Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


24.5.2024

Standard-Datenschutzmodell (SDM) – Neue Version 3.1

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 14./15. Mai 2024 die neue Version 3.1 des Standard-Datenschutzmodells (SDM) verabschiedet. Das geht aus einer Pressemitteilung der DSK hervor. Die neue Fassung ist derzeit – Stand 24.5.2024 – noch nicht, aber demnächst auf der Website der DSK und der Website des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern verfügbar. Ich halte Sie auf dem Laufenden.

+ + +

UPDATE v. 14.7.2024: Die Version 3.1 des SDM sind nunmehr auf den oben genannten Websites veröffentlicht.

+ + +

Änderungen im Vergleich zur Version 3.0

Die Version 3.1 des SDM enthält ein neues Kapitel D2.2 „Mittel einer Verarbeitung" und ist insoweit insgesamt redaktionell angepasst worden. Die bisherige Struktur des SDM bleibt unverändert.

Zu den Mitteln der Verarbeitung zählen insbesondere die Aufbau- und Ablauforganisation der verarbeitenden Stelle, die Unterstützung durch Systeme und Dienste (Betriebsmittel) sowie die konkrete Festlegung des verarbeiteten Datenbestands (Datenmodelle und Datenbasis). Die Betriebsmittel werden nach unmittelbaren und mittelbaren Mitteln unterschieden:

"Zum einen kann ein Betriebsmittel unverzichtbar für die Durchführung einer Verarbeitungstätigkeit sein und diese unmittelbar unterstützen (unmittelbare Betriebsmittel, z. B. IT-gestützter Arbeitsplatz, E-Mail System). Zum anderen kann ein Betriebsmittel im Rahmen einer technischen Maßnahme der Verarbeitungstätigkeit mittelbar dienen, indem es das Risiko der Verarbeitung vermindert (mittelbare Betriebsmittel, z. B. Backup-System, Anti-Schadsoftware-System)."

Diese Differenzierung erfolgt vor dem Hintergrund, dass einige Betriebsmittel nicht nur die personenbezogenen Daten der Verarbeitungstätigkeit verarbeitet, sondern dabei auch selbst „eigene“ personenbezogene Daten (spezifische Betriebsmitteldaten, z. B. Benutzerverwaltungsdaten und E-Mail-Adressen bei einem Videokonferenzsystem) erzeugt. Das gilt es bei der datenschutzrechtlichen Gesamtsicht auf die Betriebsmittel zu berücksichtigen. Hierbei muss eine sachgerechte Abstimmung der betroffenen Fachbereiche erfolgen. Auf Basis dieses Gesamtverständnisses sind dann die einschlägigen Nachweise zur Erfüllung der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO zu erstellen und die dabei identifizierten technischen und organisatorischen Maßnahmen wirksam umzusetzen.

Hintergrund

Zweck des SDM ist es, ein Werkzeug bereitzustellen, mit dem eine datenschutzrechtskonforme Auswahl und Bewertung technischer und organisatorischer Maßnahmen unterstützt wird. Die mit Hilfe des SDM getroffenen Maßnahmen sollen sicherstellen und den Nachweis dafür erbringen können, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DSGVO erfolgt. Das SDM systematisiert diese Maßnahmen auf der Basis von Gewährleistungszielen und unterstützt somit die Auswahl geeigneter Maßnahmen.

Das SDM soll mit seinen Gewährleistungszielen eine Transformationshilfe zwischen Recht und Technik bieten. Dieser Prozess bezieht sich auf den gesamten Lebenszyklus einer Verarbeitung und kann somit die Forderung der DSGVO nach regelmäßiger Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen z.B. zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 Buchst. d DSGVO) unterstützen. Das SDM bietet zudem eine Systematik, um eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) in strukturierter Form zu erarbeiten.

Ein Bestandteil des SDM ist der Referenzmaßnahmen-Katalog. Er enthält die Darstellung von technischen und organisatorischen Maßnahmen, deren Umsetzung zur Erfüllung der gesetzlichen Anforderungen beiträgt. Der Referenzmaßnahmen-Katalog ist in einzelne, verarbeitungsspezifische Bausteine gegliedert und wird ständig weiterentwickelt. Jeder Baustein enthält spezifische Maßnahmen auf der Ebene der Daten, der Systeme und Dienste sowie der Prozesse.

Mit diesen – nicht abschließenden - Maßnahmen trifft die Datenschutzaufsicht keine verbindliche Aussage zur Verpflichtung, sie umzusetzen. Die deutschen Aufsichtsbehörden gehen allerdings davon aus, dass eine solche Verpflichtung unter Berücksichtigung der nach gesetzlicher Vorgabe im Einzelfall zu betrachtenden Faktoren vielfach bestehen wird. Da es sich lediglich um einen Referenzkatalog handelt, müssen Anwender des SDM dokumentieren, ob, inwieweit und warum sie sich entschieden haben, Maßnahmen der Bausteine abweichend von den Empfehlungen des SDM umzusetzen. Sie müssen in diesen Fällen sicherstellen, dass sie mit den abweichenden Maßnahmen ein angemessenes Schutzniveau für die betroffenen Personen gewährleisten.

Weitere Informationen zu Zweck, Anwendungsbereich, Struktur des SDM sowie zur Funktion der Gewährleistungsziele des SDM können Teil A des SDM-Dokuments entnommen werden.

Die jeweils aktuellsten Fassungen der Dokumente zum SDM und die zugehörigen Bausteine des Referenzmaßnahmen-Katalogs sind auf der Website des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI M-V) zu finden. Eine Veröffentlichung der neuen Version 3.1 steht noch aus (Stand 24.5.2024).

Fazit

Mit dem SDM stellen die deutschen Datenschutzaufsichtsbehörden ein Werkzeug bereit, mit dem die risikoadäquate Auswahl und rechtliche Bewertung der gesetzlich geforderten technischen und organisatorischen Maßnahmen unterstützt werden. Das SDM kann bei der Planung, Einführung und Durchführung von Verarbeitungstätigkeiten sowie deren Prüfung und Beurteilung zum Einsatz kommen. Damit unterstützt das SDM Verantwortliche, die von der DSGVO auferlegten Nachweis- und Rechenschaftspflichten zu erfüllen.

Kritisch zu beurteilen sind insbesondere

  • die Anknüpfung an Gewährleistungsziele, die sich zwar mit den Datenschutzgrundsätzen gem. Art. 5 Abs. 1 DSGVO überschneiden, aber nicht vollumfänglich deckungsgleich sind,
  • die fehlende Flexibilität des SDM und
  • die Erwartungshaltung der deutschen Aufsichtsbehörden, bei Nichtergreifen einer Maßnahme der Bausteine, dies umfangreich zu begründen.

Letztlich muss jeder Verantwortliche unter Berücksichtigung aller relevanten Gesichtspunkte wie Art und Umfang der Verarbeitungen etc. prüfen, ob das SDM für das Unternehmen „passt“ und nutzbar gemacht werden kann.

Sollten Sie Fragen zu technischen und organisatorischen Maßnahmen oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht