JM und der Weg zu einer DSGVO-konformen Lösung

Herausforderungen beim Schutz personenbezogener Daten

JM erkannte, dass es Herausforderungen mit Blick auf die Integrität personenbezogener Daten unter anderem in folgenden Bereichen gab:

Unter der Leitung von Unternehmensberatern nahm das Team von JM 2015 an Workshops über die Datenschutz-Grundverordnung (DSGVO) teil. Viele thematisierten die Sanktionen bei Verstößen gegen die DSGVO. Das Team beschloss, den Fokus nicht auf negative Aspekte, sondern vielmehr auf einen zukunftsorientierten Ansatz zu legen, der Chancen für positive Veränderungen bietet.
Als Leitlinien für das DSGVO-Compliance-Projekt wurden vier Entscheidungen getroffen:

• Auf Verantwortliche im Unternehmen statt auf IT-Systeme konzentrieren
• Mittel zur Verbesserung der Informationssicherheit bereitstellen
• Hilfreiche Instrumente anstelle von Überprüfungen anbieten
• Das Verbesserungsprojekt hat für alle Beteiligten oberste Priorität

Eine Lösung zum Kopieren und Pseudonymisieren von Daten

JM hat Object Sync™ und Data Secure™ aus der Data Sync Manager™ (DSM) Suite erworben, um Teilmengen von Daten zu Test- und Schulungszwecken zu kopieren und zu pseudonymisieren. Durch Reduzierung des Datenvolumens in nicht-produktiven Umgebungen konnten personenbezogene Daten aus Testumgebungen entfernt werden. Darüber hinaus ist es für die DSGVO wichtig, die Einhaltung durch eingesetzte Technik und datenschutzfreundliche Voreinstellungen nachweisen zu können. Mit dem Einsatz von DSM für die Datenaktualisierung im Nicht- Produktivsystem kann JM nachweisen, dass dieser Grundsatz erfüllt ist.

Im November 2018 ist JM mit Data Disclose™ und Data Redact™ live gegangen. Data Disclose wird für Anträge auf Dateneinsicht (nach Art. 15 DSGVO) verwendet. Dafür kann das System durchsucht und ein PDF-Dokument mit Branding, in dem die in SAP-Systemen gespeicherten Daten der betreffenden Person aufgeführt sind, ausgegeben werden.

JM hat auch Data Redact implementiert, damit Daten, die eine Person identifizieren, geschwärzt werden können und so dem Recht auf Löschung (Art.17 DSGVO) entsprochen wird. JM wollte nicht nur auf Löschungsanträge reagieren, sondern auch proaktiv in SAP gespeicherte personenbezogene Daten, die nicht seinen Aufbewahrungsrichtlinien entsprechen, reduzieren.

Die erste Massenbereinigung wurde für mehrere Datensätze durchgeführt, unter anderem für Kunden, Lieferanten, Mitarbeiter und Buchhaltungsunterlagen. Dafür wurden die SLO-Funktionen von EPI-USE Labs verwendet. Dadurch wurde der Weg für kleinere monatliche oder jährliche Schwärzungen und Löschungen geebnet, die über APIs für Data Redact durchgeführt werden können.

JM fungiert außerdem für EPI-USE Labs als Ramp-up-Kunde für Data Retain. Es bietet eine visuelle Benutzeroberfläche für die Konfiguration und Ausführung von Aufbewahrungsregeln und die anschließende Übermittlung von Schlüsseln, die geschwärzt werden sollen, an Data Redact.

Effektive Einhaltung der DSGVO

JM konnte die DSGVO-Lösungen von EPI-USE Labs zur Unterstützung der Prozesse nutzen. Dieselbe Anwendungssuite wurde für Kundeninformationen und -transaktionen, Lieferantenbeziehungen und -transaktionen sowie Mitarbeiterinformationen in der SAP-Systemlandschaft eingesetzt, so dass JM Aspekte der Verordnung in kurzer Zeit erfüllen konnte.

• JM kann jetzt Geschäftsprozesse unterstützen, die zwar schon immer, aber seit Inkrafttreten der DSGVO noch mehr im Fokus stehen.
• Jetzt hat JM einen positiven, proaktiven Ansatz, um sensible Daten automatisch zu löschen, sobald ihre Aufbewahrungsfrist überschritten ist.
• Testsysteme enthalten keine sensiblen Daten mehr, dadurch sinkt das Risiko von Verstößen durch interne Benutzer oder Partner, die auf nichtproduktive Umgebungen zugreifen.

Der nächste Schritt auf dem Weg zur DSGVO ist die Implementierung von Routinen zur Informationssicherheit und die Zusammenarbeit mit EPI-USE Labs zur Einrichtung von Aufbewahrungsprogrammen im SAP-System.

Data Sync Manager demo    DSGVO/GDPR Compliance demo      DOWNLOAD SUCCESS STORY