2. Version 3.0 des...
DataAgenda

Version 3.0 des Standard-Datenschutzmodells veröffentlicht

SDM 3.0

Aufgabe des Datenschutzes ist es, Personen davor zu schützen, dass sie durch die Nutzung ihrer personenbezogenen Daten durch Dritte in der Ausübung von Grundrechten beeinträchtigt werden.

Von zentraler Bedeutung ist dabei der Artikel 5 DS-GVO, der die Grundsätze für die Verarbeitung personenbezogener Daten auflistet, die teilweise als Schutzziele ausgewiesen sind. Das Standard-Datenschutzmodell (SDM) bietet eine Methode, um diese geforderte Umsetzung von Datenschutzvorschriften auf der Grundlage von sieben Schutz- bzw. Gewährleistungszielen systematisch überwachen zu können.

Im SDM werden die zuvor genannten rechtlichen Anforderungen in sieben sogenannte „Gewährleistungsziele“ transformiert, die dem jeweils Verantwortlichen einen Leitfaden an die Hand geben, mit dessen Hilfe er die rechtskonforme Verarbeitung von personenbezogenen Daten in seinem Verantwortungsbereich sicherstellen kann. Bei diesen Gewährleistungszielen handelt es sich um die folgenden:

Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettung. Transparenz, Intervenierbarkeit

Das SDM ist eine Vorgehensweise, mit der die rechtlichen Anforderungen aus der DS-GVO in konkrete technische und organisatorische Maßnahmen übersetzt werden können. Es wird von einer Unterarbeitsgruppe der Datenschutzkonferenz (DSK) entwickelt.

Das SDM überführt die rechtlichen Anforderungen der DS-GVO mit Hilfe der Gewährleistungsziele in technische und organisatorische Maßnahmen. Es unterstützt damit die Transformation abstrakter rechtlicher Anforderungen in konkrete technische und organisatorische Maßnahmen.

Der Arbeitskreis Technik der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat nun die Version 3.0 des SDM veröffentlicht. Seit einiger Zeit ist der IT-Grundschutz ebenfalls mit dem SDM verknüpft, was die langfristige Durchsetzung des SDM begünstigen dürfte.

Der Baustein CON.2 Datenschutz dient für Anwender in Deutschland zur Orientierung, wenn in der Schutzbedarfsfeststellung Komponenten identifiziert werden, bei denen eine Verarbeitung und sonstige Nutzung personenbezogener oder -beziehbarer Daten erfolgt. Ziel des Bausteins ist es, die Verbindung der Anforderungen des Standard-Datenschutzmodells zum IT-Grundschutz darzustellen. Dabei sollte dann geprüft werden, ob der Baustein nicht nur auf einzelne Informationsverbünde oder Verfahren, sondern auf die gesamte Institution anzuwenden ist.

Vor diesem Hintergrund ist zwischen der Auswahl von Maßnahmen zur Gewährleistung der Informationssicherheit für Institutionen und der Auswahl von Maßnahmen zur Gewährleistung der Betroffenenrechte zu unterscheiden: Die IT-Grundschutz-Methodik dient vorrangig der Informationssicherheit, das Standard-Datenschutzmodell dient der Umsetzung von Betroffenenrechten.

(Foto: WrightStudio – stock.adobe.com)







Letztes Update:04.12.22

Das könnte Sie auch interessieren

  • Folge 38: EuGH erleichtert Massenklagen – Die Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 DS-GVO

    Verfahren wegen des Ersatzes immaterieller Schäden nach Art. 82 DSGVO werden ständig mehr. Typische Anlässe sind Datenpannen, sonstige Datenschutzverstöße durch Unternehmen wie eine Werbemail ohne Einwilligung oder ein nicht rechtzeitig erfüllter Auskunftsanspruch. Deutsche Gerichte legen Art. 82 DSGVO bislang unterschiedlich weit und uneinheitlich aus. Der EuGH hat sich am 4. Mai 2023 in der Rs.

    Mehr erfahren
  • MS Cloud und IT-Grundschutz

    IT-Grundschutz in der Microsoft-Cloud

    Microsoft hat in Zusammenarbeit mit der HiSolutions AG drei kostenlose IT-Grundschutz-Handbücher entwickelt, die auf der aktuellen Edition des IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik (BSI) basieren. Die Handbücher sollen Microsoft-Kunden helfen, die Nutzung von Cloud-Diensten wie Microsoft Azure, Microsoft 365 oder Dynamics 365 unter Berücksichtigung des IT-Grundschutzes sicher und erfolgreich zu gestalten. Dabei

    Mehr erfahren

  • EuGH urteilt zum Begriff “Recht auf Kopie”

    Einige von der Datenschutzwelt mit Spannung erwartete Urteile des Europäischen Gerichtshofes wurden am 04. Mai 2023 veröffentlicht. 2. Urteil des Gerichtshofs in der Rechtssache C-487/21 | Österreichische Datenschutzbehörde und CRIF Der Hintergrund des zweiten mit Spannung erwartete Urteils des EuGH war ein Vorabentscheidungsersuchen nach Art. 267 AEUV, welches vom Bundesverwaltungsgericht (Österreich) eingereicht wurde. Das Bundesverwaltungsgericht in

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.