Datenschutzmodul 3.0 und SDM?

Hallo Zusammen,
nachdem ich mir jetzt das Datenschutz-Kompendium oder Datenschutzmodul 3 angesehen im Mod.GS angesehen habe, stellt sich mir die Frage, wie dies mit dem SDM des modernisierten Grundschutz zusammenpasst. Woher ist die Quelle der Anforderungen und Maßnahmen. Einige kann ich mir direkt aus der DSGVO ableiten andere wiederum sind logisch, aber wenn ich mir das SDM 2.0a ansehen stehen dort wieder andere Anforderungen und Maßnahmen.

Gibt es dazu einen Erläuterung wo die Texte herkommen?

'Viele Grüße
M.Albert

Hallo MAlbert,
die Originalquelle für die Anforderungen, Maßnahmen und Datenschutz-Gefährdungen im Datenschutzmodul 3.0 ist selbstverständlich die DSGVO mit ihren Erwägungsgründen :wink:
Bekanntermaßen sind Gesetzestexte nicht so ergiebig, so dass Gesetzeskommentare und Sekundärliteratur als Auslegungshilfen dienen. Diese kommen auch beim Datenschutzmodul 3.0 zur Anwendung. Für die inhaltliche Ausgestaltung wurden unterschiedliche Kommentare zu DSGVO, Fachaufsätze und Stellungnahmen der Aufsichtsbehörden herangezogen. Darüber hinaus haben wir Best-Practice-Ansätze sowie Erfahrungen aus Kundenprojekten mit einfließen lassen.
Damit unsere Kunden das Datenschutz-Kompendium mit dem IT-Grundschutz-Kompendium in verinice nutzen können, haben wir das Datenschutzmodul 3.0 nach der Grundschutzmethodik aufgebaut. So können wir gewährleisten, dass dieselben Modellierungsmechanismen greifen.
Die Anwender können die Bausteine des Datenschutz-Kompendiums gleichermaßen anwenden und modellieren wie die Bausteine des IT-Grundschutzkompendiums.

Sie könnten diese Bausteine auch im Rahmen der Umsetzung des SDM verwenden, da sich die Inhalte nicht ausschließen sondern vielmehr eine Ergänzung darstellen.
Beachten Sie bitte hierbei, dass wir in verinice derzeit nicht die im SDM aufgeführten Gewährleistungsziele abbilden. Daher sind die Bausteine des Datenschutz-Kompendiums auch nicht diesen zugeordnet.

Beste Grüße
Sirin Torun

1 Like

Ist auch die Frage, ob das ULD eine Abbildung des SDM in einem kommerziellen Tool überhaupt lizenztechnisch zulässt. Aber dies wäre eine interessante Möglichkeit, Frau Torun, könnten Sie nicht mal nachhaken?

Ciao
Pitti

Hallo,

ich habe mal in das SDM geschaut. Dort ist folgender Hinweis zu finden:

Datenlizenz Dieses Dokument darf–ohne Rückfrage bei einer Aufsichtsbehörde–kommerziell und nicht kommerziell genutzt, insbesondere vervielfältigt ,ausgedruckt, präsentiert, verändert, bearbeitet sowie an Dritte übermittelt oder auch mit eigenen Daten und Daten Anderer zusammengeführt und zu selbständigen neuen Datensätzen verbunden werden, wenn der folgende Quellenvermerk angebracht wird: „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz). Veränderungen, Bearbeitungen, neue Gestaltungen oder sonstige Abwandlungen der bereit gestellten Daten sind mit einem Veränderungshinweis im Quellenvermerk zu versehen. Datenlizenz Deutschland – Namensnennung–Version2.0(www.govdata.de/dl-de/by-2-0).

Ergänzend zu dem was Verinice liefert sind dort einige andere Maßnahmen enthalten.
Einen Teil habe ich in Verinice abgebildet, da wir es ja als Ergänzung zum Grundschutz brauchen. Die beiden Modelle selbst ergänzen sich, meiner Einschätzung nach.

Bei Interesse stelle ich ein .vna ohne Daten zur Verfügung.
Viele Grüße
MA.

1 Like

Hallo Pitti,

lizenzrechtliche Gründe stehen einer Abbildung des SDM in verinice nicht entgegen, wie Malbert zutreffend festgestellt hat.

Wir verfolgen die Entwicklung des SDM seit langer Zeit und stehen auch in Kontakt mit Herrn Rost vom ULD, so viel kann ich Ihnen verraten :wink:

Falls Sie sich erinnern: Herr Rost war auch Gast 2018 auf unserer Veranstaltung veriniceXP

https://www.sernet.de/news/news-detail/verinice-xp-keynote-gute-methodik-und-gute-modellierung-von-datenschutz-von-martin-rost/

Ich kann Ihnen jedoch zu diesem Zeitpunkt noch keine näheren Informationen zur Umsetzungsplanung und Entwicklungsstand geben.

Beste Grüße
Sirin Torun