Datenschutzrecht-Praxis
 


Neues zum Datenschutzrecht


21.5.2026

Standard-Datenschutzmodell (SDM) – Baustein „Protokollierung“ überarbeitet

Der Baustein Nr. 43 „Protokollierung“ wurde mit Bezug zum aktuellen Standard-Datenschutzmodell (SDM-V3.1a) neu überarbeitet. An dem mittlerweile sechs Jahre alten Baustein wurden insbesondere notwendige Anpassungen an die zwischenzeitlich weiterentwickelte SDM-Methode sowie an die weiterentwickelten und in Bezug genommenen Mindeststandards des BSI vorgenommen.

Der aktualisierte Baustein V2.0 ist im SDM-Maßnahmenkatalog (sog. SDM-Repository) enthalten und kann dort auf der Website des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern oder direkt hier heruntergeladen werden.

Hintergrund - Zweck und Gegenstand des SDM

Zweck des SDM ist es, ein Werkzeug bereitzustellen, mit dem eine datenschutzrechtskonforme Auswahl und Bewertung technischer und organisatorischer Maßnahmen unterstützt wird. Die mit Hilfe des SDM getroffenen Maßnahmen sollen sicherstellen und den Nachweis dafür erbringen können, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DSGVO erfolgt. Das SDM systematisiert diese Maßnahmen auf der Basis von Gewährleistungszielen und unterstützt somit die Auswahl geeigneter Maßnahmen.

Das SDM soll mit seinen Gewährleistungszielen eine Transformationshilfe zwischen Recht und Technik bieten. Dieser Prozess bezieht sich auf den gesamten Lebenszyklus einer Verarbeitung und kann somit die Forderung der DSGVO nach regelmäßiger Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen z.B. zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 Buchst. d DSGVO) unterstützen. Das SDM bietet zudem eine Systematik, um eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) in strukturierter Form zu erarbeiten.

Referenzmaßnahmen-Katalog mit Bausteinen

Ein Bestandteil des SDM ist der Referenzmaßnahmen-Katalog. Er enthält die Darstellung von technischen und organisatorischen Maßnahmen, deren Umsetzung zur Erfüllung der gesetzlichen Anforderungen beiträgt. Der Referenzmaßnahmen-Katalog ist in einzelne, verarbeitungsspezifische Bausteine gegliedert und wird ständig weiterentwickelt. Jeder Baustein enthält spezifische Maßnahmen auf der Ebene der Daten, der Systeme und Dienste sowie der Prozesse.

Mit diesen – nicht abschließenden - Maßnahmen trifft die Datenschutzaufsicht keine verbindliche Aussage zur Verpflichtung, sie umzusetzen. Die deutschen Aufsichtsbehörden gehen allerdings davon aus, dass eine solche Verpflichtung unter Berücksichtigung der nach gesetzlicher Vorgabe im Einzelfall zu betrachtenden Faktoren vielfach bestehen wird. Da es sich lediglich um einen Referenzkatalog handelt, müssen Anwender des SDM dokumentieren, ob, inwieweit und warum sie sich entschieden haben, Maßnahmen der Bausteine abweichend von den Empfehlungen des SDM umzusetzen. Sie müssen in diesen Fällen sicherstellen, dass sie mit den abweichenden Maßnahmen ein angemessenes Schutzniveau für die betroffenen Personen gewährleisten.

Weitere Informationen

Weitere Informationen zu Zweck, Anwendungsbereich, Struktur des SDM sowie zur Funktion der Gewährleistungsziele des SDM können Teil A des SDM-Dokuments entnommen werden.

Die jeweils aktuellsten Fassungen der Dokumente zum SDM und die zugehörigen Bausteine des Referenzmaßnahmen-Katalogs sind auf der Website des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI M-V) zu finden.

Kurze Bewertung

Mit dem SDM stellen die deutschen Datenschutzaufsichtsbehörden ein Werkzeug bereit, mit dem die risikoadäquate Auswahl und rechtliche Bewertung der gesetzlich geforderten technischen und organisatorischen Maßnahmen unterstützt werden. Das SDM kann bei der Planung, Einführung und Durchführung von Verarbeitungstätigkeiten sowie deren Prüfung und Beurteilung zum Einsatz kommen. Damit unterstützt das SDM Verantwortliche, die von der DSGVO auferlegten Nachweis- und Rechenschaftspflichten zu erfüllen.

Kritisch zu beurteilen sind insbesondere

  • die Anknüpfung an Gewährleistungsziele, die sich zwar mit den Datenschutzgrundsätzen gem. Art. 5 Abs. 1 DSGVO überschneiden, aber nicht vollumfänglich deckungsgleich sind,
  • die fehlende Flexibilität des SDM und
  • die Erwartungshaltung der deutschen Aufsichtsbehörden, bei Nichtergreifen einer Maßnahme der Bausteine, dies umfangreich zu begründen.

Letztlich muss jeder Verantwortliche unter Berücksichtigung aller relevanten Gesichtspunkte wie Art und Umfang der Verarbeitungen etc. prüfen, ob das SDM für das Unternehmen „passt“ und nutzbar gemacht werden kann.

Sollten Sie Fragen zu technischen und organisatorischen Maßnahmen oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht