Logo der activeMind AG

Das Standard-Datenschutzmodell (SDM)

Inhalt

Das von den deutschen Aufsichtsbehörden entwickelte Standard-Datenschutzmodell (SDM) soll Unternehmen bei der konkreten Umsetzung datenschutzrechtlicher Vorgaben unterstützen. Wir erklären Inhalt, Einsatz und Vorteile der Orientierungshilfe.

Was ist das Standard-Datenschutzmodell?

Das Standard-Datenschutzmodell ist eine Orientierungshilfe der deutschen Datenschutz-Aufsichtsbehörden und wird im Rahmen der Datenschutzkonferenz (DSK) entwickelt. Es bietet standardisierte Empfehlungen sowie eine vordefinierte Umsetzungssystematik.

Das Standard-Datenschutzmodell zielt darauf ab, die abstrakten Vorgaben der Datenschutz-Grundverordnung (DSGVO) in konkrete und umsetzbare Maßnahmen zu überführen. Dafür definiert es sieben Gewährleistungsziele, welche die zentralen Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) bündeln und übersichtlich strukturieren. Diese Ziele erleichtern die Übertragung rechtlicher Anforderungen in technische und organisatorische Maßnahmen (TOM).

In der praktischen Anwendung unterstützt das SDM Verantwortliche bei der Einhaltung gesetzlicher Vorgaben, insbesondere bei Schwellwertanalysen, Datenschutz-Folgenabschätzungen (DSFS) sowie der Auswahl und Umsetzung geeigneter technischer und organisatorischer Maßnahmen. Der Referenzmaßnahmen-Katalog des SDM bietet Empfehlungen, anhand derer Verantwortliche prüfen können, inwieweit die Soll-Anforderungen mit den bereits umgesetzten Ist-Maßnahmen übereinstimmen. Getroffene Entscheidungen und Abweichungen sind entsprechend begründet zu dokumentieren.

Das SDM orientiert sich am PDCA-Zyklus (Plan-Do-Check-Act), einem bewährten Modell zur kontinuierlichen Verbesserung, das systematisch zur datenschutzkonformen Gestaltung und Überwachung von Verarbeitungstätigkeiten eingesetzt werden kann.

Es ist wichtig zu beachten, dass das SDM und der zugehörige Referenzmaßnahmen-Katalog rechtlich nicht verbindlich sind, sondern als Orientierung und Empfehlung der Datenschutz-Aufsichtsbehörden dienen. Ziel ist es, die gesetzlichen Anforderungen der DSGVO in konkrete Schritte umzuwandeln, ohne dabei über die rechtlichen Vorgaben hinauszugehen.

Aktueller Stand des SDM

Das Standard-Datenschutzmodell hat sich in den letzten Jahren stark weiterentwickelt. Aktuell liegt die am 14. Mai 2024 veröffentlichte Version 3.1 des DSM vor (Download als PDF bei der DSK).

Vorbereitungsphase nach dem SDM

Vor der Anwendung des PDCA-Zyklus im Rahmen des SDM-Prozesses müssen die sachlichen Verhältnisse geklärt, die Zulässigkeit der Verarbeitung geprüft und die rechtliche Beurteilung vorgenommen werden. In jedem Vorbereitungsschritt sind die im SDM definierten Fragen zu beantworten. Die Feststellungen können je nach Verarbeitung unterschiedlich ausfallen.

Die sachlichen Verhältnisse beim Verantwortlichen werden geklärt, indem festgestellt wird, welche Stellen an der Verarbeitung beteiligt sind und wer für welche Teile der Verarbeitung verantwortlich ist. Zudem muss geklärt werden, welche Prozesse durch die Verarbeitung unterstützt werden und wer die Verarbeitung durchführt und kontrolliert. 

Im nächsten Schritt ist die Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO für die Verarbeitung festzulegen.

Dieser Schritt spielt eine wichtige Rolle im gesamten Prozess, da er klärt, wie personenbezogene Daten verarbeitet werden sollen. Daher wird in diesem Schritt die Rechtmäßigkeit der Datenverarbeitung geprüft.

Darüber hinaus sind in die Beurteilung Fragen einzubeziehen:

  • nach dem auf die Verarbeitung anwendbaren nationalen Datenschutzrecht,
  • den rechtmäßigen Zwecken und der Zulässigkeit von Zweckänderungen,
  • den für die Datenerhebung relevanten und für die Zweckerfüllung erforderlichen Daten,
  • den bestehenden Rechtsgrundlagen für die Datenübermittlung,
  • den technischen und organisatorischen Maßnahmen sowie
  • den Vereinbarungen für gemeinsam Verantwortliche und Auftragsverarbeiter.

Spezifizierung der Gewährleistungsziele und Prüfung

In dieser wichtigen Phase sind im Rahmen der Spezifizierung die im Standard-Datenschutzmodell definierten Gewährleistungsziele für jede Datenverarbeitung festzulegen und zunächst qualitativ näher zu konkretisieren. Die Gewährleistungsziele systematisieren die datenschutzrechtlichen Anforderungen.

Das nach dem Standard-Datenschutzmodell grundlegendste Gewährleistungsziel ist die Datenminimierung. Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten hat sich grundsätzlich auf das unvermeidliche bzw. erforderliche Maß zu beschränkten. Dies bezieht sich auf die vollständige Verarbeitungskette. Von der Erhebung der Daten bis hin zu deren Löschung sollten alle Prozesse so ausgerichtet sein, dass ausschließlich die tatsächlich benötigten Daten verarbeitet bzw. verfügbar gehalten werden.

Um eine optimale Datensparsamkeit zu erreichen, sollte z. B. über folgende generische Maßnahmen nachgedacht werden:

  • Reduzierung von erfassten Attributen
  • Reduzierung der Verarbeitungsoptionen
  • Reduzierung von Möglichkeiten der Kenntnisnahme
  • Verarbeitungsprozesse, die eine Kenntnisnahme verarbeiteter Daten entbehrlich machen
  • automatische Sperr- und Löschroutinen, Pseudonymisierungs- und Anonymisierungsverfahren,
  • Kontrolle der Änderung von Verarbeitungstätigkeiten

Der Grundsatz der Verfügbarkeit fordert, dass vorhandene Daten einerseits vor mutwilliger Zerstörung oder auch fahrlässigem Verlust geschützt werden müssen, andererseits aber auch im Falle des Bedarfs jederzeit abrufbar sein sollen. Die Verfügbarkeit muss dabei nicht nur die jederzeitige Nutzung der Daten für den eigentlichen Zweck sicherstellen, sondern auch mögliche Auskunftsverlangen an Betroffene, über die Daten gespeichert sind.

In der Praxis wird die Verfügbarkeit meist über entsprechende Datensicherungen, Schutzvorrichtungen und Redundanzen von Hard- und Software sowie IT-Infrastrukturen gewährleistet. Bei Auslagerungen sollte stets auf entsprechende Service-Level-Agreements (SLAs) geachtet werden, z. B. über Auftragsverarbeitungs-Verträge. Aber auch alltägliche organisatorische Maßnahmen, wie Vertretungsregelungen für abwesende Mitarbeiter, stellen die Verfügbarkeit der Daten sicher.

Beispiele für geeignete Maßnahmen:

  • Anfertigung von Sicherheitskopien
  • Schutz vor äußeren Einflüssen (Schadsoftware, Sabotage, höhere Gewalt)
  • Dokumentation der Syntax der Daten
  • Redundanzen
  • Reparaturstrategien und Ausweichprozesse
  • Vertretungsregelungen

Als Integrität wird der Schutz vor ungewollter bzw. unautorisierter Veränderung von Daten verstanden. Sie besagt, dass einmal erstellte Daten auch zu einem späteren Zeitpunkt noch denselben – unveränderten – Inhalt besitzen müssen, sofern sie nicht in legitimer Weise verändert worden sind. Die anfängliche inhaltliche Richtigkeit der Daten ist hiervon allerdings nicht umfasst.

Unternehmen müssen folglich (generische) Maßnahmen ergreifen, die eine ungewünschte nachträgliche Veränderung von Daten verhindern. Dies kann beispielsweise gewährleitet werden durch:

  • Begrenzung von Schreib- und Änderungsrechten
  • Einsatz von Prüfsummen, elektronischen Siegeln und Signaturen
  • dokumentierte Zuweisung von Berechtigungen und Rollen
  • Aufrechterhaltung der Aktualität von Daten
  • Festlegung des Soll-Verhaltens von Prozessen und regelmäßiges Durchführen von Tests zur Feststellung und Dokumentation der Funktionalität, von Risiken sowie Sicherheitslücken und Nebenwirkungen von Prozessen
  • Festlegung des Soll-Verhaltens von Abläufen bzw. Prozessen und regelmäßiges Durchführen von Tests zur Feststellbarkeit bzw. Feststellung der Ist-Zustände von Prozessen

Als Vertraulichkeit wird der Schutz der Daten vor unbefugtem Zugriff oder unbefugter Kenntnisnahme verstanden.

Generische Maßnahmen, um die Vertraulichkeit zu gewährleisten wären beispielsweise:

  • Festlegung eines Rechte- und Rollen-Konzeptes
  • sichere Authentisierungsverfahren
  • Personalkonzept
  • Festlegung und Kontrolle zugelassener Ressourcen
  • für die Verarbeitungstätigkeit geeignete Umgebungen
  • Festlegung und Kontrolle organisatorischer Abläufe, interner Regelungen und vertraglicher Verpflichtungen
  • Kryptokonzept
  • Schutz vor äußeren Einflüssen (Spionage, Hacking)

Das Gewährleistungsziel der Nichtverkettbarkeit hat seinen Ausgangspunkt im Zweckbindungsgrundsatz und soll sicherstellen, dass für alle Daten der legitime Zweck für die Bearbeitung feststeht und erhalten bleibt. Dementsprechend darf im Laufe der Verarbeitungsprozesse stets nur der ursprünglich festgelegte Zweck verfolgt werden. Die in der Praxis oft vorgefundene Situation, dass Daten, die einmal im Unternehmen angekommen sind, dort frei umherirren und so auch für verschiedene Zwecke verarbeitet werden, ist daher gesetzeswidrig.

Um die Nichtverkettbarkeit zu gewährleisten, kommen etwa folgende Maßnahmen in Betracht:

  • Einschränkung von Verarbeitungs-, Nutzungs- und Übermittlungsrechten
  • Schließung von Schnittstellen
  • Compliance bei der Softwareentwicklung
  • Trennung nach Organisations-/Abteilungsgrenzen
  • Trennung mittels Rollenkonzepten
  • Identitätsmanagement
  • Pseudonymisierung, Anonymisierung
  • geregelte Zweckänderungsverfahren

Die Verarbeitung personenbezogener Daten hat grundsätzlich transparent zu erfolgen. Es muss also nachvollziehbar sein, wo und zu welchem Zweck personenbezogene Daten verarbeitet und genutzt werden. Dieser Grundsatz findet seinen Ausfluss unter anderem in der Verpflichtung zur Führung eines internen und externen Verfahrensverzeichnisses. Zudem kann nur mittels einer transparenten Datenverarbeitung dem Recht der Betroffenen auf Auskunft sowie den Rechten der Aufsichtsbehörden auf Auskunft und Einsicht entsprochen werden.

Typische Maßnahmen wären in diesem Zusammenhang vor allem die Dokumentationen über Verfahren, Prozesse, Anwendungen, Verträge, Systemtests, Freigaben, Vorabkontrollen, Verträge (sowohl interne z. B. mit Mitarbeitenden als auch externe mit Dienstleistern). Außerdem sollten Zugriffe auf und Änderungen in Anwendungen dokumentiert sowie Dokumente versioniert werden.

Beispiele:

  • Dokumentation der Geschäftsprozesse, Datenbestände, Datenflüsse, IT-Systeme, Betriebsabläufe, Beschreibungen von Verarbeitungstätigkeiten
  • Tests der Freigabe und ggf. Datenschutz-Folgenabschätzung von neuen oder geänderten Verarbeitungstätigkeiten
  • Dokumentation der Verträge mit den internen Mitarbeitenden, Dienstleistern und Dritten
  • Dokumentation von Einwilligungen und Widersprüchen
  • Protokollierung von Zugriffen und Änderungen
  • Nachweis der Quellen von Daten (Authentizität)
  • Versionierung
  • Dokumentation der Verarbeitungsprozesse
  • Berücksichtigung der Auskunftsrechte von Betroffenen im Protokollierungs- und Auswertungskonzept.

Unter das Gewährleistungsziel der Intervenierbarkeit werden im Wesentlichen die Betroffenenrechte auf Auskunft, Berichtigung und Sperrung bzw. Löschung der eigenen Daten gefasst. Sofern also Betroffene zurecht die Löschung ihrer Daten verlangen, so muss dies konsequenterweise auch technisch umsetzbar sein.

Dies ist es beispielsweise nicht, wenn gar nicht klar ist, auf welchen Datensicherungsbändern die jeweiligen Daten überhaupt gespeichert sind bzw. in welchen Systemen die Daten abgelegt wurden. In diesem Fall wäre erst eine umfangreiche Suche erforderlich. Derartige technische Erschwernisse können die Pflicht des Verantwortlichen, dem Verlangen der Betroffenen nachzukommen, jedoch nicht entgegengehalten werden. Vielmehr muss Unternehmen bereits bei Speicherung der Daten klar sein, dass auch einzelne Datensätze gegebenenfalls wieder gelöscht werden müssen.

Infrage kommende Maßnahmen sind hier u. a. standardisierte Dialog- und Abfragestellen über vorhandene Datensätze von Betroffenen sowie ein konkret benannter Ansprechpartner, Deaktivierungsmöglichkeiten von einzelnen Systemkomponenten, ohne das gesamte System außer Betrieb zu setzen, Möglichkeiten der Einsichtnahme in das System durch den Datenschutzbeauftragten oder aber auch Aufsichtsbehörden.

Beispiele:

  • differenzierte Einwilligungs-, Rücknahme- sowie Widerspruchsmöglichkeiten
  • Schaffung notwendiger Datenfelder z. B. für Sperrkennzeichen
  • dokumentierte Bearbeitung von Störungen, Problembearbeitungen und Änderungen am Verarbeitungstätigkeiten sowie an den Schutzmaßnahmen der IT-Sicherheit und des Datenschutzes
  • Deaktivierungsmöglichkeit von Funktionalitäten
  • Abfrage- und Dialogschnittstellen für Betroffene zur Geltendmachung und/oder Durchsetzung von Ansprüchen
  • Nachverfolgbarkeit der Aktivitäten
  • Einrichtung eines Single Point of Contact (SPoC) für Betroffene
  • operative Möglichkeit zur Zusammenstellung, konsistenten Berichtigung, Sperrung und Löschung aller zu einer Person gespeicherten Daten

Im nächsten Schritt sind unter Berücksichtigung der Datenschutz-Folgenabschätzungen, sofern diese durchgeführt wurden, die technischen und organisatorischen Maßnahmen festzulegen. Entscheidend für die weiteren Schritte ist das durch die Risikobewertung ermittelte Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen. Anschließend werden folgende Faktoren eingehend geprüft:

Zur Präzisierung dienen folgende Fragen:

  • Für welchen Zeitraum ist der Verlust der Verfügbarkeit der Daten für die Betroffenen tolerabel?
  • Mit welcher Verzögerung ist die Aktualität der Daten akzeptabel?
  • Mit welcher zeitlichen Präzision muss die Verarbeitung nachvollzogen werden können?
  • In welchem zeitlichen Rahmen muss der Verantwortliche in der Lage sein, die jeweiligen Betroffenenrechte zu gewähren?
  • Wie lange dürfen Daten zu welchen Zwecken verarbeitet werden, bevor diese von der Verarbeitung ausgeschlossen oder gelöscht werden?

Auf der Grundlage der Risikobewertung bzw. der Datenschutz-Folgenabschätzung ist eine Abwägung zwischen dem Schutz der Interessen der Betroffenen und dem dafür erforderlichen Aufwand des Verantwortlichen vorzunehmen.

Das Ergebnis der Datenschutz-Folgenabschätzung findet darüber hinaus Berücksichtigung bei der Bewertung der Restrisiken, die nach Umsetzung der Maßnahmen verbleiben. Dabei wird ein Aufwand zugrunde gelegt, der in angemessenem Verhältnis zum Zweck der Verarbeitung steht.

Die verbleibenden Risiken können durch das Interesse Dritter entstehen, die darauf abzielen, die Gewährleistungsziele zu verletzen – etwa indem sie unbefugt auf Daten der Betroffenen zugreifen, oder diese für unzulässige Zwecke, über das notwendige Maß hinaus bzw. in undurchsichtiger Weise verarbeiten.

Datenschutzmanagement-Prozess

Der Datenschutzmanagement-Prozess unterteilt sich in folgende vier Schritte:

In diesem Schritt werden angemessene technische und organisatorische Maßnahmen für die Verarbeitungstätigkeiten festgelegt, um den Schutz personenbezogener Daten zu gewährleisten und die Einhaltung datenschutzrechtlicher Vorgaben nachzuweisen. Dafür werden sogenannte Soll-Werte anhand gesetzlicher Anforderungen definiert, dokumentiert und im Anschluss mit den Ist-Werten verglichen. 

Der Fokus liegt insbesondere auf der Durchführung einer Schwellwertanalyse und, basierend auf den Ergebnissen, auf einer ggf. erforderlichen Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO. Die Ergebnisse der DSFA sind in einem Bericht zu dokumentieren, welcher die identifizierten Risiken und Maßnahmen zur Risikominderung sowie geplante Abhilfemaßnahmen enthält.

Sofern sich der Verantwortliche aufgrund der Ergebnisse gegen eine DSFA entscheidet, kann diese zu einem späteren Zeitpunkt notwendig sein, wenn wesentliche Änderungen eintreten. Dies verdeutlicht, dass der PDCA-Zyklus für jede Verarbeitungstätigkeit unter Umständen mehrfach durchlaufen werden muss. In diesem Kontext verweist das SDM auf das Kurzpapier Nr. 5 der Datenschutzkonferenz, welches als Orientierungshilfe für die Durchführung einer DSFA dient.

Nach der Entscheidung hinsichtlich der DSFA trifft der Verantwortliche eine entsprechende Entscheidung über die zu implementierenden technischen und organisatorischen Maßnahmen.

Im zweiten Schritt setzt der Verantwortliche die im ersten Schritt festgelegten Maßnahmen um. Bei der Implementierung der Maßnahmen sind die vorhandenen Ergebnisse der DSFA zu berücksichtigen. Die Umsetzung der Maßnahmen muss dokumentiert werden. Auf diese Weise werden die Ist-Werte erhoben, die für die Überprüfung der Implementierung relevant sind.

Dieser Schritt prüft die Umsetzung der definierten Maßnahmen anhand des Soll-Ist-Vergleichs und bewertet, ob die Maßnahmen den festgelegten Risiken entsprechen.

Die bereits umgesetzten technischen und organisatorischen Maßnahmen werden mit den relevanten Referenzmaßnahmen des SDM abgeglichen. Im Anschluss erfolgt eine Beurteilung der festgestellten Abweichungen vom Soll hinsichtlich ihrer negativen Auswirkung auf die Gewährleistungsziele und die Umsetzung der Datenschutzgrundsätze gemäß Art. 5 DSGVO.

Die datenschutzrechtliche Bewertung erfordert zunächst die Ermittlung der Unterschiede zwischen dem Soll- und dem Ist-Zustand, gefolgt von einem Abgleich mit den datenschutzrechtlichen Anforderungen, um potenzielle Mängel zu identifizieren. 

In letzten Schritt des PDCA-Zyklus muss der Verantwortliche die festgestellten Mängel überprüfen und gegebenenfalls durch neu definierte oder angepasste Maßnahmen beheben. Diese sind anschließend einem erneuten PDCA-Zyklus zu unterwerfen. Wenn alle Mängel behoben sind, kann die Verarbeitungstätigkeit als datenschutzkonform betrachtet werden.

Fazit

Die Anwendung des Standard-Datenschutzmodells verschafft Klarheit über den Datenschutzstatus im Unternehmen und hilft, notwendige Maßnahmen zu implementieren. Der Datenschutzmanagement-Prozess mit dem Standard-Datenschutzmodell unterstützt Verantwortliche bei Planung, laufendem Betrieb sowie regelmäßiger Überprüfung der Datenschutzkonformität und kontinuierlichen Verbesserungen.

Eine systematische Methodik unterstützt die Verantwortlichen bei der Erfüllung der datenschutzrechtlichen Anforderungen, die alle Verarbeitungstätigkeiten sowie die dazugehörigen technischen und organisatorischen Maßnahmen umfassen. Die Etablierung eines kontinuierlichen, zyklischen Prozesses, wie z.B. des PDCA-Zyklus, bildet eine Grundlage des Datenschutzmanagement-Prozesses nach dem SDM.

Obwohl es abstrakt wirkt, bieten das SDM und der Referenzmaßnahmen-Katalog des SDM in der Praxis eine gute Orientierung.

Datenschutz optimieren

Buchen Sie unsere Experten als externen Datenschutzbeauftragten und stärken Sie Ihre Compliance mit der DSGVO!
Verfügbarkeit prüfen

Weiterlesen

  • Aufsichtsbehörden, DSGVO-Bußgelder

Datenschutzrisiken in der Bilanz

Wann Unternehmen verpflichtet sind, für drohende DSGVO-Bußgelder Rückstellungen zu bilden.
  • Beschäftigtendatenschutz, Betroffenenrechte, Marketing, Medizinischer Datenschutz

Rechtsgrundlagen für Datenverarbeitungen: Einwilligung, Vertrag oder Interessenabwägung?

Welche Rechtsgrundlage ist die richtige für welche Verarbeitung personenbezogener Daten? Unser praktischer Leitfaden klärt auf!
  • Betroffenenrechte, Technischer Datenschutz

Das DSGVO-konforme Löschkonzept

Wie Sie personenbezogene Daten richtig löschen und das in einem Löschkonzept dokumentieren. Inklusive Praxistipps und wichtiger Urteile.
  • Beschäftigtendatenschutz, Betroffenenrechte, Marketing

Smartphones, Profiling und Datenschutzrisiken

Wie Smartphones als Datensammler funktionieren, wann das problematisch wird und was Sie dann tun können.
  • Technischer Datenschutz

Sichere E-Mail-Verschlüsselung

Was schreibt die DSGVO für den Schutz von geschäftlichen E-Mails vor? Welche Verschlüsselung müssen sie wann garantieren? Eine praktische Anleitung!
  • Aufsichtsbehörden, Betroffenenrechte

Kontrolle des Rechts auf Löschung

Die Datenschutzbehörden in der EU kontrollieren 2025 besonders die Umsetzung des Rechts auf Löschung. Wir erklären, mit welchen Fragen Verantwortliche rechnen müssen.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.