AT SOLUTION PARTNER GMBH EU-DSGVO - AUSWIRKUNGEN AUF SAP SYSTEME PETER MÜHLEGGER 1
AGENDA 1 Kurzvorstellung ATSP 2 EU-DSGVO Überblick und Rechtsgrundlagen 3 EU-DSGVO Auswirkungen auf SAP Systeme 4 SAP Information Lifecycle Management (ILM) 5 SAP ILM ATSP Services für SAP Systeme 2
KURZVORSTELLUNG ATSP 3
DER KONZERN über40 Jahre IT KNOW-HOW 25 Jahre MARKTFÜHRER IT Dienstleistungen über 100 Mio. UMSATZ über500 MITARBEITER STANDORTE WIEN INNSBRUCK OLTEN 4
UNSERE STANDORTE SCHWEIZ Leberngasse 21 CH 4600 Olten Telefon: +41 58 122 30 10 E-Mail: info@atsp.com www.atsp.ch OLTEN INNS- BRUCK WIEN ÖSTERREICH Anton-Melzer-Straße 11 A-6020 Innsbruck Brehmstraße 12 A-1110 Wien Telefon: +43 50 4009-3000 E-Mail: info@atsp.com www.atsp.at 5
AT SOLUTION PARTNER FACTS & FIGURES Partner Center of Expertise > 60 Consultants Full Service Provider > 25 Jahre Erfahrung Partnerschaftliches Verhältnis Passgenaue Lösungen 6
BRANCHEN PUBLIC SECTOR GESUNDHEITSWESEN INDUSTRIE FINANZDIENSTLEISTER 7
UNSERE KOLLEKTION Projektmanagement SAP Beratung Prozessmanagement Business Process Outsourcing Outsourcing Systembetrieb KUNDE LÖSUNG QUALITÄT SAP Application Management Implementierung Systemintegration Schulungen Helpdesk 8
UNSER WEG 9
WIR FÜR SIE Durchgängige und bessere Prozesse schaffen Mehrwert für Sie das ist unser Ziel! Basis Services Financials & Logistics Human Ressources Healthcare Software Development Analytics 10
EU-DSGVO ÜBERBLICK UND RECHTSGRUNDLAGEN HAFTUNGSAUSSCHLUSS: DIE INFORMATIONEN VON ATSP SIND NICHT ALS RECHTLICHE BERATUNG ANZUSEHEN. ATSP EMPFIEHLT SICH BEI BEDARF AN EINEN QUALIFIZIERTEN RECHTSBERATER ZU WENDEN. 11
EU-DSGVO DATENSCHUTZ WAS IST DAS? Zielsetzungen der DSGVO sind: Einheitlicher Rechtsschutz für alle Betroffenen in der EU Einheitliche Regeln für die Datenverarbeitung Gewährleistung eines starken und einheitlichen Vollzuges Schutz von personenbezogenen Daten natürlicher Personen durch private Unternehmen und öffentliche Stellen 12
EU-DSGVO EINFÜHRUNG / ÜBERBLICK EU-DSGVO ist ab 25. Mai 2018 verbindlich für alle Unternehmen, die personenbezogene Daten verarbeiten (von Mitarbeitern, Kunden, Dienstleistern,.) die in der EU sitzen Verträge mit Verbrauchern in der EU abschließen EU-DSGVO gliedert sich in: 11 Kapitel 99 Artikel 173 Erwägungsgründe 13
IDENTIFIZIERTE EU- DSGVO ANFORDERUNGEN 14
BEISPIELE HIGH LEVEL UMSETZUNG ANFORDERUNGEN 15
BEISPIELE HIGH LEVEL UMSETZUNG ANFORDERUNGEN 16
EU-DSGVO VERARBEITUNG PERSONENBEZOGENER DATEN - RECHTE DER BETROFFENEN PERSON 17
VERARBEITUNG PERSONENBEZOGENER DATEN RECHTSGRUNDLAGE 18
VERARBEITUNG PERSONENBEZOGENER DATEN 19
Was zählt zu personenbezogenen Daten? Personenbezogene Daten können in drei Kategorien unterteilt werden: Kategorie 1: Personenbezogene Daten von Mitarbeitern, Kunden, Lieferanten, z.b.: Adresse Geburtstag Rollen im System Status (aktiver Mitarbeiter, Pensionisten, ) Kategorie 2: Daten mit direkten Bezug zu den personenbezogenen Daten, z.b.: Gehaltsabrechnung Rechnung Bestellung Vertrag Kategorie 3: Daten mit indirektem Bezug zu personenbezogenen Daten, z.b.: Lieferung Zahlungsbelege 20
RECHTE DER BETROFFENEN PERSON INHALTE 21
RECHTE DER BETROFFENEN PERSON 22
SICHERHEITSANFORDERUNGEN ÜBERBLICK 23
SICHERHEITSANFORDERUNGEN 24
EU-DSGVO AUSWIRKUNGEN AUF SAP SYSTEME 25
EU-DSGVO AUSWIRKUNGEN AUF SAP SYSTEME SAP Standardfunktionalität Art. 15 Auskunftspflicht Art. 16 Berichtigung Art. 33 Datenverletzung Art. 17 Löschen SAST GRC Suite Tools SAP Tools Art. 32 Sicherheit EU-DSGVO Art. 18 Einschränkung SAP Information Lifecycle Management (ILM) SAST GRC Suite Tools SAP Tools Art. 20 Übertragbarkeit SAP Standardfunktionalität 26
SAP INFORMATION LIFECYCLE MANAGEMENT (ILM) 27
SAP INFORMATION LIFECYCLE MANAGEMENT (ILM) FUNKTIONALITÄT Verwaltung von Aufbewahrungsregeln o o o Regelwerke zur automatischen Anwendung von Aufbewahrungsregeln und anschließende Datenvernichtung Datenaufbewahrung basierend auf definierten Regeln Verantwortungsvolle Datenvernichtung am Ende des Lebenszyklus Dedizierte Datenarchive gemäß Regelwerken E-Discovery Legal Hold o o o Erzeugung der Datenarchive gemäß definiertem Regelwerk und Ablaufdatum Suche nach Informationen in der Datenbank und Archiv die für Rechtsstreitigkeiten gebraucht werden Unterbindung der Datenvernichtung/Löschung Archiv Retention Policy Management Archiv Archiv Archiv Ablaufdatum Ablaufdatum Ablaufdatum 28
SAP Information Lifecycle Management (ILM) Lebenszyklus Ende des Geschäftszwecks Ende der Aufbewahrung X Jahre SAP Information Lifecycle Management XX Jahre Verarbeitung im Rahmen des orig. Geschäftszwecks Sperr-Periode Zugriff nur für explizit berechtigte User Löschung Anforderung Sobald der originäre Geschäftszweck endet, sind personenbezogene Daten zu löschen. Falls jedoch Aufbewahrungszeiten gelten, sind personenbezogene Daten zu sperren. 29
Verwendung für den Geschäftspartner 30
EU-DSGVO AUSWIRKUNGEN AUF SAP SYSTEME KOSTEN SAP INFORMATION LIFECYCLE MANAGEMENT Die Software SAP ILM ist grundsätzlich kostenpflichtig! Konkretisierung zur SAP ILM-Nutzung für EU-DSGVO SAP ist auf die DSAG-Forderung nach einer Lösung zur Erfüllung von Anforderungen aus der EU-Datenschutz-Grundverordnung (EU-DSGVO), die über die Wartungsgebühren abgedeckt ist eingegangen. Das Sperren und Löschen von Daten ist über die NetWeaver Runtime-Lizenz im Rahmen der Wartung ohne Zusatzkosten möglich. Quelle: DSAG - Lesen Sie die ganze Pressemitteilung hier: https://www.dsag.de/externe-news/dsag-erreichtlizenzkostenfreie-losung-zur-umsetzung-der-eu-datenschutz-grundverordnung 31
EU-DSGVO ATSP SERVICES 32
ATSP SERVICES DATENSCHUTZ I Analyse Löschen Zugriff Protokolle Überblick & technische Analyse Datenschutz ILM PoC Berechtigungskonzept und Rollen HCM Read Access Control Implementierung ILM Analyse Service Business Suite ILM Implementierung Access Control SAP Anzeigeprotokollierung ILM Analyse Service HCM Sicherheitsüberprüfung 33
ATSP SERVICES DATENSCHUTZ II Übertragung Sicherheit Sicherheit Audit RFC-Schnittstellenservice Security-Notes Advisory Service SAP Identity Management IDM SAP Audit Information System AIS SAP Gateway & Message Server Security Custom Code Security Service SSO Implementierung Infrastruktur Security Quick Check 34
ATSP SERVICES SAP ILM ANALYSE SERVICE Analyse Löschen Zugriff Protokolle Überblick & technische Analyse Datenschutz ILM PoC Berechtigungskonzept und Rollen HCM Read Access Control Implementierung ILM Analyse Service Business Suite ILM Implementierung Access Control SAP Anzeigeprotokollierung ILM Analyse Service HCM Sicherheits-überprüfung 35
ATSP SAP ILM Analyse Service (Business Suite & HCM) Identifizierung aller Datenbanktabellen mit direktem Bezug auf persönliche Daten: Ableitung aller relevanten ILM erweiterten Archivierungsobjekte Identifizierung aller kundenspezifischen Tabellen (im Kundennamensraum) und Entscheidung wie diese weiter behandelt werden sollen Identifizierung aller Applikationen / Module für die ILM Retention Management implementiert werden muss Identifizierung der Verantwortlichen der kundenspezifischen Anwendungen und Pakete, die Tabellen mit direktem Bezug auf persönliche Daten enthalten Identifizierung von unstrukturierten Daten / Dokumenten und Drucklisten Identifizierung von bereits verwendeten Archivierungsobjekten Nutzen: Entwurf eines groben Projektplans Abschätzung interner/externer Aufwände Identifizierung notwendiger Arbeitspakete Entwicklung Projektvorgehen Rollendefinition (Berechtigungswesen) Ablauf: Fragebogen, Abstimmmeeting Technische Analyse (2-3 Wochen) Ergebnis-Workshop Aufwand: Business Suite/ERP (ca. 7-12 PT)* HCM (ca. 3-8 PT)* * pro logischem System, Nutzung, Add On`s, DB-Größe, Anzahl Mandaten, Releasestand, Eigenentwicklungen, etc.) 36
Projektvorgehen SAP ILM im Detail (Beispiel) 37
AUFWANDSCHÄTZUNG FÜR EINE SAP ILM PROJEKTUMSETZUNG IN SAP HCM (BEISPIEL AUS DER PRAXIS) Leistung Aufwand (PT) Kick-off Meeting 1,0 Analyse der Prozesse und Systeme, Gestaltung DSMS 3,0 Optimierung des Berechtigungskonzepts, zeitraumabhängige Berechtigungssteuerung HR-Löschkonzepte, Aufbewahrung und Vernichtung von HR-Daten mit SAP ILM Optimierung von Testkonzepten und Pseudonymisierung von HR-Daten in Testsystemen 4,0 10,0 2,5 Lesezugriffsprotokollierung (RAL) und Änderungsbelege 4,5 Dokumentation 2,0 GoLive Support, Hypercare 3,0 Optional: Spezifische Anforderungen z.b. eigene Kundenobjekte nach Aufwand Summe 30,0 38
EU-DSGVO FRAGEN DISKUSSION 39
FRAGEN / DISKUSSION Wer hat noch Fragen / Anregungen? Via Chat oder Telefon Sollte jemand später Fragen haben, so stehe ich telefonisch, via Mail-Beantwortung oder einer Terminvereinbarung für ein erstes Gespräch bei Ihnen im Haus gerne zur Verfügung 40
MIT SICHERHEIT DIE RICHTIGE ENTSCHEIDUNG 41
KONTAKT GmbH Peter Mühlegger Sales Services & Solutions Anton-Melzer-Straße 11, AT-6020 Innsbruck Telefon: +43 50 4009 3201 peter.muehlegger@atsp.com www.atsp.at