DSGVO und Datenschutzgesetze in SAP Systemen einhalten

Wir bieten Lösungen zur Umsetzung Ihrer Datenschutzanforderungen

    DSGVO Webinar Aufzeichnung   DATA CLEAN-UP SERVICE

DSGVO/GDPR Services

Die EU Datenschutz-Grundverordnung (DSGVO) (Engl: EU General Data Protection Regulation (GDPR)) ist eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen EU-weit vereinheitlicht werden. Ein Hauptziel der Verordnung ist es, den Bürgerinnen und Bürgern der EU die Kontrolle über ihre personenbezogenen Daten zurückzugeben. Zusätzlich soll die Menge an gespeicherten sensiblen Personendaten stark reduziert werden, indem nur die Daten gespeichert werden, deren Zweck erforderlich und verhältnismäßig ist.

Seit dem 25. Mai 2018 gilt nun diese Verordnung mit weitreichenden Auswirkungen auf Unternehmen, die Daten verarbeiten. GDPR Compliance ist nicht verhandelbar und bei Nichtbefolgung können Aufsichtsbehörden gegen Unternehmen Maßnahmen ergreifen und diese sanktionieren. Dabei können Bußgelder von bis zu 20 Millionen Euro oder – sofern höher – vier Prozent des weltweiten Jahresumsatzes anfallen.

  Kontaktieren Sie uns für eine Systemanalyse    Fachartikel: Versäumnisse können teuer werden

 
Data_Privacy_Suite_Thumbnail_2
 


Wie EPI-USE Ihnen helfen kann

EPI-USE bietet Ihnen die folgenden Lösungen und Services zur Umsetzung der Datenschutzanforderungen:

  • Data Secure™ und DSGVO/GDPR Compliance Suite für SAP 
  • Compliance-Richtlinien und Best Practices:
    • Beratung und Services, wo Ihre Daten in SAP® Systemen gespeichert sind
    • Experten Knowhow in Bezug auf betroffene Datentypen sowie
    • Auswahlmöglichkeiten und Prozesse zur Erfüllung der Compliance-Anforderungen
    • GDPR Clean-Up Service: Initiale Bereinigung von sensiblen Massendaten
    • DSGVO/GDPR Workshops

Die vielen verschiedenen IT-Systeme machen es unmöglich, einen einheitlichen Ansatz zu verfolgen. EPI-USE hat über 30 Jahre Expertise und Erfahrung in der Entwicklung von Softwarelösungen im Bereich SAP Datenmaskierung und SAP Testdaten und unterstützt Sie bei der Umsetzung Ihrer Compliance-Anforderungen.

  On-Demand Webinare   DSGVO/GDPR Compliance Suite

GDPR Clean-Up Service: Initiale Verfremdung von sensiblen Massendaten

Die meisten Organisationen sehen eine Richtlinie zur Datenspeicherung als einen Zeitraum, wie lange Daten von den technischen Teams mindestens behalten werden, und nicht als den Zeitpunkt, an dem Daten proaktiv gelöscht werden müssen. Mit der neuen EU-Datenschutzgrundverordnung hat sich dies geändert, und alle Organisationen haben historische Daten in Ihren SAP Systemen, für deren Speicherung sie keine rechtliche Grundlage mehr haben. Dies können Daten von Familienangehörigen ehemaliger Arbeitnehmer, die Bankkontonummern früherer Kunden oder andere personenbezogene Daten sein.

EPI-USE bietet einen einfachen Clean-Up Service zum Verfremden dieser alten Daten, ohne dass komplexe Archivierungsprojekte erforderlich sind. Die Technologie zur Unterstützung von Data Redact – einem Tool zur Verfremdung von personenbezogenen Daten - wird mit einer speziellen Lizenz für die Auswahl von Massendaten und paralleler Verarbeitung eingesetzt. Unsere Experten unterstützen Sie auch bei der exakten Festlegung der Daten, die beim initialen Massendaten Clean-Up bereinigt werden sollen und wie diese Datensätze ausgewählt werden.

  On-Demand Webinar      Massendaten Verfremden mit dem Initial Clean-up Service


GDPR Clean-Up Service

Mitarbeiterdaten

Mitarbeiterdaten

Historische Daten von Mitarbeitern werden in den meisten Fällen benötigt, aber was passiert, wenn dieser Teil des Unternehmens veräußert wurde? Dürfen diese Mitarbeiterdaten zehn Jahre später überhaupt noch im System gespeichert werden? Auch wenn nur die wirklich notwendigen Daten des Mitarbeiters beibehalten werden sollen, was passiert mit den persönlichen Daten? Mit dem Clean-Up Service für Massendaten können im ersten Schritt eine kleine Menge hochsensibler Daten, wie Familieninformationen oder Bankkontonummern, für alle Personen, die das Unternehmen vor mehr als einem Jahr verlassen haben, verfremdet werden.

Im zweiten Schritt können die Daten von Mitarbeitern, die beispielsweise seit sieben Jahren und mehr nicht mehr im Unternehmen beschäftigt sind, verfremdet werden. Daten, wie etwa Informationen über Krankheitstage, Leistungsbeurteilungen und Gehaltsangaben verringern die Datenmenge immens.

Kundendaten

In diesem Bereich ist es viel schwieriger, rechtliche Gründe für die Aufbewahrung der Daten zu definieren. Es kann Tausende von Kunden, Geschäftspartnern und Adressen geben, die seit über fünf Jahren nicht mit dem Unternehmen in Kontakt standen. Anstatt alle diese Stamm- und Bewegungsdaten zu archivieren, können wir einen Clean-Up Service zur Verfremdung von Massendaten bereitstellen, um Identifikatoren aus den Stammdaten, sowie jegliche Referenzen zu den Bewegungsdaten zu entfernen. Dies bedeutet, dass diese Person nicht mehr im System erkennbar ist. Alternativ empfiehlt es sich, Kreditkarteninformationen und Sicherheitsfragen sowie Antworten, viel früher aus ehemaligen Kundendatensätzen zu entfernen.

Kontaktieren Sie uns für ein erstes Gespräch und erfahren Sie, wie Ihnen unser Clean-Up Service zur Verfremdung von Massendaten bei der Einhaltung der DSGVO helfen kann.

Kontaktieren Sie uns zum Initial Clean-Up Service
Kundendaten
[fa icon="plus-square"] Tackling GDPR in detail: the importance of privacy, transparency and technology

Personal Data Rights

The main emphasis of GDPR is on Personal Information. GDPR aims to protect personal data rights such as the right to be informed, the right of access, the right of rectification, the right to erasure (aka the right to be forgotten), the right to strict processing, the right to data portability, the right to object and rights to automated decision-making and profiling.

Key requirements for GDPR

  • Consent for storage must be given by the data subject
  • Consent must be explicit
  • Each individual has “the right to be forgotten”, although this comes with several caveats
  • Compliance must be demonstrated
  • Notification of data breaches must be provided

Data privacy must be by design

Organisations wishing to store data must have explicit consent from the subject of the data. The reason for storing it must be transparent, and the data subject has the authority to block processing while concerns are dealt with, as well as to request the removal of the information from the system. There is nothing to say that data must be anonymised – the law is not that prescriptive. However, the law does say that there must be documentation showing that data protection is by design, and that processes comply with the rights of the data subject.

Overwhelming data requests

The difficulties will start when someone requests the details of where their personal data is being kept in an IT system. Let’s complicate that: let’s say your organisation receives ten requests – or even one hundred – to locate sensitive, personal data. Imagine having to log into a number of SAP systems to download table entries, or take screenshots to show the data subject’s footprint. How many password resets will be required? Do you know all the places to look? And how long will this take?

.

Your challenges include

  • The complexity, volume and sheer scale of GDPR
  • Lack of consistency: Every GDPR compliance project is different, depending on the industry, existing IT systems, usage of data, etc.
  • Ambiguity: While the GDPR is comprehensive, there are many areas that are neither detailed or prescriptive. It doesn't specifically tell organisations what to do; it’s up to them to analyse their systems, processes and data and work out what to do for themselves.

How GDPR affects SAP systems

It’s not easy for SAP systems to comply with the demands of GDPR because of its architecture. SAP stores information in an intricate and tangled way. Data is stored and replicated across the system in many places, such as customer master, business partner, change document tables, and so on. SAP is also highly configurable, so when it is implemented, the way in which this happens dictates which tables and fields the data will be stored in. An additional complication is that there are often multiple copies of systems. The data might be in Z-tables, and the only way this can be verified is to get into that system.

Don’t delay!

The requirements of GDPR go to the very core of your IT systems, because they need to be built into the design; a project like this can affect your CRM systems, your ERP systems and customer first line support. Entire new business processes have to be put into place. You will also need an auditor to scrutinise your security arrangements. Every organisation should have a plan to meet the requirements, and assign key roles and responsibilities to that plan.

EPI-USE Labs will help you deal with GDPR. Our knowledge, experience, expertise and products will help you sleep peacefully at night in the knowledge that everything is under control.

Tackling GDPR in detail

The importance of privacy, transparency and technology

 

Precise selection to avoid downtime
Personal Data Rights

The main emphasis of GDPR is on Personal Information. GDPR aims to protect personal data rights such as the right to be informed, the right of access, the right of rectification, the right to erasure (aka the right to be forgotten), the right to strict processing, the right to data portability, the right to object and rights to automated decision-making and profiling.

Precise selection to avoid downtime
Your challenges include

  • The complexity, volume and sheer scale of GDPR
  • Lack of consistency: Every GDPR compliance project is different, depending on the industry, existing IT systems, usage of data, etc.
  • Ambiguity: While the GDPR is comprehensive, there are many areas that are neither detailed or prescriptive. It doesn't specifically tell organisations what to do; it’s up to them to analyse their systems, processes and data and work out what to do for themselves.

Precise selection to avoid downtime
Key requirements for GDPR

  • Consent for storage must be given by the data subject
  • Consent must be explicit
  • Each individual has “the right to be forgotten”, although this comes with several caveats
  • Compliance must be demonstrated
  • Notification of data breaches must be provided

Precise selection to avoid downtime
How GDPR affects SAP systems

It’s not easy for SAP systems to comply with the demands of GDPR because of its architecture. SAP stores information in an intricate and tangled way. Data is stored and replicated across the system in many places, such as customer master, business partner, change document tables, and so on. SAP is also highly configurable, so when it is implemented, the way in which this happens dictates which tables and fields the data will be stored in. An additional complication is that there are often multiple copies of systems. The data might be in Z-tables, and the only way this can be verified is to get into that system.

Precise selection to avoid downtime
Data privacy must be by design

Organisations wishing to store data must have explicit consent from the subject of the data. The reason for storing it must be transparent, and the data subject has the authority to block processing while concerns are dealt with, as well as to request the removal of the information from the system. There is nothing to say that data must be anonymised – the law is not that prescriptive. However, the law does say that there must be documentation showing that data protection is by design, and that processes comply with the rights of the data subject.

Precise selection to avoid downtime
Don’t delay!

The requirements of GDPR go to the very core of your IT systems, because they need to be built into the design; a project like this can affect your CRM systems, your ERP systems and customer first line support. Entire new business processes have to be put into place. You will also need an auditor to scrutinise your security arrangements. Every organisation should have a plan to meet the requirements, and assign key roles and responsibilities to that plan.

EPI-USE Labs will help you deal with GDPR. Our knowledge, experience, expertise and products will help you sleep peacefully at night in the knowledge that everything is under control.

Precise selection to avoid downtime
Overwhelming data requests

The difficulties will start when someone requests the details of where their personal data is being kept in an IT system. Let’s complicate that: let’s say your organisation receives ten requests – or even one hundred – to locate sensitive, personal data. Imagine having to log into a number of SAP systems to download table entries, or take screenshots to show the data subject’s footprint. How many password resets will be required? Do you know all the places to look? And how long will this take?

Zufriedene Kunden

Durch Data Secure können in kürzester Zeit alle sensiblen SAP HCM Daten, wie z.B. mitarbeiterbezogene Daten, anonymisiert werden.


Zur Success Story

Malte Podszus, Consultant FI/CO/HR | MAPA GmbH

  翻译: