Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

EU-GDPR On Boarding & IT Handlungsfelder

1,164 views

Published on

Data Security und Data Privacy
Webcast Nr. 1 – EU-GDPR Handlungsfelder

Published in: Technology
  • If you are running a webshop in Germany, we will be happy to help you with all questions concerning the GDPR. Just write us an email via https://www.gabler-hendel.de/data-protection-regulation/
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

EU-GDPR On Boarding & IT Handlungsfelder

  1. 1. Data Security und Data Privacy Webcast Nr. 1 – EU-GDPR Handlungsfelder SKW Schwarz Rechtsanwälte / Natuvion GmbH – 07.2017
  2. 2. AGENDA Natuvion Webcast-Reihe Data Security und Data Privacy Datenschutz und Datenschutzgrundverordnung Überblick Handlungsfelder Überblick Lösungen & Services Kontakt 2
  3. 3. Seit 2014 unterstützen wir als NATUVION unsere Kunden mit Erfahrung und Expertise im Umfeld der Digitalisierung 3 Gegründet: 2014 als eigentümergeführter Beratungsspezialist mit Fokus Versorgungswirtschaft, Security und Transformation Standorte: Walldorf, Berlin, München, Wien(AT), Philadelphia(US) Unternehmensgröße: > 55 Mitarbeiter Expertise der Berater: > 75 % SAP zertifiziert & Ø 12 Jahre Energiewirtschaft und SAP SAP Gold Partner SAP Recognized Expertise in Utilities SAP Landscape Transformation Langjähriger Partner der größten Energieversorger Deutschlands Leistungen/Kompetenzen: § Strategisches IT-Management § IT Consulting für die Energiewirtschaft § SAP Transformation & Data Services § SAP Security & Data Privacy / Protection § Business Intelligence / Analytics Natuvion Gruppe Tiefgehende Erfahrung in der Umsetzung von DS-GVO / GDPR Anforderungen Strategische Partnerschaft mit Entwicklungsteams der SAP im Bereich Data Protection and Privacy – ILM / IRF / Consent Enge und langjährige Partnerschaft mit Experten im IT/ Datenschutz Recht Vollständiges Verständnis über die Prozesse und Anforderungen aus Business – IT – Datenschutzsicht Eigene zertifizierte Lösungen für konsistente Datenlöschung, Auskunft und Anonymisierung Ausgewiesene Data Protection und Privacy Expertise (Lösungen) Ausgewiesene Transformationsexpertiese Erfolgsfaktoren Konzeption und Einführung Anonymisierung (IS-U / CRM) Konzernweiter Roll-Out einer Systemanonymisierung (CRM / IS-U / ERP / HCM) Selektive Datenlöschung (IS-U / CRM / ERP / BW) Löschkonzeption DS-GVO / GDPR (SAP Systemlandschaft) IT und Prozesskonzeption Konformität Rechte Betroffener nach DS-GVO / GDPR (Auskunft & Transparenz) System und Daten- dekommissionierung mit SAP ILM Konzeption und Realisierung Auskunft (SAP IRF) Relevante Referenzen Natuvion – Ihre Spezialisten in der Realisierung der Anforderungen der GDPR / DS-GVO Data Security und Data Privacy in SAP - Datenanonymisierung
  4. 4. SKW Schwarz Rechtsanwälte Kanzlei des Jahres für Medien & Technologie Listed in WHO’S WHO LEGAL Top Tier für Medien & Entertainment sowie IT- Recht 2016 THE LEGAL 500 Deutschland 2016 JUVE Awards 2015 Germany, TMT „Auf den Feldern IT, Internet und E-Business ist die Sozietät (…) hoch gelobt“ JUVE Kanzlei des Jahres Informationstechnologie 2011 Law firm of the Year for Media 2016 Best Lawyers Linking Lawyers and Clients worldwide FOCUS SPEZIAL – Top-Anwälte 2016 “Top-Wirtschaftskanzleien” im Fachbereich Informationstechnologie und Telekommunikation Die Branche über SKW Schwarz Rechtsanwälte 2011 JUVE Awards 4 Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding
  5. 5. SKW Schwarz Rechtsanwälte & Natuvion Wieso ist es so wichtig in diesem Themengebiet zusammenzuarbeiten? Datenschutzrecht regelt Umgang mit Informationen über natürliche Personen unter Einsatz von Datenverarbeitungsanlagen Einschlägige Rechtssätze beschreiben Anforderungen nur bedingt technisch Wesentliche Aufgabe der Beteiligten ist „Übersetzung“ rechtlicher Anforderungen Technischer Dienstleister muss Übersetzung richtig auffassen und umsetzen Für Erkennung der Compliance muss Rechtsberater seinerseits technische Umsetzung nachvollziehen können § Beispiel: Technische und organisatorische Maßnahmen für Auftragsverarbeitung § Löschen/Sperren: Was für Anforderungen bestehen rechtlich, wie sind diese technisch umsetzbar? Sind die Umsetzungen dann tatsächlich den Vorgaben entsprechend? § Welche Prozesse beinhalten die Speicherung und Verarbeitung personenbezogener Daten (was ist Personenbezug, was -beziehbarkeit)? § Wie lassen sich Prozesse so gestalten, dass sie besonders datensparsam sind? Komplementäre Kompetenzen 5 Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding
  6. 6. AGENDA Natuvion Webcast-Reihe Data Security und Data Privacy Datenschutz und Datenschutzgrundverordnung Überblick Handlungsfelder Überblick Lösungen & Services Kontakt 6
  7. 7. Natuvion Webcasts Überblick der Webcast-Reihe „Data Security und Data Privacy" Data Security und Data Privacy in SAP - Data Security und Data Privacy7 1 1 Std. Die Webcast-Reihe „Data Security und Data Privacy in SAP“ gibt einen umfassenden Überblick über die Handlungsfelder und Realisierungsmöglichkeiten im Rahmen der EU-GDPR / EU-DSGVO. EU-DSGVO/ GDPR On Boarding Juristischer Überblick und grundsätzliche Strukturierung der Handlungsfelder (1 Stunde) 2 45 Min. Löschen von historischen Datenbeständen Konsistentes Löschen von Massendaten in SAP Systemlandschaften (30 Minuten) 3 45 Min. Einfaches Sperren und Löschen Überblick und Erfahrungen bei der Einführung von SAP Information Lifecycle Management (30 Minuten) 4 45 Min. Anonymisierung / Pseudonymisierung Hintergrund, Herausforderung und Umsetzung einer DSGVO / GDPR konformen Anonymisierung 5 30 Min. Datenauskunft / Transparenz DSGVO / GDPR konforme Datenauskunft von der Konzeption bis zur Einführung – SAP IRF. 6 45 Min. Einwilligung / Zustimmung DSGVO / GDPR konforme Einwilligung Konzeption bis zur Einführung – SAP CONSENT. 7 45 Min. Privacy Impact Assessment Wie können PIAs praktisch umgesetzt und gelebt werden?
  8. 8. Natuvion Webcasts Überblick der Webcast-Reihe „Data Security und Data Privacy" Data Security und Data Privacy in SAP - Data Security und Data Privacy8 1 1 Std. Die Webcast-Reihe „Data Security und Data Privacy in SAP“ gibt einen umfassenden Überblick über die Handlungsfelder und Realisierungsmöglichkeiten im Rahmen der EU-GDPR / EU-DSGVO. EU-DSGVO/ GDPR On Boarding Juristischer Überblick und grundsätzliche Strukturierung der Handlungsfelder (1 Stunde) 2 45 Min. Löschen von historischen Datenbeständen Konsistentes Löschen von Massendaten in SAP Systemlandschaften (30 Minuten) 3 45 Min. Einfaches Sperren und Löschen Überblick und Erfahrungen bei der Einführung von SAP Information Lifecycle Management (30 Minuten) 4 45 Min. Anonymisierung / Pseudonymisierung Hintergrund, Herausforderung und Umsetzung einer DSGVO / GDPR konformen Anonymisierung 5 30 Min. Datenauskunft DSGVO / GDPR konforme Datenauskunft von der Konzeption bis zur Einführung. 6 45 Min. Einwilligung / Zustimmung DSGVO / GDPR konforme Einwilligung Konzeption bis zur Einführung – SAP CONSENT. 7 45 Min. Privacy Impact Assessment Wie können PIAs praktisch umgesetzt und gelebt werden?
  9. 9. AGENDA Natuvion Webcast-Reihe Data Security und Data Privacy Datenschutz und Datenschutzgrundverordnung Überblick Handlungsfelder Überblick Lösungen & Services Kontakt 9
  10. 10. Datenschutz sind Maßnahmen zum Schutz von Personen bei der Verarbeitung ihrer Daten. Der Datenschutz verbietet die Weitergabe dieser Informationen Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding Nicht Schutz von Daten, sondern Schutz des Einzelnen „vor“ Daten Grundrecht auf Datenschutz, hergeleitet aus dem Auffanggrundrecht auf Schutz der Persönlichkeit (Allgemeines Persönlichkeitsrecht) in Verbindung mit der Garantie der Menschenwürde Bundesverfassungsgericht hat Begriff „Recht auf informationelle Selbstbestimmung“ geprägt. Schutzgegenstand auf europäischer Ebene, zuvor EG-95-46, nun mehr EU-DS-GVO Was ist eigentlich Datenschutz ? 10 Health Data* E-mail address Name & Address IP address Biometric data* Camera records Access registration Iris scan* Membership of labour organisation* Username & password Smart meter data
  11. 11. Das Datenschutzgesetz schützt Personen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten. 11 Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheidet. Die betroffene Person durch die EU-DS-GVO geschützte, natürliche Person (bei Personenbezug) Personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann Grundlagen des Schutzes personenbezogener Daten EU-DS-GVO
  12. 12. 12 Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding Risiken und Herausforderungen Folgen und Risiken bei Missachtung der Bestimmungen des Datenschutzes (IST Situation) Datenschutzrisiken & Folgen 1 2 3 1. Verletzung der Meldepflicht Durch Unwissenheit bei vorhandenen Datenschutzpannen. Das Bußgeldrisiko steigt, da gegen weitere Vorschriften verstoßen wird 2. Bußgelder Bis zu 50.000 EUR bei Fahrlässigkeit, in schweren Fällen bis zu 300.000 EUR. Ein „Vorfall“ kann dabei sowohl ein tatsächliches Datenleck sein, es reicht aber schon eine berechtigte Beschwerde bei der zuständigen Aufsichtsbehörde 3. Freiheitsstrafen Bei Vorsatz bis zu 2 Jahren Haft oder Geldstrafe bei Datenschutz-Straftaten (§ 44 BDSG). 4. Schadensersatzansprüche Im Falle eines Datenverlustes gegenüber den Geschädigten können die Ansprüche leicht erhebliche Summen annehmen und evtl. in einer Durchgriffshaftung in das Privatvermögen des Geschäftsführers vollstreckt werden. 5. Ausfall der Versicherung Hat der Geschäftsführer die gesetzlichen Bestimmungen nicht eingehalten, dann wird auch eine etwaig bestehende Versicherung nicht zahlen. 6. Imageschäden Im Falle eines Daten-Lecks bei Kunden, Lieferanten und Mitarbeitern 7. Publikationspflicht bei Datenschutz-Verstößen Geraten Daten in falsche Hände muss das Unternehmen die Betroffenen unverzüglich persönlich warnen (anschreiben) oder in zwei überregionalen Zeitungen halbseitige Anzeigen schalten. Eintrittswahrscheinlichkeit Schadenspotential Risikoeinschätzung 4 Es ist davon auszugehen, dass die Sanktionen im Verhältnis der erhöhten Bußgeldvorschriften der EU-DS-GVO ansteigen werden 5 6 7
  13. 13. Der Handlungsdruck zur Schaffung der Datenschutzkonformität besteht fortwährend und steigt im Kontext der neuen Datenschutz-Grundverordnung 13 Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding § Bußgeldrahmen zwischen EUR 50.000 bis 300.000 je Verstoß (Verstöße sind kumulierbar) § Löschung: Personenbezogene Daten sind zu löschen, wenn sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist § Auskunft: Die verantwortliche Stelle hat dem Betroffenen, auf Verlangen und unentgeltlich, Auskunft zu erteilen über alle gespeicherten Daten mit Personenbezug, Empfänger sowie über den Zweck der Speicherung • (geändert) Bußgeldrahmen bis EUR 20Mio. oder 4% des weltweiten Jahresumsatzes der betroffenen Unternehmensgruppe • (neu) Datenübertragbarkeit (Art. 20 DS-GVO) • (neu) Privacy by Design and by Default (Art. 25 DS-GVO) • (geändert) Recht auf „Vergessenwerden“ (Art. 17 DS-GVO) geht weit über das bisherige Recht auf Löschung hinaus • (geändert) Erhöhte Informations- und Transparenzpflichten (Art. 12 bis Art. 15 DS-GVO) ist eine Erweiterung des Auskunftsanspruches (Beispiel: www.selbstauskunft.net) • (neu) Datenschutz-Folgenabschätzungen (Privacy Impact Assessments, Art. 35 DS-GVO) § Datenschutz bis Mai 2016 (Extrakt) § Datenschutz ab Mai 2018 (Extrakt)
  14. 14. 14 eine direkt anwendbare Rechtsquelle für alle Mitgliedsstaaten (kleine lokale Detaillierungen zulässig) alle Unternehmen, die Daten über EU-Bürger verarbeiten, sind betroffen die EU-DS-GVO legt besonderen Wert auf: - Transparenz für die Betroffenen - Rechte der betroffenen Personen - Sicherstellung von „Privacy-by-Design" - Dokumentation von Compliance Der Handlungsdruck zur Schaffung der Datenschutzkonformität besteht fortwährend und steigt im Kontext der neuen Datenschutzgrundverordnung (DS-GVO/ GDPR) Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding Datenschutz-Grundverordnung Eine grobe Zusammenfassung 20 MEUR oder 4% Transparenz über Datenschutz- verstöße Einheitliches Recht für EU Wirtschaftsraum MAI 2018 Portabilität Recht auf Vergessenwerden Einwilligung & Kinder
  15. 15. 15 Datenschutz-Grundverordnung Wirksame und abschreckende Geldbußen (Wortlaut Art. 83 Abs. 1 DS-GVO) Betrifft sowohl Vorsatz wie auch Fahrlässigkeit von Managern, Datenschutzbeauftragten und sonstigen an fehlerhaften Entscheidungen zum Datenschutz beteiligten Personen (bis zu EUR 20 Mio.) Bußgelder für Unternehmen bis zu EUR 20 Mio. bzw. 4% des globalen Vorjahresumsatzes à damit rücken Bußgelder in die Größenordnung von kartellrechtlichen Pönalen Beweislastumkehr zu Ungunsten Daten verarbeitender Unternehmen: Nicht nur sicherstellen, sondern Nachweis erbringen können Deutlich Erhöhung des Bedarfs an systematischen Lösungen, die eine vollumfängliche Dokumentation von Maßnahmen erlauben Verstöße haben zukünftig noch schwerwiegendere monetäre Folgen für Unternehmen. Und was heißt das jetzt konkret? Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding 20 MEUR oder 4% Transparenz über Datenschutz- verstöße Einheitliches Recht für EU Wirtschaftsraum MAI 2018 Portabilität Recht auf Vergessenwerden Einwilligung & Kinder
  16. 16. AGENDA Natuvion Webcast-Reihe Data Security und Data Privacy Datenschutz und Datenschutzgrundverordnung Überblick Handlungsfelder Überblick Lösungen & Services Kontakt
  17. 17. 17 Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding Wichtige Schritte / Handlungsfelder zur Vorbereitung und Umsetzung der EU-GDPR / EU-DS-GVO Juristisch / Organisatorisch 1. Bewusstsein 2. Datenumfang 3. Datenschutz- erklärung 4. Rechte Betroffener 5. Verfahrens- verzeichnis 6. Einwilligung 7. Kinder 8. Datenschutz- verletzungen 9. PIA und DPbyD 10. Data Protection Officer 11. International
  18. 18. Wichtige Schritte / Handlungsfelder zur Vorbereitung und Umsetzung der EU-GDPR / EU-DS-GVO 18 Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding Juristisch / Organisatorisch IT Relevant In Scope IT Relevant 1. Bewusstsein 2. Datenumfang 3. Datenschutz- erklärung 4. Rechte Betroffener 5. Verfahrens- verzeichnis 6. Einwilligung 7. Kinder 8. Datenschutz- verletzungen 9. PIA und DPbyD 10. Data Protection Officer 11. International
  19. 19. Wichtige Schritte / Handlungsfelder zur Vorbereitung und Umsetzung der EU-GDPR / EU-DS-GVO 19 Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding 1. Bewusstsein 2. Datenumfang 3. Datenschutz- erklärung 4. Rechte Betroffener 5. Verfahrens- verzeichnis 6. Einwilligung 7. Kinder 8. Datenschutz- verletzungen 9. PIA und DPbyD 10. Data Protection Officer 11. International Bewusstsein Informationspflicht 3. Datenschutz- erklärung Auskunftsrecht Einschränkung der Verarbeitung Mitteilungspflicht Berichtigung Löschung
  20. 20. Die Nutzung von personenbezogenen Daten in den IT-Abwicklungssystemen führt zu konkreten Handlungsfeldern (Beispiel) Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding 20 Handlungsfelder Umfangreiche Echtdaten in Projekt-/ Test- und Schulungssystemen Historischer Datenbestand in Produktivsystemen Umfangreicher Datenbestand aus Prozessdurchführung SAP Test-, Schulungs- oder Projektsysteme sind als vollständige Kopie des Produktivsystems auf- gebaut. Der Datenzugriff ist jederzeit umfangreichst und teilweise mit erweiterten Berechtigungen möglich. Nach Ablauf von Datenverarbeitungs- aufträgen oder Dienstleistungs- verträgen werden Kundendaten an neue Dienstleister übergeben. Der historische Datenbestand verbleibt aktuell weiterhin in den jeweiligen Produktivsystemen. Prozesse zur Akquise und Vertrags- abwicklung erzeugen Daten. Die Nutzung dieser Daten ist für den jeweiligen Zweck legitimiert. Nach Ablauf der Prozessabwicklung stehen die Daten uneingeschränkt weiter zur Verfügung. Test- und Projektsysteme nur mit anonymisierten Daten Personenbezogene Daten sind nach Ablauf der Legitimation zu löschen Anonymisierung Schulungs- und Testsystem Löschen historischer Daten Sperren und Implementierung kontinuierliches Datenmgmt. 1 Kundenanfragen zur Auskunftserteilung Anfragen zur Auskunft von Betroffenen über die Speicherung und Verarbeitung ihrer personenbezogenen Daten. Auskunft erfolgt aktuell als manueller Prozess und Informationen können nur mit hohem Aufwand und in der Regel nicht in der gesetzlich vorgeschriebene Format bereitgestellt werden. Strukturierte, IT-gestützte Prozessbearbeitung 2 3 Auskunftsanspruch über Daten mit Personenbezug 4 Nutzung personenbezogener Daten in IT-Systemen
  21. 21. Die Nutzung von personenbezogenen Daten in den IT-Abwicklungssystemen führt zu konkreten Handlungsfeldern (Beispiel) 21 Historischer Datenbestand in Produktivsystemen Beim Ablauf von Dienstleistungsverträgen sind Kundendaten an einen Rechtsnachfolger (neue verantwortliche Stelle) übergeben worden Der historische Datenbestand ist in der produktiven Systemlandschaft verblieben Umfangreicher Datenbestand aus Prozessdurchführung Prozesse zur Akquise und Vertrags- abwicklung erzeugen Daten. Die Nutzung dieser Daten ist grundsätzlich jeweils legitimiert. Nach Ablauf der Prozessabwicklung stehen die Daten bislang aber auch weiterhin uneingeschränkt zur Verfügung Auskunftsanspruch über Daten mit Personenzug Erteilung einer Auskunft an Betroffene über die Speicherung ihrer personenbezogenen Daten Auskunft ist in strukturierter elektronischer Form mit der Angabe über Ort, Grund und ggf. Empfänger sowie Dauer der Speicherung / Löschkriterien zu gestalten. Umfangreiche Echtdaten in Sekundärsystemen SAP Test-, Schulungs- oder Projektsysteme sind als vollständige Kopie des Produktivsystems aufgebaut. Der Datenzugriff ist umfangreichst möglich. û (1) Zu realisieren û (2) Zu realisieren û (3) Zu realisieren 6 4 3 1 Buchungskreise im System mit zu überprüfender Legitimation 77.000 4.200.000 WechselInteressenten Inaktiv 1.150.000 400 davon mit Aufsicht kritisch Aktuell ca. 120 p.a. Auskunft Dunkelz. Datenerhebungen mit zu überprüfender Legitimation (aktuelles Jahr) Auskunftsersuchen (§ 34 BDSG) Aufsicht (§ 38 BDSG) * Anzahl der Anfragen über alle Dienstleister hinweg derzeit nicht ermittelbar * Wechsel = abgelehnte Wechsel und Speicherung der Daten û (3) Zu realisieren 1 2 3 4 Gesellschaften Echtdaten in Sekundärsystemen (Zugriff umfangreich / Zugriff eingeschränkt / Daten anonymisiert) 16 4 2 475.000 Kunden Umfangreich Eingeschränkt Anonym. Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding
  22. 22. Die Nutzung von personenbezogenen Daten in den IT-Abwicklungssystemen führt zu konkreten Handlungsfeldern (Handlungsfeld Löschen) Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding Historische Daten in Produktivsystemen „Vergessenwerden“ Art. 5 Abs. (1) e) Identifizierung der betroffenen Person darf nur so lange möglich sein, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist Art. 17 Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass betreffende personenbezogene Daten unverzüglich gelöscht werden und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, bei • Zweckerfüllung • Widerruf einer Einwilligung • Widerspruch gegen Verarbeitung • Unrechtmäßige Verarbeitung (einschließlich bei Kindern) Alle relevanten Daten müssen aus dem Produktivsystem gelöscht werden. Ein reiner „Verschluss“ der Daten ist nicht ausreichend Recht auf Löschung SAP IS-U/EDM Produktion IS-U Übergabe von Daten bei Dienstleisterwechsel BuKrs Bezeichnung 0400 Vertrieb 1 0600 Vertrieb 2 0800 Vertrieb 3 Produktion IT-System 0800 Vertrieb 3 Vollhistorische Datenübergabe an neuen Dienstleister 22
  23. 23. P P A A A A A A P Archivsystem Outputsteuerung A P A Auftrags-/ Poststeuerung CSS Customer Self Services ELKO Verarbeitung SAP ERP (Klassik / HR) ERP SAP CRM CRM SAP ERP (Industrie) SAP BW SAP BO BW IS-U Interessentenverwaltung & Akquise Datenaustausch Bonitätsprüfung Mailgateway Datenverarbeitung in IT-Massenkunden-Systemen (Versicherung / Energie / Banken / Telekommunikation...) Die Nutzung von personenbezogenen Daten in den IT-Abwicklungssystemen führt zu konkreten Handlungsfeldern (Handlungsfeld Datenmanagement) Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding Prozessorientiertes Löschen von Daten Die relevanten Daten müssen nach Erledigung des Sachverhaltes oder nach Ablauf der Frist aus dem Produktivsystem gelöscht werden. Standardprozess zur Vertragsabwicklung Interessentenmanagement, Akquiseprozess & Bonitätsprüfung Vertragsabwicklung einer laufenden Geschäftsbeziehung (Abrechnung, Forderungsmanagement,...) Vertragsende / Endabrechnung Vertragsanbahnung (Initiierung Kündigung / Mieterwechsel / Vertragswechsel) 1 2 3 4 A = Archivsystem P = Output/Print 23
  24. 24. Die Nutzung von personenbezogenen Daten in den IT-Abwicklungssystemen führt zu konkreten Handlungsfeldern (Handlungsfeld Anonymisieren) Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding Umfangreiche Echtdaten in Projekt-, Test- und Schulungssystemen „[..] Software und IT-Verfahren sind mit systematisch entwickelten Fall-Konstellationen (Testdaten, keine personenbezogenen Echtdaten) nach einem Testplan, aus dem das gewünschte Ergebnis hervorgeht, zu überprüfen. Massentests können, wenn erforderlich, nach Zustimmung und Vorgaben der fachlich dafür zuständigen Stelle mit anonymisierten Originaldaten durchgeführt werden. Die Zustimmung der fachlich zuständigen Stelle zur Anonymisierung von Originaldaten und alle Testergebnisse sind revisionssicher zu dokumentieren Quelle: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/ Inhalt/_content/m/m02/m02509.html IT-Grundschutz-Kataloge 13. EL Stand 2013, M 2.509): 24 In SAP Test- oder Projektsystemen dürfen keine personenbezogenen Daten gehalten werden. Alle Testverfahren sind mit anonymisierten Datenbeständen durchzuführen SAP CRM Produktion CRM SAP ERP / IS Produktion ERP SAP CRM Entwicklung CRM SAP ERP / IS Entwicklung ERP SAP CRM Test CRM SAP ERP / IS Test ERP Projekt- system CRM Schulungs- system CRM Projekt- system ERP Schulungs- system IS- UER P Sandbox- system CRM Sandbox- system ERP Beispielhafte SAP-Systemlandschaft
  25. 25. Die Nutzung von personenbezogenen Daten in den IT-Abwicklungssystemen führt zu konkreten Handlungsfeldern (Handlungsfeld Auskunft und Portabilität) Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding Auskunftsanspruch des Betroffenen an personenbezogenen Daten 25 Organisationen o. Wettbewerb Einzelpersonen Energieversorger Quelle: Selbstauskunft.net Beispiel EVU (aktuell) Ø 41 Tage Zukunft: Auskunft über erhobene personenbezogene Daten Durchs. Bearbeitungsdauer (Tag) für Auskunftsersuchen § 34 BDSG Extrakt der Risiken / Herausforderungen neuer Transparenzpflichten ab 2018 Datenschutzerklärung muss Speicher-/Löschangaben enthalten Bußgeldbaukasten für Aufsichtsbehörden, Verbände, Konkurrenz & Betroffene Mangelnde Umsetzung eines erklärten Status quo Vorsatz des Konformitätsverstoßes – hohes (persönliches) Risiko der Haftung Einzelpers./Organ. ersucht Auskunft / beantragt Datenübertragung Innerhalb von einem Monat muss Auskunft u. / o. Übermittlung erfolgen Aufsichtsbehörde/Gericht trifft ad-hoc Anordnung zur Umsetzung oder EVU trifft sonstige rechtliche Pflicht Unverzügliche Umsetzung der Datenschutzanforderungen/ Auflagen 1 2 3 4 48 19 19 59 KW36KW26 KW03KW46 KW13 X Bei Verzögerung, nicht Konformität o. falscher Beantwortung Öffentliche Streitigkeiten/ Bekanntmachung, monetäre (nachhaltige) Auswirkungen und nachhaltige Rufschädigung EU-DS-GVO Art. 12 Abs. 3 (Frist) / EU-DSGVO Art. 13/14/15 (Umfang)
  26. 26. Das weitere Vorgehen ist phasenorientiert aufzusetzen mit dem Ziel, kurzfristig den Umgang mit personenbezogenen Daten in den Abwicklungssystemen zu verbessern. Grobe Roadmap zum möglichen weiteren Vorgehen Phase I Phase II Phase III Phase IV Regelprozess etablieren Regelprozess etablieren Einführung IT-gestützte Auskunftserteilung Löschen prozessbezogener Daten Vorgehen zertifizieren Löschen historischer Datenbestände Etablieren organisatorischer Prozessablauf Klassifizierung der Daten im Regelprozess Adhoc Anonymisierung Löschkonzept historische Daten Konzept zur Auskunftserteilung Löschkonzept prozessbezogene Daten Anonymisieren Löschen Auskunft erteilen Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding 26
  27. 27. AGENDA Natuvion Webcast-Reihe Data Security und Data Privacy Datenschutz und Datenschutzgrundverordnung Überblick Handlungsfelder Überblick Lösungen & Services Kontakt 27
  28. 28. Lösungen im Rahmen der Umsetzung der GDPR in SAP-Systemlandschaften (Auszug) 28 Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding 1. Bewusstsein 2. Datenumfang 3. Datenschutz- erklärung 4. Rechte Betroffener 5. Verfahrens- verzeichnis 6. Einwilligung 7. Kinder 8. Datenschutz- verletzungen 9. PIA und DPbyD 10. Data Protection Officer 11. International
  29. 29. Lösungen im Rahmen der Umsetzung der GDPR in SAP-Systemlandschaften (Auszug) Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding Lösungen für die Umsetzung je Handlungsfeld 29 Handlungsfelder Umfangreiche Echtdaten in Projekt-/ Test- und Schulungssystemen Historischer Datenbestand in Produktivsystemen Umfangreicher Datenbestand aus Prozessdurchführung Test- und Projektsysteme nur mit anonymisierten Daten Anonymisierung Schulungs- und Testsystem Löschen historischer Daten Sperren und Implementierung kontinuierliches Datenmgmt. Kundenanfragen zur Auskunftserteilung Auskunftsanspruch über Daten mit Personenbezug Natuvion DCS (Datenselektion und Datenlöschung) SAP ILM (Datensperrung und Datenlöschung) Natuvion TDA (Pseudonymisierung von Systemen und Daten) Natuvion EDA (Testdatengenerierung und Vervielfältigung) SAP TDMS (Pseudonymisierung von Systemen und Daten) Natuvion DDI (Datenauskunft und Suche) SAP IRF (Datenauskunft und Suche) SAP LT 2.0 (Datenselektion und Datenlöschung) SAP Archivierung (Datenselektion und Datenlöschung) SAP ILM Decommissioning (Systemablösung) Personenbezogene Daten sind nach Ablauf der Legitimation zu löschen Konforme und Altersabhängige Einwilligung Konforme Nutzung von Zustimmung & Einwilligung SAP Consent (Erfassung & Verarbeitung von Einwilligungen) Strukturierte, IT-gestützte Prozessbearbeitung
  30. 30. Services im Rahmen der Vorbereitung, Planung, Umsetzung und Überwachung der EU-GDPR 30 Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding 1. Bewusstsein 2. Datenumfang 3. Datenschutz- erklärung 4. Rechte Betroffener 5. Verfahrens- verzeichnis 6. Einwilligung 7. Kinder 8. Datenschutz- verletzungen 9. PIA und DPbyD 10. Data Protection Officer 11. International
  31. 31. Services im Rahmen der Vorbereitung, Planung, Umsetzung und Überwachung der EU-GDPR 31 Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding Im Zuge eines eintägigen Workshops betrachten und analysieren Experten der Natuvion GmbH und ein Experte für Datenschutz die datenschutzrechtliche Situation innerhalb der SAP-Systemlandschaft Ihres Unternehmens. Zudem erarbeiten wir mit Ihnen gemeinsam ein fundiertes Vorgehensmodell, das Sie bei der Erfüllung der umfassenden gesetzlichen Anforderungen unterstützt.
  32. 32. AGENDA Natuvion Webcast-Reihe Data Security und Data Privacy Datenschutz und Datenschutzgrundverordnung Überblick Handlungsfelder Überblick Lösungen & Services Kontakt 32
  33. 33. Natuvion GmbH Altrottstraße 31 | 69190 Walldorf Fon +49 6227 73-1400 Fax +49 6227 73-1410 www.natuvion.com Wir freuen uns über Ihre Fragen und Anmerkungen Patric Dahse Geschäftsführer Fon: +49 151 171 357 02 Mail: patric.dahse@natuvion.com 33 Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding Patric Dahse Geschäftsführer Natuvion GmbH Altrottstr. 31 69190 Walldorf T +49 (0) 6227.73 -1400 F +49 (0) 6227.73 -1410 patric.dahse@natuvion.com Tätigkeitsbereiche § Data Protection & Privacy § SAP Transformation Benjamin Spies Rechtsanwalt, Partner SKW Schwarz Rechtsanwälte Wittelsbacherplatz 1 80333 München T +49 (0) 89.286 40-108 F +49 (0) 89.280 94 32 B.Spies@skwschwarz.de Tätigkeitsbereiche § IT-Recht § Datenschutzrecht

×