Die 90. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat im Herbst letzten Jahres das Standard-Datenschutzmodell (SDM) in der Version 0.9 verabschiedet. Darüber hinaus wurde auch die Empfehlung ausgesprochen dieses einzusetzen.
WOZU DAS SDM?
Der Zweck des Standard-Datenschutzmodells liegt dabei darin, die technischen und organisatorischen Maßnahmen auf der Basis von Schutzzielen zu systematisieren. Somit „dient das Modell einerseits den für die Verarbeitung
verantwortlichen Stellen, erforderliche Maßnahmen systematisch zu planen und umzusetzen und fördert somit die datenschutzgerechte Ausgestaltung und Organisation von informationstechnischen Verfahren und Applikationen. Andererseits bietet das Modell den Datenschutzbehörden eine Möglichkeit, mit einer einheitlichen Systematik zu einem transparenten, nachvollziehbaren, belastbaren Gesamturteil über ein Verfahren und dessen Komponenten
zu gelangen.“
DIE STRUKTUR DES SDM
Das Standard-Datenschutzmodell
- überführt datenschutzrechtliche Anforderungen in einen Katalog von Gewährleistungszielen,
- gliedert die betrachteten Verfahren in die Komponenten Daten, IT-Systeme und Prozesse,
- berücksichtigt die Einordnung von Daten in drei Schutzbedarfsabstufungen,
- ergänzt diese um entsprechende Betrachtungen auf der Ebene von Prozessen und ITSystemen
und - bietet einen hieraus systematisch abgeleiteten Katalog mit standardisierten Schutzmaßnahmen.
DIE GEWÄHRLEISTUNGSZIELE
Die datenschutzrechtlichen Anforderungen, die übergreifend in allen deutschen Datenschutzgesetzen enthalten sind, werden dabei von den Gewährleistungszielen umrissen:
- die Zweckbindung einer Datenverarbeitung mit Personenbezug,
- die Begrenzung der Datenverarbeitung auf das erforderliche und datensparsame Maß,
- die Berücksichtigung der Betroffenenrechte, wonach in einem Verfahren Prozesse insbesondere für die Beauskunftung, die Korrektur, das Sperren und das Löschen von Betroffenendaten vorzusehen sind,
- die Transparenz von Verfahren als Voraussetzung dafür, dass die rechtlich festgelegten Anforderungen an ein Verfahren sowohl für die Organisation selber, als auch für den Betroffenen sowie für die Aufsichtsbehörden überprüfbar sind,
- die Datensicherheit der eingesetzten Komponenten zur Datenverarbeitung.
Die Orientierung an den allgemein geltenden Gewährleistungszielen des Datenschutzes erübrigt allerdings nicht die Kenntnisnahme der datenschutzrechtlichen Regelungen, auch nicht im Bereich der technisch-organisatorischen Schutzmaßnahmen.
HANDBUCH UND TAGUNGSBAND
Sowohl das vollständige Handbuch als auch der Tagungsband „Das Standard-Datenschutzmodell – der Weg vom Recht zur Technik“ sind HIER auf den Seiten des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen kostenlos herunterladbar.