Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
wiki:standard-datenschutzmodell:v20:teil_a [17.11.2019 09:23] Administrator angelegt |
wiki:standard-datenschutzmodell:v20:teil_a [17.11.2019 14:14] (aktuell) Administrator |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | === A1 Zweck des SDM === | + | {{page>.:teil_a:a1}} |
- | + | {{page>.:teil_a:a2}} | |
- | Mit dem Standard-Datenschutzmodell (SDM) wird ein Werkzeug bereitgestellt, | + | {{page>.:teil_a:a3}} |
- | + | {{page>.:teil_a:a4}} | |
- | Voraussetzung für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten sind das Vorhandensein einer ausreichenden und tragfähigen Rechtsgrundlage (Zulässigkeit der Verarbeitung) und die Gewährleistung der Sicherheit der Datenverarbeitung. Es gelten die Verarbeitungsgrundsätze gemäß [[wiki:datenschutzgrundverordnung:kapitel02: | + | |
- | + | ||
- | Anschließend ist kumulativ die zweite Voraussetzung der Rechtmäßigkeit der Verarbeitung zu überprüfen – die Frage, ob die Datenverarbeitung minimiert ([[wiki: | + | |
- | + | ||
- | Insofern ist das SDM Teil eines iterativen Prozesses bestehend aus der rechtlichen Bewertung, der Gestaltung der Verarbeitungsvorgänge sowie der Auswahl und Umsetzung von begleitenden technischen und organisatorischen Maßnahmen. Das SDM bietet mit seinen Gewährleistungszielen eine Transformationshilfe zwischen Recht und Technik und unterstützt damit einen ständigen Dialog zwischen Beteiligten aus dem fachlichen, juristischen und technisch-organisatorischen Bereich. Dieser Prozess läuft während des gesamten Lebenszyklus einer Verarbeitung und kann somit die Forderung der DS-GVO nach regelmäßiger Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen z. B. zur Gewährleistung der Sicherheit der Verarbeitung ([[wiki:datenschutzgrundverordnung:kapitel04: | + | |
- | + | ||
- | Der oben beschriebene iterative Prozess muss weit vor Beginn der Verarbeitung starten, zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung ([[wiki: | + | |
- | + | ||
- | Mit der Datenschutz-Folgenabschätzung (DSFA) verpflichtet die DS-GVO die Verantwortlichen in [[wiki: | + | |
- | + | ||
- | Das SDM richtet sich sowohl an die Aufsichtsbehörden als auch an die für die Verarbeitung personenbezogener Daten Verantwortlichen. Letztere können mit dem SDM die erforderlichen Funktionen und technischen und organisatorischen Maßnahmen systematisch planen, umsetzen und kontinuierlich überwachen. | + | |
- | + | ||
- | === A2 Anwendungsbereich des SDM === | + | |
- | + | ||
- | Die Anwendungsbereiche des Standard-Datenschutzmodells sind Planung, Einführung und Betrieb von Verarbeitungstätigkeiten mit denen personenbezogene Daten verarbeitet werden (personenbezogene Verarbeitungen) sowie deren Prüfung und Beurteilung. Solche Verarbeitungstätigkeiten sind dadurch gekennzeichnet, | + | |
- | + | ||
- | Die DS-GVO fordert, für jede Verarbeitung personenbezogener Daten technische und organisatorische Maßnahmen auszuwählen und umzusetzen, die nach dem Stand der Technik und nach dem Risiko der Rechte und Freiheiten natürlicher Personen erforderlich und angemessen sind. Diese Maßnahmen werden als Teil der Datenverarbeitung betrachtet, einschließlich der mit ihnen selbst möglicherweise verbundenen Verarbeitung personenbezogener Daten, und können ggfs. zu einer eigenen Verarbeitungstätigkeit werden. Dass es sich vielfach so verhalten kann, zeigt sich am Beispiel der Protokollierung, | + | |
- | + | ||
- | Die Rechtsgrundlage kann konkrete Maßnahmen vorschreiben, | + | |
- | + | ||
- | === A3 Struktur des SDM === | + | |
- | + | ||
- | Das Standard-Datenschutzmodell | + | |
- | + | ||
- | * systematisiert datenschutzrechtliche Anforderungen in Gewährleistungszielen, | + | |
- | * leitet aus den Gewährleistungszielen systematisch generische Maßnahmen ab, ergänzt um einen Referenzmaßnahmen-Katalog, | + | |
- | * modelliert die Verarbeitungstätigkeit (Geschäftsprozess) mit ihren Elementen Daten, Systemen und Diensten sowie Teilprozessen, | + | |
- | * systematisiert die Identifikation der Risiken zur Feststellung des Schutzbedarfs einer Verarbeitung und | + | |
- | * bietet ein Vorgehensmodell für eine Modellierung, | + | |
- | + | ||
- | === A4 Funktion der Gewährleistungsziele des SDM === | + | |
- | + | ||
- | Das SDM verwendet zur Systematisierung datenschutzrechtlicher Anforderungen „Gewährleistungsziele“. Die datenschutzrechtlichen Anforderungen zielen auf eine rechtskonforme Verarbeitung, | + | |
- | Die Vorteile in der Arbeit mit Gewährleistungszielen liegen in der vereinfachten Modellierung von funktionalen Anforderungen in praktischen Anwendungsfällen und der einfachen Visualisierung von Konflikten. Die Gewährleistungsziele unterstützen die systematische Umsetzung rechtlicher Anforderungen in technische und organisatorische Maßnahmen und können somit als „Optimierungsgebote“ aufgefasst werden. | + | |
- | + | ||
- | Das SDM benennt sieben Gewährleistungsziele des Datenschutzes, | + | |
- | + | ||
- | * Datenminimierung | + | |
- | * Verfügbarkeit, | + | |
- | * Integrität, | + | |
- | * Vertraulichkeit, | + | |
- | * Nichtverkettung, | + | |
- | * Transparenz und | + | |
- | * Intervenierbarkeit. | + | |
- | + | ||
- | In diesen Gewährleistungszielen finden sich die seit vielen Jahren in der Praxis bewährten Schutzziele der Informationssicherheit wieder. Die Ziele Verfügbarkeit, | + | |
- | + | ||
- | Datenschutz interpretiert Gewährleistungsziele jedoch nicht aus der Perspektive der Organisation, | + | |
- | + | ||
- | Das Konzept der Gewährleistungsziele ist im Kontext des Datenschutzrechts nicht neu. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat in ihrem Eckpunktepapier „Ein modernes Datenschutzrecht für das 21. Jahrhundert“ bereits im März 2010 eine grundsätzliche Reform der Regeln des technischen und organisatorischen Datenschutzes vorgeschlagen und gefordert, die o. g. Gewährleistungsziele in das künftige Datenschutzrecht aufzunehmen. ((https:// | + | |
- | + | ||
- | Der europäische Gesetzgeber hat in der Datenschutz-Grundverordnung das Konzept der Gewährleistungsziele aufgegriffen und setzt somit die kontinuierliche Weiterentwicklung des technischen Datenschutzes von den ehemaligen Kontrollzielen des ersten Bundesdatenschutzgesetzes zu technologieneutralen Gewährleistungszielen fort. Die DS- GVO regelt in [[wiki: | + | |
- | + | ||
- | Folgerichtig ist zu konstatieren, | + |