Das Standard-Datenschutzmodell - Ein zweckmäßiges Werkzeug zur Bußgeldprävention?
A. Einleitung
Nicht nur international, sondern auch in Deutschland werden spätestens seit dem Jahr 2019 datenschutzrechtliche Verstöße von Unternehmen mit Bußgeldern in Millionenhöhe sanktioniert. Wie können sich Unternehmen effektiv davor schützen?
Mit dem Standard-Datenschutzmodell („SDM“) wird seitens der Datenschutzkonferenz, einem Zusammenschluss der datenschutzrechtlichen Aufsichtsbehörden des Bundes und der Länder, ein Werkzeug bereitgestellt. Das SDM ist nunmehr nach mehreren Erprobungsversionen in der abschließenden Version 2.0b erschienen.
In den einzelnen Erprobungsversionen lag der Fokus noch darauf, dass mit dem SDM ein Werkzeug zur Auswahl, Umsetzung und Bewertung der technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO dem Verwender zur Verfügung gestellt werden sollte.
In der abschließenden Version 2.0b wird jedoch darauf hingewiesen, dass mit dem SDM sämtliche Vorgaben der DS-GVO abgedeckt werden können. Vorstehendes klingt insbesondere für Unternehmen und deren Berater verlockend.
Erklärtes Ziel der Datenschutzkonferenz ist es in diesem Zusammenhang, mit dem SDM ein Maßnahmenkatalog für datenschutzrechtliche Berater und Aufsichtsbehörden zur Verfügung zu stellen, um so eine einheitliche Beratungs- und Prüfungspraxis nach dem Inkrafttreten der DS-GVO sicherzustellen. Das SDM kann daher zu mehr Rechtssicherheit bei der Umsetzung der Vorgaben der DS-GVO verhelfen. Insbesondere aufgrund der hohen Bußgelder, welche bei Verstößen gegen Vorgaben der DS-GVO Unternehmen drohen, lohnt sich daher ein genauerer Blick in das SDM.
B. Verbindlichkeit des SDM?
Sicherlich muss man darauf hinweisen, dass Vorgaben der Datenschutzkonferenz, hier durch das SDM, kein geltendes Recht darstellen. Daher sind selbstverständlich auch andere Wege gangbar, um ein effektives Datenschutz-Management-System umzusetzen und somit Vorgaben der DS-GVO und des BDSG nF einzuhalten. Unternehmen, welche also bereits über ein effektives vorhandenes Datenschutz-Management-System verfügen, können, aber müssen nicht, das SDM implementieren. Ein solches wirksames Datenschutz-Management-System zeichnet sich insbesondere dadurch aus, bei Anfragen oder in Verfahren der Aufsichtsbehörden zu "greifen", also einen Abschluss des Verfahrens herbeizuführen, ohne dass gegen das Unternehmen ein Bußgeld verhängt wird.
Fälle wie das Bußgeld gegen H&M in Höhe von EUR 35 Mio. zeigen, dass es sich dabei nicht nur um eine theoretische Gefahr handelt, wobei jedoch zugegeben werden muss, dass Unternehmen sich auch bereits erfolgreich gegen hohe Bußgeldern vor Gericht gewährt haben, wie der Fall 1&1 oder Deutsche Wohnen SE gezeigt haben. Soweit muss man es sich jedoch gar nicht kommen lassen, denn gar kein Bußgeld zu "kassieren" dürfte für Unternehmen wirtschaftlich interessanter sein als sich (mit hohem wirtschaftlichem Aufwand) gegen ein solches Bußgeld vor Gericht zu wehren.
Der Vorteil des SDM liegt daher darin, dass seitens der Datenschutzkonferenz und damit zumindest auch seitens der datenschutzrechtlichen Aufsichtsbehörden der Länder, welche zur Verhängung von Bußgeldern zuständig sind, der konkrete Prüfungsmaßstab für Untersuchungen bei Unternehmen veröffentlicht wurde. Und nicht nur dass, sondern auch zugleich noch "Musterantworten" kann das SDM liefern, wenn man sich detailliert mit dem SDM beschäftigt. Für Unternehmen, welche sich entsprechend den gesetzlichen Vorgaben aufstellen möchten, kann das SDM daher als ein effektives Instrument zur Implementierung der datenschutzrechtlichen Vorgaben angesehen werden.
Des Weiteren verweist auch der bereits aus der Praxis bekannte BSI Grundschutz nunmehr auf Vorgaben des SDM, womit dann dargelegt werden kann, dass Unternehmen datenschutzrechtliche Vorgaben einhalten. Vorgenannte genannte Verzahnung zwischen dem SDM sowie dem BSI Grundschutz kann sicherlich auch dazu beitragen, dass das SDM einen ähnlich hohen Stellenwert erreicht wie der BSI Grundschutz.
C. Inhalt des SDM
Das SDM setzt bei einer Strukturierung der in Art. 5 DS-GVO genannten allgemeinen rechtlichen Vorgaben an eine Verarbeitung von personenbezogenen Daten an (Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit). Für die systematische Darstellung dieser aus dem Datenschutzrecht resultierenden Anforderungen wird in dem SDM der Begriff „Gewährleistungsziel“ verwendet, da eine datenschutzkonforme Verarbeitung unter Berücksichtigung der elementaren datenschutzrechtlichen Schutzziele „gewährleistet“ werden soll. Berücksichtigt werden nicht nur grundlegende datenschutzrechtliche Anforderungen, sondern auch klassische Schutzziele der Informationssicherheit. Aus den Vorgaben des Art. 5 DS-GVO werden folgende Gewährleistungsziele des SDM abgeleitet: 1. Datenminimierung, 2. Verfügbarkeit, 3. Integrität, 4. Vertraulichkeit, 5. Nichtverkettung, 6. Transparenz und 7. Intervenierbarkeit. Bei bereits vorhandenen technischen und organisatorischen Maßnahmen dürften vorstehende Begrifflichkeiten für Unternehmen sicherlich bekannt sein.
Das SDM bietet mit seinen Gewährleistungszielen folglich eine Art Übersetzungshilfe der allgemeinen Grundsätze des Art. 5 DS-GVO. Diese seitens der Aufsichtsbehörden entwickelte „Hilfestellung“ kann von Unternehmen durch eine Modifizierung der vorhandenen Prozesse unter Berücksichtigung der Vorgaben des SDM angenommen werden. Dies ist insbesondere deshalb von besonderer Relevanz, da nunmehr mit dem SDM der Prüfkatalog für datenschutzrechtliche Aufsichtsbehörden besteht, welcher in der Praxis bei Kontrollen angewendet wird und bei Nichtbeachtung durch Unternehmen (und nicht Vorhandensein eines vergleichbaren Systems) seitens der Aufsichtsbehörden sanktioniert werden dürfte.
Jedoch ist dabei nicht nur das SDM an sich zu beachten, sondern auch deren Bausteine. Solche Bausteine greifen einzelne, besonders relevante Faktoren der Vorgaben der DS-GVO nochmals ausdrücklich auf und liefern konkretisiere Vorgaben des SDM. Basierend auf der Version 2.0b des SDM sind folgende Bausteine als verbindliche Versionen bereits veröffentlich: Baustein 11 „Aufbewahren“, Baustein 42 „Dokumentieren“, Baustein 43 „Protokollieren“, Baustein 50 „Trennen“, Baustein 60 „Löschen und Vernichten“, Baustein 61 „Berichtigen“, Baustein 62 „Einschränken der Verarbeitung“ (als Vorabversionen auf der Basis des SDM V.1.0 zudem: Baustein 41 "Planung und Spezifikation"). Andere Bausteine sollen und werden noch folgen. Sicherlich ist es zu begrüßen, besonders relevante Punkte der datenschutzrechtlichen Vorgaben noch im Detail zu beleuchten. Jedoch kann dadurch der Umfang des SDM, insbesondere wenn noch viele Bausteine folgen werden, leicht zu umfangreich werden und damit für eine Verwendung nicht mehr wirtschaftlich sein. Zwar können größere Unternehmen den damit verbundenen Aufwand sicherlich stemmen, viele andere Unternehmen jedoch nicht (bzw. sie wollen ihn nicht stemmen, weil er zu unwirtschaftlich wäre). Es wäre sicherlich begrüßenswert, wenn das SDM nicht Ausmaße des BSI Grundschutzes annehmen würde, auch wenn beide nunmehr aufeinander verweisen.
D. Konkrete Implementierung
Konkrete Ausführungen können an der Stelle selbstverständlich nicht gemacht werden. Jedes Unternehmen ist verschieden und bedarf daher einer auf das konkrete Unternehmen abgestimmten Vorgehensweise.
Als Ausgangspunkt für eine Umsetzung des SDM in der Praxis können jedoch bereits vorhandene technische und organisatorische Maßnahmen des Unternehmens im Sinne von Art. 32 DS-GVO verwendet werden, welche bei jedem Unternehmen schon vorhanden sein müssen. Unternehmen, welche sich zumindest bereits mit den Basics der DS-GVO beschäftigt haben, dürften über einen Katalog der bereits implementierten technischen und organisatorischen Maßnahmen verfügen. Ggf. wird auch bereits eine in der Zukunft zu erreichende Soll-Vorgabe vorhanden sein, denn grundsätzlich nur sehr wenige Unternehmen dürften perfekte technische und organisatorischen Maßnahmen aufweisen können. Darauf kann man hinsichtlich der Umsetzung der Vorgaben des SDM ansetzen und darauf aufbauen, was sich in der Praxis bereits bewährt hat. Zum einen können einzelne Vorgaben des SDM in bereits bestehende technische und organisatorische Maßnahmen integriert werden. Zum anderen müssen natürlich neue "Bausteine" in den technischen und organisatorischen Maßnahmen geschaffen werden für solche Vorgaben des SDM, welche nicht oder zumindest nicht zweckmäßig integriert werden können.
Nach einer Modifikation, in der sämtliche Vorgaben des SDM zumindest auf dem Papier vorhanden sind, beginnt dann der weitaus schwierigere Teil, nämlich theoretische Vorgaben auch entsprechend umzusetzen und insbesondere in konkrete bei den Unternehmen bestehende Prozesse zu integrieren bzw. neu zu schaffen. Das kann nur gelingen, wenn der betriebliche oder externe Datenschutzbeauftragte zusammen mit der Geschäftsleitung unter Hilfe der IT des Unternehmens sowie von Rechtsanwälten ein Konzept entwickeln, mit dessen Hilfe das SDM dann implementiert werden kann.
E. Fazit
Eingangs gestellte Frage, ob das SDM ein wirksames Instrument zur Bußgeldprävention darstellt, kann mit Ja beantwortet werden. Angesichts der hohen Bußgelder kann das SDM als effektives (leider aber auch als zu umfangreiches) Werkzeug für Unternehmen im Rahmen eines Compliance-Management-Systems angesehen werden.
Jedoch bleibt es abzuwarten, ob Unternehmen in der Praxis von der Möglichkeit auch wirklich Gebrauch machen werden. Denn auf der einen Seite ist der wirtschaftliche Aufwand für eine Implementierung des SDM als sehr hoch anzusehen. Auf der anderen Seite dürfte es gerade Unternehmen, welche Vorgaben der DS-GVO ernst genommen haben und entsprechende Umsetzungsmaßnahmen seit dem Jahr 2016, also der Veröffentlichung der DS-GVO vorgenommen haben, wirtschaftlich "schwer" fallen, das bestehende Konzept nunmehr wieder neu aufzurollen.
Dr. Thomas Kehr, Rechtsanwalt