstätigkeit involviert sind, dürfen genauso wenig auf die dafür erhobenen personenbezogenen Daten zugreifen.

Typische Maßnahmen zur Gewährleistung der Vertraulichkeit sind:

Festlegung entsprechender organisatorischer Abläufe, interner Regelungen und vertraglicher Verpflichtungen

Gewährleistung des Schutzes vor äußeren Einflüssen (wie zum Beispiel Spionage oder Hacking)

5. Gewährleistungsziel
Nichtverkettung

Mit dem Gewährleistungsziel der Nichtverkettung ist gemeint, dass personenbezogene Daten nicht zusammengeführt, also nicht miteinander verkettet werden sollen. Datensätze zu verketten und weiter zu nutzen, scheint zwar zunächst naheliegend, etwa wenn für zwei unterschiedliche Dienstleistungen personenbezogene Daten verarbeitet wurden. Das ist jedoch in der Regel nicht rechtmäßig, da die Datenspeicherung zumeist an einen direkten Zweck gebunden ist.

Dieses Gewährleistungsziel kannst du technisch vor allem durch die Pseudonymisierung von Daten erfüllen. Ein weiteres wichtiges organisatorisches Werkzeug sind eingeschränkte Berechtigungen, die dabei helfen, die Nichtverkettung sicherzustellen.

Zu den typischen Maßnahmen zur Gewährleistung der Nichtverkettung gehört unter anderem:

Einschränkung von Verarbeitungs-, Nutzungs- und Übermittlungsrechten

Trennung von Zugriffsrechten nach Organisations- beziehungsweise Abteilungsgrenzen

6. Gewährleistungsziel
Transparenz

Das Gewährleistungsziel der Transparenz soll dafür sorgen, dass sowohl Betroffene als auch Betreiber von Systemen und Kontrollinstanzen erkennen können, welche personenbezogenen Daten zu welchem Zeitpunkt und für welchen Zweck verarbeitet wurden. Außerdem sollen sie sehen können, welche Systeme dazu benutzt werden, wohin die Daten fließen und wer jeweils die rechtliche Verantwortung besitzt.

Transparenz ist äußerst wichtig, um Daten rechtskonform zu verarbeiten. Sie muss vom Einsammeln bis zum Löschen der Daten gewährleistet werden. Nur so ist es möglich, dass sowohl betroffene Personen als auch Kontrollinstanzen Mängel in den Prozessen erkennen und gegebenenfalls Anpassungen vornehmen können.

Typische Maßnahmen zur Gewährleistung der Transparenz sind beispielsweise:

Übersichtliche Dokumentation aller Verarbeitungstätigkeiten

Dokumentation von Einwilligungen, Widerrufen und Widersprüchen zur Verarbeitung personenbezogener Daten

7. Gewährleistungsziel
Intervenierbarkeit

Intervenierbarkeit als Gewährleistungsziel soll garantieren, dass betroffene Personen ihre Rechte unverzüglich wahrnehmen können. Diese Rechte sind konkret:

Recht auf Benachrichtigung

Recht auf Auskunft

Recht auf Berichtigung

Recht auf Löschung

Recht auf Einschränkung

Recht auf Datenübertragbarkeit

Recht auf Widerspruch und Eingriff in automatisierte Einzelentscheidungen


Die dafür verantwortlichen Personen in deinem Unternehmen müssen zudem stets in der Lage sein, in die Datenverarbeitung einzugreifen und die Betroffenenrechte verlässlich umzusetzen. Damit wird sichergestellt, dass Datenschutzverletzungen jederzeit behoben oder zumindest abgemildert werden können. Falls für die Datenverarbeitung eine Einwilligung nötig ist, sollte dafür Sorge getragen werden, dass diese auch aktuell vorliegt und nicht zwischenzeitlich widerrufen wurde.

Ein weiterer Anwendungsfall der Intervenierbarkeit sind Voreinstellungen, zum Beispiel auf einem Smartphone. Gemäß dem Grundsatz „Privacy by Default“ müssen diese datenschutzfreundlich getroffen werden.

Typische Maßnahmen zur Gewährleistung der Intervenierbarkeit sind:

Maßnahmen, die Betroffenen ein Einwilligen, Zurücknehmen und Widersprechen ermöglichen

Einrichtung eines Single Point of Contact (SPoC) für Betroffene

Wie nutzen Datenschutz­expert:innen die Gewährleistungs­ziele effektiv?

Um die Gewährleistungsziele effektiv zu nutzen, bringt dich ein umfassendes Datenschutzmanagement weiter. Damit kannst du systematisch alle Datenschutzanforderungen in deinem Unternehmen umsetzen. Wichtig ist dabei, dass deine technischen und organisatorischen Maßnahmen (TOMs) stets den Ansatz des Risikomanagements im Sinne der rechtlich erforderlichen Risikominderung bzw. Risikomitigation berücksichtigen.

Für die tägliche Datenschutzpraxis empfiehlt es sich auch, die sieben Gewährleistungsziele des SDM ganzheitlich zu begreifen.

Veranschaulicht werden kann das am Beispiel eines Hacking-Angriffs auf den Server deines Unternehmens: In diesem Fall wird das Gewährleistungsziel der Vertraulichkeit gebrochen. Um das zu verhindern, kannst du etwa eine leistungsstarke Firewall einrichten – das wäre somit deine TOM. Näher betrachtet, lässt dieser Fall jedoch erkennen, dass hier neben dem Gewährleistungsziel der Vertraulichkeit auch das Gewährleistungsziel der Integrität verfehlt wird. Auch dagegen hilft die angesprochene Firewall. Du siehst: es ist möglich, mit derselben Maßnahme beide Risiken zu managen und dadurch ebenfalls die Kriterien beider Gewährleistungsziele einhalten.

Das SDM mit seinen Gewährleistungszielen ist eine praxisorientierte Methode, um die Risiken für Personen, die durch die Verarbeitung ihrer Daten entstehen, zu identifizieren und zu minimieren. Im Zentrum steht dabei, die Grundrechte der Betroffenen zu wahren und risikobasiert vorzugehen – also Maßnahmen zu definieren, die dem Grad der Gefahr entsprechen. Diese TOM sind immer direkt mit einem oder mehreren Gewährleistungszielen verknüpft und dadurch sehr praxisnah gehalten.

Mit den SDM-­Gewährleistungs­zielen zu einem starken Datenschutz­management

Die vorgestellten sieben SDM-Gewährleistungsziele helfen dir dabei, in deinem Unternehmen ein effektives, umfassendes Datenschutzmanagement aufzubauen. Im Zentrum steht dabei die Verknüpfung von Risiken, die diese Ziele betreffen, mit konkreten technischen und organisatorischen Maßnahmen zu ihrem Schutz. Für die Umsetzung benötigst du dementsprechend einen guten Überblick über alle Risiken und TOMs. Am besten gelingt dir das mithilfe einer Datenschutzmanagement-Software, die dir mit intuitiven Workflows die Arbeit erleichtert.

Du möchtest mehr über das Standard Datenschutzmodell (SDM) erfahren? In diesem Blogbeitrag findest du eine Einführung dazu.
Auf dieser Seite
Primary Item (H2)

Über den Autor

Björn Möller
Co-Founder & CEO von caralegal
Björn Möller ist gelernter Wirtschaftsinformatiker und hat umfangreiche Erfahrung in der Entwicklung digitaler Produkte. Er hat an der Stanford University selbst an dem Einsatz Künstlicher Intelligenz gearbeitet. Er ist Geschäftsführer der caralegal GmbH, die Unternehmen neue Wege in der KI- und datenrechtlichen Compliance ermöglicht.
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Zum Newsletter
anmelden

Diesen Beitrag teilen

Teilen Sie die interessantesten Neuigkeiten aus der Welt 
des Datenrechts mit FreundInnen und KollegInnen.
linked-in-logo

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:
Betroffenenanfragen – der Erfolgsguide
Mehr erfahren
Auf einen Blick: Schwellwertanalyse
Mehr erfahren
Standard-Datenschutzmodell - ein Praxis-Guide
Mehr erfahren

Dafür fehlt mir
die Zeit caralegal

caralegal live testen
In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung
We make the legal way the lighter way
Wir glauben, dass Verordnungen dazu da sind, die Welt zu lenken. Nicht sie auszubremsen. Deshalb verändern wir, wie Unternehmen datenrechtliche Anforderungen erfüllen: intuitiv, dank intelligenter Technologie.
Wissen sichern - keine News mehr verpassen
Jetzt Newsletter abonnieren
Zum Newsletter anmelden
Unsere Partner
© 2024 caralegal GmbH
DatenschutzerklärungImpressum