|
Ein Katalog der Datenschutzaufsichtsbehörden soll erklären,
was die Umsetzung der Datenschutz-Grundverordnung (DSGVO) für
bestimmte Vorgänge konkret bedeutet. Dieser wird organisatorische
und technische Referenzmaßnahmen etwa für das Protokollieren
oder Löschen von Daten und für das Datenschutzmanagement
ausbuchstabieren. Die ersten Bausteine
wurden nun vom zuständigen Arbeitskreis Technik, der seinen
Sitz in der Landesdatenschutzaufsicht Mecklenburg-Vorpommern hat,
veröffentlicht.
Die einzelnen Teile beziehen sich auf wesentliche Tätigkeiten
wie das Datenschutzmanagement, die Planung und Spezifikation, die
Trennung, die Löschung und die Aufbewahrung sowie die Dokumentation
und Protokollierung.
Etwa das erste Drittel der geplanten Bausteine wird damit zur öffentlichen
Diskussion freigegeben. Diese sollen jetzt erprobt und dann gegebenenfalls
überarbeitet werden. Von den Autoren wird aber ausdrücklich
darauf hingewiesen, dass diese Bausteine noch nicht in der Datenschutzkonferenz
abgestimmt worden sind. Daher sollten Anwender an der Weiterentwicklung
von Methode und Maßnahmen beitragen, indem sie ihnen ihre
Erfahrungen bei der Erprobung der Bausteine mitteilen.
Mit dem Standard-Datenschutzmodell (SDM) wird eine Methode zur
Verfügung gestellt, mit der Aufsichtsbehörden und Verantwortliche
beim Betrieb, bei der Entwicklung und bei der Prüfung von Datenverarbeitungen
beurteilen können, ob personenbezogene Daten datenschutzkonform
verarbeitet werden. Für erste Datenschutz-Folgenabschätzungen
nach der DSGVO wurde die SDM-Methodik erprobt und soll dort gut
funktionieren. Die Einigung der Datenschutzaufsichtsbehörden
auf eine gemeinsame Prüfmethode steht Europaweit noch aus.
Das SDM wird vom Bundesamt für Sicherheit in der Informationstechnik
(BSI) mit folgenden Worten bereits im IT-Grundschutz im Abschnitt
Datenschutz empfohlen: "Es MUSS (…) geprüft werden,
ob das SDM angewendet wird. Eine etwaige Nichtberücksichtigung
des vollständigen Schutzziele-Katalogs und eine Nichtanwendung
der SDM-Methodik sowie der Referenzmaßnahmen MÜSSEN begründet
werden."
Das BSI hält das SDM "als Methode geeignet, die Wirksamkeit
der technischen und organisatorischen Maßnahmen einer Verarbeitung
auf der Grundlage und nach den Kriterien der DSGVO regelmäßig
zu überprüfen, zu bewerten und zu evaluieren." Während
das Standard-Datenschutzmodell vor allem der Umsetzung von Betroffenenrechten
dient, dient die IT-Grundschutz-Methodik der Informationssicherheit.
Die schleswig-holsteinische Landesdatenschützerin Marit Hansen
verweist darauf, dass im Bereich der IT-Sicherheit bisher schon
viele Anwender mit den Grundschutz-Katalogen des Bundesamts für
Sicherheit in der Informationstechnik arbeiten. In Hinblick auf
die nun vorgestellten SDM-Bausteine sagt sie: "Wir brauchen
das Feedback aus der Praxis: Wie verständlich sind die Bausteine?
Decken sie die meisten Konstellationen ab? Was fehlt?" Diese
Informationen sollen in der nächsten Version berücksichtigt
werden.
(mt, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|
