part of the groupelephant.com family
beyond corporate purpose

Der Countdown hat begonnen...

gdpr.jpgDSGVO/GDPR - handeln Sie jetzt!

Das Recht auf Vergessen

Die EU Datenschutz-Grundverordnung (DSGVO) (Engl: EU General Data Protection Regulation (GDPR))  ist eine geplante Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen EU-weit vereinheitlicht werden sollen.

Ein Hauptziel der Verordnung ist es, den Bürgerinnen und Bürgern der EU die Kontrolle über ihre personenbezogenen Daten zurückzugeben. Zusätzlich soll die Menge an gespeicherten sensiblen Personendaten stark reduziert werden, indem nur die Daten gespeichert werden, deren Zweck erforderlich und verhältnismäßig ist. 

Der Anwendungsbereich der EU Datenschutz-Grundverordnung 

Im Fokus der EU Datenschutz-Grundverordnung (DSGVO) steht eindeutig die betroffene Person und der Schutz ihrer personenbezogenen, sensiblen Daten. Daher ist die Anwendbarkeit der DSGVO nicht auf den geografischen EU-Raum beschränkt, sondern sie gilt weltweit für alle privaten Unternehmen, die derartige Daten von EU-Bürgern verarbeiten. Das heißt Speichern (digital oder auf Papier), Verändern, Übermitteln an Dritte (z.B. per Post, E-Mail, Telefon, FTP) Sperren und Löschen (Unkenntlichmachung) personenbezogener Daten.

Zentrale DSGVO/GDPR Anforderungen

  • Die betroffene Person muss die ausdrückliche Einwilligung zur Speicherung ihrer personenbezogenen Daten geben
  • Jede Person hat das Recht auf Vergessen. Wünscht es die Person, so muss ein Unternehmen ihre personenbezogenen Daten in einer gewissen Frist löschen, und zwar komplett
  • Die Einhaltung der GDPR Bestimmungen muss nachgewiesen werden
  • Datenschutzverstöße mit möglichen Folgen für Betroffene müssen gemeldet werden

Konzept des "integrierten Datenschutzes"

Unternehmen, die personenbezogene Daten speichern wollen, müssen die ausdrückliche Einverständniserklärung der betroffenen Person einholen und bestimmte Bearbeitungsgrundsätzen befolgen. Insbesondere sind dies die Grundsätze der Transparenz, der Zweckbindung und der Verhältnismäßigkeit.

Betroffene Personen haben zudem umfangreiche Rechte, so namentlich auf:

  • Untersagung der Datenverarbeitung
  • Auskunft zu der Verarbeitung ihrer Daten
  • Rückgabe übergebener Daten in elektronischer Form
  • Korrektur und Vervollständigung der eigenen Daten
  • Löschung der eigenen Daten
  • Weitermeldung des Löschbegehrens bei veröffentlichten Daten sowie Widerspruch gegen bestimme Bearbeitungen

Zwar gibt es keinerlei Anforderungen zu einer Anonymisierung der Daten, so präskriptiv ist die GDPR nicht und was zu Missverständnissen führen kann. Das Gesetz schreibt aber vor, dass datenverarbeitende Unternehmen schriftlich belegen können müssen, dass sie den Datenschutz einhalten und die Rechte der betroffenen Personen wahren.

Strafen bei Nichteinhaltung des Datenschutzes

Am 25. Mai 2018 tritt die GDPR in Kraft mit weitreichenden Auswirkungen auf Unternehmen, die Daten verarbeiten. GDPR Compliance ist nicht verhandelbar und bei Nichtbefolgung können Aufsichtsbehörden gegen Unternehmen Maßnahmen ergreifen und diese sanktionieren. Dabei können Bußgelder von bis zu 20 Millionen Euro oder – sofern höher – vier Prozent des weltweiten Jahresumsatzes anfallen.

Werden Sie nicht zur Datenschutz Zielscheibe

Die Schwierigkeiten beginnen, wenn eine betroffene Person Einsicht in eigene Personendaten verlangt. Sie müssen in dem Fall vollständig darlegen, in welchen IT Systemen die entsprechenden personenbezogenen Daten verarbeitet werden. Diese Herausforderung potenziert sich natürlich mit der Anzahl der Anfragen und der Anzahl von IT Systemen. Wissen Sie überhaupt, wo genau diese Daten verarbeitet werden? Und wie viel technischen, personellen und zeitlichen Aufwand würde so ein Nachweis mit sich bringen?

Ihre DSGVO/GDPR Herausforderungen

DSGVO/GDPR wird Sie vor folgende Herausforderungen stellen:

  • Die Komplexität, der Umfang und das schiere Ausmaß der DSGVO / GDPR
  • Die Einzigartigkeit jedes einzelnen GDPR Compliance Projekts (abhängig von der Branche, IT Systemen, Datennutzung u.v.m.)
  • Die GDPR Grauzonen: Obwohl die GDPR umfassend ist, gibt es viele Bereiche, die nicht sehr detailliert oder präskriptiv sind. Es wird dort nicht konkret ausgeführt, was die Unternehmen tun müssen. Es liegt daher an Ihnen selbst, Ihre Systeme, Prozesse und Daten zu analysieren und zu entscheiden, was wie umgesetzt werden soll.

Einfluss der DSGVO/GDPR auf SAP Systeme

Auf Grund der Architektur der SAP Systeme ist es nicht einfach, sie GDPR-konform zu betreiben. Zum einen werden die Daten in einer äußerst komplexen Art und Weise gespeichert und dann innerhalb des Systems an verschiedene Stellen repliziert (z.B. Customer Master, Business Partner, Change Document Tables). Zum anderen ist ein SAP System hochgradig individuell konfigurierbar. Dadurch bestimmt die Art der Implementierung des Systems, in welchen Tabellen und Feldern die Daten gespeichert werden. Da die Daten also in sehr vielen Tabellen abgelegt werden, ist möglicherweise ein direkter Systemzugriff unumgänglich, um der geforderten Nachweispflicht zu genügen.

Werden Sie ein DSGVO/GDPR Champion!

Wir, EPI-USE Labs, können Ihnen die notwendigen Informationen und Mittel an die Hand geben, damit Sie das interne Buy-In für den Datenschutz bekommen. Warum fragen Sie nicht mal den Chef Ihres Managers, ob er seinen eigenen Daten-Footprint in Ihren Systemen nachvollziehen möchte? Weiß er, dass seine persönlichen Daten in Ihren Systemen verarbeitet werden?
Wir helfen Ihnen, exakt nachvollziehen und nachweisen zu können, wo welche personenbezogenen Daten in Ihrem SAP System verarbeitet werden, wir bieten Ihnen auch Hilfe in Form von Beratungen und Best Practices. Die vielen unterschiedlich konfigurierten SAP Systeme lassen einen „Universalansatz“ zur GDPR Compliance nicht zu, daher wollen wir Sie dabei unterstützen, damit Sie stets den entscheidenden Schritt voraus sind.

Wir stellen vor: „Data Disclose“ – In nur wenigen Sekunden die Daten in Ihrem SAP System finden und anzeigen lassen!

Data Disclose ist ein einzigartiges EPI-USE Labs Produkt, mit dem sich die Daten-Footprints von betroffenen Personen – in Sekundenschnelle – in SAP Systemen (SAP ERP, CRM, BW) nachvollziehen und anzeigen lassen. Wir bieten diesen Service auch für andere Systeme an, sofern sie über Schnittstellen (API) mit dem SAP System verbunden sind.

Lassen Sie EPI-USE Labs Ihnen diese Aufgabe abnehmen, damit Sie sich auf andere Dinge fokussieren können. Bei den strengen GDPR Anforderungen bringt Data Disclose Ihnen die notwendige Sicherheit, dem Gesetz vollständig entsprechen zu können.

EPI-USE Labs DSGVO/GDPR Empfehlungen

Wir bieten Ihnen:

  • Data Disclose
  • Data Secure
  • Fundierte Kenntnisse und Beratung, wo die Daten in SAP gespeichert sind
  • Wissen um die betroffenen Datenarten
  • Orientierungshilfe für die Möglichkeiten und Prozesse für GDPR Compliance
  • Datenlöschung Services
  • GDPR Awareness Workshops

 

Handeln Sie jetzt!

„Man sollte das Dach reparieren solange die Sonne scheint.“

John F. Kennedy

Ab dem 25. Mai 2018 unterliegt jedes private Unternehmen, welches personenbezogene Daten von EU-Bürgerinnen und Bürgern verarbeitet, der Pflicht, GDPR konform zu handeln. Dabei werden die strengen GDPR Anforderungen nach integriertem Datenschutz den Kern Ihrer IT Systeme treffen.

Bis dahin bleibt nicht mehr viel Zeit, um ein so umfangreiches Projekt durchzuführen, um Ihre CRM Systeme, ERP Systeme und Kundensupportsysteme gesetzeskonform betreiben zu können.
Sie werden neue Geschäftsprozesse einführen und Ihre Sicherheitsvorkehrungen durch einen externen Auditor prüfen und attestieren lassen müssen. Je näher der 25. Mai 2018 rückt, desto schwieriger wird es beispielsweise werden, Auditoren mit freien Kapazitäten zu finden. Daher sollte jedes Unternehmen jetzt einen Plan mit Schlüsselrollen und -funktionen erstellen, um die GDPR Compliance zu erreichen und fortdauernd zu gewährleisten.

Wir nehmen Ihnen gerne die GDPR Mühen ab. Mit unserem Wissen, unserer Erfahrung und Expertise und unseren Produkten werden Sie sich beruhigt anderen Aufgaben widmen können, mit dem Wissen, dass GDPR unter Kontrolle ist. Kontaktieren Sie uns noch heute unter vertrieb@labs.epiuse.com