Neues vom Standard-Datenschutzmodell

Auf 68 Seiten stellt die DSK eine Methode bereit, „[…] mit der die Auswahl und Bewertung technischer und organisatorischer Maßnahmen unterstützt wird, die sicherstellen und den Nachweis dafür erbringen, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DSGVO erfolgt.“

Die DSK empfiehlt den Verantwortlichen in Wirtschaft, Wissenschaft und Verwaltung, das SDM anzuwenden, wenn sie personenbezogene Datenverarbeitungen planen, einführen und betreiben.

Das SDM-V2 wurde gegenüber dem im April 2018 verabschiedeten SDM-V1.1 formal und inhaltlich überarbeitet. An den Kernbestandteilen des SDM – Gewährleistungsziele/Schutzmaßnahmen, Schutzbedarfsstufen, Verarbeitungskomponenten – haben sich einige Details verändert.

Ersichtlich viel Mühe verwendet die Datenschutzkonferenz im Kapitel B darauf, das SDM noch einmal verstärkt an die Datenschutz-Grundverordnung (DSGVO) anzubinden.

Kapitel C bildet sämtliche operativen Anforderungen der DSGVO auf die sieben Gewährleistungsziele zur Sicherung der Verfügbarkeit, Integrität und Vertraulichkeit, der Transparenz, Nichtverkettung und Datenminimierung sowie der Intervenierbarkeit ab.

Kapitel D hinterlegt die Ziele jeweils mit generischen Schutzmaßnahmen.

PRAXIS-TIPP: Grundsätzlich gilt für die Umsetzung der Maßnahmen des SDM: Ein Verantwortlicher kann andere Maßnahmen nutzen als die, die in den SDM-Referenzbausteinen vorgesehen sind.

Dann ist der Verantwortliche gehalten, die funktionale Äquivalenz seiner individuellen Lösung nachzuweisen.

Das entspricht dem Verständnis von Umsetzung im Modus „SOLLTE“ des…