Martin Rost
Schutzziele / Standard-Datenschutzmodell

Das Standard-Datenschutzmodell

Als "Standard-Datenschutzmodell" (SDM) bezeichnen die deutschen Datenschutzaufsichtsbehörden seit 2014 ein Modell, mit dem die gesetzlichen Anforderungen an personenbezogene Verarbeitungen sowie die betriebliche Umsetzung der Verabeitung und die Wirksamkeit der Umsetzung von Datenschutzmaßnahmen in ein systematisch überprüfbares Verhältnis gesetzt werden können. Das SDM soll erstens Organisationen ein Werkzeug an die Hand geben, um selbsttätig personenbezogene Verfahren datenschutzgerecht einrichten, betreiben und permanent überwachen zu können und es soll zweitens zu abgestimmten, transparenten und nachvollziehbaren Beratungs- und Prüftätigkeiten der Datenschutzaufsichtsbehörden führen.

Das Modell bildet eine "Zwischenschicht" zwischen den vielfältigen rechtlichen Anforderungen der DSGVO und anderer (Spezial-)Gesetze, die auf nationaler und internationaler Ebene verteilt sind, und den nicht minder vielfältigen technischen und organisatorischen Funktionen, die in der Praxis vorzufinden sind. Knapp formuliert besteht die wesentliche Funktion des Modells darin, normative Soll-Werte aus dem Datenschutzrecht in funktionale Soll-Werte zu transformieren zu dem Zweck, die Sphären des Rechts und der Technik über Ziele aufeinander beziehbar zu machen und zugleich dadurch in ihren spezfischen Logiken - Recht/Nichtrecht und funktioniert/funktioniert-nicht - zu entkoppeln.

Die Komponenten des SDM

Das SDM besteht aus drei Komponenten:

1. Gewährleistungsziele und Schutzmaßnahmen

Der normative Anker des SDM besteht aus elementaren Gewährleistungszielen. Als Gewährleistungsziele gelten die Sicherung der Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettbarkeit personenbezogener Verarbeitung von Daten. Diese Ziele nehmen die datenschutzrechtlichen Normen der Grundsätze des Art. 5 der DS-GVO auf und übersetzen diese in konkrete funktionale, technische und organisatorische Anforderungen der Betriebspraxis von Organisationen um. (Von Kritikern des Modells strittig gehalten wird die Frage, ob Datenminimierung ein weiteres eigenständiges Ziel oder ein der Nichtverkettung unterzuordnen Ziel sei. Aus meiner Sicht ist Datenminimierung erst einmal gar kein Ziel sondern eine Norm. Als ein Unterziel gewendet würde es zudem nicht absolut gelten, es müsste ein sinnvolles "Gegengewicht" (etwa Datenreichtum?) formuliert werden. Aus Datenschutzgründen kann es gerade erforderlich sein, bspw im Kontext der Protokollierung und der Sicherung kontextueller Integrität, viele Daten zu sammeln, um bspw. Grundrechtsverstöße von Organisationen nachweisen zu können.)

Zu jedem Schutzziel lassen sich Funktionen und Schutzmaßnahmen ausweisen, mit denen die Ziele erreicht bzw. die Anforderungen umgesetzt werden können. Solche Maßnahmen sind im Kapitel 7 des SDM, V1.1 aufgelistet. In einem Katalog an Bausteinen zu Schutzmaßnahmen sind ein Teil dieser Maßna

2. Schutzbedarfsfeststellung

Die Auswahl der Maßnahmen und die Bestimmung der notwenigen Intensität der Wirksamkeit der Maßnahmen hängt ab von dem Risiko, das von einer Datenverarbeitung einer Organisation ausgeht. Wenn das Risiko erhöht ist, müssen auch erhöht wirksame Schutzmaßnahmen getroffen werden. Um die angemessene Wirksamkeit von Schutzmaßnahmen zu bestimmen, sind drei Aspekte zu bestimmen: Die Höhe des Risikos einer Verarbeitung, die Höhe des Schutzbedarfs und das Schutzniveau.

  • Risiko: Das Risiko bestimmt sich nach der Intensität des Grundrechtseingriffs - die DSGVO spricht vom Risiko für die Rechte und Freiheiten einer Person -, den eine Organisation durch eine Datenverarbeitung vornimmt. Die Intensität der Datenverarbeitung muss auf dem geringst möglichen Niveau erfolgen, und der Betroffene muss durch die Organisation eine faire Chance bekommen, die Intensität der Datenverarbeitung abschätzen und sich gegen diesen Zugriff wehren zu können. Das spezifische Datenschutzrisiko, das mit Hilfe der DSGVO formuliert werden kann, besteht darin, dass eine Organisation insbesondere die Grundsätze des Art. 5 DSGVO nicht beachtet. Das Risiko entspricht der Negation der Gewährleistungsziele. Ein weiterer Typ von Risiken entsteht durch die Nutzung unsicherer Informationstechnik seitens der Organisation. Die Höhe des Risikos für einen Betroffenen lässt sich bestimmen, wenn eine Organisation ohne jeden Datenschutz und IT-Sicherheit Daten verarbeitet.
  • Schutzbedarfsfeststellung: Die Höhe des Schutzbedarfs einer Person richtet sich nach der Höhe des Risikos: normales Risiko = normaler Schutzbedarf, hohes Risiko = hoher Schutzbedarf. Kein Risiko gibt es nicht, ein geringes Risiko wird wie normales Risiko behandelt. Ein sehr hohes Risiko = sehr hoher Schutzbedarf. Bei sehr hohem Schutzbedarf müssen Schutzmaßnahmen in einer Wirksamkeit betrieben werden, die auch bei hohem Risiko zum Einsatz kommen plus noch weitere spezifisch auf das besondere Risiko angepasste Maßnahmen. Das SDM benenntn nur Standardmaßnahmen für normales und hohes Risiko.
  • Schutzniveau: Das Schutzniveau einer Verarbeitung entspricht dem real erzielten Schutz für Betroffene durch Gestaltung der Verarbeitung sowie der Implementation, dem Betrieb und der fortwährenden Kontrolle der Datenverbeitung und Schutzmaßnahmen, mit denen das Risiko der Verarbeitung für den Betroffenen auf ein verantwortbares Maß gemindert wurde.

3. Verarbeitungskomponenten

Und als dritte Komponente, neben Gewährleistungszielen und Schutzbedarfsfeststellungen, legt das SDM Wert darauf, bei Verarbeitungsvorgängen die Komponenten Daten(bestände), IT-Systeme und Prozesse zu unterscheiden.

Diese Unterscheidung erlaubt es, bspw. Anforderung an ein "integres IT-System", also etwa an eine Hardware-Plattform, oder an einen "integren Prozess" zu formulieren als Voraussetzung für den Betrieb von transparenten, integren, zweckgemäß betriebenen Verarbeitungen personenbezogener Daten.

Status der SDM-Methodik und des SDM-Schutzmaßnahmenkatalogs

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hatte die sechs (plus ein) Gewährleistungsziele 2010 akzeptiert. Im Oktober 2015 wurde das SDM schließlich, in Form eines 40 Seiten umfassenden SDM-Handbuchs, in der Version 0.9 zur Beratung und Prüfung zu nutzen empfohlen. Im Oktober 2016 dann folgte die Version 1.0 des Handbuches. Auch dieser Version stimmte die DSK mit einer Gegenstimme zu. Es wurde deutlich, dass nur wenige Aufsichtsbehörden begonnen hatten, das SDM für ihre Arbeit heranzuziehen. Im April 2018 empfahl die DSK dann das dritte Mal das SDM zur Evaluation bei Prüfungen und Beratungen, bei nunmehr 4 Enthaltungen. Im September 2018 hat eine Unterarbeitsgruppe des Arbeitskreis Technik der Datenschutzaufsichtsbehörden von Hessen, Mecklenburg-Vorpommern, Sachsen, Schleswig-Holstein sowie der Evangelischen Kirche Deutschlands die ersten sieben SDM-Bausteine erarbeitet und veröffentlicht.

Veröffentlichungen der Aufsichtsbehörden zum SDM

Die zentrale Webseite des SDM wird beim Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern betrieben.
Modell, Maßnahmen, Newsletter [externer Link]
(There one can find an English translation.)

DSK 2010: Modernisierung des Datenschutzrechts
[Download] / [externer Link]

Theorie- und Praxiskontext SDM

Pohle, Jörg, 2018: Datenschutz und Technikgestaltung - Geschichte und Theorie des Datenschutzes aus informatischer Sicht und Folgerungen für die Technikgestaltung (Dissertation, nicht speziell mit SDM-Bezug, zeichnet aber die Entwicklung bis hin zu den Gewährleistungszielen nach.)
[Text]

BSI 2018: IT-Grundschutz, CON.2: Datenschutz
[Webseite/Text]

Robrahn, Rasmus; Bock, Kirsten, 2018: Schutzziele als Optimierungsgebote, in: DuD - Datenschutz und Datensicherheit, 42. Jahrgang, Heft 1: 07-12.
[Textausschnitt]

Rost, Martin, 2018: Die Ordnung der Schutzziele, in: DuD - Datenschutz und Datensicherheit, 42. Jahrgang, Heft 1: 13-18.
[Textausschnitt]

Pohle, Jörg, 2018: Die Zeitdimension der Schutzziele, in: DuD - Datenschutz und Datensicherheit, 42. Jahrgang, Heft 1: 19-22.
[Textausschnitt]

Jensen, Meiko, 2018: Zur Messbarkeit von Schutzzielen, in: DuD - Datenschutz und Datensicherheit, 42. Jahrgang, Heft 1: 23-26.
[Textausschnitt]

Schlehahn, Eva, 2018: Die Methodik des Standard-Datenschutzmodells im Bereich der öffentlichen Sicherheit und Justiz, in: DuD - Datenschutz und Datensicherheit, 42. Jahrgang, Heft 1: 32-36.
[Textausschnitt]

Schulzki-Haddouti, Christiane, 2016: Ein Pflichtenheft für alle - Stringente Kontrollen für den Datenschutz; in: c't - magazin für computertechnik - 2016/ 25: 42-44.
[Text]

Hansen, Marit / Jensen, Meiko / Rost, Martin, 2015: Protection Goals for Privacy Engineering, Proceedings for the International Workshop on Privacy Engineering - IWPE'15 [Text]

Rost, Martin, 2013: Eine kurze Geschichte des Prüfens, Tagungsband BSI
[Text]

Rost, Martin, 2012: Standardisierte Datenschutzmodellierung; in: DuD - Datenschutz und Datensicherheit, 36. Jahrgang, Heft 6: 433-438
[Text]

Rost, Martin; Pfitzmann, Andreas, 2009: Datenschutz-Schutzziele - revisited; in: DuD - Datenschutz und Datensicherheit, 33. Jahrgang, Heft 6, Juli 2009: 353-358.
[Text]

Schulungen zum SDM

Die Datenschutzakademie an der Nordseeakademie Leck bietet mehrmals im Jahr eine zweitägige Schulung zum SDM sowie eine eintägige Schulung zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) auf der Basis des SDM an.

Schulungsangebote zum SDM findet man auch bei Rehm-Datenschutz (München).

Kontakt zur SDM-Arbeitsgruppe

uld32[AT]datenschutzzentrum[PUNKT]de
([AT] und [PUNKT] bitte ersetzen.)


Prüfablauf im Datenschutz

Was bedeutet eigentlich "Datenschutz" zu prüfen?

Die Soll-Vorgaben einer Datenschutzprüfung ergeben sich aus dem Datenschutzrecht. Datenschutzanforderungen umzusetzen hat - außerhalb von Organisationen, die zur kritischen Infrastruktur gezählt werden (Stichwort: "KRITIS") - deshalb einen sehr viel höheren Verpflichtungsgrad als Anforderungen der IT-Sicherheit zu erfüllen, wie sie bspw. vom IT-Grundschutz des BSI oder von ISO-Standards formuliert werden. Ohne eine Rechtsgrundlage dürfen Organisationen keine Personendaten verarbeiten. Dieses grundlegende "Verbot mit Erlaubnisvorbehalt" (vgl. Artikel 6 DSGVO) entspricht der wichtigsten Regel einer Firewall: Es sind zunächst alle Ports zu schließen ("deny-all"), um anschließend einige Ports für die notwendigen Kommunikationsverbindungen bzw. Datenverarbeitungen zu öffnen. Jede Öffnung eines Ports bedeutet die Inkaufnnahme eines Sicherheitsrisikos, dass darüber Angriffe erfolgen können. Jede Aktivität einer Organisation mit Personenbezug bedeutet einen Grundrechtseingriff, mit dem Risiko, dass der Eingriff überzogen intensiv ist, und zwar dadurch, dass die Organisation bspw. nicht transparent macht, was sie mit personenbezogenen Daten macht, indem sie noch ganz andere Zweck mit diesen verfolgt, die von der Rechtsgrundlage nicht gedeckt sind. Deshalb beginnt jede Datenschutzprüfung personenbezogener Verfahren mit der Prüfung der Rechtsgrundlagen einer personenbezogenen Datenverarbeitung. Trägt die Rechtsgrundlage die Verarbeitung, können die Soll-Vorgaben an eine datenschutzgerechte Datenverarbeitung mit technisch-organisatorischen Schutzmaßnahmen formuliert und mit den Ist-Feststellungen einer Bestandsaufnahme vor Ort verglichen bzw. beurteilt werden. Genau an diesem Punkt hilft das SDM weiter.

Es gibt an mehreren neuralgischen Stellen gute Gründe, eine Datenschutzprüfung zu beenden:

Wenn die Datenverarbeitung einer Organisation keinen Personenbezug aufweist, bestehen keine datenschutzrechtlichen Anforderungen an diese Datenverarbeitung; eine Prüfung ist zu beenden (Phase 1).

Wenn die Datenverarbeitung einer Organisation einen Personenbezug aufweist, setzt die Verarbeitung die Existenz einer Rechtsgrundlage voraus. Wenn für die Datenverarbeitung keine Rechtsgrundlagen bestehen, die das Verbot mit Erlaubnisvorbehalt aufheben, kann eine Prüfung bereits mit diesem negativem Ergebnis beendet werden. Die Datenverarbeitung darf nicht stattfinden bzw. ist unverzüglich zu beenden. Das bedeutet, dass die für die Verarbeitung eingesetzte Technik gar nicht mehr in den Blick genommen werden muss, denn sie wird nicht rechtskonform betrieben. Selbst wenn der operative Datenschutz auf einem guten technisch-organisatorischen Niveau gewahrt wäre, dürfen keine Daten verarbeitet werden. Typisch besteht eine Datenschutzprüfung in dieser Phase darin zu ermitteln, ob die von der Organisation angegebenen Rechtsgrundlagen - Gesetz, Vertrag, Einwilligung - vorliegen und hinreichen. (Phase 2)

Wenn die Rechtsgrundlagen ausreichen, besteht die Prüfaufgabe darin festzustellen, ob die Prüffähigkeit der Datenverarbeitung gegeben ist. Das heisst konkret, ob die Daten, IT und Prozesse transparent sind und diese entsprechend spezifiziert, dokumentiert und protokolliert wurden und die Angaben aus diesen Quellen dan mit den Prüfwerten vor Ort verglichen und beurteilt werden können. Ist die Transparenz des Verfahrens nicht gegeben - und sind außerdem Verantwortlichkeiten unklar oder ungeregelt oder können Verträge nicht beigebracht werden - kann eine Prüfung wiederum mit einem negativen Ergebnis beendet werden, weil der Transparenzanforderung nicht nachgekommen wurde. Typisch besteht eine Datenschutzprüfung in dieser Phase drin, ob die beigebrachten Dokumente und Protokolle, die innerhalb bestimmter Fristen ein- und dann nachgefordert wurden, eine hinreichende Prüffähigkeit der Funktionen und der Auswahl der Schutzmaßnahmen erlauben. (Phase 3)

Nachdem die Rechtsgrundlagen geprüft und die Prüffähigkeit der Technik und Organisation eines Verfahrens festgestellt wurden, wird ermittelt, ob die Spezifikation und der Betrieb der Funktionen und Regeln sowie die Spezfikation und der Betrieb von speziellen Datenschutz-Schutzmaßnahmen in der Praxis korrekt dimensioniert und umgesetzt sind. Hier zu Entscheidungen bzgl. der Erforderlichkeit und Angemessenheit von Schutzmaßnahmen zu verhelfen, ist der wesentliche Vorzug des SDM. Wenn trotz mehrfacher Korrekturdurchläufe die Funktionen nicht ordnungsgemäß und die Schutzmaßnahmen nicht hinreichend sind, kann eine Prüfung mit negativem Ergebnis beendet werden.

Die Sanktion einer Aufsichtbehörde kann im öffentlichen Bereich der Verwaltungen aus einer Beanstandung oder im privaten Bereich aus einer Strafe oder einer Anordnung bestehen, wonach der Betrieb untersagt werden kann. Auch hier wird oftmals eine Frist zur Nachbesserung von Funktionen, Regeln (Dienst- oder Betriebsvereinbarungen) und Schutzaßnahmen eingeräumt. Wie schon in der vorigen Phase werden bei kleineren Datenschutzverstößen Nachprüfungen anberaumt. (Phase 4)



Abb 1: Phasen eines Prüfablaufs im Datenschutz


Datenschutzmanagement

Beim nachfolgenden Text handelt es sich um einen Auszug aus dem SDM-Baustein "Datenschutz-Management".



Abb 2: SDM-orientierter PDCA-Zyklus des Datenschutzmanagements

Phase 1: „Planen / Spezifizieren“

Bei der Planung / Spezifikation einer Verarbeitung ist darauf zu achten, dass eine Verarbeitung personenbezogener Daten im Betrieb datenschutzrechtlich den Anforderungen folgt und dies vollständig prüffähig ist. Zu diesem Zweck müssen alle funktionalen und rechtlich relevanten Komponenten der beabsichtigten Verarbeitung zusammengestellt werden und anhand von Dokumentation und auch Log- bzw. Protokolldaten geprüft werden können. In der Planungsphase müssen die normativen Soll-Werte, also die rechtlichen Vorgaben insbesondere der DSGVO (wie z.B. Zweckbindungsgebot oder Sicherstellung der Integrität und der Vertraulichkeit auch unter Belastung der Systeme und IT-Dienste auf Dauer), in funktionale Soll-Werte der Technik und Organisation (wie z.B. Trennungsmaßnahmen, Verschlüsselungsmaßnahmen oder das Zertifikatemanagement in einem Router) umgesetzt werden. Das schließt die Prüfdaten ein, mit denen der Nachweis der Wirksamkeit der getroffenen Maßnahmen möglich wird.

Der SDM-Baustein „Planung und Spezifikation“ listet hierfür erforderliche technische und organisatorische Maßnahmen auf.

Phase 2: „Kontrollieren / Prüfen“

Diese Phase erzeugt Prüfergebnisse aus dem Kontext technischer und organisatorischer Prozesse einer Verarbeitung personenbezogener Daten. Zu jedem normativen Soll-Wert ist ein funktionaler Ist-Wert zu bestimmen, der während des Kontrollierens oder des Prüfens zu ermitteln ist. Der Zweck einer Kontrolle besteht darin sicherzustellen, dass alle relevanten Komponenten einer Verarbeitung und entsprechende Verarbeitungstätigkeiten erfasst sind. Der Zweck einer Prüfung ist es, die Ist-Werte im laufenden Betrieb der Systeme oder IT-Dienste mit Hilfe der Dokumentation und der Protokolldaten zu ermitteln mit den Soll-Werten zu vergleichen. Bereits die Ermittlung von Ist-Werten und die anschließende Zusammenstellung von Soll- und Ist-Werten liefert ein erstes Prüfergebnis. Der Zweck einer Dokumentation besteht darin, die für eine Verarbeitung relevanten Daten, Systeme und Prozesse sowie die funktionalen Soll-Werte, die aus den normativen Soll-Werten (insbesondere der DS-GVO) abzuleiten sind, auszuweisen. Die Dokumentation soll darüber hinaus sowohl der Organisation selbst als auch externen Prüfern (z. B. Auditoren und Datenschutzaufsichtsbehörden) und den von der Verarbeitung betroffenen Personen sowohl einen Überblick über die Zusammenhänge der verschiedenen Komponenten (Datenbestände, IT-Systeme und technische und organisatorische Prozesse) als auch Einblicke in spezifische Details während des Betriebs der Systeme und IT-Dienste geben. Der Zweck der Protokollierung ist die Aufklärung technischer, organisatorischer oder administrativer Aktivitäten, die in der Vergangenheit stattfanden. Das Vorliegen von Protokolldaten (Ist-Werten) ist Voraussetzung, um eine Verarbeitung prüfen zu können. Der Vergleich der in der Dokumentation ausgewiesenen funktionalen Soll-Werte mit den aktuellen Ist-Werten (Kontrollieren / Prüfen) ist eine wesentliche Voraussetzung dafür, dass die Ordnungsmäßigkeit einer Verarbeitung nachgewiesen werden kann.

Die SDM-Bausteine „Dokumentation“ und „Protokollierung“ listen technische und organisatorische Maßnahmen auf, mit denen Prüfungsergebnisse des laufenden Betriebs gewonnen werden können.

Phase 3: „Beurteilen“

Diese Phase dient der rechtlichen Beurteilung von Prüfergebnissen im funktionalen Kontext einer Verarbeitung personenbezogener Daten und entspricht damit einer datenschutzrechtlichen Prüfung.

In dieser Phase werden Prüfergebnisse in Bezug auf den praktischen Betrieb einer Verarbeitung bzw. Verarbeitungstätigkeit beurteilt. Die Beurteilung dieser Prüfergebnisse ist eine eigene Phase, weil Prüfergebnisse in einem erweiterten funktionalen und gleichzeitig rechtlichen Kontext zu beurteilen sind. Eine solche Prüfung geht insofern über die Detailprüfungen der einzelnen Systeme hinaus. Ein wesentlicher Zweck des SDM besteht also darin, die rechtliche Prüfung einer Datenverarbeitung zu unterstützen. Deshalb muss das Datenschutzmanagement selbst den Grundsätzen für die Verarbeitung personenbezogener Daten gem. Art. 5 DSGVO genügen. Die Ergebnisse der Phase 3 bilden die Grundlage zur Behebung von Defiziten (Verbessern).

Phase 4: „Verbessern“

Diese Phase dient dazu, Konsequenzen aus den in Phase 3 gewonnen Ergebnissen der Beurteilung einer Verarbeitung zu ziehen. Die Konsequenz kann darin bestehen darauf hinzuwirken, dass eine Datenverarbeitung funktional verändert wird, um etwa deren Eingriff sintensität zu mindern. Mit Hilfe weiterer oder verbesserter Maßnahmen sind bspw. in der Beurteilungsphase erkannte Risiken für Rechte und Freiheiten betroffener Personen zu verringern. Gegenstand der Verbesserungen sind nicht nur die verschiedenen Verarbeitungstätigkeiten in Bezug auf personenbezogene Daten. Sie betreffen auch die Management-Prozesse der Organisation sowie technische Anpassungen. Der vollständige Katalog mit SDM-Referenzmaßnahmen kann dazu herangezogen werden, um die bereits umgesetzten technischen und organisatorischen Maßnahmen zu verbessern und zu ergänzen.