Skip to main content

2025 | Buch

Das Standard-Datenschutzmodell (SDM)

Einführung in die Umsetzung der operativen Anforderungen der DSGVO

insite
SUCHEN

Über dieses Buch

Das Standard-Datenschutzmodell (SDM) gilt spätestens seit 2020 deutschlandweit als etabliert, um normative Anforderungen der DSGVO in funktionale Anforderungen an die Praxis der Datenverarbeitungen zu transformieren.

Wenn die Juristin zum Beispiel sagt: Diese Daten sind unverzüglich zu löschen! Dann ist aus juristischer Sicht alles Erforderliche gesagt. Für Praktiker*innen, die diese vermeintlich leichte Anforderung umzusetzen haben, können sich Unmengen an komplizierten Fragen stellen: Wie gesichert muss gelöscht werden? Kann man den installierten Löschprogrammen trauen? Wie muss das Löschen von Daten in welcher Auflösung dokumentiert und protokolliert werden? Wer ist eigentlich befugt, zu löschen, auch in den Backup-Dateien?

Das SDM hilft, bei solchen Fragestellungen der Umsetzung zu begründeten Entscheidungen zu gelangen, um an ein vollständiges Set von aufeinander abgestimmten, wirksamen Schutzmaßnahmen zu gelangen. Dies ist von zentraler Bedeutung bei der Durchführung von Datenschutz-Prüfungen und -Beratungen, Datenschutz-Folgenabschätzungen und dem Betrieb eines Datenschutz-Managements.

Die 2. Auflage wurde umfassend für das SDM in der Version 3.1 aktualisiert und erweitert. Neu hinzugekommen sind u.a. Kapitel über SDM-Tools und -Schulungen sowie über SDM-Konformität.

Inhaltsverzeichnis

Frontmatter
Kapitel 1. Was meint „Datenschutz“?
Zusammenfassung
Das Standard-Datenschutzmodell (SDM) ist mit seinen wenigen Modellierungskomponenten leicht zu verstehen. Es sollte Sie nicht wundern, wenn Sie sich am Ende der Lektüre des Buches fragen: Soll das jetzt schon alles gewesen sein? Es hieß doch, das SDM sei kompliziert! Datenschutz mit Logik ist möglich. Voraussetzung für Logik im Datenschutz ist eine klare Vorstellung vom Zweck des Datenschutzes. Und man sollte dabei vermeiden, Datenschutz mit Datenschutzrecht gleichzusetzen; so wie man Umweltschutz auch nicht mit Umweltschutzrecht verwechseln sollte.
Martin Rost
Kapitel 2. Überblick
Zusammenfassung
Dieses Kapitel gibt einen Überblick über den Aufbau und die Themen dieses Buches. Ausgangspunkt ist der Konflikt, dass Organisationen personenbezogene Daten in Formen benutzen, die für Organisationen – also Behörden, Unternehmen, Forschungsinstitute – am effektivsten und nützlichsten sind, die jedoch eher selten mit den Interessen von Bürger*innen und Kund*innen übereinstimmen. Die DSGVO formuliert mit ihren Normen und Regelungen normative Anforderungen an Organisationen, die für einen fairen Interessenausgleich sorgen sollen und die mit Hilfe des SDM dann in praktisch umsetzbare Anforderungen an die Organisationen überführt werden. In diesem Kapitel werden die einzelnen methodisch notwendigen Schritte zu dieser Überführungen in die Praxis hinein angesprochen, auch unter dem Eindruck anderer Standards.
Martin Rost
Kapitel 3. Verarbeitung
Zusammenfassung
Dieses Kapitel zeigt, wie sich eine „Verarbeitung“ personenbeziehbarer Daten analytisch so aufbereiten lässt, dass die Verarbeitung mit ihren Eigenschaften für alle relevanten Anforderungen der DSGVO zugänglich wird. Mittels der „Verarbeitung“ personenbezogener Daten greifen Organisationen in die Grundrechte und Grundfreiheiten von Personen ein. Deshalb ist es zunächst mit Blick auf die Praxis notwendig zu verstehen, welche Prozessabfolgen, IT-Komponenten und Dienste bei Geschäftsprozessen, Verfahren oder Forschungsprojekten zum Einsatz kommen.
Martin Rost
Kapitel 4. Recht
Zusammenfassung
Dieses Kapitel soll Datenschutz-Praktiker*innen einen groben Überblick zum Datenschutzrecht geben, nur soweit die rechtlichen Anforderungen von unmittelbar praktischer Relevanz bei der Umsetzung sind. Zunächst gilt es zu verstehen, dass Organisationen laut DSGVO pauschal keine personenbezogenen Daten verarbeiten dürfen. Erst wenn eine belastbare rechtliche Grundlage zwischen Organisation und Person hergestellt vorliegt, die insbesondere die vielen Regelungen der DSGVO berücksichtigt, darf in eine entsprechend gestaltete Verarbeitung der Daten eingestiegen werden. Dieses Kapitel stellt die für die unmittelbare Gestaltung einer Verarbeitung relevanten Regelungen zusammen und zeigt die Verankerung des SDM insbesondere in der DSGVO sowie die Verankerung der DSGVO wiederum in der EU-Grundrechtecharta.
Martin Rost
Kapitel 5. Gewährleistungsziele
Zusammenfassung
In diesem Kapitel werden die Gewährleistungsziele mit ihrer Beziehung zur DSGVO, insbesondere zu den Grundsätzen aus Art. 5 einerseits sowie zu den technisch-organisatorischen Maßnahmen (TOM) andererseits, vorgestellt. Besondere Aufmerksamkeit wird dabei auch auf die Beziehung der Gewährleistungsziele zueinander gelegt, die, als Maßnahmen umgesetzt, einander schwächen oder stärken können. Maßnahmen des Datenschutzes, wie bspw. das Protokollieren oder Anonymisieren, können so komplex werden, dass sie ihrerseits als Verarbeitungen im Sinne der DSGVO zu gestalten sind.
Martin Rost
Kapitel 6. Datenschutzrisiken
Zusammenfassung
Dieses Kapitel befasst sich mit dem Identifizieren, Beurteilen und Bearbeiten von Datenschutzrisiken, die durch personenbezogene Verarbeitungstätigkeiten von Organisationen für betroffene Personen entstehen. Es werden sieben Risikokriterien und zwei Risikostufen vorgestellt, die bei einer Verarbeitung zu unterscheiden von der DSGVO verlangt wird. Entsprechend der Art und Höhe der Risiken sind die Maßnahmen zu deren Verringerung zu gestalten. Insofern besteht das praktische Risiko darin, dass nicht diese oder nur ein Teil von diesen Risiken oder diese Risiken nur im Sinne der Informationssicherheit interpretiert und bearbeitet werden.
Martin Rost
Kapitel 7. Technisch-organisatorische Maßnahmen
Zusammenfassung
Dieses Kapitel stellt technisch-organisatorische Maßnahmen (TOM) zur Umsetzung der Grundsätze des Art. 5 DSGVO bzw. der Gewährleistungsziele des SDM vor. Neben einer umfangreichen Liste mit generischen Maßnahmen werden auch kurze Einführungen in die bereits publizierten Maßnahmen-Bausteine gegeben. Eine ganz wesentliche Strategie zum Erreichen einer hohen Wirksamkeit für eine Schutzmaßnahmen besteht darin, die Maßnahmen der anderen Gewährleistungsziele auf diese Ma ssnahmen anzuwenden.
Martin Rost
Kapitel 8. SDM anwenden
Zusammenfassung
Bislang wurde das Feld hergerichtet, umgegraben, gesät und vor allem gejätet; dieses Kapitel dient dem Einfahren der Ernte. Nun soll gezeigt werden, welchen Nutzen das SDM in der operativen Datenschutzpraxis bringt. Im nachfolgenden Kapitel stelle ich eingangs den SDM-Würfel vor, der auf einen Blick alle Komponenten einer Verarbeitung in einer Darstellung vereint. Es wird gezeigt wie der Würfel für die Vorbereitung einer Prüfung genutzt werden kann, als Grundlage für eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO oder zur Einrichtung eines Datenschutzmanagementsystems.
Martin Rost
Kapitel 9. SDM im Kontext anderer Methoden und Standards
Zusammenfassung
In diesem Kapitel wird das SDM in den Kontext zu anderen für Organisationen relevante Methoden und Standards gestellt. Sehr wichtig für das SDM war und ist noch immer der Bezug zum IT-Grundschutz des BSI, sowohl als Methodik für die Verschränkung von Risiken (Gefährdungen) und Schutzmaßnahmen als auch als Lieferant von Maßnahmen insbesondere aus dem Bereich der Kryptomaßnahmen. Beachtlich sind außerdem Standards der ISO, die zunehmend spezifischere Bezüge zur DSGVO herstellen. Während das SDM nicht als Untermenge der Informationssicherheit integriert werden kann, passt das SDM jedoch gut in das von ITIL-aufgespannte Framework.
Martin Rost
Kapitel 10. Anstelle einer Zusammenfassung: SDM-Konformität
Zusammenfassung
Dieses Kapitel fasst die wesentlichen Bestandteile des SDM unter dem Aspekt zusammen, was glqqSDM-Konformitätgrqq ausmacht. Während sich die Praxis vor allem für die Maßnahmen interessiert, legen SDM-Methodiker*innen großen Wert zunächst auf die Klarstellung des Schutzguts und die Rolle der Organisation sowie eine angemessen gründliche Analyse einer Verarbeitung, um zum Schluss die Eingriffsintensität einer Verarbeitung auf das von der DSGVO verlangte Maß zu bringen. Seit 2020 drängen SDM-Tools und SDM-Schulungen auf den Markt, die ohne diese SDM-spezifische Ausrichtung allein auf die Umsetzung von SDM-Maßnahmen ausgerichtet sind, dabei SDM-Konformität behaupten aber die Methodik vollends verfehlen.
Martin Rost
Kapitel 11. Nachwort
Zusammenfassung
Im Nachwort wird das SDM in die Tradition des grundrechtfreundlichen Auslegens des Datenschutzrechts von Spiros Simitis und der systematischen Datenschutzpraxis von Wilhelm Steinmüller sowie, insbesondere mit den Gewährleistungszielen, in einen umfassenderen soziologischen Kontext von Niklas Luhmann und Jürgen Habermas gestellt. Am Gelingen der Praxis des Datenschutzes lässt sich, wie am Gelingen des Umweltschutzes auch, die Moderne einer Gesellschaft ablesen.
Martin Rost
Backmatter
Metadaten
Titel
Das Standard-Datenschutzmodell (SDM)
verfasst von
Martin Rost
Copyright-Jahr
2025
Electronic ISBN
978-3-658-44998-8
Print ISBN
978-3-658-44997-1
DOI
https://doi.org/10.1007/978-3-658-44998-8