Anwender des Standard-Datenschutzmodells können die ersten Bausteine eines umfassenden Maßnahmenkatalogs zu Themen wie Aufbewahrung, Löschung, Protokollierung und andere in der Praxis erproben.

Als Standard-Datenschutzmodell (SDM) bezeichnen die Datenschutzaufsichtsbehörden der Länder und des Bundes ein Modell (DSK), mit dem die Übereinstimmung der gesetzlichen Anforderungen im Umgang mit personenbezogenen Daten und der entsprechenden Umsetzung dieser Vorgaben systematisch überprüfbar gemacht wird. Die Methode orientiert sich dabei an zentralen Gewährleistungszielen, wie etwa Verfügbarkeit, Vertraulichkeit, Integrität, Transparenz etc., die über technische und organisatorische Funktionen und Schutzmaßnahmen umgesetzt werden. Das SDM richtet sich insbesondere an die Stellen, die für die Verarbeitung personenbezogener Daten verantwortlich sind. Diese können mit dem SDM die erforderlichen Funktionen und Schutzmaßnahmen systematisch planen, umsetzen und kontinuierlich überwachen.

Ein wichtiger Bestandteil des Standard-Datenschutzmodells ist ein Maßnahmenkatalog mit konkreten Vorgaben zur Gewährleistung dieser Ziele. Dieser Katalog (Kapitel 7 des SDM) besteht aus unterschiedlichen Bausteinen zu datenschutzrechtlich relevanten Themenkomplexen. Nun wurden die ersten Bausteine von der zuständigen Arbeitsgruppe veröffentlicht. An die Erarbeitung dieser haben der Hessische Beauftragte für Datenschutz und Informationsfreiheit, der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, der Sächsische Datenschutzbeauftragte, das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein und der Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland mitgewirkt.

Folgende Bausteine wurden veröffentlicht:

Die Bausteine enthalten konkrete technische und organisatorische Referenzmaßnahmen zur Gewährleistung der je nach Themenkomplex relevanten datenschutzrechtlichen Ziele wie Vertraulichkeit, Integrität Datenminimierung usw. Die einzeln aufgezeigten Handlungsmöglichkeiten werden dabei einzelnen Kategorien zugeordnet, je nachdem, ob die jeweilige Maßnahme auf Daten-, System- oder Prozessebene getroffen werden muss. Über eine ausführliche Beschreibung der einzelnen zu treffenden Maßnahmen hinaus enthalten die Bausteine auch eine Zusammenfassung dieser in Form einer Liste sowie Referenzen auf weitere Unterlagen wie z.B. Stellungnahmen des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder der DSK, DIN- und ISO-Normen.

Es ist zu berücksichtigen, dass die Autoren der neu erarbeiteten Bausteine ausdrücklich darauf hinweisen, dass diese Bausteine noch nicht in der DSK abgestimmt worden sind. Ziel dieser ersten Veröffentlichung ist, den Anwendern schon konkrete Maßnahmenempfehlungen zu geben, die sie erproben können. Die beteiligten Aufsichtsbehörden empfehlen den Anwendern, ihre Erfahrungen bei der Implementierung der Bausteine den Autoren mitzuteilen und somit zur Weiterentwicklung von Methode und Maßnahmen beizutragen.

Praxistipp für Unternehmen:

Auch wenn die Bausteine nicht mit der DSK abgestimmt worden sind, muss beachtet werden, dass diese gleichwohl von vier Datenschutz-Aufsichtsbehörden erarbeitet wurden und damit durchaus das vorläufige Meinungsbild der Aufsicht zu den jeweiligen Themenkomplexen widerspiegeln. Es empfiehlt sich aus diesem Grund, den Maßnahmenkatalog des SDM anzuwenden und die im Unternehmen getroffenen technisch-organisatorischen Maßnahmen an den im SDM dargestellten Empfehlungen zu messen und ggf. anzupassen. Unternehmen sollten darüber hinaus die Veröffentlichung der weiteren Bausteine des Maßnahmenkatalogs beobachten.