Your subscription could not be saved. Please try again.
Zum Newsletter anmelden
Your subscription has been successful.
caralegal logo

Die 7 SDM-Gewährleistungsziele und ihr effektiver Einsatz im Unternehmen

Das Standard-Datenschutzmodell (SDM) formuliert sieben Gewährleistungsziele, die Unternehmen verfolgen sollten, um die Anforderungen der Datenschutz-Grundverordnung (DSGVO) umzusetzen. Doch welche Gewährleistungsziele gibt es konkret? Und was bedeuten sie in der Praxis? Das erfährst erklären wir in diesem Blogbeitrag.

Björn Möller Geschäftsführer caralegal GmbH
von Björn Möller, Co-Founder & CEO
16. April 2024
 | 
Die 7 Gewährleistungsziele des SDM helfen dabei, effektiven Datenschutz zu betreiben.

Standard-Datenschutzmodell: Der Ursprung der 7 Gewährleistungsziele

Die DSGVO stellt zahlreiche Anforderungen an Unternehmen, um die rechtskonforme Verarbeitung personenbezogener Daten zu gewährleisten. Diese datenschutzrechtlichen Anforderungen ergeben sich vor allem aus den Grundsätzen, die in Art. 5 der DSGVO festgehalten sind.

Die Herausforderung bei diesen Grundsätzen: Sie enthalten relativ abstrakte rechtliche Anforderungen, die sich nicht ohne weiteres technisch und organisatorisch umsetzen lassen.

Dafür bietet das sogenannte Standard-Datenschutzmodell (SDM) eine Orientierungshilfe und übersetzt diese in die folgenden sieben Gewährleistungsziele:

1.

Datenminimierung

2.

Verfügbarkeit

3.

Integrität

4.

Vertraulichkeit

5.

Nichtverkettung

6.

Transparenz

7.

Intervenierbarkeit

Der Vorteil, der sich daraus ergibt, liegt in der “gemeinsamen Sprache”, die Jurist:innen und IT-Fachpersonen finden. So können beide sichergehen, dass die rechtlichen Anforderungen auch tatsächlich technisch und organisatorisch umgesetzt werden.

Kurz gesagt:

Das SDM stellt hilfreiche Gewährleistungsziele bereit, mit denen Unternehmen die rechtlichen Anforderungen in konkrete Maßnahmen übersetzen können. So können Datenschutzverantwortliche die sieben Gewährleistungsziele nutzen, um daraus entsprechende technische und organisatorische Maßnahmen abzuleiten.

Die 7 Gewährleistungsziele des Standard-Datenschutzmodells im Detail

Welche Gewährleistungsziele gibt es? Und was bedeuten sie genau? Diesen Fragen gehen wir im Folgenden nach.

1. Gewährleistungsziel: Datenminimierung

Das Gewährleistungsziel der Datenminimierung umfasst die Anforderung, so wenig personenbezogene Daten wie möglich zu verarbeiten. Je weniger Daten erfasst werden, desto weniger Schadenspotenzial birgt die Verarbeitung der Daten. Dementsprechend sollten Unternehmen die Datenverarbeitung auf genau das Minimum reduzieren, das nötig ist, um zum Beispiel die Leistung zu erbringen, die Kund:innen sich wünschen.

Bei der Datenminimierung geht es jedoch nicht nur darum, möglichst wenige Daten zu verarbeiten. Auch die Speicherdauer und die Zugänglichkeit der Daten sollten nach Möglichkeit kurz beziehungsweise klein gehalten werden. All diese Faktoren sollten Unternehmer:innen bei digitalen Anwendungen im Blick behalten: von deren Entwicklung bis zu ihrer tatsächlichen Nutzung.

Das Gewährleistungsziel der Datenminimierung kann zum Beispiel erreicht werden durch:

Minimierung der Anzahl an erfassten Eigenschaften von betroffenen Personen

Festlegung von Voreinstellungen für betroffene Personen nach dem Prinzip „Privacy by Default“

2. Gewährleistungsziel: Verfügbarkeit

Bei diesem Gewährleistungsziel müssen Berechtigte in der Lage sein, auf personenbezogene Daten zuzugreifen. Darüber hinaus müssen diese Daten ordnungsgemäß eingesetzt werden können für den jeweiligen Zweck, für den sie erfasst wurden. Das heißt, dass sie zu allen Zeiten auffindbar zu sein haben.

Unter das Gewährleistungsziel der Verfügbarkeit fällt auch, dass die personenbezogenen Daten gegen physische oder technische Zwischenfälle abgesichert und schnell wiederherstellbar sind.

Typische Maßnahmen zur Gewährleistung der Verfügbarkeit sind beispielsweise:

Erstellung von Sicherheitskopien von Daten und Prozessen

Sicherstellung des Schutzes vor äußeren Einflüssen (zum Beispiel durch Schadsoftware oder Sabotage) durch Implementierung einer Firewall

3. Gewährleistungsziel: Integrität

Ein weiteres Gewährleistungsziel für deinen Datenschutz ist die Integrität. Zum einen bedeutet das, dass Systeme und Programme ihre technischen Voreinstellungen kontinuierlich einhalten und nicht nachträglich Veränderungen vorgenommen werden, die die Verarbeitung von personenbezogenen Daten beeinflussen. Zum anderen muss diesem Ziel zufolge ebenso sichergestellt werden, dass die verarbeiteten Daten unverändert, vollständig, richtig und aktuell bleiben. Falls doch einmal Änderungen durchgeführt werden sollen, müssen diese erkennbar sein und rückgängig gemacht werden können.

Zum Ziel der Integrität zählt ebenfalls, dass automatisierte Prozesse keine Personen oder Personengruppen diskriminieren. Dazu müssen potenziell diskriminierende, automatisierte Entscheidungsprozesse vor ihrer ersten Anwendung rechtlich geprüft werden. Außerdem sind sie während des Betriebs zu überwachen, um auch eine mögliche künftige Diskriminierung auszuschließen. Insbesondere, wenn dein Unternehmen KI-Verfahren entwickelt oder anwendet, musst du dieses Gewährleistungsziel beachten.

Typische Maßnahmen zur Gewährleistung der Integrität oder zur Feststellung von
Integritätsverletzungen sind etwa:

Einschränkung der Schreib- und Änderungsrechte

Zuweisung von Berechtigungen und Rollen sowie die Dokumentation letzterer

Fortwährende Löschung beziehungsweise Berichtigung falscher Daten

4. Gewährleistungsziel: Vertraulichkeit

Vertraulichkeit nimmt innerhalb der DSGVO naturgemäß einen hohen Stellenwert ein und dies trifft auch auf die Methodologie der 7 Gewährleistungsziele des SDM zu. Das bedeutet in der Praxis, dass keine unbefugte Person personenbezogene Daten nutzen oder überhaupt zur Kenntnis nehmen darf. Mit dem Begriff „Unbefugte“ sind zum einen Dienstleister gemeint, die diese Daten nicht benötigen, um Leistungen zu erbringen. Doch auch Personen in deinem Unternehmen, die nicht in eine bestimmte Verarbeitungstätigkeit involviert sind, dürfen genauso wenig auf die dafür erhobenen personenbezogenen Daten zugreifen.

Typische Maßnahmen zur Gewährleistung der Vertraulichkeit sind:

Festlegung entsprechender organisatorischer Abläufe, interner Regelungen und vertraglicher Verpflichtungen

Gewährleistung des Schutzes vor äußeren Einflüssen (wie zum Beispiel Spionage oder Hacking)

5. Gewährleistungsziel: Nichtverkettung

Mit dem Gewährleistungsziel der Nichtverkettung ist gemeint, dass personenbezogene Daten nicht zusammengeführt, also nicht miteinander verkettet werden sollen. Datensätze zu verketten und weiter zu nutzen, scheint zwar zunächst naheliegend, etwa wenn für zwei unterschiedliche Dienstleistungen personenbezogene Daten verarbeitet wurden. Das ist jedoch in der Regel nicht rechtmäßig, da die Datenspeicherung zumeist an einen direkten Zweck gebunden ist.

Dieses Gewährleistungsziel kannst du technisch vor allem durch die Pseudonymisierung von Daten erfüllen. Ein weiteres wichtiges organisatorisches Werkzeug sind eingeschränkte Berechtigungen, die dabei helfen, die Nichtverkettung sicherzustellen.

Zu den typischen Maßnahmen zur Gewährleistung der Nichtverkettung gehört unter anderem:

Einschränkung von Verarbeitungs-, Nutzungs- und Übermittlungsrechten

Trennung von Zugriffsrechten nach Organisations- beziehungsweise Abteilungsgrenzen

6. Gewährleistungsziel: Transparenz

Das Gewährleistungsziel der Transparenz soll dafür sorgen, dass sowohl Betroffene als auch Betreiber von Systemen und Kontrollinstanzen erkennen können, welche personenbezogenen Daten zu welchem Zeitpunkt und für welchen Zweck verarbeitet wurden. Außerdem sollen sie sehen können, welche Systeme dazu benutzt werden, wohin die Daten fließen und wer jeweils die rechtliche Verantwortung besitzt.

Transparenz ist äußerst wichtig, um Daten rechtskonform zu verarbeiten. Sie muss vom Einsammeln bis zum Löschen der Daten gewährleistet werden. Nur so ist es möglich, dass sowohl betroffene Personen als auch Kontrollinstanzen Mängel in den Prozessen erkennen und gegebenenfalls Anpassungen vornehmen können.

Typische Maßnahmen zur Gewährleistung der Transparenz sind beispielsweise:

Übersichtliche Dokumentation aller Verarbeitungstätigkeiten

Dokumentation von Einwilligungen, Widerrufen und Widersprüchen zur Verarbeitung personenbezogener Daten

7. Gewährleistungsziel: Intervenierbarkeit

Intervenierbarkeit als Gewährleistungsziel soll garantieren, dass betroffene Personen ihre Rechte unverzüglich wahrnehmen können. Diese Rechte sind konkret:

Recht auf Benachrichtigung

Recht auf Auskunft

Recht auf Berichtigung

Recht auf Löschung

Recht auf Einschränkung

Recht auf Datenübertragbarkeit

Recht auf Widerspruch und Eingriff in automatisierte Einzelentscheidungen

Die dafür verantwortlichen Personen in deinem Unternehmen müssen zudem stets in der Lage sein, in die Datenverarbeitung einzugreifen und die Betroffenenrechte verlässlich umzusetzen. Damit wird sichergestellt, dass Datenschutzverletzungen jederzeit behoben oder zumindest abgemildert werden können. Falls für die Datenverarbeitung eine Einwilligung nötig ist, sollte dafür Sorge getragen werden, dass diese auch aktuell vorliegt und nicht zwischenzeitlich widerrufen wurde.

Ein weiterer Anwendungsfall der Intervenierbarkeit sind Voreinstellungen, zum Beispiel auf einem Smartphone. Gemäß dem Grundsatz „Privacy by Default“ müssen diese datenschutzfreundlich getroffen werden.

Typische Maßnahmen zur Gewährleistung der Intervenierbarkeit sind:

Maßnahmen, die Betroffenen ein Einwilligen, Zurücknehmen und Widersprechen ermöglichen

Einrichtung eines Single Point of Contact (SPoC) für Betroffene

Wie nutzen Datenschutzexpert:innen die Gewährleistungsziele effektiv?

Um die Gewährleistungsziele effektiv zu nutzen, bringt dich ein umfassendes Datenschutzmanagement weiter. Damit kannst du systematisch alle Datenschutzanforderungen in deinem Unternehmen umsetzen. Wichtig ist dabei, dass deine technischen und organisatorischen Maßnahmen (TOMs) stets den Ansatz des Risikomanagements im Sinne der rechtlich erforderlichen Risikominderung bzw. Risikomitigation berücksichtigen.

Für die tägliche Datenschutzpraxis empfiehlt es sich auch, die sieben Gewährleistungsziele des SDM ganzheitlich zu begreifen.

Veranschaulicht werden kann das am Beispiel eines Hacking-Angriffs auf den Server deines Unternehmens: In diesem Fall wird das Gewährleistungsziel der Vertraulichkeit gebrochen. Um das zu verhindern, kannst du etwa eine leistungsstarke Firewall einrichten – das wäre somit deine TOM. Näher betrachtet, lässt dieser Fall jedoch erkennen, dass hier neben dem Gewährleistungsziel der Vertraulichkeit auch das Gewährleistungsziel der Integrität verfehlt wird. Auch dagegen hilft die angesprochene Firewall. Du siehst: es ist möglich, mit derselben Maßnahme beide Risiken zu managen und dadurch ebenfalls die Kriterien beider Gewährleistungsziele einhalten.

Das SDM mit seinen Gewährleistungszielen ist eine praxisorientierte Methode, um die Risiken für Personen, die durch die Verarbeitung ihrer Daten entstehen, zu identifizieren und zu minimieren. Im Zentrum steht dabei, die Grundrechte der Betroffenen zu wahren und risikobasiert vorzugehen – also Maßnahmen zu definieren, die dem Grad der Gefahr entsprechen. Diese TOM sind immer direkt mit einem oder mehreren Gewährleistungszielen verknüpft und dadurch sehr praxisnah gehalten.

Mit den SDM-Gewährleistungszielen zu einem starken Datenschutzmanagement

Die vorgestellten sieben SDM-Gewährleistungsziele helfen dir dabei, in deinem Unternehmen ein effektives, umfassendes Datenschutzmanagement aufzubauen. Im Zentrum steht dabei die Verknüpfung von Risiken, die diese Ziele betreffen, mit konkreten technischen und organisatorischen Maßnahmen zu ihrem Schutz. Für die Umsetzung benötigst du dementsprechend einen guten Überblick über alle Risiken und TOMs. Am besten gelingt dir das mithilfe einer Datenschutzmanagement-Software, die dir mit intuitiven Workflows die Arbeit erleichtert.

Du möchtest mehr über das Standard Datenschutzmodell (SDM) erfahren? In diesem Blogbeitrag findest du eine Einführung dazu

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:

Schwellwertanalyse: Symbolbild aus dem Datenschutzrecht

Auf einen Blick: Schwellwertanalyse

Mehr erfahren
Guide zum Standard-Datenschutzmodell mit Illustrationen und und praxisnahen Tipps

Standard-Datenschutzmodell - ein Praxis-Guide

Mehr erfahren
Auflistung der Top 5 Trends im Datenschutz 2024

Datenschutz 2024: Die Top 5 Entwicklungen

Mehr erfahren