Hallo Zusammen,
nachdem ich mir jetzt das Datenschutz-Kompendium oder Datenschutzmodul 3 angesehen im Mod.GS angesehen habe, stellt sich mir die Frage, wie dies mit dem SDM des modernisierten Grundschutz zusammenpasst. Woher ist die Quelle der Anforderungen und Maßnahmen. Einige kann ich mir direkt aus der DSGVO ableiten andere wiederum sind logisch, aber wenn ich mir das SDM 2.0a ansehen stehen dort wieder andere Anforderungen und Maßnahmen.
Gibt es dazu einen Erläuterung wo die Texte herkommen?
Hallo MAlbert,
die Originalquelle für die Anforderungen, Maßnahmen und Datenschutz-Gefährdungen im Datenschutzmodul 3.0 ist selbstverständlich die DSGVO mit ihren Erwägungsgründen
Bekanntermaßen sind Gesetzestexte nicht so ergiebig, so dass Gesetzeskommentare und Sekundärliteratur als Auslegungshilfen dienen. Diese kommen auch beim Datenschutzmodul 3.0 zur Anwendung. Für die inhaltliche Ausgestaltung wurden unterschiedliche Kommentare zu DSGVO, Fachaufsätze und Stellungnahmen der Aufsichtsbehörden herangezogen. Darüber hinaus haben wir Best-Practice-Ansätze sowie Erfahrungen aus Kundenprojekten mit einfließen lassen.
Damit unsere Kunden das Datenschutz-Kompendium mit dem IT-Grundschutz-Kompendium in verinice nutzen können, haben wir das Datenschutzmodul 3.0 nach der Grundschutzmethodik aufgebaut. So können wir gewährleisten, dass dieselben Modellierungsmechanismen greifen.
Die Anwender können die Bausteine des Datenschutz-Kompendiums gleichermaßen anwenden und modellieren wie die Bausteine des IT-Grundschutzkompendiums.
Sie könnten diese Bausteine auch im Rahmen der Umsetzung des SDM verwenden, da sich die Inhalte nicht ausschließen sondern vielmehr eine Ergänzung darstellen.
Beachten Sie bitte hierbei, dass wir in verinice derzeit nicht die im SDM aufgeführten Gewährleistungsziele abbilden. Daher sind die Bausteine des Datenschutz-Kompendiums auch nicht diesen zugeordnet.
Ist auch die Frage, ob das ULD eine Abbildung des SDM in einem kommerziellen Tool überhaupt lizenztechnisch zulässt. Aber dies wäre eine interessante Möglichkeit, Frau Torun, könnten Sie nicht mal nachhaken?
ich habe mal in das SDM geschaut. Dort ist folgender Hinweis zu finden:
Datenlizenz Dieses Dokument darf–ohne Rückfrage bei einer Aufsichtsbehörde–kommerziell und nicht kommerziell genutzt, insbesondere vervielfältigt ,ausgedruckt, präsentiert, verändert, bearbeitet sowie an Dritte übermittelt oder auch mit eigenen Daten und Daten Anderer zusammengeführt und zu selbständigen neuen Datensätzen verbunden werden, wenn der folgende Quellenvermerk angebracht wird: „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz). Veränderungen, Bearbeitungen, neue Gestaltungen oder sonstige Abwandlungen der bereit gestellten Daten sind mit einem Veränderungshinweis im Quellenvermerk zu versehen. Datenlizenz Deutschland – Namensnennung–Version2.0(www.govdata.de/dl-de/by-2-0).
Ergänzend zu dem was Verinice liefert sind dort einige andere Maßnahmen enthalten.
Einen Teil habe ich in Verinice abgebildet, da wir es ja als Ergänzung zum Grundschutz brauchen. Die beiden Modelle selbst ergänzen sich, meiner Einschätzung nach.
Bei Interesse stelle ich ein .vna ohne Daten zur Verfügung.
Viele Grüße
MA.
So, ich habe jetzt das SDM v2b im verinice abgebildet. Aufgrund der auf einer eher „unstrukturierten“ Basis aufgebauten Gewährleistungsziele, sind diese nicht wie echte Schutzziele verwendbar, sondern als benutzerdefinierter Katalog anzulegen.
Wer weitere Informationen benötigt, möge sich bei mir melden…
Kaum 8 Monate später habe ich die SDM Version 3.0 inklusive der angeblich verpflichtenden Maßnahmen des Mecklenburg-Vorpommernschen Datenschutzbeauftragten im verinice abgebildet. Ein erster Einsatz bei einer größeren Behörde zeigt, es funktioniert.
ich habe mich gefreut zu sehen, dass sich jemand – in diesem Fall @Pitti – die Mühe gemacht hat, die SDM-Bausteine in Verinice abzubilden. Wäre Ihnen möglich, diese über einen Link zur allgemeinen Verfügung zu stellen?
