USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

DSGVO Uhr 762953773 700

In wenigen Wochen, am 25. Mai 2018, tritt die neue Datenschutzgrundverordnung der Europäischen Union in Kraft. Unternehmen haben kaum noch Zeit, um sich auf die Umsetzung der neuen Regeln vorzubereiten. Sie sollten sich also schnellstmöglich mit der EU-DSGVO auseinandersetzen und das Thema schon wegen der hohen Strafen, die bei nicht oder schlecht umgesetzter Verordnung drohen, sehr ernst nehmen und jetzt handeln.

Was ist die EU-DSGVO?

Am 24. Mai 2016 wurde die EU-Datenschutzgrundverordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten verabschiedet. Die Verordnung wird ab 25. Mai 2018 unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union sein und auch Auswirkungen auf Nicht-EU Unternehmen haben. Insbesondere auf jene mit geschäftlichen Aktivitäten innerhalb der EU bzw. zur EU. Bekannte Beispiele hierfür sind u.a. Google und Facebook. Viele Punkte der DSGVO basieren auf dem Bundesdatenschutzgesetz (BDSG) und dessen ersten Fassung aus dem Jahr 1977. Wesentliche Erweiterungen der Verordnung gegenüber dem BDSG liegen in den Bereichen Verbraucherschutz, Recht auf Datenlöschung, Rechenschaftspflichten oder Datenportabilität.

Während Sie für Datenportabilität oder Rechenschaftspflichten interne Abläufe anpassen müssen, erfordern Verbraucherschutz und Löschanspruch direkte Datenschutzänderungen in Ihren Systemen. Nur so können Sie die Rechte von Personen wahren, deren Daten Sie gespeichert haben … und stehen auf der sicheren Seite.

So meistern Sie die Herausforderung

Die Herausforderung, alle Anforderungen korrekt umzusetzen, ist groß. Um sie erfolgreich zu meistern, sollten Sie sich in einem ersten Schritt einen detaillierten Überblick über die Prozesse verschaffen, die überhaupt personenbezogene Daten betreffen. Daraus lassen sich in einem zweiten Schritt alle notwendigen Maßnahmen für die Umsetzung ableiten. Doch einen Überblick zu bekommen, ist bei den über die Jahre oft unübersichtlich gewordenen Systemlandschaften oft schwierig. Machen Sie sich deshalb hilfreiche Werkzeuge zu Nutze. Es gibt Standardlösungen, die Ihnen helfen, Geschäftsprozesse in SAP ERP, CRM oder Solution Manager Systemen zu veranschaulichen und aktuelle Prozesse zu dokumentieren, zu vergleichen und abzubilden. Verlassen Sie sich nicht auf manuelle Vorgehensweisen und setzen Sie beim Sammeln von Daten und deren Analyse und auf automatisierte Prozesse, um Risiken zu senken. Die gewonnenen Informationen der aus den SAP Systemen ermittelten Daten sind auch für die weiter unten beschriebene Anonymisierung wichtig.

Bei den angesprochenen Daten handelt es sich in der Regel um riesige Mengen. Prüfen und bewerten Sie vorab, inwiefern die Datenmenge minimiert werden kann bzw. ob überhaupt alle Daten relevant sind und welche eventuell sogar gelöscht werden können. Auch die Datenqualität ist ein wichtiger Faktor für eine erfolgreiche Umsetzung: Je besser sie ist und einem definierten Datenprofil entspricht, desto einfacher können adäquate Maßnahmen ergriffen werden.

Die Datenschutzabteilung in Ihrem Unternehmen sollte vorbereitend zudem ein Konzept zur Informationssicherheit in der eigenen Datenverarbeitung erstellen. Das Konzept muss sowohl den Umgang mit personenbezogenen Daten in der eigenen IT-Landschaft definieren, als auch Richtlinien und Prozesse beschreiben, die sich mit den Themen Datenschutz, Rechenschaftspflichten, Datenportabilität oder auch der Umsetzung des Löschanspruchs beschäftigen. Vor allem in nicht-produktiven Anwendungssystemen muss die Informationssicherheit gewährleistet sein. Testsysteme sind meist aus gutem Grund mit produktionsnahen Daten versehen. Arbeiten Sie in Testsystemen mit „echten Daten“, müssen Sie den Schutz aller personenbezogenen Daten sicherstellen. Insbesondere, wenn es sich um Anwendungssysteme handelt, auf die auch externe User zugreifen, die außerhalb der EU arbeiten bzw. leben.

Achtung Schnittstellen

So wichtig es für eine erfolgreiche Umsetzung der neuen Regeln ist, die relevanten Prozesse zu kennen, so entscheidend ist es, einen genauen Überblick über alle Systemschnittstellen zu haben: sie gewährleisten den Informationsaustausch innerhalb der eigenen Systemlandschaft, aber auch zu externen Kommunikationspartnern, sodass ein ständiger und reger Datenfluss herrscht, was große Risiken birgt. Machen Sie bei einer Datenanonymisierung nicht den Fehler, ein Anwendungssystem nur für sich zu betrachten. Analysieren Sie präzise, welche Systeme miteinander kommunizieren: Werden Daten nur in einem ERP-System anonymisiert, aber über eine Schnittstelle fließen Daten aus einem anderen System in nicht anonymisierter Form zurück, kann das die Anonymisierung bestimmter Daten vereiteln. Um dieses Risiko zu umgehen, sollten Sie eine gründliche Schnittstellenanalyse durchführen. Setzen Sie hierfür auf spezielle Softwarelösungen, die Schnittstellen der SAP Systeme automatisiert identifizieren und dokumentieren. Sie können erkennen, welche Schnittstellentypen zwischen welchen Systemen zum Einsatz kommen und wie häufig sie in Verwendung sind. Das hilft Ihnen, die nächsten Schritte zu planen und umzusetzen. 

Schnell und sicher Daten schützen

Nach Abschluss der Analyse- und Konzeptphase müssen die vereinbarten Prozesse umgesetzt werden: Für den Schutz der Daten bietet sich an, sie zu anonymisieren bzw. zu pseudonymisieren. Für Ersteres müssen die Daten identifiziert werden, die aus Sicht der DSGVO datenschutzrelevant sind. Ist dieser Schritt getan, legen Sie fest, wie Sie die Daten anonymisieren bzw. pseudonymisieren. Hierfür benötigen Sie wieder Unterstützung. Die Standardsoftware SNP Data Provisioning & Masking (SNP DPM), beispielsweise, stellt realistische und sichere Testdaten bereit, verkürzt Entwicklungs- und Veränderungsprozesse, ermöglicht kostengünstigere Test- und Trainingsszenarien und schützt gleichzeitig sensible Kunden- und Produktdaten vor internem und externem Missbrauch. Sie konfiguriert Anonymisierungseinstellungen einfach und wiederverwendbar, anonymisiert Massendaten schnell und konsistent und schützt personenbezogene Daten, aber auch Bewegungsdaten, wie Finanz- oder Logistikdaten so, wie es die neue EU-DSGVO fordert. Eine zentrale Speicherung der erstellten Regelwerke macht sie dauerhaft verfügbar und wiederverwendbar.

Riskieren Sie nichts

Sie müssen jetzt handeln und die Umsetzung der neuen Vorschriften in Angriff nehmen. Beschränken Sie sich dabei nicht darauf, den Umgang mit persönlichen Daten in IT-Landschaften zu definieren. Entwickeln Sie umfassende Strategien, definieren Sie wirksame Prozesse für Ihr Datenschutzmanagement und schließen Sie Sicherheitslücken in Ihren Systemen, denn: Verstöße gegen die DSGVO können mit Geldbußen bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes geahndet werden. Bei Verstoß oder Datenmissbrauch kann auch eine einstweilige Verfügung erlassen werden, die die weitere Datenverarbeitung untersagt. Ein weiterer kritischer und oftmals unterschätzter Punkt ist der Imageverlust: Eine negative Berichterstattung in den Medien beeinflusst Kunden und Stakeholder nachhaltig und kann zusätzlich zu hohen Einbußen führen. Die DSGVO nicht oder schlecht umzusetzen lohnt sich also nicht. 

Paola Krauss

 

Autorin: Paola Krauss, SNP SE, snpgroup.com





 


 

GRID LIST
Tb W190 H80 Crop Int A4d4de1a86cb9d8b5ae45f2a40e5ff50

Wie Unternehmen von einer ERP-Software profitieren

IT-Systeme werden immer besser und verfügen über zunehmend mehr Funktionen. Längst sind…
Kundenservice

Mobil, digital und flexibel zu besserem Kundenservice!

Mehr Flexibilität, mehr Transparenz – alles im Sinne eines starken Kundenservice: Um ihre…
Kameralinse

Gestochen scharfe Darstellung der Geschäftsprozesse

Flexibilität und Anpassungsstärke waren die wichtigsten Punkte im ERP-Auswahlprozess des…
Tb W190 H80 Crop Int Fcbc5b31eb64116398697b4758d03f79

Ist Ihr CRM-System fit für die DSGVO?

Am 25. Mai 2018 wird die Datenschutzgrundverordnung (EU-DSGVO) europaweit wirksam. Um…
Tb W190 H80 Crop Int 1d14e6211810d006924a0152990b69ee

Personalarbeit in SAP - Einführung HR 4.0

Digitalisierung und Industrie 4.0 erfordern einen Kulturwandel in den Unternehmen. Die…
Tb W190 H80 Crop Int 7a48a6d96255e98b0470e9ed7f7c088e

ERP 2018: IoT, Künstliche Intelligenz und digitale Disruption

Welche Bedeutung haben IoT, Künstliche Intelligenz und digitale Disruption für die…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security