“Data Mapping” Wunderwaffe im Datendschungel oder doch nur Tech-Buzzword? 
Data Mapping – (k)eine klassische Anforderung der Datenschutzgrundverordnung (DSGVO)!
Was ist eigentlich Data Mapping?
In der DSGVO findet man diesen Begriff jedenfalls nicht. Ein zweiter Blick lohnt sich jedoch, denn viele wesentliche Anforderungen der DSGVO hängen von einem vollständigem Dateninventar ab oder werden dadurch nachhaltig unterstützt. Data Mapping ist die strukturierte Auflistung von Verbindungen in Systemlandschaften sowie der standardisierten Erfassung von Daten über verschiedene Anwendungen und Verarbeitungsprozesse hinweg. Es dient der verbesserten Datenqualität und unterstützt datengetriebene Analysen in der Folgezeit.
Im Kern stellt das Data-Mapping auf die konsequente Zuordnung der verschiedenen Daten ab und es werden Datenfelder einer Datenbank den entsprechenden Datenfeldern einer anderen Datenbank zugeordnet. In der Folge, können für sich unabhängige Systeme besser (oder überhaupt) miteinander kommunizieren, die Daten gemeinsam nutzen und man erkennt schnell, welches Potential Data-Mapping für den Datenschutz bereithält.
Warum Data Mapping?
Es ist heutzutage unumgänglich eine leistungsstarke Software für ein detailliertes Data-Mapping einzusetzen, die gleichzeitig ein entscheidendes Maß an Prozessautomatisierung ermöglicht und damit die Grundlagenarbeit für die erfolgreiche Umsetzung datenschutzrechtlicher Anforderungen leistet. Die manuelle Erfassung Daten(-schutz) relevanter Prozesse ist möglich, aber zeitaufwendig, oftmals fehleranfällig und gemessen an der Agilität moderner Systemlandschaften keinesfalls empfehlenswert. Der konsequente Einsatz von Anwendungen zur automatisierten Erfassung aller relevanter Prozesse und Systeme, ermöglicht nicht nur eine bessere Datentransparenz, die automatische Aktualisierung relevanter Prozesse und sorgt insgesamt für ein geringeres Compliance-Risiko, sondern bildet die Grundlage bei agilen Prozessen und dynamischen Entwicklungen im Unternehmen auch auf Compliance-Ebene stets Schritt zu halten.
Was bedeutet das in der praktischen Anwendung?
Die DSGVO verlangt von Unternehmen zwar nicht direkt, dass sie ein Daten-Mapping in der oben dargestellten Komplexität erstellen, dennoch gibt es (u.a.) konkrete Anforderungen, die es nahezu unumgänglich machen:
- Das Verfahrensverzeichnis (Artikel 30)
- Betroffenenanfragen (Artikel 15ff.)
- Datenschutzfolgenabschätzung (Artikel 35)
- Datenschutzvorfälle (Artikel 33)
Data Mapping unterstützt, vereinfacht und ermöglicht eine zeitgemäße Umsetzung der aufgezählten Anforderungen der DSGVO. Ein genauer Blick lohnt sich!
DSGVO-Artikel 30: Aufzeichnungen über Verarbeitungstätigkeiten
Nahezu jedes Unternehmen muss Aufzeichnungen über Verarbeitungstätigkeiten erstellen und diese pflegen. Diese Aufzeichnungen müssen eine Vielzahl von Inhalten dokumentieren, unter anderem die Daten und Datenkategorien, die Kategorien von betroffenen Personen oder den Zweck der Verarbeitung. Gleichzeitig muss das Verfahrensverzeichnis digital und schriftlich in einem Format zur Verfügung gestellt werden, das leicht zu lesen und zu übermitteln ist. Vieles davon kann ein intelligent aufgebautes Data-Mapping umfassend vorbereiten.
DSGVO Artikel 15 ff.: Betroffenenrechte
Betroffenen stehen eine Vielzahl von Rechten zu z.B. eine Auskunft über ihre Daten. Unternehmen müssen nach Erhalt einer Anfrage alle personenbezogenen Daten, die es über die betreffende Person besitzt, identifizieren, zusammenstellen und diese Daten in einem leicht zu lesenden und verständlichen Format der entsprechenden Person übermitteln. Falls ein Unternehmen nicht weiß, wann es personenbezogene Daten sammelt und wo diese Daten gespeichert werden, wird das Zusammentragen und Verpacken dieser Daten zu einer heiklen Aufgabe. Auch hier leistet Data-Mapping die Grundlagenarbeit.
DSGVO Artikel 35: Datenschutz-Folgenabschätzungen
Jede „risikoreiche“ Datenverarbeitung muss einer vollständigen Datenschutz-Folgenabschätzung (DPIA) unterzogen werden. Das Abwägen von Risiken und Nutzen ist ein wesentlicher Bestandteil der Durchführung einer Datenschutzfolgenabschätzung. Data Mapping hilft: denn ohne einen vollständigen und aktuellen Überblick über die Daten sowie damit verbundenen Prozessen und der Darstellung in welcher Verbindung sie zueinanderstehen, ist es praktisch unmöglich risikoreiche Prozesse zu identifizieren und zu bewerten.
DSGVO Artikel 33: Management von Datenschutzverletzungen
Schnelles Handeln ist gefragt. Artikel 33 verlangt, dass Unternehmen, Behörden und betroffene Verbraucher innerhalb von 72 Stunden über datenschutzrechtliche Verstöße informiert werden. Wenig Zeit, wenn es keine strukturierte Übersicht gibt und das Ausmaß der Verletzung sowie der Kreis der Betroffenen sich nicht bestimmen lässt. Data Mapping fördert eine schnelle Eingrenzung und schafft Klarheit.
Fazit & Ausblick
Data Mapping ist zwar keine konkrete Anforderung der DSGVO, gemessen an den sonstigen Herausforderungen aber nahezu unumgänglich und die Grundlage eines guten Datenschutzkonzeptes. Bedingt durch die hohe Komplexität und den immensen Zeitaufwand, müssen Unternehmen bereits kurzfristig nach Lösungen Ausschau halten, die ihre operativen Datenschutzprozesse automatisieren. Das manuelle Erstellen eines vollumfänglichen Data-Mappings kann Jahre dauern, und Systeme, die zu Beginn des Projekts hinzugefügt und aktualisiert wurden, sind zum Zeitpunkt der Fertigstellung wieder veraltet. Der Prozess beginnt von vorne und die Zwickmühle ist perfekt. Technische Lösungen können diesen Missstand beseitigen, haben eine deutlich geringere Fehlerquote, sind belastbar und sparen mittels automatisierter Prozesse an vielen Stellen Zeit, Nerven und Geld.
Der Integrationsaufwand dieser Lösungen sinkt kontinuierlich und macht das Angebot für eine Vielzahl von Unternehmen schon jetzt äußerst attraktiv.
Autor: Kilian Schmidt ist promovierter Rechtsanwalt und Gründer der Kertos GmbH. Trotz kurzer Station bei Freshfields Bruckhaus Deringer, schlägt sein Herz für Legal Operation und seine Erfahrungen mit Rocket Internet, Home24, Tier Mobility und Gorillas Technologies waren ausschlaggebend dafür, selbst auf die Gründerseite zu wechseln.
Autorin: Patrizia Zaß ist fokussiert auf nachhaltige Digitalisierung und Leistungssteigerung von Startups. Sie hilft jungen Unternehmen vor allem bei der Implementierung von komplexen Tools, Prozessen und Strukturen, um schnelleres Wachstum zu ermöglichen. Seit 2022 nutzt Frau Zaß Ihre langjährige Erfahrung im Bereich Datenschutz, um mit Kertos operative Datenschutzprozesse zu automatisieren.
