Sind Sie bereit für die neue DSGVO?

Beratung

Am 25. Mai 2016 trat die neue EU-Datenschutzgrundverordnung (EU-DSGVO), General Data Protection Regulation (GDPR) in Kraft.

Darauf basierend wurde das Bundesdatenschutzgesetz (BDSG) mit dem Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) am 27.April 2017 angepasst. Diese neueste Fassung des BDSG wird am 25. Mai 2018 mit der Datenschutz-Grundverordnung in Kraft treten und das noch aktuelle Bundesdatenschutzgesetz komplett ersetzen.

Unternehmen mit Sitz in der Europäischen Gemeinschaft und darüber hinaus auch Unternehmen, die ihre Angebote an Bürger in der EU richten haben nun also nur noch wenige Monate Zeit, die Einhaltung der neuen Vorschriften zur Speicherung und Verarbeitung von personenbezogenen Daten sicherzustellen.

Die EU-Datenschutz-Grundverordnung erhöht drastisch die Anforderungen an den Datenschutz von personenbezogenen Daten in IT-Systemen. Darüber hinaus müssen Unternehmen Rechenschaft über die Art und Weise, wie personenbezogene Daten in ihrem Unternehmen verarbeitet werden, ablegen. Bei Verstößen gegen die neuen Vorschriften drohen hohe Geldstrafen, sogar bis zu  20 Mio. EUR oder 4% des weltweiten Jahresumsatzes.

Was bedeutet das für ihr Unternehmen?

Als erstes gilt es für alle Unternehmen zu überprüfen, in welchen IT-Systemen sich Daten befinden, die von den neuen Vorschriften betroffen sind, um im zweiten Schritt transparent nachweisen und nachvollziehen zu können, wie mit den relevanten Daten umgegangen wird.

Die Rechte von betroffenen Personen werden durch die neuen Regelungen gestärkt, dadurch steigen in gleichem Maße die Anforderungen an Unternehmen.

Exorbitante Sanktionen

Das neue Stufensystem der DSGVO sieht bereits bei Verstößen gegen die Dokumentationspflicht Geldstrafen in Höhe von 10 Mio. EUR oder 2 Prozent des weltweit erwirtschafteten Jahresumsatzes vor. Bei einer Verletzung der Datensicherheit sind nunmehr die Unternehmen verpflichtet innerhalb von 72 Stunden die Aufsichtsbehörden zu informieren.

Sollte ein Mitarbeiter ihres Unternehmens Einblick in von der DSGVO betroffenen Daten haben, die er für seine Arbeit nicht benötigt, so handelt es sich ebenfalls um eine Datenschutzverletzung. Darüber hinaus muss das Unternehmen sicherstellen, dass alle Mitarbeiter im Umgang mit relevanten Daten erkennen können, dass diese gegebenenfalls eine Datenschutzverletzung begehen.

Insbesondere personenbezogene Daten werden in SAP-Systemen an vielen Stellen abgespeichert. Im Zuge der immer komplexer werdenden Systemlandschaften und dezentralen IT-Umgebungen steigt hierbei die Herausforderung, nachzuvollziehen, wo diese Daten vorgehalten werden und wie mit diesen umgegangen wird.

DSGVO und SAP ILM

Die Antwort der SAP für Regulation personenbezogener Daten in SAP-Landschaften heißt SAP Information Lifecycle Management (ILM). Diese Lösung stellt das einheitliche Werkzeug für die Archivierung und Vernichtung von personenbezogenen Daten dar. Hierbei wird nicht nur das SAP-ERP-System an sich, sondern auch die möglicherweise archivierten Daten in entsprechenden Archivsystemen betrachtet.

Mit ILM liefert SAP ein Definitionswerk von Aufbewahrungsregeln zur Steuerung der Aufbewahrungsfristen aus. Mithilfe des ILM können Unternehmen automatisiert Daten zum Stichtag vernichten und regelbasiert rechtsfallbedingte Vernichtungssperren setzen. Die Vernichtung der Daten wird ständig protokolliert und nachgewiesen. Die SAP selber liefert kein Regelwerk für die Fristen an sich aus, sondern nur die Möglichkeit der Definition. Im Vorfeld eines entsprechenden Projektes sollten also die Fristen vom Unternehmen geprüft und vorgegeben werden.

SAP ILM umfasst alle Tools und Komponenten, die mit den Enhancement Packages für SAP NetWeaver 7.0 ausgeliefert wurden und werden per Business Function aktiviert. Da SAP ILM eine kostenpflichtige Komponente ist, setzt dies voraus, dass der Kunde im Besitz einer gültigen SAP-Lizenz ist. Laut SAP-Hinweis 1600991 ist die Nutzung von SAP ILM für die Nutzung im SAP Human Capital Management (HCM) erlaubt: “Die Benutzung des “SAP NetWeaver Information Lifecycle Management, Retention Management” für die oben angegebenen Archivierungsobjekte ist in Ihrer ERP Lizenz enthalten.”

Aufgrund der drastischen Strafen bei Nichteinhaltung der neuen Vorschriften ab dem 25. Mai 2018 und der gegebenen Komplexität des Themas raten wir allen Unternehmen, sich sofern noch nicht geschehen, mit diesem Thema auseinanderzusetzen.

Im Rahmen des SAP HCM Umfeldes haben wir in den letzten Wochen und Monaten bereits tiefergehende Erfahrungen bei der Umsetzung der neuen Vorschriften sammeln können. Wir haben ein entsprechendes Vorgehensmodell entwickelt, welches effektiv die neuen Regelungen der EU-DSGVO bzw. des BDSG-neu umsetzt.

DSGVO-Vorgehensmodell

Gerne unterstützen wir Sie im Rahmen eines geeigneten Projektes bei der Umsetzung in Ihrem Unternehmen. Sprechen Sie uns an!

/von