Mit der DS-GVO wird das Datenschutzrecht europaweit einheitlich geregelt. Die Verordnung ist am 25.05.2016 in Kraft getreten und gilt gemäß [[wiki:datenschutzgrundverordnung:kapitel11:artikel99|Art. 99]] Abs. 2 DS-GVO seit dem 25.05.2018 unmittelbar in allen EU-Mitgliedstaaten. Für die nationalen Gesetzgeber wurden durch zahlreiche Spezifizierungsklauseln ergänzende Regelungsbefugnisse geschaffen. Jedoch besteht für die DS-GVO ein grundsätzlicher Anwendungsvorrang vor nationalem Recht. Der Kern der Anforderungen der DS-GVO wird in den Grundsätzen der Verarbeitung personenbezogener Daten gemäß [[wiki:datenschutzgrundverordnung:kapitel02:artikel05|Art. 5 DS-GVO]] festgehalten, die wiederum den Schutzauftrag aus Art. 8 der Charta der Grundrechte der Europäischen Union aufnehmen.

Entsprechend verpflichtet die DS-GVO Verantwortliche und Auftragsverarbeiter dazu, die Verarbeitungsvorgänge und die hierfür eingesetzte Technik im Hinblick auf die Gewährleistung des grundrechtlichen Schutzes der Rechte der Betroffenen auszugestalten ([[wiki:datenschutzgrundverordnung:kapitel04:artikel25|Art. 25]], [[wiki:datenschutzgrundverordnung:kapitel04:artikel28|28]] DS-GVO) sowie zur Minderung der entstehenden Risiken, darunter insbesondere den unbefugten Zugriff durch Dritte die dafür angemessenen technischen und organisatorischen Maßnahmen ( u.a. [[wiki:datenschutzgrundverordnung:kapitel04:artikel32|Art. 32]], [[wiki:datenschutzgrundverordnung:kapitel04:artikel28|28]] Abs. 3 lit. d DS-GVO) auszuwählen, einzusetzen und auf ihre Wirksamkeit zu überprüfen ([[wiki:datenschutzgrundverordnung:kapitel04:artikel32|Art. 32]] Abs. 1 lit. d DS-GVO). Der Verantwortliche ist für die Einhaltung der Grundsätze der Verarbeitung nach [[wiki:datenschutzgrundverordnung:kapitel02:artikel05|Art. 5]] Abs. 1, [[wiki:datenschutzgrundverordnung:kapitel04:artikel24|24]] DS-GVO verantwortlich und muss deren Einhaltung nachweisen können.

Die DS-GVO verlangt für Verarbeitungen mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gemäß [[wiki:datenschutzgrundverordnung:kapitel04:artikel35|Art. 35]] DS-GVO. Die DSFA enthält eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und spezifiziert im Ergebnis technische und organisatorische Maßnahmen zur Bewältigung der erwarteten Risiken. Dies schließt gemäß [[wiki:datenschutzgrundverordnung:kapitel04:artikel35|Art. 35]] Abs. 7 DS-GVO Garantien, Sicherheitsvorkehrungen und Verfahren ein, durch die der Schutz personenbezogener Daten sichergestellt, nachgewiesen und überprüft werden kann. Das SDM soll dazu beitragen, die in [[wiki:datenschutzgrundverordnung:kapitel02:artikel05|Art. 5 DS-GVO]] formulierten Grundsätze für die Verarbeitung personenbezogener Daten umzusetzen und mit überschaubarem Aufwand die von der DS-GVO geforderten Umsetzungsnachweise, bspw. gemäß [[wiki:datenschutzgrundverordnung:kapitel02:artikel05|Art. 5]] Abs. 2, [[wiki:datenschutzgrundverordnung:kapitel04:artikel24|Art. 24]] Abs. 1 DS-GVO zu erbringen.

Mit dem SDM wird das Ziel verfolgt, die von der DS-GVO vergebenen datenschutzrechtlichen Anforderungen praktisch umzusetzen. Daher ist es erforderlich, aus den gesamten Vorschriften der DS-GVO diejenigen rechtlichen Anforderungen systematisch herauszuarbeiten, die durch technische und organisatorische Maßnahmen zu erfüllen sind. Dies ist erstens mit der Schwierigkeit verbunden, dass diese Anforderungen über die gesamte DS-GVO verstreut und nicht an einer Stelle gebündelt worden sind. Zweitens besteht das Problem, dass die Anforderungen der DS-GVO keinen einheitlichen Konkretisierungsgrad aufweisen. Teilweise formuliert die Verordnung bereits konkrete Anforderungen wie insbesondere in [[wiki:datenschutzgrundverordnung:kapitel02:artikel05|Art. 5]] Abs. 1 DS-GVO Transparenz, Datenminimierung und Zweckbindung. Teilweise müssen die rechtlichen Anforderungen aber erst aus den Rechten, Pflichten und sonstigen Vorgaben abgeleitet werden. Häufig ist daher ein Zwischenschritt vom Gesetzestext zur Anforderung erforderlich, wie bei der Vorgabe datenschutzfreundliche Voreinstellungen.

Das SDM legt die folgenden datenschutzrechtlichen Anforderungen zugrunde, die aus der DS-GVO systematisch herausgearbeitet worden sind. Die Anforderungen werden in die drei Blöcke zentrale datenschutzrechtliche Anforderungen, Einwilligungsmanagement und Umsetzung aufsichtsbehördlicher Anforderungen differenziert. Die zentralen datenschutzrechtlichen Anforderungen sind grundsätzlich bei jeder Verarbeitung personenbezogener Daten umzusetzen. Im Einwilligungsmanagement werden die Anforderungen zusammengefasst, die zusätzlich zu erfüllen sind, wenn die Rechtmäßigkeit der Verarbeitung auf [[wiki:datenschutzgrundverordnung:kapitel02:artikel06|Art. 6]] Abs. 1 lit. a DS-GVO gestützt wird. Schließlich müssen gegebenenfalls für die Umsetzung aufsichtsbehördlicher Maßnahmen weitere Anforderungen berücksichtigt werden.

Im Folgenden wird übersichtlich dargestellt, aus welchen Vorschriften der DS-GVO welche Anforderungen abgeleitet wurden. ((Das SDM betrachtet weder grundlegende Fragen der materiellen Rechtmäßigkeit einer Verarbeitung noch spezialgesetzliche Regelungen oder Regelungen auf einem hohen Detaillierungsgrad. Daher ist aus dieser rechtlichen Vorgabe keine Anforderung abzuleiten, die im SDM aufgenommen wird. Die Orientierung an den allgemein geltenden Grundsätzen des Datenschutzes erübrigt daher nicht die Kenntnisnahme der datenschutzrechtlichen Regelungen, auch nicht im Bereich der technischen und organisatorischen Maßnahmen.))

Die folgenden Anforderungen ergeben sich unmittelbar aus [[wiki:datenschutzgrundverordnung:kapitel02:artikel05|Art. 5]] Abs. 1 DS-GVO:

  * Transparenz für Betroffene von Verarbeitungen personenbezogener Daten ([[wiki:datenschutzgrundverordnung:kapitel02:artikel05|Art. 5]] Abs. 1 lit. a DS-GVO),
  * Zweckbindung einer Verarbeitung personenbezogener Daten ([[wiki:datenschutzgrundverordnung:kapitel02:artikel05|Art. 5]] Abs. 1 lit. b DS- GVO),
  * Datenminimierung einer Verarbeitung personenbezogener Daten ([[wiki:datenschutzgrundverordnung:kapitel02:artikel05|Art. 5]] Abs. 1 lit. c DS-GVO),
  * Richtigkeit personenbezogener Daten ([[wiki:datenschutzgrundverordnung:kapitel02:artikel05|Art. 5]] Abs. 1 lit. d DS-GVO),
  * Speicherbegrenzung personenbezogener Daten ([[wiki:datenschutzgrundverordnung:kapitel02:artikel05|Art. 5]] Abs. 1 lit. e DS-GVO),
  * Integrität personenbezogener Daten ([[wiki:datenschutzgrundverordnung:kapitel02:artikel05|Art. 5]] Abs. 1 lit. f DS-GVO, [[wiki:datenschutzgrundverordnung:kapitel04:artikel32|Art. 32]] Abs. 1 lit. b DS-GVO),
  * Vertraulichkeit personenbezogener Daten ([[wiki:datenschutzgrundverordnung:kapitel02:artikel05|Art. 5]] Abs. 1 lit. f DS-GVO, [[wiki:datenschutzgrundverordnung:kapitel04:artikel32|Art. 32]] Abs. 1 lit. b DS-GVO),

Übergreifend ergibt sich die Vorgabe, dass der Verantwortliche die Einhaltung des Absatzes 1 nachweisen können muss.

  * Rechenschafts- und Nachweisfähigkeit ([[wiki:datenschutzgrundverordnung:kapitel02:artikel05|Art. 5]] Abs. 2, [[wiki:datenschutzgrundverordnung:kapitel04:artikel24|Art. 24]] Abs. 1 DS-GVO).

Die DS-GVO erkennt verschiedene Rechte der Betroffenen an. Die Rechte der Betroffenen ergeben sich explizit aus [[wiki:datenschutzgrundverordnung:kapitel03|Kapitel III]] der DS-GVO ([[wiki:datenschutzgrundverordnung:kapitel03:artikel12|Art. 12]]-[[wiki:datenschutzgrundverordnung:kapitel03:artikel23|23]] DS-GVO). Der Verantwortliche muss gemäß [[wiki:datenschutzgrundverordnung:kapitel03:artikel12|Art. 12]], [[wiki:datenschutzgrundverordnung:kapitel04:artikel24|24]] DS-GVO die Voraussetzungen für die Gewährung dieser Rechte durch technische und organisatorische Maßnahmen schaffen.
Aus der rechtlichen Vorgabe der Berücksichtigung der Betroffenenrechte ergeben sich im Einzelnen die folgenden Anforderungen ((Die Prüfung der Voraussetzungen der Betroffenenrechte muss erfolgen, ist aber nicht Gegenstand des SDM.)):

  * Unterstützung bei der Wahrnehmung von Betroffenenrechten ([[wiki:datenschutzgrundverordnung:kapitel03:artikel12|Art. 12]] Abs. 1 und Abs. 2 DS-GVO,
  * Identifizierung und Authentifizierung des Auskunftsersuchenden ([[wiki:datenschutzgrundverordnung:kapitel03:artikel12|Art. 12]] Abs. 6 DS- GVO),
  * Berichtigungsmöglichkeiten von Daten ([[wiki:datenschutzgrundverordnung:kapitel03:artikel16|Art. 16 DS-GVO]]),
  * Löschbarkeit von Daten ([[wiki:datenschutzgrundverordnung:kapitel03:artikel17|Art. 17]] Abs. 1 DS-GVO),
  * Einschränkbarkeit der Verarbeitung von Daten (ehemals Sperrung, [[wiki:datenschutzgrundverordnung:kapitel03:artikel18|Art. 18 DS-GVO]]),
  * Datenübertragbarkeit ([[wiki:datenschutzgrundverordnung:kapitel03:artikel20|Art. 20 DS-GVO]]),
  * Eingriffsmöglichkeit in Prozesse automatisierter Entscheidungen ([[wiki:datenschutzgrundverordnung:kapitel03:artikel22|Art. 22]] Abs. 3 DS-GVO),
  * Fehler- und Diskriminierungsfreiheit beim Profiling ([[wiki:datenschutzgrundverordnung:kapitel03:artikel22|Art. 22]] Abs. 3 und 4, [[wiki:erwaegungsgruende:erwgr071|Erwägungsgrund 71]]).

Durch die DS-GVO wird der Datenschutz durch Technik stark gefördert. Dieses wird in [[wiki:datenschutzgrundverordnung:kapitel04:artikel25|Art. 25]] und [[wiki:datenschutzgrundverordnung:kapitel04:artikel32|32]] DS-GVO bereits zu mehreren Anforderungen ausdifferenziert:

  * Datenschutz durch Voreinstellungen ([[wiki:datenschutzgrundverordnung:kapitel04:artikel25|Art. 25]] Abs. 2 DS-GVO),
  * Verfügbarkeit der Systeme, Dienste und Daten ([[wiki:datenschutzgrundverordnung:kapitel04:artikel32|Art. 32]] Abs. 1 lit. b und lit. c DS-GVO),
  * Belastbarkeit der Systeme und Dienste ([[wiki:datenschutzgrundverordnung:kapitel04:artikel32|Art. 32]] Abs. 1 lit. b DS-GVO),
  * Wiederherstellbarkeit der Daten und des Datenzugriffs ([[wiki:datenschutzgrundverordnung:kapitel04:artikel32|Art. 32]] Abs. 1 lit. c DS-GVO),
  * Evaluierbarkeit ([[wiki:datenschutzgrundverordnung:kapitel04:artikel32|Art. 32]] Abs. 1 lit. d DS-GVO).

Gegenüber Aufsichtsbehörden und Betroffenen besteht für Verantwortliche gemäß [[wiki:datenschutzgrundverordnung:kapitel04:artikel33|Art. 33]] und [[wiki:datenschutzgrundverordnung:kapitel04:artikel34|34]] DS-GVO eine Meldepflicht bzw. Benachrichtigungspflicht beim Auftreten von Verletzungen des Schutzes personenbezogener Daten (Datenschutzverletzungen). Daraus ergeben sich Anforderungen an einen ordnungsgemäßen Umgang mit Datenpannen. Dies verlangt die Fähigkeiten zur Feststellung von Datenschutzverletzungen (vgl. [[wiki:erwaegungsgruende:erwgr087|Erwägungsgrund 87 DS-GVO]]), Klassifikation von Datenschutzverletzungen, Meldung von Datenschutzverletzungen an Aufsichtsbehörden ([[wiki:datenschutzgrundverordnung:kapitel04:artikel33|Art. 33 DS-GVO]]) und Benachrichtigung der Betroffenen von Datenschutzverletzungen ([[wiki:datenschutzgrundverordnung:kapitel04:artikel34|Art. 34 DS-GVO]]). Daraus resultieren die Anforderungen:

  * angemessene Überwachung der Verarbeitung ([[wiki:datenschutzgrundverordnung:kapitel04:artikel32|Art. 32]], [[wiki:datenschutzgrundverordnung:kapitel04:artikel33|33]], [[wiki:datenschutzgrundverordnung:kapitel04:artikel34|34]] DS-GVO)
  * Behebung und Abmilderung von Datenschutzverletzungen ([[wiki:datenschutzgrundverordnung:kapitel04:artikel33|Art. 33]], [[wiki:datenschutzgrundverordnung:kapitel04:artikel34|34]] DS-GVO).

Beruht die Verarbeitung auf einer Einwilligung, dann sind zusätzlich zu den allgemeinen Anforderungen die spezifischen Anforderungen gemäß [[wiki:datenschutzgrundverordnung:kapitel02:artikel07|Art. 7]] und ggfs. [[wiki:datenschutzgrundverordnung:kapitel02:artikel08|Art. 8 DS-GVO]] einzuhalten (siehe B2).

  * Einwilligungsmanagement ([[wiki:datenschutzgrundverordnung:kapitel01:artikel04|Art. 4]] Nr. 11, [[wiki:datenschutzgrundverordnung:kapitel02:artikel07|Art. 7]] und [[wiki:datenschutzgrundverordnung:kapitel02:artikel08|8]] DS-GVO).

Die DS-GVO räumt Aufsichtsbehörden in [[wiki:datenschutzgrundverordnung:kapitel06:artikel58|Art. 58 DS-GVO]] verschiedene Befugnisse im Rahmen ihrer Aufgabenerfüllung ein (siehe Kapitel B3):

  * Umsetzung aufsichtsbehördlicher Anordnung ([[wiki:datenschutzgrundverordnung:kapitel06:artikel58|Art. 58 DS-GVO]]).

Die Reihenfolge der folgenden Abschnitte orientiert sich an der Reihenfolge, in der die Anforderungen in der DS-GVO formuliert sind.

{{page>.:teil_b:b1}}
{{page>.:teil_b:b2}}
{{page>.:teil_b:b3}}