Standard Datenschutzmodell 2.0

Ein Managementsystem für den Datenschutz

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Unternehmen, die bereits ein ISMS haben, werden ein Datenschutz-Managementsystem dank der gesammelten Erfahrung leichter einführen können.
Unternehmen, die bereits ein ISMS haben, werden ein Datenschutz-Managementsystem dank der gesammelten Erfahrung leichter einführen können. (Bild: ©ipopba - stock.adobe.com)

Viele Unternehmen haben bereits ein Managementsystem für die IT-Sicherheit und die Qualität der Prozesse eingeführt, doch im Datenschutz sind solche Managementsysteme noch Mangelware. Mit dem neuen Standard Datenschutzmodell (SDM 2.0) kann sich dies ändern. Es bietet eine wichtige Unterstützung bei der Umsetzung und Einhaltung der Datenschutz-Grundverordnung (DSGVO).

Ein Managementsystem umfasst alle Regelungen, die für die Steuerung und Lenkung einer Institution sorgen und letztlich zur Zielerreichung führen sollen, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI) im BSI-Standard 200-1.

Der Teil des Managementsystems, der sich mit der Informationssicherheit beschäftigt, wird als Informationssicherheitsmanagementsystem (ISMS) bezeichnet. Das ISMS legt fest, mit welchen Instrumenten und Methoden die Leitungsebene die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert).

Es gibt neben der IT-Sicherheit noch andere Bereiche, für die Managementsysteme etabliert wurden, darunter das Qualitätsmanagement und der Arbeitsschutz. Für den Datenschutz findet man bisher dagegen kaum etablierte Modelle für ein Managementsystem. Dabei ist ein Datenschutz-Managementsystem sehr wichtig für die Umsetzung und Einhaltung der DSGVO.

Genau wie im Fall eines ISMS sorgt die Einführung eines Datenschutz-Managementsystems für Klarheit in Bezug auf Managementprinzipien, Ressourcen, Mitarbeiter, Prozess und Leitlinien, Datensicherheitskonzept und Datenschutzorganisation.

Was es mit dem SDM auf sich hat

Als „Standard-Datenschutzmodell“ (SDM) bezeichnen die deutschen Datenschutzaufsichtsbehörden eine Methode, mit der für den Bereich des operativen Datenschutzes sichergestellt ist, dass eine einheitliche Datenschutz-Beratungs- und Prüfpraxis in Bezug insbesondere zu den technisch-organisatorischen Maßnahmen der DSGVO erreicht werden kann, so zum Beispiel das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein.

Das SDM besteht aus einem Konzept sogenannter „elementarer Gewährleistungsziele“. Als Gewährleistungsziele kennt der Datenschutz die Sicherung der Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettung von personenbezogenen Verfahren, ergänzt um die übergreifende Anforderung der „Datenminimierung“. Die DSGVO nennt diese Gewährleistungsziele in Artikel 5 (Grundsätze für die Verarbeitung personenbezogener Daten).

Neben den Gewährleistungszielen betrachtet das SDM den Schutzbedarf, mit dem Ziel, angemessene und wirksame Schutzmaßnahmen auszuwählen, mit dem sich die Gewährleistungsziele erreichen lassen. Im Zentrum des SDM und aller Überlegungen und Maßnahmen zum Schutz stehen die Betroffenen und ihre personenbezogenen Daten.

Ein SDM gibt es schon länger

Das Standard-Datenschutzmodell (SDM) ist laut Aufsichtsbehörden eine Methode, mit der Verantwortliche und Aufsichtsbehörden bei der Entwicklung, bei der Datenschutzberatung und bei der Prüfung von Datenverarbeitungen beurteilen können, ob personenbezogene Daten datenschutzkonform verarbeitet werden.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte bereits im April 2018 empfohlen, dieses Modell zur Erprobung anzuwenden. Zudem wurde beschlossen, dass der in einzelne Bausteine gegliederte SDM-Katalog sukzessive zunächst von einzelnen Aufsichtsbehörden veröffentlicht und zum Test durch Anwender freigegeben werden soll.

Im November 2019 hat die DSK mit der Version 2.0 eine grundlegend überarbeitete Version des Standard-Datenschutzmodelles (SDM) verabschiedet. Dabei empfiehlt die DSK den Verantwortlichen in Wirtschaft und Verwaltung, das SDM bei Planung, Einführung und Betrieb von personenbezogenen Verarbeitungen anzuwenden und ihre Erfahrungen den Datenschutzaufsichtsbehörden mitzuteilen.

Was das SDM 2.0 nun bietet

Die rechtlichen Anforderungen der Datenschutzgrundverordnung (DSGVO) werden vom SDM nun vollständig erfasst und mit Hilfe der Gewährleistungsziele systematisiert. Das im SDM beschriebene Datenschutzmanagement führt Verantwortliche durch alle Phasen der Verarbeitung personenbezogener Daten und ermöglicht somit auch die kontinuierliche Aufrechterhaltung einer rechtssicheren Verarbeitung.

Die Anwendungsbereiche des Standard-Datenschutzmodells sind Planung, Einführung und Betrieb von Verarbeitungstätigkeiten, mit denen personenbezogene Daten verarbeitet werden, sowie deren Prüfung und Beurteilung. Damit unterstützt das SDM Verantwortliche in Wirtschaft und Verwaltung, die von der DSGVO auferlegten Nachweis- und Rechenschaftspflichten zu erfüllen.

Das SDM bietet mit seinen Gewährleistungszielen eine Transformationshilfe zwischen Recht und Technik und unterstützt damit einen ständigen Dialog zwischen Beteiligten aus den juristischen und technisch-organisatorischen Bereichen, so die Aufsichtsbehörden. Zu finden ist das SDM 2.0 insbesondere bei der Datenschutzkonferenz (DSK).

ISMS-Lösungen als Schlüssel zum Zertifizierungserfolg

Einführung eines Informations­sicherheits­management­systems

ISMS-Lösungen als Schlüssel zum Zertifizierungserfolg

18.12.19 - Keine Organisation kann es sich heute noch leisten, den Schutz ihrer digitalen Werte und der IT-Infrastruktur zu vernachlässigen. Aber: Ein Informations­sicherheits­management­system (ISMS) zu implementieren, ist aufwändig. Unternehmen können aber mit dem nötigen Know-how bei der Einführung eines ISMS Zeit, Kosten und Nerven sparen. lesen

Das Ziel: Verknüpfung mit bestehenden Managementsystemen

Wie eingangs erwähnt, haben viele Unternehmen bereits andere Managementsysteme im Einsatz, zum Beispiel ein ISMS. Auch wenn ein ISMS ein Datenschutz-Managementsystem nicht ersetzt, so ist es doch sinnvoll und wichtig, eine Verknüpfung zwischen den bestehenden Managementsystemen herzustellen.

Das SDM steht in einer engen Beziehung zur Grundschutzmethodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI), erklären die Datenschutzaufsichtsbehörden. Um die Anwendung des SDM zu erleichtern, nutzt die SDM-Methodik vergleichbare Modellierungs­mechanismen wie die Grundschutzmethodik. Umgekehrt referenziert der IT-Grundschutz auf die Modelle der Datenschützer, wenn es um den Schutz personenbezogener Daten geht. BSI-Grundschutz und SDM haben aber natürlich unterschiedliche Zielrichtungen.

Für die Einrichtung eines Datenschutz-Managementsystems gilt trotzdem das gleiche wie für die Einrichtung des ISMS:

  • Verantwortlichen benennen
  • Klärung der Rolle des Datenschutzbeauftragten, Abgrenzung zum IT-Sicherheitsbeauftragten
  • Erarbeitung, Spezifizierung und Dokumentation der Prozesse
  • Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 DSGVO) ist hierbei das Herzstück
  • Ressourcen (Personal, Instrumente, Zeit, Budget)

Wer also bereits ein ISMS hat, wird ein Datenschutz-Managementsystem dank Erfahrung leichter einführen können. In Verbindung mit dem nun veröffentlichten SDM 2.0 bietet sich so eine gute Grundlage, die DSGVO dauerhaft im Unternehmen zu verankern.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46336515 / Compliance und Datenschutz )