Data Security und Data Privacy in SAP for Utilities Die Anforderungen des Bundesdatenschutzgesetzes und der Datenschutzgrundverordnung ganzheitlich umsetzen Münster, 04.11.2016 | Isabell Deumelhuber (EnBW), Holger Strotmann (NATUVION)
Seit 2014 unterstützen wir als NATUVION unsere Kunden mit Erfahrung und Expertise im Umfeld der Digitalisierung Informationen zur NATUVION NATUVION in 2016
Unsere Standorte
Eigentümergeführtes Unternehmen
Utilities Consulting
Spezialist für SAP System Transformation und Utilities
Transformation
Personalstand im Q3 aktuell > 45 Mitarbeiter
SAP Systemsicherheit und Datenschutz
Hoher Grad an Zertifizierung der Consultants (75 %) Berlin
Walldorf München
2
Portfolioauszug
Natuvion Consultants haben im Ø mehr als 10 Jahre SAP und Utilities-Erfahrung
SAB Business Intelligence
Unsere enge Zusammenarbeit mit der SAP basiert auf Partnerschaft und dokumentierter Expertise
Project Management
SAP Gold Partner SAP Preferred and validated supplier Recognized Expertise in Utilities Recognized Expertise Landscape Transformation
SAP Forum für Versorgungswirtschaft 2016, Münster
SAP HANA Energiedatenmanagement Natuvion Utilities AddOns AOI, PPO, ABV, ECI …
SAP Implementierung SAP Intercompany Data Exchange, SAP EEG Billing for German Electricity Feed, MMA, SAP Intelligent Metering for German Energy Utilities…
Auszeichnungen
Datenlecks und Datenskandale – im Rahmen der Digitalisierung ein permanenter Begleiter
3
SAP Forum für Versorgungswirtschaft 2016, Münster
AGENDA Datenschutz und Datenschutzgrundverordnung – Ein Überblick Handlungsfelder in der Energiewirtschaft Projektplanung bei EnBW
SAP Forum für Versorgungswirtschaft 2016, Münster
4
Datenschutz sind Maßnahmen zum Schutz von Personen bei der Verarbeitung ihrer Daten. Der Datenschutz verbietet die Weitergabe dieser Informationen
Was ist eigentlich Datenschutz ? Nicht Schutz von Daten, sondern Schutz des Einzelnen „vor“ Daten Grundrecht auf Datenschutz, hergeleitet aus dem Auffanggrundrecht auf Schutz der Persönlichkeit (Allgemeines Persönlichkeitsrecht) in Verbindung mit der Garantie der Menschenwürde Bundesverfassungsgericht hat Begriff „Recht auf informationelle Selbstbestimmung“ geprägt.
5
SAP Forum für Versorgungswirtschaft 2016, Münster
Das Datenschutzgesetz schützt Personen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten.
Grundlagen des Schutzes personenbezogener Daten Verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt Betroffener durch das BDSG geschützte, natürliche Person (bei Personenbezug) personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener), wie etwa: Name, Adresse, E-Mail Adresse, Geburtstag, Bankverbindung einer natürlichen Person, d.h. keine Angaben über jur. Personen Personenbezug fehlt bei anonymisierten Daten
6
SAP Forum für Versorgungswirtschaft 2016, Münster
Der Handlungsdruck zur Schaffung der Datenschutzkonformität besteht fortwährend und steigt im Kontext der neuen Datenschutzgrundverordnung
Warum eigentlich gerade jetzt? Bedeutung von Datenschutz steigt ständig, vor allem wegen wachsendem Bewusstsein bei Endkunden
„Datenschutzskandale“ sind gerne bemühtes Thema in der (Tages-) Presse
§ Datenschutz aktuell (Extrakt)
Bußgeldrahmen zwischen EUR 50.000 bis 300.000 je Verstoß (Verstöße sind kumulierbar)
Löschung: Personenbezogene Daten sind zu löschen, wenn sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist
Auskunft: Die verantwortliche Stelle hat dem Betroffenen auf Verlangen und unentgeltlich Auskunft zu erteilen über alle gespeicherte Daten mit Personenbezug, Empfänger sowie über den Zweck der Speicherung
Datenschutzaufsichtsbehörden schauen genauer hin: Bußgelder häufen sich
Aber vor allem… Die Datenschutz-Grundverordnung steht vor der Tür
7
SAP Forum für Versorgungswirtschaft 2016, Münster
Die Datenschutzgrundverordnung gilt unmittelbar und direkt in jedem Mitgliedstaat und führt zur weitgehenden Verdrängung aktueller Rechtsquellen wie u.a. BDSG
Die Datenschutz-Grundverordnung 04.05.2016: Verkündigung der EG VO 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – kurze Umsetzungsfrist 2 Jahre DS-GVO gilt unmittelbar und direkt in jedem Mitgliedstaat, weitgehende Verdrängung aktuelle Rechtsquellen wie BDSG (kein Spielraum für nationalstaatliche Regelungen) Europäischer Gedanke für Aufsichtsbehörden: Erhebliche Verbesserung der Zusammenarbeit, erheblich größere Bedeutung des EuGH Vorteil/Chance: Vereinheitlichung für international tätige Konzerne 8
SAP Forum für Versorgungswirtschaft 2016, Münster
§ Datenschutz ab Mai 2018 (Extrakt)
(geändert) Bußgeldrahmen bis EUR 20 Mio. oder 4% des weltweiten Jahresumsatzes der betroffenen Unternehmensgruppe
(neu) Datenübertragbarkeit (Art. 20 DS-GVO)
(neu) Privacy by Design and by Default (Art. 25 DS-GVO)
(geändert) Recht auf Vergessenwerden (Art. 17 DS-GVO) geht weit über das bisherigen Recht auf Löschung hinaus
(geändert) Erhöhte Informations- und Transparenzpflichten (Art. 12 bis Art. 15 DS-GVO) ist eine Erweiterung des Auskunftsanspruches (Beispiel: www.selbstauskunft.net)
(neu) Datenschutz-Folgenabschätzungen (Privacy Impact Assessments, Art. 35 DS-GVO)
Weiterführender Link: http://www.skwschwarz.de/files/skw-schwarz-it-sonderticker-dsgvo-2016.pdf
Verstöße haben zukünftig noch schwerwiegendere monetäre Folgen für Unternehmen.
Datenschutz-Grundverordnung Und was heißt das jetzt konkret? Wirksame und abschreckende Geldbußen (Wortlaut Art. 83 Abs. 1 DS-GVO) Betrifft sowohl Vorsatz wie auch Fahrlässigkeit auch von Managern, Datenschutzbeauftragten und sonstigen an fehlerhaften Entscheidungen zum Datenschutz beteiligten Personen (bis zu EUR 20 mio.) Bußgelder für Unternehmen bis zu EUR 100 mio. bzw. 4% des globalen Vorjahresumsatzes damit rücken Bußgelder in die Größenordnung von kartellrechtlichen Pönalen Beweislastumkehr zu Ungunsten Daten verarbeitender Unternehmen: Nicht nur sicherstellen, sondern Nachweis erbringen können Deutlich Erhöhung des Bedarfs an systematischen Lösungen, die eine vollumfängliche Dokumentation von Maßnahmen erlauben
9
SAP Forum für Versorgungswirtschaft 2016, Münster
Verstöße haben zukünftig noch schwerwiegendere monetäre Folgen für Unternehmen.
Datenschutz-Grundverordnung Und was heißt das jetzt konkret? Betroffenenrechte: DS GVO erleichtert Durchsetzung von Ansprüchen Implementierung eines „Data Management System“ Beschwerde- und Antrags- bzw. Auskunftsmanagement Vertragsmanagement Einwilligungsmanagement
Recht auf „Vergessenwerden“ wohl deutlich umfassender als Löschungspflicht nach aktueller Rechtslage Neu: Datenübertragbarkeit = Herausgabe zur Verfügung gestellter Daten in üblichem maschinenlesbaren Format Datenschutzfolgeabschätzung wohl deutlich umfassender als Vorabkontrolle nach BDSG
10
SAP Forum für Versorgungswirtschaft 2016, Münster
AGENDA Datenschutz und Datenschutzgrundverordnung – Ein Überblick Handlungsfelder in der Energiewirtschaft Projektplanung bei EnBW
SAP Forum für Versorgungswirtschaft 2016, Münster
11
Die Nutzung von Personenbezogene Daten in den energiewirtschaftlichen Abwicklungssystemen führen zu vier konkreten Handlungsfeldern Nutzung personenbezogener Daten in energiewirtschaftlichen IT-Systemen Historischer Datenbestand in Produktivsystemen Nach Ablauf von Datenverarbeitungsaufträgen oder Dienstleistungsverträgen werden Kundendaten an neue Dienstleister übergeben. Der historische Datenbestand verbleibt aktuell weiterhin in den jeweiligen Produktivsystemen.
Prozesse zur Akquise und Vertragsabwicklung erzeugen Daten. Die Nutzung dieser Daten ist für den jeweiligen Zweck legitimiert. Nach Ablauf der Prozessabwicklung stehen die Daten uneingeschränkt weiter zur Verfügung.
2 Löschen historischer Daten
SAP Test-, Schulungs- oder Projektsysteme sind als vollständige Kopie des Produktivsystems aufgebaut. Der Datenzugriff ist jederzeit umfangreichst und teilweise mit erweiterten Berechtigungen möglich.
Sperren und Implementierung kontinuierliches Datenmgmt.
3
Anonymisierung Schulungsund Testsystem
Handlungsfelder
12
SAP Forum für Versorgungswirtschaft 2016, Münster
Kundenanfragen zur Auskunftserteilung Anfragen zur Auskunft von Betroffenen über die Speicherung und Verarbeitung ihrer personenbezogenen Daten.
Auskunft erfolgt aktuell als manueller Prozess und Informationen können nur mit hohem Aufwand und in der Regel nicht in der gesetzlich vorgeschriebene Format bereitgestellt werden.
Test- und Projektsysteme nur mit anonymisierten Daten
Personenbezogene Daten sind nach Ablauf der Legitimation zu löschen
1
Umfangreiche Echtdaten in Projekt-/ Test- und Schulungssystemen
Umfangreicher Datenbestand aus Prozessdurchführung
Strukturierte, IT-gestützte Prozessbearbeitung
4
Auskunftsanspruch über Daten mit Personenbezug
Herausforderung „Datenschutz“ in der energiewirtschaftlichen IT- und Prozessstruktur und der daraus abgeleiteten Handlungsfelder Detaillierung der Handlungsfelder
Handlungsfeld 1: Löschen historischer Daten / Geschäftsbesorgungen Handlungsfeld 2: Maskieren / Sperren und Implementierung kontinuierliches Datenmanagement (prozessorientiertes Löschen von Daten) Handlungsfeld 3: Anonymisierung Schulungs- und Testsystem
Handlungsfeld 4: Auskunftsanspruch zu Daten mit Personenbezug
13
SAP Forum für Versorgungswirtschaft 2016, Münster
Nach Ablauf der Legitimation sind die personenbezogenen Daten umgehend und vollständig aus den energiewirtschaftlichen Abwicklungssystemen zu löschen Prozessorientiertes Löschen von Daten Standardprozess zur Vertragsabwicklung
1
Komplexität der Datenverarbeitung in energiewirtschaftlichen IT-Systemen Auftrags-/ Poststeuerung
Interessentenmanagement, Akquiseprozess & Bonitätsprüfung
2
Vertragsanbahnung (Initiierung Kündigung / Lieferantenwechsel)
3
Vertragsabwicklung eines laufenden Belieferungsverhältnisses (Ablesung, Abrechnung, Forderungsmanagement)
CSS Customer Self Services
A A A
SAP CRM (Vertrieb)
P
Bonitätsprüfung MaKo-Konverter Datenaustausch
SAP SAP for Utilities/ EDM (Vertrieb)
Vertragsende / Endabrechnung
Die relevanten Daten müssen nach Erledigung des Sachverhaltes oder nach Ablauf der Frist aus dem Produktivsystem gelöscht werden.
SAP Forum für Versorgungswirtschaft 2016, Münster
Interessentenverwaltung & Akquise
IS-U ERP
P
14
CRM
ELKO Verarbeitung
SAP R/3 (Core)
4
A
n. betroffen betroffen
A
BW SAP Business Warehouse SAP BusinessObjects
A A P
Mailgateway Archivsystem
A
Outputsteuerung
P
A = Archivsystem P = Output/Print
Nach Ablauf der Legitimation sind die personenbezogenen Daten umgehend und vollständig aus den energiewirtschaftlichen Abwicklungssystemen zu löschen Maskieren / Sperren und Implementierung kontinuierliches Datenmanagement Aufgabenstellung Stufe
15
Aktivität
1
Durchführung der Prozessaufnahme und Festlegung der Datenidentifikation IT-System unabhängig entlang der energiewirtschaftlichen Abwicklungsprozesse. Festlegung der Nutzungsdauer der Daten in einem Typisierungskonzept.
2
Umsetzung der Sofortmaßnahme „Datenmaskierung“ in den Hauptabwicklungssystemen (SAP) im Unternehmen
3
Erstellen individuelles Sperr- und Löschkonzept für die in den einzelnen Unternehmensbereichen eingesetzten ITSystemlandschaften
4
Implementierung der Sperr- und Löschlogiken in den einzelnen Unternehmensbereichen
SAP Forum für Versorgungswirtschaft 2016, Münster
Datenmaskierung mit SAP UI Masking
Ist nach Ablauf der Legitimation das Löschen von personenbezogenen Daten nicht möglich, sind diese zu sperren Sofortmaßnahme „Datenmaskierung“ mit SAP UI Masking
Was leistet SAP UI Masking?
Serverseitig – Schutz gegen Darstellung im UI Felder in Dynpro Screens, ALV Grids & Listen, technischen Transaktionen wie SE16, SE16n, SE11, F4-Hilfe; Schutz auch bei Download/Export, Ausdruck Zugriff: für speziell autorisierte Nutzer (integriert mit PFCG) Zugriffsdokumentation
Wie funktioniert SAP UI Masking?
Konfigurierbar auf Feldebene: was – wie – wer; Zugriffsdokumentation modifikationsfrei Businesslogik via BADIs
Verhinderung von Datenzugriff & –abgriff
16
SAP Forum für Versorgungswirtschaft 2016, Münster
Herausforderung „Datenschutz“ in der energiewirtschaftlichen IT- und Prozessstruktur und der daraus abgeleiteten Handlungsfelder Detaillierung der Handlungsfelder
Handlungsfeld 1: Löschen historischer Daten / Geschäftsbesorgungen Handlungsfeld 2: Maskieren / Sperren und Implementierung kontinuierliches Datenmanagement (prozessorientiertes Löschen von Daten) Handlungsfeld 3: Anonymisierung Schulungs- und Testsystem
Handlungsfeld 4: Auskunftsanspruch zu Daten mit Personenbezug
17
SAP Forum für Versorgungswirtschaft 2016, Münster
Personenbezogene Daten dürfen nicht für eine Testdurchführung von IT-Software genutzt werden Umfangreiche Echtdaten in Projekt-, Test- und Schulungssystemen IT-Grundschutz-Kataloge 13. EL Stand 2013, M 2.509): „[..] Software und IT-Verfahren sind mit systematisch entwickelten Fall-Konstellationen (Testdaten, keine personenbezogenen Echtdaten) nach einem Testplan, aus dem das gewünschte Ergebnis hervorgeht, zu überprüfen. Massentests können, wenn erforderlich, nach Zustimmung und Vorgaben der fachlich dafür zuständigen Stelle mit anonymisierten Originaldaten durchgeführt werden. Die Zustimmung der fachlich zuständigen Stelle zur Anonymisierung von Originaldaten und alle Testergebnisse sind revisionssicher zu dokumentieren Quelle: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/ Inhalt/_content/m/m02/m02509.html
18
SAP Forum für Versorgungswirtschaft 2016, Münster
SAP Systemlandschaft in der Energiewirtschaft CRM
CRM
SAP CRM
SAP CRM Test
Entwicklung
IS-U SAP for Utilities/SAP Energy Data Management Entwicklung
IS-U SAP for Utilities/SAP Energy Data Management Test
CRM CRM
CRM CRM
Projektsystem
Schulungssystem
IS-U
Sandboxsystem
IS-U IS-U
Projektsystem
Schulungssystem
Sandboxsystem
SAP CRM Produktion
IS-U SAP for Utilities/SAP Energy Data Management Produktion
In SAP Test- oder Projektsystemen dürfen keine personenbezogenen Daten gehalten werden. Alle Testverfahren sind mit anonymisierten Datenbeständen durchzuführen
In SAP Test-, Schulungs- oder Projektsystemen dürfen keine personenbezogenen Daten gehalten oder für die Bearbeitung herangezogen werden Anonymisierung Schulungs- und Testsystem in SAP Systemen
Aufgabenstellung Stufe
Anonymisierung von SAP Test- oder Projektsystemen mit NATUVION AddOn TDA
Aktivität
1
Adhoc-Durchführung der Anonymisierung der SAP Testsysteme durch Einführung eines SAP AddOn.
2
Zertifizierung / externe Auditierung der Datenanonymisierung
3
Erstellen eines Betriebskonzeptes zur regelmäßigen Anonymisierung der SAP Test- und Projektsysteme
19
SAP Forum für Versorgungswirtschaft 2016, Münster
SAP Testsysteme sind mit anonymisierten Daten bereitzustellen Übergreifende Pseudoanonymisierung / Anonymisierung auf ABAP basierten Systemen Wertetabellen zur Nutzung von verständlichen Werten Sehr hohe Umsetzungsgeschwindigkeit (14 Mio. Partner / ca. 10 Stunden) Datenversorgung über Systemgrenzen hinweg, sodass in jedem Fall die Konsistenz der übertragenen Daten sichergestellt wird
Durchgängige Pseudoanonymisierung von SAP Test- und Schulungssystemen mit dem zertifizierten AddON TDA von NATUVION
Selection
Transformation
20
SAP Forum für Versorgungswirtschaft 2016, Münster
AGENDA Datenschutz und Datenschutzgrundverordnung – Ein Überblick Handlungsfelder in der Energiewirtschaft Projektplanung bei EnBW
SAP Forum für Versorgungswirtschaft 2016, Münster
21
Für die vier Handlungsfelder sind Aktivitäten priorisiert und werden in einer ersten Projektphase angegangen Priorisierung der Aktivitäten in den Handlungsfeldern Handlungsfelder
1
2 Löschen historischer Daten
22
Sperren und Implementierung kontinuierliches Datenmgmt.
# Aktivität
#
Aktivität
1
Durchführung einer unternehmensweiten Bestandsaufnahme zur Ermittlung der betroffenen IT-Systeme und des Datenumfangs
2
Erstellen eines übergreifenden Löschkonzeptes und Durchführung einer begleitenden Datenlöschung als Proof-ofConcept
3
Anonymisierung Schulungsund Testsystem
4
Auskunftsanspruch über Daten mit Personenbezug
#
Aktivität
#
Aktivität
1
Prozessaufnahme und Festlegung der Datenidentifikation IT-System unabhängig entlang der Abwicklungsprozesse. Erstellen eines Typisierungskonzept
1
Adhoc-Durchführung der Anonymisierung der SAP Testsysteme durch Einführung eines SAP AddOn
1
Grobkonzept zum Auskunftsanspruch und Prozessablaufdefinition
2
Umsetzung der Sofortmaßnahme „Datenmaskierung“ in den Hauptabwicklungssystemen (SAP) im Unternehmen
2
Zertifizierung / externe Auditierung der Datenanonymisierung
2
Individuelles Konzept unter Berücksichtigung der eingesetzten IT-Systeme
3
Initiierung der relevanten Löschprojekte und Durchführung der produktiven Datenlöschung inkl. Begleitung durch die Wirtschaftsprüfer
3
Erstellen individuelles Sperr- und Löschkonzept für die in den einzelnen Unternehmensbereiche eingesetzten ITSystemlandschaften
3
Erstellen eines Betriebskonzeptes zur regelmäßigen Anonymisierung der SAP Testund Projektsysteme
3
Einführung einer IT-gestützten Datenermittlung für die Beauskunftung
4
Aufsetzen eines Regelprozesses zur Identifikation und zukünftigen Löschung relevanter Datenbestände
4
Implementierung der Sperr- und Löschlogiken in den einzelnen Unternehmensbereichen
SAP Forum für Versorgungswirtschaft 2016, Münster
Die Konzeption und Umsetzung der Handlungsfelder erfolgt Phasenweise und erstreckt sich über einen Zeitraum von mindestens einem Jahr. Zeitplanung zur Umsetzung Handlungsfelder
01
Zeitplanung (in Monaten) 02
03
Anonymisierung Testsysteme (1-I) Ad-hoc Anonymisierung Schulungsdaten (1-II) Komplett Anonymisierung Q-System (1-III) Betriebskonzept (1-IV) Zertifizierung (1-V) Rollout Löschen historischer Daten (2-I) Bestandsaufnahme (2-II) Löschkonzept (2-III) PoC Löschen Sandbox (2-IV) Produktives Löschen (2-V) Begleitung WP Kontinuierliches Datenmanagement (3-I) Masking Konzept (3-II) Sofortmaßnahme „UI-Masking“ (3-III) Prozessaufnahme und Datenidentifikation (3-IV) Typisierungskonzept / Datenmodell (3-V) Löschkonzept (3-VI) PoC Löschen (3-VI – VIII) Produktive Umsetzung Auskunftanspruch (4-1) Erstellen eines Grobkonzeptes
23
SAP Forum für Versorgungswirtschaft 2016, Münster
04
05
06
07
08
09
10
11
12
13
14
15
Bei Rückfragen stehen wir gerne zur Verfügung
Holger Strotmann Geschäftsführer Fon: +49 151 171 357 01 Mail:
[email protected]
24
Natuvion GmbH Altrottstraße 31 | 69190 Walldorf Fon +49 6227 73-1400 Fax +49 6227 73-1410 www.natuvion.com
SAP Forum für Versorgungswirtschaft 2016, Münster
Isabell Deumelhuber Fon: +49 721 63-13841 Mail:
[email protected]
EnBW Energie Baden-Württemberg AG Durlacher Allee 93 | 76131 Karlsruhe Fon +49 721 63-00
www.enbw.com
BACKUP Weiterführende Informationen zum Datenschutz
SAP Forum für Versorgungswirtschaft 2016, Münster
25
Rechtliche Würdigung Hintergründe und Entwicklung (Datenschutz heute & morgen)
Grundlagen des Schutzes personenbezogener Daten (I) Verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt
Betroffener durch das BDSG geschützte, natürliche Person (bei Personenbezug)
personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener), wie etwa: Name, Adresse, E-Mail Adresse, Geburtstag, Bankverbindung
einer natürlichen Person, d.h. keine Angaben über jur. Personen Personenbezug fehlt bei anonymisierten Daten 26
SAP Forum für Versorgungswirtschaft 2016, Münster
Datenschutz bedeutet ein grundsätzliches Verbot der Erhebung, Verarbeitung und Nutzung personenbezogener Daten
Grundlagen des Schutzes personenbezogener Daten (II) Verbot ...
Die Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten.
... mit Erlaubnisvorbehalt
Sie ist ausnahmsweise erlaubt bei: gesetzlichen Legitimationstatbeständen - aus dem BDSG etwa: Vertragsanbahnung oder -abwicklung mit den Betroffenen - speziellen Regelungen zur Datenverarbeitung außerhalb des BDSG der Einwilligung der Betroffenen
Kein Konzernprivileg: Legitimation erforderlich auch für konzerninterne Datenübermittlungen!
27
SAP Forum für Versorgungswirtschaft 2016, Münster
Datensparsamkeit und Datenvermeidung heißt: es sollten immer nur so viele personenbezogene Daten gespeichert werden, wie auch tatsächlich erforderlich sind
Grundlagen des Schutzes personenbezogener Daten (III) Direkterhebung
Zweckbindung der Datenverarbeitung
Prinzip der Erforderlichkeit
Datenvermeidung/ Datensparsamkeit
28
Rechtewahrnehmung setzt Transparenz über Datenverarbeitung voraus. Daten sind daher im Grundsatz beim Betroffenen zu erheben; Ausnahmen nur in gesetzlich vorgesehenen Fällen. Ausprägung des Grundsatzes der Verhältnismäßigkeit. Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet und genutzt werden, zu dem sie erhoben worden sind. Verhältnismäßigkeitsprüfung für Grundrechtseingriffs (informationelle Selbstbestimmung) Gestaltung und Auswahl von Datenverarbeitungssystemen müssen das Ziel verfolgen, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen. Soweit möglich Anonymisierung/Pseudonymisierung SAP Forum für Versorgungswirtschaft 2016, Münster
BACKUP Weiterführende Informationen zum Anonymisieren von Test- und Schulungssystemen
SAP Forum für Versorgungswirtschaft 2016, Münster
29
Auf dem Weg zur Datenschutzkonformität Anonymisierung / Pseudonymisierung
Wieso sollen Daten anonymisiert / pseudonymisiert werden?
(2) Schulungssystem
• • • •
Projekt-/ Testsysteme werden als Kopie des produktiven Systems aufgebaut Die Berechtigungsstruktur in diesen System ist üblicherweise sehr schwach ausgeprägt Interne sowie Externe Mitarbeiter haben umfangreichen Zugriff auf Daten und Prozesse Technische Datenzugriffe / direkte Datenbankzugriffe sind oft möglich
• Schulungssysteme werden als Kopie des produktiven Systems aufgebaut • Die Berechtigungsstruktur in diesen System ist üblicherweise mittelmäßig, abhängig von der Schulung, ausgeprägt • Es werden üblicherweise ausschließlich interne Mitarbeiter geschult • Ein technischer Zugriff auf die Daten ist üblicherweise nicht möglich
Schadenspotential
Risiko
(1) Projekt- / Testsysteme
1 2
(3) Qualitätssystem
• • • •
Qualitätssicherungssysteme werden als Kopie des produktiven Systems aufgebaut Die Berechtigungsstruktur in diesen System ist üblicherweise stark ausgeprägt Es haben übelicherweise interne Mitarbeiter Zugriff auf dieses Systeme Ein technischer Zugriff auf die Daten ist üblicherweise nicht möglich
3
Eintrittswahrscheinlichkeit
30
SAP Forum für Versorgungswirtschaft 2016, Münster
Auf dem Weg zur Datenschutzkonformität Bekannte Herausforderungen bei der Pseudonymisierung
Übliche Herausforderungen
Lösungen
Vernetzte System Zusammenhängende Systeme müssen auch nach einer Pseudonymisierung einen synchronen Datenstand besitzen.
TDMS (SAP SE)
Vollständigkeit Bei einer Pseudonymisierung müssen alle personenbezogenen Daten berücksichtigt werden. (Kundenentwicklungen und Add-Ons)
Geschwindigkeit Die Performance bei einer Systemumstellung / Anonymisierung ist ausschlaggebendes Kriterium der Realisierbarkeit. Die Pseudonymisierung darf keinen spürbaren Einfluss auf die etablierten Prozesse haben
TDA (Natuvion)
Regelbasierte Pseudonymisierung Systemlandschaften oder Einzelsysteme können selektiv oder vollst. pseudonymisiert werden Templates für Utilities / CRM Zentrale Steuerung von beliebigen SAP Systemen
EDA (Natuvion)
Regelbasierte Pseudonymisierung und Anonymisierung Einzelsysteme können selektiv pseudonymisiert oder anonymisiert werden Templates für Utilities / CRM Zentrale Steuerung von beliebigen SAP Systemen
Nachhaltigkeit und Komplexität Eine SAP-Systemlandschaft unterliegt ständiger Veränderung. Es werden Datenstrukturen verändert und es treten neue Datenstrukturen hinzu welche möglicherweise Daten mit Personenbezug enthalten.
Fremdsysteme / Schnittstellen Schnittstellen zu non-SAP Systemen unterliegen einer erhöhten Aufmerksamkeit im Zusammenhang einer Pseudonymisierung. An diesen Stellen können Probleme in der Testbarkeit / der Funktionalität der Prozesse auftreten.
31
SAP Forum für Versorgungswirtschaft 2016, Münster
Regelbasiertes Data Scrambling Einzelsysteme können pseudonymisiert oder anonymisiert werden Templates für (fast) alle Industrien Zentrale Steuerung über ein Steuerungssystem möglich (SOLMAN)
Auf dem Weg zur Datenschutzkonformität Welche Möglichkeiten bestehen bei einer Pseudonymisierung
Relevante Felder mit personenbezogenen Daten
Stammdaten
200
Regelbasiertes ersetzen, vermischen, generieren, löschen
180
160
Bankverbindung
120
Geburtsdatum
80
60
Adressen Zentralisierte übergreifende Adressvergabe
40
20
Kommunikationsstrukturen Regelbasiertes ersetzen, vermischen, generieren, löschen
0
IS-U
Standard
CRM
Kunden
Serviceanbieter Regelbasiertes ersetzen, vermischen, generieren, löschen
SAP Forum für Versorgungswirtschaft 2016, Münster
Rückläufer/Rückzahlungsanforderung Konsistente Anpassung zu den Stammdaten
Regelbasiertes generieren, setzen von Ranges, löschen
100
SEPA-Mandaten Konsistente Anpassung zu den Stammdaten
Regelbasiertes ersetzen, generieren, vermischen von Geschäftskunden, löschen
140
32
Namen
Kundeneigene Entwicklungen
Bewegungsdaten
Zahlungsstapel Konsistente Anpassung zu den Stammdaten
Zahlungsprogramm Konsistente Anpassung zu den Stammdaten
CRM-Aktivitäten und SAP for Utilities Kontakte
Automatisierte inhaltsabhängige Suche von Datenfeldern mit Personenbezug
Einbindung dieser Felder in die Regalabhängige Feldmodifikation
BACKUP Weiterführende Informationen zum kontinuierlichen Löschen von personenbezogenen Daten
SAP Forum für Versorgungswirtschaft 2016, Münster
33
Information Management SAP Information LifeCycle Management - Überblick und Funktionalität
Retention Management Legal Case Management Vernichtung Archivierung
Vernichtung ILM Archivierung Retention Warehouse
Verweildauer Geschäftsbeziehung beendet Nicht änderbar Erfassung
Auskunft/ Business
Auskunft/ Audits
Zugriff
Datenbank
34
Dateisystem
SAP Forum für Versorgungswirtschaft 2016, Münster
ILM Speicher
....
Löschung
Verweildauer (Zeitraum bei denen die Daten im Life-System vorliegen müssen)
Aufbewahrungsfrist (Zeitraum in der die Daten im Archiv gespeichert werden)
Löschzeitpunkt (Zeitpunkt an dem die Daten aus dem physisch Archiv gelöscht werden)
Ausnahmenmanagement (Daten können nicht gelöscht werden auch wenn die Aufbewahrungsfrist abgelaufen ist)
Information Management SAP Information LifeCycle Management - Überblick und Funktionalität
Grundsätzlich sind im Information Lifecycle Management (ILM) die Regelwerke, Prozesse, Verfahrensweisen und Werkzeuge enthalten, die den betriebswirtschaftlichen Nutzen von Informationen mit der am besten geeigneten und kostengünstigsten IT-Infrastruktur in Einklang bringen – von der Erfassung bis zur endgültigen Vernichtung der Daten.
ILM Retention Management
ILM System Decommissioning
Datenübernahme von non-SAP Systemen Kontrolle / Regeln für zeitabhängige Datenspeicherung
4 *
Datensuche über archivierte Datenbestände Aufbewahrungs- und Fristenmanagement
2
Datenvernichtung / Datensperrung
1 LT / BW Reporting
Optimierung des Produktivsystems
35
SAP Forum für Versorgungswirtschaft 2016, Münster
1
Optimierung der Systemlandschaft
Information Management SAP Information Lifecycle Management – Retention Management (1)
Aktivitäten Transaction IRMPOL
(I) Erstellen der Regeln und Richtlinien (Einrichtung)
(II) Archivieren und Speichern der Daten (Manuelle Tätigkeit)
(III) Löschen der Daten (Automatisiert)
36
SAP Forum für Versorgungswirtschaft 2016, Münster
Information Management SAP Information Lifecycle Management – Retention Management (1)
Datenarchivierung (SARA)
Information Retention Manager (IRM)
Datenarchivierungsprozess
1
Aktivitäten
Archivierungsobjektregeln
1
(I) Archivieren und Speichern der Daten
2
(Manuelle Tätigkeit)
Regelfindung / Zuordnung
Standard ADK Datei DE01, US01, .. RP: -SD: 1998,1999,…
• Zu welchem Objekt passt welche Regel?
Regelbasierte Trennung
4 ADK file A Regel für BK : DE01 RP: 10 Jahre SD: 31.12.1999
37
• Welche Einstellungen (Aufbewahrungsfrist, Start Zeitpunkt ...) sind relevant?
3
4 ADK Datei B Regel für BK: DE01 RP: 10 Jahre SD: 31.12.1998
SAP Forum für Versorgungswirtschaft 2016, Münster
(II) Regelanwendung und Trennung der Archivdateien (Automatisiert)
4 ADK Datei C Regel für BK: US01 RP: 7 Jahre SD: 01.03.1999
(III) Löschen der Daten (Automatisiert)
ADK Datei… Regel für BK: … RP: … SD: …
Information Management SAP Information Lifecycle Management – Systemstillegung (2)
Vorbereitung
Datenextraktion
(non) SAP Systeme
Datentransfer
Datenarchivierung
On-Demand Datenbereit-stellung
Transformation
SAP and Non-SAP
Business SAP and Non-SAP
SAP and Non-SAP
SAP
SAP SAP
SAP
SAP SAP
SAP
SAP
SAP
SAP
SAP
SAP
SAP Core Systems
SAP
38
Regel-basierte Ablage
SAP Forum für Versorgungswirtschaft 2016, Münster
Core Systems SAP ILM
Retention Warehouse
RW
SAP
SAP SAP