Externer Datenschutz & IT-Sicherheit

Mit unseren Konzepten auf Höhe der Zeit

12. April 2017

SDM: Standard-Datenschutzmodell

Das Standard-Datenschutzmodell wird aller Voraussicht nach in naher Zukunft die Anlage zu § 9 BDSG, allgemein bekannt als “TOMs”, ersetzen. Es handelt sich hierbei um ein Modell, welches die Aufsichtsbehörden entwickelt haben und welches besonders im Rahmen der DS-GVO zum Einsatz kommen soll – unter anderem auch, um bei Datenschutz-Folgenabschätzungen effektiv zu unterstützen.

Das Handbuch zum SDM steht unter downloads zur Verfügung und beschreibt den Zweck wie folgt:

“Der Zweck des Standard-Datenschutzmodells

Die Verarbeitung personenbezogener Daten mit Hilfe informationstechnischer Verfahren ist datenschutzrechtlich danach zu beurteilen, ob sie auf einer ausreichenden Rechtsgrundlage erfolgt. Es gilt das Verbot mit Erlaubnisvorbehalt des § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) bzw. der entsprechenden Normen der Landesdatenschutzgesetze. Zudem ist zu prü- fen, ob die Daten durch eine angemessene Auswahl technischer und organisatorischer Maßnahmen so verarbeitet werden, dass die Rechte der Betroffenen gewahrt bleiben. Das hier beschriebene Standard-Datenschutzmodell soll diese Maßnahmen auf der Basis von Schutzzielen systematisieren. Damit dient das Modell einerseits den für die Verarbeitung verantwortlichen Stellen, erforderliche Maßnahmen systematisch zu planen und umzusetzen und fördert somit die datenschutzgerechte Ausgestaltung und Organisation von informati- onstechnischen Verfahren und Applikationen. Andererseits bietet das Modell den Daten- schutzbehörden eine Möglichkeit, mit einer einheitlichen Systematik zu einem transparen- ten, nachvollziehbaren, belastbaren Gesamturteil über ein Verfahren und dessen Komponenten zu gelangen. Ausgangspunkt der Analyse ist die Bestimmung der für die Verarbeitung verantwortlichen Stelle oder Stellen sowie des Zwecks der Verarbeitung im Kontext der mit dem Verfahren umgesetzten oder unterstützten Geschäftsprozesse und der relevanten Rechtsgrundlagen. Erst diese rechtlich zu erzielende Bestimmtheit ermöglicht es, die Funktionalität des Verfahrens einschließlich des erforderlichen Umfangs der Verarbeitung personenbezogener Daten und der angemessenen Schutzmaßnahmen entsprechend dem Stand der Technik festzulegen.”