Data Security und Data Privacy in SAP for Utilities Die Anforderungen des Bundesdatenschutzgesetzes und der Datenschutzgrundverordnung ganzheitlich umsetzen Münster, 04.11.2016 | Isabell Deumelhuber (EnBW), Holger Strotmann (NATUVION)

Seit 2014 unterstützen wir als NATUVION unsere Kunden mit Erfahrung und Expertise im Umfeld der Digitalisierung Informationen zur NATUVION NATUVION in 2016

Unsere Standorte

Eigentümergeführtes Unternehmen

Utilities Consulting

Spezialist für SAP System Transformation und Utilities

Transformation

Personalstand im Q3 aktuell > 45 Mitarbeiter

SAP Systemsicherheit und Datenschutz

Hoher Grad an Zertifizierung der Consultants (75 %) Berlin

Walldorf München

2

Portfolioauszug

Natuvion Consultants haben im Ø mehr als 10 Jahre SAP und Utilities-Erfahrung

SAB Business Intelligence

Unsere enge Zusammenarbeit mit der SAP basiert auf Partnerschaft und dokumentierter Expertise

Project Management

   

SAP Gold Partner SAP Preferred and validated supplier Recognized Expertise in Utilities Recognized Expertise Landscape Transformation

SAP Forum für Versorgungswirtschaft 2016, Münster

SAP HANA Energiedatenmanagement Natuvion Utilities AddOns AOI, PPO, ABV, ECI …

SAP Implementierung SAP Intercompany Data Exchange, SAP EEG Billing for German Electricity Feed, MMA, SAP Intelligent Metering for German Energy Utilities…

Auszeichnungen

Datenlecks und Datenskandale – im Rahmen der Digitalisierung ein permanenter Begleiter

3

SAP Forum für Versorgungswirtschaft 2016, Münster

AGENDA Datenschutz und Datenschutzgrundverordnung – Ein Überblick Handlungsfelder in der Energiewirtschaft Projektplanung bei EnBW

SAP Forum für Versorgungswirtschaft 2016, Münster

4

Datenschutz sind Maßnahmen zum Schutz von Personen bei der Verarbeitung ihrer Daten. Der Datenschutz verbietet die Weitergabe dieser Informationen

Was ist eigentlich Datenschutz ? Nicht Schutz von Daten, sondern Schutz des Einzelnen „vor“ Daten Grundrecht auf Datenschutz, hergeleitet aus dem Auffanggrundrecht auf Schutz der Persönlichkeit (Allgemeines Persönlichkeitsrecht) in Verbindung mit der Garantie der Menschenwürde Bundesverfassungsgericht hat Begriff „Recht auf informationelle Selbstbestimmung“ geprägt.

5

SAP Forum für Versorgungswirtschaft 2016, Münster

Das Datenschutzgesetz schützt Personen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten.

Grundlagen des Schutzes personenbezogener Daten Verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt Betroffener durch das BDSG geschützte, natürliche Person (bei Personenbezug) personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener), wie etwa: Name, Adresse, E-Mail Adresse, Geburtstag, Bankverbindung einer natürlichen Person, d.h. keine Angaben über jur. Personen Personenbezug fehlt bei anonymisierten Daten

6

SAP Forum für Versorgungswirtschaft 2016, Münster

Der Handlungsdruck zur Schaffung der Datenschutzkonformität besteht fortwährend und steigt im Kontext der neuen Datenschutzgrundverordnung

Warum eigentlich gerade jetzt? Bedeutung von Datenschutz steigt ständig, vor allem wegen wachsendem Bewusstsein bei Endkunden

„Datenschutzskandale“ sind gerne bemühtes Thema in der (Tages-) Presse

§ Datenschutz aktuell (Extrakt) 

Bußgeldrahmen zwischen EUR 50.000 bis 300.000 je Verstoß (Verstöße sind kumulierbar)



Löschung: Personenbezogene Daten sind zu löschen, wenn sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist



Auskunft: Die verantwortliche Stelle hat dem Betroffenen auf Verlangen und unentgeltlich Auskunft zu erteilen über alle gespeicherte Daten mit Personenbezug, Empfänger sowie über den Zweck der Speicherung

Datenschutzaufsichtsbehörden schauen genauer hin: Bußgelder häufen sich

Aber vor allem… Die Datenschutz-Grundverordnung steht vor der Tür

7

SAP Forum für Versorgungswirtschaft 2016, Münster

Die Datenschutzgrundverordnung gilt unmittelbar und direkt in jedem Mitgliedstaat und führt zur weitgehenden Verdrängung aktueller Rechtsquellen wie u.a. BDSG

Die Datenschutz-Grundverordnung 04.05.2016: Verkündigung der EG VO 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – kurze Umsetzungsfrist 2 Jahre DS-GVO gilt unmittelbar und direkt in jedem Mitgliedstaat, weitgehende Verdrängung aktuelle Rechtsquellen wie BDSG (kein Spielraum für nationalstaatliche Regelungen) Europäischer Gedanke für Aufsichtsbehörden: Erhebliche Verbesserung der Zusammenarbeit, erheblich größere Bedeutung des EuGH Vorteil/Chance: Vereinheitlichung für international tätige Konzerne 8

SAP Forum für Versorgungswirtschaft 2016, Münster

§ Datenschutz ab Mai 2018 (Extrakt) 

(geändert) Bußgeldrahmen bis EUR 20 Mio. oder 4% des weltweiten Jahresumsatzes der betroffenen Unternehmensgruppe



(neu) Datenübertragbarkeit (Art. 20 DS-GVO)



(neu) Privacy by Design and by Default (Art. 25 DS-GVO)



(geändert) Recht auf Vergessenwerden (Art. 17 DS-GVO) geht weit über das bisherigen Recht auf Löschung hinaus



(geändert) Erhöhte Informations- und Transparenzpflichten (Art. 12 bis Art. 15 DS-GVO) ist eine Erweiterung des Auskunftsanspruches (Beispiel: www.selbstauskunft.net)



(neu) Datenschutz-Folgenabschätzungen (Privacy Impact Assessments, Art. 35 DS-GVO)

Weiterführender Link: http://www.skwschwarz.de/files/skw-schwarz-it-sonderticker-dsgvo-2016.pdf

Verstöße haben zukünftig noch schwerwiegendere monetäre Folgen für Unternehmen.

Datenschutz-Grundverordnung Und was heißt das jetzt konkret? Wirksame und abschreckende Geldbußen (Wortlaut Art. 83 Abs. 1 DS-GVO) Betrifft sowohl Vorsatz wie auch Fahrlässigkeit auch von Managern, Datenschutzbeauftragten und sonstigen an fehlerhaften Entscheidungen zum Datenschutz beteiligten Personen (bis zu EUR 20 mio.) Bußgelder für Unternehmen bis zu EUR 100 mio. bzw. 4% des globalen Vorjahresumsatzes  damit rücken Bußgelder in die Größenordnung von kartellrechtlichen Pönalen Beweislastumkehr zu Ungunsten Daten verarbeitender Unternehmen: Nicht nur sicherstellen, sondern Nachweis erbringen können Deutlich Erhöhung des Bedarfs an systematischen Lösungen, die eine vollumfängliche Dokumentation von Maßnahmen erlauben

9

SAP Forum für Versorgungswirtschaft 2016, Münster

Verstöße haben zukünftig noch schwerwiegendere monetäre Folgen für Unternehmen.

Datenschutz-Grundverordnung Und was heißt das jetzt konkret? Betroffenenrechte: DS GVO erleichtert Durchsetzung von Ansprüchen Implementierung eines „Data Management System“ Beschwerde- und Antrags- bzw. Auskunftsmanagement Vertragsmanagement Einwilligungsmanagement

Recht auf „Vergessenwerden“ wohl deutlich umfassender als Löschungspflicht nach aktueller Rechtslage Neu: Datenübertragbarkeit = Herausgabe zur Verfügung gestellter Daten in üblichem maschinenlesbaren Format Datenschutzfolgeabschätzung wohl deutlich umfassender als Vorabkontrolle nach BDSG

10

SAP Forum für Versorgungswirtschaft 2016, Münster

AGENDA Datenschutz und Datenschutzgrundverordnung – Ein Überblick Handlungsfelder in der Energiewirtschaft Projektplanung bei EnBW

SAP Forum für Versorgungswirtschaft 2016, Münster

11

Die Nutzung von Personenbezogene Daten in den energiewirtschaftlichen Abwicklungssystemen führen zu vier konkreten Handlungsfeldern Nutzung personenbezogener Daten in energiewirtschaftlichen IT-Systemen Historischer Datenbestand in Produktivsystemen Nach Ablauf von Datenverarbeitungsaufträgen oder Dienstleistungsverträgen werden Kundendaten an neue Dienstleister übergeben. Der historische Datenbestand verbleibt aktuell weiterhin in den jeweiligen Produktivsystemen.

Prozesse zur Akquise und Vertragsabwicklung erzeugen Daten. Die Nutzung dieser Daten ist für den jeweiligen Zweck legitimiert. Nach Ablauf der Prozessabwicklung stehen die Daten uneingeschränkt weiter zur Verfügung.

2 Löschen historischer Daten

SAP Test-, Schulungs- oder Projektsysteme sind als vollständige Kopie des Produktivsystems aufgebaut. Der Datenzugriff ist jederzeit umfangreichst und teilweise mit erweiterten Berechtigungen möglich.

Sperren und Implementierung kontinuierliches Datenmgmt.

3

Anonymisierung Schulungsund Testsystem

Handlungsfelder

12

SAP Forum für Versorgungswirtschaft 2016, Münster

Kundenanfragen zur Auskunftserteilung Anfragen zur Auskunft von Betroffenen über die Speicherung und Verarbeitung ihrer personenbezogenen Daten.

Auskunft erfolgt aktuell als manueller Prozess und Informationen können nur mit hohem Aufwand und in der Regel nicht in der gesetzlich vorgeschriebene Format bereitgestellt werden.

Test- und Projektsysteme nur mit anonymisierten Daten

Personenbezogene Daten sind nach Ablauf der Legitimation zu löschen

1

Umfangreiche Echtdaten in Projekt-/ Test- und Schulungssystemen

Umfangreicher Datenbestand aus Prozessdurchführung

Strukturierte, IT-gestützte Prozessbearbeitung

4

Auskunftsanspruch über Daten mit Personenbezug

Herausforderung „Datenschutz“ in der energiewirtschaftlichen IT- und Prozessstruktur und der daraus abgeleiteten Handlungsfelder Detaillierung der Handlungsfelder

 Handlungsfeld 1: Löschen historischer Daten / Geschäftsbesorgungen  Handlungsfeld 2: Maskieren / Sperren und Implementierung kontinuierliches Datenmanagement (prozessorientiertes Löschen von Daten)  Handlungsfeld 3: Anonymisierung Schulungs- und Testsystem

 Handlungsfeld 4: Auskunftsanspruch zu Daten mit Personenbezug

13

SAP Forum für Versorgungswirtschaft 2016, Münster

Nach Ablauf der Legitimation sind die personenbezogenen Daten umgehend und vollständig aus den energiewirtschaftlichen Abwicklungssystemen zu löschen Prozessorientiertes Löschen von Daten Standardprozess zur Vertragsabwicklung

1

Komplexität der Datenverarbeitung in energiewirtschaftlichen IT-Systemen Auftrags-/ Poststeuerung

Interessentenmanagement, Akquiseprozess & Bonitätsprüfung

2

Vertragsanbahnung (Initiierung Kündigung / Lieferantenwechsel)

3

Vertragsabwicklung eines laufenden Belieferungsverhältnisses (Ablesung, Abrechnung, Forderungsmanagement)

CSS Customer Self Services

A A A

SAP CRM (Vertrieb)

P

Bonitätsprüfung MaKo-Konverter Datenaustausch

SAP SAP for Utilities/ EDM (Vertrieb)

Vertragsende / Endabrechnung

Die relevanten Daten müssen nach Erledigung des Sachverhaltes oder nach Ablauf der Frist aus dem Produktivsystem gelöscht werden.

SAP Forum für Versorgungswirtschaft 2016, Münster

Interessentenverwaltung & Akquise

IS-U ERP

P

14

CRM

ELKO Verarbeitung

SAP R/3 (Core)

4

A

n. betroffen betroffen

A

BW SAP Business Warehouse SAP BusinessObjects

A A P

Mailgateway Archivsystem

A

Outputsteuerung

P

A = Archivsystem P = Output/Print

Nach Ablauf der Legitimation sind die personenbezogenen Daten umgehend und vollständig aus den energiewirtschaftlichen Abwicklungssystemen zu löschen Maskieren / Sperren und Implementierung kontinuierliches Datenmanagement Aufgabenstellung Stufe

15

Aktivität

1

Durchführung der Prozessaufnahme und Festlegung der Datenidentifikation IT-System unabhängig entlang der energiewirtschaftlichen Abwicklungsprozesse. Festlegung der Nutzungsdauer der Daten in einem Typisierungskonzept.

2

Umsetzung der Sofortmaßnahme „Datenmaskierung“ in den Hauptabwicklungssystemen (SAP) im Unternehmen

3

Erstellen individuelles Sperr- und Löschkonzept für die in den einzelnen Unternehmensbereichen eingesetzten ITSystemlandschaften

4

Implementierung der Sperr- und Löschlogiken in den einzelnen Unternehmensbereichen

SAP Forum für Versorgungswirtschaft 2016, Münster

Datenmaskierung mit SAP UI Masking

Ist nach Ablauf der Legitimation das Löschen von personenbezogenen Daten nicht möglich, sind diese zu sperren Sofortmaßnahme „Datenmaskierung“ mit SAP UI Masking

Was leistet SAP UI Masking?

   

Serverseitig – Schutz gegen Darstellung im UI Felder in Dynpro Screens, ALV Grids & Listen, technischen Transaktionen wie SE16, SE16n, SE11, F4-Hilfe; Schutz auch bei Download/Export, Ausdruck Zugriff: für speziell autorisierte Nutzer (integriert mit PFCG) Zugriffsdokumentation

Wie funktioniert SAP UI Masking?

  

Konfigurierbar auf Feldebene: was – wie – wer; Zugriffsdokumentation modifikationsfrei Businesslogik via BADIs

Verhinderung von Datenzugriff & –abgriff

16

SAP Forum für Versorgungswirtschaft 2016, Münster

Herausforderung „Datenschutz“ in der energiewirtschaftlichen IT- und Prozessstruktur und der daraus abgeleiteten Handlungsfelder Detaillierung der Handlungsfelder

 Handlungsfeld 1: Löschen historischer Daten / Geschäftsbesorgungen  Handlungsfeld 2: Maskieren / Sperren und Implementierung kontinuierliches Datenmanagement (prozessorientiertes Löschen von Daten)  Handlungsfeld 3: Anonymisierung Schulungs- und Testsystem

 Handlungsfeld 4: Auskunftsanspruch zu Daten mit Personenbezug

17

SAP Forum für Versorgungswirtschaft 2016, Münster

Personenbezogene Daten dürfen nicht für eine Testdurchführung von IT-Software genutzt werden Umfangreiche Echtdaten in Projekt-, Test- und Schulungssystemen IT-Grundschutz-Kataloge 13. EL Stand 2013, M 2.509): „[..] Software und IT-Verfahren sind mit systematisch entwickelten Fall-Konstellationen (Testdaten, keine personenbezogenen Echtdaten) nach einem Testplan, aus dem das gewünschte Ergebnis hervorgeht, zu überprüfen. Massentests können, wenn erforderlich, nach Zustimmung und Vorgaben der fachlich dafür zuständigen Stelle mit anonymisierten Originaldaten durchgeführt werden. Die Zustimmung der fachlich zuständigen Stelle zur Anonymisierung von Originaldaten und alle Testergebnisse sind revisionssicher zu dokumentieren Quelle: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/ Inhalt/_content/m/m02/m02509.html

18

SAP Forum für Versorgungswirtschaft 2016, Münster

SAP Systemlandschaft in der Energiewirtschaft CRM

CRM

SAP CRM

SAP CRM Test

Entwicklung

IS-U SAP for Utilities/SAP Energy Data Management Entwicklung

IS-U SAP for Utilities/SAP Energy Data Management Test

CRM CRM

CRM CRM

Projektsystem

Schulungssystem

IS-U

Sandboxsystem

IS-U IS-U

Projektsystem

Schulungssystem

Sandboxsystem

SAP CRM Produktion

IS-U SAP for Utilities/SAP Energy Data Management Produktion

In SAP Test- oder Projektsystemen dürfen keine personenbezogenen Daten gehalten werden. Alle Testverfahren sind mit anonymisierten Datenbeständen durchzuführen

In SAP Test-, Schulungs- oder Projektsystemen dürfen keine personenbezogenen Daten gehalten oder für die Bearbeitung herangezogen werden Anonymisierung Schulungs- und Testsystem in SAP Systemen

Aufgabenstellung Stufe

Anonymisierung von SAP Test- oder Projektsystemen mit NATUVION AddOn TDA

Aktivität

1

Adhoc-Durchführung der Anonymisierung der SAP Testsysteme durch Einführung eines SAP AddOn.

2

Zertifizierung / externe Auditierung der Datenanonymisierung

3

Erstellen eines Betriebskonzeptes zur regelmäßigen Anonymisierung der SAP Test- und Projektsysteme

 

  

19

SAP Forum für Versorgungswirtschaft 2016, Münster

SAP Testsysteme sind mit anonymisierten Daten bereitzustellen Übergreifende Pseudoanonymisierung / Anonymisierung auf ABAP basierten Systemen Wertetabellen zur Nutzung von verständlichen Werten Sehr hohe Umsetzungsgeschwindigkeit (14 Mio. Partner / ca. 10 Stunden) Datenversorgung über Systemgrenzen hinweg, sodass in jedem Fall die Konsistenz der übertragenen Daten sichergestellt wird

Durchgängige Pseudoanonymisierung von SAP Test- und Schulungssystemen mit dem zertifizierten AddON TDA von NATUVION

Selection

Transformation

20

SAP Forum für Versorgungswirtschaft 2016, Münster

AGENDA Datenschutz und Datenschutzgrundverordnung – Ein Überblick Handlungsfelder in der Energiewirtschaft Projektplanung bei EnBW

SAP Forum für Versorgungswirtschaft 2016, Münster

21

Für die vier Handlungsfelder sind Aktivitäten priorisiert und werden in einer ersten Projektphase angegangen Priorisierung der Aktivitäten in den Handlungsfeldern Handlungsfelder

1

2 Löschen historischer Daten

22

Sperren und Implementierung kontinuierliches Datenmgmt.

# Aktivität

#

Aktivität

1

Durchführung einer unternehmensweiten Bestandsaufnahme zur Ermittlung der betroffenen IT-Systeme und des Datenumfangs

2

Erstellen eines übergreifenden Löschkonzeptes und Durchführung einer begleitenden Datenlöschung als Proof-ofConcept

3

Anonymisierung Schulungsund Testsystem

4

Auskunftsanspruch über Daten mit Personenbezug

#

Aktivität

#

Aktivität

1

Prozessaufnahme und Festlegung der Datenidentifikation IT-System unabhängig entlang der Abwicklungsprozesse. Erstellen eines Typisierungskonzept

1

Adhoc-Durchführung der Anonymisierung der SAP Testsysteme durch Einführung eines SAP AddOn

1

Grobkonzept zum Auskunftsanspruch und Prozessablaufdefinition

2

Umsetzung der Sofortmaßnahme „Datenmaskierung“ in den Hauptabwicklungssystemen (SAP) im Unternehmen

2

Zertifizierung / externe Auditierung der Datenanonymisierung

2

Individuelles Konzept unter Berücksichtigung der eingesetzten IT-Systeme

3

Initiierung der relevanten Löschprojekte und Durchführung der produktiven Datenlöschung inkl. Begleitung durch die Wirtschaftsprüfer

3

Erstellen individuelles Sperr- und Löschkonzept für die in den einzelnen Unternehmensbereiche eingesetzten ITSystemlandschaften

3

Erstellen eines Betriebskonzeptes zur regelmäßigen Anonymisierung der SAP Testund Projektsysteme

3

Einführung einer IT-gestützten Datenermittlung für die Beauskunftung

4

Aufsetzen eines Regelprozesses zur Identifikation und zukünftigen Löschung relevanter Datenbestände

4

Implementierung der Sperr- und Löschlogiken in den einzelnen Unternehmensbereichen

SAP Forum für Versorgungswirtschaft 2016, Münster

Die Konzeption und Umsetzung der Handlungsfelder erfolgt Phasenweise und erstreckt sich über einen Zeitraum von mindestens einem Jahr. Zeitplanung zur Umsetzung Handlungsfelder

01

Zeitplanung (in Monaten) 02

03

Anonymisierung Testsysteme (1-I) Ad-hoc Anonymisierung Schulungsdaten (1-II) Komplett Anonymisierung Q-System (1-III) Betriebskonzept (1-IV) Zertifizierung (1-V) Rollout Löschen historischer Daten (2-I) Bestandsaufnahme (2-II) Löschkonzept (2-III) PoC Löschen Sandbox (2-IV) Produktives Löschen (2-V) Begleitung WP Kontinuierliches Datenmanagement (3-I) Masking Konzept (3-II) Sofortmaßnahme „UI-Masking“ (3-III) Prozessaufnahme und Datenidentifikation (3-IV) Typisierungskonzept / Datenmodell (3-V) Löschkonzept (3-VI) PoC Löschen (3-VI – VIII) Produktive Umsetzung Auskunftanspruch (4-1) Erstellen eines Grobkonzeptes

23

SAP Forum für Versorgungswirtschaft 2016, Münster

04

05

06

07

08

09

10

11

12

13

14

15

Bei Rückfragen stehen wir gerne zur Verfügung

Holger Strotmann Geschäftsführer Fon: +49 151 171 357 01 Mail: [email protected]

24

Natuvion GmbH Altrottstraße 31 | 69190 Walldorf Fon +49 6227 73-1400 Fax +49 6227 73-1410 www.natuvion.com

SAP Forum für Versorgungswirtschaft 2016, Münster

Isabell Deumelhuber Fon: +49 721 63-13841 Mail: [email protected]

EnBW Energie Baden-Württemberg AG Durlacher Allee 93 | 76131 Karlsruhe Fon +49 721 63-00

www.enbw.com

BACKUP Weiterführende Informationen zum Datenschutz

SAP Forum für Versorgungswirtschaft 2016, Münster

25

Rechtliche Würdigung Hintergründe und Entwicklung (Datenschutz heute & morgen)

Grundlagen des Schutzes personenbezogener Daten (I) Verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt

Betroffener durch das BDSG geschützte, natürliche Person (bei Personenbezug)

personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener), wie etwa: Name, Adresse, E-Mail Adresse, Geburtstag, Bankverbindung

einer natürlichen Person, d.h. keine Angaben über jur. Personen Personenbezug fehlt bei anonymisierten Daten 26

SAP Forum für Versorgungswirtschaft 2016, Münster

Datenschutz bedeutet ein grundsätzliches Verbot der Erhebung, Verarbeitung und Nutzung personenbezogener Daten

Grundlagen des Schutzes personenbezogener Daten (II) Verbot ...

Die Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten.

... mit Erlaubnisvorbehalt

Sie ist ausnahmsweise erlaubt bei:  gesetzlichen Legitimationstatbeständen - aus dem BDSG etwa: Vertragsanbahnung oder -abwicklung mit den Betroffenen - speziellen Regelungen zur Datenverarbeitung außerhalb des BDSG  der Einwilligung der Betroffenen

Kein Konzernprivileg: Legitimation erforderlich auch für konzerninterne Datenübermittlungen!

27

SAP Forum für Versorgungswirtschaft 2016, Münster

Datensparsamkeit und Datenvermeidung heißt: es sollten immer nur so viele personenbezogene Daten gespeichert werden, wie auch tatsächlich erforderlich sind

Grundlagen des Schutzes personenbezogener Daten (III) Direkterhebung

Zweckbindung der Datenverarbeitung

Prinzip der Erforderlichkeit

Datenvermeidung/ Datensparsamkeit

28

Rechtewahrnehmung setzt Transparenz über Datenverarbeitung voraus. Daten sind daher im Grundsatz beim Betroffenen zu erheben; Ausnahmen nur in gesetzlich vorgesehenen Fällen. Ausprägung des Grundsatzes der Verhältnismäßigkeit. Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet und genutzt werden, zu dem sie erhoben worden sind. Verhältnismäßigkeitsprüfung für Grundrechtseingriffs (informationelle Selbstbestimmung) Gestaltung und Auswahl von Datenverarbeitungssystemen müssen das Ziel verfolgen, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen. Soweit möglich Anonymisierung/Pseudonymisierung SAP Forum für Versorgungswirtschaft 2016, Münster

BACKUP Weiterführende Informationen zum Anonymisieren von Test- und Schulungssystemen

SAP Forum für Versorgungswirtschaft 2016, Münster

29

Auf dem Weg zur Datenschutzkonformität Anonymisierung / Pseudonymisierung

Wieso sollen Daten anonymisiert / pseudonymisiert werden?

(2) Schulungssystem

• • • •

Projekt-/ Testsysteme werden als Kopie des produktiven Systems aufgebaut Die Berechtigungsstruktur in diesen System ist üblicherweise sehr schwach ausgeprägt Interne sowie Externe Mitarbeiter haben umfangreichen Zugriff auf Daten und Prozesse Technische Datenzugriffe / direkte Datenbankzugriffe sind oft möglich

• Schulungssysteme werden als Kopie des produktiven Systems aufgebaut • Die Berechtigungsstruktur in diesen System ist üblicherweise mittelmäßig, abhängig von der Schulung, ausgeprägt • Es werden üblicherweise ausschließlich interne Mitarbeiter geschult • Ein technischer Zugriff auf die Daten ist üblicherweise nicht möglich

Schadenspotential

Risiko

(1) Projekt- / Testsysteme

1 2

(3) Qualitätssystem

• • • •

Qualitätssicherungssysteme werden als Kopie des produktiven Systems aufgebaut Die Berechtigungsstruktur in diesen System ist üblicherweise stark ausgeprägt Es haben übelicherweise interne Mitarbeiter Zugriff auf dieses Systeme Ein technischer Zugriff auf die Daten ist üblicherweise nicht möglich

3

Eintrittswahrscheinlichkeit

30

SAP Forum für Versorgungswirtschaft 2016, Münster

Auf dem Weg zur Datenschutzkonformität Bekannte Herausforderungen bei der Pseudonymisierung

Übliche Herausforderungen

Lösungen

Vernetzte System Zusammenhängende Systeme müssen auch nach einer Pseudonymisierung einen synchronen Datenstand besitzen.

TDMS (SAP SE)

Vollständigkeit Bei einer Pseudonymisierung müssen alle personenbezogenen Daten berücksichtigt werden. (Kundenentwicklungen und Add-Ons)

Geschwindigkeit Die Performance bei einer Systemumstellung / Anonymisierung ist ausschlaggebendes Kriterium der Realisierbarkeit. Die Pseudonymisierung darf keinen spürbaren Einfluss auf die etablierten Prozesse haben

TDA (Natuvion)

 Regelbasierte Pseudonymisierung  Systemlandschaften oder Einzelsysteme können selektiv oder vollst. pseudonymisiert werden  Templates für Utilities / CRM  Zentrale Steuerung von beliebigen SAP Systemen

EDA (Natuvion)

 Regelbasierte Pseudonymisierung und Anonymisierung  Einzelsysteme können selektiv pseudonymisiert oder anonymisiert werden  Templates für Utilities / CRM  Zentrale Steuerung von beliebigen SAP Systemen

Nachhaltigkeit und Komplexität Eine SAP-Systemlandschaft unterliegt ständiger Veränderung. Es werden Datenstrukturen verändert und es treten neue Datenstrukturen hinzu welche möglicherweise Daten mit Personenbezug enthalten.

Fremdsysteme / Schnittstellen Schnittstellen zu non-SAP Systemen unterliegen einer erhöhten Aufmerksamkeit im Zusammenhang einer Pseudonymisierung. An diesen Stellen können Probleme in der Testbarkeit / der Funktionalität der Prozesse auftreten.

31

SAP Forum für Versorgungswirtschaft 2016, Münster

 Regelbasiertes Data Scrambling  Einzelsysteme können pseudonymisiert oder anonymisiert werden  Templates für (fast) alle Industrien  Zentrale Steuerung über ein Steuerungssystem möglich (SOLMAN)

Auf dem Weg zur Datenschutzkonformität Welche Möglichkeiten bestehen bei einer Pseudonymisierung

Relevante Felder mit personenbezogenen Daten

Stammdaten 

200



Regelbasiertes ersetzen, vermischen, generieren, löschen

180



160

Bankverbindung



120

Geburtsdatum



80



60

Adressen Zentralisierte übergreifende Adressvergabe

40



20

Kommunikationsstrukturen Regelbasiertes ersetzen, vermischen, generieren, löschen

0

IS-U

Standard

CRM

Kunden



Serviceanbieter Regelbasiertes ersetzen, vermischen, generieren, löschen

SAP Forum für Versorgungswirtschaft 2016, Münster

Rückläufer/Rückzahlungsanforderung Konsistente Anpassung zu den Stammdaten



Regelbasiertes generieren, setzen von Ranges, löschen

100

SEPA-Mandaten Konsistente Anpassung zu den Stammdaten

Regelbasiertes ersetzen, generieren, vermischen von Geschäftskunden, löschen

140

32

Namen

Kundeneigene Entwicklungen

Bewegungsdaten

Zahlungsstapel Konsistente Anpassung zu den Stammdaten



Zahlungsprogramm Konsistente Anpassung zu den Stammdaten



CRM-Aktivitäten und SAP for Utilities Kontakte



Automatisierte inhaltsabhängige Suche von Datenfeldern mit Personenbezug



Einbindung dieser Felder in die Regalabhängige Feldmodifikation

BACKUP Weiterführende Informationen zum kontinuierlichen Löschen von personenbezogenen Daten

SAP Forum für Versorgungswirtschaft 2016, Münster

33

Information Management SAP Information LifeCycle Management - Überblick und Funktionalität

Retention Management Legal Case Management Vernichtung Archivierung

Vernichtung ILM Archivierung Retention Warehouse

Verweildauer Geschäftsbeziehung beendet Nicht änderbar Erfassung

Auskunft/ Business

Auskunft/ Audits

Zugriff

Datenbank

34

Dateisystem

SAP Forum für Versorgungswirtschaft 2016, Münster

ILM Speicher

....

Löschung



Verweildauer (Zeitraum bei denen die Daten im Life-System vorliegen müssen)



Aufbewahrungsfrist (Zeitraum in der die Daten im Archiv gespeichert werden)



Löschzeitpunkt (Zeitpunkt an dem die Daten aus dem physisch Archiv gelöscht werden)



Ausnahmenmanagement (Daten können nicht gelöscht werden auch wenn die Aufbewahrungsfrist abgelaufen ist)

Information Management SAP Information LifeCycle Management - Überblick und Funktionalität

Grundsätzlich sind im Information Lifecycle Management (ILM) die Regelwerke, Prozesse, Verfahrensweisen und Werkzeuge enthalten, die den betriebswirtschaftlichen Nutzen von Informationen mit der am besten geeigneten und kostengünstigsten IT-Infrastruktur in Einklang bringen – von der Erfassung bis zur endgültigen Vernichtung der Daten.

ILM Retention Management

ILM System Decommissioning

Datenübernahme von non-SAP Systemen Kontrolle / Regeln für zeitabhängige Datenspeicherung

4 *

Datensuche über archivierte Datenbestände Aufbewahrungs- und Fristenmanagement

2

Datenvernichtung / Datensperrung

1 LT / BW Reporting

Optimierung des Produktivsystems

35

SAP Forum für Versorgungswirtschaft 2016, Münster

1

Optimierung der Systemlandschaft

Information Management SAP Information Lifecycle Management – Retention Management (1)

Aktivitäten Transaction IRMPOL

(I) Erstellen der Regeln und Richtlinien (Einrichtung)

(II) Archivieren und Speichern der Daten (Manuelle Tätigkeit)

(III) Löschen der Daten (Automatisiert)

36

SAP Forum für Versorgungswirtschaft 2016, Münster

Information Management SAP Information Lifecycle Management – Retention Management (1)

Datenarchivierung (SARA)

Information Retention Manager (IRM)

Datenarchivierungsprozess

1

Aktivitäten

Archivierungsobjektregeln

1

(I) Archivieren und Speichern der Daten

2

(Manuelle Tätigkeit)

Regelfindung / Zuordnung

Standard ADK Datei DE01, US01, .. RP: -SD: 1998,1999,…

• Zu welchem Objekt passt welche Regel?

Regelbasierte Trennung

4 ADK file A Regel für BK : DE01 RP: 10 Jahre SD: 31.12.1999

37

• Welche Einstellungen (Aufbewahrungsfrist, Start Zeitpunkt ...) sind relevant?

3

4 ADK Datei B Regel für BK: DE01 RP: 10 Jahre SD: 31.12.1998

SAP Forum für Versorgungswirtschaft 2016, Münster

(II) Regelanwendung und Trennung der Archivdateien (Automatisiert)

4 ADK Datei C Regel für BK: US01 RP: 7 Jahre SD: 01.03.1999

(III) Löschen der Daten (Automatisiert)

ADK Datei… Regel für BK: … RP: … SD: …

Information Management SAP Information Lifecycle Management – Systemstillegung (2)

Vorbereitung

Datenextraktion

(non) SAP Systeme

Datentransfer

Datenarchivierung

On-Demand Datenbereit-stellung

Transformation

SAP and Non-SAP

Business SAP and Non-SAP

SAP and Non-SAP

SAP

SAP SAP

SAP

SAP SAP

SAP

SAP

SAP

SAP

SAP

SAP

SAP Core Systems

SAP

38

Regel-basierte Ablage

SAP Forum für Versorgungswirtschaft 2016, Münster

Core Systems SAP ILM

Retention Warehouse

RW

SAP

SAP SAP