Eine Methode zur Datenschutzberatung und -prüfung auf Grundlage der DSGVO.
Die neue Version 2.0b wurde von der 99. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 17. April 2020 beschlossen und liegt damit zur Umsetzung vor.
Worum geht es beim Standard-Datenschutzmodell?
Allgemeines zum Standard-Datenschutzmodell (SDM)
Die DS-GVO verlangt ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen (Art. 24, 32).
In den Artikeln 5, 12, 24, 25 und 32 DS-GVO finden sich grundlegende Anforderungen an die Verarbeitung personenbezogener Daten. Die DS-GVO fordert geeignete technische und organisatorische Maßnahmen, um die Risiken für die Rechte und Freiheiten natürlicher Personen angemessen zu mindern.
Das betrifft sowohl Maßnahmen zur Gewährleistung der Rechte Betroffener als auch Maßnahmen zur Umsetzung der Datenschutzgrundsätze, darunter zur Datenminimierung und zur Gewährleistung der Sicherheit der Verarbeitung.
Das Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen fordert zu einer sehr frühzeitigen Befassung des Verantwortlichen mit datenschutzrechtlichen Vorgaben bereits bei der Planung von Verarbeitungen auf.
Grundsätze zur Verarbeitung personenbezogener Daten
In Art. 5 DS-GVO werden wesentliche Grundsätze für die Verarbeitung personenbezogener Daten formuliert: Die Verarbeitung muss rechtmäßig, nach Treu und Glauben, nachvollziehbar, zweckgebunden, auf das notwendige Maß beschränkt, auf der Basis richtiger Daten, und die Integrität und Vertraulichkeit wahrend stattfinden. Zusätzlich dürfen personenbezogene Daten in der Regel nur solange in einer Form gespeichert werden, die eine Identifizierung der betroffenen Personen erlaubt, wie dies erforderlich ist. Die Einhaltung der Grundsätze muss nachweisbar sein („Rechenschaftspflicht“).
Das Standard-Datenschutzmodell (SDM) bietet geeignete Mechanismen, um diese rechtlichen Anforderungen der DS-GVO in technische und organisatorische Maßnahmen zu überführen. Zu diesem Zweck erfasst das SDM zunächst die rechtlichen Anforderungen der DS-GVO und ordnet sie anschließend den Gewährleistungszielen Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettung und Intervenierbarkeit zu.
Das SDM überführt damit die rechtlichen Anforderungen der DS-GVO über die Gewährleistungsziele in von der Verordnung geforderten technischen und organisatorischen Maßnahmen, die im Referenzmaßnahmen-Katalog des SDM detailliert beschrieben werden. Es unterstützt somit die Transformation abstrakter rechtlicher Anforderungen in konkrete technische und organisatorische Maßnahmen.
Mit dem SDM wird eine Methode bereitgestellt, mit der die Risiken der Rechte und Freiheiten natürlicher Personen, die mit der Verarbeitung personenbezogener Daten zwangsläufig einhergehen, mit Hilfe von geeigneten technischen und organisatorischen Maßnahmen beseitigt oder wenigstens auf ein tragbares Maß reduziert werden können.
Für das Erstellen von Datenschutz- und Sicherheitskonzepten sind neben derartigen Methoden und Hilfsmitteln aber auch die langjährigen, individuellen Erfahrungen der handelnden Personen unerlässlich.
Aus diesen Erfahrungen resultieren mitunter zwar dem SDM vergleichbare, im Detail aber abgewandelte Methoden zur Minimierung des Risikos. Diese Methoden können in speziellen Anwendungskontexten ihre Berechtigung haben.
Der Referenzmaßnahmen-Katalog ist Bestandteil des SDM. Er enthält die Darstellung von technischen und organisatorischen Maßnahmen, deren Umsetzung zur Erfüllung der in Teil B dargestellten gesetzlichen Anforderungen beiträgt. Die Maßnahmen wurden unter Zugrundelegung typischer Verarbeitungssituationen ausgewählt und thematisch in Bausteinen zusammengefasst. Die Umsetzung der aufgeführten Maßnahmen stellt gute Datenschutzpraxis dar. Sie ist vielfach zweckmäßig und verhältnismäßig.
Grundsatz dabei ist:
Die Verantwortlichen und Auftragsverarbeiter sind verpflichtet, die Besonderheiten ihrer Verarbeitungen zu analysieren, eine Risikobetrachtung durchzuführen und auf diesen Grundlagen zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung sowie zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen auszuwählen und zutreffen. Es steht ihnen dabei frei, von der Umsetzung von Maßnahmen abzusehen, die unter den konkreten Bedingungen nicht zweckmäßig oder nicht verhältnismäßig sind, und in den Bausteinen aufgeführte Maßnahmen durch andere Maßnahmen gleicher oder ähnlicher Wirkung zu ersetzen. Andererseits kann sich auch die Verpflichtung ergeben, die in den Bausteinen aufgeführten Maßnahmen durch weitere zu ergänzen.