Das Standard-Datenschutzmodell (SDM)
Das Standard-Datenschutzmodell (SDM)
Als „Standard-Datenschutzmodell“ (SDM) bezeichnen die deutschen Datenschutzaufsichtsbehörden eine Methode, mit der für den Bereich des operativen Datenschutzes sichergestellt ist, dass eine einheitliche Datenschutz-Beratungs- und Prüfpraxis in Bezug insbesondere zur Bestimmung von technisch-organisatorischen Maßnahmen der DS-GVO erreicht werden kann.
- SDM-Methodik-Handbuch, V3.1 (Deutsch)
- SDM-Methodik-Handbuch, V2b (Englisch)
- Vorangegangene Versionen
Der IT-Planungsrat, der die IT-Aktivitäten des Bundes, der Länder und Kommunen untereinander koordiert, empfiehlt die Anwendung des SDM für sämtliche öffentliche Verwaltungen Deutschlands (IT-PLR-Beschluss 2020-06[Extern]).
Der IT-Grundschutz des BSI empfiehlt in seinem Datenschutzbaustein CON2 die Anwendung des SDM (BSI-Grundschutz CON2[Extern]).
Die katholische und die protestantische Kirche Deutschland lehnen sich mit dem „Kirchen-Datenschutzmodell“ (KDM)[Extern] ganz eng an das SDM an.
Gewährleistungsziele
Die wesentliche Komponente des SDM besteht aus einem Konzept sechs „elementarer Gewährleistungsziele“, die in den Grundsätzen aus Art. 5 DS-GVO verankert sind. Als Gewährleistungsziele gelten die Sicherung der Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettung von personenbezogenen Verfahren, ergänzt um die übergreifende Anforderung der „Datenminimierung“.
Risiken entstehen durch die Verarbeitung, Betroffene haben Schutzbedarf
Das SDM leitet den Schutzbedarf betroffener Personen aus dem Risiko her, das durch eine Verarbeitungstätigkeit seitens einer Organisation für die Rechte und Freiheiten von Personen entsteht. Im wesentlichen Unterschied zum Informationssicherheitsmanagement nimmt das SDM dabei die Perspektive der Betroffenen ein, die es zu schützen gilt, und fokussiert sich primär auf die Minderung der Intensität des Grundrechtseingriffs. Der Schutzbedarf der Betroffenen bleibt bestehen, während das Risiko einer Verarbeitungstätigkeit für betroffene Personen durch Umsetzung von Schutzmaßnahmen veringert werden kann.
Baustein-Katalog mit Schutzmaßnahmen
Das Kapitel D des Methodik-Handbuches enthält eine Liste mit generischen Bausteinen zu Referenz-Schutzmaßnahmen des Datenschutzes.
Diese Bausteine des SDM sind deutschlandweit unter allen Datenschutzaufsichtsbehörden sowohl für den Privat- als auch den öffentlichen Bereich abgestimmt. Die Bausteine können ebenso wie das Methodikhandbuch oder Englischübersetzungen vom zentralen SDM-Webserver des LfD-Mecklenburg-Vorpommerns bezogen werden.
- SDM-Repository [Extern]
- SDM-Bausteine [Extern]
Datenschutz-Folgenabschätzung gem. Art. 35 DS-GVO auf der Grundlage des SDM
Das Kurzpapier Nr. 5 „Datenschutz-Folgenabschätzung“ der Datenschutzbehörden des Bundes und der Länder („DSK“) lässt sich erprobtermaßen sehr gut zusammen mit dem SDM nutzen. Im Kurzpapier Nr. 18 „Risiko“ wird zudem erläutert, wie sich das spezifische Datenschutzrisiko bestimmen lässt, etwa im Unterschied zu Haftungsrisiken oder Risiken der IT-Sicherheit (DSK-Server „Kurzpapiere"[Extern])).
Newsletter
Um auf dem aktuellen Stand zu SDM zu bleiben, empfiehlt sich der Bezug des SDM-Newsletters. Informationen zur An- und Abmeldung finden Sie im Bereich „Newsletter“.