DSK: Neues Standard-Datenschutzmodell 3.1

12. Juli 2024

Die Datenschutzkonferenz (DSK) hat am 14.05.2024 ein neues Standard-Datenschutzmodell 3.1 (SDM) beschlossen. Das kürzlich veröffentlichte Modell soll Unternehmen die Einhaltung der Datenschutzgrundverordnung (DSGVO) erleichtern. Es bietet eine strukturierte Herangehensweise zur Umsetzung der komplexen datenschutzrechtlichen Anforderungen in konkrete technische und organisatorische Maßnahmen.

Erarbeitung des Modells durch die DSK

Die Datenschutzkonferenz (DSK) setzt sich zusammen aus den unabhängigen Datenschutzbehörden. Sie ist für die Einhaltung und die einheitliche Anwendung des europäischen und des nationalen Datenschutzrechts zuständig. In der aktuell geplanten Reform des Bundesdatenschutzgesetzes (BDSG) soll die DSK auch institutionalisiert werden. Neben Stellungnahmen, Beschlüssen und Orientierungshilfen, veröffentlicht die DSK regelmäßig Standardisierungen, wie das kürzlich beschlossene neue Standard-Datenschutzmodell. Dieses erstreckt sich über 78 Seiten und bietet eine detaillierte Anleitung, wie Verantwortliche die rechtlichen Vorgaben des Datenschutzrechts in technische und organisatorische Maßnahmen (TOM) umsetzen können.

Notwendigkeit eines Standard-Datenschutzmodells

Zunächst formuliert die DSGVO verschiedene Anforderungen bezüglich der Verarbeitung personenbezogener Daten. Dazu gehören insbesondere im Sinne von Art. 32 Abs. 1 DSGVO die TOM, um Betroffenenrechte und Datenschutzgrundsätze zu gewährleisten. Gerade bei der Entwicklung neuer Technik verlangt der Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen nach Art. 25 DSGVO eine frühzeitige Auseinandersetzung mit den rechtlichen Anforderungen. Zudem setzt die DSGVO ein anspruchsvolles Kohärenzverfahren in Zusammenarbeit mit den Datenschutzbehörden voraus, dass für eine reibungslose Bewertung bestimmten Standards entsprechen sollte. Bei der Erfüllung dieser Vorgaben kann ein SDM helfen. Zuletzt kann das SDM ein wertvolles Werkzeug für den Erhalt einer datenschutzspezifischen Zertifizierung nach Art. 42 DSGVO sein oder bei der Durchführung einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO helfen.

Adressaten des SDM

Laut dem neuen SDM (abrufbar hier) kann es als Unterstützung auf nationaler sowie auf internationaler Ebene dienen. Dabei soll es als Orientierungshilfe für private und öffentliche Unternehmen sowie für die Datenschutzaufsicht fungieren.

Referenzmaßnahmen-Katalog des SDM

Ein SDM wird in der Regel entwickelt, um die komplexen rechtlichen Vorgaben der DSGVO für Verantwortliche in konkrete technische Maßnahmen zu übersetzen. Dafür liefert es, sortiert nach den verschiedenen datenschutzrechtlichen Gewährleistungszielen, die jeweiligen von der DSGVO geforderten TOM detailliert im sogenannten Referenzmaßnahmen-Katalog. Den Referenzmaßnahmen-Katalog des SDM können Verantwortliche dann verwenden, um ihre implementierten Schutzmechanismen mit den Vorgaben der DSGVO abzugleichen.

Fazit

Während die aktualisierte Version des SDM 3.1 lediglich ein paar kleine redaktionelle Änderungen enthält, ist es trotzdem zu empfehlen diesbezüglich stets auf dem neusten Stand zu sein. Das Standard-Datenschutzmodell 3.1 der DSK stellt einen wichtigen Beitrag zur vereinfachten Umsetzung des Datenschutzrechts dar. Außerdem helfen wir Ihnen als Externe Datenschutzbeauftragte gerne dabei, die geeigneten und erforderlichen TOM umzusetzen.