SNP Schneider Neureither & Partner : EU-Datenschutz-Grundverordnung Anforderungen an SAP Anwender

EU-DSGVO: Der Hintergrund

Ab 25. Mai 2018 wird die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbe zogener Daten und zum freien Datenverkehr unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union sein. Dadurch soll einerseits der Schutz von personenbezogenen Daten sowie der freie Datenverkehr innerhalb der Europäischen Union sichergestellt werden.

Die Anforderungen an den SAP Anwender

- Anonymisierung der datenschutzrelevanten Daten
- Verständnis der Geschäftprozesse welche personenbezogene Daten verarbeiten
- Schnittstellendokumentation der betroffenen Systeme

Eine wesentliche Voraussetzung für die Anonymisierung ist es, die Daten zu identifizieren, die aus Sicht der DSGVO datenschutzrelevant sind. Zusätzlich sollte man verstehen, welche Geschäftsprozesse im Einsatz sind, die personenbezogene Daten verarbeiten bzw. verwenden. Ebenso wichtig wie die Identifikation der relevanten Prozesse, ist die Kommunikation zwischen Systemen. Über Schnittstellen wird ein Informationsaustausch innerhalb der eigenen Systemlandschaft und zu externen Kommunikationspartnern gewährleistet. Bei einer Anonymisierung darf man nicht den Fehler machen, ein Anwendungssystem nur für sich zu betrachten. Es muss klar ausgearbeitet werden, welche Systeme miteinander kommunizieren und welche Daten zwischen diesen Systemen ausgetauscht werden. Wenn man z.B. Daten nur in einem ERP-System anonymisiert und es werden über eine Schnittstelle Daten aus einem anderen System in nicht anonymisierter Form wieder zurückgespielt, kann die Anonymisierung bestimmter Daten dadurch invalidiert werden.

Zur Vorbereitung der Umsetzung der EU-Datenschutz-Grundverordnung müssen die Datenschutz-Abteilungen der Unternehmen Konzepte erstellen, die die Informationssicherheit in der eigenen Datenverarbeitung wahren. Diese Konzepte beinhalten sowohl die Definition über den Umgang mit personenbezogenen Daten in der eigenen IT-Landschaft, als auch Beschreibungen über Richtlinien und Prozesse, die die Themen Datenschutz, Rechenschaftspflichten, Datenportabilität oder auch die Umsetzung des Löschanspruchs von Betroffenen berücksichtigen. Vor allem in nicht-produktiven Anwendungssystemen ist die Wahrung der Informationssicherheit zwingend erforderlich. Testsysteme sind meist aus gutem Grund mit produktionsnahen Daten versehen. Wenn in Testsystemen mit 'echten' Daten gearbeitet werden soll, müssen unbedingt Maßnahmen getroffen werden, die den Schutz aller personenbezogenen Daten sicherstellen. Insbesondere, wenn es sich um Anwendungssysteme handelt, auf die auch externe Bearbeiter zugreifen, die außerhalb der EU arbeiten bzw. leben. Hierfür bietet sich die Anonymisierung bzw. Pseudonymisierung der Daten an, die auf personenbezogene Daten angewandt wird.

Die Umsetzung der Anforderungen

Für die Umsetzung der Anforderungen ist ein Werkzeug erforderlich, das solche Einstellungen einfach und wiederverwendbar konfiguriert und in der Lage ist, Massendaten in konsistenter Form mit geringer Verarbeitungszeit zu anonymisieren. SNP Data Provisioning & Masking ist ein solches Produkt. SNP DPM ist eine Standardsoftware für die Bereitstellung von realistischen und sicheren Testdaten. Die Software hilft, Entwicklungs- und Veränderungsprozesse entscheidend zu verkürzen, ermöglicht kostengünstigere Test- und Trainingsszenarien und schützt gleichzeitig sensible Kunden- und Produktdaten vor internem und externem Missbrauch.

Mein Tipp:

Eine detaillierte Projektbetrachtung erhalten Sie in einem unserer Webinare. Ich empfehle Ihnen in diesem Fall das Webinar 'Vorbereitung der SAP Landschaft auf die EU-Datenschutz-Grundverordnung'. Webseite: https://products.snp-ag.com/alternative-zur-systemkopie