https://www.maroki.de/pub/sdm/index.html Martin Rost: Schutzziele / Standard-Datenschutzmodell
Martin Rost
Schutzziele / Standard-Datenschutzmodell
Zweck des Standard-Datenschutzmodells

Als "Standard-Datenschutzmodell" (SDM) bezeichnen die deutschen Datenschutzaufsichtsbehörden seit 2014 eine Methode, mit der die gesetzlichen Anforderungen an personenbezogene Verfahren und die Wirksamkeit der Umsetzung von Datenschutzmaßnahmen in ein systematisch überprüfbares Verhältnis gesetzt werden können. Das SDM soll erstens zu abgestimmten, transparenten und nachvollziehbaren Beratungs- und Prüftätigkeiten der Datenschutzaufsichtsbehörden führen; und es soll zweitens Organisationen ein Werkzeug an die Hand geben, um selbsttätig personenbezogene Verfahren datenschutzgerecht einrichten, betreiben und permanent überwachen zu können.

Das SDM steht klar für ein grundrechtsorientiertes Verständnis von Datenschutz. Die Funktion des Datenschutzes besteht hiernach nicht darin, was die Interpretation des Wortes nahelegt, Daten zu schützen. Daten zu schützen ist eher die Aufgabe der IT-Sicherheit, und zwar im überwiegenden Interesse der Organisationen, die mit personenbezogenen Daten arbeiten. Die Funktion des Datenschutzes besteht jedoch auch nicht darin, Grundrechte von Personen zu schützen. Die Funktion des Datenschutzes besteht vielmehr darin, Personen, durch Heranziehen von geltenden Grundrechten, vor grundrechtsgefährdenden Aktivitäten von Organisationen zu schützen. Die Aufgabe von professionellen DatenschützerInnen, und insbesondere von Datenschutzaufsichtsbehörden, besteht insofern darin zu überprüfen, und ggfs. zu sanktionieren, ob Organisationen ihre Aktivitäten mit Personenbezug an den grundrechtlichen Vorgaben orientiert wirksam eingerichtet haben. Das SDM soll helfen, hier zu einem gut begründeten Urteil zu gelangen. Außerden weist das SDM Standardschutzmaßnahmen vor zwecküberdehnende Organisationsaktivitäten aus.

Die Komponenten des SDM

Die normativ wesentliche Komponente des SDM besteht aus elementaren Gewährleistungszielen. Als Gewährleistungsziele gelten die Sicherung der Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettbarkeit, ergänzt um das allgemeine Gewährleistungsziel der "Datenminimierung", für Verfahren mit Personenbezug.

Diese Gewährleistungsziele werden, in loser methodischer Anlehnung an IT-Grundschutz des BSI, um Schutzbedarfsfestellungen ergänzt. Die Kernidee hinter ist schlicht: Ein hoher Schutzbedarf, etwa für ein als besonders sensibel eingestuftes Verfahren, bedeutet den Einsatz von zusätzlichen und stärker dimensionierten Schutzmaßnahmen. Das SDM unterscheidet derzeit drei Schutzbedarfe: "normal", "hoch" und "sehr hoch". Im Unterschied zu Grundschutz ist dabei die einzunehmende Schutzperspektive die des bzw. der einzelnen Betroffenen.

Das SDM ist zu beziehen auf "personenbezogene Verfahren", nicht nur auf "Daten". Und als Verfahrenkomponenten werden Daten(bestände), IT-Systeme und Prozesse unterschieden. Diese Unterscheidung erlaubt es, bspw. klarer als bislang die Anforderung nach einem "integren IT-System", also bspw. einer Hardware-Plattform, oder einem "integren Prozess" zu formulieren und zu überlegen, was dafür zu tun ist.

Die DSBK hatte diese Operationalisierung der Gewährleistungsziele, die bereits 2010 akzeptiert waren, im Oktober 2014 akzeptiert. Im Oktober 2015 wurde das SDM schließlich, in Form eines 40 Seiten umfassenden SDM-Handbuchs, in der version 0.9 veröffentlicht. Im Oktober 2016 dann folgte die Version 1.0 des Handbuches. Es wurde 2016 deutlich, dass nur wenige Aufsichtsbehörden begonnen haben, das SDM für Prüfungen heranzuziehen. Der von der DSBK beauftragte Referenzschutzmaßnahmenkatalog wird von den "Arbeitskreis Technik" (AK-Technik) bzw. durch die "Unterarbeitsgruppe SDM des AK-Technik" (UAGSDM) erarbeitet, die auch die Möglichkeiten einer Toolunterstützung sondiert. Die DSBK entscheidet als Eigentümerin des Modells über deutschlandweit konsentierte Fortschreibungen am Modell und dessen Referenzmaßnahmen.

Das Modell bildet insofern eine "Zwischenschicht" zwecks kontrollierter Transformation zwischen den vielfältigen rechtlichen Anforderungen, wie sie über verschiedene (Spezial-)Gesetze auf nationaler und internationaler Ebene verteilt sind, und den nicht minder vielfältigen technischen und organisatorischen Funktionen, die in der Praxis vorzufinden sind. Bei einer Beratung oder Prüfung bietet das Modell eine erste abstrakte Standardform, mit der jedes Verfahren aus Datenschutzsicht prüfbar wird. Letztlich bildet ab Mai 2018 die Datenschutz-Grundverordnung der EU (DSGVO) bzw. die Datenschutz-Richtlinie (DSRL) den gesetzlichen Maßstab für wohl die meisten personenbezogenen Verfahren. Das SDM ist in der nunmehr vorliegenden Publikation in der V1.0 auf die DSGVO hin abgestimmt. Sämtliche der oben genannten SDM-Gewährleistungsziele des SDM sind Bestandteile des Artikel 5 der DSGVO. Das SDM-Handbuch zeigt auf, wie stark das SDM, in vielen weiteren Artikeln der DSGVO verankert ist.

Veröffentlichungen der Aufsichtsbehörden

DSBK 2016: SDM-Handbuch, V1.0
[Download] / [externer Link]
(An English translation is announced for the end of January 2017.)

AK-Technik 2015: Tagungsband "Das Standard-Datenschutzmodell - Der Weg vom Recht zur Technik", u.a. Entstehungsgeschichte des SDM, SDM und Europa, praktische Prüfbeispiele mit dem SDM
[Download] / [externer Link]

DSBK 2010: Modernisierung des Datenschutzrechts
[Download] / [externer Link]

Theorie- und Praxiskontext SDM

Schulzki-Haddouti, Christiane, 2016: Ein Pflichtenheft für alle - Stringente Kontrollen für den Datenschutz; in: c't - magazin für computertechnik - 2016/ 25: 42-44.
[Text]

Hansen, Marit / Jensen, Meiko / Rost, Martin, 2015: Protection Goals for Privacy Engineering, Proceedings for the International Workshop on Privacy Engineering - IWPE'15

Pohle, Jörg; Knaut, Andrea (Hrsg.), 2014: Fundationes I: Geschichte und Theorie des Datenschutzes
[Text]

Rost, Martin, 2013: Eine kurze Geschichte des Prüfens, Tagungsband BSI
[Text]

Rost, Martin, 2012: Standardisierte Datenschutzmodellierung; in: DuD - Datenschutz und Datensicherheit, 36. Jahrgang, Heft 6: 433-438
[Text]

Rost, Martin; Pfitzmann, Andreas, 2009: Datenschutz-Schutzziele - revisited; in: DuD - Datenschutz und Datensicherheit, 33. Jahrgang, Heft 6, Juli 2009: 353-358.
[Text]

Schulungen zum SDM

Die Datenschutzakademie an der Nordseeakademie Leck bietet 2017 drei zweitägige Schulungen zum SDM an.

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) bietet in verschiedenen Städten Deutschlands eine eintägige Schulung zum SDM an.

Kontakt zur SDM-Arbeitsgruppe

uld32[AT]datenschutzzentrum[PUNKT]de
([AT] und [PUNKT] bitte ersetzen.)


Prüfablauf im Datenschutz

Was bedeutet eigentlich "Datenschutz" zu prüfen?

Die Soll-Vorgaben einer Datenschutzprüfung ergeben sich aus dem Datenschutzrecht. Datenschutzanforderungen umzusetzen hat deshalb einen sehr viel höheren Verpflichtungsgrad als Anforderungen der IT-Sicherheit zu erfüllen, wie sie bspw. vom IT-Grundschutz des BSI oder von ISO-Standards formuliert werden. Ohne eine Rechtsgrundlage dürfen Organisationen keine Personendaten verarbeiten. Dieses grundlegende "Verbot mit Erlaubnisvorbehalt" (vgl. Artikel 6 DSGVO) entspricht der wichtigsten Regel einer Firewall: Es sind zunächst alle Ports zu schließen ("deny-all"), um anschließend einige Ports für die notwendigen Kommunikationsverbindungen bzw. Datenverarbeitungen zu öffnen. Jede Öffnung eines Ports bedeutet die Inkaufnnahme eines Risikos, dass darüber Angriffe erfolgen können. Ins Rechtliche gewendet: Jede Aktivität einer Organisation mit Personenbezug bedeutet einen Grundrechtseingriff. Deshalb beginnt jede Datenschutzprüfung personenbezogener Verfahren mit der Prüfung der Rechtsgrundlagen einer personenbezogenen Datenverarbeitung. Trägt die Rechtsgrundlage, können die Soll-Vorgaben an eine datenschutzgerechte Datenverarbeitung mit technisch-organisatorischen Schutzmaßnahmen formuliert und mit den Ist-Feststellungen einer Bestandsaufnahme vor Ort verglichen bzw. beurteilt werden. Genau an diesem Punkt hilft das SDM weiter.

Es gibt an mehreren neuralgischen Stellen gute Gründe, eine Datenschutzprüfung zu beenden:

Wenn die Datenverarbeitung einer Organisation keinen Personenbezug aufweist, bestehen keine datenschutzrechtlichen Anforderungen an diese Datenverarbeitung; eine Prüfung ist zu beenden (Phase 1).

Wenn die Datenverarbeitung einer Organisation einen Personenbezug aufweist, setzt die Verarbeitung die Existenz einer Rechtsgrundlage voraus. Wenn für die Datenverarbeitung keine Rechtsgrundlagen bestehen, die das Verbot mit Erlaubnisvorbehalt aufheben, kann eine Prüfung mit negativem Ergebnis beendet werden. Das bedeutet, dass die für die Verarbeitung eingesetzte Technik gar nicht mehr in den Blick genommen werden muss, denn sie wird nicht rechtskonform betrieben. Selbst wenn der operative Datenschutz auf einem guten technisch-organisatorischen Niveau gewahrt wäre, dürfen keine Daten verarbeitet werden. Typisch besteht eine Datenschutzprüfung in dieser Phase darin zu ermitteln, ob die von der Organisation angegebenen Rechtsgrundlagen - Gesetz, Vertrag, Einwilligung - vorliegen und hinreichen. (Phase 2)

Wenn die Rechtsgrundlagen ausreichen, besteht die Prüfaufgabe darin festzustellen, ob die Prüffähigkeit der Datenverarbeitung gegeben ist. Das heisst konkret, ob die Daten, IT und Prozesse transparent sind und diese entsprechend spezifiziert, dokumentiert und protokolliert wurden und die Angaben aus diesen Quellen dan mit den Prüfwerten vor Ort verglichen und beurteilt werden können. Ist die Transparenz des Verfahrens nicht gegeben - und sind außerdem Verantwortlichkeiten unklar oder ungeregelt oder können Verträge nicht beigebracht werden - kann eine Prüfung wiederum mit einem negativen Ergebnis beendet werden, weil der Transparenzanforderung nicht nachgekommen wurde. Typisch besteht eine Datenschutzprüfung in dieser Phase drin, ob die beigebrachten Dokumente und Protokolle, die innerhalb bestimmter Fristen ein- und dann nachgefordert wurden, eine hinreichende Prüffähigkeit der Funktionen und der Auswahl der Schutzmaßnahmen erlauben. (Phase 3)

Nachdem die Rechtsgrundlagen geprüft und die Prüffähigkeit der Technik und Organisation eines Verfahrens festgestellt wurden, wird ermittelt, ob die Spezifikation und der Betrieb der Funktionen und Regeln sowie die Spezfikation und der Betrieb von speziellen Datenschutz-Schutzmaßnahmen in der Praxis korrekt dimensioniert und umgesetzt sind. Hier zu Entscheidungen bzgl. der Erforderlichkeit und Angemessenheit von Schutzmaßnahmen zu verhelfen, ist der wesentliche Vorzug des SDM. Wenn trotz mehrfacher Korrekturdurchläufe die Funktionen nicht ordnungsgemäß und die Schutzmaßnahmen nicht hinreichend sind, kann eine Prüfung mit negativem Ergebnis beendet werden.

Die Sanktion einer Aufsichtbehörde kann im öffentlichen Bereich der Verwaltungen aus einer Beanstandung bestehen oder im privaten Bereich aus einer Ordnungswidrigkeit oder einer Anordnung bestehen, wonach der Betrieb untersagt werden kann. Auch hier wird oftmals eine Frist zur Nachbesserung von Funktionen, Regeln (Dienst- oder Betriebsvereinbarungen) und Schutzaßnahmen eingeräumt. Wie schon in der vorigen Phase werden bei kleineren Datenschutzverstößen Nachprüfungen anberaumt. (Phase 4)



Abb 1: Phasen eines Prüfablaufs im Datenschutz


Prüfen und Beraten mit dem SDM: Datenschutzmanagement

In den Phasen 3 und 4 kann das SDM genutzt werden, um die Auswahl und Dimensionierung von Funktionen, Regeln und Schutzmaßnahmen für Daten, Hardware und Software sowie für Prozesse, mit denen die Nutzdaten und Strukturen der Datenverarbeitung verändert werden, im Hinblick auf die Erfüllung von Datenschutzanforderungen überprüfbar zu machen. Das SDM erlaubt, auch die Datenschutzprüfung selber noch im Lichte der Gewährleistungsziele zu prüfen.

Das SDM erlaubt eine Bilanzierung von Soll-Anforderungen und Ist-Zuständen, heruntergebrochen bis auf einzelne Eigenschaften von Schutzmaßnahmen, zu erstellen. Wenn Datenschutz-Beratung und Datenschutz-Prüfung als Zyklus angelegt sind - und gezielt als Demingkreis konzipiert ist [Link: "Demingkreis", Wikipedia] -, wie dies typisch ist für Aktivitäten eines betrieblichen oder behördlichen Datenschutzbeauftragten ist, dann bietet das SDM auch eine materiell sichere Basis für ein methodisch-systematisches Datenschutzmanagement auf der operativen Ebene von personenbezogenen Verfahren einer Organisation.



Abb 2: Prüfen und Beraten mit dem SDM