Erfahrungsbericht zur Anwendung des Standard-Datenschutzmodells (SDM3) bei der Einführung einer neuen Verarbeitung (VVT)

Datenschutz

Dieser Erfahrungsbericht soll UnternehmerInnen und Datenschutzbeauftragte ermutigen, das Standard-Datenschutzmodell als effektives Werkzeug zur Verbesserung der Datenverarbeitung und zum Schutz der Betroffenenrechte zu nutzen.

Erfahrungsbericht zur Anwendung des Standard-Datenschutzmodells (SDM3) bei der Einführung einer neuen Verarbeitung

Dieser Erfahrungsbericht soll UnternehmerInnen und Datenschutzbeauftragte ermutigen, das Standard-Datenschutzmodell als effektives Werkzeug zur Verbesserung der Datenverarbeitung und zum Schutz der Betroffenenrechte zu nutzen. Die Methode hilft nicht nur bei der Einhaltung gesetzlicher Anforderungen, sondern schafft auch Vertrauen und Transparenz innerhalb des Unternehmens.

Wir haben die Methode auf alle Verarbeitungstätigkeiten bei unseren Mandanten angewandt und nutzen dies auch bei der Einführung neuer Verarbeitungen. Dies wird von den Mandanten positiv aufgenommen, wie nachfolgender, anonymisierter Erfahrungsbericht zeigt.

 

Erfahrungsbericht zur Nutzung der SDM Methodik bei Einführung der neuen Verarbeitung „Vorgesetztenbewertung“

Strukturierte und verbesserte Übersicht über Verarbeitungsprozesse

Der Einsatz des Standard-Datenschutzmodells (SDM3) hat uns geholfen, eine wesentlich bessere und strukturiertere Übersicht über unsere Datenverarbeitungsprozesse zu erhalten. Diese Methode nutzen wir nun bereits bei der Einführung neuer Verarbeitungen, wie beispielsweise bei der Vorgesetztenbewertung.

Einführung und Anwendung des SDM

Zu Beginn haben wir für das Verzeichnis von Verarbeitungstätigkeiten (VVT) den Zweck und die Rechtsgrundlage festgelegt. Mit der SDM-Methode haben wir die Verarbeitung in vier Schritte unterteilt: Erfassen, Aufbewahren, Nutzen und Beseitigen der Daten. Dabei erfolgte stets ein Abgleich mit dem Zweck und der Rechtsgrundlage.

Bereits in dieser Phase traten Fragen und Unklarheiten auf, beispielsweise bezüglich beteiligter Dienstleister und Schnittstellen. Diese konnten wir kurzfristig klären und somit potenzielle Probleme direkt beseitigen.

Prüfung der Gewährleistungsziele in allen Verarbeitungsschritten

In allen Verarbeitungsschritten wurden die Gewährleistungsziele daraufhin geprüft, ob und wie sie ausreichend berücksichtigt sind. Dies führte zu mehr Klarheit und deckte Schwachstellen auf, die ansonsten erst später im Projektverlauf aufgefallen wären. Ein Beispiel hierfür ist die vorhandene, aber nicht benötigte Funktion des PDF-Exports, die im Widerspruch zur Nicht-Verkettung und zugesicherten Löschung von Daten stand. Die Entscheidung, diese Funktion komplett zu entfernen, erhöhte die Sicherheit der Verarbeitung erheblich und reduzierte weitere Fragestellungen, welche die Funktion aufgeworfen hätte.

Vorteile einer strukturierten Vorgehensweise

Dank der strukturierten Anwendung des SDM konnten wir die gesamte Verarbeitung von Anfang dokumentieren und so Verbesserungen direkt durchführen. Dies führte zu einer einfacheren Betriebsvereinbarung und erleichterte zudem die Diskussion mit dem Betriebsrat. Zudem wurden die technischen und organisatorischen Maßnahmen (TOM) planbarer, da die Risiken frühzeitig erkannt und beseitigt wurden.

Motivation und Fairness gegenüber Mitarbeitenden

Ist diese Methode kompliziert? Geht es nicht einfacher? Natürlich könnte man, wie es häufig der Fall ist, einfach loslegen, ohne sich Gedanken über die Risiken für die Betroffenen oder die genauen Datenflüsse bei Sub-Dienstleistern zu machen. Unsere Motivation jedoch ist es, fair gegenüber unseren Mitarbeitenden zu sein und den Datenschutz aktiv zu leben. Dies fordern wir von unseren Mitarbeitenden gegenüber unserer Kundschaft – aber dies dürfen und sollen auch unsere Mitarbeitenden von uns erwarten.

Durch die strukturierte Anwendung des SDM setzen wir den Datenschutz für die Betroffenen um (gemäß den Gewährleistungszielen nach Art. 5 DSGVO). Es geht uns nicht darum, Rechtsgründe zu finden, um tiefgreifende Eingriffe in die Persönlichkeitsrechte der Betroffenen mit möglichst geringem Aufwand zu legitimieren, sondern um eine faire und transparente Datenverarbeitung.

Danke 😍

Wir als Datenschutzbeauftragte freuen uns, dass wir solche Kunden haben🙏, die mit uns gemeinsam die Möglichkeiten des Datenschutzes immer wieder erarbeiten, um selbst innovative Lösungen und Produkte zu entwickeln.

In unserem Blog werden wir das Standard-Datenschutzmodells (SDM3) nun weiter ausführlich vorstellen. 💪

 

Informationen zur genutzten Software:
Genutzt wurde die von uns und der Datenschutzberatung Moers GmbH entwickelte Softwarelösung MoeWe Datenschutztool. Diese ist als SaaS Lösung verfügbar und greift die Methodik des Standard-Datenschutzmodell als Erweiterung des Verzeichnis von Verarbeitungstätigkeiten auf.
https://www.moewe-datenschutz.de

 

Informationen zum Standard-Datenschutzmodell:
Das Standard-Datenschutzmodell ist eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder empfiehlt den Verantwortlichen in Wirtschaft und Verwaltung, das SDM bei Planung, Einführung und Betrieb von personenbezogenen Verarbeitungen anzuwenden. Dies entspricht auch den Empfehlungen des IT-Planungsrates (Beschluss vom 25.03.2020) sowie dem BSI IT-Grundschutz-Kompendium, Baustein CON.2, Edition 2023.
https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/

 

Weitere Blogbeiträge zum Thema:

 

Weitere Beratung zum Thema:
Nutzen Sie die Vorteile des SDM3 für Ihr Unternehmen. Kontaktieren Sie uns für eine individuelle Beratung und erfahren Sie, wie wir Sie bei der Implementierung und Anwendung des SDM3 unterstützen können.