AT SOLUTION PARTNER GMBH EU-DSGVO - AUSWIRKUNGEN AUF SAP SYSTEME

Transkript

1 AT SOLUTION PARTNER GMBH EU-DSGVO - AUSWIRKUNGEN AUF SAP SYSTEME PETER MÜHLEGGER 1

2 AGENDA 1 Kurzvorstellung ATSP 2 EU-DSGVO Überblick und Rechtsgrundlagen 3 EU-DSGVO Auswirkungen auf SAP Systeme 4 SAP Information Lifecycle Management (ILM) 5 SAP ILM ATSP Services für SAP Systeme 2

3 KURZVORSTELLUNG ATSP 3

4 DER KONZERN über40 Jahre IT KNOW-HOW 25 Jahre MARKTFÜHRER IT Dienstleistungen über 100 Mio. UMSATZ über500 MITARBEITER STANDORTE WIEN INNSBRUCK OLTEN 4

5 UNSERE STANDORTE SCHWEIZ Leberngasse 21 CH 4600 Olten Telefon: OLTEN INNS- BRUCK WIEN ÖSTERREICH Anton-Melzer-Straße 11 A-6020 Innsbruck Brehmstraße 12 A-1110 Wien Telefon:

6 AT SOLUTION PARTNER FACTS & FIGURES Partner Center of Expertise > 60 Consultants Full Service Provider > 25 Jahre Erfahrung Partnerschaftliches Verhältnis Passgenaue Lösungen 6

7 BRANCHEN PUBLIC SECTOR GESUNDHEITSWESEN INDUSTRIE FINANZDIENSTLEISTER 7

8 UNSERE KOLLEKTION Projektmanagement SAP Beratung Prozessmanagement Business Process Outsourcing Outsourcing Systembetrieb KUNDE LÖSUNG QUALITÄT SAP Application Management Implementierung Systemintegration Schulungen Helpdesk 8

9 UNSER WEG 9

10 WIR FÜR SIE Durchgängige und bessere Prozesse schaffen Mehrwert für Sie das ist unser Ziel! Basis Services Financials & Logistics Human Ressources Healthcare Software Development Analytics 10

11 EU-DSGVO ÜBERBLICK UND RECHTSGRUNDLAGEN HAFTUNGSAUSSCHLUSS: DIE INFORMATIONEN VON ATSP SIND NICHT ALS RECHTLICHE BERATUNG ANZUSEHEN. ATSP EMPFIEHLT SICH BEI BEDARF AN EINEN QUALIFIZIERTEN RECHTSBERATER ZU WENDEN. 11

12 EU-DSGVO DATENSCHUTZ WAS IST DAS? Zielsetzungen der DSGVO sind: Einheitlicher Rechtsschutz für alle Betroffenen in der EU Einheitliche Regeln für die Datenverarbeitung Gewährleistung eines starken und einheitlichen Vollzuges Schutz von personenbezogenen Daten natürlicher Personen durch private Unternehmen und öffentliche Stellen 12

13 EU-DSGVO EINFÜHRUNG / ÜBERBLICK EU-DSGVO ist ab 25. Mai 2018 verbindlich für alle Unternehmen, die personenbezogene Daten verarbeiten (von Mitarbeitern, Kunden, Dienstleistern,.) die in der EU sitzen Verträge mit Verbrauchern in der EU abschließen EU-DSGVO gliedert sich in: 11 Kapitel 99 Artikel 173 Erwägungsgründe 13

14 IDENTIFIZIERTE EU- DSGVO ANFORDERUNGEN 14

15 BEISPIELE HIGH LEVEL UMSETZUNG ANFORDERUNGEN 15

16 BEISPIELE HIGH LEVEL UMSETZUNG ANFORDERUNGEN 16

17 EU-DSGVO VERARBEITUNG PERSONENBEZOGENER DATEN - RECHTE DER BETROFFENEN PERSON 17

18 VERARBEITUNG PERSONENBEZOGENER DATEN RECHTSGRUNDLAGE 18

19 VERARBEITUNG PERSONENBEZOGENER DATEN 19

20 Was zählt zu personenbezogenen Daten? Personenbezogene Daten können in drei Kategorien unterteilt werden: Kategorie 1: Personenbezogene Daten von Mitarbeitern, Kunden, Lieferanten, z.b.: Adresse Geburtstag Rollen im System Status (aktiver Mitarbeiter, Pensionisten, ) Kategorie 2: Daten mit direkten Bezug zu den personenbezogenen Daten, z.b.: Gehaltsabrechnung Rechnung Bestellung Vertrag Kategorie 3: Daten mit indirektem Bezug zu personenbezogenen Daten, z.b.: Lieferung Zahlungsbelege 20

21 RECHTE DER BETROFFENEN PERSON INHALTE 21

22 RECHTE DER BETROFFENEN PERSON 22

23 SICHERHEITSANFORDERUNGEN ÜBERBLICK 23

24 SICHERHEITSANFORDERUNGEN 24

25 EU-DSGVO AUSWIRKUNGEN AUF SAP SYSTEME 25

26 EU-DSGVO AUSWIRKUNGEN AUF SAP SYSTEME SAP Standardfunktionalität Art. 15 Auskunftspflicht Art. 16 Berichtigung Art. 33 Datenverletzung Art. 17 Löschen SAST GRC Suite Tools SAP Tools Art. 32 Sicherheit EU-DSGVO Art. 18 Einschränkung SAP Information Lifecycle Management (ILM) SAST GRC Suite Tools SAP Tools Art. 20 Übertragbarkeit SAP Standardfunktionalität 26

27 SAP INFORMATION LIFECYCLE MANAGEMENT (ILM) 27

28 SAP INFORMATION LIFECYCLE MANAGEMENT (ILM) FUNKTIONALITÄT Verwaltung von Aufbewahrungsregeln o o o Regelwerke zur automatischen Anwendung von Aufbewahrungsregeln und anschließende Datenvernichtung Datenaufbewahrung basierend auf definierten Regeln Verantwortungsvolle Datenvernichtung am Ende des Lebenszyklus Dedizierte Datenarchive gemäß Regelwerken E-Discovery Legal Hold o o o Erzeugung der Datenarchive gemäß definiertem Regelwerk und Ablaufdatum Suche nach Informationen in der Datenbank und Archiv die für Rechtsstreitigkeiten gebraucht werden Unterbindung der Datenvernichtung/Löschung Archiv Retention Policy Management Archiv Archiv Archiv Ablaufdatum Ablaufdatum Ablaufdatum 28

29 SAP Information Lifecycle Management (ILM) Lebenszyklus Ende des Geschäftszwecks Ende der Aufbewahrung X Jahre SAP Information Lifecycle Management XX Jahre Verarbeitung im Rahmen des orig. Geschäftszwecks Sperr-Periode Zugriff nur für explizit berechtigte User Löschung Anforderung Sobald der originäre Geschäftszweck endet, sind personenbezogene Daten zu löschen. Falls jedoch Aufbewahrungszeiten gelten, sind personenbezogene Daten zu sperren. 29

30 Verwendung für den Geschäftspartner 30

31 EU-DSGVO AUSWIRKUNGEN AUF SAP SYSTEME KOSTEN SAP INFORMATION LIFECYCLE MANAGEMENT Die Software SAP ILM ist grundsätzlich kostenpflichtig! Konkretisierung zur SAP ILM-Nutzung für EU-DSGVO SAP ist auf die DSAG-Forderung nach einer Lösung zur Erfüllung von Anforderungen aus der EU-Datenschutz-Grundverordnung (EU-DSGVO), die über die Wartungsgebühren abgedeckt ist eingegangen. Das Sperren und Löschen von Daten ist über die NetWeaver Runtime-Lizenz im Rahmen der Wartung ohne Zusatzkosten möglich. Quelle: DSAG - Lesen Sie die ganze Pressemitteilung hier: 31

32 EU-DSGVO ATSP SERVICES 32

33 ATSP SERVICES DATENSCHUTZ I Analyse Löschen Zugriff Protokolle Überblick & technische Analyse Datenschutz ILM PoC Berechtigungskonzept und Rollen HCM Read Access Control Implementierung ILM Analyse Service Business Suite ILM Implementierung Access Control SAP Anzeigeprotokollierung ILM Analyse Service HCM Sicherheitsüberprüfung 33

34 ATSP SERVICES DATENSCHUTZ II Übertragung Sicherheit Sicherheit Audit RFC-Schnittstellenservice Security-Notes Advisory Service SAP Identity Management IDM SAP Audit Information System AIS SAP Gateway & Message Server Security Custom Code Security Service SSO Implementierung Infrastruktur Security Quick Check 34

35 ATSP SERVICES SAP ILM ANALYSE SERVICE Analyse Löschen Zugriff Protokolle Überblick & technische Analyse Datenschutz ILM PoC Berechtigungskonzept und Rollen HCM Read Access Control Implementierung ILM Analyse Service Business Suite ILM Implementierung Access Control SAP Anzeigeprotokollierung ILM Analyse Service HCM Sicherheits-überprüfung 35

36 ATSP SAP ILM Analyse Service (Business Suite & HCM) Identifizierung aller Datenbanktabellen mit direktem Bezug auf persönliche Daten: Ableitung aller relevanten ILM erweiterten Archivierungsobjekte Identifizierung aller kundenspezifischen Tabellen (im Kundennamensraum) und Entscheidung wie diese weiter behandelt werden sollen Identifizierung aller Applikationen / Module für die ILM Retention Management implementiert werden muss Identifizierung der Verantwortlichen der kundenspezifischen Anwendungen und Pakete, die Tabellen mit direktem Bezug auf persönliche Daten enthalten Identifizierung von unstrukturierten Daten / Dokumenten und Drucklisten Identifizierung von bereits verwendeten Archivierungsobjekten Nutzen: Entwurf eines groben Projektplans Abschätzung interner/externer Aufwände Identifizierung notwendiger Arbeitspakete Entwicklung Projektvorgehen Rollendefinition (Berechtigungswesen) Ablauf: Fragebogen, Abstimmmeeting Technische Analyse (2-3 Wochen) Ergebnis-Workshop Aufwand: Business Suite/ERP (ca PT)* HCM (ca. 3-8 PT)* * pro logischem System, Nutzung, Add On`s, DB-Größe, Anzahl Mandaten, Releasestand, Eigenentwicklungen, etc.) 36

37 Projektvorgehen SAP ILM im Detail (Beispiel) 37

38 AUFWANDSCHÄTZUNG FÜR EINE SAP ILM PROJEKTUMSETZUNG IN SAP HCM (BEISPIEL AUS DER PRAXIS) Leistung Aufwand (PT) Kick-off Meeting 1,0 Analyse der Prozesse und Systeme, Gestaltung DSMS 3,0 Optimierung des Berechtigungskonzepts, zeitraumabhängige Berechtigungssteuerung HR-Löschkonzepte, Aufbewahrung und Vernichtung von HR-Daten mit SAP ILM Optimierung von Testkonzepten und Pseudonymisierung von HR-Daten in Testsystemen 4,0 10,0 2,5 Lesezugriffsprotokollierung (RAL) und Änderungsbelege 4,5 Dokumentation 2,0 GoLive Support, Hypercare 3,0 Optional: Spezifische Anforderungen z.b. eigene Kundenobjekte nach Aufwand Summe 30,0 38

39 EU-DSGVO FRAGEN DISKUSSION 39

40 FRAGEN / DISKUSSION Wer hat noch Fragen / Anregungen? Via Chat oder Telefon Sollte jemand später Fragen haben, so stehe ich telefonisch, via Mail-Beantwortung oder einer Terminvereinbarung für ein erstes Gespräch bei Ihnen im Haus gerne zur Verfügung 40

41 MIT SICHERHEIT DIE RICHTIGE ENTSCHEIDUNG 41

42 KONTAKT GmbH Peter Mühlegger Sales Services & Solutions Anton-Melzer-Straße 11, AT-6020 Innsbruck Telefon: