Das Standard-Datenschutzmodell (SDM)

Als "Standard-Datenschutzmodell" (SDM) bezeichnen die deutschen Datenschutzaufsichtsbehörden eine Methode, mit der für den Bereich des operativen Datenschutzes sichergestellt ist, dass eine einheitliche Datenschutz-Beratungs- und Prüfpraxis in Bezug insbesondere zu den technisch-organisatorischen Maßnahmen der DS-GVO erreicht werden kann.

 

Gewährleistungsziele

Die wesentliche Komponente des SDM besteht aus einem Konzept "elementarer Gewährleistungsziele". Als Gewährleistungsziele gelten die Sicherung der Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettung von personenbezogenen Verfahren, ergänzt um die übergreifende Anforderung der "Datenminimierung". Diese Gewährleistungsziele sind vollständig in Art. 5 der DS-GVO verankert. Die zusätzliche Anforderung "Belastbarkeit" aus Art. 32, Abs. 1 lit b fordert bestimmte Eigenschaften ein, die die aus den vorgenannten Gewährleistungszielen abgeleiteten funktionalen Anforderungen sowie die Schutzmaßnahmen für die Verarbeitungstätigkeiten erfüllen müssen.

Schutzbedarf aus Betroffenenperspektive

Das Konzept des SDM sieht vor, diese Gewährleistungsziele, in methodischer Anlehnung an IT-Grundschutz des BSI, um Schutzbedarfsfestellungen zu ergänzen, um eine angemessene Skalierbarkeit der Auswahl und Wirksamkeit von Schutzmaßnahmen zu erreichen. Der Schutzbedarf ist gekoppelt an den erwartbaren Schaden, der aus dem Risikoniveau einer Verarbeitung bzw. Verarbeitungstätigkeit herzuleiten ist (vgl. Art. 24 DS-GVO). Im wesentlichen Unterschied zum Informationssicherheitsmanagement nimmt das SDM dabei die Perspektive des oder der Betroffenen ein, die es zu schützen gilt, und fokussiert sich primär auf die Minderung der Intensität des Grundrechtseingriffs natürlicher Personen. In einem zweiten Schritt werden dann die Grundrechtsverletzungen, die bspw. durch eine mangelhafte IT-Sicherheit entstehen können, beurteilt und durch Maßnahmen eingedämmt.

Katalog mit Schutzmaßnahmen

Das Kapitel 7 des Methodik-Handbuches enthält bereits eine Liste mit generischen Bausteinen zu Referenz-Schutzmaßnahmen des Datenschutzes.

Ein gemeinsamer Katalog mit einer tiefergehenden Beschreibung der Referenz-Schutzmaßnahmen zur Umsetzung der sieben Gewährleistungsziele konnte bislang jedoch nicht deutschlandweit im Konsens publiziert werden. Die Landesbeauftragten für Datenschutz der Länder Hessen, Mecklenburg-Vorpommern, Sachsen, Schleswig-Holstein sowie der Evangelischen Kirche Deutschlands haben deshalb im Februar 2018 beschlossen, einen gemeinsamen Katalog mit Schutzmaßnahmen speziell für ihre Länder zu publizieren. Mit einer Publikation der ersten Bausteine auf den SDM-Webseiten dieser Datenschutzbeauftragten ist für Ende Mai 2018 zu rechnen.

Datenschutz-Folgenabschätzung gem. Art. 35 DS-GVO auf der Grundlage des SDM

Das "Whitepaper Datenschutz-Folgenabschätzung" des Forums Privatheit setzt im Teil der Maßnahmenbestimmung auf das SDM. Sie finden das DPIA-Framework, das von Fraunhofer/Karlsruhe, Wirtschaftsrechtlern/Kassel und dem ULD entwickelt wurde auf der Webseite des Forums Privatheit.

Verhältnis Standard-Datenschutzmodell und IT-Grundschutz

Der BSI-Grundschutz-Katalog verweist in seinem Datenschutz-Baustein CON2 auf das SDM.

Newsletter

Um auf dem aktuellen Stand zu SDM bleiben zu können, empfiehlt sich der Bezug des SDM-Newsletters.

Informationen zur An- und Abmeldung finden Sie im Bereich "Mailinglisten".