Das Standard-Datenschutzmodell (SDM) liegt mittlerweile in Version 1.1 vor, die auf die europäische Datenschutz-Grundverordnung (DSGVO) angepasst wurde. Das SDM soll Unternehmen bei der konkreten Umsetzung der Datenschutzvorschriften helfen. Als Orientierungshilfe bietet es standardisierte Empfehlungen der Aufsichtsbehörden sowie eine vordefinierte Umsetzungssystematik. Für Unternehmen lohnt es sich also, sich mit dem „Konzept zur Datenschutzberatung und -prüfung auf Basis einheitlicher Gewährleistungsziele“ auseinandersetzen.

Für wen gilt das Standard-Datenschutzmodell?

Das SDM stellt lediglich ein Konzept dar und beansprucht damit keine absolute Verbindlichkeit, wie beispielsweise ein Gesetz oder eine Verordnung.

Allerdings entspringt das Modell der Feder der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (Datenschutzkonferenz, DSK). Zumindest aufgrund der Autorschaft muss man also davon ausgehen, dass das Modell gewisse Grunderwartungen der Aufsichtsbehörden enthält.

Welchen Zweck verfolgt das Standard-Datenschutzmodell?

Ein großes Problem bei der praktischen Umsetzung des Datenschutzes und besonders beim Aufbau eines Datenschutzmanagementsystems sind die Vielfältigkeit und Komplexität der Regelungen und Anforderungen, die an die Verarbeitung personenbezogener Daten gestellt werden, seien sie rechtlicher, technischer oder organisatorischer Art. Zudem sind die datenschutzrechtlichen Vorgaben im Regelfall recht allgemein gehalten und bedürfen einer manchmal intensiven Auslegung.

Das Standard-Datenschutzmodell knüpft hier an: Es versucht die relevanten Anforderungen und Maßnahmen zu systematisieren, mit deren Hilfe Unternehmen ihre Verfahren und Prozesse auf Rechtskonformität trimmen können.

Welche Methodik liegt dem Standard-Datenschutzmodell zugrunde?

Wenn man sich die Inhalte des Standard-Datenschutzmodells genauer ansieht, wird man gewisse Parallelen zu der Methodik des IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) feststellen. So werden im Rahmen des SDM zunächst alle datenschutzrechtlichen Anforderungen in sogenannte Gewährleistungsziele überführt, deren Einhaltung bei der Durchführung der verwendeten Verfahren zu beachten ist (im Einzelnen siehe unten).

Unternehmen wird durch diesen Katalog von Gewährleistungszielen ein zumindest teilweise vorgefertigtes Gesamtpaket an die Hand gegeben, so dass eine eigene Anforderungsrecherche entfallen kann.

Des Weiteren werden Verarbeitungen in ihre einzelnen Komponenten zerteilt, namentlich in Daten, IT-Systeme und Prozesse. Mittels dieser einheitlichen Strukturierung soll eine gewisse Klarheit über den Ablauf der Datenverarbeitung erreicht werden. Denn erst wenn die Prozesse der Datenverarbeitung geklärt sind, kann eine weitere Beurteilung stattfinden.

Zudem definiert das Standard-Datenschutzmodell abgestufte Schutzbedarfskategorien, mittels derer die einzelnen Verarbeitungsstufen kategorisiert und bewertet werden können. Auf diesem Wege soll Wichtiges von Unwichtigem getrennt und so ein angemessenes Level an zu treffenden Schutzmaßnahmen für jede einzelne Verarbeitung festgelegt werden.

Die 7 wichtigsten Gewährleistungsziele im Standard-Datenschutzmodell

Der Begriff der Gewährleistungsziele wurde gewählt, um eine klare Abgrenzung zu dem Begriff der „Schutzziele“ in der IT-Sicherheit herzustellen. Insbesondere soll so eine datenschutzrechtliche Terminologie aufgebaut werden.

Jedes zu erreichende Gewährleistungsziel soll durch Umsetzung geeigneter Maßnahmen erreicht werden. Die Vorschläge zur Umsetzung werden im Standard Datenschutzmodell „generische Maßnahmen“ genannt.

Datenminimierung

Das nach dem Standard-Datenschutzmodell grundlegendste Gewährleistungsziel ist die Datenminimierung. Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten hat sich grundsätzlich auf das unvermeidliche / erforderliche Maß zu beschränkten. Dies bezieht sich auf die vollständige Verarbeitungskette; von der Erhebung der Daten bis hin zu deren Löschung sollten alle Prozesse so ausgerichtet sein, dass ausschließlich die tatsächlich benötigten Daten verarbeitet bzw. verfügbar gehalten werden. Letztlich stellt sich hier stets die gleiche Frage: „Brauche ich die Daten für die Verarbeitung wirklich unbedingt?“

Um eine optimale Datensparsamkeit zu erreichen, sollte z. B. über folgende generische Maßnahmen nachgedacht werden:

  • Reduzierung von erfassten Attributen
  • Reduzierung der Verarbeitungsoptionen
  • Reduzierung von Möglichkeiten der Kenntnisnahme
  • Verarbeitungsprozesse, die eine Kenntnisnahme verarbeiteter Daten entbehrlich machen
  • automatische Sperr- und Löschroutinen, Pseudonymisierungs- und Anonymisierungsverfahren,
  • Kontrolle der Änderung von Verarbeitungstätigkeiten

Verfügbarkeit

Der Grundsatz der Verfügbarkeit fordert, dass vorhandene Daten einerseits vor mutwilliger Zerstörung oder auch fahrlässigem Verlust geschützt werden müssen, andererseits aber auch im Falle des Bedarfs jederzeit abrufbar sein sollen. Die Verfügbarkeit muss dabei nicht nur die jederzeitige Nutzung der Daten für den eigentlichen Zweck sicherstellen, sondern auch mögliche Auskunftsverlangen an Betroffene, über die Daten gespeichert sind.

In der Praxis wird die Verfügbarkeit meist über entsprechende Datensicherungen, Schutzvorrichtungen und Redundanzen von Hard- und Software sowie IT-Infrastrukturen gewährleistet. Bei Auslagerungen sollte stets auf entsprechende Service-Level-Agreements (SLAs) geachtet werden, z. B. Auftragsverarbeitungs-Verträge. Aber auch alltägliche organisatorische Maßnahmen, wie Vertretungsregelungen für abwesende Mitarbeiter, stellen die Verfügbarkeit der Daten sicher.

Beispiele für geeignete Maßnahmen:

  • Anfertigung von Sicherheitskopien,
  • Schutz vor äußeren Einflüssen (Schadsoftware, Sabotage, höhere Gewalt),
  • Dokumentation der Syntax der Daten,
  • Redundanzen,
  • Reparaturstrategien und Ausweichprozesse,
  • Vertretungsregelungen

Integrität

Als Integrität wird der Schutz vor ungewollter bzw. unautorisierter Veränderung von Daten verstanden. Sie besagt, dass einmal erstellte Daten auch zu einem späteren Zeitpunkt noch denselben – unveränderten – Inhalt besitzen müssen, sofern sie nicht in legitimer Weise verändert worden sind. Die anfängliche inhaltliche Richtigkeit der Daten ist hiervon allerdings nicht umfasst.

Unternehmen müssen folglich (generische) Maßnahmen ergreifen, die eine ungewünschte nachträgliche Veränderung von Daten verhindern. Dies kann beispielsweise gewährleitet werden durch:

  • Begrenzung von Schreib- und Änderungsrechten,
  • Einsatz von Prüfsummen, elektronischen Siegeln und Signaturen,
  • dokumentierte Zuweisung von Berechtigungen und Rollen,
  • Aufrechterhaltung der Aktualität von Daten,
  • Festlegung des Soll-Verhaltens von Prozessen und regelmäßiges Durchführen von Tests zur Feststellung und Dokumentation der Funktionalität, von Risiken sowie Sicherheitslücken und Nebenwirkungen von Prozessen,
  • Festlegung des Soll-Verhaltens von Abläufen bzw. Prozessen und regelmäßiges Durchführen von Tests zur Feststellbarkeit bzw. Feststellung der Ist-Zustände von Prozessen.

Vertraulichkeit

Als Vertraulichkeit wird der Schutz der Daten vor unbefugtem Zugriff oder unbefugter Kenntnisnahme verstanden.

Generische Maßnahmen um die Vertraulichkeit zu gewährleisten wären beispielsweise:

  • Festlegung eines Rechte- und Rollen-Konzeptes,
  • sichere Authentisierungsverfahren,
  • Personalkonzept,
  • Festlegung und Kontrolle zugelassener Ressourcen,
  • für die Verarbeitungstätigkeit geeignete Umgebungen,
  • Festlegung und Kontrolle organisatorischer Abläufe, interner Regelungen und vertraglicher Verpflichtungen ,
  • Kryptokonzept,
  • Schutz vor äußeren Einflüssen (Spionage, Hacking).

Nichtverkettbarkeit

Das Gewährleistungsziel der Nichtverkettbarkeit hat seinen Ausgangspunkt im Zweckbindungsgrundsatz und soll sicherstellen, dass für alle Daten der legitime Zweck für die Bearbeitung feststeht und erhalten bleibt. Dementsprechend darf im Laufe der Verarbeitungsprozesse stets nur der ursprünglich festgelegte Zweck verfolgt werden. Die in der Praxis oft vorgefundene Situation, dass Daten, die einmal im Unternehmen angekommen sind, dort frei umherirren und so auch für verschiedene Zwecke verarbeitet werden, ist daher gesetzeswidrig.

Um die Nichtverkettbarkeit zu gewährleisten, kommen etwa folgende Maßnahmen in Betracht:

  • Einschränkung von Verarbeitungs-, Nutzungs- und Übermittlungsrechten,
  • Schließung von Schnittstellen,
  • Compliance bei der Softwareentwicklung,
  • Trennung nach Organisations-/Abteilungsgrenzen,
  • Trennung mittels Rollenkonzepten,
  • Identitätsmanagement,
  • Pseudonyme, Anonymisierung,
  • geregelte Zweckänderungsverfahren.

Transparenz

Die Verarbeitung personenbezogener Daten hat grundsätzlich transparent zu erfolgen. Es muss also nachvollziehbar sein, wo und zu welchem Zweck personenbezogene Daten verarbeitet und genutzt werden. Dieser Grundsatz findet seinen Ausfluss unter anderem in der Verpflichtung zur Führung eines internen und externen Verfahrensverzeichnisses. Zudem kann nur mittels einer transparenten Datenverarbeitung dem Recht des Betroffenen auf Auskunft sowie den Rechten der Aufsichtsbehörden auf Auskunft und Einsicht entsprochen werden.

Typische Maßnahmen wären in diesem Zusammenhang vor allem die Dokumentationen über Verfahren, Prozesse, Anwendungen, Verträge, Systemtests, Freigaben, Vorabkontrollen, Verträge (sowohl interne z. B. mit Mitarbeitern als auch externe mit Dienstleistern). Außerdem sollten Zugriffe auf und Änderungen in Anwendungen dokumentiert sowie Dokumente versioniert werden.

Beispiele:

  • Dokumentation der Geschäftsprozesse, Datenbestände, Datenflüsse, IT-Systeme, Betriebsabläufe, Beschreibungen von Verarbeitungstätigkeiten,
  • Tests der Freigabe und ggf. Datenschutz-Folgenabschätzung von neuen oder geänderten Verarbeitungstätigkeiten,
  • Dokumentation der Verträge mit den internen Mitarbeitenden, Dienstleistern und Dritten,
  • Dokumentation von Einwilligungen und Widersprüchen,
  • Protokollierung von Zugriffen und Änderungen,
  • Nachweis der Quellen von Daten (Authentizität),
  • Versionierung,
  • Dokumentation der Verarbeitungsprozesse,
  • Berücksichtigung der Auskunftsrechte von Betroffenen im Protokollierungs- und Auswertungskonzept.

Intervenierbarkeit

Unter das Gewährleistungsziel der Intervenierbarkeit werden im Wesentlichen die Betroffenenrechte auf Auskunft, Berichtigung und Sperrung bzw. Löschung der eigenen Daten gefasst. Sofern also ein Betroffener zurecht die Löschung seiner Daten verlangt, so muss dies konsequenterweise auch technisch umsetzbar sein.

Dies ist es beispielsweise nicht, wenn gar nicht klar ist, auf welchen Datensicherungsbändern dessen Daten überhaupt gespeichert sind bzw. in welchen Systemen dessen Daten abgelegt wurden. In diesem Fall wäre erst eine umfangreiche Suche erforderlich. Derartige technische Erschwernisse können die Pflicht der Unternehmen, dem Verlangen des Betroffenen nachzukommen, jedoch nicht entgegengehalten werden. Vielmehr muss Unternehmen bereits bei Speicherung der Daten klar sein, dass auch einzelne Datensätze gegebenenfalls wieder gelöscht werden müssen.

Infrage kommende Maßnahmen sind hier u. a. standardisierte Dialog- und Abfragestellen über vorhandene Datensätze von Betroffenen sowie ein konkret benannter Ansprechpartner, Deaktivierungsmöglichkeiten von einzelnen Systemkomponenten, ohne das gesamte System außer Betrieb zu setzen, Möglichkeiten der Einsichtnahme in das System durch den Datenschutzbeauftragten oder aber auch Aufsichtsbehörden.

Beispiele:

  • differenzierte Einwilligungs-, Rücknahme- sowie Widerspruchsmöglichkeiten,
  • Schaffung notwendiger Datenfelder z. B. für Sperrkennzeichen,
  • dokumentierte Bearbeitung von Störungen, Problembearbeitungen und Änderungen am Verarbeitungstätigkeiten sowie an den Schutzmaßnahmen der IT-Sicherheit und des Datenschutzes,
  • Deaktivierungsmöglichkeit von Funktionalitäten,
  • Abfrage- und Dialogschnittstellen für Betroffene zur Geltendmachung und/oder Durchsetzung von Ansprüchen,
  • Nachverfolgbarkeit der Aktivitäten,
  • Einrichtung eines Single Point of Contact (SPoC) für Betroffene,
  • operative Möglichkeit zur Zusammenstellung, konsistenten Berichtigung, Sperrung und Löschung aller zu einer Person gespeicherten Daten.

Fazit: Das Standard-Datenschutzmodell hilft beim strukturellen Vorgehen

Insgesamt zeigt sich, dass das Standard-Datenschutzmodell eine Erleichterung für Unternehmen bei der Gewährleistung der datenschutzrechtlichen Compliance darstellen kann. Denn nur eine strukturierte Herangehensweise führt im Ergebnis dazu, dass ein konsistenter und vergleichbarer Datenschutz-Standard im Unternehmen etabliert werden kann, der alle Bereiche des Unternehmens umfasst. Eben diese Struktur gewährleistet das SDM bei richtiger Umsetzung.

Praktisch ist dabei, dass mit den generischen Maßnahmen im Standard-Datenschutzmodell praktikable und effiziente Wege für eine Umsetzung im Unternehmen aufgezeigt werden.

Bei richtiger und konsequenter Anwendung des Standard-Datenschutzmodells ist zu erwarten, dass im Falle einer Prüfung durch eine Aufsichtsbehörde das betroffene Unternehmen und die Behörde „die gleiche Sprache sprechen“ und der Aufwand sich im Optimalfall auf ein Minimum reduziert.

Bitte bewerten Sie diese Inhalte!
[11 Bewertung(en)/ratings]

Dieser aktualisierte Artikel erschien zuerst am 22. Dezember 2015.

0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.