Ziel des Standard-Datenschutzmodells ist es, Verantwortliche bei der Auswahl und Umsetzung angemessener und geeigneter Maßnahmen zur Einhaltung des geltenden Datenschutzrechts zu unterstützen.
Das SDM identifiziert daher die zentralen datenschutzrechtlichen Anforderungen der DS-GVO und systematisiert diese durch Gewährleistungsziele. Dabei handelt es sich um die klassischen Schutzziele der Informationssicherheit
- Vertraulichkeit,
- Integrität und
- Verfügbarkeit,
die um die speziell datenschutzbezogenen Gewährleistungsziele
- Datenminimierung,
- Transparenz,
- Intervenierbarkeit und
- Nichtverkettung
ergänzt werden.
Im Rahmen einer Prüfung wird der Schutzbedarf für die betroffenen Personen auf Basis der Risiken für die Rechte und Freiheiten der Betroffenen, die mit der Vereinbarung ihrer Daten einhergehen, bestimmt.
Aus der Analyse des Schutzbedarfs folgt dann, welche standardisierten Schutzmaßnahmen erforderlich sind.
Die insoweit als erforderlich erkannten technischen oder organisatorischen Sicherungsmaßnahmen lassen sich einem standardisierten Maßnahmenkatalog entnehmen, der als Anhang zum SDM konzipiert ist. In einer abschließenden Risikoanalyse werden eventuell noch darüber hinaus gehende Sicherungsbedarfe ermittelt. Das SDM umfasst zudem einen Datenschutzmanagement-Zyklus, an dem sich Verantwortliche bei der Planung, Einführung, Betrieb, Prüfung und Beurteilung von Verarbeitungstätigkeiten orientieren können.
Die Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder (DSK) hat im November 2019 das Handbuch mit der allgemeinen Prüfsystematik des SDM in Version 2.0 beschlossen. Im April 2020 wurden am Handbuch mit der Version 2.0b redaktionelle Anpassungen vorgenommen und Hinweise zur Verbindlichkeit der Anwendung einzelner Maßnahmen des Maßnahmenkatalogs ergänzt. Der Katalog mit den konkreten, standardisierten Schutzmaßnahmen wird derzeit entwickelt.
Die einzelnen von der Datenschutzkonferenz bzw. vom Arbeitskreis Technik freigegeben Bausteine des Katalogs werden sukzessive auf der Webseite des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern veröffentlicht.
Das SDM wird von einem Arbeitsgremium der Konferenz laufend weiterentwickelt. Anwender sind eingeladen, ihre Erfahrungen mitzuteilen und damit zur Weiterentwicklung beizutragen.
- Baustein 11 „Aufbewahren“ (Version 1.0 vom 6. Oktober 2020)
- Baustein 41 „Planen und Spezifizieren“ (Version 1.0 vom 25. März 2021)
- Baustein 42 „Dokumentieren“ (Version 1.0a vom 2. September 2020)
- Baustein 43 „Protokollieren“ (Version 1.0a vom 2. September 2020)
- Baustein 50 „Trennen“ (Version 1.0 vom 6. Oktober 2020)
- Baustein 51 „Zugriffe auf Daten, Systeme und Prozesse regeln“ (Version 1.0 vom 01.11.2021)
- Baustein 60 „Löschen und Vernichten“ (Version 1.0a vom 2. September 2020)
- Baustein 61 „Berichtigen“ (Version 1.0 vom 6. Oktober 2020)
- Baustein 62 „Einschränken der Verarbeitung“ (Version 1.0 vom 6. Oktober 2020)
Hinweis zur Nutzung des SDM Datenlizenz Deutschland – Namensnennung – Version 2.0
Das Standard-Datenschutzmodell steht unter der Datenlizenz Deutschland – Namensnennung – Version 2.0 zum Download zur Verfügung. Es darf – ohne Rückfrage bei einer Aufsichtsbehörde – kommerziell und nicht kommerziell genutzt, insbesondere vervielfältigt, ausgedruckt, präsentiert, verändert, bearbeitet sowie an Dritte übermittelt oder auch mit eigenen Daten und Daten Anderer zusammengeführt und zu selbstständigen neuen Datensätzen verbunden werden, wenn der folgende Quellenvermerk angebracht wird:
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz). Veränderungen, Bearbeitungen, neue Gestaltungen oder sonstige Abwandlungen der bereitgestellten Daten sind mit einem Veränderungshinweis im Quellenvermerk zu versehen. Datenlizenz Deutschland – Namensnennung – Version 2.0.