3. Seit 2014 unterstützen wir als NATUVION unsere Kunden mit Erfahrung und Expertise im
Umfeld der Digitalisierung
3
Gegründet: 2014 als eigentümergeführter Beratungsspezialist mit
Fokus Versorgungswirtschaft, Security und Transformation
Standorte: Walldorf, Berlin, München, Wien(AT), Philadelphia(US)
Unternehmensgröße: > 55 Mitarbeiter
Expertise der Berater: > 75 % SAP zertifiziert & Ø 12 Jahre
Energiewirtschaft und SAP
SAP Gold Partner
SAP Recognized Expertise in Utilities
SAP Landscape Transformation
Langjähriger Partner der größten Energieversorger Deutschlands
Leistungen/Kompetenzen:
§ Strategisches IT-Management
§ IT Consulting für die Energiewirtschaft
§ SAP Transformation & Data Services
§ SAP Security & Data Privacy / Protection
§ Business Intelligence / Analytics
Natuvion Gruppe
Tiefgehende Erfahrung in der
Umsetzung von DS-GVO / GDPR
Anforderungen
Strategische Partnerschaft mit
Entwicklungsteams der SAP im
Bereich Data Protection and Privacy
– ILM / IRF / Consent
Enge und langjährige Partnerschaft
mit Experten im IT/ Datenschutz
Recht
Vollständiges Verständnis über die
Prozesse und Anforderungen aus
Business – IT – Datenschutzsicht
Eigene zertifizierte Lösungen für
konsistente Datenlöschung,
Auskunft und Anonymisierung
Ausgewiesene Data Protection und
Privacy Expertise (Lösungen)
Ausgewiesene
Transformationsexpertiese
Erfolgsfaktoren
Konzeption und Einführung
Anonymisierung (IS-U / CRM)
Konzernweiter Roll-Out einer
Systemanonymisierung (CRM /
IS-U / ERP / HCM)
Selektive Datenlöschung (IS-U /
CRM / ERP / BW)
Löschkonzeption DS-GVO /
GDPR (SAP Systemlandschaft)
IT und Prozesskonzeption
Konformität Rechte Betroffener
nach DS-GVO / GDPR (Auskunft
& Transparenz)
System und Daten-
dekommissionierung mit SAP
ILM
Konzeption und Realisierung
Auskunft (SAP IRF)
Relevante Referenzen
Natuvion – Ihre Spezialisten in der Realisierung der Anforderungen der GDPR / DS-GVO
Data Security und Data Privacy in SAP - Datenanonymisierung
9. Der Handlungsdruck zur Schaffung der Datenschutzkonformität besteht fortwährend und
steigt im Kontext der neuen Datenschutzgrundverordnung
9 Data Security und Data Privacy in SAP - Data Security und Data Privacy
§ Bußgeldrahmen zwischen EUR 50.000 bis 300.000
je Verstoß (Verstöße sind kumulierbar)
§ Löschung: Personenbezogene Daten sind zu
löschen, wenn sie für eigene Zwecke verarbeitet
werden, sobald ihre Kenntnis für die Erfüllung des
Zwecks der Speicherung nicht mehr erforderlich ist
§ Auskunft: Die verantwortliche Stelle hat dem
Betroffenen auf Verlangen und unentgeltlich
Auskunft zu erteilen über alle gespeicherte Daten
mit Personenbezug, Empfänger sowie über den
Zweck der Speicherung
• (geändert) Bußgeldrahmen bis EUR 20Mio. oder 4% des
weltweiten Jahresumsatzes der betroffenen
Unternehmensgruppe
• (neu) Datenübertragbarkeit (Art. 20 DS-GVO)
• (neu) Privacy by Design and by Default (Art. 25 DS-GVO)
• (geändert) Recht auf Vergessenwerden (Art. 17 DS-GVO) geht
weit über das bisherigen Recht auf Löschung hinaus
• (geändert) Erhöhte Informations- und Transparenzpflichten (Art.
12 bis Art. 15 DS-GVO) ist eine Erweiterung des
Auskunftsanspruches (Beispiel: www.selbstauskunft.net)
• (neu) Datenschutz-Folgenabschätzungen (Privacy Impact
Assessments, Art. 35 DS-GVO)
§ Datenschutz bis Mai 2016 (Extrakt) § Datenschutz ab Mai 2018 (Extrakt)
11. Die Nutzung von Personenbezogene Daten in den IT Abwicklungssystemen führen zu
konkreten Handlungsfeldern (Extrakt)
Data Security und Data Privacy in SAP - Data Security und Data Privacy11
Handlungsfelder
Umfangreiche Echtdaten in
Projekt-/ Test- und
Schulungssystemen
Historischer Datenbestand in
Produktivsystemen
Umfangreicher Datenbestand
aus Prozessdurchführung
SAP Test-, Schulungs- oder
Projektsysteme sind als vollständige
Kopie des Produktivsystems auf-
gebaut.
Der Datenzugriff ist jederzeit
umfangreichst und teilweise mit
erweiterten Berechtigungen möglich.
Nach Ablauf von Datenverarbeitungs-
aufträgen oder Dienstleistungs-
verträgen werden Kundendaten an
neue Dienstleister übergeben.
Der historische Datenbestand verbleibt
aktuell weiterhin in den jeweiligen
Produktivsystemen.
Prozesse zur Akquise und Vertrags-
abwicklung erzeugen Daten. Die
Nutzung dieser Daten ist für den
jeweiligen Zweck legitimiert.
Nach Ablauf der Prozessabwicklung
stehen die Daten uneingeschränkt
weiter zur Verfügung.
Test- und Projektsysteme nur mit
anonymisierten Daten
Personenbezogene Daten sind nach Ablauf der
Legitimation zu löschen
Anonymisierung Schulungs-
und Testsystem
Löschen historischer Daten
Sperren und Implementierung
kontinuierliches Datenmgmt.
1
Kundenanfragen zur
Auskunftserteilung
Anfragen zur Auskunft von Betroffenen
über die Speicherung und Verarbeitung
ihrer personenbezogenen Daten.
Auskunft erfolgt aktuell als manueller
Prozess und Informationen können nur
mit hohem Aufwand und in der Regel
nicht in der gesetzlich vorgeschriebene
Format bereitgestellt werden.
Strukturierte, IT-gestützte
Prozessbearbeitung
2 3 Auskunftsanspruch über
Daten mit Personenbezug
4
Nutzung personenbezogener Daten in IT-Systemen
14. Die Auskunft nach Art. 15 DS-GVO enthält umfangreiche strukturelle Vorgaben mit
Auswirkung auf die IT Abwicklungssysteme
14 Data Security und Data Privacy in SAP - Data Security und Data Privacy
a) Die betroffene Person hat das Recht, von dem Verantwortlichen eine
Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene
Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf
Auskunft über diese personenbezogenen Daten und auf folgende
Informationen:
a. die Verarbeitungszwecke
b. die Kategorien personenbezogener Daten
c. die Empfänger oder Kategorien von Empfängern
d. die geplante Dauer, für die die personenbezogenen Daten
gespeichert werden
b) Werden personenbezogene Daten an ein Drittland oder an eine
internationale Organisation übermittelt, so hat die betroffene Person das
Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang
mit der Übermittlung unterrichtet zu werden.
c) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die
Gegenstand der Verarbeitung sind, zur Verfügung.
Art. 15 EU-DS-GVO
P
P
A
A
A
P
Archivsystem
Outputsteuerung
A
P
Auftrags-/
Poststeuerung
CSS
Customer Self
Services
ELKO Verarbeitung
SAP ERP
(Klassik / HR)
ERP
SAP CRM
CRM
SAP
ERP
(Industrie)
SAP BW
SAP BO
BW
ERP
Interessentenverwaltung
& Akquise
Bonitätsprüfung
Mailgateway
Datenverarbeitung in IT-Systemen
P
17. Bei der Bearbeitung von Auskunftsersuchen ist eine mehrstufige Vorgehensweise zur
Strukturierung der Arbeitsabläufe sinnvoll
17 Data Security und Data Privacy in SAP - Data Security und Data Privacy
1. Stufe Über eine der vier beschriebenen Eingangsvarianten
wird ein Auskunftsersuchen allgemein oder explizit
nach EU-DSGVO – Art. 15 – Abs. 1 gestellt.
2. Stufe Es kommt zu Rückfragen der antragstellenden Person,
worauf dieser ein Datenabzug in elektronischer oder
schriftlicher Form zur Verfügung gestellt wird. Bezieht
sich die antragstellende Person ggf. auch direkt auf
die EU-DSGVO – Art. 15 – Abs. 3, wird der
Datenabzug sofort zur Verfügung gestellt und die
eigentlich angedachte Bearbeitungsstufe 1
übersprungen.
3. Stufe Es kommt zu weiteren Rück- oder Anfragen, was zu
einer manuellen Bearbeitung und Beantwortung
durch Kolleginnen und Kollegen des
Klärungsfallteams in Absprache mit dem
Datenschutzbeauftragten führt.
Vorgehensweise bei der Auskunft
Bearbeitung der
Anfrage durch
einen
teilautomatisiert
en Prozess.
Datenermittlung
und Auskunft via
Formular
Bearbeitung
durch
Bereitstellung
aller eindeutig
ermittelbaren
gespeicherten
Daten in
elektronischer
Form
Individuelle
Bearbeitung
durch den DSB /
DPO
Stufe 1 Stufe 2 Stufe 3
19. 19
SAP Information Retrieval Framework
Funktionalität und Umfang
Data Security und Data Privacy in SAP - Data Security und Data Privacy
Suche von Daten
Ÿ Die Suche kann nach definierten Einstiegskriterien erfolgen (Partner,
Debitor, Bestellung...)
Ÿ Datenmodelle können in unterschiedlicher Ausprägung abgelegt werden
(Versionen und Varianten)
Ÿ Die Suche kann zentral auf allen angebundenen Systemen ausgeführt
werden
Ÿ Die Suchaufträge werden Asynchron im System durchgeführt / ausgeführt
Ausgabe von Ergebnissen
Ÿ Die ausgeführten Suchaufträge persistieren die Ergebnisse in eigenen
Tabellen (ggf. eigenen Mandanten)
Ÿ Diese Daten werden nach Fristablauf gelöscht
Ÿ Ergebnisaufbereitung kann gefiltert und / oder modifiziert erfolgen
Ÿ Ausgabe der Daten in ALV Grid (SAP Standard)
Ÿ Anbindung von anderen Technologien möglich (SAP Fiori, UI5, HCP)
Ÿ Formulareinbindung nicht im Standard
• Basistechnologie (SAP BASIS) und somit in den Lizenzkosten
der SAP Business Suite enthalten
• Datensuche nach definierten Datenmodellen auf allen
Systemen in der SAP Business Suite
• Anbindung von nicht SAP Systemen und Webservices
möglich
• Nutzung der BASIS Funktionalität Generic Smart Search
• Nutzung der ILM Objekte (Tabellenumfang / Gruppierung)
und Ableitung der Lesewege
• Regelbasierte Suche und Ausschluss von Werten /
Ergebnissen
Mit SAP IRF kann Systemübergreifend eine
konsistente Datenauskunft / Datenidentifikation
realisiert werden.
Übersicht Funktionalität
22. 22
SAP Information Retrieval Framework
Vorgehen bei der Einführung
Data Security und Data Privacy in SAP - Data Security und Data Privacy
Konzeption
(4 - 6 Wochen)
Realisierung
(2 – 8 Wochen)
Roll-Out Q-System
(2 Wochen)
Schulung
(1 Woche)
Roll-Out P System
(1 Woche)
§ Datenanalyse in allen
Applikationen
§ Identifizierung pbD in
Kundenentwicklungen
§ Definition der
Verarbeitungszwecke,
Empfängerkategorien,
Datenkategorien und Arten
§ Identifizierung von
Schnittstellen zu anderen
Systemen
§ Erstellung Projektplan und
Aufwände
§ ggf. Definition von
Voraussetzungen (z.B.: Patch)
§ Erstellung Zielarchitektur
(Mandantenkonzept/ RFC)
§ Generierung / Anpassung der
Datenmodelle
§ Anlegen und Zuordnung der
Zwecke u. prüfen d. Lesewege
§ Generieren / Anlegen der
Systeme und RFC
Verbindungen
§ Einrichten zentrale Instanz
§ Anpassen der Objekte /
Tabellencluster
§ Anpassen der Lesewege
(Eigenentwicklungen)
§ Anpassung Berechtigungen
§ Performanceoptimierung
§ Transport und Prüfung der
Datenmodelle
§ Anbindung der Systeme
§ ggf. Einrichtung Mandant
§ Einrichtung und Test der
Berechtigungen
§ Vollständig synchronisierter
Testlauf mit angebundenen
Systemen
§ Performanceoptimierung
§ ggf. Korrekturen an den
Datenmodellen
§ Abnahmetest inkl. Abnahme
DPO / DSB
§ Abstimmung mit dem DS-GVO
Gesamtprojekt -
Datenschutzschulungen
§ Erstellung
Schulungsunterlagen
§ Ausbildung Klärungsfallteam
(Power-User)
§ ggf. Arbeitsanweisungen
erstelle Frontoffice (optional)
§ Transport der Datenmodelle
§ Anbindung der Systeme
§ Vergabe der Berechtigungen
§ Freigabe Test
§ Übergabe an den Betrieb
Scope Umsetzung Roll-Out Produktion Kow-How Transfer
Typische Phasen im Rahmen der Umsetzung / Dauer 8 – 20 Wochen
Projektende
23. SAP Information Retrieval Framework
Aufgaben und Aufwände bei der Einführung
IRF als konsistente und übergreifende Datenauskunft
01 02 03 04 05 06 Dez.
(**) Betrieb & Monitoring
(II) Realisierung
Arbeitspaket
(I) Konzeption / Vorbereitung
(IV) Roll-Out P-System
(III) Roll-Out Q-System
Arbeitspaket Aufwand FB Aufwand IT
(I) Konzeption / Vorbereitung 1/2/3 35 PT 20 PT
(II) Realisierung IRF4 20 PT 25 PT
(III) Roll-Out Q-System 15 PT 20 PT
(IV) Roll-Out P-System 15 PT 10 PT
Gesamtaufwand 90 PT 75 PT
Indikative Projektplanung und Aufwandschätzung1
1 Erfahrungswerte aus Referenzprojekten
2 Systeme im Scope SAP ERP / SAP CRM
3 zzgl. Externe Auditierung (optional)
4 zzgl. Lizenzkosten23 Data Security und Data Privacy in SAP - Data Security und Data Privacy
Aufgabenstellung
Stufe Aktivität
1
Konzeption und Analyse auf Basis der vorliegenden
Systemlandschaft. Erstellung eines Phasenplans sowie
Konkretisierung der Realisierungsaufwände. Aufstellung
und ggf. Planung der Systemvoraussetzungen.
2
Realisierung der notwendigen Datenmodellgenerierung,
Datenmodellanpassung, UI- und
Schnittstellenerweiterung sowie Berechtigungen
3
Roll-Out und Test der Konfiguration sowie der
Entwicklungen/ Erweiterungen auf die produktive
Systemkette (Qualitätssystem)
4
Roll-Out und Betrieb der Konfiguration sowie der
Entwicklungen/ Erweiterungen auf die produktive
Systemkette (Produktion)
26. Natuvion GmbH
Altrottstraße 31 | 69190 Walldorf
Fon +49 6227 73-1400
Fax +49 6227 73-1410
www.natuvion.com
Wir freuen uns über Ihre Fragen und Anmerkungen
Patric Dahse
Geschäftsführer
Fon: +49 151 171 357 02
Mail: patric.dahse@natuvion.com
18 Data Security und Data Privacy in SAP - Data Security und Data Privacy
Besuchen Sie uns auch unter
Data Protection & Privacy
www.professional-system-security.com/
Natuvion
www.natuvion.com/
Patric Dahse
Geschäftsführer
Natuvion GmbH
Altrottstr. 31
69190 Walldorf
T +49 (0) 6227.73 -1400
F +49 (0) 6227.73 -1410
patric.dahse@natuvion.com
Tätigkeitsbereiche
§ Data Protection & Privacy
§ SAP Transformation