Thought Leadership
In wenigen Wochen, am 25. Mai 2018, tritt die neue Datenschutzgrundverordnung der Europäischen Union in Kraft. Unternehmen haben kaum noch Zeit, um sich auf die Umsetzung der neuen Regeln vorzubereiten. Sie sollten sich also schnellstmöglich mit der EU-DSGVO auseinandersetzen und das Thema schon wegen der hohen Strafen, die bei nicht oder schlecht umgesetzter Verordnung drohen, sehr ernst nehmen und jetzt handeln.
Was ist die EU-DSGVO?
Am 24. Mai 2016 wurde die EU-Datenschutzgrundverordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten verabschiedet. Die Verordnung wird ab 25. Mai 2018 unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union sein und auch Auswirkungen auf Nicht-EU Unternehmen haben. Insbesondere auf jene mit geschäftlichen Aktivitäten innerhalb der EU bzw. zur EU. Bekannte Beispiele hierfür sind u.a. Google und Facebook. Viele Punkte der DSGVO basieren auf dem Bundesdatenschutzgesetz (BDSG) und dessen ersten Fassung aus dem Jahr 1977. Wesentliche Erweiterungen der Verordnung gegenüber dem BDSG liegen in den Bereichen Verbraucherschutz, Recht auf Datenlöschung, Rechenschaftspflichten oder Datenportabilität.
Während Sie für Datenportabilität oder Rechenschaftspflichten interne Abläufe anpassen müssen, erfordern Verbraucherschutz und Löschanspruch direkte Datenschutzänderungen in Ihren Systemen. Nur so können Sie die Rechte von Personen wahren, deren Daten Sie gespeichert haben … und stehen auf der sicheren Seite.
So meistern Sie die Herausforderung
Die Herausforderung, alle Anforderungen korrekt umzusetzen, ist groß. Um sie erfolgreich zu meistern, sollten Sie sich in einem ersten Schritt einen detaillierten Überblick über die Prozesse verschaffen, die überhaupt personenbezogene Daten betreffen. Daraus lassen sich in einem zweiten Schritt alle notwendigen Maßnahmen für die Umsetzung ableiten. Doch einen Überblick zu bekommen, ist bei den über die Jahre oft unübersichtlich gewordenen Systemlandschaften oft schwierig. Machen Sie sich deshalb hilfreiche Werkzeuge zu Nutze. Es gibt Standardlösungen, die Ihnen helfen, Geschäftsprozesse in SAP ERP, CRM oder Solution Manager Systemen zu veranschaulichen und aktuelle Prozesse zu dokumentieren, zu vergleichen und abzubilden. Verlassen Sie sich nicht auf manuelle Vorgehensweisen und setzen Sie beim Sammeln von Daten und deren Analyse und auf automatisierte Prozesse, um Risiken zu senken. Die gewonnenen Informationen der aus den SAP Systemen ermittelten Daten sind auch für die weiter unten beschriebene Anonymisierung wichtig.
Bei den angesprochenen Daten handelt es sich in der Regel um riesige Mengen. Prüfen und bewerten Sie vorab, inwiefern die Datenmenge minimiert werden kann bzw. ob überhaupt alle Daten relevant sind und welche eventuell sogar gelöscht werden können. Auch die Datenqualität ist ein wichtiger Faktor für eine erfolgreiche Umsetzung: Je besser sie ist und einem definierten Datenprofil entspricht, desto einfacher können adäquate Maßnahmen ergriffen werden.
Die Datenschutzabteilung in Ihrem Unternehmen sollte vorbereitend zudem ein Konzept zur Informationssicherheit in der eigenen Datenverarbeitung erstellen. Das Konzept muss sowohl den Umgang mit personenbezogenen Daten in der eigenen IT-Landschaft definieren, als auch Richtlinien und Prozesse beschreiben, die sich mit den Themen Datenschutz, Rechenschaftspflichten, Datenportabilität oder auch der Umsetzung des Löschanspruchs beschäftigen. Vor allem in nicht-produktiven Anwendungssystemen muss die Informationssicherheit gewährleistet sein. Testsysteme sind meist aus gutem Grund mit produktionsnahen Daten versehen. Arbeiten Sie in Testsystemen mit „echten Daten“, müssen Sie den Schutz aller personenbezogenen Daten sicherstellen. Insbesondere, wenn es sich um Anwendungssysteme handelt, auf die auch externe User zugreifen, die außerhalb der EU arbeiten bzw. leben.
Achtung Schnittstellen
So wichtig es für eine erfolgreiche Umsetzung der neuen Regeln ist, die relevanten Prozesse zu kennen, so entscheidend ist es, einen genauen Überblick über alle Systemschnittstellen zu haben: sie gewährleisten den Informationsaustausch innerhalb der eigenen Systemlandschaft, aber auch zu externen Kommunikationspartnern, sodass ein ständiger und reger Datenfluss herrscht, was große Risiken birgt. Machen Sie bei einer Datenanonymisierung nicht den Fehler, ein Anwendungssystem nur für sich zu betrachten. Analysieren Sie präzise, welche Systeme miteinander kommunizieren: Werden Daten nur in einem ERP-System anonymisiert, aber über eine Schnittstelle fließen Daten aus einem anderen System in nicht anonymisierter Form zurück, kann das die Anonymisierung bestimmter Daten vereiteln. Um dieses Risiko zu umgehen, sollten Sie eine gründliche Schnittstellenanalyse durchführen. Setzen Sie hierfür auf spezielle Softwarelösungen, die Schnittstellen der SAP Systeme automatisiert identifizieren und dokumentieren. Sie können erkennen, welche Schnittstellentypen zwischen welchen Systemen zum Einsatz kommen und wie häufig sie in Verwendung sind. Das hilft Ihnen, die nächsten Schritte zu planen und umzusetzen.
Schnell und sicher Daten schützen
Nach Abschluss der Analyse- und Konzeptphase müssen die vereinbarten Prozesse umgesetzt werden: Für den Schutz der Daten bietet sich an, sie zu anonymisieren bzw. zu pseudonymisieren. Für Ersteres müssen die Daten identifiziert werden, die aus Sicht der DSGVO datenschutzrelevant sind. Ist dieser Schritt getan, legen Sie fest, wie Sie die Daten anonymisieren bzw. pseudonymisieren. Hierfür benötigen Sie wieder Unterstützung. Die Standardsoftware SNP Data Provisioning & Masking (SNP DPM), beispielsweise, stellt realistische und sichere Testdaten bereit, verkürzt Entwicklungs- und Veränderungsprozesse, ermöglicht kostengünstigere Test- und Trainingsszenarien und schützt gleichzeitig sensible Kunden- und Produktdaten vor internem und externem Missbrauch. Sie konfiguriert Anonymisierungseinstellungen einfach und wiederverwendbar, anonymisiert Massendaten schnell und konsistent und schützt personenbezogene Daten, aber auch Bewegungsdaten, wie Finanz- oder Logistikdaten so, wie es die neue EU-DSGVO fordert. Eine zentrale Speicherung der erstellten Regelwerke macht sie dauerhaft verfügbar und wiederverwendbar.
Riskieren Sie nichts
Sie müssen jetzt handeln und die Umsetzung der neuen Vorschriften in Angriff nehmen. Beschränken Sie sich dabei nicht darauf, den Umgang mit persönlichen Daten in IT-Landschaften zu definieren. Entwickeln Sie umfassende Strategien, definieren Sie wirksame Prozesse für Ihr Datenschutzmanagement und schließen Sie Sicherheitslücken in Ihren Systemen, denn: Verstöße gegen die DSGVO können mit Geldbußen bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes geahndet werden. Bei Verstoß oder Datenmissbrauch kann auch eine einstweilige Verfügung erlassen werden, die die weitere Datenverarbeitung untersagt. Ein weiterer kritischer und oftmals unterschätzter Punkt ist der Imageverlust: Eine negative Berichterstattung in den Medien beeinflusst Kunden und Stakeholder nachhaltig und kann zusätzlich zu hohen Einbußen führen. Die DSGVO nicht oder schlecht umzusetzen lohnt sich also nicht.
Autorin: Paola Krauss, SNP SE, snpgroup.com
