Warum Checklisten im Datenschutz kaum noch sinnvoll sind...

Datenschutz

Warum das Standard-Datenschutzmodell­čôŽ den Datenschutz besser dokumentiert als traditionelle Checklisten­čôő .. und vor allem zu mehr und besseren Datenschutz f├╝hrt. ­čĺ¬Ôťî´ŞĆ

Warum das Standard-Datenschutzmodell (SDM) den Datenschutz besser sichert als traditionelle Checklisten

Datenschutz ist ein zunehmend kritisches Thema f├╝r Unternehmen, die in einer ├ära der Digitalisierung und dezentralisierten IT-Systeme operieren. Eine traditionelle Methode zur ├ťberpr├╝fung der Datenschutzpraktiken, die Checkliste, scheint in der heutigen komplexen IT-Landschaft an ihre Grenzen zu sto├čen. Im Vergleich dazu bietet das Standard-Datenschutzmodell (SDM), verabschiedet von der Datenschutzkonferenz (DSK) in der Version 3, einen weitreichenderen und pr├Ąziseren Ansatz zur Gew├Ąhrleistung und Dokumentation des Datenschutzes. Das Standard-Datenschutzmodell ist eine Methode zur Datenschutzberatung und -pr├╝fung auf der Basis einheitlicher Gew├Ąhrleistungsziele.

Die Grenzen der Checkliste ­čôŁ

Lange Zeit galten Checklisten als ein effektives Instrument, um die technischen und organisatorischen Ma├čnahmen (TOM) im Datenschutz schnell zu ├╝berpr├╝fen. In einer Zeit, in der IT-Systeme haupts├Ąchlich inhouse verwaltet wurden und zentral von der IT-Abteilung betreut wurden, bot diese Methode eine ausreichende ├ťbersicht und Kontrolle. Die einfache Abfrage von Compliance-Aspekten durch Checklisten bot in weniger komplexen IT-Umgebungen einen ausreichenden ├ťberblick.

Die Herausforderungen moderner IT-Umgebungen ­čô▓

Die IT- und Datenverarbeitungslandschaft hat sich drastisch gewandelt. Heute werden die Systeme nicht mehr ausschlie├člich intern verwaltet, sondern oft ausgelagert oder als Software-as-a-Service (SaaS) implementiert. Diese Dienstleistungen werden individuell konfiguriert, was eine standardisierte ├ťberpr├╝fung durch einfache Checklisten erschwert. Das SDM adressiert diese Diversit├Ąt, indem es auf eine detaillierte und spezifische Untersuchung der technischen und organisatorischen Ma├čnahmen zur Gew├Ąhrleistung des Datenschutzes konkret auf die Verarbeitung abstellt.

Tiefergehende Analyse durch das SDM ­čöŹ

Das SDM geht in seiner Pr├╝fung weit ├╝ber das oberfl├Ąchliche Abfragen von Standards hinaus.

Nehmen wir als Beispiel die Passwortrichtlinie eines Unternehmens.
W├Ąhrend eine Checkliste lediglich best├Ątigt, dass eine Richtlinie existiert, untersucht das SDM, wie diese Richtlinie je Verarbeitung implementiert und durchgesetzt wird und ob sie den aktuellen Sicherheitsstandards entspricht.

Ein weiteres Beispiel ist der Umgang mit Bewerbungen auf der Internetseite eines Unternehmens. Das SDM pr├╝ft nicht nur, ob Daten erfasst werden, sondern auch, wie sie verarbeitet, gespeichert und gesch├╝tzt werden. Hierdurch werden L├╝cken, teils entstanden durch ungekl├Ąrte Verantwortlichkeiten, aufgedeckt. Ist zum Beispiel die Internetagentur, die IT oder die Personalabteilung f├╝r die Sicherheit der hochgeladenen Bewerbungsdokumente auf der eigenen Internetseite zust├Ąndig? ­čĄĚÔÇŹÔÖé´ŞĆ

Vorteile des SDM: Transparenz und Verantwortlichkeit ­čĺ»

Ein entscheidender Vorteil des SDM ist die Schaffung von Transparenz in den Datenverarbeitungsprozessen. Das Modell stellt weitestgehend sicher, dass alle Schritte aller Verarbeitungst├Ątigkeiten klar dokumentiert und jederzeit nachvollziehbar sind. Zudem f├Ârdert es die Verantwortlichkeit innerhalb der Organisation. W├Ąhrend eine Checkliste oft schnell ein positives Ergebnis liefert und suggeriert, dass kein Handlungsbedarf besteht, identifiziert das SDM konkrete Schwachstellen und zeigt klaren Handlungsbedarf auf.

Anforderung der Aufsichtsbeh├Ârden und Gerichte ÔÜá´ŞĆ

Die Konferenz der unabh├Ąngigen Datenschutzaufsichtsbeh├Ârden des Bundes und der L├Ąnder hat am 24. November 2022 mit der Version 3.0 eine ├╝berarbeitete Version des Standard-Datenschutzmodelles (SDM) verabschiedet. Die rechtlichen Anforderungen der Datenschutzgrundverordnung (DS-GVO) werden vom SDM vollst├Ąndig erfasst und mit Hilfe der Gew├Ąhrleistungsziele systematisiert. IT-Planungsrat, der die IT-Aktivit├Ąten des Bundes, der L├Ąnder und Kommunen untereinander koordiert, empfiehlt die Anwendung des SDM f├╝r s├Ąmtliche ├Âffentliche Verwaltungen Deutschlands. Der IT-Grundschutz des BSI empfiehlt in seinem Datenschutzbaustein CON2 die Anwendung des SDM. Die katholische und die protestantische Kirche Deutschland lehnen sich mit dem ÔÇ×Kirchen-DatenschutzmodellÔÇť (KDM) ganz eng an das SDM an.

In einem aktuellen Urteil ÔÜľ´ŞĆ des LG Mannheim (https://www.landesrecht-bw.de/bsbw/document/NJRE001569921) nimmt das Gericht sehr konkret Bezug zu den Anforderungen nach SDM bzw. dem Artikel 5 der DSGVO. Dort heisst es in den Randnummern 84 und 85:
ÔÇ×Schon Art. 5 Abs. 1 lit. f DSGVO verlangt, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gew├Ąhrleistet, [ÔÇŽ] sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos f├╝r die Rechte und Freiheiten nat├╝rlicher Personen geeignete technische und organisatorische Ma├čnahmen zu treffen hat, um ein dem Risiko angemessenes Schutzniveau zu gew├Ąhrleisten. Es oblag der Beklagten aufgrund ihrer Rechenschaftspflicht in Art. 5 Abs. 2, 24 Abs. 1 DSGVO darzulegen und zu beweisen, dass die von ihr getroffenen Sicherheitsma├čnahmen i.S.v. Art. 32 DSGVO in diesem Sinne geeignet waren.ÔÇť

Sowie weiter in 87 und 89: ÔÇ×So h├Ątte es zun├Ąchst einer Bewertung des Schutzniveaus der Daten nach [ÔÇŽ] Standard-Datenschutzmodell der unabh├Ąngigen Datenschutzaufsichtsbeh├Ârden des Bundes und der L├Ąnder) bedurft. [ÔÇŽ] Erst jetzt, also wenn das Schutzniveau der personenbezogenen Daten bestimmt, die beteiligten Verarbeitungsvorg├Ąnge (Gesch├Ąftsprozesse) analysiert und die einzelnen Risiken diesbez├╝glich festgestellt und bewertet worden sind, kommt es auf die konkreten technischen und organisatorischen Ma├čnahmen an, um den jeweiligen Risiken in geeigneter und angemessener Weise zu begegnenÔÇť

 

Fazit

In einer Welt, in der Datenschutz immer mehr an Bedeutung gewinnt und die IT-Umgebungen und Datenverarbeitungen zunehmend komplexer werden, reichen traditionelle Methoden wie Checklisten nicht mehr aus, um umfassenden Datenschutz zu garantieren und zu dokumentieren. Das Standard-Datenschutzmodell in der Version 3 bietet hier eine moderne, tiefgehende und effektive Methode, um den Anforderungen des Datenschutzes gerecht zu werden und die Sicherheit von personenbezogenen Daten zu verbessern. Unternehmen, die diesen Ansatz verfolgen, sind besser aufgestellt, um auf die Herausforderungen in komplexen Verarbeitungen zu reagieren und das Vertrauen ihrer Nutzer und Kunden zu st├Ąrken.

 

Hinweis:

Mit unserem MoeWe Datenschutztool in der neuen SaaS Variante ber├╝cksichtigen wir die Anforderungen des SDM und erm├Âglichen eine praxistaugliche Bewertung und Dokumentation der Verarbeitung.
Beispielvideos und weitere Informationen finden sich auf www.MoeWe-Datenschutz.de