Die Datenschutz-Problematik wird im zweiten Jahr nach Inkrafttreten der EU-Datenschutzgrundverordnung noch immer nicht stringent und explizit geregelt. Immerhin: nach vielen Kurzpapieren, Beschlüssen und Anwendungshinweisen wird nun versucht Ordnung in das Dickicht von Regeln und Empfehlungen zu bringen.
Datenschutzbehörden von Bund und Ländern haben sich auf eine grundlegende überarbeitete Version des Standard-Datenschutzmodells (SDM) verständigt. Das Kurzpapier auf 68 Seiten soll als dokumentierte Prüfmethode helfen, damit Datenschützer, Unternehmen und andere Behörden beurteilen können, ob ihre Anwendungen personenbezogene Daten datenschutzkonform verarbeiten.
Die Anforderungen des SDM orientieren sich an den sieben Gewährleistungszielen, die als Grundsätze in Artikel 5 DSGVO definiert sind. Dabei handelt es sich um Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettung, Transparenz und Intervenierbarkeit.
Im SDM wird das Gewährleistungsziel Transparenz durch Prüffähigkeit der in Artikel 5 angeführten Grundsätze umgesetzt. Die meisten dieser Gewährleistungsziele finden sich als klassische IT-Sicherheitsziele auch im IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) wieder. IT-Grundschutzwomit und SDM stehen damit im methodischen Zusammenhang, wobei es Ausnahmen und auch Widersprüche gibt, die ggf. begründet werden müssen.
Ausnahmefall WINDOWS 10
Prominentestes Beispiel ist das Betriebssystem WINDOWS 10: das von der DSK verabschiedete Prüfschema orientiert sich nicht am SDM, sondern am BSI-Prüfbericht. So werden auch gesonderte „Anwendungshinweise zum Prüfschema Datenschutz bei Windows 10“ von der DSK veröffentlicht.
Bußgeld-Regeln
Auch ein „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“ wird veröffentlicht, das künftig zu einem rechtseinheitlichen Bußgeldkatalog entwickelt werden soll.
Transaktionskosten-Rucksack von Datenschutz und IT-Grundschutz
In noch nicht einmal zwei Jahren nach Inkrafttreten der Datenschutzgrundverordnung hat sich die Regelungsdichte massiv erhöht, ohne dass es wirklich rechtssichere und explizite Anwendungsregeln gibt. Das neue Standard-Datenschutzmodells (SDM) 2.0. ist noch weit von einer Praxistauglichkeit entfernt. Überdies sorgen Rechtssprechung, Neuauflage von Anwendungsregeln und -empfehlungen für steigende unvorhersehbare und unplanbare Rechtsberatungs- und Transaktionskosten.
Das Grundproblem wird durch unstete und automatische Updates, technologische Änderungen und nachgeschobene Programme weiter vergrössert.
Weitere Informationen: