Das Standard-Datenschutzmodell (SDM) in der Praxis

Wird einer verantwortlichen Stelle der „Nachweis der Wirksamkeit von Schutzmaßnahmen“ datenschutzrechtlich abverlangt wie etwa bei der Datenschutz-Folgenabschätzung gemäß Art. 35 der Datenschutz-Grundverordnung (DSGVO), ist klar, dass der Gesetzgeber hier Transparenz einfordert.

Lösungen für die Praxis sind gefragt

Das Team aus Systemarchitekten, IT-Administratoren und Sicherheitsbeauftragten, Verantwortlichen und Datenschutzbeauftragten in den Behörden, Unternehmen und Forschungsinstituten sehen sich aufgefordert, für die konkrete Alltagspraxis ihrer Organisation praktikable Lösungen zu finden, wie sich die „Nachweisbarkeit“ umsetzen lässt. Dabei stellen sich im Detail viele Fragen, die der Jurist nicht vor Augen hat und auch nicht haben muss.

Der folgende Beitrag bringt Ihnen das SDM näher und zeigt den methodischen und strategischen Mehrwert.

Kurz gefasst

Am 9. November 2016 verabschiedete die halbjährlich tagende Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder von Deutschland (DSK) auf ihrer 92. Sitzung das Standard-Datenschutzmodell in der Version 1.0.

Das Handbuch umfasst 52 Seiten und kann von den Webseiten der Datenschutzaufsichtsbehörden heruntergeladen werden (z.B. unter http://ogy.de/SDM-Handbuch).

Die DSK verspricht sich von diesem Modell, das inzwischen weitgehend auf die Anforderungen der Datenschutz-Grundverordnung abgestimmt ist, einiges:

• Das SDM soll erstens zu abgestimmten, transparenten und nachvollziehbaren Beratungs- und Prüftätigkeiten der deutschen Datenschutzbehörden führen.
• Und es soll zweitens Organisationen ein Werkzeug an die Hand geben, damit diese selbsttätig personenbezogene Verfahren datenschutzgerecht einrichten und betreiben können.

1.         Wie Nachweisbarkeit herstellen?

Was bedeutet „Nachweisbarkeit herstellen“? Es bedeutet, dass eine Organisation sich in die Lage versetzen muss, ihre Aktivitäten in Bezug auf ein Verfahren der Verarbeitung personenbezogener Daten überprüfbar zu machen – und zwar lückenlos.

Es beginnt bei der Planung

Die Prüfbarkeit, ob ein solches Verfahren korrekt ist, beginnt in der Planungsphase des Verfahrens. Das Lasten- und Pflichtenheft muss alle Spezifikationen auflisten, die in Bezug auf die funktionale Erfüllung der Datenschutzanforderungen wichtig sind.

Prüfen im laufenden Betrieb

Prüfbarkeit für ein bereits laufendes Verfahren bedeutet, dass für alle Verfahrensbestandteile Soll- und Ist-Werte festgeschrieben sind, um Prüfdifferenzen zu ermitteln. Prüfprotokolle können dann nachweisen, dass Funktionen in der Vergangenheit angemessen wirksam waren.

Es gilt, die betriebswirtschaftliche Balance zu finden zwischen einem Zuviel an Planung, Spezifikation, Dokumentation und Protokollierung sowie einem Zuwenig von all dem.

Bestandskraft der Ergebnisse

Wie steht es um die Revisionsfestigkeit der Spezifikation, der Dokumentation und der Protokolldaten? Das SDM hilft dabei, Entscheidungen zu dokumentieren und zu optimieren. Denn es weist genau aus,

• was zu tun ist,
• wie dabei das richtige Maß zu finden ist und
• wie sich im laufenden Betrieb eine dauerhafte Überprüfbarkeit erreichen lässt.

2.         Die 7 Ziele des SDM

Das normative Kernstück des SDM besteht aus sieben klaren Zielen: Es geht um die Sicherung der

• Verfügbarkeit,
• Integrität,
• Vertraulichkeit,
• Transparenz,
• Intervenierbarkeit und
• Nicht-Verkettung von personenbezogenen Verfahren, ergänzt um das allübergreifende Ziel der
• Datenminimierung.

IT-Techniker kennen dies als „Schutzziele“. Das SDM nimmt sich heraus, von „Gewährleistungszielen“ zu sprechen. Ziele gestatten es, abstrakt formulierte Anforderungen in einzelne konkrete Funktionen und Operationen umzusetzen.

Zwei dieser Schutzziele sind etwas sperrig formuliert:

• die Intervenierbarkeit und
• die Nichtverkettung.

Was ist unter Intervenierbarkeit zu verstehen?

Die Intervenierbarkeit zielt darauf ab, dass Verfahren so zu gestalten sind, dass der Betroffene, dessen Daten verarbeitet werden, grundsätzlich den Verfahren oder Teilen davon aussichtsreich widersprechen kann.

Damit ist die konkrete Umsetzung von Betroffenenrechten im Blick.

Es betrifft aber auch Organisationen, die gehalten sind, Verfahren so zu gestalten, dass sie mit Änderungsbedarfen gleich welcher Art kontrolliert umgehen können. Das wird typischerweise mit bewährten Prozessen des Change-Managements umgesetzt, etwa in Form eines PDCA-Zyklus (Plan-Do-Check-Act, siehe dazu auch Datenschutz PRAXIS 2/2017, S. 8).

• Eine Datenschutzprüfung nach SDM würde mit Bezug zur Intervenierbarkeit also nach jenen Funktionen suchen, die Betroffenenrechte und das Change-Management wirksam umsetzen.
• Und dann ist mit dem zweiten Blick zu prüfen, ob diese Funktionen und Prozesse hinreichend reif ausgebildet sind.

Was ist die Nichtverkettung?

Das Schutzziel der Nichtverkettung zielt darauf ab, Schutzfunktionen vorzusehen, mit denen eine Organisation die Zwecksetzung des Verfahrens sicherstellt. Zu solchen Maßnahmen zählt z.B. die nachweisliche Trennung von Datenbeständen, von IT-Systemen und von Prozessen.

Die Definition dessen, was ein Verfahren ist oder sein soll, bemisst sich an der Angabe des Zwecks sowie, in der Praxis, an der Angabe, was eben nicht zum Zweck zählt, was entsprechend abzutrennen ist und wie der Zweck des Verfahrens operativ gebunden wird.

Hier bilden Pseudonymisierung und Anonymisierung von Daten oder von Kommunikationsbeziehungen die wichtigen Maßnahmenbündel.

Jedes einzelne dieser Ziele lässt sich durch ein Set an Standard-Schutzmaßnahmen erreichen. Diese Maßnahmen stellen wir im Folgenden vor.

3.         Umsetzungsstrategien

Das SDM nennt zu jedem Ziel typische Techniken und Umsetzungsstrategien. Einige sind aus dem Maßnahmenarsenal der IT-Sicherheit bereits vertraut.

Ein Beispiel: Artikel 5 der Datenschutz-Grundverordnung fordert das Ziel „Sicherung der Vertraulichkeit“ für Daten. Das SDM nennt als eine in der IT bekannte und wesentliche Schutzmaßnahme zur Umsetzung von Vertraulichkeitsanforderungen die „Verschlüsselung“ von Daten und Kommunikationsverbindungen.

Datenschutz versus IT-Sicherheit

Rein technisch betrachtet lässt sich also die Verschlüsselung sowohl für den operativen Datenschutz als auch für die IT-Sicherheit einsetzen.

Der Unterschied zwischen dem operativen Datenschutz, der sich mithilfe des SDM umsetzen lässt, und der IT-Sicherheit, wie sie etwa durch den IT-Grundschutz des BSI umgesetzt wird, besteht in diesem Fall allein in der Antwort auf die Frage: Gilt der Schutz den Geschäftsprozessen einer Organisation oder den Personen, die von der Datenverarbeitung betroffen sind?

Die Antwort des Datenschutzes lautet natürlich: Den Betroffenen! Um die IT-Sicherheit der Organisation muss sich der IT-Sicherheitsbeauftragte kümmern. Beide Schutzperspektiven liegen bisweilen im Clinch.

Bei der konkreten Umsetzung der Verschlüsselung aus Sicht des Datenschutzes stellen sich in diesem Beispiel nun verschiedene Detailfragen:

Wer darf innerhalb einer Organisation auf den Verschlüsselungsschlüssel z.B. für E-Mails von Kunden zugreifen? Nur eine bestimmte Person, alle Mitglieder einer Abteilung oder alle innerhalb des gesamten Unternehmens? Von Juristen hört man auf diese Frage wohl zu Recht die Antwort: Das kommt darauf an!

Nun gilt es, dass Technik und Rechtsabteilung gemeinsam versuchen, den genauen Kontext für den Verschlüsselungsbedarf zu klären: Von wem gehen Risiken für Grundrechtseingriffe aus? Ein Teil der Antwort muss dann aus Datenschutzsicht lauten: Es ist jedenfalls auch und gerade die eigene Organisation, die Risiken für Betroffene, zu denen auch die Mitarbeiter zählen, erzeugt!

Die 3 Verfahrenskomponenten

Zur Klärung solcher Fragen unterscheidet das SDM zum einen drei Verfahrenskomponenten, nämlich

• Daten,
• IT-Systeme und
• Prozesse.

Diese Unterscheidung hilft insbesondere in Beratungssituationen, spezifische Maßnahmen für diese ganz unterschiedlichen Objekte zu finden:

• Denkt man z.B. an die Sicherung der Vertraulichkeit, dann meint diese für „Daten“ die Verschlüsselung,
• während etwa „IT-Systeme“ hinter verschlossenen Türen oder Firewalls betrieben und
• spezifische technische und organisatorische Prozesse nur mit einander authentifizierenden Systemen stattfinden können.

Die 3 Stufen des Schutzbedarfs

Zum anderen nutzt das SDM das Konzept von Schutzbedarfsabstufungen, um für solche Maßnahmen einen angemessenen Grad der Wirksamkeit zu bestimmen. Das SDM unterscheidet, wie etwa auch IT-Grundschutz, einen normalen, einen hohen und einen sehr hohen Schutzbedarf.

Das Schutzstufenkonzept stellt eine wichtige Basis für den technischen Datenschutz dar. Es unterscheidet zwischen

• Stufe 1: normaler Schutzbedarf
• Stufe 2: hoher Schutzbedarf
• Stufe 3: sehr hoher Schutzbedarf

Denken wir am Beispiel der Verschlüsselung weiter:

• Bei „normalem Schutzbedarf“ könnte es ausreichen, wenn die Verschlüsselung eines Bürgers oder eines Kunden nur bis zur Organisation (Posteingangsserver) reicht, nicht aber bis zum PC eines ganz bestimmten Sachbearbeiters.
• Bei „hohem Schutzbedarf“ ist dagegen eine Ende-zu-Ende-Verschlüsselung gefordert, sodass nur genau dieser Sachbearbeiter eine E-Mail bearbeiten kann.
• Doch es gilt weiter zu denken: Was wäre mit seiner Vertretung? Sie wäre innerhalb eines Rechte- und Berechtigungskonzepts zu regeln.

Ein hoher Schutzbedarf für Verschlüsselung erfordert ersichtlich einen ungleich höheren Aufwand zur Planung und Verwaltung von Schlüsseln.

Abstimmung zwischen Fachbereichen

Im gemeinsamen Gespräch mit dem Fachverantwortlichen, der Personalvertretung, der Systemadministration, der Rechtsabteilung, der IT-Sicherheit und nicht zuletzt dem Datenschutzbeauftragten muss eine Organisation den Schutzbedarf eines Verfahrens festlegen – sofern er für Betroffene nicht schon gesetzlich festgelegt wurde, wie es z.B. bei medizinischen Daten, Gendaten, religiösen Daten usw. der Fall ist (vgl. Art. 9 DSGVO).

4.         Katalog mit Referenzschutzmaßnahmen

Der „Arbeitskreis Technik“ der Datenschutzbeauftragten hat von der 92. Datenschutzbeauftragten-Konferenz das Mandat erhalten, einen Katalog mit Referenzschutzmaßnahmen zu erstellen, ihn unter den Aufsichtsbehörden abzustimmen und dann zu veröffentlichen. Ein erster Entwurf des Katalogs liegt vor. Er umfasst die folgenden Bausteine (Stand: Oktober 2016):

• Verfügbarkeit: „Aufbewahrung“ und „Datensicherung und -wiederherstellung“
• Integrität: „Ticketsystem“ und „Administrations-Plattform“
• Transparenz: „Beurteilbarkeit technisch-organisatorischer Funktionen“, „Dokumentation“, „Protokollierung“ und „Auskunft“
• Nichtverkettung: „Anonymisierung & Pseudonymisierung“, „Trennung“, „Rollen und Berechtigungen“
• Intervention: „Berichtigung“, „Löschen“, „Sperren“, „Single Point of Contact (SPoC)“

Zur Sicherung der Vertraulichkeit und Datensparsamkeit liegen bislang nur vorläufige Entwürfe vor.

Während der Arbeit am SDM-Maßnahmenkatalog entstanden weitere Textbausteine, nämlich

• zum „Datenschutzmanagement“,
• zur „Datenschutz-Folgenabschätzung gem. DSGVO“ und
• zu „Datenschutz-Zuständigkeiten (Datenschutzbeauftragter)“.

Diese Textbausteine entstanden, weil der Maßnahme-Baustein 1.5 „Datenschutz“ aus dem IT-Grundschutzkatalog des BSI aufgelöst und die Maßnahmen in den SDM-Maßnahmenkatalog integriert wurden.

Die „Unterarbeitsgruppe SDM“ des „Arbeitskreis Technik“, die an dem Modell arbeitet, plant, den Katalog mit Referenzschutzmaßnahmen im Laufe des Jahres 2017 zu veröffentlichen.

Auch ein Tool ist in Planung

Auch eine Toolunterstützung, in grober Anlehnung an das inzwischen nicht mehr verfügbare GS-Tool, ist für das SDM geplant. Hier haben mehrere Unternehmen inzwischen ihr Interesse an einer Mitarbeit bekundet.

Europaweites Modell?

Für den Erfolg ist es zudem wichtig, dass das Modell möglichst europaweite Anwendung findet.

Das SDM ist deshalb ein geeigneter Kandidat für Europa, weil die Autoren viel Mühe darauf verwendet haben, das Modell tief in der DSGVO zu verankern, und nicht Zuflucht bei Kriterienkatalogen etwa der ISO, der DIN oder bei Grundschutz gesucht haben. Diese alten Notlösungen sind mit der DSGVO hinfällig geworden.

5. Fazit: Herzstück für ein Datenschutz-Management-System

Mit den drei Bausteinen – den 7 Schutzzielen, 3 Schutzbedarfsabstufungen und 3 Verfahrenskomponenten – ist das Modell des SDM bereits vollständig umschrieben.

Das SDM behauptet nun, dass sich jedes operative Datenschutzproblem mit diesen drei Bausteinen vollständig erfassen und systematisch behandeln lässt. Stimmt das, dann liegt es nahe, diese Bausteine nicht nur für die Datenschutzberatung und -prüfung heranzuziehen, sondern sie zu nutzen

• als Vertragsbestandteile für eine Auftragsdatenverarbeitung,
• als Rahmen für die Planung eines neuen Verfahrens nach den Anforderungen des Privacy by Design (vgl. Art. 25 DSGVO),
• für das Datenschutz-Management (vgl. Art. 32 DSGVO) oder
• für eine Datenschutz-Folgenabschätzung (vgl. Art. 35 DSGVO).

Das SDM kann so das operative Herzstück eines Datenschutz-Management-Systems bilden.

Martin Rost, Daniela Will