DSFA

Das Warten hat ein Ende
Ailance™ DSFA ist da!
Mehr erfahren

Was ist das Standard-Datenschutzmodell (SDM)?

Das Standard-Datenschutzmodell (SDM) ist ein Rahmenwerk zur systematischen Umsetzung der Anforderungen der DSGVO in technische und organisatorische Maßnahmen (TOM).
Kategorien:

Das Standard-Datenschutzmodell (SDM) ist ein von den deutschen Datenschutzaufsichtsbehörden entwickeltes methodisches Rahmenwerk zur systematischen Umsetzung der Anforderungen der DSGVO in technische und organisatorische Maßnahmen (TOM). Es wurde zuletzt in Version 3.1a überarbeitet und ist insbesondere für Datenschutzbeauftragte, IT-Verantwortliche und Compliance-Manager ein unverzichtbares Werkzeug.

Zielsetzung des SDM

Das SDM unterstützt die datenschutzkonforme Gestaltung von Verarbeitungstätigkeiten. Es hilft, geeignete TOMs auszuwählen und ihre Wirksamkeit zu überprüfen. Zentrale Aufgaben sind:

  • Risikoorientierte Auswahl geeigneter Maßnahmen

  • Nachweis der Rechtmäßigkeit der Verarbeitung

  • Einhaltung der Prinzipien von Art. 5 und 25 DSGVO

  • Unterstützung bei Datenschutz-Folgenabschätzungen (DSFA)

Lese-Tipp: Wann muss eine Datenschutz-Folgenabschätzung erfolgen?

Die sieben Gewährleistungsziele des SDM

Ein Kernelement des SDM ist die Ableitung datenschutzrechtlicher Anforderungen in sogenannte Gewährleistungsziele, die als Brücke zwischen Recht und Technik fungieren.

1. Datenminimierung: Personenbezogene Daten dürfen nur in dem Umfang verarbeitet werden, wie es für den jeweiligen Zweck erforderlich ist. Eine Datenerhebung auf Vorrat oder auf Verdacht widerspricht diesem Ziel.

2. Verfügbarkeit: Daten müssen dann zur Verfügung stehen, wenn sie benötigt werden. Das betrifft nicht nur technische Sicherstellung wie Backups und Ausfallsysteme, sondern auch organisatorische Aspekte wie Rollen- und Vertretungsregelungen.

3. Integrität: Die Unverfälschtheit von Daten ist sicherzustellen. Technische Schutzmaßnahmen müssen Manipulationen oder unbeabsichtigte Änderungen verhindern oder zumindest nachvollziehbar machen.

4. Vertraulichkeit: Der Zugriff auf personenbezogene Daten darf nur befugten Personen möglich sein. Hierzu gehören Zugriffsrechte, Verschlüsselung, Firewalls und Schulungen.

5. Nichtverkettung: Es soll verhindert werden, dass aus verschiedenen Datensätzen Profile oder umfassende Personenbilder entstehen, die die Privatsphäre der Betroffenen verletzen. Datenverknüpfungen sind zu begründen und zu begrenzen.

6. Transparenz: Betroffene und Aufsichtsbehörden müssen nachvollziehen können, wie Daten verarbeitet werden. Dokumentationen, Informationspflichten und interne Verfahrensverzeichnisse sind zentrale Instrumente dafür.

7. Intervenierbarkeit: Betroffene müssen ihre Rechte wie Auskunft, Berichtigung, Löschung und Widerspruch effektiv ausüben können. Prozesse müssen dafür geschaffen und gepflegt werden.

Diese sieben Gewährleistungsziele sind direkt den Anforderungen der DSGVO zugeordnet und helfen, konkrete Schutzmaßnahmen systematisch zu implementieren.

Der SDM-Würfel: Modellierung von Verarbeitungstätigkeiten

Ein zentrales methodisches Konzept ist der SDM-Würfel, der drei Dimensionen kombiniert:

  1. Ebenen der Verarbeitung:

    • Fachverfahren (z. B. Geschäftsprozesse)

    • Fachapplikationen (z. B. Softwarelösungen)

    • Technische Infrastruktur (z. B. Netzwerke, Datenbanken)

  2. Phasen des Datenlebenszyklus:

    • Sammeln, Speichern, Bearbeiten, Übermitteln, Löschen etc.

  3. Gewährleistungsziele:

    • Siehe oben

Der SDM-Würfel ermöglicht eine strukturierte und tiefgehende Analyse jeder Verarbeitungstätigkeit im Hinblick auf die Einhaltung datenschutzrechtlicher Vorgaben. Dabei verknüpft das Modell die drei zentralen Dimensionen (Verarbeitungsphasen, Verarbeitungsebenen und Gewährleistungsziele) zu einem übersichtlichen und systematischen Bewertungsraster.

Diese Verknüpfung erlaubt es, jede Teilkomponente einer Verarbeitungstätigkeit in ihrem gesamten Lebenszyklus zu betrachten: vom Erheben über das Verarbeiten bis zum Löschen der Daten. Gleichzeitig werden die verschiedenen technischen und organisatorischen Ebenen (z. B. Prozesse, Anwendungen, Infrastrukturen) und deren Beitrag zur Erreichung der datenschutzrechtlichen Gewährleistungsziele überprüfbar gemacht.

Das daraus resultierende dreidimensionale Modell hilft Datenschutzverantwortlichen, Risiken systematisch zu identifizieren, angemessene Schutzmaßnahmen zu planen, deren Umsetzung zu dokumentieren und die Effektivität fortlaufend zu bewerten. Auf diese Weise trägt der SDM-Würfel nicht nur zur Optimierung bestehender Verarbeitungstätigkeiten bei, sondern ist auch ein strategisches Werkzeug zur datenschutzkonformen Gestaltung neuer Prozesse und Systeme.

Praktische Anwendung: Von der DSFA bis zur Zertifizierung

Das SDM ist nicht nur ein theoretisches Modell. Es dient als methodischer Leitfaden für eine Vielzahl konkreter Anwendungsfälle, insbesondere im Rahmen von Datenschutzmanagement, IT-Sicherheit und Compliance.

  • Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO): Bei geplanten Verarbeitungstätigkeiten mit hohem Risiko für die Rechte und Freiheiten betroffener Personen bietet das SDM eine strukturierte Herangehensweise zur Identifikation, Analyse und Bewertung dieser Risiken. Es hilft bei der Festlegung angemessener technischer und organisatorischer Maßnahmen, die diese Risiken angemessen mindern. Insbesondere die Gewährleistungsziele dienen hier als Leitplanken zur systematischen Bewertung der Auswirkungen auf den Datenschutz.

  • Auditierung und Kontrolle: Organisationen können mit Hilfe des SDM ihre bestehenden Verarbeitungstätigkeiten analysieren und mit einem Soll-Zustand vergleichen, der sich aus den Anforderungen der DSGVO und den jeweiligen Gewährleistungszielen ergibt. Der Referenzmaßnahmen-Katalog, der mit dem SDM einhergeht, unterstützt bei der systematischen Überprüfung technischer und organisatorischer Schutzmaßnahmen. Dadurch können nicht nur Schwachstellen identifiziert, sondern auch gezielte Verbesserungsmaßnahmen abgeleitet werden.

  • Vorbereitung auf Datenschutz-Zertifizierungen (Art. 42 DSGVO): Das SDM kann als Grundlage für die Bewertung der Datenschutzkonformität dienen und die Vorbereitung auf anerkannte Zertifizierungen erleichtern. Die objektivierbaren Kriterien, die auf den Gewährleistungszielen und Risikobetrachtungen basieren, ermöglichen eine nachvollziehbare Dokumentation der Datenschutzstrategie und schaffen Vertrauen bei Geschäftspartnern, Kunden und Aufsichtsbehörden.

  • Kommunikation mit Aufsichtsbehörden: Das SDM stellt ein gemeinsames Referenzmodell dar, das sowohl von verantwortlichen Stellen als auch von Datenschutzaufsichtsbehörden verstanden und genutzt wird. Dadurch erleichtert es die Argumentation und Dokumentation im Rahmen von Kontrollverfahren oder bei der Meldung von Datenschutzverstoßen.

  • Integration in bestehende Managementsysteme: Die strukturierte Methodik des SDM eignet sich hervorragend für die Einbettung in bereits etablierte Managementsysteme wie den IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder ISO/IEC 27001. Dadurch entsteht eine durchgängige Linie zwischen Datenschutz, Informationssicherheit und Risikomanagement.


Insgesamt zeigt sich: Das SDM liefert nicht nur ein theoretisches Fundament, sondern auch praxiserprobte Instrumente für die Gestaltung, Bewertung und Optimierung datenschutzkonformer Prozesse.

Vorteile für Datenschutzbeauftragte

Für betriebliche und behördliche Datenschutzbeauftragte bietet das SDM erhebliche Vorteile:

  • Systematik und Nachvollziehbarkeit der Maßnahmenauswahl

  • Erleichterung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

  • Harmonisierung mit Standards wie dem BSI IT-Grundschutz

  • Optimierte Kommunikation zwischen Fachbereichen, IT und Aufsichtsbehörden

  • Transparenz bei Prüfungen und Audits

Fazit: SDM als Brücke zwischen Recht und Technik

Das Standard-Datenschutzmodell (SDM) hat sich als unverzichtbares Instrument für die praktische Umsetzung der Datenschutz-Grundverordnung etabliert. Es schließt die oft beklagte Lücke zwischen den juristischen Anforderungen der DS-GVO und den konkreten technischen sowie organisatorischen Gegebenheiten in Unternehmen und öffentlichen Einrichtungen.

Durch die systematische Struktur mit den sieben Gewährleistungszielen, dem SDM-Würfel und dem Referenzmaßnahmen-Katalog bietet das Modell eine belastbare Grundlage, um Datenschutzprozesse zu analysieren, zu bewerten und zielgerichtet zu verbessern. Dabei steht nicht nur die Einhaltung gesetzlicher Vorgaben im Vordergrund, sondern auch die Etablierung einer nachhaltigen Datenschutzkultur, die Vertrauen bei Kundinnen, Kunden, Partnern und Aufsichtsbehörden schafft.

Für Datenschutzbeauftragte fungiert das SDM als methodisches Rüstzeug, das sowohl bei der Konzeption neuer Verarbeitungstätigkeiten als auch bei der Optimierung bestehender Prozesse Orientierung bietet. Es erleichtert die Argumentation gegenüber der Geschäftsleitung, die Kommunikation mit IT-Abteilungen und das Vorgehen bei Audits oder Kontrollen.

Darüber hinaus unterstützt das SDM die kontinuierliche Verbesserung von Datenschutzmaßnahmen im Sinne eines lebendigen Datenschutzmanagementsystems. Es ist somit nicht nur ein Prüf- oder Nachweisinstrument, sondern ein strategisches Werkzeug für eine datenschutzfreundliche Organisationsentwicklung.

Quelle: Das Standard-Datenschutzmodell (Version 3.1a)

Kontakt aufnehmen
Tags:
, , , , , ,
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge

de_DEGerman
en_USEnglish it_ITItalian fr_FRFrench de_DEGerman