SDM

Das aktualisierte Standard-Datenschutzmodell (SDM) – Version 2.0

Die Datenschutzbehörden von Bund und Ländern verständigten sich im November 2019 auf eine überarbeitete Version des Standard-Datenschutzmodells (SDM).

Der Zweck des SDM

Auf 68 Seiten ist eine Prüfmethode dokumentiert, mit der neben Datenschützern auch Unternehmen und Behörden beurteilen können, ob ihre Anwendungen personenbezogene Daten datenschutzkonform verarbeiten.

Dazu der Arbeitskreis weiter im Detail: „Mit dem Standard-Datenschutzmodell (SDM) wird ein Werkzeug bereitgestellt, mit dem die Auswahl und Bewertung technischer und organisatorischer Maßnahmen unterstützt wird, die sicherstellen und den Nachweis dafür erbringen, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DS-GVO erfolgt.“

Zu diesem Zweck erfasst das SDM zunächst die rechtlichen Anforderungen der DS-GVO und ordnet sie anschließend den Gewährleistungszielen

  • Datenminimierung
  • Verfügbarkeit
  • Integrität
  • Vertraulichkeit
  • Transparenz
  • Nichtverkettung und
  • Intervenierbarkeit

zu.

Was ist in der aktualisierten Version nun neu?

  • Die Anforderungen der DSGVO hinsichtlich der oben genannten Ziele werden umfangreicher formuliert und beschrieben
  • Auf das Manangement von Einwilligungen wird stärker eingegangen sowie auf die Umsetzung von aufsichtsbehördlichen Anordnungen

Nach wie vor

  • wird der Aufbau eines Datenschutzmanagementsystems unter Beachtung eines Plan-Do-Check-Act-Zyklus (PDCA) beschrieben und empfohlen:

 

Quelle: Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz)

Nach Ansicht von activeMind sind für die Datenschutzpraxis wirklich interessant „die in der Methodik bereits angelegten generischen Maßnahmen zu den Gewährleistungszielen, die im Teil D benannt werden. Denn was hier genannt wird, dürfte von den Aufsichtsbehörden als Standard angesehen werden. Eine kritische Auseinandersetzung mit den hier aufgezählten Maßnahmen ist also in jedem Fall notwendig, selbst wenn man sich im Ergebnis gegen die Umsetzung entscheidet.“

Die ausführlicheren Kataloge der generischen Maßnahmen dagegen sind momentan noch nicht länderübergreifend verfügbar. Aktuell gibt es lediglich von einzelnen Ländern zu einzelnen Zielen Bausteine  (z.B. von Mecklenburg-Vorpommern).

Wann diese angekündigten Kataloge erscheinen ist (noch) nicht bekannt. Ganz sicher ist aber, dass diese Kataloge den Unternehmen beim Einhalten der Mindeststandards sehr hilfreich sein werden.

Bild: Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz)

Share