3. Seit 2014 unterstützen wir als NATUVION unsere Kunden mit Erfahrung und Expertise im
Umfeld der Digitalisierung
3
Gegründet: 2014 als eigentümergeführter Beratungsspezialist mit
Fokus Versorgungswirtschaft, Security und Transformation
Standorte: Walldorf, Berlin, München, Wien(AT), Philadelphia(US)
Unternehmensgröße: > 55 Mitarbeiter
Expertise der Berater: > 75 % SAP zertifiziert & Ø 12 Jahre
Energiewirtschaft und SAP
SAP Gold Partner
SAP Recognized Expertise in Utilities
SAP Landscape Transformation
Langjähriger Partner der größten Energieversorger Deutschlands
Leistungen/Kompetenzen:
§ Strategisches IT-Management
§ IT Consulting für die Energiewirtschaft
§ SAP Transformation & Data Services
§ SAP Security & Data Privacy / Protection
§ Business Intelligence / Analytics
Natuvion Gruppe
Tiefgehende Erfahrung in der
Umsetzung von DS-GVO / GDPR
Anforderungen
Strategische Partnerschaft mit
Entwicklungsteams der SAP im
Bereich Data Protection and Privacy
– ILM / IRF / Consent
Enge und langjährige Partnerschaft
mit Experten im IT/ Datenschutz
Recht
Vollständiges Verständnis über die
Prozesse und Anforderungen aus
Business – IT – Datenschutzsicht
Eigene zertifizierte Lösungen für
konsistente Datenlöschung,
Auskunft und Anonymisierung
Ausgewiesene Data Protection und
Privacy Expertise (Lösungen)
Ausgewiesene
Transformationsexpertiese
Erfolgsfaktoren
Konzeption und Einführung
Anonymisierung (IS-U / CRM)
Konzernweiter Roll-Out einer
Systemanonymisierung (CRM /
IS-U / ERP / HCM)
Selektive Datenlöschung (IS-U /
CRM / ERP / BW)
Löschkonzeption DS-GVO /
GDPR (SAP Systemlandschaft)
IT und Prozesskonzeption
Konformität Rechte Betroffener
nach DS-GVO / GDPR (Auskunft
& Transparenz)
System und Daten-
dekommissionierung mit SAP
ILM
Konzeption und Realisierung
Auskunft (SAP IRF)
Relevante Referenzen
Natuvion – Ihre Spezialisten in der Realisierung der Anforderungen der GDPR / DS-GVO
Data Security und Data Privacy in SAP - Datenanonymisierung
12. 12 Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding
Risiken und Herausforderungen
Folgen und Risiken bei Missachtung der Bestimmungen des Datenschutzes (IST Situation)
Datenschutzrisiken & Folgen
1
2
3 1. Verletzung der Meldepflicht
Durch Unwissenheit bei vorhandenen Datenschutzpannen. Das Bußgeldrisiko
steigt, da gegen weitere Vorschriften verstoßen wird
2. Bußgelder
Bis zu 50.000 EUR bei Fahrlässigkeit, in schweren Fällen bis zu 300.000 EUR. Ein
„Vorfall“ kann dabei sowohl ein tatsächliches Datenleck sein, es reicht aber schon
eine berechtigte Beschwerde bei der zuständigen Aufsichtsbehörde
3. Freiheitsstrafen
Bei Vorsatz bis zu 2 Jahren Haft oder Geldstrafe bei Datenschutz-Straftaten (§ 44
BDSG).
4. Schadensersatzansprüche
Im Falle eines Datenverlustes gegenüber den Geschädigten können die Ansprüche
leicht erhebliche Summen annehmen und evtl. in einer Durchgriffshaftung in das
Privatvermögen des Geschäftsführers vollstreckt werden.
5. Ausfall der Versicherung
Hat der Geschäftsführer die gesetzlichen Bestimmungen nicht eingehalten, dann
wird auch eine etwaig bestehende Versicherung nicht zahlen.
6. Imageschäden
Im Falle eines Daten-Lecks bei Kunden, Lieferanten und Mitarbeitern
7. Publikationspflicht bei Datenschutz-Verstößen
Geraten Daten in falsche Hände muss das Unternehmen die Betroffenen
unverzüglich persönlich warnen (anschreiben) oder in zwei überregionalen
Zeitungen halbseitige Anzeigen schalten.
Eintrittswahrscheinlichkeit
Schadenspotential
Risikoeinschätzung
4
Es ist davon auszugehen, dass die Sanktionen im
Verhältnis der erhöhten Bußgeldvorschriften
der EU-DS-GVO ansteigen werden
5
6
7
13. Der Handlungsdruck zur Schaffung der Datenschutzkonformität besteht fortwährend und
steigt im Kontext der neuen Datenschutz-Grundverordnung
13 Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding
§ Bußgeldrahmen zwischen EUR 50.000 bis 300.000
je Verstoß (Verstöße sind kumulierbar)
§ Löschung: Personenbezogene Daten sind zu
löschen, wenn sie für eigene Zwecke verarbeitet
werden, sobald ihre Kenntnis für die Erfüllung des
Zwecks der Speicherung nicht mehr erforderlich ist
§ Auskunft: Die verantwortliche Stelle hat dem
Betroffenen, auf Verlangen und unentgeltlich,
Auskunft zu erteilen über alle gespeicherten Daten
mit Personenbezug, Empfänger sowie über den
Zweck der Speicherung
• (geändert) Bußgeldrahmen bis EUR 20Mio. oder 4% des
weltweiten Jahresumsatzes der betroffenen
Unternehmensgruppe
• (neu) Datenübertragbarkeit (Art. 20 DS-GVO)
• (neu) Privacy by Design and by Default (Art. 25 DS-GVO)
• (geändert) Recht auf „Vergessenwerden“ (Art. 17 DS-GVO) geht
weit über das bisherige Recht auf Löschung hinaus
• (geändert) Erhöhte Informations- und Transparenzpflichten (Art.
12 bis Art. 15 DS-GVO) ist eine Erweiterung des
Auskunftsanspruches (Beispiel: www.selbstauskunft.net)
• (neu) Datenschutz-Folgenabschätzungen (Privacy Impact
Assessments, Art. 35 DS-GVO)
§ Datenschutz bis Mai 2016 (Extrakt) § Datenschutz ab Mai 2018 (Extrakt)
20. Die Nutzung von personenbezogenen Daten in den IT-Abwicklungssystemen führt zu
konkreten Handlungsfeldern (Beispiel)
Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding 20
Handlungsfelder
Umfangreiche Echtdaten in
Projekt-/ Test- und
Schulungssystemen
Historischer Datenbestand in
Produktivsystemen
Umfangreicher Datenbestand
aus Prozessdurchführung
SAP Test-, Schulungs- oder
Projektsysteme sind als vollständige
Kopie des Produktivsystems auf-
gebaut.
Der Datenzugriff ist jederzeit
umfangreichst und teilweise mit
erweiterten Berechtigungen möglich.
Nach Ablauf von Datenverarbeitungs-
aufträgen oder Dienstleistungs-
verträgen werden Kundendaten an
neue Dienstleister übergeben.
Der historische Datenbestand verbleibt
aktuell weiterhin in den jeweiligen
Produktivsystemen.
Prozesse zur Akquise und Vertrags-
abwicklung erzeugen Daten. Die
Nutzung dieser Daten ist für den
jeweiligen Zweck legitimiert.
Nach Ablauf der Prozessabwicklung
stehen die Daten uneingeschränkt
weiter zur Verfügung.
Test- und Projektsysteme nur mit
anonymisierten Daten
Personenbezogene Daten sind nach Ablauf der
Legitimation zu löschen
Anonymisierung Schulungs-
und Testsystem
Löschen historischer Daten
Sperren und Implementierung
kontinuierliches Datenmgmt.
1
Kundenanfragen zur
Auskunftserteilung
Anfragen zur Auskunft von Betroffenen
über die Speicherung und Verarbeitung
ihrer personenbezogenen Daten.
Auskunft erfolgt aktuell als manueller
Prozess und Informationen können nur
mit hohem Aufwand und in der Regel
nicht in der gesetzlich vorgeschriebene
Format bereitgestellt werden.
Strukturierte, IT-gestützte
Prozessbearbeitung
2 3 Auskunftsanspruch über
Daten mit Personenbezug
4
Nutzung personenbezogener Daten in IT-Systemen
22. Die Nutzung von personenbezogenen Daten in den IT-Abwicklungssystemen führt zu
konkreten Handlungsfeldern (Handlungsfeld Löschen)
Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding
Historische Daten in Produktivsystemen
„Vergessenwerden“
Art. 5 Abs. (1) e)
Identifizierung der betroffenen Person darf nur so lange möglich sein,
wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist
Art. 17
Die betroffene Person hat das Recht, von dem Verantwortlichen zu
verlangen, dass betreffende personenbezogene Daten unverzüglich
gelöscht werden und der Verantwortliche ist verpflichtet,
personenbezogene Daten unverzüglich zu löschen, bei
• Zweckerfüllung
• Widerruf einer Einwilligung
• Widerspruch gegen Verarbeitung
• Unrechtmäßige Verarbeitung (einschließlich bei Kindern)
Alle relevanten Daten müssen aus dem Produktivsystem gelöscht
werden. Ein reiner „Verschluss“ der Daten ist nicht ausreichend
Recht auf Löschung
SAP IS-U/EDM
Produktion
IS-U
Übergabe von Daten bei Dienstleisterwechsel
BuKrs Bezeichnung
0400 Vertrieb 1
0600 Vertrieb 2
0800 Vertrieb 3
Produktion
IT-System
0800 Vertrieb 3
Vollhistorische Datenübergabe an
neuen Dienstleister
22
24. Die Nutzung von personenbezogenen Daten in den IT-Abwicklungssystemen führt
zu konkreten Handlungsfeldern (Handlungsfeld Anonymisieren)
Data Security und Data Privacy in SAP - EU-DS-GVO Onboarding
Umfangreiche Echtdaten in Projekt-, Test- und Schulungssystemen
„[..] Software und IT-Verfahren sind mit systematisch
entwickelten Fall-Konstellationen (Testdaten, keine
personenbezogenen Echtdaten) nach einem Testplan, aus
dem das gewünschte Ergebnis hervorgeht, zu überprüfen.
Massentests können, wenn erforderlich, nach
Zustimmung und Vorgaben der fachlich dafür
zuständigen Stelle mit anonymisierten Originaldaten
durchgeführt werden.
Die Zustimmung der fachlich zuständigen Stelle zur
Anonymisierung von Originaldaten und alle
Testergebnisse sind revisionssicher zu dokumentieren
Quelle: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/
Inhalt/_content/m/m02/m02509.html
IT-Grundschutz-Kataloge
13. EL Stand 2013, M 2.509):
24
In SAP Test- oder Projektsystemen dürfen keine personenbezogenen
Daten gehalten werden. Alle Testverfahren sind mit anonymisierten
Datenbeständen durchzuführen
SAP CRM
Produktion
CRM
SAP
ERP / IS
Produktion
ERP
SAP CRM
Entwicklung
CRM
SAP
ERP / IS
Entwicklung
ERP
SAP CRM
Test
CRM
SAP
ERP / IS
Test
ERP
Projekt-
system
CRM
Schulungs-
system
CRM
Projekt-
system
ERP
Schulungs-
system
IS-
UER
P
Sandbox-
system
CRM
Sandbox-
system
ERP
Beispielhafte SAP-Systemlandschaft