Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


2.10.2020

Standard-Datenschutzmodell

Das Standard-Datenschutzmodell (SDM) der deutschen Datenschutzaufsichtsbehörden wurde um vier weitere Bausteine ergänzt. Das sind die Bausteine Aufbewahren, Berichtigen, Einschränken und Trennen. Diese Bausteine werden in den nächsten Tagen auf der Webseite des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern veröffentlicht. Zusammen mit den bereits vorhandenen Bausteinen Dokumentation, Löschen und Protokollierung stehen mittlerweile sieben Bausteine zur Umsetzung der operativen Anforderungen der Datenschutz-Grundverordnung (DSGVO) zur Verfügung, die unter den deutschen Datenschutzaufsichtsbehörden abgestimmt sind.

Hintergrund

Zweck des SDM ist es, ein Werkzeug bereitzustellen, mit dem die Auswahl und Bewertung technischer und organisatorischer Maßnahmen unterstützt wird, die sicherstellen und den Nachweis dafür erbringen können, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DSGVO erfolgt. Das SDM systematisiert diese Maßnahmen auf der Basis von Gewährleistungszielen und unterstützt somit die Auswahl geeigneter Maßnahmen.

Das SDM soll mit seinen Gewährleistungszielen eine Transformationshilfe zwischen Recht und Technik bieten. Dieser Prozess bezieht sich auf den gesamten Lebenszyklus einer Verarbeitung und kann somit die Forderung der DSGVO nach regelmäßiger Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen z.B. zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs.1 Buchst. d DSGVO) unterstützen. Das SDM bietet zudem eine Systematik, um eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) in strukturierter Form zu erarbeiten.

Ein Bestandteil des SDM ist der Referenzmaßnahmen-Katalog. Er enthält die Darstellung von technischen und organisatorischen Maßnahmen, deren Umsetzung zur Erfüllung der gesetzlichen Anforderungen beiträgt. Die Maßnahmen wurden unter Zugrundelegung typischer Verarbeitungssituationen ausgewählt und thematisch in Bausteinen zusammengefasst. Mit diesen – nicht abschließenden - Maßnahmen trifft die Datenschutzaufsicht keine verbindliche Aussage zur Verpflichtung, sie umzusetzen. Die deutschen Aufsichtsbehörden gehen allerdings davon aus, dass eine solche Verpflichtung unter Berücksichtigung der nach gesetzlicher Vorgabe im Einzelfall zu betrachtenden Faktoren vielfach bestehen wird. Da es sich lediglich um einen Referenzkatalog handelt, müssen Anwender des SDM dokumentieren, ob, inwieweit und warum sie sich entschieden haben, Maßnahmen der Bausteine abweichend von den Empfehlungen des SDM umzusetzen. Sie müssen in diesen Fällen sicherstellen, dass sie mit den abweichenden Maßnahmen ein angemessenes Schutzniveau für die betroffenen Personen gewährleisten.

Weitere Informationen zu Zweck, Anwendungsbereich, Struktur des SDM sowie zur Funktion der Gewährleistungsziele des SDM können Teil A des SDM-Dokuments entnommen werden.

Fazit

Mit dem SDM stellen die deutschen Datenschutzaufsichtsbehörden ein Werkzeug bereit, mit dem die risikoadäquate Auswahl und rechtliche Bewertung der gesetzlich geforderten technischen und organisatorischen Maßnahmen unterstützt werden. Das SDM kann bei der Planung, Einführung und Durchführung von Verarbeitungstätigkeiten sowie deren Prüfung und Beurteilung zum Einsatz kommen. Damit unterstützt das SDM Verantwortliche, die von der DSGVO auferlegten Nachweis- und Rechenschaftspflichten zu erfüllen. Kritisch zu beurteilen sind insbesondere die fehlende Flexibilität des SDM und die Erwartungshaltung der deutschen Aufsichtsbehörden, bei Nichtergreifen einer Maßnahme der Bausteine, dies umfangreich zu begründen. Letztlich muss jeder Verantwortlich für sich unter Berücksichtigung aller relevanten Gesichtspunkte für Art und Umfang der Verarbeitungen etc. prüfen, ob das SDM im konkreten Einzelfall „passt“.

Sollten Sie Fragen zu technischen und organisatorischen Maßnahmen oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht