Das Standard-Datenschutzmodell – Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele – Version 2.0. Nicht nur der Titel ist lang. Das Büchlein erklärt auf stolzen 68 Seiten, wie die Vorgaben der DSGVO umgesetzt werden können. Adressaten sind neben den Datenschutzbehörden auch Unternehmen, die anhand des Standard-Datenschutzmodells (SDM) auch prüfen können sollen, ob sie die DSGVO einhalten.

Was umfasst das Standard-Datenschutzmodell?

Kurz gesagt unterstützt das Standard-Datenschutzmodells (SDM) „[…] die Transformation abstrakter rechtlicher Anforderungen in konkrete technische und organisatorische Maßnahmen.“

Das SDM enthält also die rechtlichen Anforderungen und ihre Ziele und erklärt dann, wie diese in den Unternehmen praktisch umgesetzt werden können. Es enthält auch einen „Referenzmaßnahmen-Katalog“, mit dem überprüft werden kann, „ob das rechtlich geforderte „Soll“ von Maßnahmen mit dem vor Ort vorhandenen „Ist“ von Maßnahmen übereinstimmt.“

Die Grundsätze der Datenverarbeitung sind in Art. 5 Abs. 1 DSGVO umgesetzt. Umgewandelt in die Gewährleistungsziele lauten sie: Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettung, Transparenz und Intervenierbarkeit. An diesen Anforderungen orientiert sich das SDM und gibt konkrete Vorschläge zur Umsetzung.

Wie sollte die DSGVO nach dem SDM umgesetzt werden?

1. Vorüberlegungen

Zunächst sollten sich die Verantwortlichen den Zweck der DSGVO vor Augen führen: der „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ – Art. 1 Abs. 1 DSGVO. Das SDM soll die Risiken der Rechte auf Schäden bei der Datenverarbeitung zumindest reduzieren. Dafür werden zunächst die Gewährleistungsziele erklärt. Denn wer nicht versteht, welchen Prinzipien die DSGVO folgt, kann sie auch nicht richtig umsetzen.

Zweck

Bei jeder Datenverarbeitung muss gefragt werden, ob sie einem legitimen Zweck folgt und dieser hinreichend bestimmt ist. Diese Frage stellt man sich schon vor der technischen Umsetzung der Maßnahmen. Eine nachträgliche Änderung ist umständlich und nicht zielführend.

Die einzelnen Funktionen müssen auf der Grundlage der Prinzipien entwickelt werden. Zum Beispiel dürfen wegen des Gewährleistungsziels der Datensparsamkeit nur diejenigen Daten erhoben werden, die vom Zweck gedeckt sind. Außerdem muss im Rahmen der Intervenierbarkeit daran gedacht werden, dass die Betroffenenrechte auf Löschung, Datenübertragbarkeit, Berichtigung etc. umgesetzt werden.

Risiken

Für jede Datenverarbeitung muss das potenzielle Risiko für Schäden eingeschätzt werden. Je höher das Risiko und die Schwere des Schadens, desto höhere Anforderungen gibt es an die Umsetzung. Es muss sich also gefragt werden, welche Schäden eintreten können und wodurch. Diese Erkenntnis muss dann umgesetzt werden: geringes oder normales Risiko: normaler Schutzbedarf; hohes Risiko: hoher Schutzbedarf.

Verantwortlichkeit und Strukturierung

Wichtig ist auch, sich ein organisatorisches Gesamtkonzept zurechtzulegen: Wer im Unternehmen ist an der Datenverarbeitung beteiligt? Wer trägt die Verantwortung? Wer kontrolliert die Verarbeitung?

2. Der Umsetzungsprozess

Das Standard-Datenschutzmodell teilt die Umsetzung der rechtlichen Anforderungen in vier Schritte auf: planen, implementieren, kontrollieren, verbessern.

Aus den Vorüberlegungen müssen also konkrete Pläne erstellt werden, die dann technisch und organisatorisch umgesetzt werden. Damit ist aber noch nicht alles getan. Die angefertigten Pläne müssen auf ihre Praxistauglichkeit und Funktionalität kontrolliert und kontinuierlich verbessert werden.

Der Referenzmaßnahmen-Katalog

Die Umsetzung der rechtlichen Anforderungen in konkrete technische und organisatorische Maßnahmen wird im Referenzmaßnahmen-Katalog detailliert dargestellt. Das Problem: Ihn gibt es noch nicht, zumindest noch nicht für die Öffentlichkeit. Er wird zunächst von Aufsichtsbehörden auf seine Praxistauglichkeit überprüft und danach veröffentlicht.

Fazit

Das Standard-Datenschutzmodell ist eine solide Grundlage für die Umsetzung der rechtlichen Anforderungen der DSGVO, die leider praktisch sehr schwierig ist.

Wie gut das SDM in der Praxis funktioniert und die Umsetzung tatsächlich erleichtert, wird sich erst zeigen, wenn der Referenzmaßnahmen-Katalog fertiggestellt und veröffentlicht wurde. Bis dahin ist das SDM leider nur eine Grundlage, die die rechtlichen Anforderungen erklärt und grundsätzliche Schritte zur Umsetzung, aber leider keine konkreten Maßnahmen vorgibt.

Wir helfen Ihnen!

Wenn Sie Fragen zur Umsetzung der DSGVO haben, können Sie sich gerne unverbindlich an unsere Kanzlei wenden.

Kennen Sie schon unser Rechtsprodukt „DSGVO Website Update“? Diese bietet Ihnen eine Prüfung Ihrer Webseite auf DSGVO-Konformität und anschließende Überarbeitung der Inhalt zum Festpreis. Informieren Sie sich gern hier über unseren Service.