H&M sorgte mit Ihrer DSGVO-Strafe für großes Aufsehen, da das Unternehmen ein Bußgeld in Höhe von 532,5 Mio € wegen übermäßiger Überwachung der Mitarbeiter zahlen muss. Das ist bis dato die erste große Geldstrafe die im Rahmen der GDPR und Arbeitnehmerdaten verhängt wurde.
Eine kurze Zusammenfassung: im Jahr 2019 kam es im Servicecenter von H&M in Nürnberg durch einen Konfigurationsfehler zu einer Datenschutzverletzung, wodurch erst das ganze Ausmaß bekannt wurde. Seit mindestens 2014 sammelte und speicherte das Unternehmen Daten über das Privatleben seiner Mitarbeiter, wie beispielsweise Urlaubserfahrungen, Familienangelegenheiten, religiöse Überzeugungen und Krankheitsdiagnosen. Der Hamburger Datenschutzbeauftragte Prof. Dr. Johannes Casper erklärte, dass der Fall "... eine schwerwiegende Missachtung des Arbeitnehmerdatenschutzes am H&M Standort in Nürnberg dokumentiert." Die Höhe des Bußgeldes solle die Bedeutung des Arbeitnehmerdatenschutzes deutlich symbolisieren.
H&M hat die volle Verantwortungen übernommen und sich bei allen betroffenen Mitarbeiten entschuldigt. Einige Prozesse wurden verändert, sodass ein solcher Zwischenfall nicht wieder passieren kann. Den Bericht und das Statement finden Sie im jeweiligen Link.
Wie viele Daten darf ich speichern? Und wie viele Daten muss ich speichern?
Datenminimierung ist ein wichtiges Prinzip der GDPR. Die Absicht dahinter ist, für den vorgesehenen Zweck angemessene und relevante Daten zu erfassen, aber gleichzeitig sicherzustellen, dass die nur die notwendigsten Daten gespeichert werden. Das Speichern und Verarbeiten von übermäßigen Daten verstößt demnach gegen dieses Prinzip. Ab wann Daten überschüssig gespeichert werden ist ein Stück weit Grauzaune, die Botschaft der DSGVO lautet aber eindeutig: weniger ist mehr.
Fragen Sie sich einmal selbst: Wann bekomme ich das nächste Mal Daten aus der Produktion und welche Projekte müssen dazwischen getestet werden? Welche Daten Sie benötigen, ist von Ihrer Antwort abhängig. Nachfolgend einige Schlüsselfragen, die Ihnen als Leitfaden dienen können:
- Benötigen Sie Ihre Personaldaten für Test in diesem Zeitraum? Wenn ja, können Sie diese auf einen anderen Mandanten mit erhöhter Kontrolle/Segregation aufgeteilt werden, oder müssen sie an einem Ort sein?
- Brauchen Sie die Änderungshistorie Ihrer Daten? Können Sie die HR-Audit-Trails, Änderungsdokumente, Workflows oder IDOCs, die alle persönlichen Daten enthalten, ausschließen?
- Wie viel Transkationshistorie benötigen Sie? Wenn Sie in sechs Monaten wieder eine Aktualisierung durchführen und bis dahin keine Jahresendprozesse getestet werden, warum kopieren Sie dann nicht nur die Daten aus drei oder vier Monaten?
- Prüfen Sie Ihre Zugriffsberechtigungen. Außerhalb der Produktion steigt die Anzahl der Zugriffsberechtigten. Je größer die Zahl, desto höher das Risiko.
- Benötigen Sie für Ihre Tests wirklich echte PII von Kunden oder Mitarbeitern? Wenn Ihre Daten geändert oder vermischt werden würden, sodass keine Verbindung mehr zu den echten Daten besteht, würde sich dies auf Ihre Tests auswirken?
Ich habe festgestellt, dass nach einer ehrlichen Bewertung für die meisten Daten eine Rückkopie der Transaktionsdaten von sechs bis neun Monaten, ohne Änderungsdokumente/Workflow oder IDOC-Historie, für ein ganzes Jahr an Tests ausreicht. Außerdem ist die Mehrheit der Tests und Schnittstellen auf die Schlüsselinformationen angewiesen, nicht auf die PII-Werte von Namen, Adressen und Telefonnummern. Bei einem Audit könnte alles, was über diesen Bedarf hinausgeht, als übermäßig angesehen werden.
Daten verringern
Im Fall von H&M ist eindeutig, dass Daten gesammelt und gespeichert wurden, für die das Unternehmen kein Recht hatte. Doch oftmals ist es für Unternehmen schwierig zu bewerten, welche personenbezogene Daten relevant sind für das Business und die Arbeitsverhältnisse und welche nicht. Als ausgeschiedener Mitarbeiter hätte ich beispielsweise Verständnis dafür, wenn mein ehemaliger Arbeitgeber meine Telefonnummer ein weiteres Jahr speichert, jedoch nicht weitere 10 Jahre.
Doch wie finde ich heraus, ab wann ich meine Rechte bei der Datenspeicherung überschreite? Und wie kann man in einem komplexen und vernetzten ERP-System wie SAP, Daten rückwirkend bereinigen?
Auf dem Markt finden Sie Software die speziell dafür entwickelt wurde, Ihre Daten während der Datenkopien zu trennen. Es gibt jedoch auch Methoden, mit denen Sie das Risiko innerhalb der normalen Prozesse kontrollieren können:
- Archivieren und Bereinigen: Das ist für einige Unternehmen bereits die erste Hürde, da die Archivierung & Bereinigung als schwierig und teuer angesehen wird. Für die Produktion entstehen oft Zweifel darüber, ob die Aufrechterhaltung des Geschäftsbetriebs weiterhin gewährleistet ist. Für die Nicht-Produktivsystem ist das aber keineswegs der Fall. Hier kann das Archivieren & Bereinigen ein erster Schritt sein, der das Risiko spürbar verringert.
- Standard SAP Programme: SAP hat einige Programme, die nicht mehr gebrauchte Daten, Workflows und IDOCs löscht. Finden Sie heraus, was bereits im Standard möglich ist und modifizieren Sie diesen bei Bedarf, z.B. durch das erstellen von DB-Löschskripten, um umgehend alle Daten zu löschen (Wenn dies in Ihrem Interesse liegt).
- Berechtigungen: Niemand möchte DevOps einschränken und an Effizienz verlieren. Dennoch kann es sinnvoll sein, eine Kontrolle über Tabellenzugriffen, SQVI-Abfragen usw. zu haben, um das Risiko eines Zwischenfalls zu verringern.
- Produktionsprozesse: Aktualisieren Sie Ihre Abläufe, um die Datenaufzeichnung auf das zu beschränken, was für die Arbeitserfüllung erforderlich ist. Gehen Sie kein unnötiges Risiko ein.
Das Verfremden oder Ändern von sensiblen Daten kann eines der schwierigsten Probleme für Ihr Team sein. Sie möchten Datenqualität in der Produktion aber kein Risiko haben. Externe Expertise kann Ihnen hierbei weiterhelfen. Improvisierte Lösungen sind zwar hilfreich und erfüllen ihren Zweck, doch sind nach meiner Erfahrung oft ineffizient. Neben effizienter Software hat EPI-USE Labs auch die nötige Erfahrung aus vergangenen Projekten, in den verschiedensten Branchen und Unternehmensgrößen.
Auf welche weitern Datentypen sollten Sie achten?
Beim Thema DSGVO denken viel zuerst and die Speicherung und Verarbeitung von Kundendaten. Das Urteil gegen H&M legt einen völlig anderen Fokus und zwar auf die persönlichen Daten der Mitarbeiter. Zwar müssen manche Daten auch nach dem Austritt aus dem Unternehmen gespeichert werden, nur sollten hier die treibenden Fragen sein: Welche Daten werden wie lange gespeichert?
Hier ein paar Beispiele:
- Familiendaten gespeichert in PA0021: Warum sollten Sie die persönlichen Daten des Ehepartners eines verlassenen Mitarbeiters speichern?
- Bankverbindung: Warum sollten Sie die Bankverbindung nach der letzten Abrechnung speichern?
- Adresse: Sie wollen eventuell die Adresse behalten, sofern diese aber nicht mehr aktuell ist, warum sollten Sie diese veralteten Informationen speichern?
In ersten Gesprächen mit unseren Kunden höre ich oft: "Wir haben bereits Regeln zur Aufbewahrung unsere Mitarbeiterdaten." Bereits eine einzige Frage ruft aber oft Unsicherheiten hervor: "Was ist mit den verknüpften Lieferanten?" Oder ein weiterer Satz den ich oft höre: "Wir verwenden Autorisierungskontrollen, um unsere Daten zu schützen." Wenn es aber tatsächlich zu einer Datenpanne kommt, wird Ihnen das nicht viel helfen. Hierfür ist es immer am Besten, die Daten tatsächlich zu entfernen.
Auch Ihre transaktionalen SAP Daten sind nicht sicher. Viele Unternehmen mit denen ich spreche, hat die Belege auf dem Spesenkonto so konfiguriert, dass in einem Textfeld neben der zu bezahlenden Person auch andere Details zusammengefasst sind.
Wir haben seit der Verabschiedung der DSGVO in den letzten zwei Jahren viel gelernt. Das SAP System aus einer datenschutzrechtlichen Perspektive zu untersuchen und den ganzen Umfang des vorhandenen Risikos zu verstehen, kann entmutigend und frustrierend sein. EPI-USE Labs kann Sie bei dieser Aufgabe unterstützen, um einen genaueren Einblick in dieses Thema zu erhalten.
Einen Kommentar schreiben