Die Aufsichtsbehörden bieten praktische Hilfestellungen zur Überprüfung von Datenschutzmanagementsystemen: Mit dem 2019 grundlegend überarbeiteten Standard-Datenschutzmodell (SDM) haben die Datenschutzaufsichtsbehörden des Bundes und der Länder ein Werkzeug bereitgestellt, mit dem für den Bereich des operativen Datenschutzes sichergestellt werden soll, dass eine einheitliche Datenschutz-Beratungs- und Prüfpraxis erfolgt. Der nun veröffentlichte Baustein der SDM-Methode bietet Unternehmen eine praktische Hilfestellung, indem er ihnen eine Anforderungsliste bei der Suche nach geeigneten Datenschutzmanagementsystemen an die Hand gibt.
Die rechtlichen Anforderungen der DSGVO werden durch das SDM in technische und organisatorische Maßnahmen überführt, die sicherstellen sowie den Nachweis dafür erbringen sollen, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DSGVO erfolgt. Das SDM fungiert also als Unterstützung bei der risikoadäquaten Auswahl und Bewertung solcher Maßnahmen. Dazu werden die rechtlichen Anforderungen der DSGVO den in Art. 5 DSGVO verankerten Gewährleistungszielen Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettung und Intervenierbarkeit sowie der übergreifenden Anforderung der „Datenminimierung“ zugeordnet und ein Referenzmaßnahmen-Katalog bereitgestellt.
Im Referenzmaßnahmen-Katalog werden die zur Erfüllung der gesetzlichen Anforderungen erforderlichen Maßnahmen, unter Zugrundelegung typischer ausgewählter Verarbeitungssituationen, dargestellt und in Bausteinen zusammengefasst. Auf diese Weise werden die abstrakt rechtlichen Vorgaben in konkrete technische und organisatorische Maßnahmen übersetzt. Mit Hilfe des Katalogs kann dann von Unternehmen überprüft werden, ob bei der jeweiligen Verarbeitung von Daten das rechtlich geforderte „Soll“ von Maßnahmen mit dem vor Ort vorhandenen „Ist“ von Maßnahmen übereinstimmt. Bei jeder Verarbeitung ist dabei auch sicherzustellen, dass die Risiken und Rechte für die Freiheiten der von der Verarbeitung betroffenen natürlichen Personen so weit eingedämmt werden, dass ein dem Risiko angemessenes Schutzniveau gewährleistet wird.
Mit dem nun veröffentlichten Anforderungskatalog für ein SDM Tool sollen die wesentlichen fachlichen Hauptfunktionen eines SDM-Tools („Tool“) aus Sicht des Datenschutzes dargestellt werden.
Nach dem Katalog der Datenschutzaufsichtsbehörden sollen Unternehmen bei der Suche eines geeigneten Datenschutzmanagementsystems folgende fachliche Hauptfunktionen berücksichtigen:
- Dokumentation datenschutzrechtlicher Nachweise („Output-Sicht“ des Tools)
- Die Durchführung datenschutzrechtlicher Prozesse („Assistenten-Sicht“ des Tools)
- Anforderungsbereich: Externe Bausteine werden im Tool bereitgestellt („Externe Quellen-Sicht“ des Tools)
- Anforderungsbereich: Schnittstellen zu anderen Fachverfahren werden bereitgestellt („Schnittstellen-Sicht“ des Tools)
- Anforderungsbereich: Weitere, allgemeine Anforderungen werden angeboten („Effizienz-Sicht“ des Tools)
Die Ergänzung des SDA um einen weiteren Baustein bietet Unternehmen also bei der Suche nach geeigneter Software erste gute Anhaltspunkte und erleichtert damit das Datenschutzmanagement.