Standard Datenschutzmodell und DIN SPEC Norm nach DSGVO

Datenschutzbeauftragtenfinden.de Wissensartikel

Share on facebook
Share on twitter
Share on linkedin
Share on google

Dieser Artikel beschreibt das Standard Datenschutzmodell und den Zusammenhang mit der DIN SPEC 32789 für Datenschutz. Auf folgende Fragen geben wir Antworten: Was ist das Standard Datenschutzmodell? Was ist der Datenschutz Standard Basis DIN SPEC? Wie hilft mir die Norm für die Umsetzung der DSGVO?

Durch die neue DIN SPEC gibt es nun einen Datenschutz Standard. Konsortialpartnern aus Wirtschaft, Wissenschaft, Forschung, Lehre und Politik erarbeiteten auf Basis des Standard Datenschutzmodells gemeinsam eine DIN SPEC.

Was ist das neue DIN SPEC 32789 – Basis-Datenschutz-Konzept?

Das Basis Datenschutz Konzept ist ein Prozess und Anforderungskatalog zur Überprüfung und Umsetzung der gesetzlichen Vorgaben im Umgang mit personenbezogenen Daten in KMU.

In Zeiten zunehmender Digitalisierung und Vernetzung agieren Unternehmen regelmäßig grenzüberschreitend. Personenbezogene Daten können naturgemäß ohne Weiteres Landesgrenzen überwinden und spielen für Unternehmen eine zunehmend wichtigere Rolle. Sie sind längst ein bedeutendes Wirtschaftsgut und werden alltäglich sowohl zur Durchführung von internen als auch externen Geschäftsprozessen erhoben und verarbeitet. Fortschritte in der Informationstechnik erleichtern die Verarbeitung und den Austausch dieser Daten zunehmend. In diesem Zusammenhang hat der europäische Gesetzgeber die Europäische Datenschutz-Grundverordnung (EU-DS-GVO) erlassen, um eine weitergehende Harmonisierung der Datenschutzregeln innerhalb der EU-Mitgliedstaaten zu erreichen. Zum Schutz der Rechte und Freiheiten natürlicher Personen findet gleichlaufend eine Verschärfung von Datenschutzpflichten statt, deren Umsetzung Unternehmen vor eine komplexe Aufgabe stellt.

Die DS-GVO fordert unter anderem geeignete technische und organisatorische Maßnahmen, um die Risiken für die Rechte und Freiheiten natürlicher Personen angemessen zu mindern. Insbesondere für kleine und mittlere Unternehmen (KMU) ist es zunehmend schwieriger festzustellen, ob ihre Datenverarbeitungstätigkeiten gesetzeskonform ausgestaltet sind.

Was ist das Ziel der DIN SPEC auf Grundlage des SDM?

Die DIN SPEC 32789 auf Basis des Standard Datenschutzmodells zielt darauf ab, kleinen und mittleren Unternehmen (KMU) praxisorientierte, verständliche und fundierte Hinweise und Hilfestellungen zur Umsetzung der DS-GVO zu geben, um die rechtlichen Anforderungen der DS-GVO in technische und organisatorische Maßnahmen überführen zu können. Damit sollen sowohl KMU in der Lage sein, die gesetzlich geforderten Mindestanforderung der europäischen Datenschutz-Grundverordnung (DS-GVO) umzusetzen, als auch Aufsichtsbehörden und Datenschutzbeauftragte die Einhaltung dieser Vorgaben nach einem transparenten Standard überprüfen zu können.

Anwendungsbereich der Standard Datenschutz DIN SPEC

Diese Spezifikation definiert einen Prozessrahmen und Anforderungskatalog, um die rechtlichen Vorgaben der EU-DSGVO zum Schutz personenbezogener Daten in kleinen und mittleren Unternehmen (KMU) umzusetzen und in einem iterativen Prozess zu überprüfen und zu aktualisieren. Sie dient ausschließlich einer datenschutzrechtlich konformen Gestaltung von Verarbeitungstätigkeiten und formuliert keine über das geltende Datenschutzrecht hinausgehenden Vorgaben.

Was ist das Standard Datenschutzmodell (SDM)

Als „Standard Datenschutzmodell“ (SDM) bezeichnen die deutschen Datenschutzaufsichtsbehörden eine Methode, mit der für den Bereich des operativen Datenschutzes sichergestellt ist, dass eine einheitliche Datenschutz-Beratungs- und Prüfpraxis in Bezug insbesondere zu den technisch-organisatorischen Maßnahmen der DS-GVO erreicht werden kann.

Die rechtlichen Anforderungen der Datenschutzgrundverordnung  (DSGVO) werden vom Standard Datenschutzmodell (SDM) nun vollständig erfasst und mit Hilfe der Gewährleistungsziele systematisiert. Der Katalog generischer Maßnahmen ermöglicht einen niederschwelligen Einstieg in die praktische Anwendung des SDM. Das im SDM beschriebene Datenschutzmanagement führt Verantwortliche durch alle Phasen der Verarbeitung personenbezogener Daten und ermöglicht somit auch die kontinuierliche Aufrechterhaltung einer rechtssicheren Verarbeitung. 

Welche Vorteile hat das Standard Datenschutz Modell?

Das „Standard Datenschutzmodell“ (SDM) ist eine Methode, mit der die Übereinstimmung von gesetzlichen Anforderungen und deren Umsetzung in personenbezogenen Verfahren herstellbar ist. Das SDM im Datenschutz verbessert insbesondere die Integrität und Transparenz auch von Datenschutz-Beratungen und Prüfungen.

Die rasante Entwicklung der Digitalisierung führt dazu, dass die Datenverarbeitung allgegenwärtig ist. Ob Videokameras, elektronische Helfer in allen Lebenslagen wie Navigationsinstrumente und Smart-Home-Technologie: Wir werfen heute einen Datenschatten, den wir nicht abschütteln können – ja mehr noch: Wir bemerken ihn oft gar nicht. Mit dem Standard Datenschutzmodell nach DSGVO lässt sich der Umgang mit personenbezogenen Daten einheitlich organisieren.

Ist das neue Standard Datenschutzmodell mit der DSGVO konform?

Das Standard Datenschutzmodell ist mit der DSGVO konform. Datenschutzbeauftragte können das SDM auch unter der neuen EU-Datenschutz-Grundverordnung (DSGVO) anwenden. Sie müssen lediglich kleinere Änderungen in dem nationalen Anpassungsgesetz beachten.
„Das Standard Datenschutzmodell ist ein gutes Instrumentarium, Teile der DSGVO rechtskonform umzusetzen“, meint der Datenschutz-Experte Karsten Schulz. Der Vorteil des SDM ist, dass es standardisierte Vorgaben und eine vordefinierte Umsetzungssystematik bietet. Damit sollen sieben sogenannte Gewährleistungsziele erreicht werden.

Die sieben Schutzziele des SDM beim Datenschutz

1. Datensparsamkeit Es sollen nur die Daten verarbeitet werden, die absolut notwendig sind, um den jeweiligen Geschäftszweck zu erzielen. 2. Verfügbarkeit Die personenbezogenen Daten müssen für eine fachgerechte Verarbeitung verfügbar sein. Ein Beispiel: Um eine ordentliche Datenverarbeitung zu gewährleisten, sorgen die Mitarbeiter der IT-Abteilung für ausreichend Speicherplatz. Dafür können sie einen Standard-Datenspeicher wählen. Sie können sich aber auch für das individuelle Angebot eines kleineren Softwareanbieters entscheiden. Dabei sollte die IT-Abteilung prüfen, ob die Systeme auch bei einem Bankrott der Softwaregesellschaft verfügbar sind. Es darf nicht passieren, dass das Unternehmen nicht mehr auf seine Daten zugreifen kann oder dass sie unkontrolliert verschwinden oder vernichtet werden. 3. Integrität Das Standard Datenschutzmodell verlangt, dass Daten vor unberechtigten Änderungen geschützt werden. Die Integrität von Informationen geht verloren, wenn Modifikationen durchgeführt werden, die nicht nachvollziehbar sind. Dazu gehören alle denkbaren Manipulationen wie Veränderungen an den Daten, aber auch falsch angelegte Tabellen. Verschiedene technologische Verfahren können sicherstellen, dass das nicht passiert. Das Gewährleistungsziel der Integrität ist eng verknüpft mit dem nächsten Schutzziel, der Vertraulichkeit. 4. Vertraulichkeit Ein Beispiel: Wenn ein Unternehmen die Daten von Kunden erhebt, dann hat der Chef nicht automatisch darauf Zugriff. Aus Datenschutzgründen darf er nur zugreifen, wenn das für seine Arbeit nötig ist. Wenn er zum Beispiel überwiegend strategische Aufgaben wahrnimmt und selbst keinen Kundenkontakt hat, darf er keinen Einblick in die dafür gespeicherten Daten nehmen. Laut Standard Datenschutzmodell dürfen das nur die Vertriebsmitarbeiter oder Sachbearbeiter, die direkt mit den Kunden zu tun haben.

5. Nichtverkettung Daten, die für einen bestimmten Zweck erhoben worden sind, dürfen nicht für andere Zwecke verarbeitet werden. Ein Beispiel von einem Mitarbeiter einer Bank: Die Personalabteilung speichert seine Daten in ihren IT-Systemen. Damit die Bank ihm sein Gehalt überweisen kann, hat der Bankmitarbeiter ein Konto bei einer Filiale seines Arbeitgebers eröffnet. Auch dort werden seine Daten gespeichert. Das SDM schreibt vor, dass diese beiden Datentöpfe nicht miteinander verrührt werden dürfen. Die Personalabteilung darf keinen Zugriff auf die Kontobewegungen des Mitarbeiters haben.

6. Transparenz Das Unternehmen dokumentiert, zu welchen Zwecken die Datenverarbeitung erfolgt. Diese Informationen werden den betroffenen Personen auf Anfrage zur Verfügung gestellt. Auch die Aufsichtsbehörden bekommen Einblick in die Dokumentation – zum Beispiel in dem Fall, dass die Behörde einer Beschwerde nachgehen will. 7. Intervenierbarkeit Dabei geht es darum, dass Betroffene ihre Rechte an ihren Daten wahrnehmen können. Die Datenverarbeitungsprozesse müssen so gestaltet sein, dass sie das können: Die Betroffenen erhalten über ihre gespeicherten Daten Auskunft, sie können Korrekturen vornehmen, sie sperren oder löschen lassen.

Fazit: Das Standard Datenschutzmodell ist in eine Datenschutz DIN SPEC überführt

Das SDM überführt damit die rechtlichen Anforderungen der DS-GVO über die Gewährleistungsziele in von der Verordnung geforderten technischen und organisatorischen Maßnahmen, die im Referenzmaßnahmen-Katalog des SDM beschrieben werden. Es unterstützt somit die Transformation abstrakter rechtlicher Anforderungen in konkrete technische und organisatorische Maßnahme. Audat hat es sich zur Aufgabe gemacht das Standard Datenschutzmodell in eine DIN SPEC zu überführen. Dadurch erhält das Standard Datenschutzmodell eine höhere Anerkennung und kann neue Standards im Datenschutz setzen.

Externer Datenschutzbeauftragter gesucht? Einfach bis zu drei kostenlose Angebote erhalten:

Schritt 1 von 4

Wo befindet sich Ihre Firma ?

Sie haben Fragen? Direkten Kontakt aufnehmen:

Geschäftszeiten: Mo. bis Fr., 9 bis 19 Uhr

Schreibe einen Kommentar