Das Standard-Datenschutzmodell (SDM) ist ein Ansatz, der entwickelt wurde, um Datenschutzprinzipien in der Informationstechnologie effektiv umzusetzen. Ziel des SDM ist es, einen systematischen Rahmen für Datenschutzmaßnahmen zu bieten, der sowohl die rechtlichen Anforderungen als auch die technischen und organisatorischen Aspekte berücksichtigt. Es konzentriert sich darauf, Datenschutz von Anfang an in die Designphase von IT-Systemen und -Prozessen zu integrieren. Das SDM bietet eine strukturierte Methode, um Datenschutzrisiken zu identifizieren und geeignete Schutzmaßnahmen zu ergreifen. Dadurch soll sichergestellt werden, dass personenbezogene Daten in Übereinstimmung mit den gesetzlichen Datenschutzvorgaben behandelt werden.
Ziel des Standard Datenschutzmodells
Das Ziel des Standard Datenschutzmodells ist die Erfüllung der gesetzlichen Anforderungen sowie sog. Gewährleistungsziele, die darauf abzielen, Datenschutzprinzipien in der Praxis umzusetzen. Sie dienen als Leitlinien, um sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit den Datenschutzvorschriften verarbeitet werden. In der folgenden Tabelle haben wir die Anforderungen und Gewährleistungsziele, in denen in den Bausteinen das SDM gesprochen wird zusammengefasst.
Anforderungen der DS-GVO | Gewährleistungsziele |
---|---|
Verfügbarkeit (Art. 5 Abs. 1 lit. e DS-GVO) | Verfügbarkeit |
Integrität (Art. 5 Abs. 1 lit. f DS-GVO) | Integrität |
Vertraulichkeit (Art. 5 Abs. 1 lit. f DS-GVO) | Vertraulichkeit |
Speicherbegrenzung (Art. 5 Abs. 1 lit. e DS-GVO) | Datenminimierung |
Rechenschafts- und Nachweisfähigkeit (Art. 5 Abs. 2, Art. 7 Abs. 1, Art. 24 Abs. 1, Art 28 Abs. 3 lit. a, Art. 30, Art. 33 Abs. 5, Art. 35, Art. 58 Abs. 1 lit. a und lit. e DS-GVO) | Transparenz |
Evaluierbarkeit (Art. 32 Abs. 1 lit. d DS-GVO Umsetzung aller Gewährleistungsziele) | Transparenz, Datenminimierung, Nichtverkettung, Intervenierbarkeit, Vertraulichkeit, Integrität |
Transparenz für Betroffene (Art. 5 Abs. 1 lit. a DSGVO) | Transparenz |
Zweckbindung (Art. 5 Abs. 1 lit. b DS-GVO) | Nichtverkettung |
Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) | Datenminimierung |
Löschbarkeit von Daten (Art. 17 Abs. 1 DS-GVO) | Intervenierbarkeit |
Richtigkeit (Art. 5 Abs. 1 lit. d DS-GVO) | Integrität |
Berichtigungsmöglichkeit von Daten (Art. 5 lit. d, Art. 16 DS-GVO) | Intervenierbarkeit |
Einschränkbarkeit der Verarbeitung von Daten (Art. 18 DS-GVO) | Intervenierbarkeit |
Zusammenhang zum BSI IT Grundschutz
Im Grundschutz Baustein CON.2 Datenschutz in der Edition von 2022 wird explizit auf das Standard Datenschutzmodell verwiesen. Dort heisst es wörtlich:
Wird die SDM-Methodik nicht berücksichtigt, die Maßnahmen also nicht auf der Basis der
Gewährleistungsziele systematisiert und mit dem Referenzmaßnahmen-Katalog des SDM abgeglichen,
SOLLTE dies begründet und dokumentiert werden.
Als Gefährdungslage zur Begründung des Bausteins werden zwei Punkte vorgetragen:
- Missachtung von Datenschutzgesetzen oder Nutzung eines unvollständigen Risikomodells
- Festlegung eines zu niedrigen Schutzbedarfs
beides sind in der Praxis die häufigsten Ursachen für Datenschutzverletzungen und treffen fast immer zu, wenn Bußgelder nach DSGVO verhängt werden.
Bausteine des Standard Datenschutzmodells
Das Standarddatenschutz Modell baut Stand Dezember 2023 auf folgenden Bausteinen auf:
Baustein 11 „Aufbewahren“ (Version 1.0 vom 6. Oktober 2020) | Dieser Baustein regelt die Aufbewahrung von Daten |
Baustein 41 „Planen und Spezifizieren“ (Version 1.0 vom 25. März 2021) | Dieser Baustein regelt die Planungsphase und technische Spezifikation von Verarbeitungstätigkeiten |
Baustein 42 „Dokumentieren“ (Version 1.0a vom 2. September 2020) | Dieser Baustein regelt die Dokumentation des Datenschutzmanagements |
Baustein 43 „Protokollieren“ (Version 1.0a vom 2. September 2020) | Dieser Baustein macht vergangene Verarbeitungstätigkeiten prüfbar |
Baustein 50 „Trennen“ (Version 1.0 vom 6. Oktober 2020) | Dieser Baustein macht Vorgaben zur Trennung von Datenverarbeitungstätigkeiten |
Baustein 51 „Zugriffe auf Daten, Systeme und Prozesse regeln“ (Version 1.0 vom 01.11.2021) | Dieser Baustein regelt die Vergabe von Berechtigungen und Rollen |
Baustein 60 „Löschen und Vernichten“ (Version 1.0a vom 2. September 2020) | Dieser Baustein regelt das Löschen und Vernichten von personenbezogenen Daten |
Baustein 61 „Berichtigen“ (Version 1.0 vom 6. Oktober 2020) | Dieser Baustein geht auf das Berichtigen von Daten ein |
Baustein 62 „Einschränken der Verarbeitung“ (Version 1.0 vom 6. Oktober 2020) | Dieser Baustein gibt eine Hilfestellung, wie man das Recht auf Einschränkung der Verarbeitung umsetzt |
Die Bausteine sind dabei maßnahmenorientiert und gehen jeweils auf den Bezug zum Datenschutzmanagement ein. D.h. es werden konkrete Vorschläge und Vorschriften durch Formulierungen wie SOLLEN und MÜSSEN gemacht, und dabei zwischen Daten mit normalen und Daten mit hohem Schutzbedarf differenziert, für die noch strengere Vorschriften gelten.
Entdecken Sie Unsere Gratis-Tools für Ihren Datenschutz
![DSGVO Datenschutzerklärung kostenlos - online](https://www.sentiguard.eu/wp-content/uploads/sentiguard-tool-datenschutz-generator-kostenlos.jpg#1139)
Datenschutz Erklärung
geeignet für
- Webshops
- Blog
- Online Marketing
- Firmenwebseiten
![Technisch organisatorische Maßnahmen](https://www.sentiguard.eu/wp-content/uploads/sentiguard-tool-tom-technisch-organisatorische-massnahmen-kostenlos.jpg#1144)
TOM Verzeichnis
geeignet für
- Online Shops
- Webplattformen
- Personalvermittler
- Vereine
![Verzeichnis der Verarbeitungstätigkeiten online Generator, als Teil unseres DSGVO Datenschutz Komplettpakets](https://www.sentiguard.eu/wp-content/uploads/sentiguard-tool-verzeichnis-der-verarbeitungstaetigkeiten-generator-kostenlos.jpg#1146)
VVT/VDV Liste
geeignet für
- KMU
- Freiberufler
- Ärzte
- Vereine