Neues zum Datenschutzrecht
2.12.2022
Standard-Datenschutzmodell (SDM) – Neue Version 3.0
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 24. November 2022 die neue Version 3.0 des Standard-Datenschutzmodells (SDM) verabschiedet. Das geht aus einer Mitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) hervor, auf dessen Website die neue Version heruntergeladen werden kann. Ein direkter Download ist auch hier möglich.
Zweck des SDM ist es, ein Werkzeug bereitzustellen, mit dem eine datenschutzrechtskonforme Auswahl und Bewertung technischer und organisatorischer Maßnahmen unterstützt wird. Die mit Hilfe des SDM getroffenen Maßnahmen sollen sicherstellen und den Nachweis dafür erbringen können, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DSGVO erfolgt. Das SDM systematisiert diese Maßnahmen auf der Basis von Gewährleistungszielen und unterstützt somit die Auswahl geeigneter Maßnahmen.
Das SDM soll mit seinen Gewährleistungszielen eine Transformationshilfe zwischen Recht und Technik bieten. Dieser Prozess bezieht sich auf den gesamten Lebenszyklus einer Verarbeitung und kann somit die Forderung der DSGVO nach regelmäßiger Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen z.B. zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs.1 Buchst. d DSGVO) unterstützen. Das SDM bietet zudem eine Systematik, um eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) in strukturierter Form zu erarbeiten.
Ein Bestandteil des SDM ist der Referenzmaßnahmen-Katalog. Er enthält die Darstellung von technischen und organisatorischen Maßnahmen, deren Umsetzung zur Erfüllung der gesetzlichen Anforderungen beiträgt. Der Referenzmaßnahmen-Katalog ist in einzelne, verarbeitungsspezifische Bausteine gegliedert und wird ständig weiterentwickelt. Jeder Baustein enthält spezifische Maßnahmen auf der Ebene der Daten, der Systeme und Dienste sowie der Prozesse. Mit diesen – nicht abschließenden - Maßnahmen trifft die Datenschutzaufsicht keine verbindliche Aussage zur Verpflichtung, sie umzusetzen. Die deutschen Aufsichtsbehörden gehen allerdings davon aus, dass eine solche Verpflichtung unter Berücksichtigung der nach gesetzlicher Vorgabe im Einzelfall zu betrachtenden Faktoren vielfach bestehen wird. Da es sich lediglich um einen Referenzkatalog handelt, müssen Anwender des SDM dokumentieren, ob, inwieweit und warum sie sich entschieden haben, Maßnahmen der Bausteine abweichend von den Empfehlungen des SDM umzusetzen. Sie müssen in diesen Fällen sicherstellen, dass sie mit den abweichenden Maßnahmen ein angemessenes Schutzniveau für die betroffenen Personen gewährleisten.
Weitere Informationen zu Zweck, Anwendungsbereich, Struktur des SDM sowie zur Funktion der Gewährleistungsziele des SDM können Teil A des SDM-Dokuments entnommen werden.
Die jeweils aktuellsten Fassungen der Dokumente zum SDM und die zugehörigen Bausteine des Referenzmaßnahmen-Katalogs sind auf den Seiten des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI M-V) zu finden. Allerdings ist die neue Version 3.0 des SDM – bislang (Stand 2.12.2022) – wohl nur auf der Website des BfDI zu finden. Der BfDI war mit seiner Veröffentlichung zumindest schneller als der LfDI M-V und die Datenschutzkonferenz, die diese Version beschlossen hat.
Fazit
Mit dem SDM stellen die deutschen Datenschutzaufsichtsbehörden ein Werkzeug bereit, mit dem die risikoadäquate Auswahl und rechtliche Bewertung der gesetzlich geforderten technischen und organisatorischen Maßnahmen unterstützt werden. Das SDM kann bei der Planung, Einführung und Durchführung von Verarbeitungstätigkeiten sowie deren Prüfung und Beurteilung zum Einsatz kommen. Damit unterstützt das SDM Verantwortliche, die von der DSGVO auferlegten Nachweis- und Rechenschaftspflichten zu erfüllen.
Kritisch zu beurteilen sind insbesondere
- die Anknüpfung an Gewährleistungsziele, die sich zwar mit den Datenschutzgrundsätzen gem. Art. 5 Abs. 1 DSGVO überschneiden, aber nicht vollumfänglich deckungsgleich sind,
- die fehlende Flexibilität des SDM und
- die Erwartungshaltung der deutschen Aufsichtsbehörden, bei Nichtergreifen einer Maßnahme der Bausteine, dies umfangreich zu begründen.
Letztlich muss jeder Verantwortliche unter Berücksichtigung aller relevanten Gesichtspunkte wie Art und Umfang der Verarbeitungen etc. prüfen, ob das SDM für das Unternehmen „passt“ und nutzbar gemacht werden kann.
Sollten Sie Fragen zu technischen und organisatorischen Maßnahmen oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht