{{:wiki:sdm.png?nolink&200|}} ===== Das Standard-Datenschutzmodell ===== Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele\\ Version 2.0 ==== Inhalt ==== **EINLEITUNG**\\ **[[wiki:standard-datenschutzmodell:v20:teil_a|TEIL A: BESCHREIBUNG DES SDM]]**\\ **[[wiki:standard-datenschutzmodell:v20:teil_a:a1|A1 Zweck des SDM]]**\\ **[[wiki:standard-datenschutzmodell:v20:teil_a:a2|A2 Anwendungsbereich des SDM]]**\\ **[[wiki:standard-datenschutzmodell:v20:teil_a:a3|A3 Struktur des SDM]]**\\ **[[wiki:standard-datenschutzmodell:v20:teil_a:a4|A4 Funktion der Gewährleistungsziele des SDM]]**\\ **[[wiki:standard-datenschutzmodell:v20:teil_b|TEIL B: ANFORDERUNGEN DER DS-GVO]]**\\ **[[wiki:standard-datenschutzmodell:v20:teil_b:b1|B1 Zentrale datenschutzrechtliche Anforderungen der DS-GVO]]**\\ B1.1 Transparenz für Betroffene\\ B1.2 Zweckbindung\\ B1.3 Datenminimierung\\ B1.4 Richtigkeit\\ B1.5 Speicherbegrenzung\\ B1.6 Integrität\\ B1.7 Vertraulichkeit\\ B1.8 Rechenschafts- und Nachweisfähigkeit\\ B1.9 Identifizierung und Authentifizierung\\ B1.10 Unterstützung bei der Wahrnehmung von Betroffenenrechten\\ B1.11 Berichtigungsmöglichkeit von Daten\\ B1.12 Löschbarkeit von Daten\\ B1.13 Einschränkbarkeit der Verarbeitung von Daten\\ B1.14 Datenübertragbarkeit\\ B1.15 Eingriffsmöglichkeit in Prozesse automatisierter Entscheidungen\\ B1.16 Fehler- und Diskriminierungsfreiheit beim Profiling\\ B1.17 Datenschutz durch Voreinstellungen\\ B1.18 Verfügbarkeit\\ B1.19 Belastbarkeit\\ B1.20 Wiederherstellbarkeit\\ B1.21 Evaluierbarkeit\\ B1.22 Überwachung der Verarbeitung\\ B1.23 Behebung und Abmilderung von Datenschutzverletzungen\\ **[[wiki:standard-datenschutzmodell:v20:teil_b:b2|B2 Einwilligungsmanagement]]**\\ **[[wiki:standard-datenschutzmodell:v20:teil_b:b3|B3 Umsetzung aufsichtsbehördlicher Anordnungen]]**\\ **[[wiki:standard-datenschutzmodell:v20:teil_c|TEIL C: SYSTEMATISIERUNG DER ANFORDERUNGEN DER DS-GVO DURCH DIE GEWÄHRLEISTUNGSZIELE]]**\\ **[[wiki:standard-datenschutzmodell:v20:teil_c:c1|C1 Gewährleistungsziele des SDM]]**\\ C1.1 Datenminimierung\\ C1.2 Verfügbarkeit\\ C1.3 Integrität\\ C1.4 Vertraulichkeit\\ C1.5 Nichtverkettung\\ C1.6 Transparenz\\ C1.7 Intervenierbarkeit\\ **[[wiki:standard-datenschutzmodell:v20:teil_c:c2|C2 Systematisierung der rechtlichen Anforderungen mit Hilfe der Gewährleistungsziele]]**\\ **[[wiki:standard-datenschutzmodell:v20:teil_d|TEIL D: PRAKTISCHE UMSETZUNG]]**\\ **[[wiki:standard-datenschutzmodell:v20:teil_d:d1|D1 Generische Maßnahmen]]**\\ D1.1 Verfügbarkeit\\ D1.2 Integrität\\ D1.3 Vertraulichkeit\\ D1.4 Nichtverkettung\\ D1.5 Transparenz\\ D1.6 Intervenierbarkeit\\ D1.7 Datenminimierung\\ D1.8 Gewährleistungsziele als Design-Strategie\\ **[[wiki:standard-datenschutzmodell:v20:teil_d:d2|D2 Verarbeitungstätigkeiten]]**\\ [[wiki:standard-datenschutzmodell:v20:teil_d:d2:d2_1|D2.1 Ebenen einer Verarbeitung oder Verarbeitungstätigkeit]]\\ [[wiki:standard-datenschutzmodell:v20:teil_d:d2:d2_2|D2.2 Zweck]]\\ [[wiki:standard-datenschutzmodell:v20:teil_d:d2:d2_3|D2.3 Komponenten einer Verarbeitung oder Verarbeitungstätigkeit]]\\ **[[wiki:standard-datenschutzmodell:v20:teil_d:d3|D3 Risiken und Schutzbedarf]]**\\ D3.1 Risiken für Betroffene\\ D3.2 Risikobetrachtung\\ D3.2.1 Schwellwert-Analyse\\ D3.2.2 Risiko-Identifikation\\ D3.2.3 Risikobewertung\\ D3.3 Risikohöhe, Schutzbedarfsstufe, Schutzniveau und Restrisiko\\ D3.4 Bestimmung technischer und organisatorischer Maßnahmen insbesondere bei hohem Risiko\\ **[[wiki:standard-datenschutzmodell:v20:teil_d:d4|D4 Datenschutzmanagement mit dem Standard-Datenschutzmodell]]**\\ D4.1 Rechtliche Grundlagen des Datenschutzmanagements\\ D4.2 Vorbereitungen\\ D4.3 Spezifizieren und Prüfen\\ D4.4 Datenschutzmanagement-Prozess\\ D4.4.1 Plan: Spezifizieren / DSFA / Dokumentieren\\ D4.4.2 Do: Implementieren / Protokollieren\\ D4.4.3 Check: Kontrollieren, Prüfen Beurteilen\\ D4.4.4 Act: Verbessern und Entscheiden\\ **[[wiki:standard-datenschutzmodell:v20:teil_e|TEIL E: ORGANISATORISCHE RAHMENBEDINGUNGEN]]**\\ **[[wiki:standard-datenschutzmodell:v20:teil_e:e1|E1 Zusammenwirken von SDM und BSI-Grundschutz]]**\\ **[[wiki:standard-datenschutzmodell:v20:teil_e:e2|E2 Betriebskonzept zum Standard-Datenschutzmodell]]**\\ E2.1 Einleitung\\ E2.2 Auftraggeber, Projektleitung, Anwender\\ **[[wiki:standard-datenschutzmodell:v20:teil_e:e3|E3 Vorgenommene Änderungen von SDM-Versionen]]**\\ E3.1 Änderungen von V1.1 auf V2.0 (Stand 5.11.2019)\\ E3.2 Änderungen von V1.0 auf V1.1 (Stand 26.4.2018)\\ **[[wiki:standard-datenschutzmodell:v20:teil_e:e4|E4 Stichwortverzeichnis]]**\\ **[[wiki:standard-datenschutzmodell:v20:teil_e:e5|E5 Abkürzungsverzeichnis]]**\\ **[[wiki:standard-datenschutzmodell:v20:teil_e:e6|E6 Anhang Referenzmaßnahmen-Katalog]]**\\ **IMPRESSUM** ==== Einleitung ==== Die Europäische Datenschutz-Grundverordnung (2016/679/EU-DS-GVO) ist am 25. Mai 2016 in Kraft getreten und gilt nach einer zweijährigen Übergangsfrist unmittelbar seit dem 25. Mai 2018 in der gesamten Europäischen Union. Die DS-GVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Sie schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. In den Artikeln [[wiki:datenschutzgrundverordnung:kapitel02:artikel05|5]], [[wiki:datenschutzgrundverordnung:kapitel03:artikel12|12]], [[wiki:datenschutzgrundverordnung:kapitel04:artikel24|24]], [[wiki:datenschutzgrundverordnung:kapitel04:artikel25|25]] und [[wiki:datenschutzgrundverordnung:kapitel04:artikel32|32]] DS-GVO finden sich grundlegende Anforderungen an die Verarbeitung personenbezogener Daten. Die DS-GVO fordert geeignete technische und organisatorische Maßnahmen, um die Risiken für die Rechte und Freiheiten natürlicher Personen angemessen zu mindern. Das betrifft sowohl Maßnahmen zur Gewährleistung der Rechte Betroffener ([[wiki:datenschutzgrundverordnung:kapitel03|Kapitel III DS-GVO]]) als auch Maßnahmen zur Umsetzung der Datenschutzgrundsätze ([[wiki:datenschutzgrundverordnung:kapitel04:artikel25|Art. 25]] Abs. 1 DS-GVO), darunter zur Datenminimierung ([[wiki:datenschutzgrundverordnung:kapitel04:artikel25|Art. 25]] Abs. 2 DS-GVO) und zur Gewährleistung der Sicherheit der Verarbeitung ([[wiki:datenschutzgrundverordnung:kapitel04:artikel32|Art. 32]] Abs. 1). Das Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ([[wiki:datenschutzgrundverordnung:kapitel04:artikel25|Art. 25 DS-GVO]]) fordert zu einer sehr frühzeitigen Befassung des Verantwortlichen mit datenschutzrechtlichen Vorgaben bereits bei der Planung von Verarbeitungen auf. Die DS-GVO verlangt ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen ([[wiki:datenschutzgrundverordnung:kapitel04:artikel24|Art. 24]] Abs. 1 Satz 2, [[wiki:datenschutzgrundverordnung:kapitel04:artikel32|Art. 32]] Abs. 1 Satz 1 lit. d DS-GVO). Schließlich sieht die DS-GVO ein Kohärenzverfahren vor, das die unabhängigen Aufsichtsbehörden in ein komplexes Konsultationsverfahren einbindet ([[wiki:datenschutzgrundverordnung:kapitel07|Kapitel VII DS-GVO]] – Zusammenarbeit und Kohärenz). Insbesondere dieses Verfahren erfordert ein abgestimmtes, transparentes und nachvollziehbares System zur datenschutzrechtlichen Bewertung der Verarbeitung personenbezogener Daten. In [[wiki:datenschutzgrundverordnung:kapitel02:artikel05|Art. 5 DS-GVO]] werden wesentliche Grundsätze für die Verarbeitung personenbezogener Daten formuliert: Die Verarbeitung muss rechtmäßig, nach Treu und Glauben, nachvollziehbar, zweckgebunden, auf das notwendige Maß beschränkt, auf der Basis richtiger Daten, und die Integrität und Vertraulichkeit wahrend stattfinden. Zusätzlich dürfen personenbezogene Daten in der Regel nur so lange in einer Form gespeichert werden, die eine Identifizierung der betroffenen Personen erlaubt, wie dies erforderlich ist. Die Einhaltung der Grundsätze muss nachweisbar sein („Rechenschaftspflicht“). Das Standard-Datenschutzmodell (SDM) bietet geeignete Mechanismen, um diese rechtlichen Anforderungen der DS-GVO in technische und organisatorische Maßnahmen zu überführen. Zu diesem Zweck erfasst das SDM zunächst die rechtlichen Anforderungen der DS-GVO und ordnet sie anschließend den Gewährleistungszielen Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettung und Intervenierbarkeit zu. Das SDM überführt damit die rechtlichen Anforderungen der DS-GVO über die Gewährleistungsziele in von der Verordnung geforderten technischen und organisatorischen Maßnahmen, die im Referenzmaßnahmen-Katalog des SDM detailliert beschrieben werden. Es unterstützt somit die Transformation abstrakter rechtlicher Anforderungen in konkrete technische und organisatorische Maßnahmen. Der zum SDM gehörende Referenzmaßnahmen-Katalog kann herangezogen werden, um bei jeder einzelnen Verarbeitung zu prüfen, ob das rechtlich geforderte „Soll“ von Maßnahmen mit dem vor Ort vorhandenen „Ist“ von Maßnahmen übereinstimmt. Das SDM und der Referenzmaßnahmen-Katalog bieten zudem eine Grundlage für die Planung und Durchführung der von der DS-GVO geförderten datenschutzspezifischen Zertifizierungen ([[wiki:datenschutzgrundverordnung:kapitel04:artikel42|Art. 42 DS-GVO]]) und der in bestimmten Fällen erforderlichen Datenschutz- Folgenabschätzung ([[wiki:datenschutzgrundverordnung:kapitel04:artikel35|Art. 35 DS-GVO]]). Eine derartige Standardisierung unterstützt auch die in der Verordnung normierte Zusammenarbeit der Aufsichtsbehörden. Denn diese bedingt, dass auf nationaler Ebene die deutschen Datenschutzbehörden in zunehmendem Maße zusammenarbeiten und mit einheitlichen Beratungs- und Prüfkonzepten die Verarbeitung personenbezogener Daten begleiten müssen. Das SDM wird mit dem Ziel erstellt, ein abgestimmtes, transparentes und nachvollziehbares System der datenschutzrechtlichen Beurteilung zu bieten. Das SDM kann darüber hinaus auch dazu beitragen, die vom IT-Planungsrat verabschiedete Nationale E-Government-Strategie (NEGS) datenschutzkonform umzusetzen. Die NEGS fordert technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes, die den Grundsatz der Datenminimierung wahren und die sich auf die Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität, Transparenz, Nichtverkettung und Intervenierbarkeit beziehen sollen. Das hier beschriebene Standard-Datenschutzmodell kann somit in Deutschland und auch im internationalen Kontext sowohl für die Datenschutzaufsicht als auch für die verantwortlichen Stellen im Bereich der privaten Wirtschaft und im Bereich der öffentlichen Verwaltung einen wesentlichen Beitrag leisten, um die DS-GVO effektiv und rechtskonform umzusetzen. Denn das SDM ermöglicht einen systematischen und nachvollziehbaren Vergleich zwischen Soll-Vorgaben, die sich aus Normen, Verträgen, Einwilligungserklärungen und Organisationsregeln ableiten, und dem Ist-Zustand, der sich durch die Umsetzung dieser Vorgaben sowohl auf organisatorischer als auch auf informationstechnischer Ebene bei der Verarbeitung personenbezogener Daten ergibt. Mit dem SDM wird eine Methode bereitgestellt, mit der die Risiken der Rechte und Freiheiten natürlicher Personen, die mit der Verarbeitung personenbezogener Daten zwangsläufig einhergehen, mit Hilfe von geeigneten technischen und organisatorischen Maßnahmen beseitigt oder wenigstens auf ein tragbares Maß reduziert werden können. Für das Erstellen von Datenschutz- und Sicherheitskonzepten sind neben derartigen Methoden und Hilfsmitteln aber auch die langjährigen, individuellen Erfahrungen der handelnden Personen unerlässlich. Aus diesen Erfahrungen resultieren mitunter zwar dem SDM vergleichbare, im Detail aber abgewandelte Methoden zur Minimierung des Risikos. Diese Methoden können in speziellen Anwendungskontexten ihre Berechtigung haben. ==== Teil A: Beschreibung des SDM ==== {{page>.v20:teil_a}} ==== Teil B: Anforderungen der DS-GVO ==== {{page>.v20:teil_b}} ==== Teil C: Systematisierung der Anforderungen der DS- GVO durch die Gewährleistungsziele ==== {{page>.v20:teil_c}} ==== Teil D: Praktische Umsetzung ==== {{page>.v20:teil_d}} ==== Teil E: Organisatorische Rahmenbedingungen ==== {{page>.v20:teil_e}} ==== Impressum ==== **Das Standard-Datenschutzmodell**\\ Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele\\ Version 2.0\\ von der 98. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 5. bis 7. November 2019 in Trier beschlossen **Eigentümer:**\\ Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder **Herausgeber:**\\ AK Technik der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder **Redaktion:**\\ UAG „Standard-Datenschutzmodell“ des AK Technik der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder **Ansprechpartner:**\\ Leiter der UAG „Standard-Datenschutzmodell“:\\ //Martin Rost//\\ Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein Holstenstraße 98, 24103 Kiel\\ E-Mail: uld32@datenschutzzentrum.de\\ Tel: 0431 98813 91 **Leiter des AK Technik:**\\ //René Weichelt// Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern\\ Schloss Schwerin, 19053 Schwerin\\ E-Mail: rene.weichelt@datenschutz-mv.de\\ Telefon: 0385 59494 41 //Datenlizenz//\\ Dieses Kurzpapier darf – ohne Rückfrage bei einer Aufsichtsbehörde – kommerziell und nicht kommerziell genutzt, insbesondere vervielfältigt, ausgedruckt, präsentiert, verändert, bearbeitet sowie an Dritte übermittelt oder auch mit eigenen Daten und Daten Anderer zusammengeführt und zu selbständigen neuen Datensätzen verbunden werden, wenn der folgende Quellenvermerk angebracht wird: „Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz). Veränderungen, Bearbeitungen, neue Gestaltungen oder sonstige Abwandlungen der bereitgestellten Daten sind mit einem Veränderungshinweis im Quellenvermerk zu versehen. Datenlizenz Deutschland – Namensnennung – Version 2.0 (www.govdata.de/dl-de/by-2-0 ).