“Ein verantwortungsvoller Umgang mit Daten muss die Norm werden. Mit unseren Lösungen befähigen wir Unternehmen schon heute dazu.”
Kathrin Schürmann
Geschäftsführerin caralegal GmbH
Stell dir vor, es gäbe ein umfassendes Rahmenwerk für Datenschutz – ein System, wie du datenschutzbezogene Prozesse rechtssicher aufstellst und managst. Gibt es nicht? Gibt es doch! Das Standard-Datenschutzmodell (SDM) liefert dir alles, was du für deine Datenschutzpraxis brauchst. In diesem Guide geben wir dir eine Einführung für deine Datenschutzpraxis.
Das Standard-Datenschutzmodell (SDM) ist ein Rahmenwerk zur risikobasierten Auswahl und Bewertung sogenannter technischer und organisatorischer Maßnahmen (TOM). Hierbei handelt es sich um viele verschiedene von der Datenschutz-Grundverordnung (DSGVO) geforderte Aktivitäten zum Schutz von personenbezogener Daten. Das Standard-Datenschutzmodell wird von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) herausgegeben und überarbeitet. Außerdem arbeitet der Verein UGSDM e.V. (User Group Standard Datenschutz Modell) daran, SDM-Praxishilfen zu erstellen und Veranstaltungen zur Weiterbildung und Vernetzung von SDM-Nutzer:innen zu organisieren.
Die Datenschutzkonferenz unterstützt mit dem Standard-Datenschutzmodell Datenschutzverantwortliche in Wirtschaft und Verwaltung. Das Rahmenwerk liefert eine praktische Orientierung, wie sich die von der DSGVO geforderten Nachweis- und Rechenschaftspflichten in der Praxis erfüllen lassen. Dabei erstrecken sich die Anwendungsbereiche des Modells von der Planung und Einführung von Verarbeitungstätigkeiten über den laufenden Betrieb bis zur Prüfung und Beurteilung. Somit deckt das Standard-Datenschutzmodell sämtliche Prozesse eines rechtssicheren Datenschutzmanagements ab. Sogar die Datenschutzbehörden prüfen nach dem im SDM 3.0 vorgestellten Schema. Das macht das SDM zu einer wertvollen Arbeitsgrundlage.
Ausgangspunkt des Standard-Datenschutzmodells ist es, die abstrakten rechtlichen Anforderungen der DSGVO in sieben Gewährleistungsziele zu transformieren, welche wiederum durch den Einsatz von technischen und organisatorischen Maßnahmen erreicht werden können. In der Praxis ist es alles andere als einfach, die vielen rechtlichen Normen der DSGVO zu verstehen und anzuwenden – geschweige denn in ihrer Gänze zu überblicken. Das Standard-Datenschutzmodell nennt deshalb sieben sogenannte Gewährleistungsziele. Diese bündeln und strukturieren alle wesentlichen Forderungen der europäischen Verordnung. Die Gewährleistungsziele dienen Jurist:innen und Informatiker:innen sozusagen als gemeinsame Sprache, mithilfe derer sich datenschutzrechtliche Anforderungen leichter in technische und organisatorische Maßnahmen (TOM) übersetzen lassen.
Das SDM 3.0. nennt die folgenden Gewährleistungsziele:
Datenminimierung: Bei diesem Gewährleistungsziel geht es darum, die Verarbeitung von personenbezogenen Daten auf ein dem Zweck angemessenes und notwendiges Maß zu beschränken. Damit gemeint ist, personenbezogene Daten nur so lange zu erheben, zu speichern und zu nutzen, wie es unbedingt erforderlich ist.
Verfügbarkeit: Dieses Gewährleistungsziel stellt die Anforderung auf, den Zugriff auf personenbezogene Daten und Verarbeitungsprozesse jederzeit und unverzüglich zu gewährleisten. Hierzu zählt, die Auffindbarkeit der Daten zu gewährleisten, Sicherheitsmaßnahmen zur Wiederherstellung von Daten zu ergreifen und dafür zu sorgen, dass nur Berechtigte jederzeit Zugriff auf die Informationen haben.
Integrität: Dieses Ziel hat zwei Bedeutungen. Zum einen ist es eine technische Anforderung: IT-Prozesse und -Systeme müssen die Spezifikationen, die zur Ausübung ihrer zweckbestimmten Funktionen für sie festgelegt wurden, kontinuierlich einhalten. Zum anderen bedeutet Integrität, dass die erhobenen personenbezogene Daten jederzeit unversehrt, vollständig, fehlerfrei und aktuell sein müssen.
Vertraulichkeit: Das Gewährleistungsziel Vertraulichkeit stellt sicher, dass personenbezogene Daten vor dem Zugriff unbefugter Personen, einschließlich Dritter und Mitarbeitenden von technischen Dienstleistern oder internen Abteilungen ohne Bezug zur Datenverarbeitung, geschützt sind. Mit unbefugten Personen sind alle gemeint, die keinen legitimen Zugang zu den personenbezogenen Daten haben.
Nichtverkettung: Dieses Gewährleistungsziel beschreibt die Anforderung, dass personenbezogene Daten nicht ohne Weiteres zusammengeführt (“verkettet”) werden dürfen. Dies trifft vor allem dann zu, wenn die Verarbeitungszwecke der zu zusammenführenden Daten unterschiedlich sind. Als Schutzmaßnahme sind entsprechende technische und organisatorische Maßnahmen (TOM) zu ergreifen – etwa eine Pseudonymisierung oder die Einrichtung von Berechtigungssystemen für den Zugang zu bestimmten Datensätzen.
Transparenz: Dieses Gewährleistungsziel fasst die Anforderungen der DSGVO an Transparenz sowohl für Betroffene als auch Systembetreiber und zuständige Kontrollinstanzen zusammen. Gemeint ist mit Transparenz die Möglichkeit für die Akteur:innen, jederzeit erkennen zu können, welche Daten wann und zu welchem Zweck erhoben und verarbeitet werden, wohin die Daten fließen, welche Systeme und Prozesse eingesetzt werden und wer die Verantwortung in den einzelnen Phasen der Datenverarbeitung trägt.
Intervenierbarkeit: Das Gewährleistungsziel der Intervenierbarkeit fasst die Ansprüche von Personen zusammen, die von einer Datenverarbeitung betroffen sind. Es bündelt unter anderem die Rechte auf Benachrichtigung, Auskunft, Berichtigung sowie das Recht auf die Löschung von Daten und das Widerspruchsrecht bei automatisierten Entscheidungen. Ferner kommen weitere Aspekte hinzu wie die Pflicht, Maßnahmen zur Identifizierung und Authentifizierung der betroffenen Personen zu ergreifen, die ihre Rechte wahrnehmen möchten.
Streng genommen nennt das Standard-Datenschutzmodell nur sechs Ziele. Der Grund: Ziel 1 (Datenminimierung) und Ziel 5 (Nichtverkettung) können in der Praxis unter dem Begriff der Zweckbindung zusammengefasst werden. Zum besseren Verständnis haben wir hier für dich dennoch alle sieben vom Standard-Datenschutzmodell genannten Ziele aufgeführt.
Verarbeitungstätigkeiten datenschutzrechtlich zu untersuchen, ist ein aufwändiger Prozess. Datenschutzverantwortliche haben viele komplexe Aspekte zu berücksichtigen. Deshalb empfiehlt die Datenschutzkonferenz, zu untersuchende Verarbeitungstätigkeiten in Teilprozesse zu zerlegen. Das Standard-Datenschutzmodell definiert dazu neun Vorgangsgruppen:
Sammeln (Erheben, Erfassen sowie Erhalten und Erzeugen von Daten)
Aufbereiten (Organisieren und Ordnen von Daten)
Aufbewahren (Speichern von Daten wie auch Ablegen von Papierdokumenten)
Bearbeiten (Anpassen und Verändern von Daten)
Benutzen (Auslesen, Abfragen, Verwenden sowie Filtern und Auswerten von Daten)
Bereitstellen (Offenlegen und Verbreiten von Daten)
Zusammenführen (Abgleichen und Verknüpfen von Daten)
Einschränken (Sperren von Daten)
Beseitigen (Löschen beziehungsweise Vernichten von Daten)
Die Vorgangsgruppen lassen sich zur eigenen Übersicht prinzipiell in drei Kategorien gruppieren – die Erhebung, die Nutzung sowie die Löschung von personenbezogenen Daten.
Das Standard-Datenschutzmodell kennt drei Ebenen, die die wesentlichen Einflussgrößen darstellen sowie Bestandteile von Verarbeitungstätigkeiten – an dieser Stelle personenbezogene Verarbeitung genannt. Die Hierarchie hilft Datenschutzverantwortlichen dabei, Verarbeitungsprozesse vollständig zu erfassen und zu systematisieren.
Ebene 1 - Fachverfahren: Auf der ersten Ebene geschieht die personenbezogene Verarbeitung im datenschutzrechtlichen Sinne. Damit meint das Standard-Datenschutzmodell den Vorgang, die für eine Verarbeitungstätigkeit erforderlichen personenbezogenen Daten zu bestimmen sowie die dazugehörigen gesetzlichen Anforderungen. Die Ebene beinhaltet außerdem die Definition und Zuweisung von Rollen, Zuständigkeiten und Berechtigungen sowie IT-Systeme und -Prozesse. Nicht zuletzt ist der Zweck der Verarbeitungstätigkeit festzulegen.
Ebene 2 - Fachapplikation: Die praktische Umsetzung einer personenbezogenen Verarbeitung geschieht auf der zweiten Ebene. Hier ist die Rolle der Sachbearbeitung und der verwendeten IT-Systeme – sogenannter Fachapplikation eines Verfahrens – auszugestalten. Zudem haben sowohl die Sachbearbeitung als auch die Fachapplikation die funktionalen und datenschutzrechtlichen Anforderungen an den Verarbeitungsvorgang vollständig zu erfüllen. Die bereits auf der ersten Ebene definierten Daten und Verarbeitungsformen sind auf der zweiten Ebene auszuschließen. Die Zweckbindung lässt sich dadurch in jedem Fall gewährleisten.
Ebene 3 - Infrastruktur: Die dritte Ebene der personenbezogenen Verarbeitung bezeichnet die IT-Infrastruktur. Es geht um die Ausgestaltung der technischen Systeme für die Fachapplikation, die bereits auf der zweiten Ebene definiert wurde. Einzurichten sind viele verschiedene technische Komponenten wie z. B. Betriebssysteme, Datenbanken, Server, Internetzugänge, und Authentifizierungsprozesse. Das Konzept der Zweckbindung spielt dabei ebenfalls eine Rolle. So müssen Datenschutzverantwortliche – in diesem Fall die IT-Fachkräfte – diese für alle eingesetzten Systemkomponenten gewährleisten können.
Das Standard-Datenschutzmodell kennt noch eine weitere differenzierte Sichtweise auf Verarbeitungsvorgänge: die Komponenten der Verarbeitung. Tatsächlich handelt es sich dabei nicht um ein Konstrukt der Datenschutzkonferenz. Die Komponenten der Verarbeitung ergeben sich unmittelbar aus den Vorgaben der DSGVO. Der Verordnung nach besteht die Modellierung von Verarbeitungstätigkeiten aus:
den personenbezogenen Daten,
den beteiligten technischen Systemen und Diensten sowie
den technischen, organisatorischen und personellen Prozessen innerhalb des Verarbeitungsvorgangs.
Mit dem Begriff des Prozesses, der in der DSGVO nicht wörtlich enthalten ist, werden gleichermaßen
Geschäftsprozesse wie Verarbeitungsverfahren bezeichnet. Diese können jeweils aus einzelnen Verarbeitungsschritten bestehen – das Standard-Datenschutzmodell beschreibt diese wiederum als Teilprozesse. Gemeint ist beispielsweise, personenbezogene Daten zu erheben, zu speichern oder zu löschen.
Das Standard-Datenschutzmodell geht bei den Kernkomponenten noch viel tiefer ins Detail. So erklärt es spezielle Eigenschaften der Komponenten – insbesondere Datenformate, Schnittstellen und Verantwortlichkeiten. Mehr dazu erfährst du in der Version 3.0 des Standard-Datenschutzmodells ab Seite 41.
Der sogenannte SDM-Würfel ist eine hilfreiche Visualisierung des Standard-Datenschutzmodells. Es handelt sich um eine von der Datenschutzkonferenz vorgeschlagene Modellierungstechnik für Verarbeitungsvorgänge.
Grundsätzlich teilt der SDM-Würfel Verarbeitungstätigkeiten in drei Dimensionen ein – und zwar auf einer x-, y- und z-Achse:
Auf der x-Achse stehen die 9 Vorgangsgruppen
Auf der y-Achse stehen die 3 Ebenen der personenbezogenen Verarbeitung
Auf der z-Achse stehen die 7 Gewährleistungsziele
Durch die Auffächerung anhand der Achsen entsteht ein dreidimensionales Objekt ähnlich einem Würfel. Dieser erlaubt es, einen Verarbeitungsvorgang in seiner Gänze, jedoch ebenso in vielen verschiedenen Teilaspekten zu betrachten. Jeder einzelne Teilwürfel lässt sich separat analysieren und mit entsprechenden Maßnahmen ausstatten, um DSGVO-Konformität zu erreichen.
Wir finden das Konzept des SDM-Würfels sehr nützlich. 3 Ebenen, 7 Gewährleistungsziele und 9 Vorgangsgruppen machen die Modellierungstechnik in manchen Fällen für den Praxiseinsatz schwer handhabbar. Wir haben deshalb den vereinfachten SDM-Würfel in einer komprimierten Darstellung entwickelt. Dieser reduziert die Modellierungstechnik auf nur noch 3 Verfahrensbereiche, 6 Gewährleistungsziele und 3 Ebenen der Verarbeitung. Diese kannst du in der Praxis einfach handhaben, ohne an Präzision einzubüßen.
SDM-Würfel, komprimierte Darstellung nach caralegal
Ein weiterer wichtiger Bestandteil des Standard-Datenschutzmodells sind die sogenannten SDM-Bausteine. Hierbei handelt es sich um einen Maßnahmenkatalog für die Praxis. Das Standard-Datenschutzmodell liefert 9 Bausteine, die für einzelne Komponenten der Verarbeitung gewisse Gewährleistungsziele erfüllen. Die Maßnahmen kannst du als Inspiration beziehungsweise Vorlage nutzen. Du musst sie allerdings auf den individuellen Fall anpassen. Die aktuelle Version der Bausteine kannst du dir auf der Website des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern unter dem Reiter „Maßnahmenkatalog“ herunterladen.
Das Standard-Datenschutzmodell ist ein praxisorientiertes Konzept, um Datenschutzmanagement effektiv umzusetzen. Das funktioniert allerdings nur, wenn alle verarbeitungsrelevanten Prozesse bekannt und korrekt dokumentiert sind. Dein Verzeichnis von Verarbeitungstätigkeiten (VVT) bildet deshalb das Herz deines Datenschutzmanagements. Dein VVT kannst du zwar mit Excel managen, für die Umsetzung des SDM würden wir es dir aber nicht empfehlen. Einfacher und effizienter ist es, ein softwarebasiertes VVT zu nutzen. Dieses ermöglicht es, die Gewährleistungsziele aus dem Standard-Datenschutzmodell mit technischen und organisatorischen Maßnahmen zu verknüpfen und Risiken rechtssicher abzuwägen – Vorgänge, die sich nur schwer ohne Software umsetzen lassen!
Erfahre mehr über die caralegal Datenschutzsoftware und wie damit das SDM 3.0 praxisnah umgesetzt werden kann.
Dieser Guide basiert auf dem Standard-Datenschutzmodell, Version 3.0. Dort, wo wir Veränderungen am Quelleninhalt vorgenommen haben, wurde dies an den entsprechenden Stellen vermerkt.
Lizenzinformation: Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz). Datenlizenz Deutschland – Namensnennung – Version 2.0 (www.govdata.de/dl-de/by-2-0).
Entdecke weitere Beiträge zu diesem Thema:
en_US
