27.07.2020

Standard-Datenschutzmodell: Handbuch

Das neue Handbuch 2.0b zum Standard-Datenschutzmodell (SDM-Handbuch) bietet Verantwortlichen und ihren Auftragsverarbeitern eine Anleitung, in welcher Weise datenschutzrechtliche Anforderungen in technische und organisatorische Maßnahmen umzusetzen sind.

Das SDM-Handbuch liegt in aktualisierter Version vor, (s. Web-Site des HBDI unter https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/ SDM-Methode_V2.b.pdf).

Der gesamte Text spricht Verantwortliche (Art. 24 DSGVO) oder Auftragsverarbeiter (Art. 28 DSGVO) direkt an. Das eröffnet diesen die Möglichkeit, das SDM zur Umsetzung von Betroffenenrechten auch in Kombination mit weiteren Vorgehensweisen zur Bewertung und Realisierung datenschutzrechtlicher Anforderungen mit, in und durch IT einzusetzen. Im 47. Tätigkeitsbericht habe ich bereits dargestellt, in welcher Weise Referenzmaßnahmen – sogenannte Bausteine – der Umsetzung von technisch-organisatorischen Maßnahmen (TOMs) dienen können und ebenso die datenschutzrechtliche Prüfpraxis im Allgemeinen unterstützt werden kann.

Die Version 2.0 ist im Vergleich zur vorausgegangenen Fassung neu gegliedert. Soweit die zu betrachtende Verarbeitung personenbezogener Daten rechtlich bewertet und grundsätzlich als zulässig erklärt wurde, wird im SDM-Handbuch das weitere Vorgehen für Verarbeitungstätigkeiten schrittweise dargestellt. Es umfasst die Teile A bis E.

Zweck des Standard-Datenschutzmodells (Teil A)

In Teil A wird das Vorgehensmodell mit dem Ziel dargelegt, geeignete und angemessene Maßnahmen zu ergreifen, so dass insbesondere Rechte und Freiheiten betroffener Personen (Art. 12 bis 15 DSGVO) gewährleistet sind. Neben der datenschutzrechtlichen Einschätzung und Bewertung der gesetzlichen Grundlagen sind TOMs umsetzen. Hierbei ist eine Transformationsleistung zu erbringen, die entsprechende TOMs sowohl im Design eines Systems oder eines Dienstes (Art. 25 DSGVO) einbezieht als auch ermöglicht, diese auf Dauer sicherzustellen (Art. 32 DSGVO).

Interpretation von Begriffen mit technischem Bezug (Teil B)

Teil B liefert Interpretationen diverser Begriffe mit technischen Bezügen. Hierzu werden 23 solcher Begriffe erläutert, die in der DSGVO Anwendung finden, wie Identifizierung, Authentifizierung, Wiederherstellbarkeit oder Behebung und Abmilderung von Datenschutzverletzungen. Die hier vorgenommene Auswahl der in der DSGVO verwendeten Begriffe verdeutlicht das unterschiedliche Abstraktionsniveau der zu behandelnden technischen Anforderungen. Daher sollte die Auswahl und die Umsetzung von TOMs in Bezug auf eine konkrete Verarbeitungstätigkeit einer genaueren technischen Betrachtung unter Anwendung von Teil C unterliegen.

Anwendung der Gewährleistungsziele nach DSGVO (Teil C)

Teil C enthält eine Subsumtion der ausgewählten 23 Begriffe mit technischem Bezug unter die bekannten Gewährleistungsziele, die sich ebenso in Art. 5, Art. 25 oder Art. 32 DSGVO finden lassen. Diese Gewährleistungsziele umfassen Festlegungen zur Datenminimierung, Vertraulichkeit, Integrität und Verfügbarkeit. Des Weiteren sind die Gewährleistungsziele der Nichtverkettung, der Transparenz und der Intervenierbarkeit eingeführt. Teil C schließt in Abschnitt C2 des SDM-Handbuchs mit einer Tabelle, die eine Zuordnung von Artikeln der DSGVO zu Gewährleistungszielen enthält. Sie sind hinsichtlich der Umsetzung datenschutzrechtlicher Anforderungen richtungsweisend, ohne die Gestaltungsmöglichkeiten und Freiheitsgrade der tatsächlich auf Dauer eingesetzten IT einzuschränken.

Praktische Umsetzung (Teil D)

Teil D zielt auf die praktische Umsetzung. Konkretisierungen sind in Form von generischen Maßnahmen dargestellt, die auf gängige Ansätze in der IT verweisen (D1). Diese Form der Beschreibung ermöglicht es, typische Maßnahmen je Gewährleistungsziel technikneutral darzustellen. Es wird weiterhin erläutert, in welcher Weise das Verzeichnis der Verarbeitungstätigkeiten der Dokumentation, dem Nachweis und der eigenen Kontrolle beim Verantwortlichen und beim Auftragsverarbeiter bezüglich der ergriffenen TOMs dienen kann (D2). Teil D3 enthält eine neue Betrachtung zu Risiken und zum Schutzbedarf, die sowohl das entsprechende DSK-Kurzpapier als auch das „Working Paper 248“ (Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01) abrufbar unter der Web-Site der Art. 29-Gruppe (heute: Europäischer Datenschutzausschuss, EDSA), https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236) berücksichtigt. Grundzüge eines Datenschutzmanagements (DSM), wie im 47. Tätigkeitsbericht dargestellt, sind jetzt in Abschnitt D4 aufgenommen. Des Weiteren werden Zusammenhänge wie Planung und Spezifikation, Implementierung, Kontrollen und Überprüfungen der auf Dauer betriebenen IT dargestellt, die Evaluationsergebnisse liefern und mittels des Verzeichnisses der Verarbeitungstätigkeiten genutzt werden können. Hiermit erhalten Verantwortliche und Auftragsverarbeiter ein Konzept für einen DSM-Zyklus, der auch ihre Zusammenarbeit organisieren kann, so dass schließlich die zu den Verarbeitungsvorgängen gehörenden technisch-organisatorischen Maßnahmen für Systeme und Dienste auf Dauer gewährleistet sind (Art. 24, Art. 28, Art. 30 und Art. 32 DSGVO).

Organisatorische Rahmenbedingungen (Teil E)

In Teil E werden organisatorische Rahmenbedingungen dargestellt. Dazu gehört das Zusammenwirken von SDM und BSI-Grundschutz. Es wird ein Einblick gegeben, in welcher Weise das Standard-Datenschutzmodell entwickelt wurde und weiterentwickelt werden soll.

Fazit

Mit der Anwendung des SDM-Handbuches 2.0 erhalten Verantwortliche und Auftragsverarbeiter eine sehr weitgehende Unterstützung, die Rechte betroffener Personen mit der Auswahl geeigneter und angemessener TOMs nach den Vorgaben der DSGVO zu wahren.

Quelle: HBDI

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks