Stand: 6.03.2024
Adresse des Newsletters: vpo-sdm-newsletter-list@lists.datenschutz.de
Abbestellung: https://datenschutzzentrum.de/mailinglisten/#sdm
Archiv der Newsletter: https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/Newsletterarchiv/ 
SDM-Repository: https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/
Autor des Newsletters: Martin Rost, uld32@datenschutzzentrum.de


Hallo liebe(r) Abonnent*in des SDM-Newsletters,

ich kann nach längerer Pause wieder von ein interessanten Neuigkeiten rund um das SDM berichten:
a) Weiterentwicklung des SDM
b) Kritik am SDM und Kritik der Kritik
c) Wieder SDM-Schulungskurse an der DSA
d) Gründung der UGSDM e.V.

Mit freundlichen Grüßen
Martin Rost

*** a) Weiterentwicklung des SDM ***
Die Entwicklung des SDM nimmt wieder Fahrt auf. Auf Antrag des LfD Bayern wird ein neues Kapitel zu Betriebsmitteln in die Methode aufgenommen werden. Wann die neue Version des SDM verabschiedet wird, ist noch offen.

*** b) Kritik am SDM und Kritik der Kritik ***
In der Zeitschrift "Datenschutz-Berater" 2023/12 erschien eine juristisch motivierte Kritik zum SDM (Hansen-Oest), die in einer Replik zurückgewiesen wurde (Scheja):

- Hansen-Oest, Stephan, 2023: "Das Standard-Datenschutzmodell - ein Ansatz mit einem rechtlichen Fehler"; in: Datenschutz-Berater 2023/12, S. 318f.
Im ungewöhnlich lang geratenen "Fazit" schreibt der Autor u.a.: "Und für ausgebildete Juristinnen und Juristen dürfte es doch wesentlich einfacher sein, eine juristische Prüfung einer Verarbeitung personenbezogener Daten auf Basis des juristischen Handwerkzeugs durchzuführen als das SDM anzuwenden."

- Scheja, Gregor, 2024: "Falsche Annahmen führen zu falschen rechtlichen Folgerungen: Replik auf Hansen-Oest, DSB 2023, 318"; in: Datenschutz-berater 2024/03, S. 58f.
Dass Juristinnen und Juristen sich lieber mit ihrem juristischen Handwerk beschäftigen als mit der Praxis verwundere wenig, konstatiert dieser Autor. Im Fazit hält er u.a. fest: "Erfahrungen aus der praktischen Anwendung der SDM-Methode zeigen eindrücklich, wie mit überschaubarem Aufwand Datenschutzanforderungen sinnvoll strukturiert in ein systematisches Umsetzungskonzept gebracht werden können."

*** c) Wieder SDM-Schulungskurse an der DSA ***
Die vom ULD Kiel und der Nordseeakademie Leck betriebene Datenschutzakademie wird wieder Kurse zum SDM anbieten.

Die Schulung wird am 21.5. und 22.5. in Leck stattfinden und eine Einführung in das SDM sowie Übungen an konkreten Fällen zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO mit SDM beinhalten.

Informationen insbesondere zu den Kosten und zur Anmeldung sind hier zu finden:
https://www.datenschutzzentrum.de/artikel/1479-.html

*** d) Gründung der UGSDM e.V. ***

Die noch rudimentäre Webseite des neu gegründeten Vereins "Usergroup SDM" (UGSDM e.V.) ist erreichbar unter https://www.ugsdm.de/

Die Gründer*innen sehen das SDM, "als game changer in der Praxis betrieblicher Datenschutzbeauftragter", dem sie zu mehr Durchsetzung verhelfen wollen. Als Zweck weist der Verein auf der Webseite "die Förderung des SDM in allen gesellschaftlichen Bereichen" aus, konkret::
- die Etablierung von einheitlichen Standards
- Erarbeitung von Praxishilfen
- Aus- und Weiterbildung von SDM relevanten Berufsgruppen für die praktische Umsetzung des SDM
- Bereitstellung von Informationen, Durchführung von Fachveranstaltungen und Symposien sowie Vernetzung von Akteurinnen und Akteuren
- Wissenstransformation
_______________________________________________
vpo-sdm-newsletter-list mailing list
vpo-sdm-newsletter-list@lists.datenschutz.de
https://lists.datenschutz.de/mailman/listinfo/vpo-sdm-newsletter-list

Wenn Sie den Bezug dieses Newsletters nicht mehr wünschen, klicken Sie bitte hier:
https://www.datenschutzzentrum.de/mailinglisten/#vpo-sdm-newsletter-list

Sie können auch an die Adresse für die Verwaltung dieses Newsletters
eine Nachricht mit dem Betreff "unsubscribe" senden:
vpo-sdm-newsletter-list-request@lists.datenschutz.de?subject=unsubscribe

Wichtig: Senden Sie genau unter der Adresse, mit der Sie in der Liste eingetragen sind! Achten Sie darauf,

wenn Sie mehrere E-Mailadressen haben und diese ggf. an andere Adressen weiterleiten lassen!

Stand: 26.05.2023
Adresse des Newsletters: vpo-sdm-newsletter-list@lists.datenschutz.de
Abbestellung: https://datenschutzzentrum.de/mailinglisten/#sdm
Archiv der Newsletter:

https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/Newsletterarchiv/ 

SDM-Repository:
  https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/
Autor des Newsletters: Martin Rost, uld32@datenschutzzentrum.de


Hallo liebe(r) Abonnent*in des SDM-Newsletters,

drei Themen spreche ich in diesem Newsletter an: Das SDM-V3 liegt in Englisch-Übersetzung vor (a), im IT-Grundschutzkompendium 2023 wurde das Kapitel "CON.2" überarbeitet (b) und im Juni gründet sich eine SDM-Nutzergruppe (c).


*** a) SDM-V3 auf Englisch ***

Die Englischübersetzung von SDM-V3 ist abgeschlossen. Aktuell befindet sich der Text in einer letzten Qualitätssicherungsrunde der UAGSDM; er wird Anfang Juni im SDM-Repository verfügbar sein.


*** b) IT-Grundschutzkompendium 2023 ***

Nicht mehr ganz taufrisch, aber der Hinweis dürfte noch immer nützlich
sein: Im Ende Februar 2023 erschienenen IT-Grundschutzkompendium wurde das Kapitel CON.2, in Zusammenarbeit von UAGSDM und BSI, überarbeitet.
Besonders bemerkenswert ist das gemeinsame Verständnis von vier Risikotypen, die nun textidentisch in CON.2 und SDM-V3 definiert sind.

Das gesamte "IT-Grundschutz-Kompendium – Werkzeug für Informationssicherheit", in dem das Kapitel CON.2 enthalten ist, findet sich hier:
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html

CON.2 kann aber auch als einzelner Baustein angesteuert werden:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/03_CON_Konzepte_und_Vorgehensweisen/CON_2_Datenschutz_Edition_2023.pdf?__blob=publicationFile&v=3#download=1

Ich empfehle Download und Lektüre des gesamten Grundschutz-Kompendiums.


*** c) Gründung SDM-Nutzergruppe ***

Am 20. Juni finden sich in Bielefeld Anwender des SDM zusammen, um eine eine SDM-Nutzergruppe zu gründen. Zu den Interessenten zählen Datenschutzbeauftragte, Rechtsanwält*innen, DS-Berater*innen sowie SDM-Tool-Entwickler*innen. Anmeldung und Informationen finden sich hier:
https://www.werning.com/termin/sdm-usergroup-gruenderveranstaltung-am-20-juni-2023-in-bielefeld/

Die Idee zur Gründung einer Nutzergruppe entstand im Kontext der Sichtung von SDM-Tools im Herbst 2022.

Mit freundlichen Grüßen
Martin Rost

Stand: 09.01.2023
Adresse des Newsletters: vpo-sdm-newsletter-list@lists.datenschutz.de
Abbestellung: https://datenschutzzentrum.de/mailinglisten/#sdm
Archiv der Newsletter:

https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/Newsletterarchiv/
SDM-Repository:
  https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/
Autor des Newsletters: Martin Rost, uld32@datenschutzzentrum.de


Hallo liebe(r) Abonnent*in des SDM-Newsletters,

dieser Newsletter gibt einen kleinen Zwischenbericht zur Sichtung von SDM-Unterstützungsprogrammen ("SDM-Tools") (a) und weist auf eine SDM-Schulung speziell für SDM-Tool-Hersteller hin (b).

a) Die UAGSDM hatte Ende November 2022 eine Sichtung von SDM-Tools von 9 Herstellern durchgeführt. Jeder Hersteller konnte sein Programm 50 Minuten lang in einer Videokonferenz exklusiv der UAGSDM vorstellen. Zuvor und im Anschluss an diese Sichtungen füllten die Hersteller Fragebögen aus, mit denen einige für das SDM wesentlichen Eigenschaften der Programme erhoben wurden.

In einem ersten Fazit kann man sagen, dass die Art der Unterstützung von SDM-Tools breit streut. Eine methodisch vollständige Modellierung einer Verarbeitung, mit anschließendem Controlling auch der Bearbeitung der Risiken mit Hilfe insbesondere von SDM-Schutzmaßnahmen, war nicht darunter. Das war auch nicht anders zu erwarten, weil die Hersteller bei der Programmentwicklung bislang auf sich allein gestellt waren, um aus den bisherigen Publikationen zum SDM eine Spezifikation zu machen. Für eine integre Umsetzung bedarf es - wie immer so auch hier - einer engen Zusammenarbeit zwischen den Modellierern und Implementierern. Gleichwohl gibt es bei einigen Tools bereits hervorragende Ansätze; und jedem Tool läßt sich zumindest ein begrenzter Nutzen attestieren. Die Auswertung der Sichtungen und die Gespräche mit den Herstellern dauern an.

Wir bitten, von Nachfragen zu einzelnen SDM-Tools, die in der Fachszene teilweise gut sichtbar inzwischen beworben werden, abzusehen. Wir möchten seitens der UAGSDM den Herstellern zunächst die Chance geben, nicht nur ihre Produkte zu verbessern, sondern zukünftig auch die Art ihrer Assistenz standardisiert auszuweisen.

b) Um den Herstellern die nötige Unterstützung seitens der UAGSDM zu geben, sind  spezielle Schulungen nur für Hersteller vorgesehen: Am Fr. 27.01.23 sowie alternativ am Di. 31.01.2023, jeweils zwischen 9 und 15 Uhr. Hersteller von SDM-Tools, die nicht an den zuvor erwähnten Sichtungen im November teilnahmen, aber gern an einer dieser Schulung teilnähmen, können sich mit einer Person anmelden (uld32@datenschutzzentrum.de, Meldeschluss: Mi, 18.01.23, 12 Uhr). Als Voraussetzung zur Teilnahme müssen eine Beschreibung des SDM-Tools vorgelegt und die bereits erwähnten Fragebögen ausgefüllt werden.

Stand: 23.12.2022
Adresse des Newsletters: vpo-sdm-newsletter-list@lists.datenschutz.de
Abbestellung: https://datenschutzzentrum.de/mailinglisten/#sdm
Archiv der Newsletter:

https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/Newsletterarchiv/ 

SDM-Repository:
  https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/
Autor des Newsletters: Martin Rost, uld32@datenschutzzentrum.de


Hallo liebe(r) Abonnent*in des SDM-Newsletters,

zum Ende des Jahres kann ich Ihnen noch einige gute Nachrichten rund um das SDM mitteilen.

Ich wünsche Ihnen schöne festliche Tage,
Martin Rost


*** Inhaltsübersicht ***

a) Die 104. DSK verabschiedet das SDM-V3
b) Wesentliche Neuerungen des SDM-V3 gegenüber SDM-V2
c) Ergebnisse aus der Umfrage zur SDM-Nutzung
d) Ankündigung: SDM-Schulung für Toolhersteller


*** a) Die 104. DSK verabschiedet das SDM-V3 ***

Der Beschluss der 104. DSK-Konferenz (22.-24.11.2022) zum SDM lautet wie folgt:

"1. Die DSK stimmt der aktuellen Version 3.0 des Standard-Datenschutzmodells (SDM) zu.
2. Das SDM 3.0 wird in deutscher und englischer Sprache veröffentlicht."

Die neue Version SDM-V3 wurde bereits in das SDM-Repository ( https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/ ) eingestellt.


*** b) Wesentliche Neuerungen des SDM-V3 gegenüber SDM-V2 ***

Die in Art. 4 Nr. 2 DSGVO aufgelisteten 14 elementaren Vorgänge einer Verarbeitung werden nun vom SDM zu 9 Verarbeitungsvorgänge oder zu 4 Phasen zusammengefasst. Damit weist das SDM eine Struktur aus, die anzeigt, welche Aspekte wesentlich in der Dokumentation einer Verarbeitung angesprochen, in der Rechtsgrundlage geregelt und mit darauf abgestimmten Maßnahmen zur Risikominimierung bedacht werden sollten.

Neu ist auch der "SDM-Würfel", der alle relevanten Aspekte einer Verarbeitung (Vorgänge/Phasen, Ebenen) und die Gewährleistungsziele in einen Zusammenhang stellt. Auf diese Weise können, abhängig von der Risikostufe einer Verarbeitung, sämtliche Risiken, die die DSGVO zu bearbeiten fordert, mit einem Blick vollständig erfasst werden.

Mit der DSGVO ist der Aspekt des "Risikos" für die Rechte und Freiheiten einer Verarbeitung in den Vordergrund gerückt worden. Zu Beginn der Arbeiten am SDM wurde an Stelle des Risikos das Konzept des "Schutzbedarfs" genutzt, in methodischer Anlehnung an den BSI-Grundschutz. Es waren noch mißverständliche "Restformulierungen" enthalten, die nun überarbeitet wurden. Außerdem werden im Kapitel "Risiken für Betroffene" nun vier Risikotypen unterschieden, die wortgleich im Grundschutzkompendium des "CON.2 – Datenschutz"-Bausteins des BSI (2023) enthalten sein werden.


*** c) Ergebnisse aus der Umfrage zur SDM-Nutzung ***

Wir hatten im SDM-Newsletter Nr. 10 (27.06.2022) auf eine Umfrage zur Nutzung des SDM hingewiesen. Insgesamt haben 71 Personen die Fragen beantwortet. Unser herzlicher Dank gilt deshalb insbesondere den Bezieher*innen dieses Newsletters, die wahrscheinlich den größten Anteil an Antworten beibrachten.

Der relativ geringe Umfang der Antworten - der SDM-Newsletter hatte zu diesem Zeitpunkt 2206 Abonnenten - und der unkontrollierte Zugang zum Fragebogen lassen methodisch keine quantitativ gesicherte Auswertung zu, so dass die Ergebnisse nur als Tendenzen interpretiert werden.

Gefragt hatten wir nach dem professionellen Hintergrund der Antwortenden. Erstaunlicherweise interessieren sich offenbar nicht vor allem Techniker*innen für das SDM, sondern mehr noch Jurist*innen und insbesondere Generalist*innen, die beide zudem überwiegend für Privatunternehmen arbeiteten.

Rund ein Viertel aller Antwortenden gaben an, dass SDM in der Praxis zu nutzen, wobei die meisten Nutzer*innen in der öffentlichen Verwaltung arbeiten. Aus den Bereichen "Forschung" und "Verein" gab es niemanden, der den Fragebogen beantwortete. Da stellt sich die Frage, ob Datenschutz in diesen Institutionen generell wenig beachtet wird, oder nur das SDM unbekannt ist.

Geschätzt wird am SDM, dass es eine klare Struktur der Herangehensweise und Logik aufweise. Bemängelt wird am SDM, dass es zu anspruchvoll, nicht praxisorientiert bzw. zu abstrakt sei. Letzteres sind typische Kritiken für Methoden, wie sie auch im Kontext des IT-Grundschutzes oder der ISO formuliert werden. Man muss die Anwendung einer Methode lernen, um die Zusammenhänge zu verstehen und vor allem die Grenzen der Methode realistisch einschätzen zu können. Relativ hoch war auch der Anteil derjenigen, die angaben, anstelle des SDM eine andere Methode zu benutzen.

Gewünscht wird, dass zukünftig "pragmatischere Lösungen" zur Verfügung gestellt werden, mit besserer Abstimmung zu Grundschutzmaßnahmen sowie besserer Anpassung an die Anforderungen eines/r DSB.


*** d) Ankündigung: SDM-Schulung für Toolhersteller ***

Wir hatten ebenfalls im SDM-Newsletter Nr. 10 die Hersteller von SDM-Tools aufgefordert, sich bei der UAGSDM zu melden, um zu einer Sichtung ihres Tools eingeladen zu werden. An dieser Sichtung haben 9 Tool-Hersteller teilgenommen. Es hat sich gezeigt, dass der Umfang der Assistenz vielfältig ist. Die Auswertung der Sichtung hält noch an.

Anfang/Mitte Januar wird ein weiterer SDM-Newsletter erscheinen, in dem wir einen Termin (vermutlich für Ende Januar/Anfang Februar) für eine SDM-Schulung speziell für Tool-Hersteller anbieten werden.

Stand: 27.06.2022
Adresse des Newsletters: vpo-sdm-newsletter-list@lists.datenschutz.de
Abbestellung: https://datenschutzzentrum.de/mailinglisten/#sdm
SDM-Repository: https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/
Autor des Newsletters: Martin Rost, uld32@datenschutzzentrum.de

Hallo liebe(r) Abonnent*in des SDM-Newsletters,
es hat sich seit dem letzten Newsletter (2021/11) einiges rund um die Weiterentwicklung des SDM getan.
Ich bitte Sie herzlich, etwas Zeit auf die Beantwortung der Fragen zum SDM (siehe Absatz d)) aufzuwenden.

*** Inhaltsübersicht ***
a) Hinweis auf das SDM-Forum
b) Aufruf an SDM-Toolhersteller
c) AK-Technik spezifiziert "Verarbeitungstätigkeit"
d) Umfrage zur SDM-Nutzung

*** a) Hinweis auf das SDM-Forum ***
Die Unterarbeitsgruppe SDM (UAGSDM) hat ein SDM-Forum zur öffentlichen Kommunikation zum SDM eingerichtet. In diesem Forum sollen Fragen zur Methode und zu Bausteinen beantwortet, praktische Erfahrungen geteilt oder Feedback zum SDM gegeben werden können. Einige Mitglieder der UAGSDM werden sich an diesem Forum beteiligen.

Das SDM-Forum ist erreichbar unter: https://forum.bfdi.bund.de/c/standard-datenschutzmodell/13

*** b) Aufruf an SDM-Toolhersteller ***

Die UAGSDM möchte einen Workshop mit Toolherstellern zur Unterstützung der Arbeit mit dem SDM durchführen.Wenn Sie ein solches Tool entwickelt haben, dann schreiben Sie bitte eine Mail an uld32@datenschutzzentrum.de mit der Betreffzeile "SDM-Tool".

Es gab bereits im Juni 2018 eine erste Umfrage nach Toolherstellern im Rahmen des SDM-Newsletters. Darauf reagierte eine gute Handvoll Entwickler, deren Kontaktadressen notiert wurden; inzwischen umfasst diese Liste ein Dutzend Anbieter.

Hinweis: Sie finden im Anhang dieses Newsletters eine Datei mit einer Auflistung von Anforderungen die ein SDM-Tool aus Sicht der UAGSDM erfüllen muss. Der Zweck dieser Auflistung besteht vor allem darin, auf dem Hersteller-Workshop nicht über das SDM und die Schutzperspektive des Datenschutzes zu diskutieren, sondern über dessen Umsetzungen auf der Grundlage eines integren Verständnisses des Modells. Bislang ist zu beobachten, dass einige Toolhersteller das SDM als eine schlichte Erweiterung der IT-Grundschutz-Modellierungslogik zum Schutz von Geschäftsprozessen auffassen; diese Auffassung ist falsch und zurückzuweisen. Es wird vermutlich eine Vorsichtung von Tools vor der Durchführung des Workshops durch die UAGSDM notwendig werden, um entsprechend nur tatsächlich hinreichend vorbereitete Hersteller einzuladen.

Wenn Sie eine speziell auf Toolumsetzung zugeschnittene SDM-Schulung wünschen, wenden Sie sich bitte an uld32@datenschutzzentrum.de Dann müssen wir sehen, welcher Rahmen für eine Schulung infrage kommt (vermutlich: Dauer: 2 Tage, Videokonferenz mit mehreren Herstellern, kommerziell).

*** c) AK-Technik spezifiziert "Verarbeitungstätigkeit" ***
Es wurde durch den AK-Technik ein Change-Request zur stärkeren Differenzierung des Verständnisses einer "Verarbeitungstätigkeit" in der SDM-Methodik angenommen und inzwischen bearbeitet. Der Zweck dieser anstehenden Änderung besteht darin, sowohl die Rechtmäßigkeit als auch die Identifizierbarkeit von notwendigen Verarbeitungsvorgängen bei der Beschreibung einer Verarbeitungstätigkeit zur Identifikation von Risiken höher auflösend als bislang zu unterstützen.

*** d) Umfrage zur SDM-Nutzung ***
Der Entwicklergruppe des SDM (UAGSDM) möchte einen besseren Überblick zur Nutzung des SDM gewinnen. Deshalb bitten wir Sie, wenige Fragen zu Ihrer SDM-Nutzung zu beantworten. Die Umfrage läuft bis zum 07.07.2022 einschließlich.

Sie finden den Fragebogen als Webformular unter: https://www.datenschutzzentrum.de/formular/Befragung_SDM-Nutzung.php

Mit freundlichen Grüßen
Martin Rost

Stand: 4. November 2021
Adresse des Newsletters: vpo-sdm-newsletter-list@lists.datenschutz.de
Abbestellung: https://datenschutzzentrum.de/mailinglisten/#sdm
Autor des Newsletters: Martin Rost, uld32@datenschutzzentrum.de

*** AK-Technik verabschiedet einen weiteren SDM-Baustein ***

Auf der Sitzung am 27.10.2021 (Anm: Datum nachträglich korrigiert, MR) hat der Arbeitskreis Technik der Datenschutzbeaufragten des Bundes und der Länder einen weiteren Baustein des Standard-Datenschutzmodells SDM-V2.0b verabschiedet. Es handelt sich um den Baustein "Zugriff auf Daten, Systeme und Prozesse regeln".

Der Baustein "Zugriff auf Daten, Systeme und Prozesse regeln" ist mit 23 Seiten der bislang umfangreichste Baustein der SDM-Reihe. Er behandelt das anspruchsvolle Problem, die Zweckbindung einer Verarbeitungstätigkeit sicherzustellen, ausgehend von den einzelnen Prozessen und Rollen im Kontext einer Verarbeitungstätigkeit (Geschäftsprozess, Fachverfahren) bis zu den technischen Zugriffsrechten an Daten, Dateien, Verzeichnissen, IT-Systemen oder Prozessen. Es wird ein "fachliches Rollen- und Zuständigkeitkonzept" (RZK) von einem "technischen Rollen und Berechtigungskonzept" (RBK) unterschieden (siehe Abbildung 1 auf S. 2). Zur Differenzierung von Verantwortlichkeit und Zuständigkeiten wird die Nutzung der RACI- bzw. RASCI-Methode nahegelegt.

Damit stehen nun insgesamt neun Bausteine zur Umsetzung der operativen Anforderungen der DSGVO zur Verfügung, die unter den deutschen Datenschutzaufsichtsbehörden abgestimmt sind.

Dieser Baustein wurde soeben auf der Webseite des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern veröffentlicht: https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/

*** Entwurf von Leitlinien zur "Pseudonymisierung / Anonymisierung" auf EU-Ebene ***

Die Technology-Subgroup des Europäische Datenschutzausschusses (EDSA) erarbeitet derzeit, unter aktiver Mitarbeit aus Deutschland, Leitlinien zur "Pseudonymisierung / Anonymisierung". Der aktuelle Entwurf umfasst 65 Seiten; er enthält einen großen Anteil an Auslegungen zur DSGVO und nennt einige Maßnahmen. Drei Aspekte sind in diesem Entwurf besonders erwähnenswert:
1. Die Schutzmaßnahme einer Anonymisierung ist ihrerseits als eine Verarbeitungstätigkeit aufzufassen, die in der Regel mit einem hohen Risiko für Betroffene einhergeht und folglich die Durchführung einer Datenschutzfolgenabschätzung (Art. 35 DSGVO) nach sich zieht.
2. Eine Identifizierbarkeit ist nicht nur dann gegeben, wenn eine Person eindeutig anhand ihrer bürgerlichen (Melde-)Daten identifizierbar ist, sondern bereits dann, wenn sich Personen(gruppen) voneinander unterscheiden lassen.
3. Der Verantwortliche ist gefordert, ein explizites Angreifermodell zu formulieren.

Es ist vorgesehen, dass ein SDM-Baustein zur "Pseudonymisierung / Anonymisierung" auf diese Leitline verweisen aber den Schwerpunkt auf die praktische Umsetzbarkeit legen wird. Wann die Arbeiten an den Leitlinien abgeschlossen sein werden, ist nicht abzusehen.

*** Baustein "Löschen" wurde ins Englische übersetzt ***

Der Baustein "Löschen" liegt in einer Englischübersetzung vor. Es ist noch nicht geklärt, wie auf diesen Baustein nun im europäischen Kontext hingewiesen wird. Es ist beabsichtigt, weitere SDM-Bausteine ins Englische zu übersetzen.

*** Anstehende Änderungen ***

Es wurde ein Change-Request (CR) für das Modell zur stärkeren Differenzierung des Verständnisses einer Verarbeitungstätigkeit angekündigt. Der Zweck dieser Änderung besteht darin, sowohl die Rechtsmäßigkeit als auch die Identifizierbarkeit von notwendigen Hilfs-Prozessen bei der Beschreibung einer Verarbeitungstätigkeit zur Identifikation von Risiken höher auflösend zu unterstützen. Die Inhalte dieses CRs werden ausführlich in einem Fachartikel dargelegt, der soeben in der Novemberausgabe der Zeitschrift "DuD - Fachzeitschrift für Datenschutz und Datensicherheit" unter dem Titel "Risiken in 3D" erschienen ist. Dadurch besteht im Vorfeld der CR-Befassung die Möglichkeit zur breiten Diskussion dieses Vorschlags.

Mit freundlichen Grüßen

Martin Rost

Stand: 29. März 2021
Adresse Newsletter: vpo-sdm-newsletter-list@lists.datenschutz.de
Abbestellung: https://datenschutzzentrum.de/mailinglisten/#sdm
Autor des Newsletter: Martin Rost, uld32@datenschutzzentrum.de

*** AK-Technik verabschiedet einen weiteren SDM-Baustein ***

Auf der Sitzung am 24.3.2021 hat der Arbeitskreis Technik der Datenschutzbeaufragten des Bundes und der Länder einen weiteren Baustein des Standard-Datenschutzmodells SDM-V2.0 verabschiedet. Es handelt sich um den Baustein "Planen und Spezifizieren".

Zusammen mit den bereits veröffentlichten Bausteinen "Dokumentieren" und "Protokollieren" ist mit diesem neuen Baustein das Thema "Herstellen von Transparenz für personenbezogene Verarbeitungstätigkeit gemäß DSGVO" abgerundet. Eine Dokumentation soll das Prüfen einer aktuell in Betrieb befindlichen Verarbeitungstätigkeit ermöglichen, während Protokollierung die Prüffähigkeit für die Vergangenheit sicherstellen und eine datenschutzorientierte Spezifikation Prüffähigkeit für die Zukunft herstellen soll.

Dieser Baustein wurde umgehend auf der Webseite des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern veröffentlicht, https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/

Damit stehen nun insgesamt acht Bausteine zur Umsetzung der operativen Anforderungen der DSGVO zur Verfügung, die unter den deutschen Datenschutzaufsichtsbehörden abgestimmt sind.

Ich wünsche Ihnen und den Menschen in Ihrer Umgebung derzeit vor allem Gesundheit,
mit freundlichen Grüßen

Martin Rost

Stand: 01. Oktober 2020
Adresse Newsletter: vpo-sdm-newsletter-list@lists.datenschutz.de
Abbestellung: https://datenschutzzentrum.de/mailinglisten/#sdm
Autor des Newsletter: Martin Rost, uld32@datenschutzzentrum.de

*** AK-Technik verabschiedet vier weitere SDM-Bausteine ***

Auf der Sitzung am 30.09.2020 hat der Arbeitskreis Technik der Datenschutzbeaufragten des Bundes und der Länder vier weitere Bausteine des Standard-Datenschutzmodells SDM-V2.0 verabschiedet. Es handelt sich um die Bausteine Aufbewahren, Berichtigen, Einschränken und Trennen.

Diese Bausteine werden in den nächsten Tagen auf der Webseite des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern veröffentlicht, https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/

Zusammen mit den Bausteinen Dokumentation, Löschen und Protokollierung stehen damit sieben Bausteine zur Umsetzung der operativen Anforderungen der DSGVO zur Verfügung, die unter den deutschen Datenschutzaufsichtsbehörden abgestimmt sind.

Ich wünsche Ihnen, dass Sie gesund bleiben,
mit freundlichen Grüßen

Martin Rost

Stand: 01. Juli 2020
Adresse Newsletter: vpo-sdm-newsletter-list@lists.datenschutz.de
Abbestellung: https://datenschutzzentrum.de/mailinglisten/#sdm
Autor des Newsletter: Martin Rost, uld32@datenschutzzentrum.de

*** Konsolidierte Bausteine erschienen ***

Auf der Webseite des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern,die der Unterarbeitsgruppe SDM als zentrales Repository dient, wurden drei konsoliderte Bausteine veröffentlicht: Dokumentation, Löschen und Vernichten, Protokollieren. Diese Bausteine basieren auf dem SDM-V2.0 und sind deutschlandweit unter den Datenschutz-Aufsichtsbehörden abgestimmt worden. Dort heisst es:

"Hier sind die Bausteine veröffentlicht, die als verbindliche Versionen auf der Basis des SDM V2.0 dienen. Die einzelnen von der Datenschutzkonferenz bzw. vom Arbeitskreis „Technik“ freigegeben Bausteine des Katalogs werden hier sukzessive veröffentlicht und sind damit zur Anwendung freigegeben. Wir empfehlen den Anwendern, auch ihre Erfahrungen bei der Erprobung der verbindlichen Bausteine den Datenschutzaufsichtsbehörden mitzuteilen (z.B. unter sdm@datenschutz-mv.de), und somit zur Weiterentwicklung von Methode und Maßnahmen beizutragen."

Ich wünsche Ihnen, dass Sie gesund bleiben,
mit freundlichen Grüßen

Martin Rost

Stand: 22. April 2020
Adresse Newsletter: vpo-sdm-newsletter-list@lists.datenschutz.de
Abbestellung: https://datenschutzzentrum.de/mailinglisten/#sdm
Autor des Newsletter: Martin Rost, uld32@datenschutzzentrum.de

*** Anwendung des SDM-V2a durch den IT-Planungsrat empfohlen ***

Der IT-Planungsrat hat sich am 25. März auf der 31. Sitzung mit dem SDM-V2 beschäftigt und einstimmig den folgenden Beschluss gefasst:

"1. Der IT-Planungsrat nimmt die Version 2.0a des Standard-Datenschutzmodells (SDM) zur Kenntnis.

2. Er empfiehlt seinen Mitgliedern, das SDM bei Planung, Einführung und Betrieb von personenbezogenen Verarbeitungen anzuwenden.

3. Die Mitglieder des IT-Planungsrates werden gebeten, ihre Erfahrungen bei der Erprobung des SDM den Datenschutzaufsichtsbehörden des Bundes und der Länder mitzuteilen, und somit zur Weiterentwicklung der Methode beizutragen."

Die Wikipedia führt zum IT-Planungsrat folgendes aus:

"Der IT-Planungsrat ist ein politisches Steuerungsgremium von Bund und Ländern in Deutschland, welches die Zusammenarbeit im Bereich der Informationstechnik koordiniert. Die Möglichkeit dieser Zusammenarbeit wurde mit Art. 91c GG eröffnet. Gesetzliche Grundlage ist der (in Landes- und Bundesrecht transformierte) IT-Staatsvertrag, der am 1. April 2010 in Kraft trat."

Der IT-Planungsrat adressiert seinen Steuerungseinfluss auch auf die Kommunen über die Länder.

Es liegen inzwischen eine ganze Reihe an Erfahrungen mit der Nutzung des Standard-Datenschutzmodells in den öffentlichen Verwaltungen vor.

*** SDM-V2b erschienen ***

Es ist eine neue Version des SDM-V2 erschienen. Diese wurde am 26. März in Dresden von der 99. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder ohne Gegenstimme verabschiedet.

SDM-V2b enthält im Wesentlichen eine Ergänzung zum SDM-V2a im Anhang unter "E6", die den Verpflichtungsgrad der Anwendung des SDM anspricht.

"(...) Durch die Aufnahme einer Maßnahme in einen Baustein trifft die Konferenz keine verbindliche Aussage zur Verpflichtung, sie umzusetzen. Gleichwohl wird eine solche Verpflichtung unter Berücksichtigung der nachgesetzlicher Vorgabe im Einzelfall zu betrachtenden Faktoren vielfach bestehen. (...) Die im Text vorgenommene Differenzierung der Verbindlichkeit der Einzelmaßnahmen – ausgedrückt durch die Modalverben MUSS, SOLL und SOLLTE – gibt dagegen lediglich eine Einschätzung wieder, wie kritisch die Vornahme der jeweiligen Maßnahme für die Gewährleistung der Einhaltung der Vorgaben der DS-GVO in einer typischen Verarbeitungssituation ist." (Kap. E6)

Das SDM-V2b kann von der Webseite des zentralen SDM-Repository heruntergeladen werden: https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/

*** Englischübersetzung des SDM-V2b ***

Seit heute steht auch die Englischfassung des SDM-V2b im zentralen SDM-Repository zum Download zur Verfügung.

Ich wünsche Ihnen, dass Sie gesund bleiben,
mit freundlichen Grüßen

Martin Rost

Stand: 30. April 2018
Adresse Newsletter: vpo-sdm-newsletter-list@lists.datenschutz.de
Abbestellung: https://datenschutzzentrum.de/mailinglisten/#sdm
Autor des Newsletter: Martin Rost, uld32@datenschutzzentrum.de

*** Neue Version der SDM-Methodik V1.1 ***

Das fortgeschriebene Methodik-Handbuch zum Standard-Datenschutzmodell wurde am 26.4.2018 von der 95. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in der Version V1.1 für Prüfungen und Beratungen (5 Enthaltungen, Evaluationsfassung) angenommen.

Das Methodik-Handbuch kann in der jeweils aktuellsten Version abgerufen werden unter https://www.datenschutzzentrum.de/sdm/

Die folgenden Inhalte wurden gegenüber der Version 1.0 geändert:

- Es wird ausschließlich die DS-GVO referenziert; der Begriff "Verfahren" wurde an vielen Stellen ersetzt durch "Verarbeitung" oder der "Verarbeitungstätigkeit"; die Begriffe "Grundrecht" oder "grundrechtlich" wurden auf "Rechte und Freiheiten von Personen" umgestellt.

- In der einleitenden Beschreibung wurde deutlicher als bislang herausgestellt, dass vor dem Einsatz des SDM zur Auswahl und Konfiguration von Schutzmaßahmen die rechtlichen Abwägungs- und Erforderlichkeits-Prozesse sowie eine erste Risikoanalyse durchgeführt sein müssen.

- Das "Kap. 9 Der Schutzbedarf" wurde vollständig überarbeitet. Die DS-GVO enthält bereits ein gewisses Maß an methodischer Anleitung zur Risikoermittlung, weshalb eine Anleitung zur methodischen Ermittlung von Risiken bzw. des Schutzbedarfs entbehrlich wurde.

Eine detailierte Auflistung der Änderungen von V1.1 gegenüber der Version 1.0 findet sich im Anhang der aktuellen Version.

*** SDM-Schulungen ***

Die Datenschutzakademie Schleswig-Holstein (DSA, https://www.datenschutzzentrum.de/akademie/ ) bietet in 2018 noch zwei  Workshops zum "Datenschutz systematisch prüfen und beraten mit SDM" an:

- 18.-19.09.2018, Leck
- 21.-22.11.2018, Leck

Anfragen bspw. zu Inhouse-Schulungen (auch zur Datenschutz-Folgenabschätzung auf Basis von SDM) können per Mail an akademie@datenschutzzentrum.de oder unter Telefon "0431 9881281" gestellt werden.

mit freundlichen Grüßen

Martin Rost