Let's Talk Data Security

Datenverfremdung in einem Wisch - GDPR Compliance bei MAPA

Geschrieben von EPI-USE Labs GmbH | Aug 30, 2018 10:30:00 AM

Lesen Sie im Interview wie MAPA sich durch den Einsatz der DSGVO/GDPR Compliance Suite auf die Verarbeitung sensibler, personenbezogener Daten vorbereitet.

Über MAPA (u.a. BILLY BOY, NUK, Spontex):

Ob es um Familienplanung, Babys oder die tägliche Arbeit im Haushalt geht -wir liefern Produkte, auf die sich Familien rund um den Globus verlassen können. Unsere SpontexHaushaltsartikel und unsere Kondome nehmen eine Spitzenposition im nationalen Markt ein. Mit unserer Babycare-Marke NUK sind wir in Deutschland unangefochtener Marktführer ein Ziel, das wir auch international verfolgen. Unsere langjährige Erfahrung, die konsequente Investition in die Entwicklung und Fertigung von Qualitäts-Produkten, der schonende Umgang mit den natürlichen Ressourcen, strenge Sicherheitsnormen und die Nähe zu den Bedürfnissen der Verbraucher bilden die Basis unseres Erfolges. Weitere Informationen unter: www.mapa.de

Interview:

Frage 1: Bis zum 25. Mai 2018 müssen Unternehmen weltweit in der Lage sein, die Anforderungen der neuen EU-Datenschutzgrundverordnung zu erfüllen. Vor welchen technischen und konzeptionellen Herausforderungen standen Sie im Rahmen der Umsetzung der DSGVO-Anforderungen?


MAPA:

Aus technischer Sicht lag die größte Sorge in SAP als unser führendes ERP-System. Um die Datenkonsistenz zu gewährleisten, wird das Löschen von Daten grundsätzlich vermieden. Mit SAP Standardfunktionen lassen sich sensible Datensätze nicht ohne weiteres löschen – diese werden mittels Archivierung lediglich an einen anderen Speicherort abgelegt, sind dort aber wiederherstellbar. Eine Verfremdung einzelner Felder innerhalb der Datensätze steht ebenfalls nicht zur Verfügung. Ein Termin mit der DSAG, bei dem die SAP-Lösung zur Behebung des Problems vorgestellt wurde, verdeutlichte uns die Problematik, schien aber als Lösung nicht zuletzt aufgrund der Kosten und des Implementierungsaufwandes ungeeignet. Letztendlich kamen wir zu der Einsicht, dass es mit vorhandenen Standardwerkzeugen nicht möglich sein würde, Daten gemäß den Anforderungen der DGSVO aus dem SAP System zu löschen. Im Detail galt es weiterhin herauszufinden welche personenbezogenen Daten wo im SAP System abliegen. Im Rahmen der Prozessdokumentation konnten wir zunächst nur aufzeigen, welche Datensätze potentiell verfremdet werden müssen: diese Dokumentation muss für die technische Umsetzung bis auf die Detailebene einzelner Felder erweitert werden.

 

Frage 2: Welche Kriterien sprachen für den Erwerb der DSGVO/GDPR Compliance Suite von EPI-USE Labs?


MAPA:

Wir anonymisieren bereits seit Jahren SAP Testdaten einfach und schnell mit der EPI-USE Labs Lösung Data Secure auf Test-und Trainingssystemen. Daher hatten wir Vertrauen in die technische Genauigkeit der Anonymisierung auch bei kritischen und komplexen Datenstrukturen, wie im HR Modul. Zur Umsetzung der neuen EU-Datenschutzgrundverordnung müssen jedoch einzelne Datensätze in Produktivsystemen verfremdet werden. Der Ansatz den EPI-USE Labs mit der DSGVO/GDPR Compliance Suite verfolgt, passt dabei zu unserer Vorgehensweise: Mit Data Disclose werden die kritischen SAP Systeme durchsucht und lokalisiert, wo sensible Daten gespeichert sind. Mit dieser Lösung wird der Daten-Footprint einer Person in den SAP Systemen gefunden, abgerufen und zur Verfügung gestellt –im Sinne weiterer Automatisierung zukünftig auch in Nicht-SAP Systemen, sobald diese durch API’sintegriert sind.

Frage 3: Was waren die Meilensteine zur Umsetzung der Datenschutzgrundverordnung –insbesondere Artikel 15 DSGVO (Auskunftsrecht) und Artikel 17 DSGVO (Recht auf Löschung)?


MAPA:

Ein erster Meilenstein war die generelle Vorbereitung des SAP Systems. Vor der Installation der zur Verfügung gestellten Transporte, mussten technische Mindestanforderungen erfüllt werden. Unser System war zunächst nicht vollständig für den Einsatz der DSGVO/GDPR Compliance Suite gerüstet. Da EPI-USE Labs auf die moderne Oberflächentechnologie FIORI setzt, nahmen wir dies zum Anlass unsere Basis für die Zukunft zu rüsten und die notwendigen Support Packages einzuspielen. Die generellen technischen Anforderungen an die DSGVO/GDPR Compliance Suite sind: NetWeaver 7.0 und Fiori Gateway. Danach konnte unmittelbar Data Discloseaktiviert werden. Auf Basis des ausgelieferten Templates wurden die relevanten personenbezogenen Daten verfeinert und somit die Basis gelegt, um die Anforderungen des Artikels 15 DSGVO (Auskunftsrecht) für das SAP System zu erfüllen. In der nächsten Projektphase wird das Recht auf Löschung nach Artikel 17 DSGVO umgesetzt. EPI-USE Labs bietet auch hier die passende Lösung mit Data Redact. Als Teil der DSGVO/GDPR Compliance Suite für SAP kann Data Redactschnell und lückenlos sensible oder personenbezogene Daten verfremden, ohne ganze Datensätze zu löschen. Damit lassen sich die Daten nicht länger auf eine bestimmte Person beziehen, aber Reports können wie gewohnt erstellt werden, ohne die referentielle Integrität der Daten zu beeinträchtigen. Vor der Einführung von Data Redactmussten wir definieren, welche Felder im Spannungsfeld zwischen Aufbewahrungsrichtlinien und Datensparsamkeit anonymisiert werden sollen. Dabei mussten auch kundeneigene Erweiterungen der Datenstrukturen berücksichtigt werden. Der Aufwand über das Template hinaus hängt im Allgemeinen davon ab, wie nah die systemeigene Datenstruktur am Standard der SAP gehalten ist.

 

Frage 4: Welche Vorteile ergeben sich für Sie durch die DSGVO/GDPR Compliance Suite zum Auffinden und Verfremden von SAP-Daten nach Artikel 17 DSGVO (Recht auf Löschung)?


MAPA:

Der größte Vorteil besteht darin, dass die Datenintegrität weiter gewährleistet ist. So sind zum Beispiel Kundenaufträge weiterhin auffindbar, da nur die sensiblen Kundendaten anonymisiert werden. Alle Aufträge und verkauften Artikel sind weiterhin einsehbar, einzig die Zuordnung zum Kunden ist nicht mehr möglich. Dadurch bleiben alle Testsysteme voll funktionsfähig und Testaufträge sind weiterhin bearbeitbar. Sofern ganze Datenbereiche archiviert werden müssten, wäre die Datenintegrität nicht mehr gegeben.

 

Frage 5: Gibt es eine Zukunftsstrategie zur erweiterten Umsetzung der EU-Datenschutzgrundverordnung nach Artikel 5 DSGVO (Verhältnismäßigkeit von Datenbeständen)?


MAPA:

Die verhältnismäßige Verarbeitung personenbezogener Daten nach Artikel 5 DSGVO bildet einen weiteren zentralen Bestandteil zur Erfüllung der Datenschutzrichtlinie. Schon im Rahmen der Einführung von Data Secure wurde diskutiert, die EPI-USE Labs Lösung Client Sync zur selektiven Kopie von SAP-Daten einzusetzen. Hier wird ein Zeitschnitt des Produktivsystems auf Test-und Trainingssysteme kopiert, um Testdaten zu erstellen. Diese selektive Mandantenkopie ersetzt die Systemkopie und unterstützt bei der Erfüllung des Artikel 5 DSGVO. Wir gehen außerdem davon aus, dass sich die Gesetzgebung in der Zukunft verschärfen wird. Wir planen künftig den Einsatz der DSGVO/GDPR Compliance Suite in allen Bereichen des Unternehmens. Die Nutzung der Suite soll keine zentrale Aufgabe der IT bleiben, sondern dezentral jeder Abteilung die Möglichkeit geben, die richtigen Daten aufzuspüren und zu anonymisieren.

 

Über EPI-USE Labs

 

EPI-USE Labs ist ein globales Software-und Dienstleistungsunternehmen und unterstützt mit innovativen Produkten und Services Unternehmen dabei, die Performance ihrer SAP und SAP SuccessFactorsSysteme zu steigern. Mit den Lösungen von EPI-USE Labs lässt sich die Produktivität in vielen Bereichen wie beispielsweise Mandanten-und Datenkopien, Datensicherheit und Anonymisierung (DSGVO/GDPR), HCM Reporting und Cloud Lösungen erheblich erhöhen. EPI-USE Labs ist Teil der groupelephant.com mit über 1.600 Mitarbeitern in 47 Ländern.
Weitere Informationen unter www.epiuselabs.comoder kontaktieren Sie uns unter vertrieb@epiuselabs.com.