3. Seit 2014 unterstützen wir als NATUVION unsere Kunden mit Erfahrung und Expertise im
Umfeld der Digitalisierung
3
Gegründet: 2014 als eigentümergeführter Beratungsspezialist mit
Fokus Versorgungswirtschaft, Security und Transformation
Standorte: Walldorf, Berlin, München, Wien(AT), Philadelphia(US)
Unternehmensgröße: > 55 Mitarbeiter
Expertise der Berater: > 75 % SAP zertifiziert & Ø 12 Jahre
Energiewirtschaft und SAP
SAP Gold Partner
SAP Recognized Expertise in Utilities
SAP Landscape Transformation
Langjähriger Partner der größten Energieversorger Deutschlands
Leistungen/Kompetenzen:
§ Strategisches IT-Management
§ IT Consulting für die Energiewirtschaft
§ SAP Transformation & Data Services
§ SAP Security & Data Privacy / Protection
§ Business Intelligence / Analytics
Natuvion Gruppe
Tiefgehende Erfahrung in der
Umsetzung von DS-GVO / GDPR
Anforderungen
Strategische Partnerschaft mit
Entwicklungsteams der SAP im
Bereich Data Protection and Privacy
– ILM / IRF / Consent
Enge und langjährige Partnerschaft
mit Experten im IT/ Datenschutz
Recht
Vollständiges Verständnis über die
Prozesse und Anforderungen aus
Business – IT – Datenschutzsicht
Eigene zertifizierte Lösungen für
konsistente Datenlöschung,
Auskunft und Anonymisierung
Ausgewiesene Data Protection und
Privacy Expertise (Lösungen)
Ausgewiesene
Transformationsexpertiese
Erfolgsfaktoren
Konzeption und Einführung
Anonymisierung (IS-U / CRM)
Konzernweiter Roll-Out einer
Systemanonymisierung (CRM /
IS-U / ERP / HCM)
Selektive Datenlöschung (IS-U /
CRM / ERP / BW)
Löschkonzeption DS-GVO /
GDPR (SAP Systemlandschaft)
IT und Prozesskonzeption
Konformität Rechte Betroffener
nach DS-GVO / GDPR (Auskunft
& Transparenz)
System und Daten-
dekommissionierung mit SAP
ILM
Konzeption und Realisierung
Auskunft (SAP IRF)
Relevante Referenzen
Natuvion – Ihre Spezialisten in der Realisierung der Anforderungen der GDPR / DS-GVO
Data Security und Data Privacy in SAP - Datenanonymisierung
8. Der Handlungsdruck zur Schaffung der Datenschutzkonformität besteht fortwährend und
steigt im Kontext der neuen Datenschutzgrundverordnung
8 Data Security und Data Privacy in SAP - Data Security und Data Privacy
§ Bußgeldrahmen zwischen EUR 50.000 bis 300.000
je Verstoß (Verstöße sind kumulierbar)
§ Löschung: Personenbezogene Daten sind zu
löschen, wenn sie für eigene Zwecke verarbeitet
werden, sobald ihre Kenntnis für die Erfüllung des
Zwecks der Speicherung nicht mehr erforderlich ist
§ Auskunft: Die verantwortliche Stelle hat dem
Betroffenen auf Verlangen und unentgeltlich
Auskunft zu erteilen über alle gespeicherte Daten
mit Personenbezug, Empfänger sowie über den
Zweck der Speicherung
• (geändert) Bußgeldrahmen bis EUR 20Mio. oder 4% des
weltweiten Jahresumsatzes der betroffenen
Unternehmensgruppe
• (neu) Datenübertragbarkeit (Art. 20 DS-GVO)
• (neu) Privacy by Design and by Default (Art. 25 DS-GVO)
• (geändert) Recht auf Vergessenwerden (Art. 17 DS-GVO) geht
weit über das bisherigen Recht auf Löschung hinaus
• (geändert) Erhöhte Informations- und Transparenzpflichten (Art.
12 bis Art. 15 DS-GVO) ist eine Erweiterung des
Auskunftsanspruches (Beispiel: www.selbstauskunft.net)
• (neu) Datenschutz-Folgenabschätzungen (Privacy Impact
Assessments, Art. 35 DS-GVO)
§ Datenschutz bis Mai 2016 (Extrakt) § Datenschutz ab Mai 2018 (Extrakt)
11. Die Nutzung von Personenbezogene Daten in den IT Abwicklungssystemen führen zu
konkreten Handlungsfeldern (Extrakt)
Data Security und Data Privacy in SAP - Data Security und Data Privacy11
Handlungsfelder
Umfangreiche Echtdaten in
Projekt-/ Test- und
Schulungssystemen
Historischer Datenbestand in
Produktivsystemen
Umfangreicher Datenbestand
aus Prozessdurchführung
SAP Test-, Schulungs- oder
Projektsysteme sind als vollständige
Kopie des Produktivsystems auf-
gebaut.
Der Datenzugriff ist jederzeit
umfangreichst und teilweise mit
erweiterten Berechtigungen möglich.
Nach Ablauf von Datenverarbeitungs-
aufträgen oder Dienstleistungs-
verträgen werden Kundendaten an
neue Dienstleister übergeben.
Der historische Datenbestand verbleibt
aktuell weiterhin in den jeweiligen
Produktivsystemen.
Prozesse zur Akquise und Vertrags-
abwicklung erzeugen Daten. Die
Nutzung dieser Daten ist für den
jeweiligen Zweck legitimiert.
Nach Ablauf der Prozessabwicklung
stehen die Daten uneingeschränkt
weiter zur Verfügung.
Test- und Projektsysteme nur mit
anonymisierten Daten
Personenbezogene Daten sind nach Ablauf der
Legitimation zu löschen
Anonymisierung Schulungs-
und Testsystem
Löschen historischer Daten
Sperren und Implementierung
kontinuierliches Datenmgmt.
1
Kundenanfragen zur
Auskunftserteilung
Anfragen zur Auskunft von Betroffenen
über die Speicherung und Verarbeitung
ihrer personenbezogenen Daten.
Auskunft erfolgt aktuell als manueller
Prozess und Informationen können nur
mit hohem Aufwand und in der Regel
nicht in der gesetzlich vorgeschriebene
Format bereitgestellt werden.
Strukturierte, IT-gestützte
Prozessbearbeitung
2 3 Auskunftsanspruch über
Daten mit Personenbezug
4
Nutzung personenbezogener Daten in IT-Systemen
13. Die Nutzung von Personenbezogene Daten in den IT Abwicklungssystemen führen zu
konkreten Handlungsfeldern (Handlungsfeld Löschen)
Data Security und Data Privacy in SAP - Data Security und Data Privacy
Historische Daten in Produktivsystemen
„Vergessenwerden“
Art. 5 Abs. (1) e)
Identifizierung der betroffenen Person darf nur so lange möglich
sein, wie es für die Zwecke, für die sie verarbeitet werden,
erforderlich ist
Art. 17
Die betroffene Person hat das Recht, von dem Verantwortlichen
zu verlangen, dass sie betreffende personenbezogene Daten
unverzüglich gelöscht werden, und der verantwortliche ist
verpflichtet, pb Daten unverzüglich zu löschen, bei
• Zweckerfüllung
• Widerruf einer Einwilligung
• Widerspruch gegen Verarbeitung
• Unrechtmäßige Verarbeitung (ein-schließlich bei Kindern) Alle relevanten Daten müssen aus dem Produktivsystem gelöscht
werden. Ein reiner „Verschluss“ der Daten ist nicht ausreichend
Recht auf Löschung
SAP ERP / IS*
Produktion
IT-System
Übergabe von Daten bei Dienstleisterwechsel
BuKrs Bezeichnung
0400 Unternehmen 1
0600 Unternehmen 2
0800 Unternehmen 3
Produktion
IT-System
0800 Unternehmen 3
Vollhistorische Datenübergabe an
neuen Dienstleister
13
16. Je nach Projektanforderungen kann eine selektive Datenlöschung in drei verschiedenen
Varianten durchgeführt werden
Data Security und Data Privacy in SAP - Data Security und Data Privacy16
Technisches Verfahren
Big-Bang* Objektweise Chargenweise
Typisierung der Daten (Schlüsseldefinition)
Löschen der Daten mit optimierter Performance
(innerhalb von 40 Stunden)
Reorganisation der Datenbank
Möglichkeit der Datenwiederherstellung
Typisierung der Daten (Schlüsseldefinition)
Löschen der Daten mit geringer Prozessanzahl
Objektweiselöschung mit niedriger Performance
Möglichkeit der Datenwiederherstellung
Schrittweise Löschung der Daten an festgelegten
Terminen
Einmalige Datentypisierung
Löschen tabellentyporientiert
Löschen mit optimierter Performance
Möglichkeit der Datenwiederherstellung
Variante 1 Variante 2 Variante 3
Variante 1-3 selektives Löschen
DSO HH
* Big-Bang grundsätzlich das optimalste Löschverfahren. Eine Löschung von Daten ist grundsätzlich in weniger als 40 Stunden möglich.
19. Grundsätzlicher Ablauf einer Löschung in der Variante 1 (Big-Bang)
Data Security und Data Privacy in SAP - Data Security und Data Privacy19
Typische Schritte einer Löschung / Datenverschiebung
Typisierung Selektion Modifikation Kontrolle Löschung
§ Identifikation von
Schlüsseln
§ Ausschluss von Mehrfach-
verwendung
§ Speicherung aller
relevanten Schlüssel
§ Abgrenzung der
Datenmenge
§ Selektion nach Schlüsseln
§ Speicherung aller
selektierten Datensätze
§ Erneute Prüfung der
Datensätze
§ Paketierung und
Parallelisierung der
Datenmenge
§ Verschieben der
Datensätze in einen
anderen Mandanten
§ Modifikation auf der
Datenbank (Mandant)
§ Keine Löschung
§ Kontrolle der Summensätze
§ Ggf. Abstimmung der
Finanzbuchhaltung /
Nebenbuchhaltung
§ Erneute Typisierung /
Vergleich der Selektions-
und Modifikationszahlen
§ Mandantenlöschung während
des Betriebes mit einem /
zwei Hintergrundprozess(e)
Umfang Datenlöschung (Verschiebung) Qualität Bereinigung
24. Natuvion GmbH
Altrottstraße 31 | 69190 Walldorf
Fon +49 6227 73-1400
Fax +49 6227 73-1410
www.natuvion.com
Wir freuen uns über Ihre Fragen und Anmerkungen
Patric Dahse
Geschäftsführer
Fon: +49 151 171 357 02
Mail: patric.dahse@natuvion.com
18 Data Security und Data Privacy in SAP - Data Security und Data Privacy
Besuchen Sie uns auch unter
Data Protection & Privacy
www.professional-system-security.com/
Natuvion
www.natuvion.com/
Patric Dahse
Geschäftsführer
Natuvion GmbH
Altrottstr. 31
69190 Walldorf
T +49 (0) 6227.73 -1400
F +49 (0) 6227.73 -1410
patric.dahse@natuvion.com
Tätigkeitsbereiche
§ Data Protection & Privacy
§ SAP Transformation