part of the groupelephant.com family
beyond corporate purpose

DSGVO/GDPRDSGVO/GDPR Services

Die EU Datenschutz-Grundverordnung (DSGVO) (Engl: EU General Data Protection Regulation (GDPR))  ist eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen EU-weit vereinheitlicht werden sollen.

Ein Hauptziel der Verordnung ist es, den Bürgerinnen und Bürgern der EU die Kontrolle über ihre personenbezogenen Daten zurückzugeben. Zusätzlich soll die Menge an gespeicherten sensiblen Personendaten stark reduziert werden, indem nur die Daten gespeichert werden, deren Zweck erforderlich und verhältnismäßig ist. 

Wie EPI-USE Labs Ihnen helfen kann

 EPI-USE Labs bietet Ihnen die folgenden Lösungen und Services:

  • EPI-USE Labs hat Data Secure ™ und die DSGVO/GDPR Compliance Suite für SAP entwickelt
  • Beratung und Services, wo Ihre Daten in SAP-Systemen gespeichert sind
  • Experten Knowhow in Bezug auf betroffene Datentypen sowie Auswahlmöglichkeiten und Prozesse zur Erfüllung der Compliance-Anforderungen
  • Serviceleistung: Verfremdung von Massendaten
  • Compliance-Richtlinien und Best Practices
  • DSGVO/GDPR Workshops

Die vielen verschiedenen IT-Systeme machen es unmöglich, einen "one size fits all"-Ansatz zu verfolgen. EPI-USE Labs hat über 30 Jahre Expertise und Erfahrung in der Entwicklung von Softwarelösungen im Bereich SAP Datenmaskierung und SAP Testdaten und unterstützt Sie bei der Umsetzung Ihrer Compliance-Anforderungen.

Kontaktaufnahme DSGVO/GDPR Compliance Suite

Serviceleistung: Verfremdung von Massendaten

Die meisten Organisationen sehen eine Richtlinie zur Vorratsdatenspeicherung als einen Zeitraum, wie lange Daten von den technischen Teams mindestens behalten werden, und nicht als den Zeitpunkt, an dem Daten proaktiv gelöscht werden müssen. Mit der neuen EU-Datenschutzgrundverordnung hat sich dies geändert, und alle Organisationen haben historische Daten in Ihren SAP Systemen, für deren Speicherung sie keine rechtliche Grundlage mehr haben. Dies können Daten von Familienangehörigen ehemaliger Arbeitnehmer, die Bankkontonummern früherer Kunden oder andere personenbezogene Daten sein.

EPI-USE Labs bietet eine einfache Lösung zum Verfremden dieser alten Daten, ohne dass komplexe Archivierungsprojekte erforderlich sind. Die Technologie zur Unterstützung von Data Redact - einer App zur Verfremdung von personenbezogenen Daten - wird mit einer speziellen Lizenz für die Auswahl von Massendaten und paralleler Verarbeitung eingesetzt.

Mitarbeiterdaten

Historische Daten von Mitarbeitern werden in den meisten Fällen benötigt, aber was passiert, wenn dieser Teil des Unternehmens veräußert wurde? Dürfen diese Mitarbeiterdaten zehn Jahre später überhaupt noch im System gespeichert werden? Auch wenn nur die wirklich notwendigen Daten des Mitarbeiters beibehalten werden sollen, was passiert mit den persönlichen Daten? Im ersten Schritt können hochsensible Daten, wie Familieninformationen oder Bankkontonummern, für alle Personen, die das Unternehmen vor mehr als einem Jahr verlassen haben, verfremdet werden.

Im zweiten Schritt können die Daten von Mitarbeitern, die seit sieben Jahren und mehr nicht mehr im Unternehmen beschäftigt sind, verfremdet werden. Daten, wie etwa Informationen über Krankheitstage, Leistungsbeurteilungen und Gehaltsangaben verringern die Datenmenge immens.

Kundendaten

In diesem Bereich ist es viel schwieriger, rechtliche Gründe für die Aufbewahrung der Daten zu definieren. Es kann Tausende von Kunden, Geschäftspartnern und Adressen geben, die seit über fünf Jahren nicht mit dem Unternehmen in Kontakt standen. Anstatt alle diese Stamm-und Bewegungsdaten zu archivieren, können wir eine Verfremdung von Massendaten bereitstellen, um Identifikatoren aus den Stammdaten, sowie jegliche Referenzen zu den Bewegungsdaten zu entfernen. Dies bedeutet, dass diese Person nicht mehr im System erkennbar ist.

Kontaktieren Sie uns zur Verfremdung von Massendaten 

Der Anwendungsbereich der EU Datenschutz-Grundverordnung 

Im Fokus der EU Datenschutz-Grundverordnung (DSGVO) steht eindeutig die betroffene Person und der Schutz ihrer personenbezogenen, sensiblen Daten. Daher ist die Anwendbarkeit der DSGVO nicht auf den geografischen EU-Raum beschränkt, sondern sie gilt weltweit für alle privaten Unternehmen, die derartige Daten von EU-Bürgern verarbeiten. Das heißt Speichern (digital oder auf Papier), Verändern, Übermitteln an Dritte (z.B. per Post, E-Mail, Telefon, FTP) Sperren und Löschen (Unkenntlichmachung) personenbezogener Daten.

Zentrale DSGVO/GDPR Anforderungen

  • Die betroffene Person muss die ausdrückliche Einwilligung zur Speicherung ihrer personenbezogenen Daten geben
  • Jede Person hat das Recht auf Vergessen. Wünscht es die Person, so muss ein Unternehmen ihre personenbezogenen Daten in einer gewissen Frist löschen, und zwar komplett
  • Die Einhaltung der GDPR Bestimmungen muss nachgewiesen werden
  • Datenschutzverstöße mit möglichen Folgen für Betroffene müssen gemeldet werden

Konzept des "integrierten Datenschutzes"

Unternehmen, die personenbezogene Daten speichern wollen, müssen die ausdrückliche Einverständniserklärung der betroffenen Person einholen und bestimmte Bearbeitungsgrundsätzen befolgen. Insbesondere sind dies die Grundsätze der Transparenz, der Zweckbindung und der Verhältnismäßigkeit.

Betroffene Personen haben zudem umfangreiche Rechte, so namentlich auf:

  • Untersagung der Datenverarbeitung
  • Auskunft zu der Verarbeitung ihrer Daten
  • Rückgabe übergebener Daten in elektronischer Form
  • Korrektur und Vervollständigung der eigenen Daten
  • Löschung der eigenen Daten
  • Weitermeldung des Löschbegehrens bei veröffentlichten Daten sowie Widerspruch gegen bestimme Bearbeitungen

Zwar gibt es keinerlei Anforderungen zu einer Anonymisierung der Daten, so präskriptiv ist die GDPR nicht und was zu Missverständnissen führen kann. Das Gesetz schreibt aber vor, dass datenverarbeitende Unternehmen schriftlich belegen können müssen, dass sie den Datenschutz einhalten und die Rechte der betroffenen Personen wahren.

Strafen bei Nichteinhaltung des Datenschutzes

Seit 25. Mai 2018 gilt die DSGVO mit weitreichenden Auswirkungen auf Unternehmen, die Daten verarbeiten. GDPR Compliance ist nicht verhandelbar und bei Nichtbefolgung können Aufsichtsbehörden gegen Unternehmen Maßnahmen ergreifen und diese sanktionieren. Dabei können Bußgelder von bis zu 20 Millionen Euro oder – sofern höher – vier Prozent des weltweiten Jahresumsatzes anfallen.

Werden Sie nicht zur Datenschutz Zielscheibe

Die Schwierigkeiten beginnen, wenn eine betroffene Person Einsicht in eigene Personendaten verlangt. Sie müssen in dem Fall vollständig darlegen, in welchen IT Systemen die entsprechenden personenbezogenen Daten verarbeitet werden. Diese Herausforderung potenziert sich natürlich mit der Anzahl der Anfragen und der Anzahl von IT Systemen. Wissen Sie überhaupt, wo genau diese Daten verarbeitet werden? Und wie viel technischen, personellen und zeitlichen Aufwand würde so ein Nachweis mit sich bringen?

Ihre DSGVO/GDPR Herausforderungen

DSGVO/GDPR wird Sie vor folgende Herausforderungen stellen:

  • Die Komplexität und der Umfang der DSGVO
  • Die Einzigartigkeit jedes einzelnen GDPR Compliance Projekts (abhängig von der Branche, IT Systemen, Datennutzung u.v.m.)
  • Die GDPR Grauzonen: Obwohl die GDPR umfassend ist, gibt es viele Bereiche, die nicht sehr detailliert oder präskriptiv sind. Es wird dort nicht konkret ausgeführt, was die Unternehmen tun müssen. Es liegt daher an Ihnen selbst, Ihre Systeme, Prozesse und Daten zu analysieren und zu entscheiden, was wie umgesetzt werden soll.

Einfluss der DSGVO/GDPR auf SAP Systeme

Auf Grund der Architektur der SAP Systeme ist es nicht einfach, sie GDPR-konform zu betreiben. Zum einen werden die Daten in einer äußerst komplexen Art und Weise gespeichert und dann innerhalb des Systems an verschiedene Stellen repliziert (z.B. Customer Master, Business Partner, Change Document Tables). Zum anderen ist ein SAP System hochgradig individuell konfigurierbar. Dadurch bestimmt die Art der Implementierung des Systems, in welchen Tabellen und Feldern die Daten gespeichert werden. Da die Daten also in sehr vielen Tabellen abgelegt werden, ist möglicherweise ein direkter Systemzugriff unumgänglich, um der geforderten Nachweispflicht zu genügen.

Werden Sie ein DSGVO/GDPR Champion - EPI-USE Labs unterstützt Sie dabei!

Wir, EPI-USE Labs, können Ihnen die notwendigen Informationen und Mittel an die Hand geben, damit Sie das interne Buy-In für den Datenschutz bekommen. Warum fragen Sie nicht mal den Chef Ihres Managers, ob er seinen eigenen Daten-Footprint in Ihren Systemen nachvollziehen möchte? Weiß er, dass seine persönlichen Daten in Ihren Systemen verarbeitet werden?
Wir helfen Ihnen, exakt nachvollziehen und nachweisen zu können, wo welche personenbezogenen Daten in Ihrem SAP System verarbeitet werden, wir bieten Ihnen auch Hilfe in Form von Beratungen und Best Practices. Die vielen unterschiedlich konfigurierten SAP Systeme lassen einen „Universalansatz“ zur GDPR Compliance nicht zu, daher wollen wir Sie dabei unterstützen, damit Sie stets den entscheidenden Schritt voraus sind.

Wir stellen vor: „Data Disclose“ – In nur wenigen Sekunden die Daten in Ihrem SAP System finden und anzeigen lassen!

Data Disclose ist ein einzigartiges EPI-USE Labs Produkt, mit dem sich die Daten-Footprints von betroffenen Personen – in Sekundenschnelle – in SAP Systemen (SAP ERP, CRM, BW) nachvollziehen und anzeigen lassen. Wir bieten diesen Service auch für andere Systeme an, sofern sie über Schnittstellen (API) mit dem SAP System verbunden sind.

Lassen Sie EPI-USE Labs Ihnen diese Aufgabe abnehmen, damit Sie sich auf andere Dinge fokussieren können. Bei den strengen GDPR Anforderungen bringt Data Disclose Ihnen die notwendige Sicherheit, dem Gesetz vollständig entsprechen zu können.

Handeln Sie jetzt! Auch nach dem 25. Mai 2018 ist es noch nicht zu spät!

„Man sollte das Dach reparieren solange die Sonne scheint.“

John F. Kennedy

Seit dem 25. Mai 2018 unterliegt jedes private Unternehmen, welches personenbezogene Daten von EU-Bürgerinnen und Bürgern verarbeitet, der Pflicht, GDPR konform zu handeln. Dabei werden die strengen GDPR Anforderungen nach integriertem Datenschutz den Kern Ihrer IT Systeme treffen.

Wir unterstützen Sie mit unserem Wissen, unserer Erfahrung, Expertise und unseren Produkten auf Ihrem Weg zur DSGVO/GDPR Compliance. Kontaktieren Sie uns noch heute unter vertrieb@labs.epiuse.com für eine individuelle Demo.