DSGVO: BEAUSKUNFTUNGS-PROZESSE VEREINFACHEN S.04

DSGVO: BEAUSKUNFTUNGS-PROZESSE VEREINFACHEN S.04

DSGVO: BEAUSKUNFTUNGS-PROZESSE VEREINFACHEN S.04

Das Kundenmagazin der Natuvion GmbH Herbst 2018 DSGVO: BEAUSKUNFTUNGS- PROZESSE VEREINFACHEN S.04 Onlineversion: DSGVO-KONFORME PERSONALVERWALTUNG: Das HCM-Team von Natuvion TRANSFORMATION IS-U, ERP UND CRM: Ein Best Practice Projekt WORLDWIDE: Natuvion expandiert nach Amerika

DSGVO: BEAUSKUNFTUNGS-PROZESSE VEREINFACHEN S.04

02 | Das Kundenmagazin der Natuvion GmbH, Walldorf Inhalt INSIGHTS Ein Blick hinter die Kulissen der Natuvion GmbH 30 ePrivacyVo Dr. Stefan Peintinger und Benjamin Spies geben einen Zwischenstand 19 UPDATE DSGVO Ist eine Systemkopie noch erlaubt? 16 TRANSFORMATION IS-U, ERP und CRM TRANSFORMATION - ein Best Practice Projekt 24 UPDATE DSGVO Unterstützung bei der Personalverwal- tung durch das HCM-Team von Natuvion 22 BÜCHERECKE Buchvorstellung und Gewinnspiel 33 BEAUSKUNFTUNGSPROZESSE VEREINFACHEN Komplexe Landschaften verhindern effektiven Beauskunftungs- prozess im Rahmen der DSGVO 04 UNSERE PARTNER EnBW: Erfahrener Begleiter auf dem Weg in digitales Neuland 34 NATUVION ÖSTERREICH - Die erste erfolgreiche ILM Implementierung - Natuvion und Quanto präsentieren Wiener Erfolgsprojekt 36 „NÜTZLICHE HELFERCHEN“ QAS – Qualitätssicherung in SAP- Transformationsprojekten 41 NATUVION WORLDWIDE Natuvion expandiert nach Nordamerika 40 VERANSTALTUNGEN Wo sind wir 2018? Rückblick: Wo waren wir? 42

DSGVO: BEAUSKUNFTUNGS-PROZESSE VEREINFACHEN S.04

Editorial HERAUSGEBER Natuvion GmbH Altrottstraße 31 69190 Walldorf Fon +49 6227 73-1400 Fax +49 6227 73-1410 E-Mail info@natuvion.com REDAKTION Holger Strotmann (V.i.S.d.P.), Katharina Bayer COPYRIGHT Diese Zeitschrift, Beiträge und Abbildungen sind urheberrechtlich geschützt. Jede Ver- wertung außerhalb des engen Urheberrechts- gesetzes ist ohne Zustimmung der Natuvion GmbH unzulässig und strafbar. LAYOUT, SATZ UND DRUCK Kolöchter & Partner Werbeagentur GmbH, Schwerte UPDATE DSGVO: SOPHIA 08 UPDATE DSGVO: GRUNDCUSTOMIZING ILM 11 | 03 Liebe Leserin, lieber Leser, auch in der fünften Ausgabe von news blicken wir zurück: auf die Themen, die uns in den letzten Monaten bewegt haben, auf neue interne Veränderungen sowie Neuigkeiten im SAP-Umfeld.

Doch auch den Blick nach vorne wollen wir nicht außer Acht lassen und Ihnen daher auch diesmal wieder einen kleinen Vorgeschmack auf künftige Entwick- lungen liefern.

Der goldene Herbst steht vor der Tür und das Jahr neigt sich langsam dem Ende zu. Ein geeigneter Zeitpunkt also, um eine kleine Zwischenbilanz zu ziehen: 2018 kann man zweifellos als das Jahr des Datenschutzes bezeichnen. Zwar unterstützen wir nicht erst seit dem 25. Mai unsere Kunden in allen Belangen rund um die neue DSGVO, der Stichtag war jedoch auch bei uns deutlich zu spüren: Immer mehr Anfragen aus den unterschiedlichsten Branchen erreichen uns und die Expertise kompe- tenter Berater ist gefragt wie nie zuvor. Deshalb legen wir den thematischen Schwerpunkt unserer Artikel auch wieder auf eines unserer größten Leis- tungspakete: Data Privacy & Protection.

Und freuen uns darüber, Ihnen damit zusammenhängend auch unser neu gegründetes Competence Center in Berlin vorstellen zu können.

Einen tiefen Einblick in unser Tagesgeschäft geben wir Ihnen in der Sparte Transformation: Hier erfahren Sie alles über ein Best Practice Projekt im IS-U-, ERP- und CRM-Umfeld. Auch unsere wertvollen Kooperationen wollen wir in dieser Ausgabe nicht unerwähnt lassen. Mit der EnBW verbindet die Natuvion bereits eine langjährige Partnerschaft. Diese und weitere Themen erwarten Sie in unserer Herbstausgabe 2018! Nutzen Sie die Chance und gewinnen Sie ein spannendes Fachbuch des SAP-Experten Volker Lehnert, werfen Sie in den Insights einen Blick hinter Natuvions Kulissen und erfahren Sie Interessantes und Neues aus unseren internationalen Nieder- lassungen in Österreich und den USA.

Viel Spaß beim Lesen wünscht Ihnen, Holger Strotmann Holger Strotmann, Geschäftsführer Natuvion GmbH

DSGVO: BEAUSKUNFTUNGS-PROZESSE VEREINFACHEN S.04

TITELTHEMA 04 | Das Kundenmagazin der Natuvion GmbH, Walldorf Titelstory: KOMPLEXE IT-LANDSCHAFTEN VERHINDERN EFFEKTIVEN BEAUSKUNFTUNGSPROZESS IM RAHMEN DER DSGVO Ein wesentlicher Unsicherheitsfaktor ist die vollumfängliche Erfüllung der Informations- und Auskunftspflichten gegen- über den Betroffenen. Laut Art. 15 DSGVO müssen Unter- nehmen auf Anfragen innerhalb eines Monats reagieren und mitteilen, welche personenbezogenen Daten sie zu welchem Zweck gespeichert haben.

Der Betroffene hat den Anspruch auf eine umfassende und voraussetzungslose unentgeltliche Auskunft, wodurch ihm die Möglichkeit eingeräumt wird, sich in regelmäßigen Abständen von der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten zu über- zeugen. Dieses Recht beruht auf dem datenschutzrecht- lichen Grundsatz der Transparenz, der wiederum auf dem grundrechtlichen Schutz der Charta der Grundrechte der Europäischen Union basiert. Die Erfahrungen aus aktuellen Umsetzungsprojekten zeigen, dass die übergreifende Steu- erung dieser Auskunftsbegehren die Unternehmen vor eine große Herausforderung stellt.

Der Eingang eines Auskunftsersuchens kann unternehmens- weit erfolgen. Um die kurze Beantwortungsfrist sicherstellen zu können, muss diese Anfrage kanalisiert und priorisiert bearbeitet werden. Mehrere beteiligte Unternehmensberei- che, die Einbindung von Dienstleistern und die Abfrage der Daten aus verschiedenen IT-Systemen führen schnell zu einer nur schwer steuerbaren Prozesskomplexität. Die Bearbeitung erfolgt momentan meist vollständig ma- nuell, wobei in der Regel mehrere IT-Systeme mit umfang- reichen Datenbeständen durchsucht werden müssen. Der Aufwand für die Durchführung einer einzelnen Beauskunf- tung liegt hierbei meist zwischen zwei und vier Stunden.

Eine Erhebung aus den laufenden Projekten der Natuvion hat ergeben, dass zur Beauskunftung die relevanten Daten meist aus verschiedenen IT-Systemen, wie bspw. CRM, ERP/Branchenlösung, Business-Warehouse oder Helpdesk- Ticketsystemen, durchsucht werden müssen. Hinzu kommen die immer umfangreichen Cloud-Anwendungen, auf die ein vollumfänglicher Datenzugriff meist nur eingeschränkt möglich ist.

Auch von risikobasierten Gesichtspunkten aus betrachtet, empfiehlt es sich, einen systemgestützten Beauskunftungs- prozess einzuführen. F ünf Monate nach Inkrafttreten der DSGVO steht ein Großteil der Unternehmen weiterhin vor der Herausforde- rung einer regelkonformen Umsetzung. In einer aktuellen Umfrage des Digitalverbands Bitkom vom 27. August 2018 1 haben bisher gerade mal ein Viertel aller befragten Unternehmen angegeben, die Umsetzung vollständig abgeschlossen zu haben. Als größte Herausforderungen werden der schwer abzuschätzende Aufwand und die schwie- rige technische Umsetzung zur Implementierung der Rechte Betroffener benannt.

DSGVO: BEAUSKUNFTUNGS-PROZESSE VEREINFACHEN S.04

| 05 Zentrale Sicht auf alle laufenden und abgeschlossenen Auskunftsersuchen im Unternehmen – so lautet die For- derung seitens Geschäftsleitung und der Datenschutz- Gesetzgebung. Jederzeit in der Lage zu sein, über laufende Verfahren auskunftsfähig zu sein, wird in Zukunft ent- scheidend sein. Natuvion stellt mit DORIE für die IT-gestützte Prozessab- wicklung eine zertifizierte Applikation als Software-as- a-Service zur Verfügung. Die Softwarelösung bietet eine durchgängige Prozessbearbeitung – von der Erfassung der Anfrage bis zur Übergabe der Dokumente – und unterstützt dabei ein differenziertes Rollen- und Userkonzept.

Grafik: Schematischer Prozessablauf: Auskunftsprozess DORIE Im Unternehmen eingehende Auskunftsbegehren (1) werden zentral in der Applikation erfasst. Die Prozesshoheit liegt hierfür beim Prozessdienstleister (2). Im ersten Schritt er- folgt eine Identifikation des Anfragenden und des Anliegens sowie die Prüfung auf berechtigtes Interesse (3). Die Freiga- be zur Prozessbearbeitung erfolgt dann durch die verant- wortliche Stelle (4) – in der Regel ein von der Geschäftslei- tung benannter Vertreter oder der Datenschutzbeauftragte. Der Auskunftssteller wird nun über den Eingang und die Bearbeitung des Auskunftsersuchens schriftlich informiert (5).

Ab diesem Zeitpunkt läuft die Bearbeitungsfrist von vier Wochen. Die Information wird über den gleichen Kommuni- kationskanal wie der Antragseingang versandt (6). Nun erfolgt die Datenermittlung. Hierbei wird durch DORIE die manuelle oder maschinelle Durchführung unterstützt. Die Bearbeitung kann parallel in verschiedenen Berei- chen erfolgen (7, 8, 9). Für die maschinelle, IT-gestützte Datenermittlung werden über definierte Interfaces die in Business-Applikationen gespeicherten Daten ermittelt und kategorisiert. Im Standard enthalten sind Interfaces zu SAP ERP / S4HANA, SAP HCM, SAP CRM, SAP IS-U, SAP SuccessFactors sowie MS CRM.

Nach der Datenermittlung erfolgt die Aufbereitung und Konsolidierung der Daten an zentraler Stelle (10). Hier wer- den die Daten kategorisiert, konsolidiert und strukturiert abgelegt. Danach erfolgt zentral die Freigabe zur Beaus- kunftung der Daten durch den verantwortlichen Vertreter der Geschäftsleitung (11). Nach Vorliegen dieser Freigabe wird die Beauskunftung operativ durchgeführt (12). Die Datenübergabe an den Auskunftssteller erfolgt über ein kombiniertes Verfahren. Per Brief wird das Auskunftser- suchen rechtskonform beantwortet. Hierzu steht in DORIE ein Musterschreiben zur Verfügung.

Die detaillierten Daten werden in einem Internetschließfach bereitgestellt (13). Zugriff darauf erfolgt über ein zweistufiges Authentifizie- rungsverfahren.

1 Quelle: https://www.bitkom.org/Presse/Presseinformation/Umsetzung-der-Datenschutzre geln- an-vielen-Stellen-weiterhin-unklar.html, 4.10.2018 Die Standardprozessabbildung ist dem nachfolgenden Diagramm zu entnehmen: DORIE – für die zentrale Steuerung der Auskunftsersuchen im Unternehmen Kunde Verantwortli- che Stelle Dienstleister Sub-Dienstleister 2 3 5 7 10 12 14 15 1 16 7 8 9 11 4 6 13 Auskunfts- begehren Erhalt der Info auf gleichen Weg wie Eingang schriftlich – alternativ via Postbestätigung Freigabe Ja/Nein Ggf. Ermittlung + Übergabe weiterer Daten Freigabe Ja/Nein Erhalt der Auskunft (Brief-Zugangsinfo, Internetschließfach) Prozessende Info an Kunde Eingangsbestäti- gung/Ablehnung Datenermittlung, Zwecke, Speicher- Löschfristen Ggf.

Ermittlung + Übergabe weiterer Daten Aufbereiten der Daten Beauskunftung durchführen Eskalation / Beschwerde Beschwerde- management Rückfrage nach Detaillierung weiter mit Eingang des Auskunfts- begehren Case-Identifikation (Identität, Art d. Be- gehren, Berechtigung

DSGVO: BEAUSKUNFTUNGS-PROZESSE VEREINFACHEN S.04

TITELTHEMA 06 | Das Kundenmagazin der Natuvion GmbH, Walldorf Für ggf. auftretende Rückfragen steht ein Eskalations- Workflow zur Verfügung (14). Falls notwendig kann der gesamte Sachverhalt an das unternehmensinterne Beschwerdemanagement oder den Rechtsbereich über- geben werden (15/16). Einen jederzeit aktuellen Überblick zu laufen- den Auskunftsprozessen bietet das zentrale Management-Dashboard (vgl. Screenshot). Natuvion stellt DORIE auf der SAP Cloud Platform zur Verfügung. Die Applikation ist das Ergebnis der Entwicklungskoope- ration „co-innovated with SAP“.

Ein technischer Einblick in DORIE

DSGVO: BEAUSKUNFTUNGS-PROZESSE VEREINFACHEN S.04

| 07 Details / DeepDive: Kasten 1 – Bearbeitungsvarianten eines Auskunftsersuchens Wesentliche Aufgaben des Integration Layers sind hierbei: Bereitstellung diverser Services (Übertragung/ Austausch von Dateien, Remote-Prozeduraufruf, Nachrichtenaustausch) Anbindung von SAP- und Non-SAP-Systemen über Message Queues und spezielle Konnektoren, dadurch: - Abstraktion (Trennung) der zugrunde liegenden Backendsysteme - Bereitstellung von Routing- und Konvertierungsregeln Weitere Details und ein Demo-Szenario unter: https://www.natuvion.com/de/produkte_original/sap-cloud-entwicklungen/beaus kunftungs-app-dorie Die Business Applikation ist als Workflow-Process-Layer auf der SAP Cloud Platform implementiert.

Für das Be- nutzer-FrontEnd kommt UI5-Technologie zum Einsatz. Für zentrale Elemente wie Benutzerverwaltung und Rollenkon- zept werden Services der SAP Cloud Platform genutzt. Der Integration Layer ist Basis für die Enterprise Applica- tion Integration. Hier werden sog. Messages Queries für die asynchrone Kommunikation genutzt. Über den Integration Layer werden die datenführenden Business-Applikationen angeschlossen und die Datenermittlung gesteuert.

DSGVO: BEAUSKUNFTUNGS-PROZESSE VEREINFACHEN S.04

Das Kundenmagazin der Natuvion GmbH, Walldorf 08 | F achbereichsspezifische Anforderungen an ein Sperr-/ Löschkonzept erfordern die genaue Analyse der Verwendung personenbezogener Daten entlang der Geschäftsprozesse. Dabei ist der komplette Datenverarbei- tungsverlauf für die in der SAP Business Suite verwalteten betroffenen Personen, ob Mitarbeiter, Kunde oder Kreditor, zu beleuchten. Die Daten sind nach logisch-sinnvollen Ge- sichtspunkten zu clustern, um die Anzahl der festzulegen- den Sperr-/ Löschregeln auf eine möglichst kleine Anzahl zu beschränken. Dabei gilt der Grundsatz: So viel wie nötig (um datenschutzrechtlich konform zu sein) und so wenig wie möglich (um die Komplexität der technischen Umsetzung zu reduzieren).

Für eine IT-technische Umsetzung der festgelegten Sperr-/ Löschregeln steht man vor der Herausforderung, die per- sonenbezogenen Daten in einer oftmals weitverzweigten SAP-Systemlandschaft eindeutig zu identifizieren. Es gilt nun – bis auf Feldebene entlang der vorhandenen Tabellen- strukturen – festzustellen, wo die Datenobjekte gespeichert sind und verarbeitet werden. Herausfordernd sind dabei nicht die systemseitig zur Verfügung gestellten Standards, deren datenschutzrechtliche Relevanz in Bezug auf perso- nenbezogene Daten meist den Fachbereichen und Key Usern bekannt sind, sondern die zahlreichen, oftmals über Jahre hinweg entstandenen Eigenentwicklungen, Z-Tabellen und SAP-Add-ons, die teilweise gar nicht mehr in Verwendung sind.

Ohne Unterstützung von auf diesen Zweck ausgerichteten Analysetools, die bei der Identifikation personenbezogener Daten mit intelligenten Suchalgorithmen eine hohe Treffer- quote aufweisen, lässt sich dieser wichtige Schritt in einem ILM-Projekt kaum erreichen.

Technisch gesehen ist es ratsam, verschiedene Suchme- chanismen in einem Tool miteinander zu kombinieren. So erhält man bei einer angemessenen Laufzeit von wenigen Stunden auch bei großen Systemen ein möglichst exaktes, datenfeldbezogenes Ergebnis der Tabellen, die direkten oder auch indirekten Personenbezug aufweisen. Ideale Kombina- tionen sind: DDIC-basierte Struktursuche auf Domänenebene Semantische-/ inhaltsbasierte Suche auf Basis bekannter Tabellenfelder mit Personenbezug Exklusion von irrelevanten Tabellen Inklusion von relevanten Tabellen mit Personenbezug, die ggf. über die semantische Suche nicht gefunden würden.

Mit dem von Natuvion eigens für diese Zwecke implemen- tiertem Analyseverfahren SOPHIA werden alle personenbe- zogenen Daten in Standardtabellen, Non-Standardtabellen sowie Eigenentwicklungen identifiziert. DIE ZUSAMMENFÜHRUNG FACHLICH-PROZESSUALER ANFORDERUNGEN ZUM SPERREN UND LÖSCHEN PERSONENBEZOGENER DATEN MIT FUNKTIONSSPEZIFISCHEN GEGEBENHEITEN IM RETENTION MANAGEMENT DES SAP INFORMATION LIFECYCLE MANAGEMENTS Update DSGVO

DSGVO: BEAUSKUNFTUNGS-PROZESSE VEREINFACHEN S.04

| 09 1 Beginn der Analyse Zwischen 4 und 24 Stunden Laufzeit 2 Der Clou an SOPHIA SOPHIA kombiniert alle vorangestellten Suchmechanismen und gibt für die gefundenen Tabellenfelder eindeutige Beispiel- werte aus, die eine spätere Analyse der gefundenen Treffer stark vereinfacht.

Ebenso werden dem Anwender Tabellengröße, Anzahl der Einträge sowie das letzte Änderungsdatum angezeigt. Somit gelingt es der Fachabteilung und IT sehr schnell, die nicht relevanten Tabellen aus dem Projektumfang auszuschließen.

Darüber hinaus ordnet SOPHIA den SAP-Standardtabellen automatisiert die vorhandenen Archivierungs- resp. ILM-Objekte zu. Ein exemplarisches Analyseergebnis wird nachstehend dargestellt: Tabellenfelder mit personenbezogenen Daten und Beispielinhalten ILM-Objekte, in denen die gefundenen Tabellen verwendet werden

DSGVO: BEAUSKUNFTUNGS-PROZESSE VEREINFACHEN S.04

10 | Das Kundenmagazin der Natuvion GmbH, Walldorf Bei kundeneigenen und fremden Namensräumen für mögliche SAP-Add-ons von Fremdanbietern oder Eigen- entwicklungen sowie individuellen Zusatztabellen verblei- ben Lücken bei der Zuordnung der ILM-Objekte.

So er- kennt man schnell, wie weit sich eine Einführung der Retention Management-Funktionen des ILM vom Standard wegbewegt. Diese Feststellung ist äußerst projektrelevant, da der Umgang mit dem Non-Standard ein wesentlicher Aufwandstreiber in einem ILM-Projekt ist. Zusätzliche ILM- Objekte erzeugen zusätzlichen Entwicklungsaufwand und einen deutlich höheren Testaufwand.

Im weiteren Verlauf ist für jede Analyselücke ein geeignetes Vorgehen zu definieren. Der nachstehende Entscheidungsbaum zeigt beispielhaft die möglichen Handlungsoptionen: Fazit Die Umsetzung von fachlichen Sperr-/ Löschanforderungen erfordert eine möglichst exakte Analyse der Tabellenstruk- tur und der Ablage der personenbezogenen Daten in den jeweiligen Feldern auf der technischen Seite im System. Da ILM auf Tabellenebene arbeitet, ist eine exakte Zuordnung der ILM-Objekte zu den relevanten Tabellen im Vorfeld eines Umsetzungsprojekts eine maßgebliche Basis, um den Einführungsaufwand möglichst exakt abschätzen zu können.

Datenanalysetools, wie SOPHIA von Natuvion, können helfen, in nur wenigen Stunden belastbare Ergeb- nisse in Bezug auf das Aufspüren personenbezogener Daten in SAP-Systemen zu generieren und den dafür notwendigen Analyseaufwand stark zu reduzieren. Oftmals kommen auch ungeahnte „Altdaten-Schätze“ an die Oberfläche, die im Rahmen initialer Datenbereinigungen außerhalb des prozes- sualen Sperrens und Löschens mit SAP ILM zu behandeln sind. Ein positiver Nebeneffekt, um datenschutzrechtliche Risiken zu minimieren.

Burkhard Hergenhan Senior Principal Consultant Natuvion GmbH Altrottstr. 31 · 69190 Walldorf Fon: +49 6227 73-1400 burkhard.hergenhan@natuvion.com Tätigkeitsbereiche: - Data Privacy & Protection - Strategieberatung Enthält die Tabelle personenbezogene Daten? Nicht relevant Ist die Z-Tabelle/das Add-on Teil eines eigenständigen Geschäftsobjektes (außerhalb des SAP Standards)? Unterliegen die Daten gesetzlichen Aufbewahrungsfristen? Zuordnung der Tabelle zu einem bestehenden ILM Objekt (SAP Standard) Bei einmaligen Löschanforderungen bzw. nicht wiederkehrenden/regelmäßigen Löschungen kann ein Löschreport erstellt werden.

Erstellung eines kundeneigenen ILM-Objektes (Archivierungsobjekt wenn die Tabellen Massendaten enthalten oder Datenvernich- tungsobjekt wenn keine Archivierung notwendig ist) nein ja ja nein nein ja Wünschen Sie weitere Informationen oder Unterstützung bei den notwendigen Umsetzungen zur DSGVO? Dann melden Sie sich gerne bei uns! Die Experten für kontinu- ierliches Datenmanagement in unserem Data Privacy & Protection Competence Center unterstützt Sie auf Ihrem Weg zur DSGVO-Konformität.

Update DSGVO

| 11 STEP BY STEP GRUNDCUSTOMIZING IM SAP INFORMATION LIFECYCLE MANAGEMENT V or der technischen Umsetzung eines kontinu- ierlichen Datenmanagements zum Sperren und Löschen personenbezogener Daten mit SAP ILM sollten die folgenden fachlichen Komponenten als relevante Grundsteine bereits vorhanden sein: Inventarisierung aller Systeme mit personenbezogenen Daten Bestimmen der Datenarten Definition von Betroffenen- und Sonderzuständen entlang des Datenlebenszyklus Aufstellen einer Matrix mit Sperr-/ Löschregeln für alle Datenarten im jeweiligen Betroffenenzustand Technische Analyse personenbezogener Daten in der SAP BusinessSuite Mapping der relevanten Tabellen mit Archivierungs-/ILM-Objekten Bevor nun mit der Konfiguration der einzelnen Sperr-/ Löschregeln im System begonnen werden kann, müssen grundsätzliche Voraussetzungen geschaffen werden.

Dabei ist zu empfehlen, die ersten Gehversuche im SAP ILM in einer geschützten System- und Testumgebung (Sandbox) vorzubereiten. Unvorteilhaft kann die Ausführung der ILM-Funktionen auf einer normalen Testumgebung aus folgenden Gründen sein: Durch die erwartungsgemäß lange Laufzeit eines ILM- Projekts werden voraussichtlich andere systemrelevante Projekte behindert Testweise gesperrte oder gelöschte Daten zerstören vorkonfigurierte Testkonstrukte Zur vollumfänglichen, fehlerfreien Nutzung der ILM-Funkti- onen ist das System auf die jeweils relevanten Releaselevel zu bringen, die nachstehend dargestellt sind: SAP ERP SAP ERP 6.0 EhP7, SP13 SAP CRM SAP CRM 7.0 EhP4, SP1 SAP for Utilities SAP ERP 6.0 EhP7, SP13 SAP HCM SAP ERP 6.0 EhP6, SP16 SAP ERP SAP ERP 6.0 EhP7, SP13 System / Applikation Release-Voraussetzung

Zusätzlich sind in der Regel eine Vielzahl von sog. SAP- Hinweisen (OSS-Notes) einzuspielen, die vergleichbar mit Patches bei anderen Systemen sind. Um die Hinweise ermitteln zu können, muss das System eine Verbindung zum SAPOSS Server herstellen können (die RFC Verbindung muss eingerichtet sein – die Prüfung erfolgt über Transak- tion SM59) und die Einstellungen des Systems müssen das Einspielen von Hinweisen erlauben. Zur Feststellung, welche Hinweise tatsächlich relevant für das jeweilige Releaselevel des betrachteten Systems sind, eignen sich entsprechende Analysetools, wie z.B. SOPHIA von Natuvion, das die notwendigen Hinweise monatlich aktuell nach Ausführung ermittelt.

Das Einrichten von Berechtigungen gehört ebenfalls zu den notwendigen Systemvoraussetzungen, die zur Ausführung von ILM-spezifischen Transaktionen berechtigen. Maßgeblich ist hier insbesondere die Rolle SAP_BC_ILM_ ADMIN_RM. Zusätzlich empfiehlt es sich jedoch nachstehende Berechti- gungsrollen anzulegen: SAP_BC_CCM_DATA_ARCHIVING SAP_BC_CM_USER SAP_BC_ILM_ARCHIVELINK SAP_BC_ILM_AUDIT_AREA SAP_BC_ILM_DESTROY SAP_BC_ILM_IRM SAP_BC_ILM_CHECKSUM SAP_ILM_WP_ADMIN Darüber hinaus sind Berechtigungen für Entwicklung, Debugging und zur Einrichtung von RFC-Verbindungen notwendig.

Nach diesen Schritten kann die Aktivierung der ILM-Funk- tionen auf der Sandbox erfolgen. Im ersten Schritt werden über die Transaktion SICF die sog. ILM-Services aktiviert. In der Transaktion SICF besteht die Möglichkeit, sich durch den angezeigten Baum selbstständig zum jeweiligen Service zu navigieren oder einen Service zu suchen. Zum Suchen trägt man zunächst unter Servicename den Service ein. Anschließend klickt man auf Anwenden. Im unteren Teil des Fensters erscheint anschließend der gesuchte Service, der per Rechtsklick Service Aktivieren aktiviert wird. Es existieren mehr als 800 ILM relevante Hinweise, die unter Umständen alle ins System eingebaut werden müssen.

Wie viele tatsächlich nötig sind, hängt vor allem vom Aktualisierungsstand des Systems selbst ab. Viele Hinweise sind in neueren Support Packages (SP) enthalten, welche SAP in regelmäßigen Abständen veröffentlicht.

Deshalb ist es unter Umständen ratsam, mit dem Ermitteln und Einspielen der Hinweise zu warten, bis das aktuellste SP eingespielt wurde. i 12 | Das Kundenmagazin der Natuvion GmbH, Walldorf Update DSGVO

SRS DAS_STORE_BROWSER S_ILM_VIEWDEF IRM_POLICIES ILM_ARCHIVE_STORE ILM_AUDIT_AREA ILM_AUDIT_TEMPLATE ILM_CHECKSUM ILM_REPOS ILM_REPOSITORY ILM_STORE_ADMIN MYSSOCNTL ICONS ICONS_RTL PICTOGRAMS UR WEBDYNPRO WEBICONS Unter Umständen sind einige schon aktiviert und können aktiviert bleiben. Einige der ILM Transaktionen benutzen zudem Webanwendun- gen. Für diese müssen die Web- services auf dem System aktiviert und eingerichtet sein.

Über die Transaktion SMICM kann geprüft werden, ob die Webservices aktiv sind.

i Quellenangabe: SAP Consulting Quellenangabe: SAP Consulting Quellenangabe: SAP Consulting | 13

SAP-Systeme sind in der Regel in einen Systemverbund eingebettet. Sperr- und Löschregeln müssen somit sys- temübergreifend definiert werden, um die zweckgebundene Verwendung der personenbezogenen Daten, z.B. im Rahmen des Geschäftspartnerkonstrukts, vollumfänglich, d.h. über Systemgrenzen hinweg prüfen zu können. Aufgrund dessen ist im Vorfeld eines ILM-Projekts zu definieren, welches Sys- tem das Mastersystem, also das datenführende System, ist und welche Systeme ILM-seitig über RFC-Verbindungen mit- einander verknüpft werden sollen.

Das Mastersystem wird in der Transaktion SPRO festgelegt. Dort ist die Funktion SAP Referenz-IMG zu starten.

Im angezeigten Hierarchiebaum ist durch die verschiedenen Ebenen bis zur folgenden Funktion zu navigieren: Ebenen SAP Customizing Einführungsleitfaden>Anwen- dungsübergreifende Komponenten >Data Protection (bzw. Datenschutz) >Sperren und Entsperren von Daten> Geschäftspartner > Details zur Zweckerfüllung der Kon- solidierungssystem-ID speichern Dort können neue Systemeinträge hinterlegt werden. Der jeweilige Systemname ist im unteren rechten Fensterbereich abzulesen. Dieser ist in die angezeigte Liste einzutragen und zu speichern.

Im nächsten Schritt werden ILM Business Functions verfügbar gemacht.

Die Aktivierung erfolgt über die Transaktion SFW5. Für unterschiedliche Systeme der SAP Business Suite gibt es auch verschiedene Business Functions. Nachstehend sind die zu aktivierenden Business Functions für ein SAP CRM dargestellt (Achtung: Die Business Function ILM sollte dabei immer zuerst aktiviert werden!): ILM ILM_BLOCKING BUPA_ILM_BF DA_ARCHOBJ_STANDARD_* DA_ARCHOBJ_STANDARD_CRM ILM_STOR DA_COCKPIT_ILM (optional. Hiermit kann über die die Netweaver Client-Oberfläche die Archivierung gestartet werden) Update DSGVO 14 | Das Kundenmagazin der Natuvion GmbH, Walldorf

Zusätzlich sind die im Systemverbund maßgeblichen RFC-Destinationen für den Zugriff vom Mastersystem zu definieren. Auch diese Einstellungen werden über die Transaktion SPRO gesteuert. Über den Button SAP Referenz-IMG starten ist im ange- zeigten Hierarchiebaum durch die verschiedenen Ebenen bis zur folgenden Funktion zu navigieren: Ebenen SAP Customizing Einführungsleitfaden > Anwen- dungsübergreifende Komponenten > Data Protection (bzw. Datenschutz) > Sperren und Entsperren von Daten > Geschäftspartner > RFC-Destination der mit dem Master- system verbunden Systeme definieren Hier wird die RFC-Verbindung zum Mastersystem eingetra- gen.

Die RFC-Destination muss bekannt sein und ist über die Transaktion SM59 zu ermitteln. Existiert kein Mastersys- tem, muss die RFC-Destination auf sich selber verweisen, weil ILM eine Ziel-Destination erwartet und sonst abbricht. Dazu muss die RFC-Destination des Systems selbst ermittelt werden.

Mit diesem Schritt sind die wesentlichen Grundeinstellun- gen zur Nutzung der ILM-Funktionalitäten vollzogen. Im weiteren Verlauf sind nun weitere komplexe Tätigkeiten zur Abbildung des gewünschten Sperr-/ Löschregelwerks notwendig. Wünschen Sie weitere Informationen oder Unterstützung für die Umsetzung Ihres ILM- Projekts? Dann melden Sie sich gerne bei uns! Die Experten für kontinuierliches Datenmanage- ment in unserem Data Privacy & Protection Competence Center unterstützen Sie auf Ihrem Weg zur DSGVO-Konformität.

Burkhard Hergenhan Senior Principal Consultant Natuvion GmbH Altrottstr.

31 69190 Walldorf Fon: +49 6227 73-1400 burkhard.hergenhan@natuvion.com Tätigkeitsbereiche: - Data Privacy & Protection - Strategieberatung | 15

16 | Das Kundenmagazin der Natuvion GmbH, Walldorf S AP-Systemlandschaften werden üblicherweise in einer mehrstufigen Systemarchitektur betrieben. Die nicht produktiv genutzten Systeme werden zum Beispiel zu Qualitätssicherungs-, Test- oder Entwicklungszwecken verwendet. Beson- ders im Qualitätssicherungs- und Projektbereich ist es sinnhaft, eine möglichst realitätsnahe Datenbasis bereitzustellen. In der Regel wird hierzu eine vollständige Systemkopie der legitimierten und für den Vertragszweck produktiv genutzten Daten durchgeführt.

IST EINE SYSTEMKOPIE NOCH ERLAUBT? Sofern diese Systeme Daten mit direktem oder indirektem Personenbezug enthalten, stellt sich unmittelbar die Frage: Ist dieses Vorgehen im Zuge der DSGVO überhaupt noch bzw.

unter welchen Voraussetzungen erlaubt? Der Umgang mit personenbezogenen Daten („pers. Daten“) setzt voraus, dass ein Rechtfertigungsgrund gegeben ist. Als Rechtfertigungsgrund kann eine gesetzliche Bestimmung anwendbar sein oder die betroffene Person kann ihre Einwilligung erteilen. In jedem Fall ist die datenschutzrechtliche Zweckbindung zu beachten. Pers. Daten dürfen nur für die Zwecke verarbeitet werden, welche durch die anwendbare gesetzliche Bestimmung oder durch die Einwilligung abgedeckt sind. Dies bedeutet, dass ein Umgang mit pers. Daten zu einem anderen Zweck grundsätzlich nicht von dem jeweiligen Rechtfertigungsgrund abgedeckt ist.

Dieser Umgang ist daher rechtswidrig, wenn kein anderer Rechtfertigungsgrund gegeben ist.

Der Umgang mit pers. Daten für Testzwecke, einschließ- lich einer Migration oder Spiegelung, ist gesetzlich nicht ausdrücklich geregelt. Weder das bisherige Bundesdaten- schutzgesetz (BDSG-alt; bis 25. Mai 2018), das nun geltende Bundesdatenschutzgesetz (BDSG-neu; seit 25. Mai 2018) noch die Datenschutzgrundverordnung (DSGVO; seit 25. Mai 2018) enthalten hierzu spezielle Bestimmungen. Update DSGVO

| 17 Nachdem keine speziellen Bestimmungen gegeben sind, ist die Handhabung pers. Daten für Testzwecke als eigen- ständiger Umgang zu prüfen. Für den Umgang mit pers.

Daten für Testzwecke ist folglich ein Rechtfertigungsgrund erforderlich. Um die o.g. Problematik zu vermeiden, sollte grundsätzlich keine Verwendung von pers. Daten für Testzwecke erfolgen. Daher ist fraglich, welche praxisnahen Möglichkeiten gegeben sind, (pers.) Daten für Testzwecke zu verwenden. Grundsätzlich könnte eine Einwilligungserklärung auch Testzwecke umfassen. Nachdem eine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann, ist diese Möglichkeit kaum praxisrelevant. Daher ist im Folgenden zu untersuchen, welche anderen Möglichkeiten gegeben sind, um mit (pers.) Daten für Testzwecke umzugehen.

Anonymisierung Die Anonymisierung von pers. Daten ist eine Möglichkeit, Daten ohne Personenbezug für Testzwecke zu nutzen. Dies setzt insbesondere voraus, dass die Anonymisierung mit verhältnismäßigem Aufwand erfolgen kann und eine Ano- nymisierung tatsächlich gegeben ist. In diesem Zusammen- hang ist zu beachten, dass eine Verschlüsselung allein keine ausreichende Anonymisierung darstellt. Wenn der jeweilige Schlüssel zur Re-Anonymisierung genutzt werden kann, ist keine Anonymisierung gegeben (Gola/Klug/Körffer, in: Gola/ Schomerus, Bundesdatenschutzgesetz, 12. Auflage, 2015, § 3 BDSG, Rdnr.

44). Nachfolgend wird der Unterschied von Anonymisierung und Pseudonymisierung dargestellt: Der Begriff „Anonymisieren“ wird in § 3 Abs. 6 BDSG-alt (bis 25. Mai 2018) folgendermaßen definiert: „Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“ Die DSGVO enthält keine eigenständige Definition. Nach Erwägungsgrund Nr. 26 S. 4 und 5 DSGVO gilt: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.

Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.“ „Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h.

für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statische oder Forschungszwecke.“ „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen natürlichen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren.

Die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklung ist dabei zu berücksichtigen.“ Pseudonymisierte Daten Anonymisierte Daten Betroffene Person kann unter Hinzuziehung der gesondert aufbewahrten oder ggf. öffentlich zugänglichen Informationen wieder identifiziert werden.

Betroffene Person kann nicht oder nur mit unverhätnismäßigem Aufwand wieder identifiziert werden. Ent-Personalisierung ErwG 26 ?

18 | Das Kundenmagazin der Natuvion GmbH, Walldorf Update DSGVO An eine Anonymisierung sind daher hohe Anforderungen zu stellen. Durch eine Anonymisierung muss zum einen der Bezug der Daten auf eine bestimmte oder bestimmbare Person beseitigt werden. Zum anderen müssen pers. Daten auch derart verändert werden, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmbaren natürlichen Person zugeordnet werden können.

Daraus folgt, dass keine ausreichende Anonymisierung ge- geben ist, wenn Daten für Testzwecke zwar für den Tester anonym sind, aber aufgrund weitreichenderer Berechti- gungen eines anderen Verantwortlichen der Personenbezug wiederhergestellt werden kann. Eigenständige Testdatensätze mit Phantasieeinträgen erstellen Wenn eine Anonymisierung nicht mit vertretbarem Auf- wand möglich ist, könnte die Möglichkeit der Erstellung eigenständiger Testdatensätze mit Phantasieeinträgen ge- prüft werden. Dabei ist sicherzustellen, dass solche Phan- tasieeinträge keinen Eingang in den Live-Betrieb finden.

Begrenzter Umgang mit pers.

Daten für Testzwecke Wenn nachweisbar weder eine Anonymisierung möglich ist noch die Erstellung eigenständiger Testdatensätze, dann kann, unter Beachtung der Anforderungen des Düsseldorfer Kreises und des Bundesamtes für Sicherheit in der Infor- mationstechnik („BSI“), ein begrenzter Umgang mit pers. Daten für Testzwecke im Rahmen einer Interessenabwägung gerechtfertigt werden. Ein solcher Test sollte regelmäßig in einem abgeschlossenen System erfolgen und auf den not- wendigen Umgang beschränkt werden. Für die erforderliche Dokumentation im Sinne des Art. 5 Abs. 2 DSGVO muss jeweils nachgehalten werden, warum der jeweilige Test nicht auf andere Art und Weise durchgeführt werden kann.

Checkliste Wenn nachweisbar keine Alternative zum Umgang mit pers. Daten für Testzwecke gegeben ist, können die Anforderungen des Düsseldorfer Kreises und des BSI als Checkliste genutzt werden. Die folgenden Anforderungen müssen kumulativ vorliegen: Ist keine bereichsspezifische Rechtsvorschrift gegeben, die einen solchen Test mit pers. Daten ausdrücklich untersagt?

Ist eine Anonymisierung der Originaldaten für die vor- gesehene Test-Konstellation nur mit einem unvertretbar hohen Aufwand verbunden? Hat die verantwortliche Stelle dem Vorgehen schriftlich zugestimmt? Werden bei der Durchführung und/oder Auswertung des Tests die schutzwürdigen Belange der betroffenen Perso- nen und die Datensicherheit angemessen berücksichtigt? Ist sichergestellt, dass nur die für die Fehlerbehebung und Durchführung des Tests erforderlichen Personen die pers. Daten nutzen können?

Haben nur Personen Zugang zu diesen pers. Daten, die den jeweils maßgebenden Vertraulichkeitsgrund- sätzen und insbesondere datenschutzrechtlichen Vorschriften unterliegen? Kann trotz Nachbildung im Testbereich ein Fehler aus dem Live-Betrieb nicht ermitteln werden, sodass sich ein solcher Fehler nur mit pers.

Daten aus dem Live- Betrieb aufklären lässt und/oder die Verfahrenssicherheit nicht anders gewährleistet werden kann? Empfehlung 1. Heben Sie den Personenbezug durch Anonymisierung auf oder generieren Sie eigenständige Testdatensätze mit Phantasieeinträgen, die Sie dann verwenden.

2. Wenn ein Umgang mit pers. Daten für Testsysteme unumgänglich ist, prüfen Sie technische und organisatorische Maßnahmen, wie z.B. die Pseudonymisierung. Durch eine Pseudonymisierung bleibt bei den Daten ein Personenbezug erhalten. Im Rahmen einer Interessenabwägung und für die Umsetzung von Sicherheitsvorkehrungen könnte eine Pseudonymisierung jedoch herangezogen werden.

| 19 Dr. Stefan Peintinger, Benjamin Spies, LL.M. (Georgetown) ePrivacyVo UND DIE MÖGLICHEN AUSWIRKUNGEN AUF IHRE SAP-SYSTEMLANDSCHAFT – EIN ZWISCHENSTAND SKW Schwarz Rechtsanwälte Benjamin Spies Partner bei Kanzlei SKW Schwarz Rechtsanwälte im Fach- bereich IT & Digital Business am Standort München.

Dr. Stefan Peintinger Associate bei SKW Schwarz. D er Artikel ePrivacyVO und die möglichen Auswir- kungen auf Ihre SAP-Systemlandschaft befasst sich mit den geplanten hohen Anforderungen, insb. an den Cookie-Einsatz, durch die ePrivacyVO. Die ePrivacyVO befindet sich zwar noch in der Ausarbeitungsphase, aber bestimmte Trends sind bereits erkennbar. In der SAP-Systemlandschaft werden Cookies (und andere sogenannte „personal identifier“) z.B. für Cloud- und Portal- Lösungen eingesetzt. So sind Cookies bspw. für Login- Funktionen unerlässlich. Die geplante ePrivacyVO wird von Unternehmen fordern, den Einsatz von Cookies differenziert zu betrachten.

Je nach Verarbeitungszweck könnte dann eine andere Rechtsgrundlage heranzuziehen sein. Mög- licherweise lassen sich bestimmte Verarbeitungszwecke, wie z.B. das Nutzer-Tracking und bestimmte Analysemethoden künftig nur noch über eine entsprechende ausdrücklich zu erklärende Einwilligung rechtfertigen.

ePrivacyVo

Das Kundenmagazin der Natuvion GmbH, Walldorf ePrivacyVo 20 | N ach der Reform ist vor der Reform. Nachdem seit dem 25. Mai 2018 die Datenschutz-Grund- verordnung (DSGVO) geltendes Recht ist, wird intensiv um ergänzende Regelungen für den Onlinebereich gerungen: Die Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektroni- schen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektro- nische Kommunikation; „ePrivacyVO“) steht vor der Tür.

Der vorliegende Beitrag gibt zunächst einen aktuellen Zwischenstand zur ePrivacyVO. Anschließend folgt ein Ausblick auf das mögliche Verhältnis der ePrivacyVO zur SAP-Systemlandschaft anhand der Beispiele Ariba, Concur und SuccessFactors HCM Suite. Nachdem im Rahmen der Diskussionen zur ePrivacyVO nach wie vor sehr vieles unge- klärt ist, kann dieser Ausblick nur in groben Zügen erfolgen. A. Aktueller Zwischenstand zur ePrivacyVO Ursprünglich war geplant, dass ab dem 25. Mai 2018 das Datenschutzrecht neben der DSGVO auch durch die ePrivacyVO1 reformiert wird. Die ePrivacyVO liegt jedoch bis heute nur als Entwurf vor, zuletzt in der Fassung vom 10.

Juli 20182 . Neben (zahlreichen) juristischen Detailfragen ist noch der Umfang der ePrivacyVO und das Verhältnis zur DSGVO offen.

Eine wichtige Detailfrage mit hoher praktischer Relevanz ist die Frage, inwieweit ein Verantwortlicher für eine Daten- verarbeitung auf das Endgerät eines Nutzers zugreifen darf, um dort Daten zu speichern bzw. auszulesen (vgl. Art. 8 ePrivacyVO-Entwurf). Diese Thematik wird häufig auf den Einsatz von Cookies verkürzt. Cookies, also Textdateien, die auf dem Endgerät eines Nutzers abgelegt werden, sind aber nur eine Möglichkeit, Daten auf einem solchen Endgerät zu speichern bzw. auszulesen. Die ePrivacyVO wird voraus- sichtlich technologieneutral formuliert (wie die DSGVO). Daher werden wahrscheinlich alle Techniken erfasst, die auf das Endgerät eines Nutzers zugreifen können, um dort Daten zu speichern bzw.

auszulesen. Ein Beispiel für eine solche Technik, die keine Cookies verwendet, ist das sog. Device Fingerprinting. Dabei werden bestimmte Einstel- lungen und Eigenschaften eines Endgerätes ausgelesen, um dieses eindeutig zu identifizieren. Je mehr Einstellungen und Eigenschaften zusammengenommen werden, umso eher ist ein einzelnes Endgerät wiedererkennbar. Solche Verarbeitungen sind u.a. relevant, um das Nutzerver- halten zu tracken und um bestimmte Funktionalitäten zu er- möglichen (z.B. den Login auf einer Webseite). Aktuell wird hierzu diskutiert, in welchen Fällen eine solche Verarbeitung zulässig sein kann, z.B.

aus Sicherheitsgründen oder zur Vertragserfüllung, bzw. in welchen Fällen eine Einwilligung des Nutzers erforderlich sein soll. Wenn Art. 8 ePrivacyVO- Entwurf streng formuliert wird, wird es voraussichtlich zahlreiche Fälle geben, die sich nur über eine (ausdrückliche) Einwilligung des Nutzers lösen lassen. So könnte für das personenbezogene Nutzer-Tracking bspw. eine Einwilligung erforderlich sein. In Anlehnung an die DSGVO sind hohe Anforderungen an eine solche Einwilligung zu stellen (vgl. Art. 9 ePrivacyVO-Entwurf) und die Datenschutzhinweise sind entsprechend auszugestalten (vgl. Art.

8 Abs. 2a ePri- vacyVO-Entwurf).

Es ist aktuell nicht absehbar, wie diese Diskussion (als eine von vielen) ausgehen wird. Bis zum 31. Dezember 2018 hat Österreich den Vorsitz im Rat der Europäischen Union inne. Soweit ersichtlich plant Österreich nicht, dass bis zum Abschluss des eigenen Ratsvorsitzes ein finaler Text der ePrivacyVO veröffentlicht wird. Dazu sind noch zu viele Fragen offen. Sehr wahrscheinlich wird Österreich lediglich einen weiteren Fortschrittsbericht publizieren. Daher ist, soweit ersichtlich, mit einem finalen Text nicht vor 2019 zu rechnen. Im Gegensatz zur zweijährigen Über- gangsfrist der DSGVO wird die ePrivacyVO voraussichtlich nur eine kurze Übergangsfrist von ca.

6 oder 12 Monaten vorsehen. Dies bedeutet, dass Unternehmen ihre Daten- schutzhinweise und die technischen Funktionalitäten, insb. zu Cookies, zeitnah anpassen sollten, wenn die ePrivacyVO beschlossen ist.

ePrivacyVO und die möglichen Auswirkungen auf Ihre SAP-Systemland- schaft – ein Zwischenstand SKW Schwarz Rechtsanwälte

| 21 B. Ausblick auf mögliche Implika- tionen der ePrivacyVO auf die SAP-Systemlandschaft Unabhängig von den bestehenden, weitreichenden Unsi- cherheiten lässt sich aus der aktuellen Diskussion bereits festhalten: In der SAP-Systemlandschaft gibt es zahlreiche Anwendungen, die Cloud-basiert funktionieren, z.B. Ariba, Concur und SuccessFactors HCM Suite. Es ergeben sich mannigfaltige mögliche Implikationen. I. Ariba Ariba verwendet u.a.

Tracking-Technologien, die auf Cookies zugreifen. Des Weiteren können im Rahmen von Ariba personenbezogene Daten aus Sicherheitsgründen und zur Nutzung von Ariba in Cookies gespeichert bzw. ausgelesen werden. In allen drei Fällen (Nutzer-Tracking, Gewährleis- tung der Sicherheit und Nutzung von Ariba) können u.a. die IP Adresse, der Zugriffszeitpunkt und der sog. Click Path (über welchen Weg kam der Nutzer auf eine bestimmte Seite) gespeichert und ausgewertet werden. Nach SAP- Angaben wird im Rahmen von Ariba nicht zwischen Cookies für verschiedene Verarbeitungszwecke unterschieden. II. Concur Concur verwendet ebenfalls Cookies, u.a.

um Anmeldeda- ten zu speichern, um bestimmte Funktionen zur Verfügung zustellen und um Inhalte besser auf einen Nutzer zuzu- schneiden. Nach SAP-Angaben unterscheidet Concur dabei zwischen: n Erforderlichen Cookies Diese Cookies sind für die grundlegenden Funktionen der Webseite erforderlich.

n Funktionellen Cookies Diese Cookies ermöglichen die Analyse der Webseiten- Nutzung, damit deren Leistung gemessen und verbes- sert werden kann. n Marketing-Cookies Diese Cookies werden von Werbeagenturen verwendet, um einem Nutzer Werbung zu unterbreiten, die für ihn relevant ist. III. SuccessFactors HCM Suite SuccessFactors HCM Suite verwendet insb. Session Cookies. Diese sind erforderlich, um den jeweiligen LogIn und die weitere Authentifizierung zu ermöglichen. Je nachdem, welches Modul der SuccessFactors HCM Suite zusätzlich eingesetzt wird, können weitere Cookies zu verschiedenen Verarbeitungszwecken eingesetzt werden.

IV. Ausblick Aller Voraussicht nach können Cookies auch unter der ePri- vacyVO eingesetzt werden – jedenfalls dann, wenn sie zur Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft, also zur Vertragserfüllung, erforderlich sind, z.B. für die o.g. LogIn-Funktionen und für die Bereitstellung bestimmter Funktionen. Hierfür wird wahr- scheinlich keine Einwilligung erforderlich sein. Ebenso wird der Einsatz von Cookies aus Sicherheitsgründen wohl zulässig sein, z.B. um eine IP-Adresse zu protokollieren, die möglicher- weise für einen Missbrauchsversuch verwendet wurde.

Demgegenüber wird der Einsatz von Cookies zu Marketing- Zwecken oder zum Nutzer-Tracking nach derzeitigem Stand nur über eine Einwilligung des jeweiligen Nutzers abzubilden sein.

Dies bedeutet, dass ein Verantwortlicher, der eine SAP-Lö- sung einsetzt, künftig innerhalb seiner Datenschutzhinweise klar differenzieren sollte, welche Cookies (oder andere per- sonal identifier) im Einsatz sind und welche Rechtsgrund- lage hierfür jeweils einschlägig ist. Wenn die Verarbeitung eine Einwilligung voraussetzt, dann ist (technisch) sicher- zustellen, dass diese Verarbeitung erst beginnt, wenn die Einwilligung tatsächlich dokumentierbar eingeholt wurde. Insoweit sind zahlreiche heutige Cookie-Banner unzurei- chend, denn diese sind so formuliert, dass ein Nutzer dem Cookie-Einsatz beim weiteren Besuch der jeweiligen Websei- te zustimmt (sog.

Soft-Opt-In). Allerdings sind zu diesem Zeitpunkt Tracking-Cookies bereits gesetzt und Tracking- Tools laufen längst. Das Einwilligungsmanagement sollte demnach angepasst werden und (online) Einwilligungen ausreichend dokumentiert werden (vgl. zur Rechenschafts- pflicht: Art. 5 Abs. 2 DSGVO).

1 Ausgangsversion abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri= CELEX:52017PC0010&from=DE 2 https://www.parlament.gv.at/PAKT/EU/XXVI/EU/03/00/EU_30006/imfname_10827644 .pdf SKW Schwarz Rechtsanwälte

22 | Das Kundenmagazin der Natuvion GmbH, Walldorf UNTERSTÜTZUNG BEI DER DSGVO-KONFORMEN PERSONALVERWALTUNG DURCH DAS HCM-TEAM VON NATUVION Update DSGVO D Die Anforderungen an ein angemessenes Schutzniveau hinsichtlich des Umgangs mit personenbezogenen Daten sind mit Inkrafttreten der DSGVO deutlich gestiegen. Doch obwohl die gesetzlichen Grundlagen für die Verarbei- tung für alle Unternehmen gleich sind, gibt es bei der Umsetzung der Vorgaben erhebliche Unterschiede.

Dies ist insbesondere in der Personalverwaltung mit SAP Human Capital Management (HCM) zu beobachten, also dort, wo beson- dere Arbeitsvertragsgestaltungen oder auch Eigenheiten einer Branche einen immensen Einfluss haben. Die Abhängigkeiten sind komplex, und gleichzeitig sind die Risiken bei Verstößen gegen datenschutzrechtliche Bestimmungen heute deutlich größer als noch vor dem 25. Mai 2018.

Der HCM-Fachbereich der Natuvion Das achtköpfige HCM-Expertenteam der Natuvion, unter der Leitung von Patrick Hilgers, unterstützt Unternehmen bei den zahlreichen Herausforderungen und Aufgaben. Insbesondere im Bereich Data Security & Data Privacy können Kunden von dem zielgerichteten Portfolio profitieren, welches auf der langjährigen Erfahrung der HCM-Experten basiert. Patrick Hilgers, der leitende Experte des HCM-Teams von Natuvion, verfügt über ein beeindruckendes Fachwissen auf dem Gebiet SAP HCM. Seit vielen Jahren unterstützt er Unternehmen kompetent und zuverlässig im Bereich Daten- schutz in SAP HCM und hilft ihnen dabei, die umfangreichen, komplexen Anforderungen der EU-DSGVO umzusetzen.

Unter anderem verantwortete er die datenschutzkonforme Einfüh- rung von SAP HCM im Geschäftsbereich des Bundesfinanz- ministeriums und war anschließend dort in leitender Position für den Betrieb des SAP HCM-Systems tätig. Patrick Hilgers Principal Consultant Natuvion GmbH Altrottstr. 31 69190 Walldorf Fon: +49 6227 73-1400 patrick.hilgers@natuvion.com Das Portfolio Das Leistungsangebot des HCM-Fachbereichs ist aufge- teilt in sieben Angebotsfelder und deckt alle wesentlichen Aspekte ab, die für eine DSGVO-konforme Umsetzung relevant sind (vgl. Abbildung). Patrick Hilgers und sein Team unterstützen Unternehmen bei Sperr- und Löschvorgängen mittels SAP ILM (siehe auch Abschnitt „Das Löschen“), bei der Bereitstellung und Generierung von Testdaten sowie unter dem Schlagwort „Anonymisierung“ bei der DSGVO- konformen Entpersonalisierung von Daten.

Neben Daten-/ Systemtransformationen und Migrationen bietet das HCM- Team auch eine profunde Datenschutzberatung, Compli- ance-Audits sowie kompetente fachliche, technische und Berechtigungsberatungsleistungen an. Der Bereich HCM-Re- porting mit KPI Analytics und Datenvisualisierungen rundet das Portfolio der Natuvion in diesem Fachgebiet ab. Da die Erstellung und Umsetzung von Löschkonzepten in SAP HCM derzeit eines der größten Handlungsfelder dar- stellt, wird hierauf detaillierter im Folgenden eingegangen.

| 23 Das Löschen Obwohl das HCM-Team bereits auf zahlreiche erfolgreiche Projekte zurückblicken kann, ist jedes neue Löschkonzept gleichzeitig ein weiterer wichtiger und willkommener Erfah- rungswert. Denn kein Löschkonzept ist wie das andere – es muss zum Unternehmen passen. Der Erstellung eines Lösch- konzepts geht bei Natuvion grundsätzlich ein gemeinsamer Workshop mit dem Kunden voraus. In diesem Workshop stehen vor allem die Kundenprozesse im Mittelpunkt. Von diesen Prozessen ausgehend, wird der Lebenszyklus der Daten analysiert. Auch Schnittstellen und Meldeverfahren müssen in die Betrachtung mit einbezogen werden.

Bei der Bereini- gung dieser Daten kann SAP ILM nicht weiterhelfen, dafür müssen andere Lösungen eingesetzt werden. Das Ergebnis des Kunden-Workshops ist ein Löschkonzept mit vollstän- diger Fachvorgabe, auf dessen Grundlage die Umsetzung erfolgen kann.

Zur Beurteilung juristisch komplexer Sachverhalte arbeitet die Natuvion GmbH seit Langem mit einer der größten deutschen Kanzleien im Bereich des Datenschutzrechts zusammen. Auch deren Expertenwissen kann somit den Kunden zur Verfügung gestellt werden. Ziel ist eine datenschutzkonforme Umsetzung der Löschansprüche aus der DSGVO im Kun- denunternehmen, ohne dabei funktionierende Prozesse zu beeinträchtigen. Zusätzlich hat Natuvion mit SOPHIA ein einzigartiges Ana- lyseverfahren entwickelt. Mithilfe dieser Lösung können jegliche personenbezogene Daten im SAP-System aufgespürt werden – auch außerhalb des HCM oder bekannter Infotypen.

Das Sperren Im Rahmen des Workshops zur Ermittlung der Löschfristen und der Erstellung eines entsprechenden Löschkonzepts kommt auch das Thema Datensperre auf die Agenda. Sperren bzw. die sogenannte „Einschränkung der Verarbeitung“ ist ebenfalls eine zu erfüllende Anforderung aus der DSGVO. An dieser Stelle stehen die individuellen Prozesse des Kunden- unternehmens ebenso im Mittelpunkt der Betrachtung wie die personenbezogenen Daten selbst. Ziel ist auch hier die datenschutzkonforme Umsetzung, ohne dabei funktionieren- de Prozesse einzuschränken. Denn das Vorgehen, das für Un- ternehmen A funktioniert, könnte bei Unternehmen B einen geschäftsentscheidenden Prozess zum Erliegen bringen.

Rollen und Berechtigungen Rollen und Berechtigungen sind neben einem rechtskonfor- men Lösch- und Sperrkonzept der Dreh- und Angelpunkt bei der Umsetzung des Datenschutzes in einem SAP-System. Wer darf auf die Dateien im Spool zugreifen? Dürfen Daten aus dem System exportiert werden und wenn ja, wer hat die Berechtigung dazu? Was passiert mit den vielen Excellisten, die zum Export erzeugt werden? Wie wird sichergestellt, dass Berechtigungen wieder entzogen werden, wenn ein Mitar- beiter das Unternehmen verlässt oder den Arbeitsbereich wechselt?

Bei Natuvion kommt bei diesen Fragen ebenfalls SOPHIA zum Einsatz: Mithilfe der SOPHIA-Analyse werden alle personenbezogenen Daten im SAP-System automatisch und verlässlich gefunden. Durch die Analyse können anschließend alle jeweiligen Zugriffsberechtigungen aufgedeckt werden. Zudem unterstützen die Experten bei der Erstellung und Qualitätssicherung des Rollen- und Berechtigungskonzepts, insbesondere bei der Erstellung einer „Unverträglichkeitsma- trix“. In Zusammenarbeit mit den Fachabteilungen im Kun- denunternehmen wird festgelegt, welche Rollenkombination aus Gründen des Datenschutzes oder aufgrund von Compli- ance-Vorgaben vergeben werden dürfen und welche nicht.

Das integrierte Datenschutzkonzept Der Kunde setzt eine Vielzahl von Maßnahmen zur Um- setzung des Datenschutzes im Unternehmen ein. Diese Maßnahmen, bspw. das Lösch- und Sperrkonzept oder die Regelungen für Rollen und Berechtigungen, müssen sinnvoll in einem Gesamtkon- zept für das entsprechende SAP HCM-System zusammen- geführt werden. Nur so kann ein einheitlich hohes Schutz- niveau in der Umsetzung der DSGVO erreicht werden. Unsere Kunden Wacker · Deka Bank · Lidl · KSB · Tchibo EDAG · Stadtwerke Bielefeld · SD Worx

24 | Das Kundenmagazin der Natuvion GmbH, Walldorf Transformation D as Thema Transformationen in SAP-Systemen ist nicht neu – und gehört bei Unternehmen, die SAP-Systeme einsetzen, fast schon zu einer immer wiederkehrenden Aufgabenstellung, die in unterschiedlichs- ten Projektkontexten zu bewältigen ist. Ein Transformati- onsprojekt kann die verschiedensten Hintergründe haben, das Ziel ist jedoch immer, die maßgebliche Herausforderung in kürzester Zeit mit geringen Kosten und möglichst wenig Ressourcen zu meistern. In der Regel stellt diese Aufgaben- stellung nicht das Kerngeschäft des betroffenen Unter- nehmens dar und in den seltensten Fällen steht das nötige Know-how im eigenen Unternehmen mit entsprechenden Toolkenntnissen oder einem eigenen Toolset für die Projekt- abwicklung zur Verfügung.

Bei der Vielzahl an Herausforderungen und der Auswahl der technischen Tools zählt am Ende immer die Antwort auf die Frage: Mit welchem Ansatz und welchem Transformations- werkzeug hat man in vergangenen Projekten gute oder sehr gute Ergebnisse mit unterschiedlichen Herausforderungen gemacht hat, die als Best Practice für genau diese Anforde- rung übernommen werden können? Es wäre vermessen zu sagen, dass es genau eines der verschiedenen Beratungsunternehmen geschafft hat, die „Wunderwaffe“ für all die verschiedensten Herausforderun- gen zu finden. Zumindest aber ist es Natuvion gelungen, in Zusammenarbeit mit projekterfahrenen Kollegen aus den unterschiedlichsten Unternehmenszweigen und mit den verschiedensten Toolkenntnissen, die Best Practice für unsere eigenen Transformationsprojekte im SAP-Umfeld zu finden.

Unter der Überschrift „Transformationen ERP, IS-U, CRM“ wird im Folgenden ein ganz konkreter Anwendungsfall beschrieben und die Werkzeuge vorgestellt, die sich in den vergangenen Projekten für die jeweilige Systemherausforde- rung als optimal erwiesen haben.

TRANSFORMATION: IS-U, ERP UND CRM TRANS- FORMATION BEST PRACTICE

| 25 Konkretisierung eines Anwen- dungsfalls: Carve-out in einer übergreifenden Systemlandschaft Für die Konkretisierung unserer Aufgabenstellung stellen wir uns ein Unternehmen A vor. Im Rahmen der Meter2Cash Prozesse und der Anforderungen bei der Energieversorgung der Endkunden steht SAP IS-U im Fokus. Daneben, bei Weitem nicht unüblich, eine separate SAP ERP Installation für die Abbil- dung der klassi- schen Prozesse aus der Logistik, Rechnungswe- sen und Con- trolling, mit den hierzu bekannten Modulen.

Verschiedene Organisationseinheiten werden sowohl im SAP ERP, als auch im SAP IS-U über Buchungskreise getrennt in einem SAP Mandanten organisiert. Über unterschiedliche Schnittstellen und andere Integrationsmöglichkeiten werden zusätzlich noch diverse Non-SAP-Systeme an die drei vorhandenen SAP-Systeme angeschlossen. Dieser „Systemverbund“ ist langjährig in dieser Ausprägung aktiv. Das SAP IS-U und das SAP ERP haben eine Systemgröße von deutlich über 5 TB pro System bereits überschritten, da die klassischen Archi- vierungsoptionen nur rudimentär ausgeprägt wurden. Die Aufgabe Das Unternehmen A verkauft einen Teil seiner Organi- sationseinheiten an das Unternehmen B.

Ca. 90% der geschäftskritischen Daten befinden sich in den drei aufgezeigten SAP-Systemen. Um den Anwendungsfall zu vereinfachen, konzentrieren wir uns im Folgenden auf die SAP-Systeme mit den wesentlichen Teilen der Anwen- dungs- und Geschäftsdaten des Teilverkaufs. Im Zuge des Verkaufs wurde zwischen Käufer und Verkäufer fest- gelegt, dass sämtliche Daten und Prozesse in Form von SAP-Systemen mit der vollständigen Historie an den neuen Eigentümer zu übergeben sind. Unternehmen A muss somit mit dem Verkauf von Teilen seiner Organisationseinheiten die historisch relevanten Daten in Form von reduzierten SAP-Systemen zur Verfügung stellen, ohne gleichermaßen Daten aus den Organisationseinheiten preiszugeben, die nicht vom Verkauf betroffenen sind.

Unabhängig von der Bereitstellung der selektiven historischen Daten steht für das Unternehmen A der Umgang mit den eigenen Syste- men im Raum. Im Zuge der Datenlöschung der verkauften Unternehmensbestandteile bietet sich die Möglichkeit einer Systemgrößenreduktion an.

Das Projekt ist somit konkretisiert: Ein klassisches Carve- out-Projekt mittels Brownfield-Approach. Datenmigration vs. Datenlöschung – welcher Ansatz, welche Technik? Nachdem die Bereitstellung der Daten der verkauften Orga- nisationseinheit geklärt ist, steht die nächste grundlegende Entscheidung an: Mit welchem technologischen Ansatz lässt sich die Übergabe an die neuen Zielsysteme mit möglichst geringem Aufwand realisieren? Da Quell- und Zielsysteme beides SAP-Systeme sind und die Übergabe einen vollhis- torischen Umfang beinhaltet, ist das Verfahren auf Basis eines tabellenbasierten Transformationsansatzes bzw.

-tools gegeben. Über einen objektbasierten Ansatz (z.B. ERP = LSWM, IS-U = EMIGALL) wäre es technisch nicht möglich, die festgelegte gesamte Datenhistorie mittels SAP Standard- Importbausteinen zu be- bzw. verarbeiten. Der Fokus liegt somit auf einem Migrationswerkzeug, welches über eine Verarbeitung von einzelnen SAP Tabellen zugehörig relevan- te Daten verarbeiten kann.

26 | Das Kundenmagazin der Natuvion GmbH, Walldorf Hierzu gibt es zwei Alternativen: 1. Die selektive Ermittlung der relevanten Daten aus den Quellsystemen und Transfer dieser Selektionsmenge in die Zielsysteme, oder 2. die Erstellung einer 1:1 Kopie der pro- duktiven Systeme und Löschung der Dateninhalte, die nicht im Rahmen des Organisationsüberganges betroffen sind. Technologisch sind beide Alternativen denkbar, mit unter- schiedlichen Vor- und Nachteilen. Da das Ziel in unserem konstruierten Projektbeispiel ganz klar eine möglichst schnelle, testbare Bereitstellung von reduzierten, aber inhaltlich unveränderten Systemen ist, empfehlen wir hier einen „Copy & Delete“-Ansatz.

Aus den folgenden Gründen: Der Fokus liegt eindeutig auf einer Datenreduktion auf die übergaberelevanten Dateninhalte. Eine Anforderung für die Änderung (einem Mapping) von Daten besteht nicht. Es muss also nach der Datenlöschung keine weitere Anpassung von Dateninhalten auf dem Zielsys- tem erfolgen.

Der Umfang der zu bearbeitenden Datenbanktabellen ist geringer als ein potenziell zu transferierendes Daten- volumen, da übergreifende Stammdatentabellen zusätz- lich berücksichtigt werden müssen, die nicht Bestand- teil des Löschumfanges, sehr wohl aber Bestandteil eines Datentransfers sind. Die Auswirkungen auf ein möglichst bereits im 1. Test- zyklus „testbares“ System sind durch potenziell gar nicht gelöschte Tabellen wesentlich geringer als bei gar nicht transferierten Tabellen insgesamt.

In Zeiten von Log-Shipping ist der initiale Zeitbedarf zur Bereitstellung einer 1:1 Systemkopie zum eigentli- chen Go-Live soweit vernachlässigbar, dass dieser Faktor in der Planung der relevanten Downtime keine wesentli- che Rolle mehr spielt.

Der zeitliche Aufwand für die Identifizierung der rele- vanten Dateninhalte ist in beiden Szenarien vergleich- bar, da in jedem Fall für die eindeutigen selektiven. Zugriffe – sogenannte „Look-up Tables“ – müssen aufgebaut werden, um den selektiven Datenbestand zu definieren. Unabhängige Protokoll-, Spool- etc. System-Daten sind bei diesem Verfahren ohne techni- sche Einschränkungen auch im Zielsystem verfügbar. Ein Transfer von z.B. dem Anwendungslog muss separat betrachtet oder bearbeitet werden.

Für unser angenommenes Projektbeispiel und einem mög- lichen Projekt- und Umsetzungsvorgehen kristallisiert sich nun folgender technologischer Ansatz heraus: Aufgrund der bereitzustellenden vollständigen Daten- historie mittels eines „Copy & Delete“-Verfahrens zur Reduzierung einer 1:1 Systemkopie auf die übergabe- relevanten Datenbestandteile des neuen Dateneigners, ist ein tabellenbasierter Ansatz zu favorisieren. Widmen wir uns nun in dem folgenden Absatz der eigent- lichen Umsetzung der oben aufgezeigten Projektsysteme. Wie beschrieben, besteht die Landschaft aus insgesamt drei SAP-Systemen (IS-U, CRM angebunden an das IS-U, sowie dem SAP ERP System, das mit dem SAP IS-U verbunden ist).

Im Rahmen der zu übergebenden Systeme an den neuen Dateneigner müssen vor der eigentlichen Systemübergabe die nicht am Verkauf beteiligten Organisationseinheiten (bu- chungskreisabhängige Daten) konsistent gelöscht werden. Da der Fokus unserer Beschreibung nicht in der Planung und Bereitstellung der 1:1 Systemkopie liegt, was in der Regel eine Aufgabestellung für die im Unternehmen vorhandene SAP Basis darstellt, gehen wir zur Vereinfachung davon aus, dass entsprechende Projektsysteme mit entsprechender Hardware für die Durchführung der Projekte, inkl. der ver- schiedenen Testzyklen bereitstehen.

Konzentrieren wir uns nun auf die eigentliche Aufgabenstellung der Datenlöschung aus den verschiedenen SAP-Systemen. Eine nachgelagerte Bereinigung der bestehenden Quellsysteme ist im Prinzip lediglich eine Umkehr des Löschumfanges bei gleichbleiben- der Aufgabenstellung.

Transformation

| 27 Welches Tool für welche(s) System(e)? Für die beschriebene Aufgabenstellung gibt es verschie- denste Werkzeuge, Migrationstools, Toolsets – abhängig vom Dienstleister, der für die Umsetzung der Lösch-/Trans- formationsaufgaben herangezogen wird. Am Ende läuft es unabhängig von der Auswahl jedoch immer auf ähnliche Herangehensweisen hinaus: In einem ersten Schritt erfolgt die Ermittlung der sogenannten Lösch- oder Transformati- onsdatenmenge. Hierbei werden im Rahmen einer „Typi- sierung“ Schlüsselobjektreferenzen in sog. Schlüssel- oder Lookup Tabellen gesammelt.

Da die SAP Datenobjekte über das Datenmodell über verschiedene Referenzen miteinander verknüpft sind und nicht jede Tabelle einen eindeutigen Re- ferenzschlüssel, wie den Buchungskreis, mit sich führt, sind in dieser Aktivität eine Vielzahl von abhängigen Schlüsseln zu ermitteln, um im nachgelagerten Schritt der Verarbei- tung, in unserem Beispiel bei der Datenlöschung, auf jede löschrelevante Datenbanktabelle eindeutig zugreifen zu können.

Für die buchungskreisabhängige Löschaufgabe in den genannten drei SAP-Systemen hat sich in der Vielzahl der vergangenen Projekte folgende Toolkombination als Best Practise erwiesen: Die folgende Beschreibung soll am Ende keine Toolspezifikation zugrunde legen, sondern vielmehr auf die jeweiligen systembezogenen Herausforderungen eingehen, für die es aus unserer Sicht pro Toolansatz eine passende Lösung für die aufgezeigte Problemstellung gibt. Buchungskreisabhängige Lösungen in SAP IS-U + SAP CRM Systemen Die Herangehensweise bei der Löschung von Daten aus SAP IS-U mit SAP CRM verbundenen Systemen, sollte einer logischen Reihenfolge unterliegen.

Da Stammdatenobjekte wie der Geschäftspartner und das Vertragskonto redundant in beide Systeme repliziert werden – und je nach Nutzung des SAP CRMs z.T. auch weitere Objekte –, macht es Sinn, zunächst eine Reihenfolge der Typisierung für die löschrele- vanten Datenbestandteile zu definieren. In der Regel lassen sich die Ergebnisse der Typisierung nach der Identifizierung auf einem System auch gleichzeitig für beide Systeme (IS-U und CRM) verwenden, ohne sie zweifach auf beiden Syste- men auszuführen. Für unser Anwendungsbeispiel legen wir fest, dass, wie oben beschrieben, in einem ersten Schritt alle notwendigen Objektschlüssel aus dem SAP IS-U identifi- ziert werden.

Dies erfolgt im Natuvion-DCS (Data Conver- sion Service) durch Typisierungstasks, die die löschrelevan- te Schlüsselmenge in sogenannten Lookups oder Keytabs für die nachgelagerten Löschtasks bereitstellt. Dabei lassen sich sämtliche Stamm- und Bewegungsdaten-Referenzen relativ einfach über die im ISU Vertragskonto und IS-U Versorgungsvertrag vorhandenen Buchungskreis-Referen- zen und die logischen Abhängigkeiten des vorgegebenen Datenmodells aus einer nutzungsrelevanten Bestimmung differenzieren. Dies inkludiert auch die Bewegungsdaten des SAP IS-U Nebenbuchs, die sich über Referenzen zu Vertragskonten bzw.

Verträgen eindeutig identifizieren lassen. Etwas mehr Beachtung sollte man den Objekten widmen, die keiner direkten Buchungskreisabhängigkeit unterliegen. Klassische Beispiele sind hier der SAP Ge- schäftspartner sowie die technischen Plätze (Anschluss- objekt und Geräteplatz, also die klassischen techn. Plätze mit möglicher PM-Integration), die in der Regel auch mehrfach und vor allem auch buchungskreisübergreifend genutzt werden können. Durch diese Eigenschaft ist bei der Identifizierung bzw. Typisierung darauf zu achten, dass ein Objekt für beide Zielsysteme relevant sein kann und dadurch in keine der identifizierten Löschmengen aufge- nommen werden kann.

Im Datenmodell des SAP IS-U gibt es diverse Objekte, die buchungskreisunabhängig genutzt werden. Die entsprechenden Prüfungslogiken müssen bei der Identifizierung berücksichtigt werden. Nach der Identifizierung der maßgeblichen Stamm- und Bewegungsdaten aus dem SAP IS-U Datenmodell kümmern wir uns um die Typisierung der komplexeren „Anwendungs- übergreifenden Objekte“.

Workflows IDOCs Archive Links + DMS Referenzen Änderungsbelege SAP Office An sich lassen sich die Referenzen auch bei diesen Objekten problemlos über zugehörige Stamm- und Bewegungsdaten- objekte eindeutig zuordnen und eine Löschrelevanz ableiten. Die eigentliche Herausforderung bei diesen Objekten liegt eher in der zu verarbeitenden Schlüssel- bzw. Datenmenge. In der Regel findet man diese vier Datenobjekte grund-

Das Kundenmagazin der Natuvion GmbH, Walldorf 28 | sätzlich in den TOP 20 der größten Datenbanktabellen und zugehörigen Datenbank-Indizes.

Hier liegt die eigentliche Herausforderung darin, eine performante Identifizierungslo- gik zu implementieren. Auch bei der späteren Datenlöschung (sofern man nicht bereits auf einer SAP HANA DB unter- wegs ist) werden speziell mit den zugehörigen sogenannten „Cluster-Tabellen“ performante Löschroutinen aufgestellt, die eine Löschverarbeitung auch von Einzel-Tabellen von 1-2 TB inkl. Indexgrößen in einer Einzeldowntime innerhalb einer realistischen Verarbeitungszeit ermöglichen.

Im Rahmen der Natuvion-DCS-Typisierung für SAP IS-U und SAP CRM werden zunächst im IS-U alle Stammdatenobjekte zur Löschung identifiziert, die zudem auch redundant im SAP CRM vorhanden sind. Dann können die identifizierten Schlüssel in das SAP CRM transferiert werden, um dort die notwendigen Identifizierungsjobs für die zusätzlichen SAP CRM Objekte, wie z.B. Aktivitäten, durchführen zu können und gleichzeitig mit der Verarbeitung der offenen SAP IS-U Typisierung fortzufahren. Ziel ist es, in möglichst kürzester Zeit die Sammlung der benötigten löschrelevanten Schlüs- selmenge abschließen zu können – bei möglichst hoher Parallelität zeitgleich auf beiden Systemen.

Neben der reinen Betrachtung von SAP Standard-DB-Tabel- len aus dem SAP IS-U und SAP CRM Datenmodell werden in dieser Phase auch ggfs. kundeneigene Entwicklungen, also Tabelle aus Z*/Y*, oder kundeneigenem Namensraum berücksichtigt. In der Konzeptionsphase eines Löschprojek- tes ist zu klären, ob eine für diese kundeneigenen Tabellen eigene Datentypisierung vorzunehmen ist. Nach Abschluss der Typisierung – also der Identifizierung/ Ableitung aller notwendigen Schlüssel, die einen konsisten- ten Löschzugriff auf sämtliche relevante Datenbanktabellen im SAP IS-U und SAP CRM gewährleisten –, kann die eigent- liche selektive Löschung der Datenbanktabellen erfolgen.

Dies ist technisch gesehen der unspektakuläre Teil, da ein Löschzugriff auf eine Tabelle über Feld bzw. Feldkombina- tionen und Zugriffsobjekt (Schlüsseltabelle) realisiert wird. Sämtliche relevanten Tabellen müssen hierbei entsprechend verarbeitet werden. Die eigentliche Herausforderung bei der Datenlöschung besteht darin, dies mit maximal möglicher Parallelität entsprechend der Hardware-Ressourcen zu ska- lieren. Also eine möglichst konstant hohe Lösch-Parallelität mit optimierten IO-Durchsatz. Denn in diesem Szenario müssen hunderte bis tausende Einzeltabellen verarbeitet bzw. gelöscht werden.

In der Regel ist dieses Szenario in einem „Big-Bang-Ansatz“, das heißt, lediglich in einer Downtime für alle Aktivitäten bei akzeptabler Systemaus- fallzeit, zu realisieren.

Buchungskreisabhängige Löschung in SAP ERP Systemen Für die Löschung buchungskreisabhängiger Daten in einem SAP ERP System hat sich eine Kombination des Toolsets SAP LT (Landscape Transformation) mit dem firmeneigenen DCS Tool bewährt. Mit SAP LT bietet die SAP eine Softwarelösung an, die Kon- vertierungen, Migrationen und Löschungen in bestehenden SAP-Systemlandschaften erlaubt. Die Lösung hat einen sehr starken Fokus auf SAP ERP Systeme und hat sich seit Jahren für den SAP Standard bewährt. Die übliche Vorgehensweise sieht zwei Testzyklen auf einer aktuellen Kopie des Produk- tivsystems vor.

Die Löschung in der produktiven Umgebung wird abhängig von der Systemgröße und Leistungsfähigkeit der Systemumgebung an einem Wochenende realisiert.

Zu Beginn eines Projektes mit SAP LT durchsucht die Soft- ware die Datenbank nach kundeneigenen Tabellen sowie Ta- bellen von Add-Ons und schlägt anhand von Feldern, die auf Standard SAP Domänen (z.B. auf den Buchungskreis über die Domäne BUKRS) verweisen, ein Löschkriterium für diese Tabellen vor. Sollten die von SAP LT vorgesehenen Lösch- kriterien für kundeneigene Entwicklungen nicht ausreichen oder eine zusätzliche Ableitung für komplexe Zusammen- hänge benötigt werden, so können diese im Projekt mit dem DCS von Natuvion abgebildet werden. Für die überwiegende Anzahl von SAP Standard Tabellen wird ein Löschkriterium mit SAP LT ausgeliefert.

Hierbei gibt es jedoch auch Aus- nahmen und Anwendungen, die nur teilweise oder gar nicht berücksichtigt werden. Diese in SAP LT nicht unterstützten oder nur teilweise unterstützten Objekte können ebenfalls durch Natuvion mit Hilfe des DCS kundenindividuell ge- löscht werden. Zu den Anwendungen zählen: IDOCs Workflows (mit umfangreicheren Löschkriterien als dies SAP LT erlaubt) Archive Links + DMS Referenzen (ebenfalls mit zusätzlichen Kriterien als SAP LT) SAP Office Transformation

| 29 Das Paket Buchungskreislöschen, als Bestandteil von SAP LT, ermittelt auf Basis der zu löschenden Buchungskreise davon abhängige Organisationseinheiten, wie Werke, Einkaufsor- ganisationen und Verkaufsorganisationen. An dieser Stelle besteht die Möglichkeit, einzelne Organisationseinheiten zusätzlich in die Löschung mit aufzunehmen oder diese von der Löschung auszuschließen. Zudem wird geprüft, ob kom- plette Kostenrechnungskreise und Ergebnisbereiche gelöscht werden können oder ob diese selektiv behandelt werden müssen, da diese Strukturen von lösch- und nicht löschrele- vanten Buchungskreisen gemeinsam genutzt werden.

In weiteren Ableitungsschritten werden anhand der ermit- telten Organisationseinheiten die zu löschenden Stamm- daten, z.B. Kunden, Lieferanten, Materialien, Kostenstellen, Aufträge, Equipment etc., ermittelt. Hierbei wird geprüft, ob nur der organisationsabhängige Teil der Stammdaten zu löschen ist oder ob diese exklusiv nur durch zu löschende Einheiten genutzt wurden und damit auch das A-Segment entfernt werden kann. Die so ermittelten Stammdaten zusammen mit den Organisationseinheiten dienen dazu, die zu löschenden Bewegungsdaten zu identifizieren. Die gefundenen Objekte werden analog zu den Keytabs im DCS in LT-eigenen Tabellen abgelegt.

Nachdem die Organisationseinheiten, Stammdaten und Bewegungsdaten ermittelt wurden, beginnt die eigentliche Datenlöschung. Die Löschung umfasst nicht nur die Tabellen der Stamm- und Bewegungsdaten, sondern kann auch das Customizing umfassen. Für jede Tabelle wird ein Umset- zungsprogramm generiert. Hier bietet SAP LT unterschied- liche Löschszenarien an, die sich an der Datenverteilung orientieren. Wenn z.B. deutlich mehr Daten aus einer Tabelle gelöscht werden sollen als über alle Mandanten hinweg erhalten bleiben, kann SAP LT die zu erhaltenen Daten in einen Cluster selektieren und die Tabelle truncaten, um im Anschluss die nicht zu löschenden Daten wieder zurückzu- schreiben.

Nachdem das System mit Hilfe von SAP LT und DCS von Natuvion gelöscht wurde, sollte im Anschluss noch durch die Basis des Kunden die Datenbank reorganisiert werden. Die meisten Datenbanken geben die allokierten Speicher erst nach der Reorganisation frei und nicht direkt nach der Löschung. Nach der Umsetzung des produktiven SAP ERP Systems wird in der Regel das Entwicklungs- sowie das Testsystem der dreistufigen Systemlandschaft durch homogene Systemko- pien aus dem Produktivsystem neu aufgebaut. Fazit Auch wenn sich die Aufgabenstellung immer wieder zu gleichen scheint, ist jedes Projekt sehr individuell.

Die Transformation von SAP-Systemen kann mit unterschiedli- chen Ansätzen und Toolsets erreicht werden. Wie das hier beschriebene Carve-out zeigt, führt die geschickte Kom- bination von verschiedenen Toolsets und der jahrelangen Erfahrung der Natuvion-Berater zu einer qualitativ sehr guten Gesamtlösung, die den SAP Standard und die kunden- spezifischen Anforderungen berücksichtigt. Wir freuen uns darauf, mit Ihnen zusammen eine Lösung für Ihre Transformation in Ihren SAP-Systemen zu erarbeiten und Sie in Ihrem Projekt zu begleiten.

30 | Das Kundenmagazin der Natuvion GmbH, Walldorf Insights Nach einem langen Arbeitstag mit Spitzen- temperaturen von 33 Grad Celsius gingen 32 hitzebeständige Läufer aus dem Team Natu- vion am Donnerstag, dem 16.8., zum ersten Mal beim B2Run in Berlin an den Start. Doch was ist eigentlich der B2Run? Bereits im Jahr 2004 beginnt die Geschichte des Fir- menlaufsports mit der ersten Veranstaltung in München. Binnen weniger Jahre konnte er sich zu einer einzigartigen Firmenlaufmeis- terschaft etablieren. In mittlerweile siebzehn Städten qualifizieren sich Unternehmen und Institutionen für das große B2Run Finale am Ende der Saison.

Und auch in sechs Ländern Europas und in Südafrika sorgt B2Run inzwischen für Bewegung in den Unterneh- men.

Beim Firmenlauf in Berlin ließen es sich insgesamt 14.200 Teilnehmer aus rund 800 Unternehmen nicht nehmen, die Strecke von 5,8 km durch den Berliner Olympiapark zu meistern, um teilweise erschöpft, aber in jedem Fall glücklich in das Olympiastadion einzulaufen. Alle unsere Teilnehmer konnten den Lauf beenden, und mit einer Bestzeit im Team von 24:26 machten die Natuvions ihrem Event-Motto „Wir sind neu hier, aber wir laufen schonmal voraus“ alle Ehre. Herzlichen Glückwunsch an die erfolgreichen Läufer. Das Erlebnis hat alle begeistert und motiviert, auch in 2019 wieder an den Start zu gehen.

Schnell – schneller – einer der Schnellsten Inc.

5000 hat Natuvion als eines der am schnellsten wachsenden Unternehmen in Europa ausgezeichnet. Wir sind stolz darauf, einen Platz in der Inc. 5000-Liste erreicht zu haben. Mit unserem schnellen Wachstum auf aktuell 80 Mitarbeiter bei einem Jahresumsatz von 15 Millionen Euro entwickelt sich Natuvion nicht nur in Europa, sondern auch international rasant weiter. Wachstum bedeutet nicht nur mehr Manpower, sondern auch mehr Know- how, mehr Erfahrung, mehr Austausch und weitere Innovationen im Sinne unserer Kunden: Ob in technologischer Hinsicht oder bei Lösungen in den Bereichen Cyber Security & Protection, DSGVO, Finance, Customer & Billing sowie in den Bereichen Analytics und Transformation – Natuvion befindet sich auf der Überholspur.

Gerne laufen wir, gemäß unserer Auszeichnung, als einer der Schnellsten auch weiterhin für unsere Kunden voraus. Ein Sommertags- traum in Potsdam Wenn alle Bedingungen für ein grandioses Fest erfüllt waren, dann bei unserem Sommerfest 2018 in Potsdam am Schwielowsee: traumhaftes Wetter, wunderbare Lokation, die Führungsriege schon mittags im Pool und ein perfekt organisierter Tag mit interessanten Herausforderungen. Ob Bogenschützen, Floßbauer oder Geschicklichkeitsfreaks – alle kamen auf ihre Kosten. Auch unsere Hausband „Gleichstrom“ stand wieder auf der Bühne, um die Anwesenden zu unterhalten.

Und spätestens um Mitter- nacht waren alle Natuvions beim Anblick eines grandiosen Feuerwerks davon überzeugt, zur richtigen Zeit am richtigen Ort zu sein. HEISSER SOMMER, COOLER RUN

| 31 CCB – unser Competence Center in Berlin hat sich erfolgreich etabliert So lauten nur einige der täglichen Antworten aus dem Competence Center von Natuvion in der Leipziger Straße in Berlin. In modernen, hellen Büroräumen sitzt das Kern- team des CCB mit 45 Mitarbeitern, ausgestattet mit Headsets und Laptops, und ist „ganz Ohr“. Experten auf ihrem Gebiet Die „User“ des CCB in Berlin sprechen mit Experten, die alle organisatorischen und technischen Fragen zum Thema Data Privacy & Protection, den entsprechen- den technischen Applikationen und Lösungen von Natuvion oder generelle Fra- gen zu Data Compliance Projekten beantworten.

Auch rechtliche Fragestellungen werden soweit möglich sofort geklärt oder mit der Fachabteilung der Anwalts- kanzlei besprochen. Das Know-how im CCB-Team deckt das gesamte Spektrum von Data Privacy und Protection, insbesondere bei der Umsetzung innerhalb komplexer IT-Prozess- und Systemlandschaften ab.

Darüber hinaus versetzt die enge Partnerschaft und Co-Innovation mit der SAP SE, die Partnerschaft mit GIGYA sowie die enge Kooperation mit IAPP Natuvion in die Lage, den starken Einfluss aller Hand- lungsfelder der DSGVO auf die IT- und Prozesslandschaften optimal berücksichtigen zu können. Ziel des CCB ist es, dem Kunden effizient weiterzuhelfen und sein Problem schnellstmöglich zu lösen. Fragen stellen – Produkte optimieren – Innovationen entwickeln Doch das Competence Center Berlin kann noch mehr: Alle Fragen werden nach Kategorien eingeteilt und archiviert. Anhand der eingehenden Fragen eruiert das Team den Optimierungsbedarf der Lösungen und Produkte, die Natuvion im Bereich Security liefert.

Somit liefert das CCB-Team nicht nur kurzfristig die richtige Antwort, sondern optimiert auch die Produkte und Lösungen im Sinne der Kunden. Ein weiterer positiver Effekt des CCB ist die Entwicklung neuer Applikationen. Auch hier, auf der Suche nach der Innovation, die die Grenzen des Standards unkompliziert umgeht und neue Möglichkeiten bietet, spielen die täglichen Anforderungen und aktuellen Fragen der „CCB- User“ eine wichtige Rolle.

Kurz: Das CCB ist der Ort, an dem Antworten gefunden und neue Fragen gestellt werden. Die alten Griechen nannten es Orakel, wir nen- nen es das Competence Center Berlin. „Ja, unsere Lösung zur Testdatenanony- misierung ist von einer renommierten Anwaltskanzlei zertifiziert worden.“ „Gerne, wir verfügen über umfangrei- che Erfahrung bei der Implementie- rung des SAP Information Lifecycle Managements.“ „Das stimmt, unsere Lösung SOPHIA ist wirklich kostenlos. Sie können den Trans- port ganz einfach selbst mithilfe unseres Handbuchs in Ihre Systeme einspielen und die Analyse durchführen.“ SOPHIA ist das von Natuvion entwickelte Tool, das den manuellen Aufwand in Datenschutzprojekten drastisch reduziert.

Wie? Durch Analyse und automatische Identifizierung aller personenbezogenen Daten in einem System. Bequem – verlässlich – einfach – und das kostenlos. Das können Sie von SOPHIA erwarten: • SOPHIA analysiert alle personenbezogenen Daten innerhalb eines Systems • SOPHIA analysiert die relevanten (ILM) Archivierungsobjekte • SOPHIA liefert hochperfomante Parallelisierung • SOPHIA analysiert SAP Standardtabellen und Kundenentwicklungen • SOPHIA kann für die IST Aufnahme oder zum fortlaufenden Monitoring/Audit von SAP- Systemen verwendet werden • SOPHIA ist für alle SAP Netweaver und HANA Systeme verfügbar Sprechen Sie mit uns darüber, wie SOPHIA Sie im Alltag unterstützen kann.

Das Kundenmagazin der Natuvion GmbH, Walldorf Insights Personalmeldungen Jan Molsen Seit April freut sich unser Data Protection & Privacy Team über tatkräftige Unterstützung von Jan Molsen, der schwerpunktmäßig im Themenfeld Sperren und Löschen von personenbezogenen Daten im Einsatz ist. Als Berater bringt er seine Erfahrungen aus der Energiewirtschaft mit ein und verknüpft für unsere Kunden direkt die daraus erwachsenden Herausforderungen. Bis 2018 war er bei der Energiever- sorgung Sylt GmbH beschäftigt und unterstützte dort die Bereiche Energievertrieb, Energiedienstleistun- gen und Energiebeschaffung.

Des Weiteren übernahm er Projektaufgaben innerhalb des Stadtwerks zur Harmonisierung und Neuausrichtung der Energiebeschaffung und der Wärmesparte. Jan Molsen wird bei uns branchen- und themenübergreifend eingesetzt und unterstützt zusätzlich auch interne Projekte, wie den Aufbau unseres DPP Competence Center in Berlin.

Wir sind froh, dass Jan bei uns ist und wünschen ihm weiterhin viel Erfolg. Patrick Hilgers Seit Juni steht Patrick Hilgers dem Natuvion HCM Team vor. Seit 2011 ist der Tätigkeitsschwerpunkt von Patrick Hilgers Datenschutz in SAP HCM. Mit seiner langjährigen Erfahrung wird er unsere Kunden unterstützen, die vielfältigen Anforderungen aus der EU-DSGVO umzusetzen. Hierzu gehören neben der Umsetzung von Sperr- und Löschanforderungen mittels SAP ILM auch andere Themen des Datenschut- zes, wie Datenschutzkonzepte, Rollen- und Berechtigungen sowie Schulungen. Wir freuen uns sehr darüber, dass Patrick uns durch sein Know-how unterstützt.

Christian Mittas Seit Juli verstärkt Christian Mittas mit seiner mehr als 10-jährigen Projekterfahrung im SAP IS-U das Utility Team der Natuvion. Seine Kernkompetenzen liegen im Bereich der Marktkommunikation, der Entwicklung im ABAP Classic sowie OO Bereich, der WF-Entwicklung und der Standardprozesse bei Energieversorgungs- unternehmen. In diesen Bereichen konnte er bei verschiedenen Beratungshäusern in den letzten 10 Jahren umfangreiche Erfahrung sammeln, die er jetzt bei uns einfließen lassen kann. Durch etliche Einführungspro- jekte des SAP Common Layers und BPEM Klärfallmanagements in den letzten Jahren ist er auch zum Thema Restandardisierung ein kompetenter Ansprechpartner.

Herzlich willkommen, Christian! Björn Multhaupt Seit Juli bringt Björn Multhaupt seine gesamte Expertise bei Natuvion als Senior Development Consul- tant im Bereich SAP-SLO und Transformation ein. Mit fast 10 Jahren Projekterfahrung bei komplexen SAP-SLO-Kundenprojekten, speziell im Gebiet Ausgliederung von Unternehmensbereichen, unterstützt er tatkräftig unser Transformationsteam. Seine Kernkompetenzen sind SAP-SLO-Consulting, Datenum- wandlung, Datenmigration, Datenlöschung und SAP ABAP Entwicklung. Er arbeitet in diesen Sparten als Projektleiter, Berater und Entwickler.

Wir freuen uns, Björn als neuen Mitarbeiter begrüßen zu dürfen! 32 |

| 33 Natuvions Bücherecke Neben dem fachlichen Input und allen weiteren Informationen und Neuigkeiten, mit denen Sie dieses Magazin versorgt, laden wir Sie an dieser Stelle ein, mit uns über den Branchen-Tellerrand hinauszuschauen. In unserer Bücherecke stellen wir Ihnen in dieser Ausgabe ein Buch vor, das fachlich perfekt zu den Schwerpunkten unserer news-Ausgabe passt. Datenschutz mit SAP® SAP® Business Suite und SAP S/4HANA® Volker Lehnert und seine Co-Autoren Iwona Luther, Björn Christoph und Carsten Pluder zeigen Ihnen in diesem Buch, wie Sie ein Datenschutzkonzept entwickeln, das den strengen Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) standhält.

In „Datenschutz mit SAP“ erklären Ihnen die Experten, allesamt langjährige Mitarbeiter der SAP SE, die rechtlichen Grundlagen und zeigen Ihnen Schritt für Schritt, wie Sie mit Hilfe von SAP-Lösungen Ihre IT-Landschaft datenschutzkonform gestalten können. Von der Einführung eines Sperr- und Löschkonzeptes bis hin zur Umsetzung der Infor- mations- und Berichtspflichten werden alle erforderlichen Maßnahmen praxisnah erläutert: - Schritt für Schritt zum datenschutzkonformen SAP-System - Hilfe beim Umsetzen der neuen gesetzlichen Anforderungen - Bordmittel von SAP effektiv einsetzen GEWINNSPIEL! Wir verlosen ein Exemplar des Buches „Datenschutz mit SAP | SAP Business Suite und SAP S/4HANA“ von Volker Lehnert, Iwona Luther, Björn Christoph und Carsten Pluder.

Schreiben Sie uns dafür einfach eine E-Mail mit dem Betreff „Datenschutz mit SAP“ und Ihren Kontaktdaten an die folgende E-Mail-Adresse: info@natuvion.com.

Wir drücken Ihnen die Daumen! Sie sind neugierig geworden, wie das Buch auch Ihnen und Ihrem Unternehmen auf dem Weg zur Datenschutzkonformität weiterhelfen kann? Dann nehmen Sie gleich an unserem Gewinnspiel teil, und mit etwas Glück bekommen Sie das Buch sogar von uns geschenkt! Viel Spaß beim Lesen wünscht Ihnen die Natuvion-Redaktion! Der Veranstalter dieses Gewinnspiels ist die Natuvion GmbH, Altrottstraße 31, 69190 Walldorf. Der Verlag Rheinwerk Verlag GmbH, Bonn, ist an dieser Aktion nicht beteiligt. Teilnahmeberechtigt sind alle volljährigen (ab 18 Jahren) Leser des news-Kundenmagazins.

Mitarbeiter der Natuvion GmbH sind von der Teilnahme ausgeschlossen. Teilnahmeschluss ist der 30.11.2018. Die Teilnahme erfolgt durch Einsendung der richtigen Lösung an die oben angegebene E-Mail-Adresse. Der Gewinner wird unter allen Teilnehmern im Losverfahren ermittelt. Der Gewinner wird binnen zwei Wochen nach Teilnahme- schluss per E-Mail benachrichtigt. Der Gewinn wird auf dem Postweg versandt.

Ihre bereitgestellten Daten werden ausschließlich für den Zweck dieses Gewinnspiels verwendet und weder für Werbezwecke verwendet noch an Dritte weitergegeben. Der Rechtsweg ist ausgeschlossen. Herzlichen Glückwunsch unserem stolzen Gewinner des letzten Gewinnspiels! Wir wünschen Ihnen viel Spaß beim Lesen! Wir danken dem Rheinwerk Verlag GmbH für die großzügige Buchspende. M. Husung von der E-MAKS GmbH & Co. KG.

Das Kundenmagazin der Natuvion GmbH, Walldorf 34 | Unsere Partner ENBW: ERFAHRENER BEGLEITER AUF DEM WEG IN DIGITALES NEULAND D ie Energiewirtschaft steckt im Umbruch: Kundenbedürfnisse wandeln sich in schnel- lem Tempo, gesetzliche Rahmenbedingungen werden immer komplexer, die Technologieentwick- lung ist und bleibt rasant und der Wettbewerbsdruck entsprechend hoch.

Gut, wenn dabei dann ein kompe- tenter Dienstleistungspartner zur Seite steht, weiß die in Paderborn ansässige Westfalen Weser Netz GmbH (WWN) aus eigener Erfahrung.

In 2013 übernahm das Unternehmen ein Stromnetz mit über 700.000 Zählpunkten, rund 30.000 Einspeisern und über 300 eingebundenen Lieferanten. Insgesamt 580 Marktprozesse bewegten dabei etwa 700 Millionen Euro an Netzentgelten und Einspeisevergütungen. In einer der größten Ausschreibungen in Deutschland vergab sie die Abwicklung ihrer energiewirtschaftlichen Prozesse an die EnBW Energie Baden-Württemberg AG als Dienstleister. Im Februar 2017 erfolgte die Überführung auf das IT- System der EnBW – störungsfrei und praktisch unbemerkt. Die hohe Qualität der Dienstleistung war aus Sicht der WWN einer der wesentlichen Erfolgsfaktoren bei diesem anspruchsvollen Großprojekt.

Das Angebot des Abwicklungsdienstleisters EnBW ist umfassend und enthält IT-Lösungen, die alle relevanten kaufmännischen Prozesse der Versorgungwirtschaft bis zur Übernahme der dazugehörigen Prozesse abbilden. Einzelne Bausteine lassen sich dabei modular und individuell auswählen. Bereits mehr als 150 Unternehmen nutzen diese Chance auf Maßkonfektion, und zwar aus allen Sparten und in sämtlichen Marktrollen. So ist es nicht verwunderlich, dass die EnBW nicht nur einer der größten Energieversorger in Deutschland und Europa ist, sondern auch einer der größten Full-Service Dienstleister für energiewirtschaftliche Abwicklung und Systemlösungen auf Cloud-Basis.

Unternehmen wie die WWN betreten Neuland bei der bevorstehenden Einführung des intelligenten Messwe- sens und dem Aufbau der dafür notwendigen, effizienten Prozesse. Auch aus diesem Grund wird die IT-Plattform

| 35 der EnBW kontinuierlich weiterentwickelt. Als einer der ersten in der Branche startete der Abwicklungsdienstleis- ter bereits Anfang 2012 mit den Vorbereitungen auf den Rollout. Inzwischen verfügt er über entsprechend um- fangreiche Erfahrung und Erkenntnisse. Dazu trugen auch die deutschlandweit umfassenden Pilotprojekte bei, an denen sich viele Kommunen beteiligten.

Seit Anfang 2017 ist die EnBW zertifizierter Anbieter für die Administration von Smart Meter Gateways, dem jeweiligen „Herzstück“ eines intelligenten Messsystems. Und damit wieder einmal der erfahrene und individuell ausgerichtete Begleiter für Messstellenbetreiber auf neuem Terrain.

Aber auch die EnBW selbst sieht sich als Abwicklungs- dienstleister immer wieder vor neuen Herausforderungen. Die zunehmend in alle Bereiche dringende digitale Trans- formation verlangt Kondition und vor allem voraus- schauendes Handeln. Um ihre Kunden auch in diesem Thema als zuverlässiger Dienstleister unterstützen zu können, wurden frühzeitig eine Reihe von Initiativen gestartet. Dabei geht es beispielsweise um eine Digita- lisierung der Kundenschnittstelle für mehr Effizienz im Service und die Möglichkeit, bereits ab dem Prozessdesign den Fokus auf das ganzheitliche Kundenerlebnis legen zu können.

Self-Service-Anwendungen, Chatbots und Apps zum Ausbau von intuitiven und benutzerfreundlichen, digitalen Kanälen kommen hier ebenso zum Einsatz wie die Nutzung künstlicher Intelligenz, beispielsweise zur intelligenten Text- und Spracherkennung. Zudem wird das Lösungsportfolio der EnBW sukzessive um neue Mehrwertprodukte für den Kunden weiterentwickelt. In Bereichen wie Quartiers- und Stadtentwicklung entstehen neue Geschäftsfelder für Versorger. Für Ener- gielieferanten steckt in Themen wie Mieterstrom oder E-Mobilität ein großes Potential. Auf Basis einer Vielzahl realisierter Pilotprojekte in Baden-Württemberg, aber auch in ganz Deutschland lässt sich von den Produkten und der Erfahrung des Abwicklungsdienstleisters profitieren.

Die EnBW ist auf dem Weg zum digitalen Abwicklungsdienstleister der Zukunft, gemeinsam mit ihren Kunden.

Modulare Leistungen entlang der energiewirtschaftlichen Abwicklungskette Sie möchten mehr erfahren? Dann sprechen Sie uns an! E-Mail: operations@enbw.com Telefon: 0721 63-24701

Das Kundenmagazin der Natuvion GmbH, Walldorf 36 | Das Unternehmen aus dem Medienbereich bündelt für große Tageszeitungen in Österreich die Bereiche Anzeigen, Druck und Vertrieb. Viele Abonnenten und Anzeigekunden sind Garant für den wirtschaftlichen Erfolg, bedeuten aber zugleich auch eine große Herausforderung, allen Anforderungen aus der Datenschutzgrundverordnung gerecht zu werden.

Anforderungen kostengünstig meistern Von den Geschäftsführern Rainhard Roithner von AICON und Gerhard Pronegg (Natuvion) wurden auf der Basis der DSGVO-Expertise von Natuvion IT-Lösungen maßge- schneidert, die den Anforderungen der österreichischen Kunden hinsichtlich IT und DSGVO genau entsprechen. „Der österreichische IT-Markt funktioniert anders als der deutsche“, betont R. Roithner von AICON, der seit vielen Jahren erfolgreich SAP Projekte umsetzt. „Unsere Kunden wollen die Kosten ganz genau planen können, auch wenn vieles noch nicht genau definiert ist, daher gibt es maßge- schneiderte und klar definierte Lösungspakete.“ Das über- zeugte schlussendlich auch das Medienhaus.

„Wir freuen uns, dass wir hier gemeinsam ein erstes Projekt speziell für den Bedarf österreichischer Kunden aufsetzen konnten“, ergänzt Gerhard Pronegg von Natuvion Consulting. DSGVO-ready in zwei Monaten dank stufenweisem Konzept Natuvion setzt in Österreich auf ein stufenweises Vorgehen, um die Kosten auch für kleinere Unternehmen planbarer zu machen. Nach einer SOPHIA-Analyse werden die wich- tigsten Handlungsfelder identifiziert und die Umsetzung in mehreren Stufen durchgeführt. Essenziell dabei ist die rasche Umsetzung von Artikel 18 der DSGVO (Recht auf Einschränkung der Verarbeitung), um die Daten in den SAP-Systemen zu sperren.

Damit ist ein wichtiger Schritt zum Schutz der personenbezogenen Daten sehr schnell hergestellt. In den weiteren Phasen können dann IT und Natuvion worldwide MIT MASSGESCHNEIDERTEN IT-LÖSUNGEN BEI EINEM GROSSEN ÖSTERREICHISCHEN MEDIENHAUS ERSTE ERFOLGREICHE ILM IMPLEMENTIERUNG

| 37 Fachabteilung gemeinsam die Löschregeln definieren und in die Systeme implementieren. Rasche Projekterfolge Vom Kick-Off der Analyse bis zum Sperren des ersten Geschäftspartners vergingen in diesem Projekt gerade einmal fünf Wochen. In diesem Zeitraum wurde nicht nur das Verfahrensverzeichnis in ein umsetzbares Sperr- und Löschkonzept überführt, sondern auch das Customizing im ERP und im CRM abgeschlossen. „Der stufenweise Ansatz von Natuvion gibt uns die Mög- lichkeit, unsere IT auf die Herausforderungen vorzubereit- en“, meint dazu der IT-Verantwortliche des Medienhauses. „Unsere IT-Experten sind bei allen Schritten sehr gut einge- bunden und können zukünftig Anpassungen selbst vorneh- men.

Ein bedeutender Vorteil, da sich die Anforderungen der Fachabteilungen weiter verändern werden.“ Für die zuständige AICON Projektleiterin Stefanie Novak steht der Best-Practice-Ansatz der Natuvion im Vorder- grund. Die Methodik der Natuvion ermöglicht schnelle Projekterfolge, da für alle Beteiligten immer klar ist, was in welchem Paket umgesetzt wird. Damit konnten auch die Berater der AICON ideal in das Projekt eingebunden werden.

Hürde „Löschen“ Der nächste große Schritt ist für den Herbst geplant, ab da werden tatsächlich Daten im System gelöscht. Damit dieser Schritt ausgeführt werden kann, müssen bereits alle relevanten Bewegungsdaten archiviert sein. „Hier diskutieren wir gerade noch mit den Fachabteilungen“, erläutert der IT- Verantwortliche. „Teilweise werden ja noch Aufbewahrungs- fristen von 30 Jahren gefordert. Dank des Stufenplans mit mehreren Releases sind wir aber IT-technisch bereits fertig, d.h. wenn wir das ‚Go‘ bekommen, schalten wir das Löschen scharf.“ Sicherheit für Fachabteilungen „Ein Erfolgsfaktor unseres Vorgehens ist es, dass wir uns hier mit dem Kunden auf wesentliche Eckpunkte in seiner Sprache und seinen Geschäftsprozessen konzentrieren, diese gemeinsam festlegen und dann technisch in die zig ILM Objekt übersetzen und umsetzen“, stellt Mag.

Rainer Pichler fest. Er hat die „Österreich-Pakete“ mitkonzipiert. „Unsere Kunden haben ausreichend Zeit, Geschäftsprozesse und Datenbestand zu testen, obwohl wir mit der Implemen- tierung parallel fortfahren. Gelöscht wird dann, wenn der Kunde dazu bereit ist.“

38 | Das Kundenmagazin der Natuvion GmbH, Walldorf A lle zwei Jahre treffen sich die Spitzen der österrei- chischen Energiewirtschaft, um wichtige Zukunfts- themen zu diskutieren. Der Oesterreichs Energie Kongress ist das wichtigste Event, daher versammelten sich Mitte September die Größen aus Wirtschaft und Politik zu einem zweitägigen Meinungsaustausch im Burgenland. Eröffnet wurde die Veranstaltung durch die Bundesministerin für Energie und Nachhaltigkeit, Elisabeth Köstinger, die vor den rund 580 Teilnehmern die neuen energiewirtschaft- lichen Strategien der österreichischen Bundesregierung vorstellte.

Hauptthema in diesem Jahr waren neben der Energiepolitik und der E-Mobilität natürlich auch die weitere Digitalisie- rung in der E-Wirtschaft. Digitalisierung meistern Die Wien Energie hat die Herausforderungen, die sich aus der Digitalisierung stellen, bereits angenommen und die komplizierten Verflechtungen von Netz- und Energieprozes- sen zur Vorbereitung für weitere Optimierungsmaßnahmen aufgelöst. Das Ergebnis: Mit schlanken Prozessen kann der Konzern jetzt schnell auf die sich immer schneller ändern- den Anforderungen wie beispielsweise Smart Metering oder steigender Wettbewerb durch neue branchenfremde Energieanbieter reagieren.

Schlanke Prozesse – schlanke Systeme In einem sehr ambitionierten Zeitrahmen von gerade einmal 14 Monaten wurde das bestehende, integrierte Lieferanten- und Netzbetreibersystem in eine neue, getrennte System- und Prozesslandschaft überführt. Wesentliches Ziel lag auf der zukünftigen, möglichst effizienten Prozessbearbeitung im SAP Standard und die Vorbereitung der Systemland- schaft für den anstehenden Smart-Meter-Rollout. Hierfür wurden alle Netzdaten mit dem erprobten Natuvion Mig- rationsverfahren vollhistorisch in das zukünftige SAP ERP/ IS-U Netzsystem überführt und das bestehende, integrierte System zu einem reinen Lieferantensystem zurückgebaut.

Zeitgleich wurde der komplette elektronische Datenaus- tausch mit dem SAP Add-on IDEX-AT für die mehr als 2 Mio. Zählpunkte etabliert und in einem Schwesterprojekt die Workforce-/Geräteverwaltungsprozesse neu aufgestellt. NATUVION UND QUANTO PRÄSENTIEREN DER ÖSTERREICHISCHEN ENERGIEBRANCHE GEMEINSAM IHR WIENER ERFOLGSPROJEKT Natuvion worldwide

| 39 Erfolgsmodell für den österreichischen Markt In Österreich wollen die beiden Unternehmen an diesen Erfolg anknüpfen und bieten die Synergie ihrer Expertisen weiterhin gemeinsam an. So können auch andere österreichische Energieversorger von den Erfahrungen aus diesem Großprojekt pro- fitieren. Beide Unternehmen sind mit eigenen Niederlassungen vertreten. Die Geschäftsführer Heinz Taferner (QUANTO) und Gerhard Pronegg (Natuvion Consulting) haben aktiv bei der Umsetzung mitgearbeitet, um auch die österreichische Kompe- tenz in diesem Bereich einbringen und weitere Projekte direkt aus Österreich heraus umsetzen zu können.

Tolle Teamleistung Gemeinsam mit dem konzerneigenen IT-Dienstleister konnten die Experten von Natuvion und Quanto eines der größten SAP-Transformationsprojekte der letzten Jahre erfolgreich umsetzen. Holger Strotmann von Natuvion und Olaf Reiter von QUANTO nutzten daher die Gelegenheit im Burgenland, gemeinsam das Erfolgsprojekt vorzustellen und stießen auf reges Interesse bei den anwesenden Energie- Managern.

Mag. Peter Gönitzer, Geschäftsführer von Wien Energie ergänzt: „Das Projekt war ein voller Erfolg. Wir hatten nach der Produktivsetzung nur bei 0,7% der Daten Nachbearbei- tungsbedarf.“ Von links nach rechts: Olaf Reiter, Vorstand Quanto AG, Gerhard Pronegg, Geschäftsführer Natuvion Österreich, Peter Gönitzer, Geschäftsführer Wien Energie Holger Strotmann, Geschäftsführer Natuvion Peter Gönitzer, Geschäftsführer Wien Energie Holger Strotmann, Geschäftsführer Natuvion Am Abend gab es ausreichend Möglichkeiten zum Netzwerken. Bundesministerin für Energie und Nachhaltigkeit, Elisabeth Köstinger spricht am Energiekongress über die Zukunftsthemen der Energiebranche.

Das Kundenmagazin der Natuvion GmbH, Walldorf 40 | Natuvion worldwide NATUVION EXPANDIERT IN DIE VEREINIGTEN STAATEN N atuvion unternimmt den nächsten Schritt seiner globalen Strategie, indem es die Türen seines ersten Büros in den Vereinigten Staaten von Amerika öffnet. Ziel ist es, die internationale Präsenz weiter auszubauen, neue Märkte zu erschließen und Natuvion als Experten für Data Protection & Privacy sowie Transforma- tion & Data Governance in der SAP-Welt zu positionieren. Das Tochterunternehmen „Natuvion Americas“ mit dem Standort New York gewährt Natuvion Zugang in den ame- rikanischen Markt.

Es ist das inzwischen dritte internatio- nale Büro des wachsenden Beratungshauses. Die Region Amerikas (Süd- & Nordamerika) ist für den SAP-Partner und Data-Privacy-Experten Neuland, obwohl der amerikanische IT-Markt im Allgemeinen und der SAP-Markt im Besonderen in den vergangenen Jahren dynamisch gewachsen ist. „Mit dieser lokalen Präsenz können wir Kunden auf der ganzen Welt besser bedienen“, erklärt Patric Dahse, einer der Gründer von Natuvion. Mit „Natuvion Americas“ eröffnet das Beratungs- und Softwareunternehmen seinen dritten internationalen Standort Amerika ist der nächste logische Schritt für Natuvion als eines der am schnellsten wachsenden IT-Unternehmen in Europa.

Ich freue mich auf den Auf- und Ausbau eines außergewöhnlich dynamischen Unternehmens in einer der wirtschaftlich stärksten und zugleich anspruchsvollsten Region der Welt“, freut sich Joanne Lang auf die neuen Aufgaben und Herausforderungen. “ Joanne Lang übernimmt als CEO die Führung der frisch gegründeten Aktiengesellschaft. In ihren Aufgabenbereich fällt u.a. die Markteinführung von Natuvion, die Entwicklung eines regionalen Partner- und Kundennetzwerks sowie der Aufbau eines lokalen Supportteams. Joanne hat eine lange Historie in der Walldorfer, Londoner und US SAP Welt. Sie bringt über 20 Jahre Erfahrung aus der SAP Finanz- und Controlling-Beratung, Produktmanagement und strategischem Management mit in die Natuvion ein.

Zuletzt war Joanne Co-Gründer mehrerer erfolgreicher Start-Ups.

| 41 QAS – Qualitätssicherung in SAP-Transformationsprojekten Tools „Nützliche Helferchen“ J eder, der sich schon einmal mit relationalen Daten- banken in SAP-Systemen beschäftigt hat, kennt die Komplexität, die solch ein System mit sich bringt. Unabhängig davon, ob es sich bei dem System um ein IS-U-, ERP- oder CRM-System handelt, hängt alles doch irgend- wie miteinander zusammen. Wenn es dann innerhalb der Systemlandschaften zu komplexen Transformationsprojekten kommt, sieht sich das Projektteam meist einem hohen Maß an Testaufwand gegenübergestellt, um die Datenqualität und -konsistenz der Produktivsysteme weiterhin bewah- ren zu können.

Für diese Problemstellung hat die Natuvion GmbH die eigens entwickelte Lösung des QAS („Quali- ty Assurance Service“) ins Portfolio integriert, welche erfolgreich bei vielen ihrer Kunden in diversen Projekten zum Einsatz kommt und die Fehlersuche innerhalb der Kunden- tests signifikant unterstützt.

Damit die Qualitätssicherung möglichst effizient gestaltet werden kann, bietet das QAS für drei verschiedene Level der Datenaggregation in relationalen Datenbanken einen passen- den Dienst: 1. Tabellenlevel: Für die Zählung der Datenbankeinträge und die Sammlung weiterer wichtiger Tabelleninformati- onen, wie zum Beispiel der Datenbankgröße einer Tabelle, bietet das QAS den eigens entwickelten Tablecount an. Durch seine performante und hochparallele Ausfüh- rungsmöglichkeit mit nativen SQL-Statements erreicht der Tablecount Spitzenlaufzeiten im Bereich von einer bis zwei Stunden für eine komplette Zählung aller Datenbankta- bellen in einem gängig großen SAP-ERP- oder SAP-IS- U-System.

Die Ergebnisse werden in einer leicht lesbaren Datenbanktabelle abgelegt und können bei Bedarf auch per Datei zur Verfügung gestellt werden, wobei hier Resultatsdokumente mit Vergleichszahlen von zwei (oder mehr) zeitlich verschobenen Durchläufen gängig sind und kundenindividuell angepasst werden können. 2. Spaltenbasierte Zählungen: Im mittleren Aggregations- level bietet das QAS mit den Fingerprints einen genaueren Blick auf die Datenbanktabellen, die auf Ihre Bedürfnisse zugeschnitten werden. Ein sehr komfortables Beispiel sind dabei Zählungen auf die üblichen Organisationseinheiten eines SAP-Systems, wie zum Beispiel dem Buchungs- kreis.

Auch hier werden die Ausführungen der Zählungen entsprechend so innerhalb eines Projektzeitpunkts gewählt, dass sich die Qualität der Datenkonvertierung im System sehr schnell und transparent über ein Vergleichsdokument validieren lässt.

3. Tabellenwertlevel: Um letztlich auch die Datenkonsis- tenz innerhalb der relationalen Datenbank verifizieren zu können, wurde eine Fremdschlüsselprüfung in das QAS eingebettet, welche über die Tabellenbeziehungen des Data Dictionary Fremdschlüssel auf ihre Existenz prüft. Über zwei zeitlich verschobene Durchführungen – vor und nach der Datentransformation im Projekt – können die durch die Konvertierung aufgetretenen Konsistenzfehler herausgefil- tert und geprüft werden, wobei sich auch hier die sehr gute Performance des QAS zeigt.

Da jede der drei genannten Prüfungen völlig unabhängig voneinander funktioniert, können die QAS-Dienste genau auf Ihre Bedürfnisse zugeschnitten und modular eingesetzt werden – selbst wenn die Natuvion nur zur Qualitätssiche- rung auftritt und das Transformationsprojekt selbst nicht durchführt.

42 | Das Kundenmagazin der Natuvion GmbH, Walldorf Veranstaltungen WO SIND WIR WANN? Veranstaltungen 2018 Karrieremessen 2018: Wir sind immer auf der Suche nach motivierten und engagierten Absolventen, die uns dabei unterstützen wollen, Herausforderungen anzunehmen, Lösungen zu erarbeiten und diese erfolgreich umzusetzen. 06. Dezember 2018 Made in Berlin Berlin Stammdaten-Management rückt zunehmend in den Fokus unternehmerischer Geschäfts- und IT-Prozesse. Denn: ohne Daten-Qualität keine Digitalisierung und keine End-to-end-Prozess-Qualität. Nicht nur die Digi- talisierung fordert ihren Preis, sondern auch die neue Datenschutzgrundverordnung setzt das Datenthema auf die Agenda aller Unternehmen und Institutionen.

Auf dem 13. Forum für Stammdaten und MDM-Verant- wortliche stellt unser Datenschutzexperte Patric Dahse im Rahmen seines Vortrags am 7.11. um 12 Uhr die wesentlichen Handlungsfelder vor, die von der DSGVO betroffen sind.

06. und 07. November 2018 Stammdatenforum Düsseldorf Intelligente Abrechnung und Prozessgestaltung in der Versorgungsindustrie mit SAP Subscription Billing Flexibel, kundenorientiert und innovativ muss sie sein – die Abrechnung und Prozessgestaltung im Zeitalter der Digitalisierung. Ohne Zweifel ist die Energiewirtschaft im Wandel der Digitalisierung angekommen. In dem ausgebuchten Workshop mit dem Titel Next Ge- neration Billing im Sheraton in Frankfurt laden Experten von Natuvion und SAP dazu ein, die neuen Möglichkeiten zur Flexibilisierung der Abrechnung mit SAP Subscription Billing kennenzulernen.

Den Teilnehmern soll veranschau- licht werden, wie sie ihre Anforderungen mit innovativen Lösungen meistern und zu ihrem Vorteil nutzen können. Konkret wird es um die Anforderungen des agilen Vertriebs an die Flexibilisierung der Abrechnung gehen, um die Einbindung von Zusatzoptionen mit SAP IS-U onPremise, um Erfahrungen mit der HighEnd-Billing Engine „HybrisBilling“ und um eine einfachere Produkt- gestaltung mit SAP Subscription Billing.

„Wir spüren den dringenden Bedarf an Beratung und Unterstützung“, so Holger Strotmann, Geschäftsführer der Natuvion GmbH. „Wir wollen unseren Kunden bei der Nutzung der SAP Cloud for Energy verlässlich, profes- sionell und nicht zuletzt mit effizienter Konzeption und reibungsloser Implementierung zur Seite zu stehen. Mit dem Workshop wollen wir hierfür die Weichen stellen.“ 20. November 2018 Next Generation Sheraton, Frankfurt Billing Workshop Die neuesten Erkenntnisse aus den Bereichen Meter- to-Cash Prozesse und Additional Option Invoicing (AOI) sowie Cloud for Energy stehen im Fokus von Natuvion auf diesem internationalen Event.

Die Themen Digita- lisierung, CO2-arme Energiesysteme, die Zukunft des Energiemarktes und ein aktiver Ideenaustausch bilden das Rahmenprogramm dieser wichtigen Ausstellung. 06. – 08. November 2018 Wien Wie kann Automatisierung im Commodity Markt Ihnen helfen, die wachsenden Kundenanfor- derungen an die Prozesse zu beherrschen? Zu dieser und vielen weiteren Fragen haben wir die Antworten. Wir freuen uns auf Ihren Besuch auf dem BEMD Jahreskongress. 15. November 2018 BEMD Jahreskongress Mannheim

| 43 Treffen Sie die Experten der Natuvion GmbH – Halten Sie sich über Veranstaltungen, Termine und Stellenangebote unter www.natuvion.com auf dem Laufenden. SAP und Natuvion – ein starkes Team für die Südafrikanischen SAP Nutzer Mit umfangreichen Erfahrungen in den Bereichen Cyber Security und Daten- schutz präsentierte Natuvions DSGVO-Experte, Patric Dahse, Erfolgsgeschich- ten von Kunden, die gemeinsam mit der afrikanischen SAP-Anwendergruppe (AFSUG) ein effektives Programm zur Einhaltung der DSGVO-Richtlinien erreicht haben. Zusammen mit anderen Datenschutzexperten stellte Natuvion vom 18.

bis 20. September Best Practices in unterschiedlichen Städten vor. Im Rahmen dieser Veranstaltung tauschten wir uns mit den Teilnehmern darüber aus, welche Schritte Unternehmen zur Einhaltung der DSGVO unternommen haben und wie die Ent-Personalisierung in SAP-Systemen sie dabei unterstützt hat. In Johannesburg, Kapstadt und Pretoria konnten Natuvion und SAP den südafrikanischen SAP-Anwendern eine Plattform bieten, um ihre Fragen zu stellen und sich von Experten beraten zu lassen, wie sie ihr SAP-DSGVO-Compliance-Programm starten können. 18. – 20. September 2018 DSGVO-Richtlinien Johannesburg, Kapstadt und Pretoria, Südafrika RÜCKBLICK: WO WAREN WIR 2018? Als eine der größten IT-Veranstaltungen der Welt bot die diesjährige SAPPHIRE NOW & ASUG Annual Conference im Juni eine wertvolle Gelegenheit für Natuvion, die Partnerbeziehung mit SAP zu stärken und von anderen Teilnehmern zu lernen, wie diese die Digitalisierung der Unternehmen nutzen, um, mit der Unterstützung von SAP, ihr Geschäft weiter voranzutreiben.

Der erste Tag des Kundengipfels wurde von uns dazu genutzt, uns mit neuen Partnern zu treffen und uns über Best Practices auszutauschen. Auch die nächsten zwei Tage gestalteten sich für uns sehr spannend und aufschlussreich, vor allem dank der beiden Keynotespeaker Hasso Plattner und Bill McDermott. Bill McDermott gelang es in seinem Vortrag, das Gefühl vieler Partner und Kunden in Wor- te zu fassen: „Veränderung hat sich noch nie so schnell bewegt wie jetzt und wird sich nie wieder so langsam bewegen.“ Hasso Plattner ging insbesondere auf die Kernfunktionalitäten von SAP HANA ein: „SAP HANA bietet uns einen digitalen Kern, der in der Lage ist, Daten schnell zu verarbeiten und unsere Kunden in die Lage versetzt, ihr Geschäft schnell und flexibel zu führen.“ Beide reflektierten in ihren Reden, was SAP speziell in der Cloud vorantreibt und betonten darüber hinaus nachdrücklich die unumstrittene Bedeutung des Datenschutzes.

05. – 07. Juni 2018 SAPPHIRE NOW & ASUG Annual Conference Orlando, Florida

Zentrale Walldorf Altrottstraße 31 69190 Walldorf Fon +49 6227 73-1400 Fax +49 6227 73-1410 info@natuvion.com Office München Prinzregentenstraße 50 80538 München Office Berlin Leipziger Straße 124 ME 3.2 10117 Berlin Office Wien Rasumofskygasse 26 1030 Wien Österreich Office New York 19 W. 34th Street, Suite 1018 New York, NY 10001 USA Office Bratislava Digital Park III Einsteinova 19 85101 Bratislava Slowakei www.natuvion.com

Sie können auch lesen