Benutzer-Werkzeuge

Webseiten-Werkzeuge


wiki:standard-datenschutzmodell

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
wiki:standard-datenschutzmodell [20.11.2019 09:30]
Administrator
wiki:standard-datenschutzmodell [28.07.2020 11:50] (aktuell)
Administrator
Zeile 15: Zeile 15:
 Teil D - [[wiki:​standard-datenschutzmodell:​v20:​teil_d|Praktische Umsetzung]]\\ Teil D - [[wiki:​standard-datenschutzmodell:​v20:​teil_d|Praktische Umsetzung]]\\
 Teil E - [[wiki:​standard-datenschutzmodell:​v20:​teil_e|Organisatorische Rahmenbedingungen]] Teil E - [[wiki:​standard-datenschutzmodell:​v20:​teil_e|Organisatorische Rahmenbedingungen]]
 +
 +==== Grundlegendes ====
 +
 +> Das Standard-Datenschutzmodell ist eine Methode, mit der die Übereinstimmung von Anforderungen des Datenschutzrechts und technisch-organisatorischen Funktionen personenbezogener Verfahren in Deutschland überprüfbar wird. Das SDM soll erstens zu bundesweit abgestimmten,​ transparenten und nachvollziehbaren Beratungs- und Prüftätigkeiten der Datenschutzbehörden führen und zweitens Organisationen ein Werkzeug an die Hand geben, um selbsttätig personenbezogene Verfahren datenschutzgerecht einrichten und betreiben zu können. (Quelle: [[wpde>​Standard-Datenschutzmodell]])
  
 Das SDM legt die datenschutzrechtlichen Anforderungen zugrunde, die aus der DSGVO systematisch herausgearbeitet worden sind. Die Anforderungen werden in die drei Blöcke zentrale datenschutzrechtliche Anforderungen,​ Einwilligungsmanagement und Umsetzung aufsichtsbehördlicher Anforderungen differenziert. Die zentralen datenschutzrechtlichen Anforderungen sind grundsätzlich bei jeder Verarbeitung personenbezogener Daten umzusetzen. Im Einwilligungsmanagement werden die Anforderungen zusammengefasst,​ die zusätzlich zu erfüllen sind, wenn die Rechtmäßigkeit der Verarbeitung auf [[wiki:​datenschutzgrundverordnung:​kapitel02:​artikel06|Art. 6]] Abs. 1 lit. a DSGVO gestützt wird. Schließlich müssen gegebenenfalls für die Umsetzung aufsichtsbehördlicher Maßnahmen weitere Anforderungen berücksichtigt werden. ((Auszug aus [[wiki:​standard-datenschutzmodell:​v20:​teil_b|Teil B]])) Das SDM legt die datenschutzrechtlichen Anforderungen zugrunde, die aus der DSGVO systematisch herausgearbeitet worden sind. Die Anforderungen werden in die drei Blöcke zentrale datenschutzrechtliche Anforderungen,​ Einwilligungsmanagement und Umsetzung aufsichtsbehördlicher Anforderungen differenziert. Die zentralen datenschutzrechtlichen Anforderungen sind grundsätzlich bei jeder Verarbeitung personenbezogener Daten umzusetzen. Im Einwilligungsmanagement werden die Anforderungen zusammengefasst,​ die zusätzlich zu erfüllen sind, wenn die Rechtmäßigkeit der Verarbeitung auf [[wiki:​datenschutzgrundverordnung:​kapitel02:​artikel06|Art. 6]] Abs. 1 lit. a DSGVO gestützt wird. Schließlich müssen gegebenenfalls für die Umsetzung aufsichtsbehördlicher Maßnahmen weitere Anforderungen berücksichtigt werden. ((Auszug aus [[wiki:​standard-datenschutzmodell:​v20:​teil_b|Teil B]]))
 +
 +Die wesentliche Komponente des SDM besteht aus einem Konzept von <hi #​fff200>​sieben elementaren Gewährleistungszielen</​hi>​. Als Gewährleistungsziele gelten die Sicherung der
 +
 +  * Verfügbarkeit,​
 +  * Integrität,​
 +  * Vertraulichkeit,​
 +  * Transparenz,​
 +  * Intervenierbarkeit,​
 +  * Nicht-Verkettbarkeit,​ ergänzt um das allgemeine Gewährleistungsziel der
 +  * „Datenminimierung“ (Prinzip der Datensparsamkeit).
 +
 +==== Festlegung des Schutzbedarfs aus der Betroffenenperspektive ====
 +
 +Das Konzept des SDM sieht vor, diese Gewährleistungsziele heranzuziehen und, in methodischer Anlehnung an IT-Grundschutz des BSI, um Schutzbedarfsfeststellungen zu ergänzen. Im Unterschied zu Grundschutz ist die Schutzperspektive <hi #​fff200>​aus der Sicht einzelner Betroffener</​hi>​ formuliert und der Schutzbedarf aus der <hi #​fff200>​Eingriffsintensität eines personenbezogenen Verfahrens</​hi>​ abgeleitet, nicht jedoch aus dem möglichen Schadensrisiko,​ das aus der Schadenswahrscheinlichkeit und Schadenshöhe errechnet wird.
 +
 +==== Bezug des SDM zum IT-Grundschutz und zu ISO-Normen ====
  
 Das SDM ist auch im IT-Grundschutz direkt verankert: Im [[https://​www.bsi.bund.de/​DE/​Themen/​ITGrundschutz/​ITGrundschutzKompendium/​bausteine/​CON/​CON_2_Datenschutz.html|Abschnitt zu Datenschutz]] weist das BSI darauf hin, dass die Nichtberücksichtigung des SDM begründet werden müsse. Das SDM ist auch im IT-Grundschutz direkt verankert: Im [[https://​www.bsi.bund.de/​DE/​Themen/​ITGrundschutz/​ITGrundschutzKompendium/​bausteine/​CON/​CON_2_Datenschutz.html|Abschnitt zu Datenschutz]] weist das BSI darauf hin, dass die Nichtberücksichtigung des SDM begründet werden müsse.
 +
 +Die Vorgaben einer Datenschutzprüfung ergeben sich aus dem Datenschutzrecht. Datenschutzanforderungen haben einen sehr viel höheren Verpflichtungsgrad als Anforderungen der IT-Sicherheit,​ wie sie bspw. vom IT-Grundschutz des BSI oder von Normen der ISO formuliert werden. <hi #​fff200>​Ohne eine Rechtsgrundlage dürfen Organisationen keine Personendaten verarbeiten</​hi>​.
 +
 +Dieses grundlegende Verbot mit Erlaubnisvorbehalt entspricht der grundlegenden "​Firewall-Regel",​ wonach zunächst alle Ports zu schließen sind (//​Deny-All//​);​ anschließend werden nur die unverzichtbaren Ports für Kommunikationsverbindungen bzw. die notwendige Datenverarbeitung geöffnet.
 +
 +Deshalb beginnt jede Datenschutzprüfung personenbezogener Verfahren mit der <hi #​fff200>​Prüfung der Rechtsgrundlagen</​hi>,​ die eine <hi #​fff200>​zweckdefinierte Verarbeitung</​hi>​ legitimieren. Trägt diese Rechtsgrundlage,​ können Soll-Vorgaben an eine datenschutzgerechte Datenverarbeitung mit technisch-organisatorischen Schutzmaßnahmen formuliert und mit den Ist-Feststellungen einer Bestandsaufnahme vor Ort verglichen bzw. beurteilt werden. ​
  
 === Datenlizenz === === Datenlizenz ===
  
 Dieses Kurzpapier darf – ohne Rückfrage bei einer Aufsichtsbehörde – kommerziell und nicht kommerziell genutzt, insbesondere vervielfältigt,​ ausgedruckt,​ präsentiert,​ verändert, bearbeitet sowie an Dritte übermittelt oder auch mit eigenen Daten und Daten Anderer zusammengeführt und zu selbständigen neuen Datensätzen verbunden werden, wenn der folgende Quellenvermerk angebracht wird: „Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz). Veränderungen,​ Bearbeitungen,​ neue Gestaltungen oder sonstige Abwandlungen der bereitgestellten Daten sind mit einem Veränderungshinweis im Quellenvermerk zu versehen. Datenlizenz Deutschland – Namensnennung – Version 2.0 (www.govdata.de/​dl-de/​by-2-0 ). Dieses Kurzpapier darf – ohne Rückfrage bei einer Aufsichtsbehörde – kommerziell und nicht kommerziell genutzt, insbesondere vervielfältigt,​ ausgedruckt,​ präsentiert,​ verändert, bearbeitet sowie an Dritte übermittelt oder auch mit eigenen Daten und Daten Anderer zusammengeführt und zu selbständigen neuen Datensätzen verbunden werden, wenn der folgende Quellenvermerk angebracht wird: „Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz). Veränderungen,​ Bearbeitungen,​ neue Gestaltungen oder sonstige Abwandlungen der bereitgestellten Daten sind mit einem Veränderungshinweis im Quellenvermerk zu versehen. Datenlizenz Deutschland – Namensnennung – Version 2.0 (www.govdata.de/​dl-de/​by-2-0 ).
wiki/standard-datenschutzmodell.txt · Zuletzt geändert: 28.07.2020 11:50 von Administrator