3. Seit 2014 unterstützen wir als NATUVION unsere Kunden mit Erfahrung und Expertise im
Umfeld der Digitalisierung
3
Gegründet: 2014 als eigentümergeführter Beratungsspezialist mit
Fokus Versorgungswirtschaft, Security und Transformation
Standorte: Walldorf, Berlin, München, Wien(AT), Philadelphia(US)
Unternehmensgröße: > 55 Mitarbeiter
Expertise der Berater: > 75 % SAP zertifiziert & Ø 12 Jahre
Energiewirtschaft und SAP
SAP Gold Partner
SAP Recognized Expertise in Utilities
SAP Landscape Transformation
Langjähriger Partner der größten Energieversorger Deutschlands
Leistungen/Kompetenzen:
§ Strategisches IT-Management
§ IT Consulting für die Energiewirtschaft
§ SAP Transformation & Data Services
§ SAP Security & Data Privacy / Protection
§ Business Intelligence / Analytics
Natuvion Gruppe
Tiefgehende Erfahrung in der
Umsetzung von DS-GVO / GDPR
Anforderungen
Strategische Partnerschaft mit
Entwicklungsteams der SAP im
Bereich Data Protection and Privacy
– ILM / IRF / Consent
Enge und langjährige Partnerschaft
mit Experten im IT/ Datenschutz
Recht
Vollständiges Verständnis über die
Prozesse und Anforderungen aus
Business – IT – Datenschutzsicht
Eigene zertifizierte Lösungen für
konsistente Datenlöschung,
Auskunft und Anonymisierung
Ausgewiesene Data Protection und
Privacy Expertise (Lösungen)
Ausgewiesene
Transformationsexpertiese
Erfolgsfaktoren
Konzeption und Einführung
Anonymisierung (IS-U / CRM)
Konzernweiter Roll-Out einer
Systemanonymisierung (CRM /
IS-U / ERP / HCM)
Selektive Datenlöschung (IS-U /
CRM / ERP / BW)
Löschkonzeption DS-GVO /
GDPR (SAP Systemlandschaft)
IT und Prozesskonzeption
Konformität Rechte Betroffener
nach DS-GVO / GDPR (Auskunft
& Transparenz)
System und Daten-
dekommissionierung mit SAP
ILM
Konzeption und Realisierung
Auskunft (SAP IRF)
Relevante Referenzen
Natuvion – Ihre Spezialisten in der Realisierung der Anforderungen der GDPR / DS-GVO
Data Security und Data Privacy in SAP - Datenanonymisierung
8. Der Handlungsdruck zur Schaffung der Datenschutzkonformität besteht fortwährend und
steigt im Kontext der neuen Datenschutzgrundverordnung
8 Data Security und Data Privacy in SAP - Data Security und Data Privacy
§ Bußgeldrahmen zwischen EUR 50.000 bis 300.000
je Verstoß (Verstöße sind kumulierbar)
§ Löschung: Personenbezogene Daten sind zu
löschen, wenn sie für eigene Zwecke verarbeitet
werden, sobald ihre Kenntnis für die Erfüllung des
Zwecks der Speicherung nicht mehr erforderlich ist
§ Auskunft: Die verantwortliche Stelle hat dem
Betroffenen auf Verlangen und unentgeltlich
Auskunft zu erteilen über alle gespeicherte Daten
mit Personenbezug, Empfänger sowie über den
Zweck der Speicherung
• (geändert) Bußgeldrahmen bis EUR 20Mio. oder 4% des
weltweiten Jahresumsatzes der betroffenen
Unternehmensgruppe
• (neu) Datenübertragbarkeit (Art. 20 DS-GVO)
• (neu) Privacy by Design and by Default (Art. 25 DS-GVO)
• (geändert) Recht auf Vergessenwerden (Art. 17 DS-GVO) geht
weit über das bisherigen Recht auf Löschung hinaus
• (geändert) Erhöhte Informations- und Transparenzpflichten (Art.
12 bis Art. 15 DS-GVO) ist eine Erweiterung des
Auskunftsanspruches (Beispiel: www.selbstauskunft.net)
• (neu) Datenschutz-Folgenabschätzungen (Privacy Impact
Assessments, Art. 35 DS-GVO)
§ Datenschutz bis Mai 2016 (Extrakt) § Datenschutz ab Mai 2018 (Extrakt)
11. Die Nutzung von Personenbezogene Daten in den IT Abwicklungssystemen führen zu
konkreten Handlungsfeldern (Extrakt)
Data Security und Data Privacy in SAP - Data Security und Data Privacy11
Handlungsfelder
Umfangreiche Echtdaten in
Projekt-/ Test- und
Schulungssystemen
Historischer Datenbestand in
Produktivsystemen
Umfangreicher Datenbestand
aus Prozessdurchführung
SAP Test-, Schulungs- oder
Projektsysteme sind als vollständige
Kopie des Produktivsystems auf-
gebaut.
Der Datenzugriff ist jederzeit
umfangreichst und teilweise mit
erweiterten Berechtigungen möglich.
Nach Ablauf von Datenverarbeitungs-
aufträgen oder Dienstleistungs-
verträgen werden Kundendaten an
neue Dienstleister übergeben.
Der historische Datenbestand verbleibt
aktuell weiterhin in den jeweiligen
Produktivsystemen.
Prozesse zur Akquise und Vertrags-
abwicklung erzeugen Daten. Die
Nutzung dieser Daten ist für den
jeweiligen Zweck legitimiert.
Nach Ablauf der Prozessabwicklung
stehen die Daten uneingeschränkt
weiter zur Verfügung.
Test- und Projektsysteme nur mit
anonymisierten Daten
Personenbezogene Daten sind nach Ablauf der
Legitimation zu löschen
Anonymisierung Schulungs-
und Testsystem
Löschen historischer Daten
Sperren und Implementierung
kontinuierliches Datenmgmt.
1
Kundenanfragen zur
Auskunftserteilung
Anfragen zur Auskunft von Betroffenen
über die Speicherung und Verarbeitung
ihrer personenbezogenen Daten.
Auskunft erfolgt aktuell als manueller
Prozess und Informationen können nur
mit hohem Aufwand und in der Regel
nicht in der gesetzlich vorgeschriebene
Format bereitgestellt werden.
Strukturierte, IT-gestützte
Prozessbearbeitung
2 3 Auskunftsanspruch über
Daten mit Personenbezug
4
Nutzung personenbezogener Daten in IT-Systemen
16. 16
SAP Information Management
Information LifeCycle Management - Überblick und Funktionalität
Data Security und Data Privacy in SAP - Data Security und Data Privacy
Verwaltung von Aufbewahrungsregeln
Ÿ Regelwerke für eine automatisierte Datenaufbewahrung und
Vernichtung
Ÿ Datenaufbewahrung gemäß aktivem Regelwerk
Ÿ Vernichtung der Daten sobald die Aufbewahrungszeit erreicht ist
Ÿ Datenvernichtung direkt aus der Datenbank oder dem Archiv
“Datentöpfe” pro Aufbewahrungsfrist
Ÿ Erzeugung verschiedener Archivdateien mit entsprechendem
Ablaufdatum gemäß definierter Aufbewahrungsfrist
E-Discovery
Ÿ Suche nach Informationen in Verbindung mit Rechtsstreitigkeiten
Legal Hold setzen
Ÿ Verhindern einer frühzeitigen Datenvernichtung in Rechtsfällen
• Vereinfachtes Sperren und Löschen von
personenbezogenen Daten
• Funktionalität basiert auf SAP Information
Lifecycle Management
• Mit SAP ILM können Geschäftspartnerdaten
gesperrt/gelöscht werden, aber auch
transaktionale Daten vernichtet werden.
Mit SAP ILM kann Systemübergreifend innerhalb
der gesamten Business-Suite ein nahtloses
Datenmanagement realisiert werden
Übersicht Funktionalität
20. SAP Information Management
Information LifeCycle Management - Definition
20 Data Security und Data Privacy in SAP - Data Security und Data Privacy
Personenbez. Daten: Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen
Sperren: eine Methode, den Zugriff auf Daten zu unterbinden, die nicht mehr im Rahmen der ursprünglichen
Zweckbestimmung verarbeitet werden
Löschen: die unumkehrbare, wirksame Löschung von Daten
Aufbewahrungsfrist: die Frist aufgrund einer Rechtsnorm Daten aufzubewahren sind
Zweck: der Vorab durch organisatorische Maßnahmen bestimmte Zweck der Verarbeitung
personenbezogener Daten
End of Purpose (EoP): Eine technische Methode, um für definierte Daten den Zeitpunkt zu
ermitteln, ab dem eine Verarbeitung nicht mehr im Rahmender
ursprünglichen Zweckbestimmung erfolgt und Daten gesperrt
werden müssen
End of Business (EoB): Ist der Beginn der Verweildauer. Wie lange sie beträgt,
definieren Sie in den IRM Regeln. ( Beispiel: die Verweildauer
eines Vertragspartners beginnt nachdem alle offenen
Vorgänge geschlossen sind. )
26. 26
SAP Information Management
Information LifeCycle Management – Implementierung
Data Security und Data Privacy in SAP - Data Security und Data Privacy
Konzeption
(2-3 Monate )
Realisierung
(3 – 5 Monate)
Roll-Out T-System
(2-3 Monate)
Roll-Out Q-System
(1-2 Monate)
Roll-Out P System
(1- 2 Monat)
§ Wissenstransfer
§ Datenanalyse in allen
Applikationen
§ Identifizierung von
Kundenentwicklungen
§ Identifizierung von
Schnittstellen zu anderen
Systemen
§ Erstellung erster Projektplan
§ Definition der Verweil- und
Aufbewahrungsfristen für alle
Archivierungsobjekte
§ Aktivierung relevanten
Funktionen
§ Customizing der Systeme
§ Entwicklung und Test der
Erweiterungen
§ Konvertieren der
Archivdateien
§ Entwicklung und Test von
neuen ILM Objekten
(Kundenentwicklungen)
§ Ausführung End of Purpose
(EOP) Checks
§ Validierung der
Testergebnisse
§ Vollständig synchronisierter
Systemaufbau in Sandbox
Umgebung
§ Anbindung ILM Ablagesystem
(notwendig bei Archivierung)
§ Customizing der ILM
Funktionalität in allen
Applikationen
§ Implementierung und Test
erweitertes
Berechtigungskonzept
§ Test der
Archivierung/Datenvernichtu
ng in kompletter
Systemumgebung
§ Prüfung der Transporte auf
Vollständigkeit
§ Einstellung der produktiven
Verweil- und
Aufbewahrungsfristen für alle
Archivierungsobjekte
§ Durchführung von
Initialisierungsreports
§ Durchführung EOP Checks
§ Einplanung Archivierungs-
und Vernichtungsläufe
Scope Umsetzung Roll-Out Produktion Start Regelbetrieb
Typische Phasen im Rahmen der Umsetzung / Dauer 9 – 14 Monate
Projektende
27. SAP Information Management
Information LifeCycle Management – Aufwände
ILM Sperren & Löschen als kontinuierliches Datenmanagement
01 02 03 04 05 06 07 08 09 10 11 12
(**) Betrieb & Monitoring
(IV) Roll-Out P-System
(III) Roll-Out Q-System
Arbeitspaket
(I) Konzeption / Vorbereitung
(II) Realisierung
Arbeitspaket Aufwand FB Aufwand IT
(I) Konzeption / Vorbereitung 1/2/3 75 PT 35 PT
(II) Realisierung ILM 4 260 PT 490 PT
(III) Roll-Out Q-System 130 PT 130 PT
(IV) Roll-Out P-System 80 PT 90 PT
Gesamtaufwand 545 PT 745 PT
Indikative Projektplanung und Aufwandschätzung1
1 Erfahrungswerte aus Referenzprojekten
2 Systeme im Scope SAP IS-U / SAP CRM
3 zzgl. Externe Auditierung (optional)
4 zzgl. Lizenzkosten27 Data Security und Data Privacy in SAP - Data Security und Data Privacy
Aufgabenstellung
Stufe Aktivität
1
Konzeption und Analyse der ILM Realisierung auf Basis
der vorliegenden Systemlandschaft. Erstellung eines
Phasenplans sowie Konkretisierung der
Realisierungsaufwände.
2 Realisierung der notwendigen Entwicklungen,
Erweiterungen und Konvertierungen
3
Roll-Out und Test der Konfiguration sowie der
Entwicklungen/ Erweiterungen auf die produktive
Systemkette (Qualitätssystem)
4
Roll-Out und Betrieb der Konfiguration sowie der
Entwicklungen/ Erweiterungen auf die produktive
Systemkette (Produktion)
30. Natuvion GmbH
Altrottstraße 31 | 69190 Walldorf
Fon +49 6227 73-1400
Fax +49 6227 73-1410
www.natuvion.com
Wir freuen uns über Ihre Fragen und Anmerkungen
Patric Dahse
Geschäftsführer
Fon: +49 151 171 357 02
Mail: patric.dahse@natuvion.com
18 Data Security und Data Privacy in SAP - Data Security und Data Privacy
Besuchen Sie uns auch unter
Data Protection & Privacy
www.professional-system-security.com/
Natuvion
www.natuvion.com/
Patric Dahse
Geschäftsführer
Natuvion GmbH
Altrottstr. 31
69190 Walldorf
T +49 (0) 6227.73 -1400
F +49 (0) 6227.73 -1410
patric.dahse@natuvion.com
Tätigkeitsbereiche
§ Data Protection & Privacy
§ SAP Transformation