Martin Rost
Schutzziele / Standard-Datenschutzmodell
Zweck des Standard-Datenschutzmodells

Als "Standard-Datenschutzmodell" (SDM) bezeichnen die deutschen Datenschutzaufsichtsbehörden eine Methode, mit der die Übereinstimmung von gesetzlichen Anforderungen und deren Beachtung bzw. Umsetzung in personenbezogenen Verfahren überprüfbar wird. Das SDM soll erstens zu bundesweit abgestimmten, transparenten und nachvollziehbaren Beratungs- und Prüftätigkeiten der Datenschutzbehörden führen; und es soll zweitens Organisationen ein Werkzeug an die Hand geben, um selbsttätig personenbezogene Verfahren datenschutzgerecht einrichten und betreiben zu können.

Datenschutz soll nicht, was die Interpretation des Wortes nahelegt, Daten schützen; Datenschutz soll auch nicht die Grundrechte schützen, sondern Datenschutz soll Personen vor Aktivitäten von Organisationen schützen. Die Aufgabe von Datenschutzkontrollbehörden besteht insofern darin zu überprüfen, und ggfs. zu sanktionieren, ob Organisationen ihre Aktivitäten mit Personenbezug an den grundrechtlichen Vorgaben eingerichtet haben oder nicht.

Gewährleistungsziele

Die wesentliche Komponente des SDM besteht aus einem Konzept von "elementaren Schutzzielen". Als Schutzziele gelten die Sicherung der Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettbarkeit, ergänzt um das allgemeine Schutzziel der "Datensparsamkeit".

Eine Transformation zwischen Soll-Vorschriften und Seins-Fakten - wie sie im Rahmen der Beratung, Planung und Implementation eines Verfahrens oder anläßlich einer Prüfung durchzuführen ist - darf dann als gelungen gelten, wenn diese Transformation ihrerseits diesen Schutzzielen genügt. Die "Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder" (DSBK) hatten das Konzept der Schutzziele als Teil der Modernisierung des Datenschutzrechts 2010 akzeptiert.

Schutzbedarf aus Betroffenenperspektive

Das Konzept des SDM sieht vor, diese Schutzziele, die im Kontext des SDM als "Gewährleistungsziele" bezeichnet werden, heranzuziehen und, in methodischer Anlehnung an IT-Grundschutz des BSI, um Schutzbedarfsfestellungen zu ergänzen. Im Unterschied zu Grundschutz ist dabei die Schutzperspektive aus der Sicht einzelner Betroffenen formuliert, und die Maßnahmen für Verfahrenskomponenten sind nach Maßnahmen für Daten, IT-Systeme und Prozesse unterschieden.

Die DSBK hatte diese Operationalisierung der Schutzziele im Oktober 2014 akzeptiert, aber noch nicht veröffentlicht. Im Oktober 2015 wurde das SDM schließlich, in Form eines 40 Seiten umfassenden SDM-Handbuchs, veröffentlicht. Der Referenzschutzmaßnahmenkatalog wird von den "Arbeitskreis Technik" (AK-Technik) bzw. durch die "Unterarbeitsgruppe SDM des AK-Technik" (UAGSDM) erarbeitet, die auch die Möglichkeiten einer Toolunterstützung sondiert. Die DSBK entscheidet als Eigentümerin des Modells über deutschlandweit konsentierte Fortschreibungen am Modell und dessen Referenzmaßnahmen.

Veröffentlichungen der Aufsichtsbehörden

DSBK 2015: SDM-Handbuch, V0.9a
[Download] / [externer Link]

AK-Technik 2015: Tagungsband "Das Standard-Datenschutzmodell - Der Weg vom Recht zur Technik", u.a. SDM-Geschichte, SDM und Europa, Prüfbeispiele mit dem SDM
[Download] / [externer Link]

DSBK 2010: Modernisierung des Datenschutzrechts
[Download] / [externer Link]

Theorie- und Praxiskontext SDM

Rost, Martin, 2016: Erweiterte Schutzziele - Das neue Standard-Datenschutzmodell für Unternehmen, Wissenschaftsinstitute und Behörden; in: c't - magazin für computertechnik - 2016/ 02: 138-140.

Hansen, Marit / Jensen, Meiko / Rost, Martin, 2015: Protection Goals for Privacy Engineering, Proceedings for the International Workshop on Privacy Engineering - IWPE'15

Pohle, Jörg; Knaut, Andrea (Hrsg.), 2014: Fundationes I: Geschichte und Theorie des Datenschutzes
[Text]

Rost, Martin, 2013: Eine kurze Geschichte des Prüfens, Tagungsband BSI
[Text]

Rost, Martin, 2012: Standardisierte Datenschutzmodellierung; in: DuD - Datenschutz und Datensicherheit, 36. Jahrgang, Heft 6: 433-438
[Text]

Rost, Martin; Pfitzmann, Andreas, 2009: Datenschutz-Schutzziele - revisited; in: DuD - Datenschutz und Datensicherheit, 33. Jahrgang, Heft 6, Juli 2009: 353-358.
[Text]

Schulungen zum SDM

Die Datenschutzakademie an der Nordseeakademie Leck bietet mehrtägige praxisorientierte Schulungen zum SDM an.

Kontakt zur SDM-Arbeitsgruppe

uld32[AT]datenschutzzentrum[PUNKT]de
([AT] und [PUNKT] bitte ersetzen.)


Prüfablauf im Datenschutz

Was bedeutet eigentlich "Datenschutz" zu prüfen?

Die Soll-Vorgaben einer Datenschutzprüfung ergeben sich aus dem Datenschutzrecht. Datenschutzanforderungen umzusetzen hat deshalb einen sehr viel höheren Verpflichtungsgrad als Anforderungen der IT-Sicherheit zu erfüllen, wie sie bspw. vom IT-Grundschutz des BSI oder von ISO-Standards formuliert werden. Ohne eine Rechtsgrundlage dürfen Organisationen keine Personendaten verarbeiten. Dieses grundlegende "Verbot mit Erlaubnisvorbehalt" (vgl. §4 BDSG) entspricht der wichtigsten Regel einer Firewall: Es sind zunächst alle Ports zu schließen ("deny-all"), um anschließend einige Ports für die notwendigen Kommunikationsverbindungen bzw. Datenverarbeitungen zu öffnen. Jede Portöffnung bedeutet die Hinnahme eines Risiko, weil darüber Angriffe erfolgen können. Ins rechtliche gewendet: Jede Aktivität einer Organisation bedeutet einen Grundrechtseingriff. Deshalb beginnt jede Datenschutzprüfung personenbezogener Verfahren mit der Prüfung der Rechtsgrundlagen. Trägt die Rechtsgrundlage, können die Soll-Vorgaben an eine datenschutzgerechte Datenverarbeitung mit technisch-organisatorischen Schutzmaßnahmen (vgl. § 9 Anhang BDSG) formuliert und mit den Ist-Feststellungen einer Bestandsaufnahme vor Ort verglichen bzw. beurteilt werden. Genau an diesem Punkt hilft das SDM weiter.

Es gibt an mehreren neuralgischen Stellen Ausstiegspunkte aus einer Datenschutzprüfung:

Wenn die Datenverarbeitung einer Organisation keinen Personenbezug aufweist, bestehen keine datenschutzrechtlichen Anforderungen an diese Datenverarbeitung; eine Prüfung ist beendet (Phase 1).

Wenn die Datenverarbeitung einer Organisation einen Personenbezug aufweist, setzt die Verarbeitung die Existenz einer Rechtsgrundlage voraus. Wenn für die Datenverarbeitung keinerlei Rechtsgrundlagen bestehen, kann eine Prüfung mit negativem Ergebnis beendet werden. Das bedeutet, dass die für die Verarbeitung eingesetzte Technik gar nicht in den Blick genommen werden muss, weil sie gar nicht rechtskonform betrieben werden kann. Typisch besteht eine Datenschutzprüfung in dieser Phase jedoch darin zu ermitteln, ob die von der Organisation angegebenen Rechtsgrundlagen - Gesetz, Vertrag, Einwilligung - hinreichen. (Phase 2)

Wenn die Rechtsgrundlagen ausreichen, besteht die Prüfaufgabe darin, ob eine Prüffähigkeit der Datenverarbeitung gegeben ist. Das heisst konkret, ob die Daten, IT und Prozesse dokumentiert und protokolliert sind und diese Angaben mit Werten vor Ort verglichen und beurteilt werden können. Ist die Transparenz des Verfahrens nicht gegeben, sind außerdem Verantwortlichkeiten unklar oder ungeregelt oder können Verträge nicht beigebracht werden, kann eine Prüfung mit negativem Ergebnis beendet werden. Typisch besteht eine Datenschutzprüfung in dieser Phase jedoch drin, ob die beigebrachten Dokumente und Protokolle, die innerhalb bestimmter Fristen nachgefordert oder eingereicht werden, hinreichen. (Phase 3)

Wenn die Prüffähigkeit eines Verfahrens gegeben ist, wird ermittelt, ob die Spezifikation und der Betrieb von Funktionen und Regeln sowie von Schutzmaßnahmen in der Praxis korrekt dimensioniert und betrieben sind. Hier zu Entscheidungen bzgl. der Erforderlichkeit und Angemessenheit von Schutzmaßnahmen zu verhelfen, ist der wesentliche Vorzug des SDM. Wenn trotz mehrfacher Korrekturdurchläufe die Funktionen nicht ordnungsgemäß und die Schutzmaßnahmen nicht hinreichend sind, kann eine Prüfung mit negativem Ergebnis beendet werden. Die Sanktion einer Aufsichtbehörde kann im öffentlichen Bereich der Verwaltungen in einer Beanstandung bestehe oder im privaten Bereich in einer Ordnungswidrigkeit oder einer Anordnung bestehen, wonach der Betrieb untersagt werden kann. Auch hier wird oftmals eine Frist zur Nachbesserung von Funktionen, Regeln (Dienst- oder Betriebsvereinbarungen) und Schutzaßnahmen eingeräumt. Wie schon in der vorigen Phase werden bei kleineren Datenschutzverstößen Nachprüfungen anberaumt. (Phase 4)



Abb 1: Phasen eines Prüfablaufs im Datenschutz


Prüfen und Beraten mit dem SDM: Datenschutzmanagement

In den Phasen 3 und 4 kann das SDM genutzt werden, um die Auswahl und Dimensionierung von Funktionen, Regeln und Schutzmaßnahmen für Daten, Hardware und Software sowie für Prozesse, mit denen die Nutzdaten und Strukturen der Datenverarbeitung verändert werden, im Hinblick auf die Erfüllung von Datenschutzanforderungen überprüfbar zu machen. Das SDM erlaubt, auch die Datenschutzprüfung selber, im Hinblick auf Umsetzung der Anforderungen, wie sie die Schutzziele formulieren, zu prüfen.

Das SDM erlaubt eine Bilanzierung von Soll-Anforderungen und Ist-Zuständen, heruntergebrochen bis auf einzelne Eigenschaften von Schutzmaßnahmen, zu erstellen. Wenn Datenschutz-Beratung und Datenschutz-Prüfung als Zyklus angelegt sind - und gezielt als Demingkreis konzipiert ist [Link: "Demingkreis", Wikipedia] -, wie dies typisch ist für Aktivitäten eines betrieblichen oder behördlichen Datenschutzbeauftragten ist, dann bietet das SDM auch eine materiell sichere Basis für ein methodisch-systematisches Datenschutzmanagement auf der operativen Ebene von personenbezogenen Verfahren einer Organisation.



Abb 2: Prüfen und Beraten mit dem SDM