Das Standard-Datenschutzmodell (SDM) ist eine Methode, mit der die Übereinstimmung von Anforderungen des Datenschutzrechts und technisch-organisatorischen Funktionen personenbezogener Verfahren überprüfbar wird. Das SDM hat den Zweck, normative Anforderungen in funktionale Anforderungen zu überführen bzw. technisch-organisatorische Funktionen einer juristisch-normengeleiteten Überprüfbarkeit zuzuführen. Diese ist eine, technisch gesprochen, "verlustbehaftete Transformation", deren Gelingen letztlich rechtlich beurteilt werden muss. Das SDM ist abgestimmt auf die Anforderungen der DSGVO.
Das SDM soll erstens zur mindestens bundesweit abgestimmten, transparenten und nachvollziehbaren Beratungs- und Prüftätigkeiten der Datenschutzbehörden führen; und zweitens Organisationen ein Werkzeug an die Hand geben, um selbsttätig personenbezogene Verfahren datenschutzgerecht einrichten und betreiben zu können.
Die wesentliche Komponente des SDM besteht aus einem Konzept von sieben elementaren Gewährleistungszielen einerseits, die aus Artikel 5 der DSGVO hergeleitet werden. Als Gewährleistungsziele gelten die Sicherung der Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettbarkeit, ergänzt um das allgemeine Gewährleistungsziel der „Datenminimierung“. Und auf der anderen Seite werden jedem dieser Gewährleistungsziele Standard-Schutzmaßnahmen zugeordnet.
Im Unterschied zur Informationssicherheit gilt der Schutzbedarf den von Verarbeitungstätigkeiten betroffenen Personen, nicht den Verarbeitungstätigkeiten bzw. Geschäftsprozessen.
Historie
Die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) hatte das Konzept der Gewährleistungsziele – damals noch "Schutzziele" – als Teil der Modernisierung des Datenschutzrechts 2010 verabschiedet. Die DSK hatte die Operationalisierung der Schutzziele durch das SDM dann im Oktober 2014 akzeptiert, aber das Modell selber noch nicht veröffentlicht; im Oktober 2015 wurde das SDM schließlich in Form eines 40 Seiten umfassenden SDM-Handbuchs erstmals in einer Erprobungsfassung veröffentlicht. Es folgte im April 2018 die Version SDM-V1.1, weiterhin als Erprobungsfassung. Im November 2019 verabschiedete die DSK dann einstimmig das konsolidierte SDM-V2 in seiner endgültigen Fassung, in der Pressemitteilung der DSK zum SDM-V2 empfiehlt sie "den Verantwortlichen in Wirtschaft und Verwaltung, das SDM bei Planung, Einführung und Betrieb von personenbezogenen Verarbeitungen anzuwenden". Ein Referenzschutzmaßnahmenkatalog wird vom Arbeitskreis Technik (AK-Technik) bzw. durch die Unterarbeitsgruppe SDM des AK-Technik (UAGSDM) erarbeitet. Die DSK entscheidet als Eigentümerin des Modells über deutschlandweit konsentierte Fortschreibungen des Modells und dessen Referenzmaßnahmen.
Literatur
- Rasmus Robrahn, Kirsten Bock: Schutzziele als Optimierungsgebote. In: DuD – Datenschutz und Datensicherheit. 42. Jahrgang, Heft 1, 2018, S. 7–12.
- Martin Rost: Standardisierte Datenschutzmodellierung. In: DuD – Datenschutz und Datensicherheit. 36. Jahrgang, Heft 6, 2012, S. 433–438.
- Martin Rost: Die Ordnung der Schutzziele. In: DuD – Datenschutz und Datensicherheit. 42. Jahrgang, Heft 1, 2018, S. 13–18.
- Eva Schlehan: Die Methodik des Standard-Datenschutzmodells im Bereich der öffentlichen Sicherheit und Justiz. In: DuD – Datenschutz und Datensicherheit. 42. Jahrgang, Heft 1, 2018, S. 32–26.
Weblinks
- Pressemitteilung der DSK zum SDM-V2
- DSK: Handbuch SDM-V2 vom 6. November 2019
- Frühere Versionen: SDM-Handbuch V 0.9a, SDM-Handbuch V1.0, SDM-Handbuch V1.1 vom 25. April 2018
- Weiterführende Links:
- AK-Technik der DSBK: Tagungsband „Das Standard-Datenschutzmodell – Der Weg vom Recht zur Technik“
- UAGSDM: Katalog an SDM-Schutzmaßnahmen
- DSK: Modernisierung des Datenschutzrechts