VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

DSGVO Uhr 762953773 700

In wenigen Wochen, am 25. Mai 2018, tritt die neue Datenschutzgrundverordnung der Europäischen Union in Kraft. Unternehmen haben kaum noch Zeit, um sich auf die Umsetzung der neuen Regeln vorzubereiten. Sie sollten sich also schnellstmöglich mit der EU-DSGVO auseinandersetzen und das Thema schon wegen der hohen Strafen, die bei nicht oder schlecht umgesetzter Verordnung drohen, sehr ernst nehmen und jetzt handeln.

Was ist die EU-DSGVO?

Am 24. Mai 2016 wurde die EU-Datenschutzgrundverordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten verabschiedet. Die Verordnung wird ab 25. Mai 2018 unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union sein und auch Auswirkungen auf Nicht-EU Unternehmen haben. Insbesondere auf jene mit geschäftlichen Aktivitäten innerhalb der EU bzw. zur EU. Bekannte Beispiele hierfür sind u.a. Google und Facebook. Viele Punkte der DSGVO basieren auf dem Bundesdatenschutzgesetz (BDSG) und dessen ersten Fassung aus dem Jahr 1977. Wesentliche Erweiterungen der Verordnung gegenüber dem BDSG liegen in den Bereichen Verbraucherschutz, Recht auf Datenlöschung, Rechenschaftspflichten oder Datenportabilität.

Während Sie für Datenportabilität oder Rechenschaftspflichten interne Abläufe anpassen müssen, erfordern Verbraucherschutz und Löschanspruch direkte Datenschutzänderungen in Ihren Systemen. Nur so können Sie die Rechte von Personen wahren, deren Daten Sie gespeichert haben … und stehen auf der sicheren Seite.

So meistern Sie die Herausforderung

Die Herausforderung, alle Anforderungen korrekt umzusetzen, ist groß. Um sie erfolgreich zu meistern, sollten Sie sich in einem ersten Schritt einen detaillierten Überblick über die Prozesse verschaffen, die überhaupt personenbezogene Daten betreffen. Daraus lassen sich in einem zweiten Schritt alle notwendigen Maßnahmen für die Umsetzung ableiten. Doch einen Überblick zu bekommen, ist bei den über die Jahre oft unübersichtlich gewordenen Systemlandschaften oft schwierig. Machen Sie sich deshalb hilfreiche Werkzeuge zu Nutze. Es gibt Standardlösungen, die Ihnen helfen, Geschäftsprozesse in SAP ERP, CRM oder Solution Manager Systemen zu veranschaulichen und aktuelle Prozesse zu dokumentieren, zu vergleichen und abzubilden. Verlassen Sie sich nicht auf manuelle Vorgehensweisen und setzen Sie beim Sammeln von Daten und deren Analyse und auf automatisierte Prozesse, um Risiken zu senken. Die gewonnenen Informationen der aus den SAP Systemen ermittelten Daten sind auch für die weiter unten beschriebene Anonymisierung wichtig.

Bei den angesprochenen Daten handelt es sich in der Regel um riesige Mengen. Prüfen und bewerten Sie vorab, inwiefern die Datenmenge minimiert werden kann bzw. ob überhaupt alle Daten relevant sind und welche eventuell sogar gelöscht werden können. Auch die Datenqualität ist ein wichtiger Faktor für eine erfolgreiche Umsetzung: Je besser sie ist und einem definierten Datenprofil entspricht, desto einfacher können adäquate Maßnahmen ergriffen werden.

Die Datenschutzabteilung in Ihrem Unternehmen sollte vorbereitend zudem ein Konzept zur Informationssicherheit in der eigenen Datenverarbeitung erstellen. Das Konzept muss sowohl den Umgang mit personenbezogenen Daten in der eigenen IT-Landschaft definieren, als auch Richtlinien und Prozesse beschreiben, die sich mit den Themen Datenschutz, Rechenschaftspflichten, Datenportabilität oder auch der Umsetzung des Löschanspruchs beschäftigen. Vor allem in nicht-produktiven Anwendungssystemen muss die Informationssicherheit gewährleistet sein. Testsysteme sind meist aus gutem Grund mit produktionsnahen Daten versehen. Arbeiten Sie in Testsystemen mit „echten Daten“, müssen Sie den Schutz aller personenbezogenen Daten sicherstellen. Insbesondere, wenn es sich um Anwendungssysteme handelt, auf die auch externe User zugreifen, die außerhalb der EU arbeiten bzw. leben.

Achtung Schnittstellen

So wichtig es für eine erfolgreiche Umsetzung der neuen Regeln ist, die relevanten Prozesse zu kennen, so entscheidend ist es, einen genauen Überblick über alle Systemschnittstellen zu haben: sie gewährleisten den Informationsaustausch innerhalb der eigenen Systemlandschaft, aber auch zu externen Kommunikationspartnern, sodass ein ständiger und reger Datenfluss herrscht, was große Risiken birgt. Machen Sie bei einer Datenanonymisierung nicht den Fehler, ein Anwendungssystem nur für sich zu betrachten. Analysieren Sie präzise, welche Systeme miteinander kommunizieren: Werden Daten nur in einem ERP-System anonymisiert, aber über eine Schnittstelle fließen Daten aus einem anderen System in nicht anonymisierter Form zurück, kann das die Anonymisierung bestimmter Daten vereiteln. Um dieses Risiko zu umgehen, sollten Sie eine gründliche Schnittstellenanalyse durchführen. Setzen Sie hierfür auf spezielle Softwarelösungen, die Schnittstellen der SAP Systeme automatisiert identifizieren und dokumentieren. Sie können erkennen, welche Schnittstellentypen zwischen welchen Systemen zum Einsatz kommen und wie häufig sie in Verwendung sind. Das hilft Ihnen, die nächsten Schritte zu planen und umzusetzen. 

Schnell und sicher Daten schützen

Nach Abschluss der Analyse- und Konzeptphase müssen die vereinbarten Prozesse umgesetzt werden: Für den Schutz der Daten bietet sich an, sie zu anonymisieren bzw. zu pseudonymisieren. Für Ersteres müssen die Daten identifiziert werden, die aus Sicht der DSGVO datenschutzrelevant sind. Ist dieser Schritt getan, legen Sie fest, wie Sie die Daten anonymisieren bzw. pseudonymisieren. Hierfür benötigen Sie wieder Unterstützung. Die Standardsoftware SNP Data Provisioning & Masking (SNP DPM), beispielsweise, stellt realistische und sichere Testdaten bereit, verkürzt Entwicklungs- und Veränderungsprozesse, ermöglicht kostengünstigere Test- und Trainingsszenarien und schützt gleichzeitig sensible Kunden- und Produktdaten vor internem und externem Missbrauch. Sie konfiguriert Anonymisierungseinstellungen einfach und wiederverwendbar, anonymisiert Massendaten schnell und konsistent und schützt personenbezogene Daten, aber auch Bewegungsdaten, wie Finanz- oder Logistikdaten so, wie es die neue EU-DSGVO fordert. Eine zentrale Speicherung der erstellten Regelwerke macht sie dauerhaft verfügbar und wiederverwendbar.

Riskieren Sie nichts

Sie müssen jetzt handeln und die Umsetzung der neuen Vorschriften in Angriff nehmen. Beschränken Sie sich dabei nicht darauf, den Umgang mit persönlichen Daten in IT-Landschaften zu definieren. Entwickeln Sie umfassende Strategien, definieren Sie wirksame Prozesse für Ihr Datenschutzmanagement und schließen Sie Sicherheitslücken in Ihren Systemen, denn: Verstöße gegen die DSGVO können mit Geldbußen bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes geahndet werden. Bei Verstoß oder Datenmissbrauch kann auch eine einstweilige Verfügung erlassen werden, die die weitere Datenverarbeitung untersagt. Ein weiterer kritischer und oftmals unterschätzter Punkt ist der Imageverlust: Eine negative Berichterstattung in den Medien beeinflusst Kunden und Stakeholder nachhaltig und kann zusätzlich zu hohen Einbußen führen. Die DSGVO nicht oder schlecht umzusetzen lohnt sich also nicht. 

Paola Krauss

 

Autorin: Paola Krauss, SNP SE, snpgroup.com





 


 

GRID LIST
Tb W190 H80 Crop Int 2f6e139bc85d13538ad40c191f59f3b3

SAP S/4HANA: Mit Echtzeit in die Neuzeit?

In einer aktuellen internationalen IDC-Umfrage gaben mehr als zwei Drittel der befragten…
SAP

So gelingt die Migration auf SAP S/4HANA mit Microsoft Azure

Bis 2025 soll die Transformation zu SAP S/4HANA beendet sein. Damit diese gelingt, bringt…
Made in Germany

Wie ERP-Systeme den Nachweis von „Made in Germany“ & Co. erleichtern

„Made in Germany“ ist seit Jahren ein Gütesiegel für Qualität auf Spitzenniveau, vom…
Tb W190 H80 Crop Int 8543def0cb74c33f4fcceff7723370c9

Daten-to-Go: Routenplan für die mobile ERP-Einführung

Wer im Netz surft, ist mittlerweile mobil via Smartphone oder Tablet unterwegs – der PC…
Tb W190 H80 Crop Int 71fe7429c647c85f12065545d13c660f

Wie SAP-Anwender von Echtzeit-Daten profitieren

Alle wichtigen Geschäftskennzahlen in Echtzeit übersichtlich auf dem Tablet für…
Tb W190 H80 Crop Int 9cc0f78c8e26d024ae4e442e61f01e6b

Neues Release: AP plus 6.4

Das neue APplus-Release, das exklusiv zur CeBIT vorgestellt wird, erweitert das bisherige…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security