DSGVO: Erste konkrete Referenzmaßnahmen für die Umsetzung
Die Datenschutzaufseher haben erste technische und organisatorische DSGVO-Referenzmaßnahmen veröffentlicht. Sie sollen von den Anwendern getestet werden.
(Bild: kb-photodesign/Shutterstock.com)
Was die Umsetzung der Datenschutz-Grundverordnung (DSGVO) konkret für bestimmte Vorgänge bedeutet, soll ein Katalog der Datenschutzaufsichtsbehörden erklären. Der wird technische und organisatorische Referenzmaßnahmen etwa fürs Datenschutzmanagement, das Protokollieren oder Löschen von Daten ausbuchstabieren. Nun wurden die ersten Bausteine vom zuständigen Arbeitskreis Technik veröffentlicht, der in der Landesdatenschutzaufsicht Mecklenburg-Vorpommern seinen Sitz hat.
Die einzelnen Teile beziehen sich auf wesentliche Tätigkeiten wie das Datenschutzmanagement, die Planung und Spezifikation, die Dokumentation und Protokollierung, sowie die Trennung, die Löschung und die Aufbewahrung.
Erster Teil zur Diskussion freigegeben
Damit wird etwa das erste Drittel der geplanten Bausteine zur öffentlichen Diskussion freigegeben. Sie sollen jetzt erprobt und dann gegebenenfalls überarbeitet werden. Die Autoren weisen ausdrücklich darauf hin, dass diese Bausteine noch nicht in der Datenschutzkonferenz abgestimmt worden sind. Anwender sollten ihnen daher ihre Erfahrungen bei der Erprobung der Bausteine mitteilen und so an der Weiterentwicklung von Methode und Maßnahmen beitragen.
Zuletzt waren an den Arbeiten Mitarbeiter der Landesdatenschutzbehörden Hessen, Mecklenburg-Vorpommern, Sachsen und Schleswig-Holstein sowie des Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland beteiligt.
Mit dem Standard-Datenschutzmodell (SDM) wird eine Methode zur Verfügung gestellt, mit der Verantwortliche und Aufsichtsbehörden bei der Entwicklung, beim Betrieb und bei der Prüfung von Datenverarbeitungen beurteilen können, ob personenbezogene Daten datenschutzkonform verarbeitet werden. Derzeit wird das SDM von den deutschen Datenschutzaufsichtsbehörden in seiner Erprobungsfassung evaluiert. Die SDM-Methodik wurde für erste Datenschutz-Folgenabschätzungen nach der DSGVO erprobt und soll dort gut funktionieren. Europaweit steht die Einigung der Datenschutzaufsichtsbehörden auf eine gemeinsame Prüfmethode noch aus.
Auch das BSI verweist auf das Standard-Datenschutzmodell
Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wird das SDM bereits im IT-Grundschutz im Abschnitt Datenschutz mit folgenden Worten empfohlen: "Es MUSS (…) geprüft werden, ob das SDM angewendet wird. Eine etwaige Nichtberücksichtigung des vollständigen Schutzziele-Katalogs und eine Nichtanwendung der SDM-Methodik sowie der Referenzmaßnahmen MÜSSEN begründet werden." Unternehmen müssten also darlegen, warum sie beispielsweise eine Evaluierung nach dem internationalen Datenschutz-Standard ISO 27018 durchführen, der bislang nur die Anforderungen der europäischen Datenschutzrichtlinie von 1995 abdeckt.
Das BSI hält das SDM "als Methode geeignet, die Wirksamkeit der technischen und organisatorischen Maßnahmen einer Verarbeitung auf der Grundlage und nach den Kriterien der DSGVO regelmäßig zu überprüfen, zu bewerten und zu evaluieren." Während die IT-Grundschutz-Methodik vor allem der Informationssicherheit dient, dient das Standard-Datenschutzmodell der Umsetzung von Betroffenenrechten.
Die schleswig-holsteinische Landesdatenschützerin Marit Hansen verweist darauf, dass bisher schon viele Anwender im Bereich der IT-Sicherheit mit den Grundschutz-Katalogen des Bundesamts für Sicherheit in der Informationstechnik arbeiten und sagt in Hinblick auf die nun vorgestellten SDM-Bausteine: "Wir brauchen das Feedback aus der Praxis: Wie verständlich sind die Bausteine? Decken sie die meisten Konstellationen ab? Was fehlt?" Diese Informationen sollen in der nächsten Version berücksichtigt werden. (mho)
