Standard-Datenschutzmodell 2.0 a : Neuer Leitfaden für die Umsetzung der DSGVO
Mit einer neuen Version des Standard-Datenschutzmodells (SDM) will die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Datenschutz-Verantwortliche bei der Umsetzung der Anforderungen des DSGVO unterstützen
Von Stefan Jaeger, Wiesbaden
Vom 5. bis 7. November 2019 fand in Trier die 98. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder statt (www.datenschutzkonferenzonline.de). Ein Ergebnis dieser Konferenz ist die Version 2.0 a des Standard-Datenschutzmodells (SDM), das eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele beschreibt.
Das SDM soll geeignete Mechanismen aufzeigen, um die rechtlichen Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) in technische und organisatorische Maßnahmen zu überführen (siehe www.datenschutzzentrum.de/sdm/) und so die Transformation abstrakter Anforderungen in konkrete Maßnahmen unterstützen. Die Komplexität der DSGVO erfordert dabei für die Umsetzung eine Systematik, um die Verordnung sachgerecht und regelgerecht umzusetzen.
Die Verordnung stellt grundsätzliche Anforderungen an die Verarbeitung personenbezogener Daten, fordert geeignete technische und organisatorische Maßnahmen, um die Risiken für die Rechte und Freiheiten natürlicher Personen angemessen zu mindern, zählt die Rechte der Betroffenen auf und statuiert Maßnahmen zur Umsetzung der Datenschutz-Grundsätze wie Datenminimierung und Gewährleistung der Sicherheit der Verarbeitung. Bereits bei der Gestaltung der Technik sollen durch datenschutzfreundliche Voreinstellungen datenschutzrechtliche Vorgaben bereits bei der Planung von Verarbeitungen frühzeitig umgesetzt werden.
Transformations-Tool
Nach Ansicht der Konferenz soll das SDM für jeden, der für die Umsetzung der DSGVO verantwortlich ist, ein Werkzeug bereitstellen, mit dem er eine Auswahl und Bewertung technischer und organisatorischer Maßnahmen vornehmen kann, um sicherzustellen und auch den Nachweis dafür zu erbringen, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der Verordnung erfolgt. Das SDM fungiert demnach als Transformationshilfe zwischen Recht und Technik und will damit den ständigen Dialog zwischen den Beteiligten aus dem fachlichen, juristischen und technisch-organisatorischen Bereich unterstützen.
Hierfür liefert das SDM:
- eine Systematisierung datenschutzrechtlicher Anforderungen in Gewährleistungszielen
- eine Ableitung systematisch generischer Maßnahmen aus den Gewährleistungszielen, ergänzt um einen Referenz-Maßnahmen-Katalog
- eine Modellierung der Verarbeitungstätigkeit mit ihren Elementen, Daten, Systemen und Diensten sowie Teilprozessen
- eine Systematisierung der Identifikation von Risiken zur Feststellung des aus der Verarbeitung resultierenden Schutzbedarfs betroffener Personen
- das Angebot eines Vorgehensmodells für eine Modellierung, Umsetzung und kontinuierliche Kontrolle sowie Prüfung von Verarbeitungstätigkeiten
Als Gewährleistungsziele des Datenschutzes nennt das SDM:
- Datenminimierung
- Verfügbarkeit
- Integrität
- Vertraulichkeit
- Nichtverkettung
- Transparenz
- Intervenierbarkeit
Im Einzelnen spezifiziert das SDM sodann die Anforderungen, die sich aus der DSGVO ergeben – zunächst unmittelbar aus Artikel 5 Absatz 1 DSGVO wie die Datenminimierung, die Richtigkeit personenbezogener Daten, die Vertraulichkeit personenbezogener Daten und die Transparenz für Betroffene. Hinsichtlich der Betroffenenrechte ergeben sich des Weiteren Anforderungen wie etwa die Berichtigungsmöglichkeit von Daten, deren Löschbarkeit, Übertragbarkeit und auch die Unterstützung bei der Wahrnehmung von Betroffenenrechten.
Auch der Datenschutz selbst soll durch Technik gefördert werden – hier ergeben sich Anforderungen, die Artikel 25 und 32 DSGVO ausdifferenzieren, etwa die Belastbarkeit der Systeme und Dienste, deren Verfügbarkeit, den Datenschutz durch Voreinstellungen, die Wiederherstellbarkeit der Daten und des Datenzugriffs und letztlich auch die Evaluierbarkeit.
Aus der Verpflichtung zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörde (Art. 33 DSGVO) und zur Benachrichtigung von Betroffenen (Art. 34 DSGVO) ergeben sich zudem die Anforderungen der angemessenen Überwachung der Verarbeitung sowie der Behebung und Abmilderung von Datenschutzverletzungen. Um wiederum eine funktionierende Aufsicht zu etablieren, räumt die DSGVO in Artikel 58 den Aufsichtsbehörden verschiedene Befugnisse im Rahmen ihrer Aufgabenerfüllung ein, deren Umsetzung wiederum bestimmte Anforderungen an die Verantwortlichen bedeutet.
Gliederung
Nach einer grundlegenden Beschreibung des SDM (Teil A) führt die Arbeitshilfe alle zentralen datenschutzrechtlichen Anforderungen (Teil B) zunächst im Überblick und danach im Detail weiter aus: Kapitel B1 umfasst 23 zentrale Anforderungen (B1.1 bis B1.23), Kapitel B2 konkretisiert, welche Voraussetzungen ein ordnungsgemäßes Einwilligungsmanagement bedingt, Kapitel B3 thematisiert die Umsetzung aufsichtsbehördlicher Anordnungen.
Teil C befasst sich näher mit den Gewährleistungszielen, um anschließend die rechtlichen Anforderungen mit deren Hilfe zu systematisieren (Kapitel C2). Hier werden im Detail die Gewährleistungsziele den Anforderungen der DSGVO gegenübergestellt.
In der Praxis am wichtigsten wird das Kapitel D sein, das die praktische Umsetzung der DSGVO durch generische Maßnahmen behandelt. Dort führt das SDM jede einzelne Maßnahme auf, die zur Gewährleistung der einzelnen Anforderungen erforderlich ist.
So ist es beispielsweise für die Gewährleistung der Verfügbarkeit notwendig, gemäß einem getesteten Konzept Sicherheitskopien von Daten, Prozesszuständen, Konfigurationen, Datenstrukturen, der Transaktionshistorie und Ähnlichem anzulegen. Weiterhin ist die Redundanz von Hard- und Software sowie der Infrastruktur sicherzustellen, um Anforderungen an Verfügbarkeit und Belastbarkeit gerecht zu werden. Der Schutz vor äußeren Einflüssen wie Schadsoftware, Sabotage oder höhere Gewalt dient wiederum der Verfügbarkeit, Belastbarkeit, Behebung und Abmilderung von Datenschutzverletzungen.
Im Weiteren spezifiziert das SDM Maßnahmen für den Erhalt der:
- Integrität (Kapitel D1.2)
- Vertraulichkeit (Kapitel D1.3)
- Nichtverkettung (Kapitel D1.4)
- Transparenz (Kapitel D1.5)
- Intervenierbarkeit (Kapitel D1.6)
- Datenminimierung (Kapitel D1.7)
Es folgen Ausführungen zu Verarbeitungstätigkeiten im Sinne des Artikel 30 DSGVO als zentralem Begriff des Datenschutzmanagements (D2) sowie zu Risiken und Schutzbedarf (D3). Letztere erfasst dabei nicht nur grundlegende Risiken für Betroffene (D3.1), sondern erläutert auch ausführlich Risikobetrachtung, -identifikation und -bewertung (D3.2), den Zusammenhang von Risikohöhen, Schutzbedarfstufen, Schutzniveaus und verbleibende Restrisiken (D3.3) sowie die Bestimmung technischer und organisatorischer Maßnahmen „insbesondere bei hohem Risiko“ (D3.4).
Beispielhaft führt das SDM aus, dass bei einem automatisierten Abrufverfahren für personenbezogene Daten, wo dies hohe Risiken für die Rechte und Freiheiten natürlicher Personen mit sich bringt, weil sich nichterforderliche Abrufe nicht technisch unterbinden lassen und der Datenumfang von Abrufen nicht angemessen eingeschränkt werden kann, beispielsweise als technische oder organisatorische Maßnahme zur Not sogar dieser automatische Abruf unterbunden und ersatzweise eine Übermittlung im Einzelfall implementiert werden muss.
Datenschutz-Management
Da für die Umsetzung des Datenschutzes immer einzelne Personen verantwortlich zeichnen müssen, geht das SDM in Kapitel D4 auf Einzelheiten rechtlicher Grundlagen des Datenschutzmanagements (DSM) ein und führt im Detail aus, welche Vorbereitungen beispielsweise getroffen werden müssen, bevor überhaupt eine Datenverarbeitung beginnt.
Das SDM führt hierzu auf:
- Klarheit über die sachlichen Verhältnisse, im Rahmen derer die zu betrachtende Datenverarbeitung stattfindet oder stattfinden soll
- Prüfung der Zulässigkeit der Verarbeitung
- weitere materiell-rechtliche Beurteilungen der Rechtmäßigkeit dieser Verarbeitung
Es ist zu prüfen:
- welche Stellen an der Verarbeitung beteiligt sind
- wer für welche Teile der Verarbeitung die Verantwortung trägt
- welche Daten in welchen Schritten und unter Nutzung welche Systeme und Netze verarbeitet werden
- welche Person(en) die Datenverarbeitung vornehmen und wer diese kontrolliert
Weiterhin ist die Zulässigkeit der Verarbeitung anhand der aufgeführten Kriterien zu bestimmen – ebenso wie eine materiellrechtliche Bewertung, inwieweit die Verarbeitungstätigkeit grundsätzlich zulässig ist.
Fazit
Den Autoren des SDM ist durchaus bewusst, dass eine wirksame Umsetzung datenschutzrelevanter Verarbeitungsschritte nicht sofort und von Anfang an zu 100 % erreichbar ist. Deswegen stellt die Umsetzungshilfe klar, dass es für jede Verarbeitungstätigkeit in der Regel erforderlich sein wird, einen an den Deming-Cycle (PDCA) angelehnten DSM-Zyklus mehrfach zu durchlaufen – also Planung/Spezifizierung, dann Implementierung, gefolgt von Kontrolle und Prüfung der implementierten Verarbeitungsfunktionen und technisch-organisatorischen Maßnahmen – und sodann deren Beurteilung, aus der beim Erkennen von Defiziten eine Verbesserungsmöglichkeit erfolgt, die wiederum in Phase 1 der Planung und Spezifizierung der entsprechenden Prozesse überleitet.
Spannend wäre es zu ergründen, wie Betroffene oder die Aufsichtsbehörden es handhaben, wenn in dieser „Phase“ datenschutzrechtlichen Anforderungen noch nicht ausreichend Genüge geleistet wird, aber dennoch eine Panne passiert – schließlich geht die Datenschutzkonferenz selbst ja davon aus, dass man wohl erst „einige Runden drehen“ muss, bevor man den Anforderungen der DSGVO endgültig genügt.
Auch wenn das SDM auf den ersten Blick recht komplex und umfangreich erscheint, ist es doch in den Details eine sehr wirksame Hilfe für jeden Datenschutz-Verantwortlichen, der hiermit eine gute Orientierungshilfe erhält, mit der er eigene beziehungsweise unternehmensspezifische Anforderungen abarbeiten kann. Ein Blick in die aktualisierte Version lohnt sich daher auf jeden Fall.