Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, 28. Tätigkeitsbericht 2022, S. 44f. online verfügbar unter: https://lfd.niedersachsen.de/startseite/infothek/tatigkeitsberichte/2022/28-tatigkeitsbericht-2022-223047.html
Am 24.11.2022 stimmte die Konferenz der unabhängigen Datenschutzaufsichtsbehör-
den des Bundes und der Länder (DSK) der aktuellen Version 3.0 des Standard-Daten-
schutzmodells (SDM) zu. Es wurden die Bedeutung von „Verarbeitung“ und den damit
verbunden „Risiken“ herausgearbeitet.
Mit dem SDM stellt die DSK eine Methode zur systematischen Herleitung von technischen und
organisatorischen Maßnahmen (TOM) bei der Verarbeitung personenbezogener Daten aus den
rechtlichen Vorgaben der DS-GVO zur Verfügung. Das SDM wird gemeinschaftlich von den deut-
schen Datenschutzaufsichtsbehörden weiterentwickelt und liegt jetzt in einer überarbeiteten Fassung vor. In der Vergangenheit habe ich immer wieder die aktuellen Entwicklungen in meinen Tätigkeitsberichten dargestellt.
Kurzlink: https://t1p.de/SDM3
In der aktuellen Fassung des SDM wurde der neue Abschnitt D 2.1 „Aufbereitung einer Verarbei-
tungstätigkeit in Vorgänge oder in Phasen eines Datenlebenszyklus“ aufgenommen. Ausgangs-
punkt ist dabei die Begriffsbestimmung des Artikels 4 Abs. 2 der DS-GVO zur „Verarbeitung“,
die aus bis zu 14 „elementaren Verarbeitungsschritten“ bestehen kann. Diese elementaren Ver-
arbeitungsschritte werden nun in neun Gruppen von Verarbeitungsvorgängen unterteilt, die zum besseren Verständnis wiederum in vier „Phasen der Datenverarbeitung“ gegliedert sind. Die Zuordnung der elementaren Verarbeitungsvorgänge zu Gruppen oder Phasen erfolgt auf Basis datenschutzrechtlicher Anforderungen, die erfahrungsgemäß ähnlich sind.
Mit dem Abschnitt D 2.5 wird ein „Überblick über die Modellierungstechniken des SDM (,SDM-
Würfel‘)“eingeführt. Dazu werden die rechtlichen Anforderungen der DS-GVO in sieben Ge-
währleistungsziele „übersetzt“, die es dem Verantwortlichen ermöglichen sollen, eine DS-GVO-
konforme Verarbeitung personenbezogener Daten (pb Daten) zu gewährleisten.
Die sieben Gewährleistungsziele des SDM sind:
• Datenminimierung (übergreifende Anforderung),
• Verfügbarkeit,
• Integrität,
• Vertraulichkeit,
• Nichtverkettung,
• Transparenz und
• Intervenierbarkeit.
Auf dieser Basis können die Risiken analysiert und angemessene technische und organisatorische Maßnahmen ausgewählt werden, die das Risiko der Verarbeitung so gering wie möglich halten.
Der „SDM Würfel“ unterstützt so den Anwender dabei, die Risiken auch in technisch komplexen
Verarbeitungssituationen vollständig erfassen, analysieren und bewerten zu können.