Data Security und Data Privacy – Auskunft Umsetzung des Rechts auf Auskunft nach DS-GVO Art. 15 / GDPR Art. 15

1. Data Security und Data Privacy
Natuvion Webcast Nr. 5 – Auskunft
Natuvion GmbH – 06.2017

2. AGENDA
Natuvion
Webcast-Reihe Data Security und Data Privacy
Datenschutz und Datenschutzgrundverordnung
Handlungsfeld Datenauskunft
Realisierung Datenauskunft
Kontakt
2

3. Seit 2014 unterstützen wir als NATUVION unsere Kunden mit Erfahrung und Expertise im
Umfeld der Digitalisierung
3
Gegründet: 2014 als eigentümergeführter Beratungsspezialist mit
Fokus Versorgungswirtschaft, Security und Transformation
Standorte: Walldorf, Berlin, München, Wien(AT), Philadelphia(US)
Unternehmensgröße: > 55 Mitarbeiter
Expertise der Berater: > 75 % SAP zertifiziert & Ø 12 Jahre
Energiewirtschaft und SAP
SAP Gold Partner
SAP Recognized Expertise in Utilities
SAP Landscape Transformation
Langjähriger Partner der größten Energieversorger Deutschlands
Leistungen/Kompetenzen:
§ Strategisches IT-Management
§ IT Consulting für die Energiewirtschaft
§ SAP Transformation & Data Services
§ SAP Security & Data Privacy / Protection
§ Business Intelligence / Analytics
Natuvion Gruppe
Tiefgehende Erfahrung in der
Umsetzung von DS-GVO / GDPR
Anforderungen
Strategische Partnerschaft mit
Entwicklungsteams der SAP im
Bereich Data Protection and Privacy
– ILM / IRF / Consent
Enge und langjährige Partnerschaft
mit Experten im IT/ Datenschutz
Recht
Vollständiges Verständnis über die
Prozesse und Anforderungen aus
Business – IT – Datenschutzsicht
Eigene zertifizierte Lösungen für
konsistente Datenlöschung,
Auskunft und Anonymisierung
Ausgewiesene Data Protection und
Privacy Expertise (Lösungen)
Ausgewiesene
Transformationsexpertiese
Erfolgsfaktoren
Konzeption und Einführung
Anonymisierung (IS-U / CRM)
Konzernweiter Roll-Out einer
Systemanonymisierung (CRM /
IS-U / ERP / HCM)
Selektive Datenlöschung (IS-U /
CRM / ERP / BW)
Löschkonzeption DS-GVO /
GDPR (SAP Systemlandschaft)
IT und Prozesskonzeption
Konformität Rechte Betroffener
nach DS-GVO / GDPR (Auskunft
& Transparenz)
System und Daten-
dekommissionierung mit SAP
ILM
Konzeption und Realisierung
Auskunft (SAP IRF)
Relevante Referenzen
Natuvion – Ihre Spezialisten in der Realisierung der Anforderungen der GDPR / DS-GVO
Data Security und Data Privacy in SAP - Datenanonymisierung

4. AGENDA
Natuvion
Webcast-Reihe Data Security und Data Privacy
Datenschutz und Datenschutzgrundverordnung
Handlungsfeld Datenauskunft
Realisierung Datenauskunft
Kontakt
4

5. Natuvion Webcasts
Überblick der Webcast-Reihe „Data Security und Data Privacy"
Data Security und Data Privacy in SAP - Data Security und Data Privacy5
1
1 Std.
Die Webcast-Reihe „Data Security und Data Privacy in SAP“ gibt einen umfassenden Überblick über die
Handlungsfelder und Realisierungsmöglichkeiten im Rahmen der EU-GDPR / EU-DSGVO.
EU-DSGVO/ GDPR On Boarding
Juristischer Überblick und grundsätzliche
Strukturierung der Handlungsfelder (1 Stunde)
2
45 Min.
Löschen von historischen Datenbeständen
Konsistentes Löschen von Massendaten in SAP
Systemlandschaften (30 Minuten)
3
45 Min.
Einfaches Sperren und Löschen
Überblick und Erfahrungen bei der Einführung von SAP
Information Lifecycle Management (30 Minuten)
4
45 Min.
Anonymisierung / Pseudonymisierung
Hintergrund, Herausforderung und Umsetzung einer
DSGVO / GDPR konformen Anonymisierung
5
30 Min.
Datenauskunft / Transparenz
DSGVO / GDPR konforme Datenauskunft von der
Konzeption bis zur Einführung – SAP IRF.
6
45 Min.
Einwilligung / Zustimmung
DSGVO / GDPR konforme Einwilligung Konzeption bis
zur Einführung – SAP CONSENT.
7
45 Min.
Privacy Impact Assessment
Wie können PIAs praktisch umgesetzt und gelebt
werden?

6. Natuvion Webcasts
Überblick der Webcast-Reihe „Data Security und Data Privacy"
Data Security und Data Privacy in SAP - Data Security und Data Privacy6
1
1 Std.
Die Webcast-Reihe „Data Security und Data Privacy in SAP“ gibt einen umfassenden Überblick über die
Handlungsfelder und Realisierungsmöglichkeiten im Rahmen der EU-GDPR / EU-DSGVO.
EU-DSGVO/ GDPR On Boarding
Juristischer Überblick und grundsätzliche
Strukturierung der Handlungsfelder (1 Stunde)
2
45 Min.
Löschen von historischen Datenbeständen
Konsistentes Löschen von Massendaten in SAP
Systemlandschaften (30 Minuten)
3
45 Min.
Einfaches Sperren und Löschen
Überblick und Erfahrungen bei der Einführung von SAP
Information Lifecycle Management (30 Minuten)
4
45 Min.
Anonymisierung / Pseudonymisierung
Hintergrund, Herausforderung und Umsetzung einer
DSGVO / GDPR konformen Anonymisierung
5
30 Min.
Datenauskunft
DSGVO / GDPR konforme Datenauskunft von der
Konzeption bis zur Einführung.
6
45 Min.
Einwilligung / Zustimmung
DSGVO / GDPR konforme Einwilligung Konzeption bis
zur Einführung – SAP CONSENT.
7
45 Min.
Privacy Impact Assessment
Wie können PIAs praktisch umgesetzt und gelebt
werden?

7. AGENDA
Natuvion
Webcast-Reihe Data Security und Data Privacy
Datenschutz und Datenschutzgrundverordnung
Handlungsfeld Datenauskunft
Realisierung Datenauskunft
Kontakt
7

8. 8
Datenschutz-Grundverordnung
Wirksame und abschreckende Geldbußen (Wortlaut Art. 83 Abs. 1 DS-GVO)
Betrifft sowohl Vorsatz wie auch Fahrlässigkeit auch von Managern, Datenschutzbeauftragten und sonstigen
an fehlerhaften Entscheidungen zum Datenschutz beteiligten Personen (bis zu EUR 20 mio.)
Bußgelder für Unternehmen bis zu EUR 20 mio. bzw. 4% des globalen Vorjahresumsatzes
à damit rücken Bußgelder in die Größenordnung von kartellrechtlichen Pönalen
Beweislastumkehr zu Ungunsten Daten verarbeitender Unternehmen: Nicht nur
sicherstellen, sondern Nachweis erbringen können
Deutlich Erhöhung des Bedarfs an systematischen Lösungen, die eine
vollumfängliche Dokumentation von Maßnahmen erlauben
Verstöße haben zukünftig noch schwerwiegendere monetäre Folgen für Unternehmen.
Und was heißt das jetzt konkret?
Data Security und Data Privacy in SAP - Data Security und Data Privacy
20 MEUR
oder 4%
Transparenz
über Datenschutz-
verstöße
Einheitliches
Recht für EU
Wirtschaftsraum
MAI
2018
Portabilität
Recht auf
Vergessenwerden
Einwilligung
& Kinder

9. Der Handlungsdruck zur Schaffung der Datenschutzkonformität besteht fortwährend und
steigt im Kontext der neuen Datenschutzgrundverordnung
9 Data Security und Data Privacy in SAP - Data Security und Data Privacy
§ Bußgeldrahmen zwischen EUR 50.000 bis 300.000
je Verstoß (Verstöße sind kumulierbar)
§ Löschung: Personenbezogene Daten sind zu
löschen, wenn sie für eigene Zwecke verarbeitet
werden, sobald ihre Kenntnis für die Erfüllung des
Zwecks der Speicherung nicht mehr erforderlich ist
§ Auskunft: Die verantwortliche Stelle hat dem
Betroffenen auf Verlangen und unentgeltlich
Auskunft zu erteilen über alle gespeicherte Daten
mit Personenbezug, Empfänger sowie über den
Zweck der Speicherung
• (geändert) Bußgeldrahmen bis EUR 20Mio. oder 4% des
weltweiten Jahresumsatzes der betroffenen
Unternehmensgruppe
• (neu) Datenübertragbarkeit (Art. 20 DS-GVO)
• (neu) Privacy by Design and by Default (Art. 25 DS-GVO)
• (geändert) Recht auf Vergessenwerden (Art. 17 DS-GVO) geht
weit über das bisherigen Recht auf Löschung hinaus
• (geändert) Erhöhte Informations- und Transparenzpflichten (Art.
12 bis Art. 15 DS-GVO) ist eine Erweiterung des
Auskunftsanspruches (Beispiel: www.selbstauskunft.net)
• (neu) Datenschutz-Folgenabschätzungen (Privacy Impact
Assessments, Art. 35 DS-GVO)
§ Datenschutz bis Mai 2016 (Extrakt) § Datenschutz ab Mai 2018 (Extrakt)

10. AGENDA
Natuvion
Webcast-Reihe Data Security und Data Privacy
Datenschutz und Datenschutzgrundverordnung
Handlungsfeld Datenauskunft
Realisierung Datenauskunft
Kontakt
10

11. Die Nutzung von Personenbezogene Daten in den IT Abwicklungssystemen führen zu
konkreten Handlungsfeldern (Extrakt)
Data Security und Data Privacy in SAP - Data Security und Data Privacy11
Handlungsfelder
Umfangreiche Echtdaten in
Projekt-/ Test- und
Schulungssystemen
Historischer Datenbestand in
Produktivsystemen
Umfangreicher Datenbestand
aus Prozessdurchführung
SAP Test-, Schulungs- oder
Projektsysteme sind als vollständige
Kopie des Produktivsystems auf-
gebaut.
Der Datenzugriff ist jederzeit
umfangreichst und teilweise mit
erweiterten Berechtigungen möglich.
Nach Ablauf von Datenverarbeitungs-
aufträgen oder Dienstleistungs-
verträgen werden Kundendaten an
neue Dienstleister übergeben.
Der historische Datenbestand verbleibt
aktuell weiterhin in den jeweiligen
Produktivsystemen.
Prozesse zur Akquise und Vertrags-
abwicklung erzeugen Daten. Die
Nutzung dieser Daten ist für den
jeweiligen Zweck legitimiert.
Nach Ablauf der Prozessabwicklung
stehen die Daten uneingeschränkt
weiter zur Verfügung.
Test- und Projektsysteme nur mit
anonymisierten Daten
Personenbezogene Daten sind nach Ablauf der
Legitimation zu löschen
Anonymisierung Schulungs-
und Testsystem
Löschen historischer Daten
Sperren und Implementierung
kontinuierliches Datenmgmt.
1
Kundenanfragen zur
Auskunftserteilung
Anfragen zur Auskunft von Betroffenen
über die Speicherung und Verarbeitung
ihrer personenbezogenen Daten.
Auskunft erfolgt aktuell als manueller
Prozess und Informationen können nur
mit hohem Aufwand und in der Regel
nicht in der gesetzlich vorgeschriebene
Format bereitgestellt werden.
Strukturierte, IT-gestützte
Prozessbearbeitung
2 3 Auskunftsanspruch über
Daten mit Personenbezug
4
Nutzung personenbezogener Daten in IT-Systemen

12. Die Nutzung von Personenbezogene Daten in den IT Abwicklungssystemen führen zu
konkreten Handlungsfeldern (Beispiel)
12
Historischer Datenbestand in
Produktivsystemen
Beim Ablauf von
Dienstleistungsverträgen sind
Kundendaten an einen
Rechtsnachfolger (neue
verantwortliche Stelle) übergeben
Worden
Der historische Datenbestand ist in
der produktiven Systemlandschaft
verblieben
Umfangreicher Datenbestand
aus Prozessdurchführung
Prozesse zur Akquise und Vertrags-
abwicklung erzeugen Daten. Die
Nutzung dieser Daten ist
grundsätzlich jeweils legitimiert.
Nach Ablauf der Prozessabwicklung
stehen die Daten bislang aber auch
weiterhin uneingeschränkt zur
Verfügung
Auskunftsanspruch über
Daten mit Personenzug
Erteilung einer Auskunft an
Betroffene über die Speicherung ihrer
personenbezogenen Daten
Auskunft ist in strukturierter
elektronischer Form mit der Angabe
über Ort, Grund und ggf. Empfänger
sowie Dauer der Speicherung /
Löschkriterien zu gestallten.
Umfangreiche Echtdaten in
Sekundärsystemen
SAP Test-, Schulungs- oder
Projektsysteme sind als vollständige
Kopie des Produktivsystems
aufgebaut.
Der Datenzugriff ist umfangreichst
möglich.
û (1) Zu realisieren
û (2) Zu realisieren
û (3) Zu realisieren
6
4
3
1
Buchungskreise im System
mit zu überprüfender Legitimation
77.000
4.200.000
WechselInteressenten Inaktiv
1.150.000
400
davon
mit Aufsicht
kritisch
Aktuell
ca. 120 p.a.
Auskunft Dunkelz.
Datenerhebungen mit zu
überprüfender Legitimation
(aktuelles Jahr)
Auskunftsersuchen (§ 34 BDSG)
Aufsicht (§ 38 BDSG)
* Anzahl der Anfragen über alle Dienstleister hinweg derzeit
nicht ermittelbar
* Wechsel = abgelehnte Wechsel und Speicherung der Daten
û (3) Zu realisieren
1 2 3 4
Gesellschaften
Echtdaten in Sekundärsystemen
(Zugriff umfangreich / Zugriff eingeschränkt / Daten
anonymisiert)
16
4
2
475.000 Kunden
Umfangreich Eingeschränkt Anonym.
Data Security und Data Privacy in SAP - Data Security und Data Privacy

13. Auskunftsanspruch des Betroffenen an personenbezogenen Daten
13
Organisationen o.
Wettbewerb
Einzelpersonen
Energieversorger
Quelle: Selbstauskunft.net
Beispiel EVU (aktuell)
Ø 41 Tage
Zukunft: Auskunft über erhobene personenbezogene Daten
Durchs. Bearbeitungsdauer (Tag)
für Auskunftsersuchen § 34 BDSG
Extrakt der Risiken / Herausforderungen neuer Transparenzpflichten ab 2018
Datenschutzerklärung muss Speicher-/Löschangaben enthalten
Bußgeldbaukasten für Aufsichtsbehörden, Verbände, Konkurrenz & Betroffene
Mangelnde Umsetzung eines erklärten Status quo
Vorsatz des Konformitätsverstoßes – hohes (persönliches) Risiko der Haftung
Einzelpers./Organ. ersucht Auskunft / beantragt Datenübertragung
Innerhalb von einem Monat muss Auskunft u. / o. Übermittlung erfolgen
Aufsichtsbehörde/Gericht trifft ad-hoc Anordnung zur Umsetzung
oder EVU trifft sonstige rechtliche Pflicht
Unverzügliche Umsetzung der Datenschutzanforderungen/ Auflagen
1
2
3
4
48
19 19
59
KW36KW26 KW03KW46 KW13
X
Bei Verzögerung, nicht Konformität o. falscher Beantwortung
Öffentliche Streitigkeiten/ Bekanntmachung, monetäre (nachhaltige)
Auswirkungen und nachhaltige Rufschädigung
EU-DS-GVO Art. 12 Abs. 3 (Frist) / EU-DSGVO Art. 13/14/15 (Umfang)
Data Security und Data Privacy in SAP - Data Security und Data Privacy
Die Auskunft nach Art. 15 DS-GVO enthält umfangreiche strukturelle Vorgaben mit
Auswirkung auf die IT Abwicklungssysteme

14. Die Auskunft nach Art. 15 DS-GVO enthält umfangreiche strukturelle Vorgaben mit
Auswirkung auf die IT Abwicklungssysteme
14 Data Security und Data Privacy in SAP - Data Security und Data Privacy
a) Die betroffene Person hat das Recht, von dem Verantwortlichen eine
Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene
Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf
Auskunft über diese personenbezogenen Daten und auf folgende
Informationen:
a. die Verarbeitungszwecke
b. die Kategorien personenbezogener Daten
c. die Empfänger oder Kategorien von Empfängern
d. die geplante Dauer, für die die personenbezogenen Daten
gespeichert werden
b) Werden personenbezogene Daten an ein Drittland oder an eine
internationale Organisation übermittelt, so hat die betroffene Person das
Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang
mit der Übermittlung unterrichtet zu werden.
c) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die
Gegenstand der Verarbeitung sind, zur Verfügung.
Art. 15 EU-DS-GVO
P
P
A
A
A
P
Archivsystem
Outputsteuerung
A
P
Auftrags-/
Poststeuerung
CSS
Customer Self
Services
ELKO Verarbeitung
SAP ERP
(Klassik / HR)
ERP
SAP CRM
CRM
SAP
ERP
(Industrie)
SAP BW
SAP BO
BW
ERP
Interessentenverwaltung
& Akquise
Bonitätsprüfung
Mailgateway
Datenverarbeitung in IT-Systemen
P

15. Das Ersuchen einer Auskunft kann über verschiedene Eingangskanäle in das Unternehmen
kommen und muss strukturiert und zügig bearbeitet werden. (IST-Zustand)
15 Data Security und Data Privacy in SAP - Data Security und Data Privacy
Eingang
Kunde / Partner /
Organisation fragt
Auskunft an.
Routing Datenermittlung Ausgang
-- 30 Minuten 4 Stunden – 5 Tage 1 – 2 Stunden
(Beispiel) Durchschnittliche Bearbeitungsdauer von 5 Stunden – 6 Tage je Vorfall
Die Daten werden in den Systemen manuell
ermittelt.
Es werden die Systeme produktiven Systeme der IT
- Landschaft betrachtet.
DSB oder Kundenservice
leitet es an das
Klärungsfallteam zur
Bearbeitung
Das Antwort-formular wird
manuell befüllt und
versandt
Direkte Anfrage an den DS
Beauftragten
Anfrage Kunde an den
Kundenservice
Anfrage durch DS
Aufsichtsbehörde an DS
Beauftragten
Anfrage durch öffentliche
Behörde (z.B.: Polizei)
Variante 1 Variante 2 Variante 3 Variante 4

16. Das Ersuchen einer Auskunft kann über verschiedene Eingangskanäle in das Unternehmen
kommen und muss strukturiert und zügig bearbeitet werden. (Ziel-Zustand)
16 Data Security und Data Privacy in SAP - Data Security und Data Privacy
Eingang
Kunde / Partner /
Organisation fragt
Auskunft an.
Routing Datenermittlung Ausgang
-- 30 Minuten 30 Minuten – 2 Stunden 30 Min. – 1 Stunde
(Beispiel) Durchschnittliche Bearbeitungsdauer von 1 – 4 Stunden
Die Daten werden in den Systemen
automatisch (SAP IRF) ermittelt.
Es werden die Systeme produktiven
Systeme der IT - Landschaft
betrachtet.
DSB oder
Kundenservice leitet
es an das
Klärungsfallteam zur
Bearbeitung
Das Antwort-
formular wird
automatisch befüllt,
manuell geprüft und
versandt
Direkte Anfrage an den DS
Beauftragten
Anfrage Kunde an den
Kundenservice
Anfrage durch DS
Aufsichtsbehörde an DS
Beauftragten
Anfrage durch öffentliche
Behörde (z.B.: Polizei)
Variante 1 Variante 2 Variante 3 Variante 4
Legal Case Mgmt.
30 Minuten
Es wird eine Aktivität
angelegt und eine
Frist zur Einhaltung
der gesetzlichen
Bearbeitungsfrist
gesetzt.

17. Bei der Bearbeitung von Auskunftsersuchen ist eine mehrstufige Vorgehensweise zur
Strukturierung der Arbeitsabläufe sinnvoll
17 Data Security und Data Privacy in SAP - Data Security und Data Privacy
1. Stufe Über eine der vier beschriebenen Eingangsvarianten
wird ein Auskunftsersuchen allgemein oder explizit
nach EU-DSGVO – Art. 15 – Abs. 1 gestellt.
2. Stufe Es kommt zu Rückfragen der antragstellenden Person,
worauf dieser ein Datenabzug in elektronischer oder
schriftlicher Form zur Verfügung gestellt wird. Bezieht
sich die antragstellende Person ggf. auch direkt auf
die EU-DSGVO – Art. 15 – Abs. 3, wird der
Datenabzug sofort zur Verfügung gestellt und die
eigentlich angedachte Bearbeitungsstufe 1
übersprungen.
3. Stufe Es kommt zu weiteren Rück- oder Anfragen, was zu
einer manuellen Bearbeitung und Beantwortung
durch Kolleginnen und Kollegen des
Klärungsfallteams in Absprache mit dem
Datenschutzbeauftragten führt.
Vorgehensweise bei der Auskunft
Bearbeitung der
Anfrage durch
einen
teilautomatisiert
en Prozess.
Datenermittlung
und Auskunft via
Formular
Bearbeitung
durch
Bereitstellung
aller eindeutig
ermittelbaren
gespeicherten
Daten in
elektronischer
Form
Individuelle
Bearbeitung
durch den DSB /
DPO
Stufe 1 Stufe 2 Stufe 3

18. AGENDA
Natuvion
Webcast-Reihe Data Security und Data Privacy
Datenschutz und Datenschutzgrundverordnung
Handlungsfeld Datenauskunft
Realisierung Datenauskunft
Kontakt
18

19. 19
SAP Information Retrieval Framework
Funktionalität und Umfang
Data Security und Data Privacy in SAP - Data Security und Data Privacy
Suche von Daten
Ÿ Die Suche kann nach definierten Einstiegskriterien erfolgen (Partner,
Debitor, Bestellung...)
Ÿ Datenmodelle können in unterschiedlicher Ausprägung abgelegt werden
(Versionen und Varianten)
Ÿ Die Suche kann zentral auf allen angebundenen Systemen ausgeführt
werden
Ÿ Die Suchaufträge werden Asynchron im System durchgeführt / ausgeführt
Ausgabe von Ergebnissen
Ÿ Die ausgeführten Suchaufträge persistieren die Ergebnisse in eigenen
Tabellen (ggf. eigenen Mandanten)
Ÿ Diese Daten werden nach Fristablauf gelöscht
Ÿ Ergebnisaufbereitung kann gefiltert und / oder modifiziert erfolgen
Ÿ Ausgabe der Daten in ALV Grid (SAP Standard)
Ÿ Anbindung von anderen Technologien möglich (SAP Fiori, UI5, HCP)
Ÿ Formulareinbindung nicht im Standard
• Basistechnologie (SAP BASIS) und somit in den Lizenzkosten
der SAP Business Suite enthalten
• Datensuche nach definierten Datenmodellen auf allen
Systemen in der SAP Business Suite
• Anbindung von nicht SAP Systemen und Webservices
möglich
• Nutzung der BASIS Funktionalität Generic Smart Search
• Nutzung der ILM Objekte (Tabellenumfang / Gruppierung)
und Ableitung der Lesewege
• Regelbasierte Suche und Ausschluss von Werten /
Ergebnissen
Mit SAP IRF kann Systemübergreifend eine
konsistente Datenauskunft / Datenidentifikation
realisiert werden.
Übersicht Funktionalität

20. SAP Information Management
Integration in verteilte Systemlandschaften
Datenauskunft in verbundenen Systemen
Die Ausführung der Sperrung & Löschung kann von einem
zentralen System für alle Systeme im Verbund ausgeführt werden
Prozessablauf einer Auskunft im System
Erstellen des Suchauftrags / Speicherung des Suchauftrags
(Anlegen einer Anfrage als Kontakt / Case)
Abhängig definierter Schnittstellen im Datenmodell, Suche in
angebundenen Systemen
(persistieren der Ergebnisse in zentralen System)
Aufbereitung der Ergebnisse / Ausgabe
(Löschung der Daten nach Ablauf der Aufbewahrungsfrist)
Suche der Daten im zentralen System
(persistieren der Ergebnisse)
1
2
3
4
Komplexität der Datenverarbeitung in IT-Systemen
P
P
A
A
A
A
A
A
P
Archivsystem
Outputsteuerung
A
P
A
Auftrags-/
Poststeuerung
CSS
Customer Self
Services
ELKO Verarbeitung
SAP ERP
FI / CO
ERP
SAP CRM
CRM
SAP
Produktion
(Industrie o.
Planung o.
Logistik)
SAP BW
SAP BO
BW
ERP
Interessenten-
verwaltung &
Akquise
Datenaustausch
Bonitätsprüfung
Mailgateway
betroffen
n. betroffen
A = Archivsystem
P = Output/Print
20
führend
Data Security und Data Privacy in SAP - Data Security und Data Privacy

21. SAP Information Retrieval Framework
DEMO Konfiguration und Durchführung einer Auskunft
Data Security und Data Privacy in SAP - Data Security und Data Privacy21

22. 22
SAP Information Retrieval Framework
Vorgehen bei der Einführung
Data Security und Data Privacy in SAP - Data Security und Data Privacy
Konzeption
(4 - 6 Wochen)
Realisierung
(2 – 8 Wochen)
Roll-Out Q-System
(2 Wochen)
Schulung
(1 Woche)
Roll-Out P System
(1 Woche)
§ Datenanalyse in allen
Applikationen
§ Identifizierung pbD in
Kundenentwicklungen
§ Definition der
Verarbeitungszwecke,
Empfängerkategorien,
Datenkategorien und Arten
§ Identifizierung von
Schnittstellen zu anderen
Systemen
§ Erstellung Projektplan und
Aufwände
§ ggf. Definition von
Voraussetzungen (z.B.: Patch)
§ Erstellung Zielarchitektur
(Mandantenkonzept/ RFC)
§ Generierung / Anpassung der
Datenmodelle
§ Anlegen und Zuordnung der
Zwecke u. prüfen d. Lesewege
§ Generieren / Anlegen der
Systeme und RFC
Verbindungen
§ Einrichten zentrale Instanz
§ Anpassen der Objekte /
Tabellencluster
§ Anpassen der Lesewege
(Eigenentwicklungen)
§ Anpassung Berechtigungen
§ Performanceoptimierung
§ Transport und Prüfung der
Datenmodelle
§ Anbindung der Systeme
§ ggf. Einrichtung Mandant
§ Einrichtung und Test der
Berechtigungen
§ Vollständig synchronisierter
Testlauf mit angebundenen
Systemen
§ Performanceoptimierung
§ ggf. Korrekturen an den
Datenmodellen
§ Abnahmetest inkl. Abnahme
DPO / DSB
§ Abstimmung mit dem DS-GVO
Gesamtprojekt -
Datenschutzschulungen
§ Erstellung
Schulungsunterlagen
§ Ausbildung Klärungsfallteam
(Power-User)
§ ggf. Arbeitsanweisungen
erstelle Frontoffice (optional)
§ Transport der Datenmodelle
§ Anbindung der Systeme
§ Vergabe der Berechtigungen
§ Freigabe Test
§ Übergabe an den Betrieb
Scope Umsetzung Roll-Out Produktion Kow-How Transfer
Typische Phasen im Rahmen der Umsetzung / Dauer 8 – 20 Wochen
Projektende

23. SAP Information Retrieval Framework
Aufgaben und Aufwände bei der Einführung
IRF als konsistente und übergreifende Datenauskunft
01 02 03 04 05 06 Dez.
(**) Betrieb & Monitoring
(II) Realisierung
Arbeitspaket
(I) Konzeption / Vorbereitung
(IV) Roll-Out P-System
(III) Roll-Out Q-System
Arbeitspaket Aufwand FB Aufwand IT
(I) Konzeption / Vorbereitung 1/2/3 35 PT 20 PT
(II) Realisierung IRF4 20 PT 25 PT
(III) Roll-Out Q-System 15 PT 20 PT
(IV) Roll-Out P-System 15 PT 10 PT
Gesamtaufwand 90 PT 75 PT
Indikative Projektplanung und Aufwandschätzung1
1 Erfahrungswerte aus Referenzprojekten
2 Systeme im Scope SAP ERP / SAP CRM
3 zzgl. Externe Auditierung (optional)
4 zzgl. Lizenzkosten23 Data Security und Data Privacy in SAP - Data Security und Data Privacy
Aufgabenstellung
Stufe Aktivität
1
Konzeption und Analyse auf Basis der vorliegenden
Systemlandschaft. Erstellung eines Phasenplans sowie
Konkretisierung der Realisierungsaufwände. Aufstellung
und ggf. Planung der Systemvoraussetzungen.
2
Realisierung der notwendigen Datenmodellgenerierung,
Datenmodellanpassung, UI- und
Schnittstellenerweiterung sowie Berechtigungen
3
Roll-Out und Test der Konfiguration sowie der
Entwicklungen/ Erweiterungen auf die produktive
Systemkette (Qualitätssystem)
4
Roll-Out und Betrieb der Konfiguration sowie der
Entwicklungen/ Erweiterungen auf die produktive
Systemkette (Produktion)

24. Services und Leistungen der Natuvion im Rahmen Rechte Betroffener (Auskunft)
24 Data Security und Data Privacy in SAP - Data Security und Data Privacy
Konzeption
Auskunft
(SAP & non SAP)
Lösungs-
auswahl
(DS-GVO Konformität)
Volle
Realisierung
(SAP IRF)
Qualitäts-
sicherung
(DS-GVO Konformität)

25. AGENDA
Natuvion
Webcast-Reihe Data Security und Data Privacy
Datenschutz und Datenschutzgrundverordnung
Handlungsfeld Datenauskunft
Realisierung Datenauskunft
Kontakt
25

26. Natuvion GmbH
Altrottstraße 31 | 69190 Walldorf
Fon +49 6227 73-1400
Fax +49 6227 73-1410
www.natuvion.com
Wir freuen uns über Ihre Fragen und Anmerkungen
Patric Dahse
Geschäftsführer
Fon: +49 151 171 357 02
Mail: patric.dahse@natuvion.com
18 Data Security und Data Privacy in SAP - Data Security und Data Privacy
Besuchen Sie uns auch unter
Data Protection & Privacy
www.professional-system-security.com/
Natuvion
www.natuvion.com/
Patric Dahse
Geschäftsführer
Natuvion GmbH
Altrottstr. 31
69190 Walldorf
T +49 (0) 6227.73 -1400
F +49 (0) 6227.73 -1410
patric.dahse@natuvion.com
Tätigkeitsbereiche
§ Data Protection & Privacy
§ SAP Transformation