Warum das Standard-Datenschutzmodell (SDM) den Datenschutz besser sichert als traditionelle Checklisten
Datenschutz ist ein zunehmend kritisches Thema für Unternehmen, die in einer Ära der Digitalisierung und dezentralisierten IT-Systeme operieren. Eine traditionelle Methode zur Überprüfung der Datenschutzpraktiken, die Checkliste, scheint in der heutigen komplexen IT-Landschaft an ihre Grenzen zu stoßen. Im Vergleich dazu bietet das Standard-Datenschutzmodell (SDM), verabschiedet von der Datenschutzkonferenz (DSK) in der Version 3, einen weitreichenderen und präziseren Ansatz zur Gewährleistung und Dokumentation des Datenschutzes. Das Standard-Datenschutzmodell ist eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele.
Die Grenzen der Checkliste 📝
Lange Zeit galten Checklisten als ein effektives Instrument, um die technischen und organisatorischen Maßnahmen (TOM) im Datenschutz schnell zu überprüfen. In einer Zeit, in der IT-Systeme hauptsächlich inhouse verwaltet wurden und zentral von der IT-Abteilung betreut wurden, bot diese Methode eine ausreichende Übersicht und Kontrolle. Die einfache Abfrage von Compliance-Aspekten durch Checklisten bot in weniger komplexen IT-Umgebungen einen ausreichenden Überblick.
Die Herausforderungen moderner IT-Umgebungen 📲
Die IT- und Datenverarbeitungslandschaft hat sich drastisch gewandelt. Heute werden die Systeme nicht mehr ausschließlich intern verwaltet, sondern oft ausgelagert oder als Software-as-a-Service (SaaS) implementiert. Diese Dienstleistungen werden individuell konfiguriert, was eine standardisierte Überprüfung durch einfache Checklisten erschwert. Das SDM adressiert diese Diversität, indem es auf eine detaillierte und spezifische Untersuchung der technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes konkret auf die Verarbeitung abstellt.
Tiefergehende Analyse durch das SDM 🔍
Das SDM geht in seiner Prüfung weit über das oberflächliche Abfragen von Standards hinaus.
Nehmen wir als Beispiel die Passwortrichtlinie eines Unternehmens.
Während eine Checkliste lediglich bestätigt, dass eine Richtlinie existiert, untersucht das SDM, wie diese Richtlinie je Verarbeitung implementiert und durchgesetzt wird und ob sie den aktuellen Sicherheitsstandards entspricht.
Ein weiteres Beispiel ist der Umgang mit Bewerbungen auf der Internetseite eines Unternehmens. Das SDM prüft nicht nur, ob Daten erfasst werden, sondern auch, wie sie verarbeitet, gespeichert und geschützt werden. Hierdurch werden Lücken, teils entstanden durch ungeklärte Verantwortlichkeiten, aufgedeckt. Ist zum Beispiel die Internetagentur, die IT oder die Personalabteilung für die Sicherheit der hochgeladenen Bewerbungsdokumente auf der eigenen Internetseite zuständig? 🤷♂️
Vorteile des SDM: Transparenz und Verantwortlichkeit 💯
Ein entscheidender Vorteil des SDM ist die Schaffung von Transparenz in den Datenverarbeitungsprozessen. Das Modell stellt weitestgehend sicher, dass alle Schritte aller Verarbeitungstätigkeiten klar dokumentiert und jederzeit nachvollziehbar sind. Zudem fördert es die Verantwortlichkeit innerhalb der Organisation. Während eine Checkliste oft schnell ein positives Ergebnis liefert und suggeriert, dass kein Handlungsbedarf besteht, identifiziert das SDM konkrete Schwachstellen und zeigt klaren Handlungsbedarf auf.
Anforderung der Aufsichtsbehörden und Gerichte ⚠️
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 24. November 2022 mit der Version 3.0 eine überarbeitete Version des Standard-Datenschutzmodelles (SDM) verabschiedet. Die rechtlichen Anforderungen der Datenschutzgrundverordnung (DS-GVO) werden vom SDM vollständig erfasst und mit Hilfe der Gewährleistungsziele systematisiert. IT-Planungsrat, der die IT-Aktivitäten des Bundes, der Länder und Kommunen untereinander koordiert, empfiehlt die Anwendung des SDM für sämtliche öffentliche Verwaltungen Deutschlands. Der IT-Grundschutz des BSI empfiehlt in seinem Datenschutzbaustein CON2 die Anwendung des SDM. Die katholische und die protestantische Kirche Deutschland lehnen sich mit dem „Kirchen-Datenschutzmodell“ (KDM) ganz eng an das SDM an.
In einem aktuellen Urteil ⚖️ des LG Mannheim (https://www.landesrecht-bw.de/bsbw/document/NJRE001569921) nimmt das Gericht sehr konkret Bezug zu den Anforderungen nach SDM bzw. dem Artikel 5 der DSGVO. Dort heisst es in den Randnummern 84 und 85:
„Schon Art. 5 Abs. 1 lit. f DSGVO verlangt, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, […] sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Es oblag der Beklagten aufgrund ihrer Rechenschaftspflicht in Art. 5 Abs. 2, 24 Abs. 1 DSGVO darzulegen und zu beweisen, dass die von ihr getroffenen Sicherheitsmaßnahmen i.S.v. Art. 32 DSGVO in diesem Sinne geeignet waren.“
Sowie weiter in 87 und 89: „So hätte es zunächst einer Bewertung des Schutzniveaus der Daten nach […] Standard-Datenschutzmodell der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) bedurft. […] Erst jetzt, also wenn das Schutzniveau der personenbezogenen Daten bestimmt, die beteiligten Verarbeitungsvorgänge (Geschäftsprozesse) analysiert und die einzelnen Risiken diesbezüglich festgestellt und bewertet worden sind, kommt es auf die konkreten technischen und organisatorischen Maßnahmen an, um den jeweiligen Risiken in geeigneter und angemessener Weise zu begegnen“
Fazit
In einer Welt, in der Datenschutz immer mehr an Bedeutung gewinnt und die IT-Umgebungen und Datenverarbeitungen zunehmend komplexer werden, reichen traditionelle Methoden wie Checklisten nicht mehr aus, um umfassenden Datenschutz zu garantieren und zu dokumentieren. Das Standard-Datenschutzmodell in der Version 3 bietet hier eine moderne, tiefgehende und effektive Methode, um den Anforderungen des Datenschutzes gerecht zu werden und die Sicherheit von personenbezogenen Daten zu verbessern. Unternehmen, die diesen Ansatz verfolgen, sind besser aufgestellt, um auf die Herausforderungen in komplexen Verarbeitungen zu reagieren und das Vertrauen ihrer Nutzer und Kunden zu stärken.
Hinweis:
Mit unserem MoeWe Datenschutztool in der neuen SaaS Variante berücksichtigen wir die Anforderungen des SDM und ermöglichen eine praxistaugliche Bewertung und Dokumentation der Verarbeitung.
Beispielvideos und weitere Informationen finden sich auf www.MoeWe-Datenschutz.de