VERANSTALTUNGEN

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

Transformation World 2018
07.11.18 - 08.11.18
In Print Media Academy, Heidelberg

DIGITAL FUTUREcongress
08.11.18 - 08.11.18
In Congress Center Essen

Data Driven Business Konferenz
13.11.18 - 14.11.18
In Berlin

OMX 2018
22.11.18 - 22.11.18
In Salzburg, Österreich

DSGVO Uhr 762953773 700

In wenigen Wochen, am 25. Mai 2018, tritt die neue Datenschutzgrundverordnung der Europäischen Union in Kraft. Unternehmen haben kaum noch Zeit, um sich auf die Umsetzung der neuen Regeln vorzubereiten. Sie sollten sich also schnellstmöglich mit der EU-DSGVO auseinandersetzen und das Thema schon wegen der hohen Strafen, die bei nicht oder schlecht umgesetzter Verordnung drohen, sehr ernst nehmen und jetzt handeln.

Was ist die EU-DSGVO?

Am 24. Mai 2016 wurde die EU-Datenschutzgrundverordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten verabschiedet. Die Verordnung wird ab 25. Mai 2018 unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union sein und auch Auswirkungen auf Nicht-EU Unternehmen haben. Insbesondere auf jene mit geschäftlichen Aktivitäten innerhalb der EU bzw. zur EU. Bekannte Beispiele hierfür sind u.a. Google und Facebook. Viele Punkte der DSGVO basieren auf dem Bundesdatenschutzgesetz (BDSG) und dessen ersten Fassung aus dem Jahr 1977. Wesentliche Erweiterungen der Verordnung gegenüber dem BDSG liegen in den Bereichen Verbraucherschutz, Recht auf Datenlöschung, Rechenschaftspflichten oder Datenportabilität.

Während Sie für Datenportabilität oder Rechenschaftspflichten interne Abläufe anpassen müssen, erfordern Verbraucherschutz und Löschanspruch direkte Datenschutzänderungen in Ihren Systemen. Nur so können Sie die Rechte von Personen wahren, deren Daten Sie gespeichert haben … und stehen auf der sicheren Seite.

So meistern Sie die Herausforderung

Die Herausforderung, alle Anforderungen korrekt umzusetzen, ist groß. Um sie erfolgreich zu meistern, sollten Sie sich in einem ersten Schritt einen detaillierten Überblick über die Prozesse verschaffen, die überhaupt personenbezogene Daten betreffen. Daraus lassen sich in einem zweiten Schritt alle notwendigen Maßnahmen für die Umsetzung ableiten. Doch einen Überblick zu bekommen, ist bei den über die Jahre oft unübersichtlich gewordenen Systemlandschaften oft schwierig. Machen Sie sich deshalb hilfreiche Werkzeuge zu Nutze. Es gibt Standardlösungen, die Ihnen helfen, Geschäftsprozesse in SAP ERP, CRM oder Solution Manager Systemen zu veranschaulichen und aktuelle Prozesse zu dokumentieren, zu vergleichen und abzubilden. Verlassen Sie sich nicht auf manuelle Vorgehensweisen und setzen Sie beim Sammeln von Daten und deren Analyse und auf automatisierte Prozesse, um Risiken zu senken. Die gewonnenen Informationen der aus den SAP Systemen ermittelten Daten sind auch für die weiter unten beschriebene Anonymisierung wichtig.

Bei den angesprochenen Daten handelt es sich in der Regel um riesige Mengen. Prüfen und bewerten Sie vorab, inwiefern die Datenmenge minimiert werden kann bzw. ob überhaupt alle Daten relevant sind und welche eventuell sogar gelöscht werden können. Auch die Datenqualität ist ein wichtiger Faktor für eine erfolgreiche Umsetzung: Je besser sie ist und einem definierten Datenprofil entspricht, desto einfacher können adäquate Maßnahmen ergriffen werden.

Die Datenschutzabteilung in Ihrem Unternehmen sollte vorbereitend zudem ein Konzept zur Informationssicherheit in der eigenen Datenverarbeitung erstellen. Das Konzept muss sowohl den Umgang mit personenbezogenen Daten in der eigenen IT-Landschaft definieren, als auch Richtlinien und Prozesse beschreiben, die sich mit den Themen Datenschutz, Rechenschaftspflichten, Datenportabilität oder auch der Umsetzung des Löschanspruchs beschäftigen. Vor allem in nicht-produktiven Anwendungssystemen muss die Informationssicherheit gewährleistet sein. Testsysteme sind meist aus gutem Grund mit produktionsnahen Daten versehen. Arbeiten Sie in Testsystemen mit „echten Daten“, müssen Sie den Schutz aller personenbezogenen Daten sicherstellen. Insbesondere, wenn es sich um Anwendungssysteme handelt, auf die auch externe User zugreifen, die außerhalb der EU arbeiten bzw. leben.

Achtung Schnittstellen

So wichtig es für eine erfolgreiche Umsetzung der neuen Regeln ist, die relevanten Prozesse zu kennen, so entscheidend ist es, einen genauen Überblick über alle Systemschnittstellen zu haben: sie gewährleisten den Informationsaustausch innerhalb der eigenen Systemlandschaft, aber auch zu externen Kommunikationspartnern, sodass ein ständiger und reger Datenfluss herrscht, was große Risiken birgt. Machen Sie bei einer Datenanonymisierung nicht den Fehler, ein Anwendungssystem nur für sich zu betrachten. Analysieren Sie präzise, welche Systeme miteinander kommunizieren: Werden Daten nur in einem ERP-System anonymisiert, aber über eine Schnittstelle fließen Daten aus einem anderen System in nicht anonymisierter Form zurück, kann das die Anonymisierung bestimmter Daten vereiteln. Um dieses Risiko zu umgehen, sollten Sie eine gründliche Schnittstellenanalyse durchführen. Setzen Sie hierfür auf spezielle Softwarelösungen, die Schnittstellen der SAP Systeme automatisiert identifizieren und dokumentieren. Sie können erkennen, welche Schnittstellentypen zwischen welchen Systemen zum Einsatz kommen und wie häufig sie in Verwendung sind. Das hilft Ihnen, die nächsten Schritte zu planen und umzusetzen. 

Schnell und sicher Daten schützen

Nach Abschluss der Analyse- und Konzeptphase müssen die vereinbarten Prozesse umgesetzt werden: Für den Schutz der Daten bietet sich an, sie zu anonymisieren bzw. zu pseudonymisieren. Für Ersteres müssen die Daten identifiziert werden, die aus Sicht der DSGVO datenschutzrelevant sind. Ist dieser Schritt getan, legen Sie fest, wie Sie die Daten anonymisieren bzw. pseudonymisieren. Hierfür benötigen Sie wieder Unterstützung. Die Standardsoftware SNP Data Provisioning & Masking (SNP DPM), beispielsweise, stellt realistische und sichere Testdaten bereit, verkürzt Entwicklungs- und Veränderungsprozesse, ermöglicht kostengünstigere Test- und Trainingsszenarien und schützt gleichzeitig sensible Kunden- und Produktdaten vor internem und externem Missbrauch. Sie konfiguriert Anonymisierungseinstellungen einfach und wiederverwendbar, anonymisiert Massendaten schnell und konsistent und schützt personenbezogene Daten, aber auch Bewegungsdaten, wie Finanz- oder Logistikdaten so, wie es die neue EU-DSGVO fordert. Eine zentrale Speicherung der erstellten Regelwerke macht sie dauerhaft verfügbar und wiederverwendbar.

Riskieren Sie nichts

Sie müssen jetzt handeln und die Umsetzung der neuen Vorschriften in Angriff nehmen. Beschränken Sie sich dabei nicht darauf, den Umgang mit persönlichen Daten in IT-Landschaften zu definieren. Entwickeln Sie umfassende Strategien, definieren Sie wirksame Prozesse für Ihr Datenschutzmanagement und schließen Sie Sicherheitslücken in Ihren Systemen, denn: Verstöße gegen die DSGVO können mit Geldbußen bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes geahndet werden. Bei Verstoß oder Datenmissbrauch kann auch eine einstweilige Verfügung erlassen werden, die die weitere Datenverarbeitung untersagt. Ein weiterer kritischer und oftmals unterschätzter Punkt ist der Imageverlust: Eine negative Berichterstattung in den Medien beeinflusst Kunden und Stakeholder nachhaltig und kann zusätzlich zu hohen Einbußen führen. Die DSGVO nicht oder schlecht umzusetzen lohnt sich also nicht. 

Paola Krauss

 

Autorin: Paola Krauss, SNP SE, snpgroup.com





 


 

GRID LIST
SAP

SAP-Anwender fordern einheitliche Datenmodelle

Über ein Drittel der Mitglieder der Deutschsprachigen SAP-Anwendergruppe e. V. (DSAG)…
Tb W190 H80 Crop Int C9554a41a61bad8c7ac6871a1583c301

Wie ein modernes ERP zum Digitalisierungstreiber wird

Der Begriff Digitale Transformation löst wie auf Knopfdruck unterschiedliche – nicht…
Public Cloud

SAP S/4HANA aus der Public Cloud

Mit SAP S/4HANA können Unternehmen die Chancen der Digitalisierung in Echtzeit…
ERP Taste

Datenintegrität beginnt im ERP-System

Nur wer seinen Daten vertrauen kann, trifft wirklich fundierte Entscheidungen. Die…
Strategie-Sitzung

Digitalisierungsstrategien mit SAP auf dem Prüfstand

Der diesjährige DSAG-Jahreskongress der deutschsprachigen SAP-Anwendergruppe e.V. steht…
Tb W190 H80 Crop Int 2f6e139bc85d13538ad40c191f59f3b3

SAP S/4HANA: Mit Echtzeit in die Neuzeit?

In einer aktuellen internationalen IDC-Umfrage gaben mehr als zwei Drittel der befragten…
Smarte News aus der IT-Welt