Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Das Standard-Datenschutzmodell

Hilfestellung der DSK zur Umsetzung von konkreten technische und organisatorische Maßnahmen

ein Schutzschild mit einem Haken in der Mitte  wird von zwei Händen gehalten
Quelle: ©vegefox.com - stock.adobe.com

Was ist das Standard-Datenschutzmodell?

Das Standard-Datenschutzmodell (SDM) ist eine Vorgehensweise, mit der die rechtlichen Anforderungen aus der Datenschutzgrundverordnung (DSGVO) in konkrete technische und organisatorische Maßnahmen übersetzt werden können. Es wird von einer Unterarbeitsgruppe der Datenschutzkonferenz (DSK) entwickelt.

Die jeweils aktuellsten Fassungen der verabschiedeten Dokumente können von den Seiten des LfDI Mecklenburg-Vorpommern heruntergeladen werden.

 

Der Ausgangspunkt: Die DSGVO

In Artikel 5 DSGVO werden wesentliche Grundsätze für die Verarbeitung von personenbezogenen Daten formuliert: Die Verarbeitung muss rechtmäßig, nach Treu und Glauben, nachvollziehbar, zweckgebunden, auf das notwendige Maß beschränkt, auf der Basis richtiger Daten, und die Integrität und Vertraulichkeit wahrend stattfinden. Zusätzlich dürfen personenbezogene Daten in der Regel nur so lange in einer Form gespeichert werden, die eine Identifizierung der betroffenen Personen erlaubt, wie dies erforderlich ist. Die Einhaltung der Grundsätze muss nachweisbar sein („Rechenschaftspflicht“).

 

Die Gewährleistungsziele

Im SDM werden die zuvor genannten rechtlichen Anforderungen in sieben sogenannte „Gewährleistungsziele“ transformiert, die dem jeweils Verantwortlichen einen Leitfaden an die Hand geben, mit dessen Hilfe er die rechtskonforme Verarbeitung von personenbezogenen Daten in seinem Verantwortungsbereich sicherstellen kann. Bei diesen Gewährleistungszielen handelt es sich um die folgenden:

Datenminimierung

Die Verarbeitung personenbezogener Daten ist auf das dem Zweck angemessene, erhebliche und notwendige Maß zu beschränken.

Verfügbarkeit

Der Zugriff auf personenbezogene Daten sowie ihre Verarbeitung müssen unverzüglich möglich sein. Weiterhin muss eine ordnungsgemäße Verwendung im vorgesehenen Prozess gesichert sein.

Integrität

Personenbezogene Daten dürfen nur in einer Weise verarbeitet werden, die einen Schutz vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen gewährleistet. Es sollen jegliche Veränderungen an den gespeicherten Daten durch unberechtigte Dritte ausgeschlossen oder zumindest so erkennbar gemacht werden, dass sie korrigiert werden können.

Vertraulichkeit

Keine unbefugte Person darf personenbezogene Daten zur Kenntnis nehmen oder nutzen.

Nichtverkettung

Zu unterschiedlichen Zwecken erhobene personenbezogene Daten dürfen nicht zusammengeführt, d. h. verkettet werden.

Transparenz

Es muss erkennbar sein, welche Daten wann und für welchen Zweck bei einer Verarbeitungstätigkeit erhoben und verarbeitet werden, welche Systeme und Prozesse dafür genutzt werden, wohin die Daten zu welchem Zweck fließen und wer die rechtliche Verantwortung für die Daten und Systeme in den verschiedenen Phasen einer Datenverarbeitung besitzt.

Intervenierbarkeit

Betroffene müssen ihre Rechte an ihren personenbezogenen Daten wahrnehmen können. Konkret bedeutet dies: Die Betroffenen erhalten über ihre gespeicherten Daten Auskunft, sie können Korrekturen vornehmen lassen und sie können ihre personenbezogenen Daten sperren oder löschen lassen. Die Datenverarbeitungsprozesse müssen jeweils so gestaltet sein, dass dies auch möglich ist.

 

Zusammenfassung

Das SDM überführt die rechtlichen Anforderungen der DSGVO mit Hilfe der Gewährleistungsziele in technische und organisatorische Maßnahmen. Es unterstützt damit die Transformation abstrakter rechtlicher Anforderungen in konkrete technische und organisatorische Maßnahmen. 

Zur aktuellen Version des Standard-Datenschutzmodelles (SDM)