Das Standard-Datenschutzmodell (SDM)

Als "Standard-Datenschutzmodell" (SDM) bezeichnen die deutschen Datenschutzaufsichtsbehörden eine Methode, mit der die Übereinstimmung von gesetzlichen Anforderungen und deren Beachtung bzw. Umsetzung in personenbezogenen Verfahren herstellbar wird. Das verbessert insbesondere die Integrität und Transparenz auch von Datenschutz-Beratungen und Prüfungen.

Im November 2016 veröffentlichte die "Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder" (DSBK) deutschlandweit, bei Enthaltung des Freistaats Bayern, die SDM-Methodik in Form eines 52 Seiten umfassenden Handbuchs. Damit ist erstmals für den Bereich des operativen Datenschutzes sichergestellt, dass eine deutschlandweit einheitliche Datenschutz-Beratungs- und Prüfpraxis in Bezug insbesondere zur DS-GVO erreicht werden kann.

Gewährleistungsziele

Die wesentliche Komponente des SDM besteht aus einem Konzept "elementarer Gewährleistungsziele". Als Gewährleistungsziele gelten die Sicherung der Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettung von personenbezogenen Verfahren, ergänzt um das übergreifende Ziel der "Datenminimierung". Diese Schutzziele sind bereits vollständig in Art. 5 der DS-GVO verankert.

Schutzbedarf aus Betroffenenperspektive

Das Konzept des SDM sieht vor, diese Gewährleistungsziele, in methodischer Anlehnung an IT-Grundschutz des BSI, um Schutzbedarfsfestellungen zu ergänzen, um eine angemessene Skalierbarkeit der Auswahl und Wirksamkeit von Schutzmaßnahmen zu erreichen. Im Unterschied zur IT-Grundschutz - oder bspw. auch eines Informationssicherheitsmanagementsystems - nimmt das SDM die Schutzperspektive des oder der Betroffenen ein und fokussiert sich primär auf die Minderung der Intensität des Grundrechtseingriffs, und betrachtet erst in einem zweiten Schritt die Grundrechtsverletzungen, die bspw. durch eine mangelhafte IT-Sicherheit entstehen können.

Katalog mit Schutzmaßnahmen

Ein Katalog mit Referenz-Schutzmaßnahmen zur Umsetzung der sieben Gewährleistungsziele liegt im Entwurf-Status seit November 2016 vor, ist bislang aber nicht veröffentlicht. Wann diese Schutzbausteine veröffentlicht werden ist ungewiss; bis dahin verbleibt für die Anwender der Methode, sich an die generischen Maßnahmen in Kapitel 7 des Methodik-Handbuches zu halten.

Datenschutz-Folgenabschätzung gem. Art. 35 DS-GVO auf der Grundlage des SDM 

Das "Whitepaper Datenschutz-Folgenabschätzung" des Forums Privatheit setzt im Teil der Maßnahmenbestimmung auf das SDM. Sie finden das DPIA-Framework, das von Fraunhofer/Karlsruhe, Wirtschaftsrechtlern/Kassel und dem ULD entwickelt wurde auf der Webseite des Forums Privatheit.

Newsletter:

Um auf dem aktuellen Stand zu SDM bleiben zu können, empfiehlt sich der Bezug des SDM-Newsletters.

Informationen zur An- und Abmeldung finden Sie unter dem Menüeintrag "Mailinglisten" in der Spalte unter "Veröffentlichungen" links unten.