Die ISO 27701 und das SDM-V2 im Lichte der Umsetzung der DSGVO
- PDF / 326,067 Bytes
- 4 Pages / 595.276 x 790.866 pts Page_size
- 80 Downloads / 288 Views
Martin Rost, Aleksandra Sowa
Die ISO 27701 und das SDM-V2 im Lichte der Umsetzung der DSGVO Dieser Artikel gibt einen kurzen Einblick in die Standards und zeigt auf, welche Hilfestellung man im Datenschutz als Praktiker von ihnen erwarten darf. 1 Einleitung Es werden nicht viele Modelle auf dem Markt angeboten, die beanspruchen, datenschutzrechtliche Anforderungen in konkrete funktionale Anforderungen zu transformieren. Eine solche Transformation, die bei jeder Prüfung oder aktiven Gestaltung einer Verarbeitungstätigkeit zu bewältigen ist, ist dabei unabweisbar „verlustbehaftet“, es bleibt immer Schlupf. Während sich das „Standard-Datenschutzmodell“ (SDM) ausschließlich in den Dienst der DSGVO stellt, bemüht sich die ISO 27701 insbesondere um ein Konsistenthalten der ISO-Familie mit Anforderungen aus der DSGVO. Während das SDM den Blick auf die Funktion des Datenschutzes, nämlich eine Verarbeitungstätigkeit grundrechtekonform zu gestalten, fest im Blick zu behalten beansprucht, legt die ISO 27701 besonderen Wert darauf, einen praxisgerechten Kontakt zur Organisation und ihren Prozessen als Ganzes zu halten.
2 Essentials des SDM Das Standard-Datenschutzmodell in der Version 2.0 (SDM-V2) wurde Anfang November 2019 von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) für Datenschutzprüfungen und Datenschutzberatungen zur Anwendung
Dr. Aleksandra Sowa ist IT-Compliance Manager und Datenschutzauditorin. Sie ist Buchautorin und aktuell als Senior Manager im Bereich Cybersecurity & Privacy einer Wirtschaftsprüfungsgesellschaft tätig.
Martin Rost ist Mitarbeiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und Leiter der Arbeitsgruppe „StandardDatenschutzmodell“ E-Mail: [email protected] DuD • Datenschutz und Datensicherheit
10 | 2020
empfohlen. Das SDM-V2 wurde gegenüber dem SDM-V1.1 noch enger auf die DSGVO abgestimmt1, mit dem Kurzpapier Nr. 18 „Risiko“ der DSK abgeglichen sowie um ein Kapitel zum Datenschutz-Management ergänzt.2 Anschließend wurde es noch einmal redaktionell überarbeitet (Version SDM-V2a) und im April 2020 dann um einen Absatz im Anhang erweitert, in dem der Grad der Verpflichtung der Anwendung der Maßnahmen dargelegt ist (Version SDM-V2b). Dazu heißt es: „(...) Die Aufzählung von Maßnahmen in den Bausteinen ist nicht abschließend. Durch die Aufnahme einer Maßnahme in einen Baustein trifft die Konferenz keine verbindliche Aussage zur Verpflichtung, sie umzusetzen. Gleichwohl wird eine solche Verpflichtung unter Berücksichtigung der nach gesetzlicher Vorgabe im Einzelfall zu betrachtenden Faktoren vielfach bestehen. (...) Aufgrund der Natur des Anhangs als Referenzkatalog müssen Anwender des SDM jedoch dokumentieren, ob, inwieweit und warum sie sich entschieden haben, Maßnahmen der Bausteine abweichend von den Empfehlungen des SDM umzusetzen.“ Die sehr enge Verzahnung des SDM-V2 mit der DSGVO führte zu einer nochmaligen Reflexion der Ausrichtung des Modells und insbesondere zur noch einmal verstärkten Abgrenzung von Prüf- und Gestaltung
Data Loading...
