Standarddatenschutzmodell
Inhaltsverzeichnis
- 1 Was ist das?
- 2 Auskunftsersuchende: Es sollen nur die richtigen Auskunft erhalten
- 3 Automatische Entscheidungen: Handbremse nicht vergessen
- 4 Belastbarkeit: Computer müssen ausreichend leistungsfähig sein
- 5 Berichtigung: Falsche Daten müssen berichtigt werden können
- 6 Betroffenenrechte: Die Verantwortlichen unterstützen Sie
- 7 Datenminierung: Nur notwendige Daten sollen verarbeitet werden
- 8 Datenschutzverletzungen: Behebung, Heilung
- 9 Einschränkbarkeit: Die Datenverarbeitung muss eingeschränkt werden können
- 10 Einwilligung: Management zur Nachweisbarkeit
- 11 Evaluierbarkeit: Regelmäßig testen
- 12 Integrität: Die Daten sollen in sich logisch sein
- 13 Löschbarkeit: Endgültiges Vergessen muss möglich sein
- 14 Nachweisfähigkeit: Alles soll dokumentiert werden
- 15 Privacy by Default: Datenschutz muss Standard sein
- 16 Profiling: Keine Fehler bei dieser empfindlichen Messung
- 17 Richtigkeit: Die zu verarbeitenden Daten müssen stimmen
- 18 Speicherbegrenzung: Personenbezogene Daten sollen nicht ewig gespeichert werden
- 19 Transparenz: Sie sollen wissen, was mit Ihren Daten passiert
- 20 Übertragbarkeit: Daten müssen übertragen werden können
- 21 Überwachung der Verarbeitung: Niemand darf mit Daten unbeaufsichtigt arbeiten
- 22 Verfügbarkeit: Die Computer müssen funktionieren
- 23 Vertraulichkeit: Nur berechtigte Personen sollen Einblick nehmen können
- 24 Wiederherstellbarkeit: Daten dürfen nicht verloren gehen
- 25 Zweckbindung: Daten sollen nur zu bestimmten Zwecken verarbeitet werden
Was ist das?
Das Standarddatenschutzmodell (SDM) ist eine Liste von Anforderungen an die Verarbeitung personenbezogener Daten und deren Erfüllung. Vereinfacht gesagt werden die Anforderungen, die die EU-DSGVO an die Datenverarbeitung von personenbezogenen Daten stellt aufgezählt. Weiterhin werden Maßnahmen beschrieben, wie man diese Anforderungen ganz praktisch umsetzen kann.
Die Reihenfolge im originalem SDM entspricht der Nennung in der EU-DSGVO. Zur einfacheren Verwaltung habe ich die Begriffe hier alphabetisch geordnet.
Auskunftsersuchende: Es sollen nur die richtigen Auskunft erhalten
Was nicht passieren darf:
Jemand erhält Auskunft über alle personenbezogenen Daten und deren Verarbeitung seines Nachbarn.
Wie man das vermeidet:
Auskunft wird nur über bekannte Kanäle erteilt. Zwar kann man Auskunft über seine Daten anfordern. Die Antwort erfolgt jedoch nur schriftlich an eine authentifizierte Adresse (Brief, Telefax, DE-Mail).
Automatische Entscheidungen: Handbremse nicht vergessen
Was nicht passieren darf:
Ein Programm beurteilt Personen mit richtigen Daten falsch, wodurch diese Personen erhebliche Nachteile erleiden.
Wie man das vermeidet:
Durch regelmäßige Stichproben werden Fälle auf Richtigkeit überprüft. Und jeder Beschwerde wird nachgegangen und löst eine sofortige Sperre der Datenverarbeitung aus.
Belastbarkeit: Computer müssen ausreichend leistungsfähig sein
Was nicht passieren darf:
Die Abmeldung von einem Computer dauert so lange, dass personenbezogene Daten noch so lange angezeigt werden, dass der nächste Benutzer Einsicht nehmen kann.
Wie man das verhindert:
Regelmäßige Kontrollen, ob Daten länger angezeigt werden als notwendig. Bei Bedarf technische Aufrüstung der Computer, die diese Gefahr verursachen. Stilllegung bis die Anforderung wieder erfüllt wird.