Das neue Standard-Datenschutzmodell

Guido Kluck, LL.M. | 2. Dezember 2019

Das Standard-Datenschutzmodell – Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele – Version 2.0. Nicht nur der Titel ist lang. Das Büchlein erklärt auf stolzen 68 Seiten, wie die Vorgaben der DSGVO umgesetzt werden können. Adressaten sind neben den Datenschutzbehörden auch Unternehmen, die anhand des Standard-Datenschutzmodells (SDM) auch prüfen können sollen, ob sie die DSGVO einhalten.

Was umfasst das Standard-Datenschutzmodell?

Kurz gesagt unterstützt das Standard-Datenschutzmodells (SDM) „[…] die Transformation abstrakter rechtlicher Anforderungen in konkrete technische und organisatorische Maßnahmen.

Das SDM enthält also die rechtlichen Anforderungen und ihre Ziele und erklärt dann, wie diese in den Unternehmen praktisch umgesetzt werden können. Es enthält auch einen „Referenzmaßnahmen-Katalog“, mit dem überprüft werden kann, „ob das rechtlich geforderte „Soll“ von Maßnahmen mit dem vor Ort vorhandenen „Ist“ von Maßnahmen übereinstimmt.

Die Grundsätze der Datenverarbeitung sind in Art. 5 Abs. 1 DSGVO umgesetzt. Umgewandelt in die Gewährleistungsziele lauten sie: Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettung, Transparenz und Intervenierbarkeit. An diesen Anforderungen orientiert sich das SDM und gibt konkrete Vorschläge zur Umsetzung.

Wie sollte die DSGVO nach dem SDM umgesetzt werden?

1. Vorüberlegungen

Zunächst sollten sich die Verantwortlichen den Zweck der DSGVO vor Augen führen: der „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ – Art. 1 Abs. 1 DSGVO. Das SDM soll die Risiken der Rechte auf Schäden bei der Datenverarbeitung zumindest reduzieren. Dafür werden zunächst die Gewährleistungsziele erklärt. Denn wer nicht versteht, welchen Prinzipien die DSGVO folgt, kann sie auch nicht richtig umsetzen.

Zweck

Bei jeder Datenverarbeitung muss gefragt werden, ob sie einem legitimen Zweck folgt und dieser hinreichend bestimmt ist. Diese Frage stellt man sich schon vor der technischen Umsetzung der Maßnahmen. Eine nachträgliche Änderung ist umständlich und nicht zielführend.

Die einzelnen Funktionen müssen auf der Grundlage der Prinzipien entwickelt werden. Zum Beispiel dürfen wegen des Gewährleistungsziels der Datensparsamkeit nur diejenigen Daten erhoben werden, die vom Zweck gedeckt sind. Außerdem muss im Rahmen der Intervenierbarkeit daran gedacht werden, dass die Betroffenenrechte auf Löschung, Datenübertragbarkeit, Berichtigung etc. umgesetzt werden.

Risiken

Für jede Datenverarbeitung muss das potenzielle Risiko für Schäden eingeschätzt werden. Je höher das Risiko und die Schwere des Schadens, desto höhere Anforderungen gibt es an die Umsetzung. Es muss sich also gefragt werden, welche Schäden eintreten können und wodurch. Diese Erkenntnis muss dann umgesetzt werden: geringes oder normales Risiko: normaler Schutzbedarf; hohes Risiko: hoher Schutzbedarf.

Verantwortlichkeit und Strukturierung

Wichtig ist auch, sich ein organisatorisches Gesamtkonzept zurechtzulegen: Wer im Unternehmen ist an der Datenverarbeitung beteiligt? Wer trägt die Verantwortung? Wer kontrolliert die Verarbeitung?

2. Der Umsetzungsprozess

Das Standard-Datenschutzmodell teilt die Umsetzung der rechtlichen Anforderungen in vier Schritte auf: planen, implementieren, kontrollieren, verbessern.

Aus den Vorüberlegungen müssen also konkrete Pläne erstellt werden, die dann technisch und organisatorisch umgesetzt werden. Damit ist aber noch nicht alles getan. Die angefertigten Pläne müssen auf ihre Praxistauglichkeit und Funktionalität kontrolliert und kontinuierlich verbessert werden.

Der Referenzmaßnahmen-Katalog

Die Umsetzung der rechtlichen Anforderungen in konkrete technische und organisatorische Maßnahmen wird im Referenzmaßnahmen-Katalog detailliert dargestellt. Das Problem: Ihn gibt es noch nicht, zumindest noch nicht für die Öffentlichkeit. Er wird zunächst von Aufsichtsbehörden auf seine Praxistauglichkeit überprüft und danach veröffentlicht.

Fazit

Das Standard-Datenschutzmodell ist eine solide Grundlage für die Umsetzung der rechtlichen Anforderungen der DSGVO, die leider praktisch sehr schwierig ist.

Wie gut das SDM in der Praxis funktioniert und die Umsetzung tatsächlich erleichtert, wird sich erst zeigen, wenn der Referenzmaßnahmen-Katalog fertiggestellt und veröffentlicht wurde. Bis dahin ist das SDM leider nur eine Grundlage, die die rechtlichen Anforderungen erklärt und grundsätzliche Schritte zur Umsetzung, aber leider keine konkreten Maßnahmen vorgibt.

Wir helfen Ihnen!

Wenn Sie Fragen zur Umsetzung der DSGVO haben, können Sie sich gerne unverbindlich an unsere Kanzlei wenden.

Kennen Sie schon unser Rechtsprodukt „DSGVO Website Update“? Diese bietet Ihnen eine Prüfung Ihrer Webseite auf DSGVO-Konformität und anschließende Überarbeitung der Inhalt zum Festpreis. Informieren Sie sich gern hier über unseren Service.

Jetzt teilen:

Guido Kluck, LL.M.

Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).

ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTOR

Das könnte Sie auch interessieren

30. Mai 2020

Hackerangriff easyJet

Kürzlich gab es einen Hackerangriff auf easyJet. Dabei wurden insgesamt von […]

Holen Sie sich Unterstützung

SIE HABEN NOCH FRAGEN?

Online Termin vereinbaren

Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.

Antworten per WhatsApp

LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.

LEGAL SMART Anwaltshotline

Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.

LEGAL SMART RECHTSPRODUKTE

ANWALTLICHE LEISTUNG ZUM FESTPREIS

LEGAL SMART Rechtsprodukt Markenverlängerung
49,00 €

Markenverlängerung

Schützen Sie Ihre Marke auch über die gesetzliche Schutzfrist von 10 Jahren hinaus. Verlängern Sie Ihren Markenschutz einfach online.

LEGAL SMART Rechtsprodukt Patientenverfügung
99,00 €

Patientenverfügung

Überlassen Sie Ihre Behandlung im Ernstfall nicht dem Zufall. Bestimmen Sie mit einer Patientenverfügung selbst, welche Behandlung Sie wünschen und welche nicht.

LEGAL SMART Rechtsprodukt Markenanmeldung EU
899,00 €

Markenanmeldung EU

Mit der EU Marke ist Ihre Marke europaweit geschützt und sichert Sie und Ihre Marke vor parallelen Marken in anderen europäischen Staaten. Nutzen Sie jetzt Ihre Chance auf Ihre EU Marke

MEHR PRODUKTE Anwaltliche Leistung zum Festpreis

LEGAL SMART Rechtsanwaltsgesellschaft mbH

LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.