Datenschützer verabschieden neues Prüfmodell
Die Datenschutz-Aufsichtsbehörden von Bund und Ländern empfehlen, das Standard-Datenschutzmodell anzuwenden. Dieses unterstützt ein strukturiertes Prüfen von IT-Prozessen, was bisher mangels eines eigenen Prüfmodells nicht möglich war.
(Bild: BSI)
Auf der zurzeit in Darmstadt tagenden Konferenz der Datenschutzbeauftragten des Bundes und der Länder haben die Aufsichtsbehörden das 40 Seiten umfassende Handbuch zum Standard-Datenschutzmodell (SDM) verabschiedet. Es soll in den nächsten Tagen auf den Websites der Datenschutzbeauftragten veröffentlicht werden. Damit sollen künftig Kontrollen gründlicher und Entscheidungen kohärenter ausfallen.
Der wesentliche Unterschied zum IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) besteht darin, dass die Schutzziele aus grundrechtlichen Anforderungen heraus abgeleitet sind. Das bedeutet, dass vor allem auf den Schutz von Personen vor den Aktivitäten des Staates und der Unternehmen abgestellt wird und nicht wie bisher primär auf die Sicherheit von Geschäftsprozessen.
Im Zentrum stehen Personen, nicht Organisationen
Das Standard-Datenschutzmodell zieht nicht nur die drei klassischen IT-Sicherheits-Schutzziele der Verfügbarkeit, Integrität und Vertraulichkeit heran, sondern noch drei weitere Datenschutz-typische. Dazu zählen die Transparenz, Intervenierbarkeit und Nichtverkettbarkeit sowie das Prinzip der Datensparsamkeit. Alle Schutzziele basieren auf gesetzlichen Vorgaben, wie sie auch in der EU-Datenschutzreform enthalten sein werden. Das SDM bezieht sich auf Daten, IT-Systeme und Prozesse. Dabei kennt es auch eine Risiko-basierte Beurteilung, indem es zwischen normalem, hohem und sehr hohem Schutzbedarf unterscheidet.
Martin Rost, Leiter der Unterarbeitsgruppe SDM beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein, hatte die ersten Überlegungen zu einer angemessenen Prüfsystematik gemeinsam mit dem verstorbenen Informatikprofessor Andreas Pfitzmann angestellt. Rost sagt, dass zwar für viele Schutzvorkehrungen immer noch auf die Kataloge des IT-Grundschutzes zurückgegriffen werden könne. Dies solle jedoch nicht einfach "unbesehen" stattfinden, da das Schutzobjekt ein anderes sei: Es gehe nämlich beim Datenschutz um Personen, nicht um Organisationen wie in der klassischen IT-Sicherheit.
Standardmodell soll international werden
Die Datenschützer erwarten nach der Veröffentlichung des SDM, dass es bei Prüfungen angewandt wird, von der Fachöffentlichkeit kommentiert und entsprechend weiterentwickelt wird. Bei Vodafone sind die erweiterten Schutzziele des SDM schon bekannt. Naby Diaw, Chief Security Officer des Unternehmens, bekannte sich im Gespräch mit heise online dazu, sich bei "Privacy-by-Design"-Prozessen im Unternehmen an den Datenschutz-Schutzzielen zu orientieren.
Mittelfristig soll das SDM international etabliert werden. Einfach wird dies nicht, da unter anderem die britische und französische Datenschutzaufsicht den von den Unternehmen propagierten Risiko-basierten Ansatz vertreten, der primär auf den Schutz von Geschäftsprozessen ausgerichtet ist. Problematisch könnte auch sein, dass der Schutzmaßnahmenkatalog wegen der chronischen Personalknappheit der deutschen Datenschutzaufsichtsbehörden noch nicht ausgearbeitet ist. (anw)
