Aufgaben und Funktion des Standard- Datenschutzmodells | Compliance

Christopher Schmieg
Global Director Data Privacy & Digital Risks bei Bucherer AG | Rechtsanwalt

Aufgaben und Funktion des Standard- Datenschutzmodells — Bild: Sy_Sarayut

Das SDM ist ein von den „unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ entwickeltes Modell zur Unterstützung von Organisationen bei der Umsetzung ihrer Datenschutzpraktiken und -prozesse. Es soll die Einhaltung von Datenschutzgesetzen und -vorschriften erleichtern und Datenschutzrisiken minimieren.

Welche Ziele verfolgt das SDM für die Nutzer, insbesondere für ihre Organisation?

Mit dem SDM (aktuelle Version 3.0) stellt die Konferenz ein datenschutzrechtliches „Werkzeug“ bereit, mit dem die risikoadäquate Auswahl und rechtliche Bewertung der von der EU-DSGVO geforderten technischen und organisatorischen Maßnahmen unterstützt wird.

Konkret unterstützt das Standard-Datenschutzmodell (SDM) bei der Planung, Implementierung und Durchführung von Verarbeitungsvorgängen, bei denen personenbezogene Daten verarbeitet werden (personenbezogene Verarbeitungen) und kann in jeglichen Unternehmen eingesetzt werden. Zudem kann es für die Prüfung und Bewertung dieser Verarbeitungstätigkeiten genutzt werden. Auf diese Weise bietet das SDM Unterstützung für Verantwortliche in Wirtschaft und Verwaltung, um die Anforderungen der Datenschutz-Grundverordnung (EU-DSGVO) in Bezug auf Nachweispflichten und Rechenschaftspflichten zu erfüllen.

Diese Ziele und Opportunitäten lassen sich im Folgenden spezifizieren und zusammenfassen:

Datenschutz-Compliance: Das SDM bietet einen strukturierten Rahmen, der Organisationen dabei hilft, die Anforderungen der Datenschutzgesetze und -vorschriften zu verstehen und umzusetzen. Dies erleichtert die Einhaltung der Datenschutzbestimmungen, wie beispielsweise der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) oder des Datenschutzgesetzes in den USA, sowie gemäß dem revDSG in der Schweiz.
Risikominimierung: Das SDM hilft Organisationen dabei, Datenschutzrisiken zu identifizieren, zu bewerten und zu minimieren. Dies ist entscheidend, um Datenschutzverletzungen und damit verbundene rechtliche und finanzielle Konsequenzen zu vermeiden.
Datenschutzgestaltung: Das SDM unterstützt bei der Entwicklung von Datenschutzrichtlinien, -verfahren und -praktiken, die den individuellen Datenschutz und die Integrität personenbezogener Daten gewährleisten. Dies ist wichtig, um das Vertrauen von Kunden und Partnern zu gewinnen und zu erhalten.
Kontinuierliche Verbesserung: Das SDM ist oft auf kontinuierliche Verbesserung ausgelegt. Es ermutigt Organisationen dazu, ihre Datenschutzmaßnahmen regelmäßig zu überprüfen und anzupassen, um den sich verändernden Anforderungen und Bedrohungen gerecht zu werden.
Bewusstseinsbildung: Das SDM trägt zur Sensibilisierung der Mitarbeiter und Führungskräfte für Datenschutzfragen bei. Schulungen und Schulungsprogramme können in das Modell integriert werden, um das Datenschutzverständnis innerhalb der Organisation zu fördern.
Transparenz: Das SDM fördert die Transparenz in Bezug auf die Verarbeitung personenbezogener Daten. Es ermöglicht es Organisationen, klar darzulegen, wie sie personenbezogene Daten erheben, nutzen, speichern und schützen.
Insgesamt trägt das Standard-Datenschutzmodell dazu bei, den Datenschutz in Organisationen zu stärken, das Vertrauen der Nutzer und Kunden zu gewinnen und rechtliche und finanzielle Risiken zu minimieren. Es ist wichtig zu beachten, dass verschiedene Branchen und Regionen möglicherweise unterschiedliche Modelle oder Frameworks verwenden können, die auf ihre spezifischen Anforderungen zugeschnitten sind.

Anmerkung: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder empfiehlt den Verantwortlichen in Wirtschaft und Verwaltung, das SDM bei Planung, Einführung und Betrieb von personenbezogenen Verarbeitungen anzuwenden. In der neuesten SDM Version 3.0 gibt es zusammengefasst auf 77. Seiten Erläuterungen und Handlungsanweisungen, um in Unternehmen datenschutzrechtliche Compliance zu erleichtern und zu erreichen.

Wie setzt das Standard-Datenschutzmodell diese Ziele in der Praxis um?

Durch das SDM erfolgt zunächst eine Erfassung der EU-DSGVO -Anforderungen, welche anschließend den Sicherheitszielen wie Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettung und Intervenierbarkeit zugeordnet werden. Durch diese Zuordnung wandelt das SDM die rechtlichen Vorgaben der EU-DSGVO in die von der Verordnung geforderten technischen und organisatorischen Maßnahmen um, welche im detaillierten Referenzmaßnahmen-Katalog des SDM (Anhang 6 SDM Version 3.0) ausführlich beschrieben sind. Auf diese Weise unterstützt das SDM die Umsetzung abstrakter rechtlicher Anforderungen in konkrete technische und organisatorische Schutzmaßnahmen.

Im Folgenden ist erläutert, wie die konkrete methodische Herangehensweise zur Implementierung des SDM für die Organisationen aussieht. Es folgt eine praktische Darstellung der Schritte, wie das SDM seine Ziele umsetzt:

Erfassung rechtlicher Anforderungen: Das SDM beginnt damit, die rechtlichen Anforderungen, insbesondere die Datenschutz-Grundverordnung (EU-DSGVO) oder lokale Datenschutzgesetze, zu erfassen. Dies umfasst die Identifizierung von Verpflichtungen und Vorschriften, die Ihre Organisation einhalten muss.

Zuordnung zu Gewährleistungszielen: Die erfassten rechtlichen Anforderungen werden den Gewährleistungszielen des SDM zugeordnet. Das SDM definiert bestimmte Sicherheitsziele wie Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettung und Intervenierbarkeit. Jede rechtliche Anforderung wird entsprechend einem oder mehreren dieser Ziele zugeordnet.

Identifikation von Maßnahmen: Basierend auf der Zuordnung der rechtlichen Anforderungen zu den Gewährleistungszielen identifiziert das SDM die erforderlichen technischen und organisatorischen Maßnahmen. Diese Maßnahmen sollen sicherstellen, dass die Datenschutzziele erreicht werden.

Erstellung eines Referenzmaßnahmen-Katalogs: Das SDM erstellt einen detaillierten Referenzmaßnahmen-Katalog, der die einzelnen Datenschutzmaßnahmen beschreibt. Jede Maßnahme wird erläutert, um sicherzustellen, dass Organisationen verstehen, wie sie umgesetzt werden können.

Anpassung an die Organisationsbedürfnisse: Das SDM erlaubt es Organisationen, die identifizierten Maßnahmen an ihre spezifischen Bedürfnisse und Risikoprofile anzupassen. Dies kann bedeuten, dass bestimmte Maßnahmen verstärkt oder angepasst werden müssen, um den individuellen Anforderungen Ihrer Organisation gerecht zu werden.

Implementierung von Maßnahmen: Die Organisation setzt die identifizierten und angepassten Maßnahmen in die Praxis um. Dies kann die Implementierung von Datenschutzrichtlinien, Schulungen für Mitarbeiter, technischen Sicherheitsvorkehrungen und mehr umfassen.

Überwachung und Prüfung: Das SDM unterstützt die regelmäßige Überwachung und Prüfung der implementierten Maßnahmen, um sicherzustellen, dass sie effektiv sind und den Datenschutzzielen entsprechen. Dies beinhaltet oft die Durchführung von Datenschutz-Audits und -Überprüfungen.

Reaktion auf Datenschutzvorfälle: Falls Datenschutzvorfälle auftreten, hilft das SDM bei der effektiven Reaktion auf diese Vorfälle. Es legt Schritte zur Meldung von Vorfällen, zur Untersuchung und zur Implementierung von Gegenmaßnahmen fest.

Kontinuierliche Verbesserung: Das SDM fördert die kontinuierliche Verbesserung der Datenschutzpraktiken in der Organisation. Auf Grundlage von Überprüfungen und Erfahrungen können Maßnahmen angepasst und optimiert werden, um den Datenschutz weiter zu stärken.

Dokumentation und Nachweisführung: Das SDM unterstützt die Dokumentation aller durchgeführten Maßnahmen und dient als Grundlage für die Nachweisführung gegenüber Aufsichtsbehörden oder anderen Interessengruppen.

Zusammenfassung:

Die Umsetzung des SDM erfordert dennoch ein aktives Engagement der Organisation und ihrer Mitarbeiter, um sicherzustellen, dass die Datenschutzziele kontinuierlich erreicht werden.

Die Umsetzung des SDM trägt dazu bei, dass das Unternehmen den Datenschutzgesetzen entspricht, Datenschutzrisiken minimiert und das Vertrauen der Kunden, Mitarbeiter und Geschäftspartner in den Umgang mit personenbezogenen Daten stärkt. Das SDM spielt eine zentrale Rolle bei der Sicherstellung eines angemessenen Datenschutzniveaus und der Umsetzung datenschutzfreundlicher Praktiken im Unternehmen. Die effiziente Integration von datenschutzrechtlichen Prozessen in Unternehmensabläufe erfordert eine ganzheitliche Herangehensweise und die Einbeziehung aller relevanten Abteilungen. Es ist wichtig, Datenschutz als grundlegende Anforderung zu betrachten und kontinuierlich daran zu arbeiten.

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024