Das SDM soll erstens Organisationen ein Werkzeug an die Hand geben, um selbsttätig personenbezogene Verfahren datenschutzgerecht einrichten, betreiben und permanent überwachen zu können und es soll zweitens zu abgestimmten, transparenten und nachvollziehbaren Beratungs- und Prüftätigkeiten der Datenschutzaufsichtsbehörden führen.

Das Modell bildet eine „Zwischenschicht“ zwischen den vielfältigen rechtlichen Anforderungen der DSGVO und anderer (Spezial-)Gesetze, die auf nationaler und internationaler Ebene verteilt sind, und den nicht minder vielfältigen technischen und organisatorischen Funktionen, die in der Praxis vorzufinden sind. Knapp formuliert besteht die wesentliche Funktion des Modells darin, normative Soll-Werte aus dem Datenschutzrecht in funktionale Soll-Werte zu transformieren zu dem Zweck, die Sphären des Rechts und der Technik über Ziele aufeinander beziehbar zu machen und zugleich dadurch in ihren spezifischen Logiken – Recht/Nichtrecht und funktioniert/funktioniert-nicht – zu entkoppeln.

Die Komponenten des SDM

Das SDM besteht aus drei Komponenten:

1. Gewährleistungsziele und Schutzmaßnahmen

Der normative Anker des SDM besteht aus elementaren Gewährleistungszielen. Als Gewährleistungsziele gelten die Sicherung der Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettbarkeit personenbezogener Verarbeitung von Daten. Diese Ziele nehmen die datenschutzrechtlichen Normen der Grundsätze des Art. 5 der DS-GVO auf und übersetzen diese in konkrete funktionale, technische und organisatorische Anforderungen der Betriebspraxis von Organisationen um. (Von Kritikern des Modells strittig gehalten wird die Frage, ob Datenminimierung ein weiteres eigenständiges Ziel oder ein der Nichtverkettung unterzuordnen Ziel sei. Aus meiner Sicht ist Datenminimierung erst einmal gar kein Ziel sondern eine Norm. Als ein Unterziel gewendet würde es zudem nicht absolut gelten, es müsste ein sinnvolles „Gegengewicht“ (etwa Datenreichtum?) formuliert werden. Aus Datenschutzgründen kann es gerade erforderlich sein, bspw im Kontext der Protokollierung und der Sicherung kontextueller Integrität, viele Daten zu sammeln, um bspw. Grundrechtsverstöße von Organisationen nachweisen zu können.)

Zu jedem Schutzziel lassen sich Funktionen und Schutzmaßnahmen ausweisen, mit denen die Ziele erreicht bzw. die Anforderungen umgesetzt werden können. Solche Maßnahmen sind im Kapitel 7 des SDM, V1.1 aufgelistet. In einem Katalog an Bausteinen zu Schutzmaßnahmen sind ein Teil dieser Maßna

2. Schutzbedarfsfeststellung

Die Auswahl der Maßnahmen und die Bestimmung der notwenigen Intensität der Wirksamkeit der Maßnahmen hängt ab von dem Risiko, das von einer Datenverarbeitung einer Organisation ausgeht. Wenn das Risiko erhöht ist, müssen auch erhöht wirksame Schutzmaßnahmen getroffen werden. Um die angemessene Wirksamkeit von Schutzmaßnahmen zu bestimmen, sind drei Aspekte zu bestimmen: Die Höhe des Risikos einer Verarbeitung, die Höhe des Schutzbedarfs und das Schutzniveau.

  • Risiko: Das Risiko bestimmt sich nach der Intensität des Grundrechtseingriffs – die DSGVO spricht vom Risiko für die Rechte und Freiheiten einer Person -, den eine Organisation durch eine Datenverarbeitung vornimmt. Die Intensität der Datenverarbeitung muss auf dem geringst möglichen Niveau erfolgen, und der Betroffene muss durch die Organisation eine faire Chance bekommen, die Intensität der Datenverarbeitung abschätzen und sich gegen diesen Zugriff wehren zu können. Das spezifische Datenschutzrisiko, das mit Hilfe der DSGVO formuliert werden kann, besteht darin, dass eine Organisation insbesondere die Grundsätze des Art. 5 DSGVO nicht beachtet. Das Risiko entspricht der Negation der Gewährleistungsziele. Ein weiterer Typ von Risiken entsteht durch die Nutzung unsicherer Informationstechnik seitens der Organisation. Die Höhe des Risikos für einen Betroffenen lässt sich bestimmen, wenn eine Organisation ohne jeden Datenschutz und IT-Sicherheit Daten verarbeitet.
  • Schutzbedarfsfeststellung: Die Höhe des Schutzbedarfs einer Person richtet sich nach der Höhe des Risikos: normales Risiko = normaler Schutzbedarf, hohes Risiko = hoher Schutzbedarf. Kein Risiko gibt es nicht, ein geringes Risiko wird wie normales Risiko behandelt. Ein sehr hohes Risiko = sehr hoher Schutzbedarf. Bei sehr hohem Schutzbedarf müssen Schutzmaßnahmen in einer Wirksamkeit betrieben werden, die auch bei hohem Risiko zum Einsatz kommen plus noch weitere spezifisch auf das besondere Risiko angepasste Maßnahmen. Das SDM benenntn nur Standardmaßnahmen für normales und hohes Risiko.
  • Schutzniveau: Das Schutzniveau einer Verarbeitung entspricht dem real erzielten Schutz für Betroffene durch Gestaltung der Verarbeitung sowie der Implementation, dem Betrieb und der fortwährenden Kontrolle der Datenverbeitung und Schutzmaßnahmen, mit denen das Risiko der Verarbeitung für den Betroffenen auf ein verantwortbares Maß gemindert wurde.

3. Verarbeitungskomponenten

Und als dritte Komponente, neben Gewährleistungszielen und Schutzbedarfsfeststellungen, legt das SDM Wert darauf, bei Verarbeitungsvorgängen die Komponenten Daten(bestände), IT-Systeme und Prozesse zu unterscheiden.

Diese Unterscheidung erlaubt es, bspw. Anforderung an ein „integres IT-System“, also etwa an eine Hardware-Plattform, oder an einen „integren Prozess“ zu formulieren als Voraussetzung für den Betrieb von transparenten, integren, zweckgemäß betriebenen Verarbeitungen personenbezogener Daten.

Status der SDM-Methodik und des SDM-Schutzmaßnahmenkatalogs

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hatte die sechs (plus ein) Gewährleistungsziele 2010 akzeptiert. Im Oktober 2015 wurde das SDM schließlich, in Form eines 40 Seiten umfassenden SDM-Handbuchs, in der Version 0.9 zur Beratung und Prüfung zu nutzen empfohlen. Im Oktober 2016 dann folgte die Version 1.0 des Handbuches. Auch dieser Version stimmte die DSK mit einer Gegenstimme zu. Es wurde deutlich, dass nur wenige Aufsichtsbehörden begonnen hatten, das SDM für ihre Arbeit heranzuziehen. Im April 2018 empfahl die DSK dann das dritte Mal das SDM zur Evaluation bei Prüfungen und Beratungen, bei nunmehr 4 Enthaltungen. Im September 2018 hat eine Unterarbeitsgruppe des Arbeitskreis Technik der Datenschutzaufsichtsbehörden von Hessen, Mecklenburg-Vorpommern, Sachsen, Schleswig-Holstein sowie der Evangelischen Kirche Deutschlands die ersten sieben SDM-Bausteine erarbeitet und veröffentlicht.

Schulungen

Wir bieten mehrmals im Jahr Schulungen  zum „Standard-Datenschutzmodell“ (SDM ) sowie Schulungen zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) auf der Basis des SDM an. Und auch Schulungen zu folgenden Themen.