Die Datenschutzbehörden von Bund und Ländern haben sich auf eine grundlegende überarbeitete Version des Standard-Datenschutzmodells (SDM) verständigt. Dabei handelt es sich um eine auf 68 Seiten dokumentierte Prüfmethode, mit der nicht nur die Datenschützer selbst, sondern auch Unternehmen und andere Behörden beurteilen können, ob ihre Anwendungen personenbezogene Daten datenschutzkonform verarbeiten.

Besseres Datenschutzmanagement

Bisher hatten die deutschen Aufsichtsbehörden eine vorläufige Fassung des SDM evaluiert, die noch nicht alle Anforderungen der europäischen Datenschutzverordnung (DSGVO) erfasste. In Version 2.0 deckt das Standard-Datenschutzmodell nun alle rechtlichen Anforderungen ab. Anwender können ihre Erfahrungen den Datenschutz-Aufsichtsbehörden mitteilen und damit zu einer Verbesserung des Modells beitragen.

Das neue SDM beschreibt das Datenschutzmanagement, mit dem alle Phasen der Verarbeitung personenbezogener Daten durchgegangen werden können. Die Anwender können mit Hilfe des SDM bewerten, welche technischen und organisatorischen Maßnahmen unter Berücksichtigung der von der DSGVO definierten Datenschutzrisikostufen ("normal" oder "hoch") notwendig sind. Das SDM hilft bei Planung und Durchführung von Datenverarbeitungen mit Personenbezug.

Neu ist auch ein Kapitel zum Einwilligungsmanagement, was insbesondere im Hinblick auf das Millionenbußgeld gegen das Immobilienunternehmen Deutsche Wohnen, aber auch für den Einsatz von Google Analytics hochaktuell ist. Dafür müssen Einwilligungen eingeholt und so gespeichert werden, dass sie als Nachweis dienen können und auch widerrufen werden können. Ordnet eine Aufsichtsbehörde beispielsweise das Sperren von bestimmten Datenfeldern an, muss dies von einer Fachanwendung umsetzbar sein.

Anschluss an IT-Grundschutz

Die Anforderungen des SDM orientieren sich an sieben Gewährleistungszielen, die als Grundsätze in Artikel 5 DSGVO definiert sind. Dabei handelt es sich um Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettung, Transparenz und Intervenierbarkeit. Im SDM wird das Gewährleistungsziel Transparenz durch Prüffähigkeit der in Artikel 5 angeführten Grundsätze umgesetzt. Die meisten dieser Gewährleistungsziele finden sich als klassische IT-Sicherheitsziele auch im IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) wieder, womit ein methodischer Anschluss gegeben ist.

Das SDM ist inzwischen auch im IT-Grundschutz direkt verankert. Im Abschnitt zu Datenschutz weist das BSI darauf hin, dass die Nichtberücksichtigung des SDM begründet werden müsse. Falls sie sich etwa an einer ISO-Norm orientieren, müssen sie darlegen, warum diese die DSGVO-Anforderungen vollständig abdeckt. Beispielsweise hat die ISO in diesem Jahr mit der ISO 27701 die Struktur für ein Datenschutz-Management-System definiert, welche zu einer Zertifizierung nach ISO 27001 (IT-Sicherheit) hinzugefügt werden kann. Eine Zertifizierung von Datenschutz-Management-Systemen auf Grundlage der ISO 27701 unter der DSGVO gibt es aber nicht und ist auch nicht vorgesehen.

Entgegenkommen für Microsoft?

Mit Blick auf das SDM ist es erstaunlich, dass das zeitgleich von der Datenschutzkonferenz verabschiedete Prüfschema zum Betriebssystem Windows 10 sich nicht am SDM orientiert, sondern am Prüfbericht des BSI. Dies kann als Entgegenkommen der Behörden Microsoft gegenüber gewertet werden. Dem Vernehmen nach hatte sich die Bayerische Datenschutzaufsicht für dieses Vorgehen eingesetzt.

Ein Argument ist wohl, dass Windows 10 als IT-Infrastruktur nach IT-Sicherheitsaspekten geprüft werden kann. Aus Datenschutzaspekten kann es aber nur mit Blick auf spezifische Anwendungsfälle, etwa wie "Windows 10 in Schulen", geprüft werden. Sind personenbezogenen Daten von Kindern betroffen, wird das Risiko für Grundrechtsverletzungen in der Regel als hoch beurteilt. Eine Prüfung nach SDM könnte daher dazu führen, dass ein Einsatz von Windows 10 bei solchen personenbezogenen Verarbeitungen nicht gerechtfertigt werden kann. (vbr)