Basis-Datenschutz-Modell (nach SDM)

Datenschutzbeauftragtenfinden.de Wissensartikel

Dieser Artikel beschreibt die Basis-Datenschutz-Modell DIN SPEC 32789 (BDM) nach dem Standard Datenschutzmodell (SDM). Auf folgende Fragen geben wir Antworten: Was ist das Basis-Datenschutz-Modell? Welche Gewährleistungsziele gibt es im DIN Basis-Datenschutz-Modell? Wie kann man die gesetzlichen Vorgaben durch Gewährleistungsziele (in einer Tabelle) systematisieren?

Durch die neue Datenschutz DIN SPEC gibt es endlich einen Datenschutz Standard. Konsortialpartner aus Wirtschaft, Wissenschaft, Forschung, Lehre und Politik erarbeiteten auf Basis des Standard Datenschutzmodells gemeinsam ein Basis-Datenschutz-Konzept im Rahmen der DIN.

Was ist die Basis-Datenschutz-Modell DIN SPEC (nach SDM)?

Mit dem Basis-Datenschutz-Modell (BDM) wird das Ziel verfolgt, die von der DS-GVO vorgegebenen datenschutzrechtlichen Vorgaben in einen Prozess zu überführen, der praktisch umzusetzen ist. Auf Grundlage des Standard-Datenschutzmodells wird darüber hinaus ein Werkzeug bereitgestellt, mit dem die Auswahl und Bewertung technischer und organisatorischer Maßnahmen (TOM) unterstützt wird, die sicher stellen und den Nachweis dafür erbringen, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DS-GVO erfolgt. 

Diese Maßnahmen müssen angemessen und geeignet sein, die Risiken für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen soweit einzudämmen, dass ein dem Risiko angemessenes Schutzniveau gewährleistet wird. Für jede Verarbeitung ist also zu prüfen, ob die personenbezogenen Daten durch eine angemessene Auswahl technischer und organisatorischer Maßnahmen so verarbeitet werden, dass die Rechte der Betroffenen gewahrt bleiben und die Sicherheit der Verarbeitung gewährleistet wird (Kapitel III der DS-GVO und die Bestimmungen zur Sicherheit der Verarbeitung gemäß Art. 24, 25 und 32 DS- GVO). Das BDM systematisiert diese Maßnahmen auf der Basis von Gewährleistungszielen und unterstützt somit die Auswahl geeigneter Maßnahmen.

Basis-Datenschutz-Modell DIN SPEC – ein iterativer Prozess

Das BDM beschreibt einen iterativen Prozess bestehend aus der rechtlichen Bewertung, der Gestaltung der Verarbeitungsvorgänge sowie der Auswahl und Umsetzung von begleitenden technischen und organisatorischen Maßnahmen. Das BDM bietet mit Hilfe von Gewährleistungszielen eine Transformationshilfe zwischen Recht und Technik und unterstützt damit einen ständigen Dialog zwischen Beteiligten aus dem fachlichen, juristischen und technisch-organisatorischen Bereich. Dieser Prozess läuft während des gesamten Lebenszyklus einer Verarbeitung und kann somit die Forderung der DS-GVO nach regelmäßiger Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen z. B. zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 lit. d DS-GVO) unterstützen.

Ziel des Basis-Datenschutz-Modell ist die Rechtskonformität der Verarbeitungstätigkeiten

Mit der Basis-Datenschutz-Modell DIN SPEC wird das Ziel verfolgt, Verarbeitungstätigkeiten rechtskonform auszugestalten. Dazu ist es erforderlich, die von der DS-GVO vorgegebenen datenschutzrechtlichen Vorgaben praktisch umzusetzen und somit sowohl die Risiken für die Rechte und Freiheiten natürlicher Personen zu mindern als auch die Sicherheit der Informationsverarbeitung zu gewährleisten. Das übergeordnete Ziel kann nur erreicht werden, wenn bezogen auf die Daten, Systeme und Dienste sowie Prozesse einer Verarbeitungstätigkeit mehrere Vorgaben – teils alternativ, teils kumulativ – durch technische und organisatorische Maßnahmen erfüllt werden.

Definition von Gewährleistungszielen des DIN Basis-Datenschutz-Modell

Diese Spezifikation verwendet zur Systematisierung der datenschutzrechtlicher Vorgaben Gewährleistungsziele. Mit Hilfe der Gewährleistungsziele werden die rechtlichen Vorgaben strukturiert. Der Unterschied zwischen rechtlichen Vorgaben und Gewährleistungszielen liegt vor allem im Grad der Konkretisierung und der Systematisierung. Die datenschutzrechtlichen Vorgaben zielen auf eine rechtskonforme Verarbeitung, die durch technische und organisatorische Maßnahmen gewährleistet werden muss. Die Gewährleistung besteht darin, das Risiko des Eintretens von Abweichungen von einer rechtskonformen Verarbeitung hinreichend zu mindern. Die Gewährleistungsziele bündeln und strukturieren die datenschutzrechtlichen Anforderungen und können durch mit ihnen verknüpfte, skalierbare Maßnahmen operationalisiert werden. Auf diese Weise wird die Beeinträchtigung der betroffenen Personen durch die Verarbeitung minimiert und ein wirksamer Schutz betroffener Personen durch die Minderung von Risiken für die Rechte und Freiheiten natürlicher Personen prüfbar sichergestellt.

Nachfolgend werden die Gewährleistungsziele kurz beschrieben, mit deren Hilfe die Vorgaben der DS-GVO systematisiert werden können (siehe 4.2).

1. Datenminimierung

Das Gewährleistungsziel Datenminimierung erfasst die grundlegende datenschutzrechtliche Vorgabe, die Verarbeitung personenbezogener Daten auf das dem Zweck angemessene, erhebliche und notwendige Maß zu beschränken. Die Umsetzung dieses Minimierungsgebots hat einen durchgreifenden Einfluss auf Umfang und Intensität des durch die anderen Gewährleistungsziele bestimmten Schutzprogramms. Datenminimierung konkretisiert und operationalisiert im Verarbeitungsprozess den Grundsatz der Notwendigkeit, der von diesem Prozess insgesamt wie auch von jedem seiner Schritte verlangt, nicht mehr personenbezogene Daten zu verarbeiten, als für das Erreichen des Verarbeitungszwecks benötigt werden (Datenminimierung Art. 5 Abs. 1 lit. c DS-GVO). Das Minimierungsgebot erstreckt sich dabei nicht nur auf die Menge der verarbeiteten Daten, sondern auch auf den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. 

Insbesondere muss sichergestellt werden, dass personenbezogene Daten nur so lange in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, wie es für den Zweck der Verarbeitung erforderlich ist (Speicherbegrenzung Art. 5 Abs. 1 lit. e DS-GVO). Datenminimierung reicht vom Design der Informationstechnik durch den Hersteller über ihre Konfiguration und Anpassung an die Betriebsbedingungen (Datenschutzfreundliche Voreinstellungen Art. 25 Abs. 2 DS-GVO) bis zu ihrem Einsatz in den Kernprozessen der Verarbeitung wie auch in den unterstützenden Prozessen zum Beispiel bei der Wartung der verwendeten Systeme.

2. Verfügbarkeit

Das Gewährleistungsziel Verfügbarkeit bezeichnet die Vorgabe, dass der Zugriff auf personenbezogene Daten und ihre Verarbeitung unverzüglich möglich ist und sie ordnungsgemäß im vorgesehenen Prozess verwendet werden können. Dazu müssen sie im Zugriff von Berechtigten liegen und die vorgesehenen Methoden zu deren Verarbeitung müssen auf sie angewendet werden können. Die Verfügbarkeit umfasst die konkrete Auffindbarkeit von Daten z. B. durch Datenmanagement-Systeme, strukturierte Datenbanken und Suchfunktionen und die Fähigkeit der verwendeten technischen Systeme, Daten auch für Menschen angemessen darzustellen (Verfügbarkeit Art. 32 Abs. 1 lit. b DS-GVO). Darüber hinaus müssen zur Umsetzung der Verfügbarkeit Maßnahmen ergriffen werden, die sicherstellen, dass personenbezogene Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können (Wiederherstellbarkeit Art. 32 Abs. 1 lit. b, lit. c DS-GVO). 

Es müssen auch Maßnahmen umgesetzt werden, die die Verfügbarkeit der personenbezogenen Daten und der Systeme und Dienste, die diese verarbeiten, garantieren, wenn diese unter einer der Verarbeitung angemessenen zu erwartenden Last stehen und im Falle unerwartet hoher Last sicherstellen, dass der Schutz der personenbezogenen Daten nicht gefährdet ist (Belastbarkeit Art. 32 Abs. 1 lit. b DS-GVO). Sollte in Ausnahmefällen der Schutz personenbezogener Daten bezüglich der Verfügbarkeit dennoch verletzt werden, so ist sicherzustellen, dass Maßnahmen zur Behebung und Abmilderung der Verletzung getroffen werden (Behebung und Abmilderung von Datenschutzverletzungen Art. 33 Abs. 3 lit. d, 34 Abs. 2 DS-GVO).

3. Integrität

Das Gewährleistungsziel Integrität bezeichnet einerseits die Vorgabe, dass informationstechnische Prozesse und Systeme die Spezifikationen kontinuierlich einhalten, die zur Ausübung ihrer zweckbestimmten Funktionen für sie festgelegt wurden (Integrität Art. 5 Abs. 1 lit. f, Art. 32 Abs. 1 lit. b, DS-GVO). Integrität bezeichnet andererseits die Eigenschaft, dass die zu verarbeitenden Daten unversehrt (Integrität), vollständig, richtig und aktuell (Richtigkeit Art. 5 Abs. 1 lit. d DS-GVO) bleiben. Abweichungen von diesen Eigenschaften müssen ausgeschlossen werden oder zumindest feststellbar sein (Angemessene Überwachung der Verarbeitung Art. 32, 33, 34 DS-GVO), damit sie berücksichtigt und korrigiert werden können (Behebung und Abmilderung von Datenschutzverletzungen Art. 33 Abs. 3 lit. d, 34 Abs. 2 DS-GVO).

Dies gilt auch dann, wenn die unterliegenden Systeme und Dienste unerwartet hoher Last unterliegen (Belastbarkeit Art. 32 Abs. 1 lit. b DS-GVO). Neben dem Aspekt der Fehlerfreiheit muss gerade bei automatisierten Bewertungs- und Entscheidungsprozessen der Aspekt der Diskriminierungsfreiheit gewahrt werden (Fehler- und Diskriminierungsfreiheit Art. 22 Abs. 3, 4 in Verbindung mit Erwägungsgrund 71). Die Faktoren und Eigenschaften eines Bewertungs- oder Entscheidungsprozesses, die potenziell diskriminierende Wirkungen entfalten können, sind a priori im Rahmen der rechtlichen Prüfung festzustellen, bei der Umsetzung zu berücksichtigen und im Betrieb zu überwachen. Dieser Aspekt schlägt sich zum Beispiel durch Maßnahmen zur Bereinigung von Trainingsdaten und der Validierung von Ergebnissen bei der Anwendung von KI-Verfahren nieder.

4. Vertraulichkeit

Das Gewährleistungsziel Vertraulichkeit bezeichnet die Vorgabe, dass keine unbefugte Person personenbezogene Daten zur Kenntnis nehmen oder nutzen kann (Vertraulichkeit Art. 5 Abs. 1 lit. f, Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 1 lit. b, Art. 32 Abs. 4, Art. 38 Abs. 5 DS- GVO). Unbefugte sind nicht nur Dritte außerhalb der verantwortlichen Stelle, sondern auch Beschäftigte von technischen Dienstleistern, die zur Erbringung der Dienstleistung keinen Zugriff zu personenbezogenen Daten benötigen, oder Personen in Organisationseinheiten, die keinerlei inhaltlichen Bezug zu einer Verarbeitungstätigkeit oder zu der jeweiligen betroffenen Person haben. Die Vertraulichkeit personenbezogener Daten ist auch dann sicherzustellen, wenn die unterliegenden Systeme und Dienste unerwartet hoher Last unterliegen (Belastbarkeit Art. 32 Abs. 1 lit. b DS-GVO). 

Sollte in Ausnahmefällen die Vertraulichkeit dennoch verletzt werden, so ist sicherzustellen, dass Maßnahmen zur Behebung und Abmilderung der einhergehenden Verletzung des Schutzes personenbezogener Daten getroffen werden (Behebung und Abmilderung von Datenschutzverletzungen Art. 33 Abs. 3 lit. d, 34 Abs. 2 DS-GVO).

5. Nichtverkettung

Das Gewährleistungsziel Nichtverkettung bezeichnet die Vorgabe, dass personenbezogene Daten nicht zusammengeführt, also verkettet, werden. Sie ist insbesondere dann faktisch umzusetzen, wenn die zusammenzuführenden Daten für unterschiedliche Zwecke erhoben wurden (Zweckbindung Art. 5 Abs. 1 lit. b DS-GVO). Je größer und aussagekräftiger Datenbestände sind, umso größer können die Begehrlichkeiten sein, die Daten über die ursprüngliche Rechtsgrundlage hinaus zu nutzen. Rechtlich zulässig sind derartige Weiterverarbeitungen nur unter eng definierten Umständen. Die Nichtverkettung soll durch technische und organisatorische Maßnahmen sichergestellt werden. Neben der Pseudonymisierung sind hierfür auch Maßnahmen geeignet, mit denen die Weiterverarbeitung organisations- bzw. systemseitig getrennt von der Ursprungsverarbeitung geschieht. Der Datenbestand kann beispielsweise. durch Berechtigungssysteme und Reduzierung auf den für den neuen Zweck erforderlichen Umfang angepasst werden.

6. Transparenz

Das Gewährleistungsziel Transparenz bezeichnet die Vorgabe, dass in einem unterschiedlichen Maße sowohl Betroffene (Transparenz für Betroffene Art. 5 Abs. 1 lit a, Art. 12 Abs. 1 und 3 bis Art. 15, Art. 34 DS-GVO), als auch die Betreiber von Systemen (Angemessene Überwachung der Verarbeitung Art. 32, 33, 34 DS-GVO) sowie zuständige Kontrollinstanzen (Rechenschafts- und Nachweisfähigkeit Art. 5 Abs. 2, Art. 7 Abs. 1, Art. 24 Abs. 1, Art 28 Abs. 3 lit. a, Art. 30, Art. 33 Abs. 5, Art. 35, Art. 58 Abs. 1 lit. a und lit. e DS-GVO) erkennen können, welche Daten wann und für welchen Zweck bei einer Verarbeitungstätigkeit erhoben und verarbeitet werden, welche Systeme und Prozesse dafür genutzt werden, wohin die Daten zu welchem Zweck fließen und wer die rechtliche Verantwortung für die Daten und Systeme in den verschiedenen Phasen einer Datenverarbeitung besitzt. 

Transparenz ist für die Beobachtung und Steuerung von Daten, Prozessen und Systemen von ihrer Entstehung bis zu ihrer Löschung erforderlich und eine Voraussetzung dafür, dass eine Datenverarbeitung rechtskonform betrieben und in diese, soweit erforderlich, von betroffenen Personen informiert eingewilligt werden kann (Einwilligungsmanagement Art. 4 Nr. 11, Art. 7 Abs. 4 DS- GVO). Transparenz der gesamten Datenverarbeitung und der beteiligten Instanzen kann dazu beitragen, dass insbesondere betroffene Personen und Kontrollinstanzen Mängel erkennen und gegebenenfalls entsprechende Änderungen an der Verarbeitung einfordern können.

7. Intervenierbarkeit

Das Gewährleistungsziel Intervenierbarkeit bezeichnet die Vorgabe, dass den betroffenen Personen die ihnen zustehenden Rechte auf Benachrichtigung, Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und Erwirkung des Eingriffs in automatisierte Einzelentscheidungen (Eingriffsmöglichkeit in Prozesse automatisierter Entscheidungen Art. 22 Abs. 3 DS-GVO) bei Bestehen der gesetzlichen Voraussetzungen unverzüglich und wirksam gewährt werden (Unterstützung bei der Wahrnehmung von Betroffenenrechten Art. 12 Abs. 2 DS-GVO) und die verarbeitende Stelle verpflichtet ist, die entsprechenden Maßnahmen umzusetzen. Soweit der Verantwortliche über Informationen verfügt, die es ihm erlauben, die betroffenen Personen zu identifizieren, muss er auch Maßnahmen zur Identifizierung und Authentifizierung der betroffenen Personen, die ihre Rechte wahrnehmen möchten, treffen (Identifizierung und Authentifizierung Art. 12 Abs. 6 DS- GVO). 

Zur Umsetzung der Betroffenenrechte und aufsichtsbehördlicher Anordnungen (B3 Umsetzung aufsichtsbehördlicher Anordnungen) sowie der Behebung und Abmilderung von Datenschutzverletzungen (Behebung und Abmilderung von Datenschutzverletzungen Art. 33 Abs. 3 lit. d, 34 Abs. 2 DS-GVO) müssen die für die Verarbeitungsprozesse Verantwortlichen jederzeit in der Lage sein, in die Datenverarbeitung vom Erheben bis zum Löschen der Daten einzugreifen. Sollte sich die Verarbeitung personenbezogener Daten auf die Einwilligung der betroffenen Person stützen, müssen Maßnahmen ergriffen werden, die sicherstellen, dass die personenbezogenen Daten nur verarbeitet werden, wenn eine Einwilligung der betroffenen Person vorliegt und diese nicht widerrufen wurde (Einwilligungsmanagement Art. 4 Nr. 11, Art. 7 Abs. 4 DS- GVO).

Data Protection by Default

Für informationstechnische Verarbeitungen, auf die betroffene Personen selbst Zugriff haben (z. B. Anwendungen auf dem Smartphone) und für die unterschiedliche Datenschutzeinstellungen vorgesehen sind, sind durch den Verantwortlichen datenschutzfreundliche Voreinstellungen (Data Protection by Default) festzulegen und weitere Maßnahmen zu treffen. Diese weiteren Maßnahmen müssen die Betroffenen in die Lage versetzen, Konfigurationen differenziert nach den jeweiligen Verarbeitungszwecken selbst vorzunehmen und zu entscheiden, welche Verarbeitungen sie gestatten wollen, die über das erforderliche Minimum hinausgehen (Datenschutzfreundliche Voreinstellungen Art. 25 Abs. 2 DS-GVO).

Systematisierung der gesetzlichen Vorgaben durch die Gewährleistungsziele der Basis-Datenschutz-Modell DIN SPEC

In der folgenden Tabelle werden die aufgeführten datenschutzrechtlichen Vorgaben der DS-GVO den Gewährleistungszielen zugeordnet. Diese Zuordnung dient der Systematisierung der Vorgaben der DS-GVO in Bezug auf die technische und organisatorische Ausgestaltung von Verarbeitungstätigkeiten.

 

Nr.

Vorgaben der DS-GVO

Gewährleistungsziel

1

Transparenz für Betroffene (Art. 5 Abs. 1 lit a, Art. 12 Abs. 1 und 3 bis Art. 15, Art. 34 DS-GVO)

Transparenz

2

Zweckbindung (Art. 5 Abs. 1 lit. b DS-GVO)

Nichtverkettung

3

Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO)

Datenminimierung

4

Richtigkeit (Art. 5 Abs. 1 lit. d DS-GVO)

Integrität

5

Speicherbegrenzung (Art. 5 Abs. 1 lit. e DS-GVO)

Datenminimierung

6

Integrität (Art. 5 Abs. 1 lit. f, Art. 32 Abs. 1 lit. b, DS-GVO)

Integrität

7

Vertraulichkeit (Art. 5 Abs. 1 lit. f, Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 1 lit. b, Art. 32 Abs. 4, Art. 38 Abs. 5 DS- GVO)

Vertraulichkeit

8

Rechenschafts- und Nachweisfähigkeit (Art. 5 Abs. 2, Art. 7

Abs. 1, Art. 24 Abs. 1, Art 28 Abs. 3 lit. a, Art. 30, Art. 33 Abs. 5, Art. 35, Art. 58 Abs. 1 lit. a und lit. e DS-GVO)

Transparenz

9

Identifizierung und Authentifizierung (Art. 12 Abs. 6 DS- GVO)

Intervenierbarkeit

10

Unterstützung bei der Wahrnehmung von Betroffenenrechten (Art. 12 Abs. 2 DS-GVO)

Intervenierbarkeit

11

Berichtigungsmöglichkeit von Daten (Art. 5 lit. d, Art. 16 DS-GVO)

Intervenierbarkeit

12

Löschbarkeit von Daten (Art. 17 Abs. 1 DS-GVO)

Intervenierbarkeit

13

Einschränkbarkeit der Verarbeitung von Daten (Art. 18 DS- GVO)

Intervenierbarkeit

14

Datenübertragbarkeit (Art. 20 Abs. 1 DS-GVO)

Intervenierbarkeit

15

Eingriffsmöglichkeit in Prozesse automatisierter Entscheidungen (Art. 22 Abs. 3 DS-GVO)

Intervenierbarkeit

16

Fehler- und Diskriminierungsfreiheit beim Profiling (Art. 22 Abs. 3, 4 i. V. m. Erwägungsgrund 71)

Integrität

17

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

Datenminimierung, Intervenierbarkeit

18

Verfügbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Verfügbarkeit

19

Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Verfügbarkeit, Integrität, Vertraulichkeit

20

Wiederherstellbarkeit (Art. 32 Abs. 1 lit. b, lit. c DS-GVO)

Verfügbarkeit

21

Evaluierbarkeit (Art. 32 Abs. 1 lit. d DS-GVO).

Sie ist als ein Prozess umzusetzen, der alle Vorgaben umfasst.

22

Behebung und Abmilderung von Datenschutzverletzungen (Art. 33 Abs. 3 lit. d, 34 Abs. 2 DS-GVO).

Integrität, Intervenierbarkeit, Vertraulichkeit, Verfügbarkeit

23

Angemessene Überwachung der Verarbeitung (Art. 32, 33, 34 DS-GVO)

Transparenz, Integrität

24

Einwilligungsmanagement (Art. 4 Nr. 11, Art. 7 Abs. 4 DS- GVO)

Transparenz, Intervenierbarkeit

25

Umsetzung aufsichtsbehördlicher Anordnungen (Art. 58 Abs. 2 lit. f und lit. j)

Intervenierbarkeit

Fazit: Das Standard Datenschutzmodell (SDM) ist in ein Basis-Datenschutz-Modell DIN SPEC (BDM) überführt

BDM verfolgt das Ziel, Verarbeitungstätigkeiten rechtskonform auszugestalten.
Das SDM überführt die rechtlichen Anforderungen der DS-GVO über die Gewährleistungsziele in von der Verordnung geforderten technischen und organisatorischen Maßnahmen, die im Referenzmaßnahmen-Katalog des SDM beschrieben werden. Es unterstützt somit die Transformation abstrakter rechtlicher Anforderungen in konkrete technische und organisatorische Maßnahmen. Dadurch erhält das Standard Datenschutzmodell eine höhere Anerkennung und kann neue Standards im Datenschutz setzen.

Externer Datenschutzbeauftragter gesucht? Einfach bis zu drei kostenlose Angebote erhalten:

Schritt 1 von 4

Wo befindet sich Ihre Firma ?

Sie haben Fragen? Direkten Kontakt aufnehmen:

Geschäftszeiten: Mo. bis Fr., 9 bis 19 Uhr

Schreibe einen Kommentar

Share on facebook
Share on twitter
Share on linkedin
Share on google