INFORMATIONEN

Datenzuordnung und DSGVO – Allgemeine Einblicke

Die Einhaltung der DSGVO ist für viele Unternehmen schwierig, nicht zuletzt, weil sie oft eine kostspielige und störende Umstellung der IT und der Arbeitsverfahren erfordert.

Startpunkt

Die Datenzuordnung ist für die Einhaltung der DSGVO unerlässlich. Dabei handelt es sich um die Methode zur Identifizierung, Konsolidierung, Bewertung und Dokumentation von Daten und allen damit verbundenen Informationen. Nur dann kann der Datenfluss effektiv gehandhabt werden. Das Mapping des persönlichen Datenflusses verringert das Risiko von Datenschutzverletzungen und hilft in vielen Bereichen der DSGVO-Durchsetzung.

Strukturierung des Datenflusses

Alles schön und gut über die Abbildung des Datenflusses, aber über welche Daten reden wir hier? Artikel 30 der Datenschutz-Grundverordnung gibt Hinweise darauf, welche Daten Organisationen dokumentieren müssen.

Die Anforderungen variieren geringfügig zwischen den für die Datenverarbeitung Verantwortlichen und den Auftragsverarbeitern, aber die Datenaufzeichnungen sollten Folgendes enthalten:

  • Name und Kontaktinformationen Ihrer Organisation;
  • Name und Kontaktdaten des Datenschutzbeauftragten (DSB), falls zutreffend;
  • Name und Kontaktinformationen der für die Verarbeitung Verantwortlichen oder der gemeinsam für die Verarbeitung Verantwortlichen;
  • Name und Kontaktinformationen der Mitglieder außerhalb der EU;
  • Ziele der Datenverarbeitung;
  • Kategorien von Personen;
  • Kategorien von personenbezogenen Daten, die Sie verarbeiten;
  • Kategorien von Empfängern personenbezogener Daten;
  • Aufbewahrungszeitplan für verschiedene Datentypen;
  • Schutzmaßnahmen für die außergewöhnliche Übermittlung personenbezogener Daten an Dritte oder internationale Organisationen;
  • Vorhandene Sicherheitsmaßnahmen wie Verschlüsselung, Mehrfaktoren-Zugang oder Schulungen.
  • Datenzuordnung und andere Bereiche der Konformität

    Indem sie sehen, wie Daten durch ihr Unternehmen fließen, können Unternehmen Datenschutzrisiken bewerten und Möglichkeiten zur Verbesserung ihrer Arbeit erkennen. Das Data Mapping ist ein fortlaufender, immerwährender Mechanismus, der in zahlreichen Bereichen der DSGVO-Compliance eingesetzt wird.

    Datenspeicherung und Löschung

    In einigen Fällen haben die betroffenen Personen das „Recht auf Vergessenwerden“. Mit anderen Worten: Sie können von Ihnen verlangen, ihre Daten zu löschen. Wenn Sie nicht wissen, wo die Daten aufbewahrt werden, können Sie diese Aufgabe natürlich nicht mit viel Vertrauen erfüllen.

    Außerdem besagt die Datenschutz-Grundverordnung, dass Daten nur so lange gespeichert werden dürfen, wie sie für die angegebenen Zwecke erforderlich sind. Daher sollten Unternehmen regelmäßig nach veralteten Informationen suchen. Eine gute Data-Mapping-Software ermöglicht das schnelle Scannen nach solchen Informationen.

    Minimierung der Daten

    Die wichtigste Bedingung der DSGVO besteht darin, nur die für den jeweiligen Zweck erforderliche Mindestmenge an Daten zu speichern. Die Data-Mapping-Methode hilft Organisationen, dies zu bestimmen. Sie hilft dabei, Daten zu vereinfachen, so dass sie nicht auf mehreren Computern, PCs und Servern vorhanden sind. Gutes Datenmanagement beginnt mit der Visualisierung von Daten.

    Meldung eines Verstoßes

    Gemäß Artikel 33 DSGVO muss eine Verletzung des Schutzes personenbezogener Daten der Aufsichtsbehörde innerhalb von 72 Stunden nach ihrer Entdeckung gemeldet werden. Dieser Bericht muss Informationen über die Verletzung enthalten, z. B. wie es zu ihr kam, ihre möglichen Auswirkungen und die getroffenen Sicherheitsmaßnahmen. All dies lässt sich viel leichter bereitstellen, wenn der Weg des Datensatzes sorgfältig aufgezeichnet wird.

    Reaktion auf SARs

    Betroffene Personen haben ein Recht auf Auskunft über ihre Daten, die sie über einen Antrag auf Auskunft (SAR) erhalten. Sie können Informationen wie den Namen des behördlichen Datenschutzbeauftragten erfahren, sofern ein solcher existiert. Mit Hilfe der Datenzuordnung können diese Informationen innerhalb eines Monats eingeholt werden.

    Erstellung von Datenschutzhinweisen

    Neben der Unterstützung von Unternehmen bei der Verwaltung von Daten und der Bereitstellung von Informationen für verschiedene Parteien kann Data-Mapping-Software in einigen Fällen auch Datenschutzhinweise erstellen. Diese enthalten viele der in diesem Bericht genannten Informationen, z. B. die Kontaktdaten des für die Datenverarbeitung Verantwortlichen, die Art der Daten und die Absicht der Erhebung, mit wem die Daten ausgetauscht werden, Aufbewahrungsfristen usw.

    Generierung von Prozessorverträgen

    Eine der wichtigsten Verbesserungen der DSGVO bestand darin, dass jeder in der Datenverarbeitungskette verantwortlich gemacht wird. Zu diesem Zweck müssen die Datenerheber und -verarbeiter (häufig Drittunternehmen) immer einen Vertrag abschließen. Artikel 28 DSGVO enthält diesen Vertrag. Darin werden die Verantwortlichkeiten aller Parteien sowie die Art der Daten und der Zweck bzw. die Art ihrer Verarbeitung festgelegt. Data-Mapping-Tools können häufig einen solchen Vertrag erstellen.

    Herausforderungen der Datenzuordnung

    Zusammenfassend lässt sich sagen, dass die Datenzuordnung eine faktische Grundlage für die Durchsetzung der DSGVO bietet, aber andere Tätigkeitsbereiche bedroht. Für die Datenverarbeitung Verantwortliche müssen Sicherheit und Datenschutz durch Zugangskontrolle und Verschlüsselung verstehen. Gerichtliche und administrative Pflichten, die über die DSGVO hinausgehen, können die Durchsetzung ebenfalls behindern.

    Microsoft & Datenschutz

    Warum wurde Microsoft wegen des Datenschutzes kritisiert, und was hat das Unternehmen dagegen unternommen? Die meisten Unternehmen und Verbraucher nutzen Software von Microsoft. Weniger bekannt

    mehr »