Die Gewährleistungsziele haben m. E. drei Funktionen.
Einerseits enthalten sie eine Vorstellung, die darüber hinweg hilft, den Datenschutz als bloßes Werk von Rechtsnormen zu begreifen und den Grundgedanken zu verfolgen, dass es um die Konditionierung von informationellen Machtasymmetrien geht. Für mich steckt darin das emanzipatorische Potential, für den einmal der Datenschutz entwickelt wurde, bevor er stark verrechtlicht wurde.
Zweitens dienen sie im Rahmen des SDM dazu, die zuvor gesammelten normativen Anforderungen zu systematisieren. Systematisierung steht hier nicht nur für die Einordnung in ein Gesamtmodell, sondern auch für eine Spezifizierung der Gewährleistungsziele.
Drittens sollen sie einen interdisziplinären Austausch zwischen Jurist:innen und Informatik:erinnen ermöglichen.
Mich würde interessieren: Was sind eure Erfahrungen im methodischen und praktischen Umgang mit den GWZ? Klappt das so? Welche Probleme gab es? Was hat besonders gut funktioniert?
Ich vermute mal, mit “Gewährleistungszielen” meinen Sie die allgemeinen Grundsätze Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Diese Grundsätze spielen natürlich in der Praxis eine große Rolle. Wir haben die sogar in unserer Leitlinie zum Datenschutz verankert. Aber einen methodischen oder praktischen Umgang kann ich mir damit nicht vorstellen. Haben Sie vielleicht ein Beispiel dafür, was Sie sich da vorstellen?
wir orientieren uns bei unserem DSMS zwar am SDM und den Gewährleistungszielen, haben diese aber etwas anders sortiert bzw. eingeteilt und die damit verbunden Fragen verschoben. Zudem haben wir den Fragenkatalog mit Fragen aus den Prüfungen/Fragen der Aufsichtsbehörden ergänzt.
Wir haben diesen Ansatz gewählt, da ich so der Geschäftsführung besser organisatorische Probleme aufzeigen kann, als wenn die in einem anderen Punkt untergehen.
Insgesamt finde ich das SDM und den Aufbau aber sehr hilfreich und gut um die DSGVO in die Praxis zu überführen.
Hallo @bdsb ,
danke für die Rückmeldung! Die Gewährleistungsziele im Standard-Datenschutzmodell sind gemeint. Diese entsprechen den Grundsätzen der DSGVO mit Ausnahme der Intervenierbarkeit. Als Beispiel stelle ich mir vor, dass diese beim Design neuer Verfahren oder Verarbeitungen im Dialog zwischen den Interessengruppen wie z. B. Beschäftigen und Projektteams berücksichtigt werden. Bezüglich dem GWZ Nichtverkettung könnt sich im Gespräch herausstellen, dass die Berechtigungen von Führungskräften eingeschränkt werden müssen oder die Datenbank für die Datenhaltung auf einem separaten DBMS betrieben werden muss.
Ach so. Dann wäre die Frage vorweg eigentlich gewesen: “Was sind eure Erfahrungen im methodischen und praktischen Umgang mit dem SDM?” Und da wäre ich dann raus gewesen, weil SDM bei uns keine Rolle spielt.
Hallo joeDS,
die Begründung für die Umsetzung leuchtet mir ein. Generell sind die GWZ ja auch flexibel zu nutzen, so dass feinere Abstufungen wie Authentizität oder Abstreitbarkeit oder gar zusätzliche GWZ möglich sind, hauptsache die “wichtigen” sind dabei
Interessant finde ich bei der Aufzählung, dass Nichtverkettung, Intervenierbarkeit und Transparenz nicht im “Technischen Datenschutz” vorkommen. Für mich liegen die spannenden Herausforderungen gerade dort. Wie baue ich Formulare so, dass die Verarbeitungsschritte sichtbar werden für Betroffene? Wie schaffe ich Konfigurationsmöglichkeiten, damit Betroffene Funktionen abschalten können hinsichtlich der Intervenierbarkeit? Wie baue ich einen vernünftigen Löschkopf für Betroffene oder eine automatische Löschroutine nach Kontolöschung? etc.
Hallo absolut, dies sind spannende Fragen die auch mit einem PIMS (Personal Information Management System) zusammenhängen und via TrustCenter/Privacy Dashboard etc. auch realisiert werden können.
Dafür ist es in meinen Augen wichtig Datenschutz nicht als reine Compliance Anforderung zu sehen, sondern als Mittel User Bedürfnisse umzusetzen. Sprich das was die DSGVO fordert aus Sicht der betroffen Personen denken. Was ja eigentlich seit Jahren im Marketing als User Experience bekannt ist. Den Kunden ins Zentrum stellen - und das nur um seine Datenschutzbedürfnsse zu erweitern.