DSGVO-Pflichten

Mit den richtigen Werkzeugen klappt‘s

Viele mittelständische Unternehmen hadern noch immer mit der praktischen Umsetzung der Datenschutz-Grundverordnung. SAP-Werkzeuge, wie das Information Lifecycle Management (ILM), können allerdings zur DSGVO-Konformität verhelfen.

  • Bunter Korb

    Mit ILM und IRM können Unternehmen personenbezogene Daten und Dokumente sperren, archivieren – und auch löschen, wenn die gesetzlichen Aufbewahrungspflichten verstrichen sind. ((Bildquelle: Getty Images/iStock))

  • Meik Brand, QSC

    „Gemeinhin gehen Unternehmen davon aus, dass sie mit der DSGVO sämtliche Datenverarbeitungsprozesse lückenlos dokumentieren müssen", sagt Meik Brand, QSC. ((Bildquelle: QSC))

Seit Mai 2018 ist die EU-weit geltende Datenschutz-Grundverordnung (DSGVO) in Kraft. Aber noch immer tun sich viele Unternehmen schwer: Laut einer aktuellen Umfrage der deutschsprachigen SAP-Anwendergruppe (DSAG) erfüllen lediglich zwölf Prozent der Unternehmen die Vorgaben bereits vollständig. 83 Prozent der Befragten setzen die Richtlinien nur zum Teil um. Datenschutzkonform verhalten sich dabei vor allem Großunternehmen, für viele Mittelständler bleibt die Umsetzung dagegen ein Kraftakt. In einer Bitkom-Studie beklagen 78 Prozent der Befragten höhere Aufwände durch die DSGVO im laufenden Betrieb.

Kontrolle über alle Daten

Leichter fällt die Umsetzung mit dem SAP Information Lifecycle Management (ILM). Mit diesem Werkzeug behalten Anwender die volle Kontrolle über alle Daten – von der Erstellung bis zur endgültigen Lösung. Im Lizenzumfang inbegriffen: Der Information Retention Manager (IRM), der bei der Datensperrung- und löschung eine wichtige Rolle übernimmt und den Lebenszyklus von Informationen über Regeln und Richtlinien steuert. SAP arbeitet derzeit an weiteren Ergänzungen. Momentan (Stand: Oktober 2019) ist die Software für den Einsatz in Data Warehouse und Business Intelligenz nicht umfassend genug.

Erhebliches Kopfzerbrechen bereitet die Auskunftspflicht: Unternehmen müssen Auskunft über die von ihnen erhobenen personenbezogenen Daten geben – immer dann, wenn sie von den Kunden oder ihren Mitarbeitern danach gefragt werden. Hier herrscht in vielen Unternehmen Unklarheit, welche Daten sie herausgeben müssen. Ein Beispiel: Wenn Unternehmen sogenannte verbundene Daten über einen Kunden speichern – dazu gehören zum Beispiel Schufa-Daten –, sind sie nicht verpflichtet, ihm diese zu melden. Bei solchen Auskunftsangelegenheiten greift das Information Retrieval Framework von SAP den Unternehmen unter die Arme. Verbindet man es zusätzlich mit dem Data Controller Rule Framework, sorgt das Duo dafür, die DSGVO-Prinzipien der Zweckbindung und Datensparsamkeit zu erfüllen.

Leichter sperren und löschen

Mit ILM und IRM können Unternehmen personenbezogene Daten und Dokumente sperren, archivieren – und auch löschen, wenn die gesetzlichen Aufbewahrungspflichten verstrichen sind. Die Schwierigkeit dabei: Die Fristen variieren je nach Anwendungsfall und Produkt. Buchhaltungsunterlagen bleiben entweder sechs oder zehn Jahre gespeichert, Apotheker müssen jedoch Fristen von drei, fünf, zehn und teilweise sogar 30 Jahren beachten. Unternehmen sollten daher Archivierungsobjekte anlegen und entsprechende Sperr- und Löschlogiken definieren. Der Vorteil: Erreichen zum Beispiel die Buchhaltungsbelege ihr gesetzliches Verfallsdatum, werden sie automatisch vernichtet.

Datentransparenz in der Public Cloud

SAP Data Custodian bietet Unternehmen zusätzliche Transparenz und Kontrollmechanismen. Über Software-definierte Regeln können Unternehmen die Bewegung ihrer Daten in der Public Cloud steuern und nachvollziehen. So lassen sich auch spezifische regionale Datenschutzbestimmungen flexibel umsetzen.

 

Prozesse auf dem Prüfstand

Vielen Unternehmen dürfte erst im Laufe der Prüfung und Anpassung ihrer Prozesse bewusst werden, wie groß ihr Nachholbedarf in Sachen Datenschutz ist. Wer sich DSGVO-konform aufstellen möchte, muss sämtliche datenverarbeitende Prozesse auf den Prüfstand stellen – das betrifft SAP-Anwendungen genauso wie über die Jahre entwickelte Individualsoftware. Bei einer solchen Bestandsaufnahme müssen die Unternehmen auch klären, ob sie – unter Umständen nicht DSGVO-konforme – Schatten-IT nutzen, etwa Cloud-Speicher wie Dropbox.

Warum hadern Mittelständler mit der DSGVO-Umsetzung? IT-Mittelstand spricht mit Meik Brand, Business Development Manager bei der QSC AG, über die größten Wissenslücken und DSGVO-Baustellen in mittelständischen Unternehmen.

ITM: Herr Brand, die Mehrheit der Mittelständler fordert, dass die DSGVO nachgebessert werden muss. Warum tun sie sich mit dem Regelwerk so schwer?
Meik Brand:
Mittelständische Unternehmen haben oft wenig Erfahrung mit dem Datenschutz. Es fehlt an Know-how und Personal. Daher reagieren manche bisweilen panisch – und völlig überzogen. Da werden dann vorsichtshalber schon mal ganze Webseiten eingestellt. Die Unternehmen empfinden Vorgaben wie Informations-, Dokumentations- und Auskunftspflicht als belastend, weil sie nicht richtig abschätzen können, was die Bestimmungen konkret für das eigene Business bedeuten. Deshalb wäre für viele Firmen eine externe Beratung ratsam. Das könnte viel Druck aus der Sache nehmen.

ITM: Aber es gibt doch Cloud-Lösungen, mit deren Hilfe sich Unternehmen DSGVO-konform verhalten.
Brand:
Richtig. Mit Software-Werkzeugen wie dem SAP Lifecycle Management lassen sich wesentliche Anforderungen der DSGVO leichter erfüllen. Aber wer sie nutzen will, kommt um Software-Einführungsprojekte nicht herum. Diese beanspruchen normalerweise eine Laufzeit von sechs Monaten. Ihre Komplexität überfordert manches Unternehmen – aber auch dabei gibt es ja reichlich externe Unterstützung.

ITM: Wo sehen Sie die größten Wissenslücken in Sachen DSGVO?
Brand:
Gemeinhin gehen Unternehmen davon aus, dass sie mit der DSGVO sämtliche Datenverarbeitungsprozesse lückenlos dokumentieren müssen. Stimmt natürlich, ist aber nicht weitreichend genug. Wer sich DSGVO-konform aufstellen möchte, braucht überdies Verfahren, um Risiken zu melden, ein Berechtigungsmanagement und einen Werkschutz. Auch Sicherheitssoftware wie Firewall und Verschlüsselung gehören dazu. In vielen Unternehmen läuft die Kommunikation zwischen SAP-GUI am Frontend und den Datenbanken und Appservern im Backend nach wie vor unverschlüsselt. Das ist nur eine DSGVO-Baustelle unter vielen.

 

 

 

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok