Die Datenschutzbehörden von Bund und Ländern haben sich jetzt auf eine überarbeitete Version des SDM geeinigt, das jetzt auch alle neuen Anforderungen der europäischen Datenschutzgrundverordnung berücksichtigt. Auf dieser Grundlage sollen auch Unternehmen oder Behörden überprüfen können, ob sie personenbezogene Daten gesetzeskonform verarbeiten. Laut BSI-Grundschutz-Katalog muss eine Nichtanwendung der SDM-Methodik stets begründet werden.
Obwohl die DSGVO bereits seit rund anderthalb Jahren Anwendung findet, hatten die deutschen Datenschutzbehörden bislang lediglich eine vorläufige Fassung des Standard-Datenschutzmodells veröffentlicht, die noch nicht allen Anforderungen entsprach. Seit wenigen Tagen ist nun die zweite Version des SDM verfügbar, auf die sich die Behörden geeinigt haben.
Was ist das SDM?
Das Standard-Datenschutzmodell ist eine detaillierte Prüfmethode, mit der sowohl Datenschutzbehörden selbst, als auch Unternehmen oder Behörden ermitteln können, ob personenbezogene Daten datenschutzkonform verarbeitet werden oder ob es dabei Mängel gibt. Die jetzt veröffentlichte Version 2 des SDM beschreibt auf 68 Seiten dazu etwa geeignete Mechanismen, mit denen die Vorgaben der DSGVO in technische und organisatorische Maßnahmen überführt werden können.
Die Anwender sollen mit dem SDM beispielsweise bewerten können, welche technischen und organisatorischen Maßnahmen zu ergreifen sind, um die von der DSGVO geforderten Sicherheitslevels („hoch“ oder „normal“) zu erfüllen.
Datenschutzmanagement zum erreichen der Datenschutzziele und Vorgaben
Zu diesem Zweck erfasst das SDM zunächst die rechtlichen Anforderungen der DSGVO und ordnet sie anschließend den Gewährleistungszielen wie
- Datenminimierung,
- Verfügbarkeit,
- Integrität,
- Vertraulichkeit,
- Transparenz,
- Nichtverkettung
- und Intervenierbarkeit zu.
SDM beschreibt dabei das Datenschutzmanagement während aller Phasen der Verarbeitung personenbezogener Daten und soll somit auch Unternehmen und Behörden bei Planung und Durchführung der Verarbeitung personenbezogener Daten unterstützen.
Beispiel: Einwilligungsmanagement
Ein konkretes Beispiel für die Erweiterungen im neuen SDM sind etwa die Ausführungen zum Einwilligungsmanagement, das nun in einem eigenen Kapitel (B2) erörtert wird. Hier wird auf die datenschutzrechtlichen Anforderungen hingewiesen, die sich dann ergeben, wenn die Zulässigkeit der Datenverarbeitung an eine wirksame Einwilligung geknüpft ist. So heißt es hier explizit, dass diese Einwilligungen nicht nur eingeholt und gespeichert werden müssen, um als Nachweis zu dienen, sondern auch, dass sie jederzeit widerrufen werden können und diese Daten danach nicht mehr weiterverarbeitet und innerhalb der gesetzlichen Fristen gelöscht werden müssen. Die genutzten Verfahren müssen daher so ausgestaltet sein, dass sie diesen Anforderungen genügen.
Wegen eines Verstoßes gegen diese Vorgaben hatte etwa kürzlich die Berliner Datenschutzbeauftragte ein Millionenbußgeld gegen ein Immobilienunternehmen verhängt.
Verankerung des Datenschutzmodells SDM im IT Grundschutz
Auf das SDM verweist inzwischen auch das BSI-Grundschutz-Katalog in seinem Datenschutz-Baustein. Hier wird in den Basis-Anforderungen darauf hingewiesen, dass eine Nichtanwendung der SDM-Methodik stets begründet werden muss.
Download
Als PDF-Dokument können Sie das neue Standard-Datenschutzmodell (Version 2) beispielsweise über die Website des Unabhängigen Datenschutzzentrums Schleswig-Holstein herunterladen.
Weitere News zum Thema:
Experten sehen Datenschutzprobleme bei aktuellen Microsoft-Produkten
Kleine Unternehmen brauchen keinen Datenschutzbeauftragten mehr
Schutz vor gefährlicher Schadsoftware: BSI gibt Tipps zur sicheren Office-Konfiguration