Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
wiki:standard-datenschutzmodell:v20:teil_e [17.11.2019 14:21] Administrator |
wiki:standard-datenschutzmodell:v20:teil_e [17.11.2019 14:24] (aktuell) Administrator |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
{{page> | {{page> | ||
{{page> | {{page> | ||
- | + | {{page>.:teil_e:e3}} | |
- | === E3 Vorgenommene Änderungen von SDM-Versionen === | + | {{page>.:teil_e:e4}} |
- | + | {{page>.:teil_e:e5}} | |
- | == E3.1 Änderungen von V1.1 auf V2.0 (Stand 5.11.2019) == | + | {{page>.:teil_e:e6}} |
- | + | ||
- | Die Version SDM 2.0 umfasst nun fünf Teile: | + | |
- | + | ||
- | A – Beschreibung des SDM,\\ | + | |
- | B – Zusammenstellung der Anforderungen der DS-GVO,\\ | + | |
- | C – Systematisierung der Anforderungen der DS-GVO durch Gewährleistungsziele, | + | |
- | D – Praktische Umsetzung, | + | |
- | E – Organisatorische Rahmenbedingungen, | + | |
- | + | ||
- | Der Teil A beschreibt Zweck, Anwendungsbereich und Struktur des Modells, an denen sich gegenüber der Vorversion inhaltlich nichts geändert hat. Das SDM umfasst sieben Gewährleistungsziele, | + | |
- | + | ||
- | Der Teil B stimmt das SDM V2.0 gegenüber der Vorversion noch einmal verstärkt auf die Anforderungen DS-GVO ab. Es sind insbesondere alle einzelnen in der DS-GVO genannten konkreten Maßnahmen zur Umsetzung der Betroffenenrechte berücksichtigt. Ferner ist ein Kapitel zum „Einwilligungsmanagement“ sowie zur „Umsetzung aufsichtsbehördlicher Anordnungen“ hinzugekommen. | + | |
- | + | ||
- | Im Teil C werden die Gewährleistungsziele wie bisher den Grundsätzen aus [[wiki:datenschutzgrundverordnung: | + | |
- | + | ||
- | Teil D stellt die praktische Umsetzung dar; hier wurden die größten Änderungen gegenüber der Vorversion vorgenommen. In dem Kapitel zu „Risiko und Schutzbedarf“ besteht die konzeptionelle Neuerung zur V1.1 in einer klaren Darstellung des Verhältnisses von Schutzbedarf und Risiken: Der Schutzbedarf einer Person entsteht aus den Risiken, die eine Verarbeitungstätigkeit mit Personenbezug ohne technische und organisatorische Maßnahmen erzeugen würde. Während der so bestimmte Schutzbedarf der betroffenen Personen konstant bleibt, lassen sich die Risiken - durch die Gestaltung der Verarbeitungstätigkeit sowie durch den Betrieb technischer und organisatorischer Maßnahmen - mindern; diese Minderung muss bis auf ein verantwortbares Schutzniveau bzw. Restrisiko erfolgen. | + | |
- | + | ||
- | Neu aufgenommen wurde das Kapitel zu „Datenschutzmanagement“. Ein Datenschutzmanagement (DSM) stellt ein methodisches Bindeglied zwischen den betrieblichen und rechtlichen Anforderungen einer Organisation und den technischen Funktionen und den technischen und organisatorischen Maßnahmen dar. Deshalb sollte die Darstellung eines DSM immer auch Bestandteil der Methodik sein. Dieses Kapitel nimmt Bezug auch auf die Durchführung einer Datenschutz-Folgenabschätzung gem. [[wiki:datenschutzgrundverordnung: | + | |
- | + | ||
- | Ein besonderes Augenmerk wurde auf eine konsistentere Nutzung des für die DS-GVO zentralen Begriffs der „Verarbeitungstätigkeit“ (vormals „Verfahren“) gelegt. Während der Begriff „Verarbeitung“ in [[wiki:datenschutzgrundverordnung:kapitel01: | + | |
- | + | ||
- | == E3.2 Änderungen von V1.0 auf V1.1 (Stand 26.4.2018) == | + | |
- | + | ||
- | Die folgenden Änderungen betreffen den gesamten Text: | + | |
- | + | ||
- | * Das SDM referenziert in der vorliegenden Version ausschließlich auf die DS-GVO; die Bezüge zum BDSG und zu den Landesdatenschutzgesetzen wurden herausgenommen. Möglicherweise müssen Bezüge zum BDSGneu und zu den novellierten Landesdatenschutzgesetzen neu hergestellt werden. Diese Bezüge herzustellen bleibt einer weiteren Fortschreibung des SDM vorbehalten. | + | |
- | + | ||
- | * Der Begriff " | + | |
- | + | ||
- | * Es wurde darauf geachtet, dass das SDM insgesamt auch international anschlussfähig ist, wobei Bezüge zu Urteilen des BVerfG erhalten blieben. | + | |
- | + | ||
- | * Ergänzung dieses Kapitels, das die Änderungen zur vorigen Version auflistet. | + | |
- | + | ||
- | Wesentliche Änderungen in den einzelnen Kapiteln: | + | |
- | + | ||
- | "Kap. 1 Einleitung" | + | |
- | + | ||
- | "Kap. 2 Der Zweck des Standard-Datenschutzmodells" | + | |
- | + | ||
- | "Kap. 5.5 Weitere abgeleitete Gewährleistungsziele" | + | |
- | + | ||
- | "Kap 6.2 Verankerung der Gewährleistungsziele im BDSG" und "Kap. 6.3 Verankerung der Gewährleistungsziele in den Landesdatenschutzgesetzen" | + | |
- | + | ||
- | "Kap. 8 Die Verfahrenskomponenten" | + | |
- | + | ||
- | "Kap. 9 Der Schutzbedarf" | + | |
- | + | ||
- | Die vorgenommenen Änderungen von SDM 1.1 | + | |
- | + | ||
- | Kapitel 1 - 3 wurden angepasst | + | |
- | + | ||
- | Kapitel 4 an die Sprachregelung der DS-GVO angepasst Kapitel 5 komplett überarbeitet | + | |
- | + | ||
- | Kapitel 6.1 gelöscht | + | |
- | + | ||
- | Kapitel 6.2 in Kapitel 5 überführt | + | |
- | + | ||
- | === E4 Stichwortverzeichnis === | + | |
- | + | ||
- | Nicht übernommen. | + | |
- | + | ||
- | === E5 Abkürzungsverzeichnis === | + | |
- | + | ||
- | | Abs. | Absatz | | + | |
- | | AK Technik | Arbeitskreis „Technische und organisatorische Datenschutzfragen“ der DSK | | + | |
- | | Art. | Artikel | | + | |
- | | Art.-29-Gruppe | Artikel-29-Datenschutzgruppe | | + | |
- | | BSI | Bundesamt für Sicherheit der Informationstechnik | | + | |
- | | bzgl. | bezüglich | | + | |
- | | bzw. | beziehungsweise | | + | |
- | | CON | Konzeption und Vorgehen (Bausteinbezeichnung im BSI-Kompendium) | | + | |
- | | CPU | Central Processing Unit (zentrale Verarbeitungseinheit) | | + | |
- | | CR | Change Request (Änderungsantrag) | | + | |
- | | d. h. | das heißt | | + | |
- | | DSFA | Datenschutz-Folgenabschätzung | | + | |
- | | DS-GVO | Datenschutz-Grundverordnung | | + | |
- | | DSK | Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Datenschutzkonferenz | | + | |
- | | DSM | Datenschutzmanagement | | + | |
- | | ErwGr. | Erwägungsgrund | | + | |
- | | EuGH | Europäischer Gerichtshof | | + | |
- | | ggf. | gegebenenfalls | | + | |
- | | i. V. m. | in Verbindung mit | | + | |
- | | IKT | Informations- und Kommunikationstechnik | | + | |
- | | IT | Informationstechnik | | + | |
- | | Kap. | Kapitel | | + | |
- | | LAN | Local Area Network (lokales oder örtliches Netzwerk) | | + | |
- | | lit. | Buchstabe | | + | |
- | | NAS | Network Attached Storage (netzgebundener Speicher) | | + | |
- | | NEGS | Nationale E-Government-Strategie | | + | |
- | | Nr. | Nummer | | + | |
- | | PDCA | Plan Do Check Act (Phasen des Deming-Zyklus) | | + | |
- | | SAN | Storage Area Network (Datenspeicher-Netzwerk) | | + | |
- | | SDM | Standard-Datenschutzmodell | | + | |
- | | SPoC | Sigle Point of Contact (singulärer Kontaktpunkt, | + | |
- | | u. a. | unter anderem | | + | |
- | | vgl. | vergleiche | | + | |
- | | WP | Working Paper (der Art.-29-Gruppe) | | + | |
- | | z. B. | zum Beispiel | | + | |
- | + | ||
- | === E6 Anhang Referenzmaßnahmen-Katalog === | + | |
- | + | ||
- | Der Referenzmaßnahmen-Katalog wird künftig Bestandteil des SDM, wird aber – in Abhängigkeit der technischen Entwicklung – in kürzeren Zyklen nach den Vorgaben des Betriebskonzeptes (siehe Kapitel E2) überarbeitet als das SDM selbst. | + | |
- | + | ||
- | Der Maßnahmenkatalog ist in einzelne, verabeitungsspezifische Bausteine gegliedert. Jeder Baustein enthält Baustein spezifische Maßnahmen auf der Ebene der Daten, IT- Systeme/ | + | |
- | + | ||
- | Im Rahmen Erprobung des SDM werden die einzelnen Bausteine des Katalogs zunächst von einzelnen Aufsichtsbehörden veröffentlicht und getestet, um ihre Praxistauglichkeit erproben und nachweisen zu können. Wenn der Nachweis der Praxistauglichkeit dieser Bausteine erbracht ist, werden sie als verbindliche SDM-Bausteine vom AK Technik veröffentlicht. | + |