Am 24. November 2022 hat die Konferenz der Datenschutzaufsichtsbehörden das Standard-Datenschutzmodell (SDM) in der überarbeiteten Version 3 verabschiedet.
In diesem SDM werden die rechtlichen Anforderungen der DSGVO vollständig erfasst und mit Hilfe der Gewährleistungsziele systematisiert.
Die Konferenz stellt mit dem SDM ein Werkzeug bereit, mit dem eine rechtliche und risikoadäquate Bewertung der technischen und organisatorischen Maßnahmen (TOM) erfolgen kann und unterstützt wird.
Betrieb und Einführung sowie Planung von Verarbeitungstätigkeiten, in denen personenbezogene Daten verarbeitet werden, sind die Anwendungsbereiche des SDM. Die Pflicht zur Erfüllung von Nachweis- und Rechenschaftspflicht für Verantwortliche in Wirtschaft und Verwaltung wird durch das SDM unterstützt.
Grundsätzlich gibt es aber die Anforderung zur Nennung und Einhaltung der Gewährleistungsziele nicht erst mit dem SDM 3, diese wurden auch vorher mit Inkraftsetzung der DSGVO im Artikel 5 Absatz (1) und (2) bereits gefordert.
Auch dort geht es um die Rechtmäßigkeit der Verarbeitung für eindeutige Zwecke, auch aus Artikel 5 ergibt sich bereits die Anforderung zur Einhaltung der Gewährleistungsziele.
Die deutschen Aufsichtsbehörden bezeichnen also mit dem SDM eine Methode, die für alle Bereiche des operativen Datenschutzes eine einheitliche Datenschutzprüf- und Beratungspraxis, insbesondere in Bezug zur Bestimmung von technischen und organisatorischen Maßnahmen der DSGVO erreichen kann.
Dadurch, dass z.B. für einzelne Verarbeitungen zentral und übergreifende technische und organisatorische Maßnahmen nur einmal erfasst werden und im Würfel des SDM abgebildet werden ergibt sich eine deutlich einfachere und transparentere Auswertung und Bewertung der jeweils getroffenen Maßnahmen.
Für denn Fall, dass einzelne Verarbeitungen rot gekennzeichnet sind oder sich Änderungen ergeben aufgrund derer sich die Bewertung ändert würde diese geänderte Bewertung in allen betroffenen Verfahren entsprechend angezeigt.
Hierdurch kann und muss dann jedes einzelne Verfahren neu bewertet werden, es muss geprüft werden ob der Kernprozess überarbeitet oder ersetzt werden muss. Eventuell ist auch eine Anpassung der einzelnen Verarbeitung notwendig welche dann dafür sorgt, dass ein eventuelles Risiko für Betroffene minimiert oder ausgeschlossen wird.
Es kann sich aber ebenfalls ergeben, dass ein Kernprozess an einzelnen Stellen ausgetauscht werden muss, weil er nicht mehr zu allen Verarbeitungen passt, insgesamt aber dennoch für weiter Verarbeitungen akzeptabel und vertretbar ist.
Fazit
Durch die Verfahrensdokumentation nach SDM ergibt sich ein Wissensmanagement dahingehend, dass alle Verarbeitungen logisch beschrieben wurden und nachvollziehbar sind. Es ergibt sich ein logischer Aufbau und eine transparente Struktur, Veränderungen einzelner Elemente oder Bestandteile bzw. Verarbeitungen werden zentral dargestellt.
Weiterhin kann durch die transparente Darstellung eine Priorisierung erfolgen, die festlegt, welche Punkte zuerst überarbeitet und angepasst werden müssen.
Durch eine regelmäßige Überprüfung und transparente Darstellung ergibt sich ein PDCA-Zyklus mit Hilfe dessen regelmäßig eine Überprüfung aller Prozesse und Verarbeitungen gegeben ist. Die sich ergebenden Änderungen und notwendigen Anpassungen sorgen hier für einen stetigen Kreislauf.
Mit der Blogreihe #Datenschutzbasics möchten wir Hilfen für die ersten 150 Tage im Datenschutz geben und über Begrifflichkeiten, Vorgehen und Grundlagen informieren.
Haben Sie Fragen, Wünsche oder Anregungen? Melden Sie sich gerne oder nehmen auch an unseren offenen Sprechstunden teil.