- DSGVO Art. 30: Organisationen müssen eine Aufzeichnung der Verarbeitungstätigkeiten (RoPA) aufrecht erhalten — im Wesentlichen eine Datenkarte
- Eine Datenkarte Dokumente: Welche Daten Sie halten, wo, warum, wer kann darauf zugreifen, wie lange Sie es halten
- Beginnen Sie mit Ihren höchsten Risikodaten zuerst (Client-Daten, Gesundheitsdaten, Finanzdaten)
- Es handelt sich um ein lebendiges Dokument, das es aktualisiert, wenn sich Systeme oder Prozesse ändern
Personenbezogene Daten Kartierung – auch als Datenbestand oder Datenflusskartierung bezeichnet – ist der Prozess der systematischen Identifizierung aller personenbezogenen Daten in Ihrer Organisation: Was es ist, wo es lebt, wie es fließt, der Zugriff hat, und wie lange Sie es halten. Gemäß Art. 30 DSGVO sind die meisten Organisationen verpflichtet, dies in einer Aufzeichnung von Verarbeitungstätigkeiten (RoPA) zu dokumentieren.
Über die Compliance hinaus ist eine Datenkarte betriebsbereit. Wenn eine Datenverletzung auftritt, müssen Sie genau wissen, welche Daten betroffen sind. Wenn ein DSAR ankommt, müssen Sie wissen, wo Sie suchen. Wenn Sie ein neues System bereitstellen, müssen Sie wissen, welche Daten es berühren wird. Ein gepflegter Datenbestand beantwortet alle diese Fragen schnell.
Verwandte HubSecure Kaufpfad
Compliance CRM-Leitfaden Compliance CRM für wachsende Unternehmen CRM-Modul HubSpot-Vergleich Compliance CRM-Leitfaden Bibliothek buchen eine Workflow-Demo
Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance
Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Compliance-Workflows, geregelter KI-Betreiber.
Verwandter Anwendungsfall
Dieser Leitfaden gehört zum Cluster Workspace Alternatives and Tool Consolidation Guides. Fahren Sie mit dem Produkt-Hub für Arbeitsplatzalternativen und Werkzeugkonsolidierung fort.
Was Ihre Datenkarte erfassen muss
Ihr RoPA gemäß Artikel 30 muss mindestens Folgendes enthalten:
- Name und Kontaktdaten des Verantwortlichen (und gegebenenfalls des Datenschutzbeauftragten)
- Zwecke jeder Verarbeitungstätigkeit
- Kategorien betroffener Personen (Kunden, Mitarbeiter, Interessenten usw.)
- Kategorien personenbezogener Daten (Namen, Kontaktdaten, Finanzdaten, Gesundheitsdaten usw.)
- Kategorien von Empfängern (wer die Daten erhält oder auf sie zugreift)
- Übermittlungen in Drittländer (außerhalb des EWR) und angewendete Schutzmaßnahmen
- Aufbewahrungsfristen oder Kriterien für die Löschung
- Beschreibung der Sicherheitsmaßnahmen (allgemein)
Wie Sie Ihre Datenkarte erstellen
Schritt 1: Identifizieren Sie Ihre Verarbeitungsaktivitäten
Beginnen Sie damit, alle Dinge aufzulisten, die Sie mit personenbezogenen Daten tun. Für ein professionelles Dienstleistungsunternehmen umfasst dies in der Regel Folgendes: Kunden-Onboarding und KYC, Servicebereitstellung und Sachverhaltsverwaltung, Abrechnung und Fakturierung, Marketingkommunikation, Personal- und Gehaltsabrechnung, Lieferantenmanagement, IT-Zugriffsverwaltung, Videoüberwachung.
Schritt 2: Befragen Sie die Dateneigentümer
Sprechen Sie für jede Abteilung oder Funktion mit den Personen, die die Daten tatsächlich täglich nutzen. Sie wissen, welche Systeme sie nutzen, welche Informationen sie sammeln und mit wem sie diese teilen. IT-, HR-, Finanz-, Compliance- und kundenorientierte Teams müssen alle einbezogen werden.
Schritt 3: Identifizieren Sie alle Systeme
Listen Sie alle Anwendungen, Systeme und Speicherorte auf, die personenbezogene Daten enthalten. Enthalten:
- CRM- und Case-Management-Systeme
- E-Mail-Plattformen
- Dokumentenverwaltung und Cloud-Speicher
- Personal- und Gehaltsabrechnungssysteme
- Buchhaltungsplattformen
- Marketing-Automatisierungstools
- Videokonferenzplattformen (sofern sie Aufzeichnungen speichern)
- Physische Akten und Papierunterlagen
- Backup-Systeme
Schritt 4: Datenflüsse zuordnen
Verfolgen Sie für jede Verarbeitungsaktivität den Datenfluss: Woher kommen sie, was passiert mit ihnen, wohin gehen sie, wer hat in jeder Phase Zugriff. Dadurch werden Drittverarbeiter, internationale Übermittlungen und Lücken in der Zugriffskontrolle aufgedeckt, die aus den Systemlisten allein möglicherweise nicht ersichtlich sind.
Schritt 5: Rechtsgrundlage und Aufbewahrungsfristen festlegen
Dokumentieren Sie für jede Verarbeitungsaktivität die DSGVO-Rechtsgrundlage und die Aufbewahrungsfrist. Hier verbindet sich Ihre Datenkarte mit Ihrer umfassenderen Compliance-Dokumentation – Datenschutzhinweisen, Aufbewahrungsplänen und DPAs.
Praktische Abkürzung: Beginnen Sie mit Ihren Kundendaten – sie stellen mit ziemlicher Sicherheit Ihr größtes Volumen und Ihr größtes Risiko dar. Machen Sie sich einen vollständigen Überblick darüber, bevor Sie Verarbeitungsaktivitäten mit geringerem Risiko in Angriff nehmen. Eine unvollständige, gepflegte Datenkarte ist weitaus wertvoller als eine umfassende, die sofort veraltet ist.
Erhalten Sie Ihre Datenkarte
Eine nicht gepflegte Datenkarte wird eher zu einer Compliance-Verpflichtung als zu einem Vermögenswert. Erstellen Sie einen Überprüfungsprozess:
- Überprüfen Sie die vollständige Datenkarte mindestens einmal jährlich
- Lösen Sie ein Update aus, wenn ein neues System bereitgestellt wird, ein neuer Anbieter beauftragt wird oder sich ein Prozess erheblich ändert
- Weisen Sie den Besitz zu – eine benannte Person oder ein Team, das dafür verantwortlich ist, die Karte auf dem neuesten Stand zu halten
- Versionskontrolle – dokumentieren Sie, wann und warum Änderungen vorgenommen wurden
Gilt die RoPA-Ausnahmeregelung gemäß Artikel 30 für KMU auch für regulierte Unternehmen?
Artikel 30 Absatz 5 befreit Organisationen mit weniger als 250 Mitarbeitern von der RoPA-Anforderung – es sei denn, die Verarbeitung stellt ein Risiko für die Rechte und Freiheiten des Einzelnen dar, die Verarbeitung erfolgt nicht gelegentlich oder sie umfasst Daten besonderer Kategorien. Regulierte Unternehmen (AML-pflichtige Unternehmen, Finanzdienstleistungen, Gesundheitswesen) fallen fast immer nicht unter die Ausnahme.
Können Aufsichtsbehörden unsere Datenkarte anfordern?
Ja. Die RoPA muss den Aufsichtsbehörden auf Anfrage gemäß Artikel 30 Absatz 4 zur Verfügung gestellt werden. Aufsichtsbehörden überprüfen Datenkarten routinemäßig im Rahmen von Audits und Untersuchungen.
Alle Ihre Kundendaten, kartiert und verwaltet
HubSecure CRM und Vault speichern persönliche Daten in einem einzigen verwalteten Arbeitsbereich – so bleibt Ihre Datenkarte korrekt und Ihre DSAR-Antworten erfolgen schnell.
Buchen Sie eine DemoÜberprüft für regulierte Teams
Vorbereitet vom HubSecure-Redaktionsteam für Betreiber, Compliance-Verantwortliche und IT-Prüfer, die sichere Client-Betriebssoftware bewerten.
Autoren · Rezensenten · Redaktionelle Richtlinien