Deswegen wurde bereits vor Jahren eine Arbeitsgruppe der Konferenz der unabhängigen Datenschutzbehörden
des Bundes und der Länder eingerichtet. Diese hat ihre Aufgabe auf der Basis des Grundschutzmodells neu
fokussiert und das „Standard-Datenschutzmodell“ (SDM) mit sechs sog. Gewährleistungszielen entwickelt.
Zu den „klassischen“ Gewährleistungszielen im SDM zählen:
1. Verfügbarkeit,
2. Integrität und
3. Vertraulichkeit.
Wie bereits in meinem 25. TB (Nr. 5.14.1) berichtet, reichen diese Ziele allerdings nicht aus, um Datenschutz
und Datensicherheit zu gewährleisten. Dazu werden noch folgende ergänzende Gewährleistungsziele benötigt:
4. Nichtverkettung,
5. Transparenz und
6. Intervenierbarkeit.
Diese sechs Gewährleistungsziele und die daraus abgeleiteten Maßnahmen können dazu dienen, die
X-Komponente in der obigen Formel mit Inhalt zu füllen. Gleichzeitig ergänzt dieses Modell in idealer Form
das Grundschutzmodell des BSI und wendet die gleiche Methode an (vgl. Kasten b zu Nr. 10.2.11.5).
Blickt man auf die künftig geltende Datenschutz-Grundverordnung, ergeben sich noch weitere Vorteile aus dem
SDM.
Mit Hilfe der Gewährleistungsziele überführt das SDM die rechtlichen Anforderungen der DSGVO in den von
der Verordnung geforderten Katalog aus technischen und organisatorischen Maßnahmen. Dieser Referenzkatalog ermöglicht zudem, die Maßnahmen auf ihre Wirksamkeit zu überprüfen. Derartig standardisierte Maßnahmenkataloge bieten eine sehr gute Grundlage für die in der DSGVO vorgesehenen datenschutzspezifischen
Zertifizierungen.
Eine solche Standardisierung unterstützt somit die von der Verordnung vorgegebene Zusammenarbeit der Aufsichtsbehörden, die mit einheitlichen Beratungs- und Prüfkonzepten die modernen Verfahren zur automatisierten Verarbeitung personenbezogener Daten begleiten. Das SDM als ganzheitliches Prüf- und Beratungskonzept
kann dabei zu einem abgestimmten, transparenten und nachvollziehbaren System der datenschutzrechtlichen
Bewertung führen.
Das SDM sollte jetzt im Einsatz getestet und ähnlich wie das Grundschutzmodell mit einem Maßnahmenhandbuch versehen werden. Derzeit sind im SDM Version 1.0 (abrufbar unter www.datenschutz.bund.de) schon eine
Reihe von Maßnahmen erarbeitet worden, die direkt angewendet werden können. Gleichwohl müssen diese
aufgrund von technologischen Weiterentwicklungen immer wieder angepasst und ergänzt werden. Auch neue
Techniken werden in Zukunft die Erarbeitung neuer Maßnahmen nach sich ziehen. Das Modell soll zukünftig
sowohl für die Datenschutzaufsicht im Bereich der privaten Wirtschaft als auch im Bereich der öffentlichen
Verwaltung einen wesentlichen Beitrag leisten, um einen an Grundrechten orientierten Datenschutz durchzusetzen.
BfDI 26. Tätigkeitsbericht 2015-2016
– 127 –