EU-DSGVO UMSETZUNG IN IHREM SAP-SYSTEM

Transkript

1 UMSETZUNG IN IHREM SAP-SYSTEM W E I T B L I C K. L E I D E N S C H A F T. W E N D I G K E I T. V O R S P R U N G. Seite 1 4process AG

2 DISCLAIMER Die 4process AG bietet keine Rechtsberatung an. Die folgende Präsentation beschränkt sich darauf, Grundlagen zur EU- DSGVO zu erläutern und technische Funktionen darzustellen, die unsere Kunden bei der Einhaltung der Datenschutzanforderungen in Ihren SAP- Systemen unterstützen sollen. Seite 2

3 INHALT 1. Grundlage zur Grundsätzliches zur DSGVO Betroffene Daten Anforderungen aus der DSGVO an die Unternehmen 2. Auswirkungen auf die Unternehmen und Umsetzung eines Datenschutzprojekts 3. Auswirkungen auf den Betrieb von Standardsoftware 4. Datenschutzkonformer Betrieb von SAP-Systemen 5. Systemanalyse und Handlungsempfehlungen durch die 4process AG Seite 3

4 GRUNDLAGEN ZUR DSGVO Die bildet den einheitlichen Rechtsrahmen für den Datenschutz in der gesamten EU. Das Bundesdatenschutzgesetz wird weitgehend durch die Regelungen der ersetzt. Der Fokus liegt auf dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die ist seit dem in Kraft getreten. Die Übergangsfrist zur Umsetzung der Anforderungen endet am Die Durchsetzung der Verordnung erfolgt durch empfindliche Bußgelder. Unternehmen unterliegen einer Nachweispflicht Den Aufsichtsbehörden muss nachgewiesen werden, dass Unternehmen konform zur handeln. Ausgeweitete Haftung Die Unternehmen haften nicht nur für materielle sondern auch für immaterielle Schäden. Seite 4

5 DURCH DIE DSGVO BETROFFENE DATEN Alle personenbezogenen Daten, die im Unternehmen erhoben und verarbeitet werden. Mitarbeiterstamm- und bewegungsdaten Daten zu Lieferanten und Kunden Bewerberdaten Optische Archive Daten, die auf der Internetseite des Unternehmens erhoben werden und veröffentlicht sind alte Daten auf externen Festplatten, CDs, DVDs, etc Geburtstagslisten Intern veröffentlichte Mitarbeiterfotos usw. Die Anforderungen aus der betreffen das gesamte Unternehmen, nicht nur den HR-Bereich! Seite 5

6 ANFORDERUNGEN AUS DER Seite 6

7 ANFORDERUNGEN AUS DER DSGVO RECHENSCHAFTSPFLICHT Transparenz und Verantwortlichkeit (Art. 5, 24, 30) Artikel 5, Absatz 1 (Vorgaben zur Datenverarbeitung) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit der erhobenen Daten Speicherbegrenzung Integrität und Vertraulichkeit Artikel 5, Absatz 2 Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ). Artikel 24, Absatz 1 (Organisation im Unternehmen) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. Die Aufsichtsbehörde prüft die Einhaltung dieser Artikel. Die Nachweispflicht liegt beim Unternehmen. Seite 7 PRÄSENTATIONSVORLAGE

8 INHALT 1. Grundlage zur Grundsätzliches zur DSGVO Betroffene Daten Anforderungen aus der DSGVO an die Unternehmen 2. Auswirkungen auf die Unternehmen und Umsetzung eines Datenschutzprojekts 3. Auswirkungen auf den Betrieb von Standardsoftware 4. Datenschutzkonformer Betrieb von SAP-Systemen 5. Systemanalyse und Handlungsempfehlungen durch die 4process AG Seite 8

9 AUSWIRKUNGEN AUF UNTERNEHMEN Hauptaufgaben des Unternehmens Einrichtung eines Datenschutz- Management-Systems sowie eines IT- Sicherheitsmanagementsystems Hauptaufgaben der Fachabteilung Umsetzung der -Anforderungen: Prozessgestaltung Einbeziehung von Dienstleistern Datenschutzfolgeabschätzungen Dokumentationen, Nachweise, Meldepflichten (Verfahrensverzeichnis) Hauptaufgaben des Datenschutzbeauftragten Beratung der Fachabteilungen und Überwachung der eingerichteten Prozesse Seite 9

10 UMSETZUNG EINES DATENSCHUTZPROJEKTS Vorbereitung Analyse der Identifizierung der relevanten Themenbereiche Formulierung der Anforderungen Aufsetzen des Projekts Festlegung der Projektteilnehmer Transfer in das Unternehmen und Analyse Auswirkungen der DSGVO auf die einzelnen Unternehmensbereiche überprüfen. Einbeziehung der einzelnen Unternehmensbereiche in das Datenschutzprojekt Bestehende Datenschutzkonzepte überprüfen Klärung der Relevanz mit dem Datenschutzteam Erstellen von Anleitungen zur Umsetzung Seite 10

11 UMSETZUNG EINES DATENSCHUTZPROJEKTS Analyse im Unternehmen Welche Datenschutzprozesse sind implementiert? Liste der relevanten Verfahren, in denen Daten verarbeitet werden Liste der relevanten Bereiche für die Rechte der Betroffenen Liste der Websites, die personenbezogene Daten erheben und Nutzerverhalten auswerten Liste der Bereiche, in denen Lieferantenleistungen eingekauft werden Liste der Bereiche, wo automatisierte Entscheidungen getroffen werden und Daten zum Profiling zusammengeführt werden Alle Prozesse und Produkte dahingehend überprüfen, ob Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Systemeinstellungen umgesetzt ist. usw. Seite 11

12 UMSETZUNG EINES DATENSCHUTZPROJEKTS Planung und Implementierung Implementierungsplanung pro Unternehmensbereich Sicherstellung von Budget und Kapazitäten Implementierung der Anforderungen mit dem Datenschutzteam Unterstützung bei der operativen Umsetzung Überprüfung, laufende Kontrolle und Anpassung Überprüfung der Implementierung durch das Datenschutzteam Laufende Anpassung der Prozesse durch die Fachabteilungen (Datenschutzfolgeabschätzungen) Seite 12

13 UMSETZUNG DER ANFORDERUNGEN Implementierung, Überprüfung und laufende Anpassung im Unternehmen Transparenz und Verantwortlichkeit (Art. 5, 24, 30) Nachweis über auditiertes Datenschutzmanagementsystem Verfahrensverzeichnis anlegen und laufend aktualisieren Informationspflicht (Art. 12, 13, 14) Überprüfung und Anpassung bestehender Datenschutzerklärungen Rechte der betroffenen Person (Art. 15, 17, 20) Verfahrensverzeichnis Wo werden personenbezogene Daten gespeichert? Wie werden die Daten verarbeitet? Datenschutz Folgeabschätzung (Art. 35) Risikoabschätzung bei jedem neuen Datenverarbeitungsprozess durchführen Seite 13

14 UMSETZUNG DER ANFORDERUNGEN Implementierung, Überprüfung und laufende Anpassung im Unternehmen Datenübermittlung (Art. 40 bis 50) Dokumentation aller Datenübermittlungsverfahren und deren Auswirkungen auf den Datenschutz im Verfahrensverzeichnis Auftragsverarbeiter kontrollieren Lieferantenkontrollprozess überprüfen und anpassen Meldung von Datenschutzverletzungen an die Aufsichtsbehörden Prozess etablieren und unternehmensweit ausrollen Einwilligung & Rechtmäßigkeit Anpassung bestehender Datenschutzerklärungen & Einwilligungen Datenschutz durch Technikgestaltung IT-Landschaft datenschutzkonform einrichten und betreiben Verzeichnis der Verarbeitungstätigkeiten Verfahrensverzeichnis flächendeckend umsetzen Seite 14

15 UMSETZUNG DER ANFORDERUNGEN Implementierung, Überprüfung und laufende Anpassung im Unternehmen Begleitung durch das Datenschutzteam Unterstützung bei der operativen Umsetzung Überprüfung der implementierten Prozesse durch das Datenschutzteam Laufende Identifizierung und Schließung von Lücken, Anpassen der Dokumentationspflichten Seite 15

16 INHALT 1. Grundlage zur Grundsätzliches zur DSGVO Betroffene Daten Anforderungen aus der DSGVO an die Unternehmen 2. Auswirkungen auf die Unternehmen und Umsetzung eines Datenschutzprojekts 3. Auswirkungen auf den Betrieb von Standardsoftware 4. Datenschutzkonformer Betrieb von SAP-Systemen 5. Systemanalyse und Handlungsempfehlungen durch die 4process AG Seite 16

17 AUSWIRKUNGEN AUF STANDARDSOFTWARE Hardware, Software und Dienstleister müssen fähig sein, die Anforderungen aus der DSGVO zu erfüllen. Die abgebildeten Prozesse in der IT-Landschaft müssen nachweislich der DSGVO entsprechen. Datenerhebung und Datenverarbeitung darf nur nach den übergeordneten Prinzipien der DSGVO erfolgen: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit, Integrität und Vertraulichkeit Speicherbegrenzung Die eingesetzte Soft- und Hardware muss dem State-of-the-Art aus Datenschutzsicht entsprechen. Seite 17

18 AUSWIRKUNGEN AUF STANDARDSOFTWARE Rechte Betroffener müssen durch die eingesetzte Hard- und Software sowie durch die eingesetzten Dienstleister gewahrt werden. Transparenz Information bei Erhebung Benachrichtigung Auskunft Datenpannen Betroffener Unternehmen Intervention Korrektur und Löschung und Widerspruch Recht auf Vergessenwerden Einschränkung der Verarbeitung Datenübertragbarkeit Seite 18

19 AUSWIRKUNGEN AUF STANDARDSOFTWARE Rechte Betroffener in Bezug auf Ihre persönlichen Daten Information bei der Erhebung von Daten Automatische Benachrichtigung Auskunftsmöglichkeit und Datenübertragung Druck und Exportmöglichkeiten in maschinenlesbaren Formaten Löschung der erhobenen Daten in den Systemen automatisierte/ manuelle regelbasierte Löschmöglichkeiten Recht auf Vergessenwerden Datenübertragung Export in maschinenlesbaren Formaten Einschränkung der Verarbeitung und Widerspruch Sperrmöglichkeiten auf Datensatz-und Datenfeldebene Seite 19

20 AUSWIRKUNGEN AUF STANDARDSOFTWARE Rechte Betroffener durch technische und organisatorische Maßnahmen wahren: Verantwortlichkeit für die Sicherheit der Verarbeitung liegt beim Unternehmen Der aktuelle Stand der Technik muss berücksichtigt werden IT-Sicherheitsziele liegen im Fokus Vertraulichkeit, Integrität Verfügbarkeit, Belastbarkeit Anonymisierungsmöglichkeiten Verschlüsselungstechnologien Seite 20

21 INHALT 1. Grundlage zur Grundsätzliches zur DSGVO Betroffene Daten Anforderungen aus der DSGVO an die Unternehmen 2. Auswirkungen auf die Unternehmen und Umsetzung eines Datenschutzprojekts 3. Auswirkungen auf den Betrieb von Standardsoftware 4. Datenschutzkonformer Betrieb von SAP-Systemen 5. Systemanalyse und Handlungsempfehlungen durch die 4process AG Seite 21

22 DATENSCHUTZKONFORMER BETRIEB VON SAP-SYSTEMEN Vorgehensmodell für den datenschutzkonformen Betrieb des SAP-Systems Seite 22

23 DATENSCHUTZKONFORMER BETRIEB VON SAP-SYSTEMEN 1. Sperren und Löschen personenbezogener Daten Konzept zur Sperrung und Löschung im SAP-System unter Einbeziehung folgender Aspekte einrichten: Datenstrukturen und Abhängigkeiten Dateninkonsistenzen Organisationsstrukturen 2. Trennung der Datenverarbeitung und erhebung nach Zweckbestimmung Eindeutige Abbildung des Zwecks zur Datenerhebung und Datenverarbeitung Dokumentation im Verfahrensverzeichnis Einbeziehung der linienorganisatorischen Attribute (Wer ist verantwortlich?) Einbeziehung der prozessorganisatorischen Attribute (Warum werden die Daten verarbeitet?) Seite 23

24 DATENSCHUTZKONFORMER BETRIEB VON SAP-SYSTEMEN 3. a) Zwecktrennung der Datenverarbeitung und Berechtigungen Abbildung der Zwecktrennung in arbeitsplatzbezogenen Berechtigungen Eindeutige Abgrenzung des Zugriffs über diese Berechtigungen Striktes Minimalprinzip bei der Berechtigungsvergabe Pseudonymisierung von Daten in Test- und Entwicklungssystemen b) Auskunftsmöglichkeiten herstellen Auskunftsmöglichkeit bezogen auf den Verarbeitungszweck einrichten Dokumentation im Verfahrensverzeichnis c) Protokollierungsmöglichkeiten ausnutzen Protokollierung der Systemkonfiguration sicherstellen Read Access Logging etablieren Dokumentation im Verfahrensverzeichnis Seite 24

25 DATENSCHUTZKONFORMER BETRIEB VON SAP-SYSTEMEN 4. a) Sicherheit der Datenübertragung Schnittstellen definieren und für das Verfahrensverzeichnis dokumentieren Identifikation des Zwecks der Schnittstelle Einschränkung der Übertragung durch angemessene Berechtigungen Einschränkung der von extern aufrufbaren RFC-Funktionsbausteine Verschlüsselungsmöglichkeiten ausnutzen b) Technische Sicherheit Zugangskontrolle über geeignete Authentifizierungsverfahren Zugriffskontrolle über Bereinigung von Sicherheitslücken SAP-Sicherheitshinweise Überprüfen des kundeneigenen Codes Verfügbarkeitskontrolle über Datensicherung, Daten Recovery etc. Seite 25

26 DATENSCHUTZKONFORMER BETRIEB VON SAP-SYSTEMEN 5. Audit, Nachweis und Dokumentation Abbildung der Nachweispflichten Verzeichnis von Verarbeitungstätigkeiten Nachweis der technischen und organisatorischen Maßnahmen zum Datenschutz Nachweis der Kontrollen (internes Kontrollsystem) Bestandteil der Nachweispflichten Darstellung der Verarbeitungszwecke und Aufbewahrungsfristen Darstellung der Verfahren zur Sicherstellung der Richtigkeit der Daten Darstellung der Verfahren zur Einschränkung des Datenzugriffs Darstellung der Auskunftsmöglichkeiten und Möglichkeit zur Vorabinfo Darstellung der Schnittstellen (intern und extern) Darstellung der Sicherheitsmaßnahmen Seite 26

27 TECHNISCHE UMSETZUNG Seite 27

28 INHALT 1. Grundlage zur Grundsätzliches zur DSGVO Betroffene Daten Anforderungen aus der DSGVO an die Unternehmen 2. Auswirkungen auf die Unternehmen und Umsetzung eines Datenschutzprojekts 3. Auswirkungen auf den Betrieb von Standardsoftware 4. Datenschutzkonformer Betrieb von SAP-Systemen 5. Systemanalyse und Handlungsempfehlungen durch die 4process AG Seite 28

29 SYSTEMANALYSE DURCH 4PROCESS IT-Sicherheit Ihrer SAP-Systemlandschaft Analyse Ihres SAP-System hinsichtlich der Aktualität Release-Stand, Support-Package-Stand, Hot Fixes Analyse der vorhandenen Benutzer und ihrer Berechtigungen Analyse der Zugriffskontrollmöglichkeiten Analyse der internen und externen Datenübertragungsschnittstellen Berechtigungskonzept in Ihrem SAP-System Analyse der Berechtigungen auf Basis der Anforderungen aus dem DSGVO Arbeitsplatzbezogenheit und Zweckbestimmtheit Minimalprinzip Festlegung und Prüfung kritischer Berechtigungskombinationen Einschränkung der Download-Möglichkeiten von personenbezogenen Daten Zeitraumabhängiger Zugriff auf HR-Stammdaten Seite 29

30 SYSTEMANALYSE DURCH 4PROCESS Analyse des kundeneigenen Codes Überprüfung der Berechtigungsprüfungen Überprüfung auf RFC-fähige Funktionsbausteine Analyse der Protokollierungsmöglichkeiten in Ihrem SAP-System Protokollierung von Tabellenänderungen / Infotypenänderungen Protokollierung von Änderungen an Customizing-Einstellungen Protokollierung von Transporten Protokollierung von Downloads Reportstart-Protokolle Read Access Logging Analyse des bestehenden Konzept zum Lebenszyklus personenbezogener Daten Sperren, archivieren, löschen Seite 30

31 SYSTEMANALYSE DURCH 4PROCESS Ableiten von Handlungsempfehlungen auf Basis der vorangegangenen Analysen und Unterstützung beim Aufsetzen eine Datenschutzprojektes aus IT-Sicherheits-Sicht. Bitte kommen Sie gerne für ein erstes, unverbindliches Gespräch zum Thema auf uns zu. Wir unterstützen Sie gerne auch in Teilbereichen. Seite 31

32 IHRE ANSPRECHPARTNER Seite 32