(D)PIA meets Data Mapping

Operationalisierung der Datenschutz-

Grundverordnung

Berlin, Mittwoch, 21. Juni 2017

Agenda

1 | Data Mapping Definition

2 | Data Mapping Operationalisierung

3 | PIA/DPIA Definition

| Q&A

4 | PIA/DPIA Operationalisierung

5

Data Mapping Definition

Was hat Data Mapping mit der DSGVO zu tun?

• Artikel 30 DSGVO “Verzeichnis von Verarbeitungstätigkeiten” weist

spezifische Anforderungen aus, die es künftig einzuhalten gilt• Übliche Gefahren:

Bisherige Anforderungen ähnlich aber nicht identisch

Verwechslungsgefahr (z.B. PCI, BCR oder Information.Governance)

• Relevante Artikel und Erwägungsgründe:• Artikel 30

• Erwägungsgrund 13, 39, 82

• Ausführlichkeit: weitere Artikel (6/15/32) / kommende Regularien aufnehmen

Data Mapping aus zwei Betrachtungswinkeln – Teil 1

• Data Inventory beinhaltet tabellarische Aufzeichnungen aller personenbezogenen Daten

und damit verbundenen Informationen einer Organisation

• Beispiele:

• Datenart

• Datenerhebung

• Datenverarbeitung

• Datentransfer

• Datenspeicherung

• Datensicherheit

• Datenlöschung

Data Mapping aus zwei Betrachtungswinkeln – Teil 2

• Data Map verweist visuell auf (globale) Datenflüsse und Asset Locations auf Grundlage des

Data Inventory

Operationalisierung des Data Mappings in 6 Schritten

Schritt 1: Was hat man und was braucht man zukünftig?

• Auflistung

eigener Assets

(CMDB)

• Geschäfts-

prozesse

• Drittparteien /

Vendors

• Alle DSGVO

Anforderungen

abgedeckt?

Gaps (Art.30) ?

• Einbezug von

weiteren

Elementen

(Art.15/32…)?

Schritt 2: Welche Zuordnung erscheint sinnvoll?

1. Geschäftsprozesse

2. Applikationen

Auch beides als Hybrid

sowie weitere möglich

• ? • ?

Schritt 3: Wie befüllen Sie das Data Mapping?

Drei Möglichkeiten:

API Integrationen(Bestehendes weiterer Systeme)

1Data Discovery

(Automatisiertes Scanning)

2Art. 30 DSGVO

Fragebögen

3

Schritt 4: Mit welchem Projektteam starten Sie?

• Leichtester Prozess

Vs.

• Schwerster Prozess

Vs.

• Höchste Risiken

Schritt 5: Wer macht die ganze Arbeit?

Binden Sie früh “Privacy Champions” und Fachexperten mit ins Thema ein

Kern-Datenschutz-Team

Privacy Champions &

Fachexperten aus:

• HR

• Marketing

• Einkauf

• IT

• Compliance

• Usw.

Schritt 6: Wie halten Sie das Data Mapping aktuell?

Wiederkehrende Prüfung über Änderungen nach Risikograd

UND

Scanning Ergebnisse weisen auf Updates hin

UND

Verknüpfung von PIA/DPIAs und Data Mapping

PIA/DPIA Definition

Deutung der Begriffe PIA/DPIA

• Ein Privacy Impact Assessment (PIA)

ist ein Fragebogen zum Identifizieren von Datenschutzrisiken

sowie eine Hilfe zur Reduzierung dieser..

• Ein Data Protection Impact Assessment (DPIA)

ist eine spezielle Variante des PIAs, welcher in der DSGVO mit

besonderen Pflichten verbunden ist (Artikel 35 DSGVO)..

PIA ≠ DPIA

Schwellwertanalyse Risikobewertung Ausführlicher DPIA

1 2 3

Gibt es einen

Einfluss?

Hohe Risiken

enthalten?

DPIA Auslöser

Kann man die

Risiken

mindern?

1 -10 Fragen

Sind personen-

bezogene Daten

enthalten?

Maßnahmen

ergreifen

Risiko des

Einzelnen,

Rücksprache

DPO etc.

DPA Beratung

4

Ersuch der

Akzeptanz

Ein Vorschlag zur Entwicklung eines DPIA (DSFA)

20 – 40 Fragen

Dokumentation

und Prüfung der

Datenflüsse

Austausch mit

DS-Aufsicht

Mehrnutzen im

Vergleich zum

entstehenden

Schaden abwägen

Verknüpfung von Schwellwertanalyse und DPIA

PIA/DPIA Operationalisierung6 weitere Punkte

Zu beachtende Punkte bei der Erstellung eines PIA/DPIA

• DM Elemente können mit PIA/DPIA verknüpft werden

• DM wird somit stets automatisch aktualisiert

• Auslegung des Fragebogens nach DSGVO

• Checkliste gestalten

• Rücksprache mit Rechtsberatung

• Fragen nach Sektionen unter-teilen

• Erleichtert die Handhabung bei Beantwortung und Prüfung

DSGVO beachten Art. 30 Fragen integrieren Klare Struktur

2 31

Zu beachtende Punkte bei der Erstellung eines PIA/DPIA

• Mehr Information führt zu qualtitativerAntwort

• Anhänge, Beschreibungen, Verweise, etc.

• Antworten vielfältig gestalten

• Befragte kommen aus diversen Fachbereichen

• Fragen Sie nicht zu direkt: Erfassen sie personen-bezogene Daten?

Verständlichkeit der

Fragen

Weitere Informationen &

Flexibiliät bereitstellen

54

Beispiele effizienter und qualitativer Fragestellungen

Zu beachtende Punkte bei der Erstellung eines PIA/DPIA

• Mehr Information führt zu qualtitativerAntwort

• Anhänge, Beschreibungen, Verweise, etc.

• Befragte kommen aus diversen Fachbereichen

• Fragen Sie nicht zu direkt: Erfassen sie personen-bezogene Daten?

• Wenn-Dann-Logik einbauen

• Nur relevante Fragen werden gestellt

• Risiken können vordefiniert werden

Verständlichkeit der

Fragen

Weitere Informationen

bereitstellenAutomatisierte Prozesse

5 64

So könnten Automatisierungsprozesse aussehen…

Weiteres Vorgehen in der PIA/DPIA Praxis

• Cockpit mit effizienten Fragebögen

• Auswahl eines Fragebogens bei neuem PIA/DPIA Projekt

• Zuordnung des Projekts zum Befragten

• Qualitative Beantwortung der richtigen Fragen

• Überprüfung der Fragen durch DPO

• Risiken manuell setzen & automatisierte Risiken prüfen

• Milderung der Risiken

• Projekt abschließen

• Reportfähig mit nur einem Klick

OneTrust - Die meistverbreitete Privacy Management Software

Beliebteste Technologie der Branche

über 1.000 OrganisationenGrößtes Team der Branche

über 100 Mitarbeiter

PIA/DPIA

Automation

Subject Access

Request Portal

Readiness &

Accountability Tool

Data Mapping

Automation

Incident and Breach

Management

Vendor Risk

Management

Website Scanning &

Cookie Compliance

Consent Receipt

Management

Q & A

Robert SindlingerMaster of Science BWL (LMU); CIPP/E

rsindlinger@onetrust.com+49 175 371 29 83

www.onetrust.com