Das Standard-Datenschutzmodell
Hilfestellung der DSK zur Umsetzung von konkreten technische und organisatorische Maßnahmen
Was ist das Standard-Datenschutzmodell?
Das Standard-Datenschutzmodell (SDM) ist eine Vorgehensweise, mit der die rechtlichen Anforderungen aus der Datenschutzgrundverordnung (DSGVO) in konkrete technische und organisatorische Maßnahmen übersetzt werden können. Es wird von einer Unterarbeitsgruppe der Datenschutzkonferenz (DSK) entwickelt.
Die jeweils aktuellsten Fassungen der verabschiedeten Dokumente können von den Seiten des LfDI Mecklenburg-Vorpommern heruntergeladen werden.
Der Ausgangspunkt: Die DSGVO
In Artikel 5 DSGVO werden wesentliche Grundsätze für die Verarbeitung von personenbezogenen Daten formuliert: Die Verarbeitung muss rechtmäßig, nach Treu und Glauben, nachvollziehbar, zweckgebunden, auf das notwendige Maß beschränkt, auf der Basis richtiger Daten, und die Integrität und Vertraulichkeit wahrend stattfinden. Zusätzlich dürfen personenbezogene Daten in der Regel nur so lange in einer Form gespeichert werden, die eine Identifizierung der betroffenen Personen erlaubt, wie dies erforderlich ist. Die Einhaltung der Grundsätze muss nachweisbar sein („Rechenschaftspflicht“).
Die Gewährleistungsziele
Im SDM werden die zuvor genannten rechtlichen Anforderungen in sieben sogenannte „Gewährleistungsziele“ transformiert, die dem jeweils Verantwortlichen einen Leitfaden an die Hand geben, mit dessen Hilfe er die rechtskonforme Verarbeitung von personenbezogenen Daten in seinem Verantwortungsbereich sicherstellen kann. Bei diesen Gewährleistungszielen handelt es sich um die folgenden:
Datenminimierung
Die Verarbeitung personenbezogener Daten ist auf das dem Zweck angemessene, erhebliche und notwendige Maß zu beschränken.
Verfügbarkeit
Der Zugriff auf personenbezogene Daten sowie ihre Verarbeitung müssen unverzüglich möglich sein. Weiterhin muss eine ordnungsgemäße Verwendung im vorgesehenen Prozess gesichert sein.
Integrität
Personenbezogene Daten dürfen nur in einer Weise verarbeitet werden, die einen Schutz vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen gewährleistet. Es sollen jegliche Veränderungen an den gespeicherten Daten durch unberechtigte Dritte ausgeschlossen oder zumindest so erkennbar gemacht werden, dass sie korrigiert werden können.
Vertraulichkeit
Keine unbefugte Person darf personenbezogene Daten zur Kenntnis nehmen oder nutzen.
Nichtverkettung
Zu unterschiedlichen Zwecken erhobene personenbezogene Daten dürfen nicht zusammengeführt, d. h. verkettet werden.
Transparenz
Es muss erkennbar sein, welche Daten wann und für welchen Zweck bei einer Verarbeitungstätigkeit erhoben und verarbeitet werden, welche Systeme und Prozesse dafür genutzt werden, wohin die Daten zu welchem Zweck fließen und wer die rechtliche Verantwortung für die Daten und Systeme in den verschiedenen Phasen einer Datenverarbeitung besitzt.
Intervenierbarkeit
Betroffene müssen ihre Rechte an ihren personenbezogenen Daten wahrnehmen können. Konkret bedeutet dies: Die Betroffenen erhalten über ihre gespeicherten Daten Auskunft, sie können Korrekturen vornehmen lassen und sie können ihre personenbezogenen Daten sperren oder löschen lassen. Die Datenverarbeitungsprozesse müssen jeweils so gestaltet sein, dass dies auch möglich ist.
Zusammenfassung
Das SDM überführt die rechtlichen Anforderungen der DSGVO mit Hilfe der Gewährleistungsziele in technische und organisatorische Maßnahmen. Es unterstützt damit die Transformation abstrakter rechtlicher Anforderungen in konkrete technische und organisatorische Maßnahmen.