Die Einhaltung der DSGVO ist für viele Unternehmen schwierig, nicht zuletzt, weil sie oft eine kostspielige und störende Umstellung der IT und der Arbeitsverfahren erfordert.
Startpunkt
Die Datenzuordnung ist für die Einhaltung der DSGVO unerlässlich. Dabei handelt es sich um die Methode zur Identifizierung, Konsolidierung, Bewertung und Dokumentation von Daten und allen damit verbundenen Informationen. Nur dann kann der Datenfluss effektiv gehandhabt werden. Das Mapping des persönlichen Datenflusses verringert das Risiko von Datenschutzverletzungen und hilft in vielen Bereichen der DSGVO-Durchsetzung.
Strukturierung des Datenflusses
Alles schön und gut über die Abbildung des Datenflusses, aber über welche Daten reden wir hier? Artikel 30 der Datenschutz-Grundverordnung gibt Hinweise darauf, welche Daten Organisationen dokumentieren müssen.
Die Anforderungen variieren geringfügig zwischen den für die Datenverarbeitung Verantwortlichen und den Auftragsverarbeitern, aber die Datenaufzeichnungen sollten Folgendes enthalten:
Datenzuordnung und andere Bereiche der Konformität
Indem sie sehen, wie Daten durch ihr Unternehmen fließen, können Unternehmen Datenschutzrisiken bewerten und Möglichkeiten zur Verbesserung ihrer Arbeit erkennen. Das Data Mapping ist ein fortlaufender, immerwährender Mechanismus, der in zahlreichen Bereichen der DSGVO-Compliance eingesetzt wird.
Datenspeicherung und Löschung
In einigen Fällen haben die betroffenen Personen das „Recht auf Vergessenwerden“. Mit anderen Worten: Sie können von Ihnen verlangen, ihre Daten zu löschen. Wenn Sie nicht wissen, wo die Daten aufbewahrt werden, können Sie diese Aufgabe natürlich nicht mit viel Vertrauen erfüllen.
Außerdem besagt die Datenschutz-Grundverordnung, dass Daten nur so lange gespeichert werden dürfen, wie sie für die angegebenen Zwecke erforderlich sind. Daher sollten Unternehmen regelmäßig nach veralteten Informationen suchen. Eine gute Data-Mapping-Software ermöglicht das schnelle Scannen nach solchen Informationen.
Minimierung der Daten
Die wichtigste Bedingung der DSGVO besteht darin, nur die für den jeweiligen Zweck erforderliche Mindestmenge an Daten zu speichern. Die Data-Mapping-Methode hilft Organisationen, dies zu bestimmen. Sie hilft dabei, Daten zu vereinfachen, so dass sie nicht auf mehreren Computern, PCs und Servern vorhanden sind. Gutes Datenmanagement beginnt mit der Visualisierung von Daten.
Meldung eines Verstoßes
Gemäß Artikel 33 DSGVO muss eine Verletzung des Schutzes personenbezogener Daten der Aufsichtsbehörde innerhalb von 72 Stunden nach ihrer Entdeckung gemeldet werden. Dieser Bericht muss Informationen über die Verletzung enthalten, z. B. wie es zu ihr kam, ihre möglichen Auswirkungen und die getroffenen Sicherheitsmaßnahmen. All dies lässt sich viel leichter bereitstellen, wenn der Weg des Datensatzes sorgfältig aufgezeichnet wird.
Reaktion auf SARs
Betroffene Personen haben ein Recht auf Auskunft über ihre Daten, die sie über einen Antrag auf Auskunft (SAR) erhalten. Sie können Informationen wie den Namen des behördlichen Datenschutzbeauftragten erfahren, sofern ein solcher existiert. Mit Hilfe der Datenzuordnung können diese Informationen innerhalb eines Monats eingeholt werden.
Erstellung von Datenschutzhinweisen
Neben der Unterstützung von Unternehmen bei der Verwaltung von Daten und der Bereitstellung von Informationen für verschiedene Parteien kann Data-Mapping-Software in einigen Fällen auch Datenschutzhinweise erstellen. Diese enthalten viele der in diesem Bericht genannten Informationen, z. B. die Kontaktdaten des für die Datenverarbeitung Verantwortlichen, die Art der Daten und die Absicht der Erhebung, mit wem die Daten ausgetauscht werden, Aufbewahrungsfristen usw.
Generierung von Prozessorverträgen
Eine der wichtigsten Verbesserungen der DSGVO bestand darin, dass jeder in der Datenverarbeitungskette verantwortlich gemacht wird. Zu diesem Zweck müssen die Datenerheber und -verarbeiter (häufig Drittunternehmen) immer einen Vertrag abschließen. Artikel 28 DSGVO enthält diesen Vertrag. Darin werden die Verantwortlichkeiten aller Parteien sowie die Art der Daten und der Zweck bzw. die Art ihrer Verarbeitung festgelegt. Data-Mapping-Tools können häufig einen solchen Vertrag erstellen.
Herausforderungen der Datenzuordnung
Zusammenfassend lässt sich sagen, dass die Datenzuordnung eine faktische Grundlage für die Durchsetzung der DSGVO bietet, aber andere Tätigkeitsbereiche bedroht. Für die Datenverarbeitung Verantwortliche müssen Sicherheit und Datenschutz durch Zugangskontrolle und Verschlüsselung verstehen. Gerichtliche und administrative Pflichten, die über die DSGVO hinausgehen, können die Durchsetzung ebenfalls behindern.