Die SDM-Bausteine: Pocket Guide und praktische Excel-Liste zum Download

von Björn Möller, Co-Founder & CEO
06. Mai 2024
8 Minuten
Jetzt kostenlose SDM-Bausteinliste sichern!
SDM-Bausteine werden im Rahmen des Standard-Datenschutzmodells (SDM) der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlicht. Dieses Modell liefert dir ein gut durchdachtes Rahmenwerk, das Datenschutz in seiner Vielschichtigkeit durchdekliniert. Die “operativen Elemente” des Standard-Datenschutzmodells sind die erwähnten“SDM-Bausteine”. Doch wie kommen sie zur Anwendung? In diesem Beitrag geben wir dir einen praktischen Überblick!
Kategorie:
Zur Information:

Der Beitrag ist eine weiterführende Lektüre zu unserem Praxis-Guide „Einführung zum Standard-Datenschutzmodell“ und dem wiederum darauf aufbauenden Artikel über die “Sieben SDM-Gewährleistungsziele”.

Die SDM-Bausteine: Eine Einführung

Bei den SDM-Bausteinen handelt es sich um einen praxisorientierten Maßnahmenkatalog. Er dient dazu, die im SDM aufgeführten sieben Gewährleistungsziele zu erfüllen. Dabei ist nicht starr festgelegt, wie das vonstatten gehen muss. Die Bausteine lassen sich vielmehr zur Inspiration beziehungsweise als Vorlage verstehen. In jedem Fall musst du sie an die individuellen Gegebenheiten deiner Unternehmensgröße und -branche anpassen.

Die sieben Gewährleistungsziele dienen Datenschutzexpert:innen und Informatiker:innen als Grundlage für eine „gemeinsame Sprache“. Sie bündeln alle wesentlichen Forderungen der europäischen Datenschutzverordnung und machen es möglich, datenschutzrechtliche Anforderungen leichter in Technische und Organisatorische Maßnahmen (TOMs) zu übersetzen. Einen Überblick über die einzelnen Gewährleistungsziele liefert dir der oben bereits erwähnte Beitrag „Die 7 Gewährleistungsziele des Standard-Datenschutzmodells und ihr effektiver Einsatz“.

Die Bedeutung der SDM-Bausteine

Die Standard-Datenschutzmodell-Bausteine bieten eine Orientierung, um die Gewährleistungsziele rechtssicher umzusetzen. Dabei zahlen alle Bausteine auf bestimmte Gewährleistungsziele ein und lassen sich ebenso nach den Ebenen der personenbezogenen Verarbeitung gliedern. Tipp: eine Erklärung der Ebenen der personenbezogenen Verarbeitung liest du in unserem Beitrag „Praxis-Guide: Einführung zum Standard-Datenschutzmodell“.

Jeder Standard-Datenschutzmodell-Baustein beinhaltet konkrete generische technische bzw. organisatorische Maßnahmen, die sich auf den Ebenen der personenbezogenen Verarbeitung verorten lassen – also entweder auf der Ebene der Fachverfahren, der Fachapplikation oder der Infrastruktur. Im ersten Entwurf aus dem Jahr 2018 waren es sieben Bausteine, aktuell kennt das Standard-Datenschutzmodell neun SDM-Bausteine. Diese werden von der Datenschutzkonferenz beziehungsweise vom Arbeitskreis „Technik“ in einem öffentlich zugänglichen Katalog zur Anwendung freigegeben und werden in unregelmäßigen Zeitabständen aktualisiert.

Weiter unten findest du den Download-Link mit allen SDM-Bausteinen als Exceldatei!

SDM-Baustein 1
„Aufbewahren“

Der Baustein dient vorrangig dazu, die Gewährleistungsziele „Verfügbarkeit“, „Integrität“, „Vertraulichkeit“ und „Datenminimierung“ einzuhalten. Hierbei geht es um technische und organisatorische Maßnahmen, die die Speicherung, das Erfassen, Aufnehmen und Aufbewahren von personenbezogenen Daten umfassen. Der Baustein beschreibt dabei jene TOMs, die zur Aufbewahrung von Daten in physikalischen Speichermedien über längere Zeiträume dienen. Nicht enthalten sind hingegen die Datensicherung in Form von Backups sowie die Archivierung von Daten. Link zum SDM-PDF: hier klicken

SDM-Baustein 2
„Planen und Spezifizieren“

In diesem Baustein dreht sich alles um das Gewährleistungsziel „Transparenz“ sowie um die Umsetzbarkeit der Gewährleistungsziele insgesamt. Hierbei steht insbesondere die Definition von Verarbeitungstätigkeiten im Vordergrund. Das Ziel: Alle Vorgänge sollen sich präzise und vollständig festlegen sowie nachvollziehbar und prüfbar dokumentieren lassen. Hierfür nennt der Baustein einige praktische Maßnahmen wie die Spezifikation in Form eines Lasten- und Pflichtenhefts. Link zum SDM-PDF: hier klicken

SDM-Baustein 3
„Dokumentieren“

Der dritte Baustein lässt sich ebenfalls auf das Gewährleistungsziel „Transparenz“ beziehen und gibt eine Empfehlung für eine gelungene Datenschutz-Dokumentation. Hierzu werden formale Anforderungen an die Dokumentation, Datenverarbeitung sowie die dafür eingesetzten Systeme und Dokumentationsprozesse genannt. Link zum SDM-PDF: hier klicken

SDM-Baustein 4
„Protokollieren“

Wie bei den beiden Bausteinen davor, steht auch bei diesem Baustein das Gewährleistungs­ziel der „Transparenz“ im Fokus. Es geht darum, wie du eine Verarbeitungstätigkeit via Protokollierung prüfbar machst, um deinen Rechenschaftspflichten nachzukommen. Es wird beschrieben, wie sich automatisierte Logs erstellen lassen, welche Protokolldaten wichtig sind und wie ein gutes Protokollierungskonzept aussieht. Link zum SDM-PDF: hier klicken

SDM-Baustein 5
„Trennen“

Dieser Baustein beinhaltet Maßnahmen, die die Gewährleistungsziele „Nichtverkettung“, „Datenminimierung“, „Vertraulichkeit“ und „Intervenierbarkeit“ betreffen. Es gilt, einzelne Sub-Prozesse innerhalb eines Verarbeitungsprozesses voneinander abzugrenzen und so für sich betrachten zu können. Hierfür erklärt der Baustein, wie die Trennung mithilfe einer Zweckbeschreibung und konkreten Maßnahmen erfolgen kann. Link zum SDM-PDF: hier klicken

SDM-Baustein 6
„Zugriffe auf Daten, Systeme und Prozesse regeln“

Im sechsten Baustein werden Maßnahmen für die Gewährleistungsziele „Integrität“, „Verfügbarkeit“, „Nichtverkettung“, „Vertraulichkeit“ und „Datenminimierung“ beschrieben. Es geht darum, eine Übersicht über Zuständigkeiten und Berechtigungen bei Verarbeitungsprozessen zu schaffen. So wird beispielsweise empfohlen, klare Rollen für die Aktivitäten im Datenschutzprozess festzulegen. Link zum SDM-PDF: hier klicken

SDM-Baustein 7
„Löschen und Vernichten“

Dieser Baustein trägt dazu bei, die Gewährleistungsziele „Nichtverkettung“, „Datenminimierung“, „Integrität“, „Vertraulichkeit“ und „Intervenierbarkeit“ zu erfüllen. Dazu enthält er konkrete Empfehlungen, wie personenbezogene Daten zu löschen sind. Der Baustein definiert, was aus datenschutzrechtlicher Sicht eine Datenlöschung eigentlich ist und wie dabei bestenfalls vorzugehen ist. Link zum SDM-PDF: hier klicken

SDM-Baustein 8
„Berichtigen“

Die Gewährleistungsziele „Intervenierbarkeit“ und „Integrität“ stehen in diesem Baustein im Fokus, insbesondere das Betroffenenrecht zur Berichtigung von Daten gemäß Artikel 16 der Datenschutz-Grundverordnung (DSGVO). Das SDM nennt beispielhafte Maßnahmen, wann Daten zu berichtigen sind und wie dies im Rahmen einer sauberen Dokumentation geschieht. Link zum SDM-PDF: hier klicken

SDM-Baustein 9
„Einschränken der Verarbeitung“

Der aktuell letzte Baustein beinhaltet beispielhafte Maßnahmen, um die Gewährleistungsziele „Nichtverkettung“, „Datenminimierung“, „Integrität“, „Vertraulichkeit“ und „Intervenierbarkeit“ zu erfüllen. Hierbei geht der Standard-Datenschutzmodell-Baustein auf das Betroffenenrecht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO ein. Erklärt wird, wann eine Verarbeitung eingeschränkt werden darf und wie dies idealerweise umgesetzt wird. Link zum SDM-PDF: hier klicken

Die SDM-Bausteine und die Qualitäts­verbesserung mit PDCA

Wenn du dich intensiv mit Datenschutzmanagement und Verarbeitungstätigkeiten beschäftigst, kennst du ihn sicherlich: den PDCA-Zyklus. Das auch “Demingkreis” genannte Prozessmodell ist ein wertvolles Werkzeug für Datenschützer:innen. Denk daran: Datenschutz ist niemals fertig und das SDM – sowie in diesem Sinne die DSGVO – fordert eine regelmäßige Aktualisierung der Datenschutzdokumentation. Das bedeutet für dich: Wenn du die Standard-Datenschutzmodell-Bausteine umsetzt, gehören ein kontinuierliches Monitoring und Nachbessern zum Pflichtprogramm. Dazu bietet dir der iterative PDCA-Prozess eine leicht umsetzbare Hilfestellung.
Der PDCA-Zyklus ist grundsätzlich in vier Phasen eingeteilt:

In der Planungsphase (Plan) werden der aktuelle Stand und rechtliche Anforderungen betrachtet und neue Ziele definiert.

In der Umsetzungsphase (Do) erfolgen konkrete Maßnahmen – wie die Umsetzung einzelner Standard-Datenschutzmodell-Bausteine.

Die Überprüfungsphase (Check) beinhaltet eine Kontrolle der Datenschutzaktivitäten.

Abschließend geht es in der Aktionsphase (Act) darum, an den Stellschrauben zu drehen und Fehler zu beseitigen.

Da es sich um einen iterativen Prozess handelt, beginnt danach wieder alles von vorne – ein Kreislauf, der darauf abzielt, eine kontinuierlich hohe Qualität in Datenschutzprozessen aufrecht zu erhalten. Dazu ein Lesetipp: In unserem Beitrag „Automatisiertes Datenschutzmanagement – Die wichtigsten Features eines DSMS“ erfährst du weitere Details.

Aber was hat der PDCA-Zyklus konkret mit den Standard-Datenschutzmodell-Bausteinen zu tun? Tatsächlich lassen sie sich den einzelnen PDCA-Phasen zuordnen. In der ersten Phase werden die Bausteine mit den von dir individuell gewählten technischen und organisatorischen Maßnahmen (TOM) abgeglichen. Hierbei prüfst du, ob sie den Gewährleistungszielen und der gegebenenfalls von dir bei besonders risikobehafteten, vorab durchgeführten Datenschutz-Folgenabschätzung (DSFA) gerecht werden. In der zweiten Phase werden die gewählten TOM implementiert und im laufenden Betrieb kontrolliert. In der dritten Phase wertest du die Effekte der implementierten Maßnahmen aus und prüfst, ob sie den im ersten Schritt gesteckten Anforderungen entsprechen. Falls nicht, besserst du in der letzten Phase nach, bevor es wieder von vorne losgeht.

Alle bisher veröffentlichten SDM-Bausteine als praktische Excel zum Download

Wir haben dir alle bisher von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlichten SDM-Bausteine (sog. generische TOM) in ein praktisches Excel-Dokument gepackt. Dort findest du auch die mit jedem Baustein assoziierten Gewährleistungsziele, Ebenen und Phasen im PDCA-Zyklus. Lade dir jetzt dieses wertvolle und nützliche Datenschutzmanagement-Arbeitsmittel herunter. Nie wieder Kopfzerbrechen beim Modellieren von TOMs!
Jetzt SDM-Bausteinliste herunterladen

Ausgesprochen nützlich: Das Standard-Datenschutz­modell und seine Bausteine

Das Standard-Datenschutzmodell, die sieben Gewährleistungsziele und die Bausteine liefern dir mitsamt dem PDCA-Zyklus ein methodisch sauber durchdachtes Toolkit für die Praxis. Sowohl bei der Dokumentation als auch beim Begleiten des PDCA-Prozesses kann dir die Privacy Solution Plattform caralegal helfen. Mit unserer intuitiven Datenschutzmanagement-Software verbindest du das Risikomanagement, die Gewährleistungsziele, Risiken sowie technische und organisatorische Maßnahmen nach den Empfehlungen des Standard-Datenschutzmodells (SDM). Mehr dazu erfährst du hier.
Quellenhinweis:

Die SDM-Bausteine wurden von der „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) veröffentlicht. Veränderungen, Bearbeitungen, neue Gestaltungen oder sonstige Abwandlungen der bereitgestellten Daten sind mit einem Veränderungshinweis im Quellenvermerk zu versehen.

Datenlizenz Deutschland – Namensnennung – Baustein “Name”(www.govdata.de/dl-de/by-2-0).“

Treten Sie unserer Community bei: SDM-Bausteinliste zum Download

Die Liste besteht aus allen veröffentlichten SDM-Bausteinen - als Inspiration fürs DSGVO-konforme Dokumentieren. Bleiben Sie immer auf dem Laufenden!

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Auf dieser Seite
Primary Item (H2)

Über den Autor

Björn Möller
Co-Founder & CEO von caralegal
Björn Möller ist gelernter Wirtschaftsinformatiker und hat umfangreiche Erfahrung in der Entwicklung digitaler Produkte. Er hat an der Stanford University selbst an dem Einsatz Künstlicher Intelligenz gearbeitet. Er ist Geschäftsführer der caralegal GmbH, die Unternehmen neue Wege in der KI- und datenrechtlichen Compliance ermöglicht.

Diesen Beitrag teilen

Teilen Sie die interessantesten Neuigkeiten aus der Welt 
des Datenrechts mit FreundInnen und KollegInnen.
linked-in-logo

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:
Prozess zur Identifikation von KI Assets im Unternehmen
Mehr erfahren
80+ Risiken für den Datenschutz
Mehr erfahren
KI-Register mit Excel erstellen: Anleitung und smarte Alternative - inkl. Excel-Template
Mehr erfahren

Dafür fehlt mir
die Zeit caralegal

caralegal live testen
In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung
We make the legal way the lighter way
Wir glauben, dass Verordnungen dazu da sind, die Welt zu lenken. Nicht sie auszubremsen. Deshalb verändern wir, wie Unternehmen datenrechtliche Anforderungen erfüllen: intuitiv, dank intelligenter Technologie.
Wissen sichern - keine News mehr verpassen
Jetzt Newsletter abonnieren
Zum Newsletter anmelden
Unsere Partner
© 2024 caralegal GmbH
DatenschutzerklärungImpressum