“Data Mapping” Wunderwaffe im Datendschungel oder doch nur Tech-Buzzword? 

Data Mapping – (k)eine klassische Anforderung der Datenschutzgrundverordnung (DSGVO)!

November 16, 2022
Inhaltsverzeichnis

TOC

Was ist eigentlich Data Mapping?

In der DSGVO findet man diesen Begriff jedenfalls nicht. Ein zweiter Blick lohnt sich jedoch, denn viele wesentliche Anforderungen der DSGVO hängen von einem vollständigem Dateninventar ab oder werden dadurch nachhaltig unterstützt. 

Data Mapping ist die strukturierte Auflistung von Verbindungen in Systemlandschaften sowie der standardisierten Erfassung von Daten über verschiedene Anwendungen und Verarbeitungsprozesse hinweg. Es dient der verbesserten Datenqualität und unterstützt datengetriebenen Analysen in der Folgezeit. 

Im Kern stellt das Data-Mapping auf die konsequente Zuordnung der verschiedenen Daten ab und es werden Datenfelder einer Datenbank den entsprechenden Datenfeldern einer anderen Datenbank zugeordnet. In der Folge, können für sich unabhängige Systeme besser (oder überhaupt) miteinander kommunizieren, die Daten gemeinsam nutzen und man erkennt schnell, welches Potential Data-Mapping für den Datenschutz bereithält.

Warum Data Mapping?

Es ist heutzutage unumgänglich eine leistungsstarke Software für ein detailliertes Data-Mapping einzusetzen, die gleichzeitig ein entscheidendes Maß an Prozessautomatisierung ermöglicht und damit die Grundlagenarbeit für die erfolgreiche Umsetzung datenschutzrechtlicher Anforderungen leistet. Die manuelle Erfassung Daten(-schutz) relevanter Prozesse ist möglich, aber zeitaufwendig, oftmals fehleranfällig und gemessen an der Agilität moderner Systemlandschaften keinesfalls empfehlenswert. Der konsequente Einsatz von Anwendungen zur automatisierten Erfassung aller relevanter Prozesse und Systeme, ermöglicht nicht nur eine bessere Datentransparenz, die automatische Aktualisierung relevanter Prozesse und sorgt insgesamt für ein geringeres Compliance-Risiko, sondern bildet die Grundlage bei agilen Prozessen und dynamischen Entwicklungen im Unternehmen auch auf Compliance-Ebene stets Schritt zu halten. 

Was bedeutet das in der praktischen Anwendung?

Die DSGVO verlangt von Unternehmen zwar nicht direkt, dass sie ein Daten-Mapping in der oben dargestellten Komplexität erstellen, dennoch gibt es (u.a.) konkrete Anforderungen, die es nahezu unumgänglich machen: 

  • Das Verfahrensverzeichnis (Artikel 30)
  • Betroffenenanfragen (Artikel 15ff.)  
  • Datenschutzfolgenabschätzung (Artikel 35) 
  • Datenschutzvorfälle (Artikel 33)

Data Mapping unterstützt, vereinfacht und ermöglicht eine zeitgemäße Umsetzung der aufgezählten Anforderungen der DSGVO. Ein genauer Blick lohnt sich! 

DSGVO-Artikel 30: Aufzeichnungen über Verarbeitungstätigkeiten

Nahezu jedes Unternehmen muss Aufzeichnungen über Verarbeitungstätigkeiten erstellen und diese pflegen. Diese Aufzeichnungen müssen eine Vielzahl von Inhalten dokumentieren, unter anderem die Daten und Datenkategorien, die Kategorien von betroffenen Personen oder den Zweck der Verarbeitung. Gleichzeitig muss das Verfahrensverzeichnis digital und schriftlich in einem Format zur Verfügung gestellt werden, das leicht zu lesen und zu übermitteln ist. Vieles davon kann ein intelligent aufgebautes Data-Mapping umfassend vorbereiten.  

DSGVO Artikel 15 ff.: Betroffenenrechte

Betroffenen stehen eine Vielzahl von rechten zu z.B. eine Auskunft über ihre Daten. Unternehmen müssen nach Erhalt einer Anfrage alle personenbezogenen Daten, die es über die betreffende Person besitzt, identifizieren, zusammenstellen und diese Daten in einem leicht zu lesenden und verständlichen Format der entsprechenden Person übermitteln.  Erfahren Sie mehr über Betroffenenrechte in unserem Artikel: Crashkurs Teil 1: Betroffenenanfragen.

Falls ein Unternehmen nicht weiß, wann es personenbezogene Daten sammelt und wo diese Daten gespeichert werden, wird das Zusammentragen und Verpacken dieser Daten zu einer heiklen Aufgabe auch hier leistet Data-Mapping die Grundlagenarbeit.  

DSGVO Artikel 35: Datenschutz-Folgenabschätzungen

Jede "risikoreiche" Datenverarbeitung muss einer vollständigen Datenschutz-Folgenabschätzung (DPIA) unterzogen werden. Das Abwägen von Risiken und Nutzen ist ein wesentlicher Bestandteil der Durchführung einer Datenschutzfolgenabschätzung.  Data Mapping hilft: denn ohne einen vollständigen und aktuellen Überblick über die Daten sowie damit verbundenen Prozessen und der Darstellung in welcher Verbindung sie zueinanderstehen, ist es praktisch unmöglich risikoreiche Prozesse zu identifizieren und zu bewerten. 

DSGVO Artikel 33: Management von Datenschutzverletzungen

Schnelles Handeln ist gefragt. Artikel 33 verlangt, dass Unternehmen, Behörden und betroffene Verbraucher innerhalb von 72 Stunden über datenschutzrechtliche Verstöße informiert. Wenig Zeit, wenn es keine strukturierte Übersicht gibt und das Ausmaß der Verletzung sowie der Kreis der Betroffenen sich nicht bestimmen lässt. Data Mapping fördert eine schnelle Eingrenzung und schafft Klarheit.  

Fazit & Ausblick:

Data Mapping ist zwar keine konkrete Anforderung der DSGVO, gemessen an den sonstigen Herausforderungen aber nahezu unumgänglich und die Grundlage eines guten Datenschutzkonzeptes.  

Bedingt durch die hohe Komplexität und den immensen Zeitaufwand, müssen Unternehmen bereits kurzfristig nach Lösungen Ausschau halten, die ihre operativen Datenschutzprozesse automatisiert. Das manuelle Erstellen eines vollumfänglichen Data-Mappings kann Jahre dauern, und Systeme, die zu Beginn des Projekts hinzugefügt und aktualisiert wurden, sind zum Zeitpunkt, der Fertigstellung wieder veraltet.  Der Prozess beginnt von vorne und die Zwickmühle ist perfekt. Technische Lösungen können diesen Missstand beseitigen, haben eine deutlich geringere Fehlerquote, sind belastbar und sparen mittels automatisierter Prozesse an vielen Stellen Zeit, Nerven und Geld.  

Der Integrationsaufwand dieser Lösungen sinkt kontinuierlich und macht das Angebot für eine Vielzahl von Unternehmen schon jetzt äußerst attraktiv.  

Wie kann Kertos helfen?

Die Beantwortung von Kundenanfragen, die Verwaltung des Verfahrensverzeichnisses und die Überwachung personenbezogener Daten sind zeitaufwändige manuelle Prozesse. Kertos automatisiert diese Anforderungen systemübergreifend, identifiziert nicht erfasste Verarbeitungsvorgänge und entlastet Mitarbeitende. Was früher Tage und Wochen dauerte, erledigt Kertos für alle Beteiligten in Sekundenschnelle - vollautomatisch, ohne menschliche Eingriffe und Fehler.

Sind Sie bereit, Ihre Datenschutzprozesse zu automatisieren oder wollen Sie mehr erfahren? Kontaktieren Sie unser Expertenteam und wir rüsten Sie auf!

Automatisierung der DSGVO - Made in Germany

Mittels Integration über die Schnittstellen in die Systeme unterstützt Kertos Deine Organisationen bei der vollautomatischen Umsetzung aller Datenschutz-Prozesse