DSGVO: BEAUSKUNFTUNGS

DSGVO: BEAUSKUNFTUNGS
Herbst 2018
                 Das Kundenmagazin der Natuvion GmbH




DSGVO-KONFORME                        TRANSFORMATION              WORLDWIDE:
PERSONALVERWALTUNG:                   IS-U, ERP UND CRM:          Natuvion expandiert
Das HCM-Team von Natuvion             Ein Best Practice Projekt   nach Amerika



Onlineversion:


                 DSGVO: BEAUSKUNFTUNGS-
                 PROZESSE VEREINFACHEN S.04
DSGVO: BEAUSKUNFTUNGS
Inhalt




04     BEAUSKUNFTUNGSPROZESSE VEREINFACHEN
       Komplexe Landschaften verhindern effektiven Beauskunftungs-
       prozess im Rahmen der DSGVO




16     UPDATE DSGVO                              34 UNSERE PARTNER
       Ist eine Systemkopie noch erlaubt?              EnBW: Erfahrener Begleiter auf dem
                                                       Weg in digitales Neuland
19     ePrivacyVo
       Dr. Stefan Peintinger und Benjamin        36 NATUVION ÖSTERREICH
       Spies geben einen Zwischenstand                 - Die erste erfolgreiche ILM Implementierung
                                                       - Natuvion und Quanto präsentieren
22     UPDATE DSGVO                                      Wiener Erfolgsprojekt
       Unterstützung bei der Personalverwal-
       tung durch das HCM-Team von Natuvion      40 NATUVION WORLDWIDE
                                                       Natuvion expandiert nach Nordamerika
24     TRANSFORMATION
       IS-U, ERP und CRM TRANSFORMATION -        41 „NÜTZLICHE HELFERCHEN“
       ein Best Practice Projekt                       QAS – Qualitätssicherung in SAP-
                                                       Transformationsprojekten
30     INSIGHTS
       Ein Blick hinter die Kulissen der         42 VERANSTALTUNGEN
       Natuvion GmbH                                   Wo sind wir 2018?
                                                       Rückblick: Wo waren wir?
33 BÜCHERECKE
       Buchvorstellung und Gewinnspiel




02 |                                                          Das Kundenmagazin der Natuvion GmbH, Walldorf
DSGVO: BEAUSKUNFTUNGS
Editorial



                                              Liebe Leserin, lieber Leser,
                                              auch in der fünften Ausgabe von news blicken wir zurück:
                                              auf die Themen, die uns in den letzten Monaten bewegt
                                              haben, auf neue interne Veränderungen sowie Neuigkeiten
                                              im SAP-Umfeld. Doch auch den Blick nach vorne wollen
                                              wir nicht außer Acht lassen und Ihnen daher auch diesmal
08 UPDATE DSGVO:                              wieder einen kleinen Vorgeschmack auf künftige Entwick-
    SOPHIA                                    lungen liefern.
                                              Der goldene Herbst steht vor der Tür und das Jahr neigt
                                              sich langsam dem Ende zu. Ein geeigneter Zeitpunkt also,
                                              um eine kleine Zwischenbilanz zu ziehen: 2018 kann man
                                              zweifellos als das Jahr des Datenschutzes bezeichnen. Zwar
                                              unterstützen wir nicht erst seit dem 25. Mai unsere Kunden Holger Strotmann,
                                                                                                               Geschäftsführer Natuvion GmbH
                                              in allen Belangen rund um die neue DSGVO, der Stichtag war
                                              jedoch auch bei uns deutlich zu spüren: Immer mehr Anfragen
                                              aus den unterschiedlichsten Branchen erreichen uns und die Expertise kompe-
                                              tenter Berater ist gefragt wie nie zuvor. Deshalb legen wir den thematischen
                                              Schwerpunkt unserer Artikel auch wieder auf eines unserer größten Leis-
                                              tungspakete: Data Privacy & Protection. Und freuen uns darüber, Ihnen damit
11 UPDATE DSGVO:                              zusammenhängend auch unser neu gegründetes Competence Center in Berlin
    GRUNDCUSTOMIZING ILM                      vorstellen zu können.
                                              Einen tiefen Einblick in unser Tagesgeschäft geben wir Ihnen in der Sparte
                                              Transformation: Hier erfahren Sie alles über ein Best Practice Projekt im IS-U-,
                                              ERP- und CRM-Umfeld. Auch unsere wertvollen Kooperationen wollen wir in
                                              dieser Ausgabe nicht unerwähnt lassen. Mit der EnBW verbindet die Natuvion
                                              bereits eine langjährige Partnerschaft.
                                              Diese und weitere Themen erwarten Sie in unserer Herbstausgabe 2018! Nutzen
H E R AUSGE BE R                              Sie die Chance und gewinnen Sie ein spannendes Fachbuch des SAP-Experten
Natuvion GmbH                                 Volker Lehnert, werfen Sie in den Insights einen Blick hinter Natuvions Kulissen
Altrottstraße 31
                                              und erfahren Sie Interessantes und Neues aus unseren internationalen Nieder-
69190 Walldorf
                                              lassungen in Österreich und den USA.
Fon +49 6227 73-1400
Fax +49 6227 73-1410
E-Mail info@natuvion.com
                                              Viel Spaß beim Lesen wünscht Ihnen,
R E DA K T ION
Holger Strotmann (V.i.S.d.P.),
Katharina Bayer

COPY R IGH T
Diese Zeitschrift, Beiträge und Abbildungen
sind urheberrechtlich geschützt. Jede Ver-
wertung außerhalb des engen Urheberrechts-
gesetzes ist ohne Zustimmung der Natuvion
GmbH unzulässig und strafbar.
                                              Holger Strotmann
L AYOU T, SAT Z U N D DRUC K
Kolöchter & Partner
Werbeagentur GmbH, Schwerte
                                                                                                                           | 03
DSGVO: BEAUSKUNFTUNGS
TITELTHEMA


Titelstory:
KOMPLEXE IT-LANDSCHAFTEN
VERHINDERN EFFEKTIVEN
BEAUSKUNFTUNGSPROZESS
IM RAHMEN DER DSGVO

F
       ünf Monate nach Inkrafttreten der DSGVO steht ein Großteil der Unternehmen weiterhin vor der Herausforde-
       rung einer regelkonformen Umsetzung. In einer aktuellen Umfrage des Digitalverbands Bitkom vom 27. August
       2018 1 haben bisher gerade mal ein Viertel aller befragten Unternehmen angegeben, die Umsetzung vollständig
abgeschlossen zu haben. Als größte Herausforderungen werden der schwer abzuschätzende Aufwand und die schwie-
rige technische Umsetzung zur Implementierung der Rechte Betroffener benannt.




Ein wesentlicher Unsicherheitsfaktor ist die vollumfängliche   che, die Einbindung von Dienstleistern und die Abfrage der
Erfüllung der Informations- und Auskunftspflichten gegen-      Daten aus verschiedenen IT-Systemen führen schnell zu
über den Betroffenen. Laut Art. 15 DSGVO müssen Unter-         einer nur schwer steuerbaren Prozesskomplexität.
nehmen auf Anfragen innerhalb eines Monats reagieren und
mitteilen, welche personenbezogenen Daten sie zu welchem       Die Bearbeitung erfolgt momentan meist vollständig ma-
Zweck gespeichert haben. Der Betroffene hat den Anspruch       nuell, wobei in der Regel mehrere IT-Systeme mit umfang-
auf eine umfassende und voraussetzungslose unentgeltliche      reichen Datenbeständen durchsucht werden müssen. Der
Auskunft, wodurch ihm die Möglichkeit eingeräumt wird,         Aufwand für die Durchführung einer einzelnen Beauskunf-
sich in regelmäßigen Abständen von der Rechtmäßigkeit der      tung liegt hierbei meist zwischen zwei und vier Stunden.
Verarbeitung seiner personenbezogenen Daten zu über-
zeugen. Dieses Recht beruht auf dem datenschutzrecht-          Eine Erhebung aus den laufenden Projekten der Natuvion
lichen Grundsatz der Transparenz, der wiederum auf dem         hat ergeben, dass zur Beauskunftung die relevanten Daten
grundrechtlichen Schutz der Charta der Grundrechte der         meist aus verschiedenen IT-Systemen, wie bspw. CRM,
Europäischen Union basiert. Die Erfahrungen aus aktuellen      ERP/Branchenlösung, Business-Warehouse oder Helpdesk-
Umsetzungsprojekten zeigen, dass die übergreifende Steu-       Ticketsystemen, durchsucht werden müssen. Hinzu kommen
erung dieser Auskunftsbegehren die Unternehmen vor eine        die immer umfangreichen Cloud-Anwendungen, auf die
große Herausforderung stellt.                                  ein vollumfänglicher Datenzugriff meist nur eingeschränkt
                                                               möglich ist.
Der Eingang eines Auskunftsersuchens kann unternehmens-
weit erfolgen. Um die kurze Beantwortungsfrist sicherstellen   Auch von risikobasierten Gesichtspunkten aus betrachtet,
zu können, muss diese Anfrage kanalisiert und priorisiert      empfiehlt es sich, einen systemgestützten Beauskunftungs-
bearbeitet werden. Mehrere beteiligte Unternehmensberei-       prozess einzuführen.




04 |                                                                      Das Kundenmagazin der Natuvion GmbH, Walldorf
DSGVO: BEAUSKUNFTUNGS
DORIE – für die zentrale Steuerung der Auskunftsersuchen im
        Unternehmen
        Zentrale Sicht auf alle laufenden und abgeschlossenen                                                  Natuvion stellt mit DORIE für die IT-gestützte Prozessab-
        Auskunftsersuchen im Unternehmen – so lautet die For-                                                  wicklung eine zertifizierte Applikation als Software-as-
        derung seitens Geschäftsleitung und der Datenschutz-                                                   a-Service zur Verfügung. Die Softwarelösung bietet eine
        Gesetzgebung. Jederzeit in der Lage zu sein, über laufende                                             durchgängige Prozessbearbeitung – von der Erfassung der
        Verfahren auskunftsfähig zu sein, wird in Zukunft ent-                                                 Anfrage bis zur Übergabe der Dokumente – und unterstützt
        scheidend sein.                                                                                        dabei ein differenziertes Rollen- und Userkonzept.

        Die Standardprozessabbildung ist dem nachfolgenden Diagramm zu entnehmen:
Kunde                                                                                                                                                             Prozessende
          1                                            6       Erhalt der Info auf                                                   13
              Auskunfts-                                                                                                               Erhalt der Auskunft
                                                           gleichen Weg wie Eingang
                                                           schriftlich – alternativ via                                                (Brief-Zugangsinfo,
               begehren                                         Postbestätigung                                                       Internetschließfach)



Verantwortli-
                                  4                                                       9                        11
che Stelle                            Freigabe                                            Ggf. Ermittlung +             Freigabe
                                      Ja/Nein                                             Übergabe weiterer             Ja/Nein
                                                                                                Daten



Dienstleister
          2                   3                        5                                  7                   10                     12                      14                 15                  16
                Eingang des    Case-Identifikation            Info an Kunde               Datenermittlung,                                                     Rückfrage nach
                                                                                                                   Aufbereiten der        Beauskunftung                              Eskalation /    Beschwerde-
                Auskunfts-    (Identität, Art d. Be-        Eingangsbestäti-              Zwecke, Speicher-                                                   Detaillierung
                                                                                                                       Daten               durchführen                               Beschwerde      management
                 begehren     gehren, Berechtigung          gung/Ablehnung                  Löschfristen                                                       weiter mit 7



Sub-Dienstleister
                                                                                          8
                                                                                          Ggf. Ermittlung +
                                                                                          Übergabe weiterer
                                                                                                Daten



        Grafik: Schematischer Prozessablauf: Auskunftsprozess DORIE

        Im Unternehmen eingehende Auskunftsbegehren (1) werden                                                 Business-Applikationen gespeicherten Daten ermittelt und
        zentral in der Applikation erfasst. Die Prozesshoheit liegt                                            kategorisiert. Im Standard enthalten sind Interfaces zu
        hierfür beim Prozessdienstleister (2). Im ersten Schritt er-                                           SAP ERP / S4HANA, SAP HCM, SAP CRM, SAP IS-U, SAP
        folgt eine Identifikation des Anfragenden und des Anliegens                                            SuccessFactors sowie MS CRM.
        sowie die Prüfung auf berechtigtes Interesse (3). Die Freiga-
        be zur Prozessbearbeitung erfolgt dann durch die verant-                                               Nach der Datenermittlung erfolgt die Aufbereitung und
        wortliche Stelle (4) – in der Regel ein von der Geschäftslei-                                          Konsolidierung der Daten an zentraler Stelle (10). Hier wer-
        tung benannter Vertreter oder der Datenschutzbeauftragte.                                              den die Daten kategorisiert, konsolidiert und strukturiert
        Der Auskunftssteller wird nun über den Eingang und die                                                 abgelegt. Danach erfolgt zentral die Freigabe zur Beaus-
        Bearbeitung des Auskunftsersuchens schriftlich informiert                                              kunftung der Daten durch den verantwortlichen Vertreter
        (5). Ab diesem Zeitpunkt läuft die Bearbeitungsfrist von vier                                          der Geschäftsleitung (11). Nach Vorliegen dieser Freigabe
        Wochen. Die Information wird über den gleichen Kommuni-                                                wird die Beauskunftung operativ durchgeführt (12). Die
        kationskanal wie der Antragseingang versandt (6).                                                      Datenübergabe an den Auskunftssteller erfolgt über ein
                                                                                                               kombiniertes Verfahren. Per Brief wird das Auskunftser-
        Nun erfolgt die Datenermittlung. Hierbei wird durch DORIE                                              suchen rechtskonform beantwortet. Hierzu steht in DORIE
        die manuelle oder maschinelle Durchführung unterstützt.                                                ein Musterschreiben zur Verfügung. Die detaillierten Daten
        Die Bearbeitung kann parallel in verschiedenen Berei-                                                  werden in einem Internetschließfach bereitgestellt (13).
        chen erfolgen (7, 8, 9). Für die maschinelle, IT-gestützte                                             Zugriff darauf erfolgt über ein zweistufiges Authentifizie-
        Datenermittlung werden über definierte Interfaces die in                                               rungsverfahren.



        1
          Quelle: https://www.bitkom.org/Presse/Presseinformation/Umsetzung-der-Datenschutzregeln-
        an-vielen-Stellen-weiterhin-unklar.html, 4.10.2018                                                                                                                                          | 05
DSGVO: BEAUSKUNFTUNGS
TITELTHEMA


                                                                Für ggf. auftretende Rückfragen steht ein Eskalations-
                                                                Workflow zur Verfügung (14). Falls notwendig kann
                                                                der gesamte Sachverhalt an das unternehmensinterne
                                                                Beschwerdemanagement oder den Rechtsbereich über-
                                                                geben werden (15/16).

                                                                            Einen jederzeit aktuellen Überblick zu laufen-
                                                                            den Auskunftsprozessen bietet das zentrale
                                                                            Management-Dashboard (vgl. Screenshot).




Ein technischer Einblick in DORIE
Natuvion stellt DORIE auf der SAP Cloud Platform zur Verfügung. Die Applikation ist das Ergebnis der Entwicklungskoope-
ration „co-innovated with SAP“.




06 |                                                                     Das Kundenmagazin der Natuvion GmbH, Walldorf
DSGVO: BEAUSKUNFTUNGS
Die Business Applikation ist als Workflow-Process-Layer     Der Integration Layer ist Basis für die Enterprise Applica-
auf der SAP Cloud Platform implementiert. Für das Be-       tion Integration. Hier werden sog. Messages Queries für die
nutzer-FrontEnd kommt UI5-Technologie zum Einsatz. Für      asynchrone Kommunikation genutzt. Über den Integration
zentrale Elemente wie Benutzerverwaltung und Rollenkon-     Layer werden die datenführenden Business-Applikationen
zept werden Services der SAP Cloud Platform genutzt.        angeschlossen und die Datenermittlung gesteuert.



Wesentliche Aufgaben des Integration Layers sind hierbei:

  Bereitstellung diverser Services (Übertragung/ Austausch von Dateien, Remote-Prozeduraufruf, Nachrichtenaustausch)

  Anbindung von SAP- und Non-SAP-Systemen über Message Queues und spezielle Konnektoren, dadurch:
  - Abstraktion (Trennung) der zugrunde liegenden Backendsysteme
  - Bereitstellung von Routing- und Konvertierungsregeln



Weitere Details und ein Demo-Szenario unter:
https://www.natuvion.com/de/produkte_original/sap-cloud-entwicklungen/beauskunftungs-app-dorie




Details / DeepDive:
Kasten 1 – Bearbeitungsvarianten eines Auskunftsersuchens




                                                                                                                   | 07
DSGVO: BEAUSKUNFTUNGS
Update DSGVO




             DIE ZUSAMMENFÜHRUNG
            FACHLICH-PROZESSUALER
           ANFORDERUNGEN
    ZUM SPERREN UND LÖSCHEN PERSONENBEZOGENER
   DATEN MIT FUNKTIONSSPEZIFISCHEN GEGEBENHEITEN
 IM RETENTION MANAGEMENT DES SAP INFORMATION
LIFECYCLE MANAGEMENTS

F
       achbereichsspezifische Anforderungen an ein Sperr-/      Ohne Unterstützung von auf diesen Zweck ausgerichteten
       Löschkonzept erfordern die genaue Analyse der            Analysetools, die bei der Identifikation personenbezogener
       Verwendung personenbezogener Daten entlang der           Daten mit intelligenten Suchalgorithmen eine hohe Treffer-
Geschäftsprozesse. Dabei ist der komplette Datenverarbei-       quote aufweisen, lässt sich dieser wichtige Schritt in einem
tungsverlauf für die in der SAP Business Suite verwalteten      ILM-Projekt kaum erreichen.
betroffenen Personen, ob Mitarbeiter, Kunde oder Kreditor,
zu beleuchten. Die Daten sind nach logisch-sinnvollen Ge-       Technisch gesehen ist es ratsam, verschiedene Suchme-
sichtspunkten zu clustern, um die Anzahl der festzulegen-       chanismen in einem Tool miteinander zu kombinieren. So
den Sperr-/ Löschregeln auf eine möglichst kleine Anzahl zu     erhält man bei einer angemessenen Laufzeit von wenigen
beschränken. Dabei gilt der Grundsatz: So viel wie nötig (um    Stunden auch bei großen Systemen ein möglichst exaktes,
datenschutzrechtlich konform zu sein) und so wenig wie          datenfeldbezogenes Ergebnis der Tabellen, die direkten oder
möglich (um die Komplexität der technischen Umsetzung           auch indirekten Personenbezug aufweisen. Ideale Kombina-
 zu reduzieren).                                                tionen sind:

Für eine IT-technische Umsetzung der festgelegten Sperr-/          DDIC-basierte Struktursuche auf Domänenebene
Löschregeln steht man vor der Herausforderung, die per-            Semantische-/ inhaltsbasierte Suche auf Basis
sonenbezogenen Daten in einer oftmals weitverzweigten              bekannter Tabellenfelder mit Personenbezug
SAP-Systemlandschaft eindeutig zu identifizieren. Es gilt          Exklusion von irrelevanten Tabellen
nun – bis auf Feldebene entlang der vorhandenen Tabellen-          Inklusion von relevanten Tabellen mit Personenbezug,
strukturen – festzustellen, wo die Datenobjekte gespeichert        die ggf. über die semantische Suche nicht gefunden
sind und verarbeitet werden. Herausfordernd sind dabei             würden.
nicht die systemseitig zur Verfügung gestellten Standards,
deren datenschutzrechtliche Relevanz in Bezug auf perso-        Mit dem von Natuvion eigens für diese Zwecke implemen-
nenbezogene Daten meist den Fachbereichen und Key Usern         tiertem Analyseverfahren SOPHIA werden alle personenbe-
bekannt sind, sondern die zahlreichen, oftmals über Jahre       zogenen Daten in Standardtabellen, Non-Standardtabellen
hinweg entstandenen Eigenentwicklungen, Z-Tabellen und          sowie Eigenentwicklungen identifiziert.
SAP-Add-ons, die teilweise gar nicht mehr in Verwendung sind.


08 |                                                                        Das Kundenmagazin der Natuvion GmbH, Walldorf
DSGVO: BEAUSKUNFTUNGS
Beginn der Analyse
      1




                                                                                                                 2


                                           Zwischen 4 und 24 Stunden Laufzeit


 Der Clou an SOPHIA
 SOPHIA kombiniert alle vorangestellten Suchmechanismen und gibt für die gefundenen Tabellenfelder eindeutige Beispiel-
 werte aus, die eine spätere Analyse der gefundenen Treffer stark vereinfacht. Ebenso werden dem Anwender Tabellengröße,
 Anzahl der Einträge sowie das letzte Änderungsdatum angezeigt. Somit gelingt es der Fachabteilung und IT sehr schnell, die
 nicht relevanten Tabellen aus dem Projektumfang auszuschließen.

 Darüber hinaus ordnet SOPHIA den SAP-Standardtabellen automatisiert die vorhandenen Archivierungs- resp. ILM-Objekte
 zu. Ein exemplarisches Analyseergebnis wird nachstehend dargestellt:




    Tabellenfelder mit
personenbezogenen Daten
   und Beispielinhalten


                                                                             ILM-Objekte, in denen die gefundenen
                                                                                 Tabellen verwendet werden



                                                                                                                         | 09
DSGVO: BEAUSKUNFTUNGS
Update DSGVO
Bei kundeneigenen und fremden Namensräumen für                       wegbewegt. Diese Feststellung ist äußerst projektrelevant,
mögliche SAP-Add-ons von Fremdanbietern oder Eigen-                  da der Umgang mit dem Non-Standard ein wesentlicher
entwicklungen sowie individuellen Zusatztabellen verblei-            Aufwandstreiber in einem ILM-Projekt ist. Zusätzliche ILM-
ben Lücken bei der Zuordnung der ILM-Objekte. So er-                 Objekte erzeugen zusätzlichen Entwicklungsaufwand und
kennt man schnell, wie weit sich eine Einführung der                 einen deutlich höheren Testaufwand.
Retention Management-Funktionen des ILM vom Standard

Im weiteren Verlauf ist für jede
                                                                                     Enthält die Tabelle personenbezogene
Analyselücke ein geeignetes Vorgehen                                                                 Daten?
zu definieren. Der nachstehende
                                                                                ja                                     nein
Entscheidungsbaum zeigt beispielhaft
die möglichen Handlungsoptionen:
                                                 ja
                                                          Ist die Z-Tabelle/das Add-on Teil eines     nein
                                                            eigenständigen Geschäftsobjektes                        Nicht relevant
                                                              (außerhalb des SAP Standards)?


                                Unterliegen die Daten gesetzlichen                        Zuordnung der Tabelle zu einem
                                     Aufbewahrungsfristen?                            bestehenden ILM Objekt (SAP Standard)

                     nein                                                  ja


                                                      Erstellung eines kundeneigenen ILM-Objektes
 Bei einmaligen Löschanforderungen bzw.
                                                         (Archivierungsobjekt wenn die Tabellen
   nicht wiederkehrenden/regelmäßigen
                                                       Massendaten enthalten oder Datenvernich-
 Löschungen kann ein Löschreport erstellt
                                                          tungsobjekt wenn keine Archivierung
                 werden.
                                                                      notwendig ist)




Fazit
Die Umsetzung von fachlichen Sperr-/ Löschanforderungen              Wünschen Sie weitere Informationen oder Unterstützung
erfordert eine möglichst exakte Analyse der Tabellenstruk-           bei den notwendigen Umsetzungen zur DSGVO? Dann
tur und der Ablage der personenbezogenen Daten in den                melden Sie sich gerne bei uns! Die Experten für kontinu-
jeweiligen Feldern auf der technischen Seite im System. Da
                                                                     ierliches Datenmanagement in unserem Data Privacy &
ILM auf Tabellenebene arbeitet, ist eine exakte Zuordnung
der ILM-Objekte zu den relevanten Tabellen im Vorfeld
                                                                     Protection Competence Center unterstützt Sie auf Ihrem
eines Umsetzungsprojekts eine maßgebliche Basis, um den              Weg zur DSGVO-Konformität.
Einführungsaufwand möglichst exakt abschätzen zu
können. Datenanalysetools, wie SOPHIA von Natuvion,
können helfen, in nur wenigen Stunden belastbare Ergeb-                  Burkhard Hergenhan
nisse in Bezug auf das Aufspüren personenbezogener Daten                 Senior Principal Consultant
in SAP-Systemen zu generieren und den dafür notwendigen                  Natuvion GmbH
Analyseaufwand stark zu reduzieren. Oftmals kommen auch                  Altrottstr. 31 · 69190 Walldorf
ungeahnte „Altdaten-Schätze“ an die Oberfläche, die im                   Fon: +49 6227 73-1400
Rahmen initialer Datenbereinigungen außerhalb des prozes-                burkhard.hergenhan@natuvion.com
sualen Sperrens und Löschens mit SAP ILM zu behandeln
                                                                         Tätigkeitsbereiche: - Data Privacy & Protection
sind. Ein positiver Nebeneffekt, um datenschutzrechtliche
                                                                                             - Strategieberatung
Risiken zu minimieren.




10 |                                                                                 Das Kundenmagazin der Natuvion GmbH, Walldorf
STEP BY STEP
                                      GRUNDCUSTOMIZING
                                     IM SAP INFORMATION
                                   LIFECYCLE MANAGEMENT

V
          or der technischen Umsetzung eines kontinu-        Bevor nun mit der Konfiguration der einzelnen Sperr-/
          ierlichen Datenmanagements zum Sperren und         Löschregeln im System begonnen werden kann, müssen
          Löschen personenbezogener Daten mit SAP ILM        grundsätzliche Voraussetzungen geschaffen werden. Dabei
sollten die folgenden fachlichen Komponenten als relevante   ist zu empfehlen, die ersten Gehversuche im SAP ILM in
Grundsteine bereits vorhanden sein:                          einer geschützten System- und Testumgebung (Sandbox)
                                                             vorzubereiten. Unvorteilhaft kann die Ausführung der
   Inventarisierung aller Systeme mit                         ILM-Funktionen auf einer normalen Testumgebung aus
   personenbezogenen Daten                                   folgenden Gründen sein:
   Bestimmen der Datenarten
   Definition von Betroffenen- und Sonderzuständen              Durch die erwartungsgemäß lange Laufzeit eines ILM-
   entlang des Datenlebenszyklus                                Projekts werden voraussichtlich andere systemrelevante
   Aufstellen einer Matrix mit Sperr-/ Löschregeln für          Projekte behindert
   alle Datenarten im jeweiligen Betroffenenzustand             Testweise gesperrte oder gelöschte Daten zerstören
   Technische Analyse personenbezogener                         vorkonfigurierte Testkonstrukte
   Daten in der SAP BusinessSuite
   Mapping der relevanten Tabellen mit                       Zur vollumfänglichen, fehlerfreien Nutzung der ILM-Funkti-
   Archivierungs-/ILM-Objekten                               onen ist das System auf die jeweils relevanten Releaselevel
                                                             zu bringen, die nachstehend dargestellt sind:


     System / Applikation                                     Release-Voraussetzung
     SAP ERP                                                  SAP ERP 6.0 EhP7, SP13
     SAP CRM                                                  SAP CRM 7.0 EhP4, SP1
     SAP for Utilities                                        SAP ERP 6.0 EhP7, SP13
     SAP HCM                                                  SAP ERP 6.0 EhP6, SP16
     SAP ERP                                                  SAP ERP 6.0 EhP7, SP13




                                                                                                                     | 11
Update DSGVO
Zusätzlich sind in der Regel eine Vielzahl von sog. SAP-     von ILM-spezifischen Transaktionen
Hinweisen (OSS-Notes) einzuspielen, die vergleichbar         berechtigen. Maßgeblich ist hier
mit Patches bei anderen Systemen sind. Um die Hinweise       insbesondere die Rolle SAP_BC_ILM_
ermitteln zu können, muss das System eine Verbindung         ADMIN_RM. Zusätzlich empfiehlt es
zum SAPOSS Server herstellen können (die RFC Verbindung      sich jedoch nachstehende Berechti-
muss eingerichtet sein – die Prüfung erfolgt über Transak-   gungsrollen anzulegen:
tion SM59) und die Einstellungen des Systems müssen das
Einspielen von Hinweisen erlauben.                             SAP_BC_CCM_DATA_ARCHIVING
                                                               SAP_BC_CM_USER



 i
                                                               SAP_BC_ILM_ARCHIVELINK
                 Es existieren mehr als 800 ILM relevante      SAP_BC_ILM_AUDIT_AREA
                 Hinweise, die unter Umständen alle ins        SAP_BC_ILM_DESTROY
                System eingebaut werden müssen. Wie viele      SAP_BC_ILM_IRM
             tatsächlich nötig sind, hängt vor allem vom       SAP_BC_ILM_CHECKSUM
       Aktualisierungsstand des Systems selbst ab. Viele       SAP_ILM_WP_ADMIN
       Hinweise sind in neueren Support Packages (SP)
       enthalten, welche SAP in regelmäßigen Abständen       Darüber hinaus sind Berechtigungen für Entwicklung,
       veröffentlicht.                                       Debugging und zur Einrichtung von RFC-Verbindungen
                                                             notwendig.
       Deshalb ist es unter Umständen ratsam, mit dem
       Ermitteln und Einspielen der Hinweise zu warten,
                                                             Nach diesen Schritten kann die Aktivierung der ILM-Funk-
       bis das aktuellste SP eingespielt wurde.
                                                             tionen auf der Sandbox erfolgen. Im ersten Schritt werden
                                                             über die Transaktion SICF die sog. ILM-Services aktiviert.
Zur Feststellung, welche Hinweise tatsächlich relevant für   In der Transaktion SICF besteht die Möglichkeit, sich durch
das jeweilige Releaselevel des betrachteten Systems sind,    den angezeigten Baum selbstständig zum jeweiligen Service
eignen sich entsprechende Analysetools, wie z.B. SOPHIA      zu navigieren oder einen Service zu suchen. Zum Suchen
von Natuvion, das die notwendigen Hinweise monatlich         trägt man zunächst unter Servicename den Service ein.
aktuell nach Ausführung ermittelt.                           Anschließend klickt man auf Anwenden. Im unteren Teil des
                                                             Fensters erscheint anschließend der gesuchte Service, der
Das Einrichten von Berechtigungen gehört ebenfalls zu den    per Rechtsklick Service Aktivieren aktiviert wird.
notwendigen Systemvoraussetzungen, die zur Ausführung




12 |                                                                    Das Kundenmagazin der Natuvion GmbH, Walldorf
SRS
DAS_STORE_BROWSER
S_ILM_VIEWDEF
IRM_POLICIES
ILM_ARCHIVE_STORE
ILM_AUDIT_AREA
ILM_AUDIT_TEMPLATE
ILM_CHECKSUM
ILM_REPOS                            Quellenangabe: SAP Consulting
ILM_REPOSITORY
ILM_STORE_ADMIN
MYSSOCNTL
ICONS
ICONS_RTL
PICTOGRAMS
UR
WEBDYNPRO
WEBICONS
                                     Quellenangabe: SAP Consulting




i       Unter Umständen sind
        einige schon aktiviert und
        können aktiviert bleiben.
    Einige der ILM Transaktionen
benutzen zudem Webanwendun-
gen. Für diese müssen die Web-       Quellenangabe: SAP Consulting

services auf dem System aktiviert
und eingerichtet sein. Über die
Transaktion SMICM kann geprüft
werden, ob die Webservices aktiv
sind.




                                                          | 13
Update DSGVO


Im nächsten Schritt werden ILM Business Functions verfügbar gemacht. Die Aktivierung erfolgt über die Transaktion SFW5.
Für unterschiedliche Systeme der SAP Business Suite gibt es auch verschiedene Business Functions. Nachstehend sind die zu
aktivierenden Business Functions für ein SAP CRM dargestellt (Achtung: Die Business Function ILM sollte dabei immer zuerst
aktiviert werden!):

   ILM                                                             ILM_STOR
   ILM_BLOCKING                                                    DA_COCKPIT_ILM (optional. Hiermit kann über die
   BUPA_ILM_BF                                                     die Netweaver Client-Oberfläche die Archivierung
   DA_ARCHOBJ_STANDARD_*                                           gestartet werden)
   DA_ARCHOBJ_STANDARD_CRM



SAP-Systeme sind in der Regel in einen Systemverbund           ist im Vorfeld eines ILM-Projekts zu definieren, welches Sys-
eingebettet. Sperr- und Löschregeln müssen somit sys-          tem das Mastersystem, also das datenführende System, ist
temübergreifend definiert werden, um die zweckgebundene        und welche Systeme ILM-seitig über RFC-Verbindungen mit-
Verwendung der personenbezogenen Daten, z.B. im Rahmen         einander verknüpft werden sollen. Das Mastersystem wird in
des Geschäftspartnerkonstrukts, vollumfänglich, d.h. über      der Transaktion SPRO festgelegt. Dort ist die Funktion SAP
Systemgrenzen hinweg prüfen zu können. Aufgrund dessen         Referenz-IMG zu starten.




Im angezeigten Hierarchiebaum ist durch die verschiedenen      Dort können neue Systemeinträge hinterlegt werden. Der
Ebenen bis zur folgenden Funktion zu navigieren:               jeweilige Systemname ist im unteren rechten Fensterbereich
                                                               abzulesen. Dieser ist in die angezeigte Liste einzutragen und
Ebenen SAP Customizing Einführungsleitfaden>Anwen-             zu speichern.
dungsübergreifende Komponenten >Data Protection
(bzw. Datenschutz) >Sperren und Entsperren von Daten>
Geschäftspartner > Details zur Zweckerfüllung der Kon-
solidierungssystem-ID speichern




14 |                                                                       Das Kundenmagazin der Natuvion GmbH, Walldorf
Zusätzlich sind die im Systemverbund maßgeblichen           Hier wird die RFC-Verbindung zum Mastersystem eingetra-
RFC-Destinationen für den Zugriff vom Mastersystem          gen. Die RFC-Destination muss bekannt sein und ist über
zu definieren. Auch diese Einstellungen werden über die     die Transaktion SM59 zu ermitteln. Existiert kein Mastersys-
Transaktion SPRO gesteuert.                                 tem, muss die RFC-Destination auf sich selber verweisen,
                                                            weil ILM eine Ziel-Destination erwartet und sonst abbricht.
Über den Button SAP Referenz-IMG starten ist im ange-       Dazu muss die RFC-Destination des Systems selbst ermittelt
zeigten Hierarchiebaum durch die verschiedenen Ebenen bis   werden.
zur folgenden Funktion zu navigieren:
                                                            Mit diesem Schritt sind die wesentlichen Grundeinstellun-
Ebenen SAP Customizing Einführungsleitfaden > Anwen-        gen zur Nutzung der ILM-Funktionalitäten vollzogen. Im
dungsübergreifende Komponenten > Data Protection            weiteren Verlauf sind nun weitere komplexe Tätigkeiten
(bzw. Datenschutz) > Sperren und Entsperren von Daten >     zur Abbildung des gewünschten Sperr-/ Löschregelwerks
Geschäftspartner > RFC-Destination der mit dem Master-      notwendig.
system verbunden Systeme definieren




Wünschen Sie weitere Informationen oder
Unterstützung für die Umsetzung Ihres ILM-                                          Burkhard Hergenhan
                                                                                    Senior Principal Consultant
Projekts? Dann melden Sie sich gerne bei uns!
                                                                                    Natuvion GmbH
Die Experten für kontinuierliches Datenmanage-
                                                                                    Altrottstr. 31
ment in unserem Data Privacy & Protection                                           69190 Walldorf
Competence Center unterstützen Sie auf Ihrem                                        Fon: +49 6227 73-1400
                                                                                    burkhard.hergenhan@natuvion.com
Weg zur DSGVO-Konformität.
                                                               Tätigkeitsbereiche: - Data Privacy & Protection
                                                                                   - Strategieberatung



                                                                                                                    | 15
Update DSGVO




IST EINE SYSTEMKOPIE
NOCH ERLAUBT?
S
       AP-Systemlandschaften werden üblicherweise in einer mehrstufigen Systemarchitektur betrieben. Die nicht produktiv
       genutzten Systeme werden zum Beispiel zu Qualitätssicherungs-, Test- oder Entwicklungszwecken verwendet. Beson-
       ders im Qualitätssicherungs- und Projektbereich ist es sinnhaft, eine möglichst realitätsnahe Datenbasis bereitzustellen.
In der Regel wird hierzu eine vollständige Systemkopie der legitimierten und für den Vertragszweck produktiv genutzten
Daten durchgeführt.




Sofern diese Systeme Daten mit direktem oder indirektem           sind. Dies bedeutet, dass ein Umgang mit pers. Daten
Personenbezug enthalten, stellt sich unmittelbar die Frage:       zu einem anderen Zweck grundsätzlich nicht von dem
Ist dieses Vorgehen im Zuge der DSGVO überhaupt noch              jeweiligen Rechtfertigungsgrund abgedeckt ist. Dieser
bzw. unter welchen Voraussetzungen erlaubt?                       Umgang ist daher rechtswidrig, wenn kein anderer
                                                                  Rechtfertigungsgrund gegeben ist.
Der Umgang mit personenbezogenen Daten („pers. Daten“)
setzt voraus, dass ein Rechtfertigungsgrund gegeben               Der Umgang mit pers. Daten für Testzwecke, einschließ-
ist. Als Rechtfertigungsgrund kann eine gesetzliche               lich einer Migration oder Spiegelung, ist gesetzlich nicht
Bestimmung anwendbar sein oder die betroffene                     ausdrücklich geregelt. Weder das bisherige Bundesdaten-
Person kann ihre Einwilligung erteilen. In jedem Fall ist         schutzgesetz (BDSG-alt; bis 25. Mai 2018), das nun geltende
die datenschutzrechtliche Zweckbindung zu beachten.               Bundesdatenschutzgesetz (BDSG-neu; seit 25. Mai 2018)
Pers. Daten dürfen nur für die Zwecke verarbeitet                 noch die Datenschutzgrundverordnung (DSGVO; seit 25.
werden, welche durch die anwendbare gesetzliche                   Mai 2018) enthalten hierzu spezielle Bestimmungen.
Bestimmung oder durch die Einwilligung abgedeckt


16 |                                                                          Das Kundenmagazin der Natuvion GmbH, Walldorf
Nachdem keine speziellen Bestimmungen gegeben sind,                            Der Begriff „Anonymisieren“ wird in § 3 Abs. 6 BDSG-alt
ist die Handhabung pers. Daten für Testzwecke als eigen-                       (bis 25. Mai 2018) folgendermaßen definiert:
ständiger Umgang zu prüfen. Für den Umgang mit pers.
Daten für Testzwecke ist folglich ein Rechtfertigungsgrund                     „Anonymisieren ist das Verändern personenbezogener
erforderlich.                                                                  Daten derart, dass die Einzelangaben über persönliche
                                                                               oder sachliche Verhältnisse nicht mehr oder nur mit
Um die o.g. Problematik zu vermeiden, sollte grundsätzlich                     einem unverhältnismäßig großen Aufwand an Zeit, Kosten
keine Verwendung von pers. Daten für Testzwecke erfolgen.                      und Arbeitskraft einer bestimmten oder bestimmbaren
Daher ist fraglich, welche praxisnahen Möglichkeiten                           natürlichen Person zugeordnet werden können.“
gegeben sind, (pers.) Daten für Testzwecke zu verwenden.
                                                                               Die DSGVO enthält keine eigenständige Definition. Nach
Grundsätzlich könnte eine Einwilligungserklärung auch                          Erwägungsgrund Nr. 26 S. 4 und 5 DSGVO gilt:
Testzwecke umfassen. Nachdem eine Einwilligung jederzeit
mit Wirkung für die Zukunft widerrufen werden kann,                            „Um festzustellen, ob eine natürliche Person identifizierbar
ist diese Möglichkeit kaum praxisrelevant. Daher ist im                        ist, sollten alle Mittel berücksichtigt werden, die von
Folgenden zu untersuchen, welche anderen Möglichkeiten                         dem Verantwortlichen oder einer anderen Person nach
gegeben sind, um mit (pers.) Daten für Testzwecke                              allgemeinem Ermessen wahrscheinlich genutzt werden, um
umzugehen.                                                                     die natürliche Person direkt oder indirekt zu identifizieren,
                                                                               wie beispielsweise das Aussondern. Bei der Feststellung,
Anonymisierung                                                                 ob Mittel nach allgemeinem Ermessen wahrscheinlich zur
Die Anonymisierung von pers. Daten ist eine Möglichkeit,                       Identifizierung der natürlichen Person genutzt werden,
Daten ohne Personenbezug für Testzwecke zu nutzen. Dies                        sollten alle objektiven Faktoren, wie die Kosten der
setzt insbesondere voraus, dass die Anonymisierung mit                         Identifizierung und der dafür erforderliche Zeitaufwand,
verhältnismäßigem Aufwand erfolgen kann und eine Ano-                          herangezogen werden, wobei die zum Zeitpunkt der
nymisierung tatsächlich gegeben ist. In diesem Zusammen-                       Verarbeitung verfügbare Technologie und technologische
hang ist zu beachten, dass eine Verschlüsselung allein keine                   Entwicklungen zu berücksichtigen sind. Die Grundsätze
ausreichende Anonymisierung darstellt. Wenn der jeweilige                      des Datenschutzes sollten daher nicht für anonyme
Schlüssel zur Re-Anonymisierung genutzt werden kann, ist                       Informationen gelten, d.h. für Informationen, die sich nicht
keine Anonymisierung gegeben (Gola/Klug/Körffer, in: Gola/                     auf eine identifizierte oder identifizierbare natürliche Person
Schomerus, Bundesdatenschutzgesetz, 12. Auflage, 2015, §                       beziehen, oder personenbezogene Daten, die in einer Weise
3 BDSG, Rdnr. 44). Nachfolgend wird der Unterschied von                        anonymisiert worden sind, dass die betroffene Person nicht
Anonymisierung und Pseudonymisierung dargestellt:                              oder nicht mehr identifiziert werden kann.“



    Ent-Personalisierung

                    Pseudonymisierte Daten                                                         Anonymisierte Daten
        Betroffene Person kann unter Hinzuziehung der gesondert
                                                                                   Betroffene Person kann nicht oder nur mit unverhätnismäßigem
      aufbewahrten oder ggf. öffentlich zugänglichen Informationen
                                                                                                Aufwand wieder identifiziert werden.
                       wieder identifiziert werden.



                                                                                                                                                        ErwG
         „Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine         26
      identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind,
          dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung
                                              solcher anonymer Daten, auch für statische oder Forschungszwecke.“



                                                                                                                                                          ?
       „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder
    einer anderen natürlichen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu
      identifizieren. Die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklung ist dabei zu berücksichtigen.“




                                                                                                                                                        | 17
Update DSGVO
An eine Anonymisierung sind daher hohe Anforderungen           Dokumentation im Sinne des Art. 5 Abs. 2 DSGVO muss
zu stellen. Durch eine Anonymisierung muss zum einen der       jeweils nachgehalten werden, warum der jeweilige Test nicht
Bezug der Daten auf eine bestimmte oder bestimmbare            auf andere Art und Weise durchgeführt werden kann.
Person beseitigt werden. Zum anderen müssen pers. Daten
auch derart verändert werden, dass die Einzelangaben über      Checkliste
persönliche oder sachliche Verhältnisse nicht mehr oder        Wenn nachweisbar keine Alternative zum Umgang mit
nur mit einem unverhältnismäßig großen Aufwand an Zeit,        pers. Daten für Testzwecke gegeben ist, können die
Kosten und Arbeitskraft einer bestimmbaren natürlichen         Anforderungen des Düsseldorfer Kreises und des BSI als
Person zugeordnet werden können.                               Checkliste genutzt werden. Die folgenden Anforderungen
                                                               müssen kumulativ vorliegen:
Daraus folgt, dass keine ausreichende Anonymisierung ge-
geben ist, wenn Daten für Testzwecke zwar für den Tester          Ist keine bereichsspezifische Rechtsvorschrift gegeben,
anonym sind, aber aufgrund weitreichenderer Berechti-             die einen solchen Test mit pers. Daten ausdrücklich
gungen eines anderen Verantwortlichen der Personenbezug           untersagt?
wiederhergestellt werden kann.                                    Ist eine Anonymisierung der Originaldaten für die vor-
                                                                  gesehene Test-Konstellation nur mit einem unvertretbar
Eigenständige Testdatensätze mit                                  hohen Aufwand verbunden?
Phantasieeinträgen erstellen                                      Hat die verantwortliche Stelle dem Vorgehen schriftlich
Wenn eine Anonymisierung nicht mit vertretbarem Auf-              zugestimmt?
wand möglich ist, könnte die Möglichkeit der Erstellung           Werden bei der Durchführung und/oder Auswertung des
eigenständiger Testdatensätze mit Phantasieeinträgen ge-          Tests die schutzwürdigen Belange der betroffenen Perso-
prüft werden. Dabei ist sicherzustellen, dass solche Phan-        nen und die Datensicherheit angemessen berücksichtigt?
tasieeinträge keinen Eingang in den Live-Betrieb finden.          Ist sichergestellt, dass nur die für die Fehlerbehebung
                                                                  und Durchführung des Tests erforderlichen Personen die
                                                                  pers. Daten nutzen können?
Begrenzter Umgang mit pers.                                       Haben nur Personen Zugang zu diesen pers. Daten,
Daten für Testzwecke                                              die den jeweils maßgebenden Vertraulichkeitsgrund-
                                                                  sätzen und insbesondere datenschutzrechtlichen
Wenn nachweisbar weder eine Anonymisierung möglich ist            Vorschriften unterliegen?
noch die Erstellung eigenständiger Testdatensätze, dann           Kann trotz Nachbildung im Testbereich ein Fehler aus
kann, unter Beachtung der Anforderungen des Düsseldorfer          dem Live-Betrieb nicht ermitteln werden, sodass sich
Kreises und des Bundesamtes für Sicherheit in der Infor-          ein solcher Fehler nur mit pers. Daten aus dem Live-
mationstechnik („BSI“), ein begrenzter Umgang mit pers.           Betrieb aufklären lässt und/oder die Verfahrenssicherheit
Daten für Testzwecke im Rahmen einer Interessenabwägung           nicht anders gewährleistet werden kann?
gerechtfertigt werden. Ein solcher Test sollte regelmäßig in
einem abgeschlossenen System erfolgen und auf den not-
wendigen Umgang beschränkt werden. Für die erforderliche



Empfehlung
1. Heben Sie den Personenbezug durch Anonymisierung auf oder generieren Sie eigenständige Testdatensätze mit
   Phantasieeinträgen, die Sie dann verwenden.
2. Wenn ein Umgang mit pers. Daten für Testsysteme unumgänglich ist, prüfen Sie technische und organisatorische
   Maßnahmen, wie z.B. die Pseudonymisierung. Durch eine Pseudonymisierung bleibt bei den Daten ein Personenbezug
   erhalten. Im Rahmen einer Interessenabwägung und für die Umsetzung von Sicherheitsvorkehrungen könnte eine
   Pseudonymisierung jedoch herangezogen werden.




18 |                                                                      Das Kundenmagazin der Natuvion GmbH, Walldorf
ePrivacyVo                                                                              SKW
                                                                                            Schwarz
                                                                                            Rechtsanwälte


Dr. Stefan Peintinger, Benjamin Spies,
LL.M. (Georgetown)

ePrivacyVo UND DIE
MÖGLICHEN AUSWIRKUNGEN AUF
IHRE SAP-SYSTEMLANDSCHAFT –
EIN ZWISCHENSTAND




    Dr. Stefan Peintinger                                          Benjamin Spies
    Associate bei SKW Schwarz.                                     Partner bei Kanzlei SKW Schwarz Rechtsanwälte im Fach-
                                                                   bereich IT & Digital Business am Standort München.




D
         er Artikel ePrivacyVO und die möglichen Auswir-        Funktionen unerlässlich. Die geplante ePrivacyVO wird von
         kungen auf Ihre SAP-Systemlandschaft befasst sich      Unternehmen fordern, den Einsatz von Cookies differenziert
         mit den geplanten hohen Anforderungen, insb. an        zu betrachten. Je nach Verarbeitungszweck könnte dann
den Cookie-Einsatz, durch die ePrivacyVO. Die ePrivacyVO        eine andere Rechtsgrundlage heranzuziehen sein. Mög-
befindet sich zwar noch in der Ausarbeitungsphase, aber         licherweise lassen sich bestimmte Verarbeitungszwecke, wie
bestimmte Trends sind bereits erkennbar.                        z.B. das Nutzer-Tracking und bestimmte Analysemethoden
                                                                künftig nur noch über eine entsprechende ausdrücklich zu
In der SAP-Systemlandschaft werden Cookies (und andere          erklärende Einwilligung rechtfertigen.
sogenannte „personal identifier“) z.B. für Cloud- und Portal-
Lösungen eingesetzt. So sind Cookies bspw. für Login-




                                                                                                                      | 19
SKW
                                                                                                                Schwarz
                                                                                                                Rechtsanwälte

ePrivacyVo

ePrivacyVO und die möglichen Auswirkungen auf Ihre SAP-Systemland-
schaft – ein Zwischenstand



N
         ach der Reform ist vor der Reform. Nachdem             Daten zu speichern bzw. auszulesen. Ein Beispiel für eine
         seit dem 25. Mai 2018 die Datenschutz-Grund-           solche Technik, die keine Cookies verwendet, ist das sog.
         verordnung (DSGVO) geltendes Recht ist, wird           Device Fingerprinting. Dabei werden bestimmte Einstel-
intensiv um ergänzende Regelungen für den Onlinebereich         lungen und Eigenschaften eines Endgerätes ausgelesen, um
gerungen: Die Verordnung des Europäischen Parlaments            dieses eindeutig zu identifizieren. Je mehr Einstellungen und
und des Rates über die Achtung des Privatlebens und             Eigenschaften zusammengenommen werden, umso eher ist
den Schutz personenbezogener Daten in der elektroni-            ein einzelnes Endgerät wiedererkennbar.
schen Kommunikation und zur Aufhebung der Richtlinie
2002/58/EG (Verordnung über Privatsphäre und elektro-           Solche Verarbeitungen sind u.a. relevant, um das Nutzerver-
nische Kommunikation; „ePrivacyVO“) steht vor der Tür.          halten zu tracken und um bestimmte Funktionalitäten zu er-
                                                                möglichen (z.B. den Login auf einer Webseite). Aktuell wird
Der vorliegende Beitrag gibt zunächst einen aktuellen           hierzu diskutiert, in welchen Fällen eine solche Verarbeitung
Zwischenstand zur ePrivacyVO. Anschließend folgt ein            zulässig sein kann, z.B. aus Sicherheitsgründen oder zur
Ausblick auf das mögliche Verhältnis der ePrivacyVO zur         Vertragserfüllung, bzw. in welchen Fällen eine Einwilligung
SAP-Systemlandschaft anhand der Beispiele Ariba, Concur         des Nutzers erforderlich sein soll. Wenn Art. 8 ePrivacyVO-
und SuccessFactors HCM Suite. Nachdem im Rahmen der             Entwurf streng formuliert wird, wird es voraussichtlich
Diskussionen zur ePrivacyVO nach wie vor sehr vieles unge-      zahlreiche Fälle geben, die sich nur über eine (ausdrückliche)
klärt ist, kann dieser Ausblick nur in groben Zügen erfolgen.   Einwilligung des Nutzers lösen lassen. So könnte für das
                                                                personenbezogene Nutzer-Tracking bspw. eine Einwilligung
                                                                erforderlich sein. In Anlehnung an die DSGVO sind hohe
A. Aktueller Zwischenstand zur                                  Anforderungen an eine solche Einwilligung zu stellen (vgl.
ePrivacyVO                                                      Art. 9 ePrivacyVO-Entwurf) und die Datenschutzhinweise
                                                                sind entsprechend auszugestalten (vgl. Art. 8 Abs. 2a ePri-
Ursprünglich war geplant, dass ab dem 25. Mai 2018 das          vacyVO-Entwurf).
Datenschutzrecht neben der DSGVO auch durch die
ePrivacyVO1 reformiert wird. Die ePrivacyVO liegt jedoch        Es ist aktuell nicht absehbar, wie diese Diskussion (als eine
bis heute nur als Entwurf vor, zuletzt in der Fassung vom       von vielen) ausgehen wird. Bis zum 31. Dezember 2018
10. Juli 20182. Neben (zahlreichen) juristischen Detailfragen   hat Österreich den Vorsitz im Rat der Europäischen Union
ist noch der Umfang der ePrivacyVO und das Verhältnis zur       inne. Soweit ersichtlich plant Österreich nicht, dass bis zum
DSGVO offen.                                                    Abschluss des eigenen Ratsvorsitzes ein finaler Text der
                                                                ePrivacyVO veröffentlicht wird. Dazu sind noch zu viele
Eine wichtige Detailfrage mit hoher praktischer Relevanz ist    Fragen offen. Sehr wahrscheinlich wird Österreich lediglich
die Frage, inwieweit ein Verantwortlicher für eine Daten-       einen weiteren Fortschrittsbericht publizieren.
verarbeitung auf das Endgerät eines Nutzers zugreifen darf,
um dort Daten zu speichern bzw. auszulesen (vgl. Art. 8         Daher ist, soweit ersichtlich, mit einem finalen Text nicht vor
ePrivacyVO-Entwurf). Diese Thematik wird häufig auf den         2019 zu rechnen. Im Gegensatz zur zweijährigen Über-
Einsatz von Cookies verkürzt. Cookies, also Textdateien, die    gangsfrist der DSGVO wird die ePrivacyVO voraussichtlich
auf dem Endgerät eines Nutzers abgelegt werden, sind aber       nur eine kurze Übergangsfrist von ca. 6 oder 12 Monaten
nur eine Möglichkeit, Daten auf einem solchen Endgerät zu       vorsehen. Dies bedeutet, dass Unternehmen ihre Daten-
speichern bzw. auszulesen. Die ePrivacyVO wird voraus-          schutzhinweise und die technischen Funktionalitäten, insb.
sichtlich technologieneutral formuliert (wie die DSGVO).        zu Cookies, zeitnah anpassen sollten, wenn die ePrivacyVO
Daher werden wahrscheinlich alle Techniken erfasst, die         beschlossen ist.
auf das Endgerät eines Nutzers zugreifen können, um dort




20 |                                                                        Das Kundenmagazin der Natuvion GmbH, Walldorf
SKW
                                                                                                                            Schwarz
                                                                                                                            Rechtsanwälte




B. Ausblick auf mögliche Implika-                                           III. SuccessFactors HCM Suite
                                                                            SuccessFactors HCM Suite verwendet insb. Session Cookies.
tionen der ePrivacyVO auf die                                               Diese sind erforderlich, um den jeweiligen LogIn und die
SAP-Systemlandschaft                                                        weitere Authentifizierung zu ermöglichen. Je nachdem,
                                                                            welches Modul der SuccessFactors HCM Suite zusätzlich
Unabhängig von den bestehenden, weitreichenden Unsi-                        eingesetzt wird, können weitere Cookies zu verschiedenen
cherheiten lässt sich aus der aktuellen Diskussion bereits                  Verarbeitungszwecken eingesetzt werden.
festhalten: In der SAP-Systemlandschaft gibt es zahlreiche
Anwendungen, die Cloud-basiert funktionieren, z.B. Ariba,                   IV. Ausblick
Concur und SuccessFactors HCM Suite. Es ergeben sich                        Aller Voraussicht nach können Cookies auch unter der ePri-
mannigfaltige mögliche Implikationen.                                       vacyVO eingesetzt werden – jedenfalls dann, wenn sie zur
                                                                            Bereitstellung eines vom Endnutzer gewünschten Dienstes
I. Ariba                                                                    der Informationsgesellschaft, also zur Vertragserfüllung,
Ariba verwendet u.a. Tracking-Technologien, die auf Cookies                 erforderlich sind, z.B. für die o.g. LogIn-Funktionen und für
zugreifen. Des Weiteren können im Rahmen von Ariba                          die Bereitstellung bestimmter Funktionen. Hierfür wird wahr-
personenbezogene Daten aus Sicherheitsgründen und zur                       scheinlich keine Einwilligung erforderlich sein. Ebenso wird
Nutzung von Ariba in Cookies gespeichert bzw. ausgelesen                    der Einsatz von Cookies aus Sicherheitsgründen wohl zulässig
werden. In allen drei Fällen (Nutzer-Tracking, Gewährleis-                  sein, z.B. um eine IP-Adresse zu protokollieren, die möglicher-
tung der Sicherheit und Nutzung von Ariba) können u.a. die                  weise für einen Missbrauchsversuch verwendet wurde.
IP Adresse, der Zugriffszeitpunkt und der sog. Click Path
(über welchen Weg kam der Nutzer auf eine bestimmte                         Demgegenüber wird der Einsatz von Cookies zu Marketing-
Seite) gespeichert und ausgewertet werden. Nach SAP-                        Zwecken oder zum Nutzer-Tracking nach derzeitigem Stand
Angaben wird im Rahmen von Ariba nicht zwischen Cookies                     nur über eine Einwilligung des jeweiligen Nutzers abzubilden
für verschiedene Verarbeitungszwecke unterschieden.                         sein.

II. Concur                                                                  Dies bedeutet, dass ein Verantwortlicher, der eine SAP-Lö-
Concur verwendet ebenfalls Cookies, u.a. um Anmeldeda-                      sung einsetzt, künftig innerhalb seiner Datenschutzhinweise
ten zu speichern, um bestimmte Funktionen zur Verfügung                     klar differenzieren sollte, welche Cookies (oder andere per-
zustellen und um Inhalte besser auf einen Nutzer zuzu-                      sonal identifier) im Einsatz sind und welche Rechtsgrund-
schneiden. Nach SAP-Angaben unterscheidet Concur dabei                      lage hierfür jeweils einschlägig ist. Wenn die Verarbeitung
zwischen:                                                                   eine Einwilligung voraussetzt, dann ist (technisch) sicher-
n    Erforderlichen Cookies                                                 zustellen, dass diese Verarbeitung erst beginnt, wenn die
     Diese Cookies sind für die grundlegenden Funktionen                    Einwilligung tatsächlich dokumentierbar eingeholt wurde.
     der Webseite erforderlich.                                             Insoweit sind zahlreiche heutige Cookie-Banner unzurei-
                                                                            chend, denn diese sind so formuliert, dass ein Nutzer dem
n     Funktionellen Cookies                                                 Cookie-Einsatz beim weiteren Besuch der jeweiligen Websei-
      Diese Cookies ermöglichen die Analyse der Webseiten-                  te zustimmt (sog. Soft-Opt-In). Allerdings sind zu diesem
      Nutzung, damit deren Leistung gemessen und verbes-                    Zeitpunkt Tracking-Cookies bereits gesetzt und Tracking-
      sert werden kann.                                                     Tools laufen längst. Das Einwilligungsmanagement sollte
                                                                            demnach angepasst werden und (online) Einwilligungen
n     Marketing-Cookies                                                     ausreichend dokumentiert werden (vgl. zur Rechenschafts-
      Diese Cookies werden von Werbeagenturen verwendet,                    pflicht: Art. 5 Abs. 2 DSGVO).
      um einem Nutzer Werbung zu unterbreiten, die für ihn
      relevant ist.

1
  Ausgangsversion abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=
CELEX:52017PC0010&from=DE
2
    https://www.parlament.gv.at/PAKT/EU/XXVI/EU/03/00/EU_30006/imfname_10827644.pdf




                                                                                                                                            | 21
Update DSGVO

                 UNTERSTÜTZUNG BEI
               DER DSGVO-KONFORMEN
             PERSONALVERWALTUNG DURCH
           DAS HCM-TEAM VON NATUVION
D
         Die Anforderungen an ein angemessenes Schutzniveau hinsichtlich des Umgangs mit personenbezogenen Daten
         sind mit Inkrafttreten der DSGVO deutlich gestiegen. Doch obwohl die gesetzlichen Grundlagen für die Verarbei-
         tung für alle Unternehmen gleich sind, gibt es bei der Umsetzung der Vorgaben erhebliche Unterschiede. Dies ist
insbesondere in der Personalverwaltung mit SAP Human Capital Management (HCM) zu beobachten, also dort, wo beson-
dere Arbeitsvertragsgestaltungen oder auch Eigenheiten einer Branche einen immensen Einfluss haben. Die Abhängigkeiten
sind komplex, und gleichzeitig sind die Risiken bei Verstößen gegen datenschutzrechtliche Bestimmungen heute deutlich
größer als noch vor dem 25. Mai 2018.


Der HCM-Fachbereich der Natuvion
Das achtköpfige HCM-Expertenteam der Natuvion, unter der Leitung von Patrick Hilgers, unterstützt Unternehmen bei den
zahlreichen Herausforderungen und Aufgaben. Insbesondere im Bereich Data Security & Data Privacy können Kunden von
dem zielgerichteten Portfolio profitieren, welches auf der langjährigen Erfahrung der HCM-Experten basiert.


Patrick Hilgers, der leitende Experte des HCM-Teams von
Natuvion, verfügt über ein beeindruckendes Fachwissen
auf dem Gebiet SAP HCM. Seit vielen Jahren unterstützt er
Unternehmen kompetent und zuverlässig im Bereich Daten-
                                                                                              Patrick Hilgers
                                                                                              Principal Consultant
schutz in SAP HCM und hilft ihnen dabei, die umfangreichen,
komplexen Anforderungen der EU-DSGVO umzusetzen. Unter                                        Natuvion GmbH
                                                                                              Altrottstr. 31
anderem verantwortete er die datenschutzkonforme Einfüh-
                                                                                              69190 Walldorf
rung von SAP HCM im Geschäftsbereich des Bundesfinanz-
                                                                                              Fon: +49 6227 73-1400
ministeriums und war anschließend dort in leitender Position
                                                                                              patrick.hilgers@natuvion.com
für den Betrieb des SAP HCM-Systems tätig.



Das Portfolio
Das Leistungsangebot des HCM-Fachbereichs ist aufge-            Systemtransformationen und Migrationen bietet das HCM-
teilt in sieben Angebotsfelder und deckt alle wesentlichen      Team auch eine profunde Datenschutzberatung, Compli-
Aspekte ab, die für eine DSGVO-konforme Umsetzung               ance-Audits sowie kompetente fachliche, technische und
relevant sind (vgl. Abbildung). Patrick Hilgers und sein Team   Berechtigungsberatungsleistungen an. Der Bereich HCM-Re-
unterstützen Unternehmen bei Sperr- und Löschvorgängen          porting mit KPI Analytics und Datenvisualisierungen rundet
mittels SAP ILM (siehe auch Abschnitt „Das Löschen“), bei       das Portfolio der Natuvion in diesem Fachgebiet ab.
der Bereitstellung und Generierung von Testdaten sowie          Da die Erstellung und Umsetzung von Löschkonzepten in
unter dem Schlagwort „Anonymisierung“ bei der DSGVO-            SAP HCM derzeit eines der größten Handlungsfelder dar-
konformen Entpersonalisierung von Daten. Neben Daten-/          stellt, wird hierauf detaillierter im Folgenden eingegangen.


22 |                                                                       Das Kundenmagazin der Natuvion GmbH, Walldorf
Unsere Kunden
                                                                                            Wacker · Deka Bank · Lidl · KSB · Tchibo
                                                                                            EDAG · Stadtwerke Bielefeld · SD Worx

Das Löschen
                                                                 dieser Stelle stehen die individuellen Prozesse des Kunden-
Obwohl das HCM-Team bereits auf zahlreiche erfolgreiche          unternehmens ebenso im Mittelpunkt der Betrachtung wie
Projekte zurückblicken kann, ist jedes neue Löschkonzept         die personenbezogenen Daten selbst. Ziel ist auch hier die
gleichzeitig ein weiterer wichtiger und willkommener Erfah-      datenschutzkonforme Umsetzung, ohne dabei funktionieren-
rungswert. Denn kein Löschkonzept ist wie das andere – es        de Prozesse einzuschränken. Denn das Vorgehen, das für Un-
muss zum Unternehmen passen. Der Erstellung eines Lösch-         ternehmen A funktioniert, könnte bei Unternehmen B einen
konzepts geht bei Natuvion grundsätzlich ein gemeinsamer         geschäftsentscheidenden Prozess zum Erliegen bringen.
Workshop mit dem Kunden voraus. In diesem Workshop
stehen vor allem die Kundenprozesse im Mittelpunkt. Von
diesen Prozessen ausgehend, wird der Lebenszyklus der Daten
                                                                 Rollen und Berechtigungen
analysiert. Auch Schnittstellen und Meldeverfahren müssen        Rollen und Berechtigungen sind neben einem rechtskonfor-
in die Betrachtung mit einbezogen werden. Bei der Bereini-       men Lösch- und Sperrkonzept der Dreh- und Angelpunkt bei
gung dieser Daten kann SAP ILM nicht weiterhelfen, dafür         der Umsetzung des Datenschutzes in einem SAP-System.
müssen andere Lösungen eingesetzt werden. Das Ergebnis           Wer darf auf die Dateien im Spool zugreifen? Dürfen Daten
des Kunden-Workshops ist ein Löschkonzept mit vollstän-          aus dem System exportiert werden und wenn ja, wer hat die
diger Fachvorgabe, auf dessen Grundlage die Umsetzung            Berechtigung dazu? Was passiert mit den vielen Excellisten,
erfolgen kann.                                                   die zum Export erzeugt werden? Wie wird sichergestellt, dass
Zur Beurteilung juristisch komplexer Sachverhalte arbeitet die   Berechtigungen wieder entzogen werden, wenn ein Mitar-
Natuvion GmbH seit Langem mit einer der größten deutschen        beiter das Unternehmen verlässt oder den Arbeitsbereich
Kanzleien im Bereich des Datenschutzrechts zusammen.             wechselt?
Auch deren Expertenwissen kann somit den Kunden zur              Bei Natuvion kommt bei diesen Fragen ebenfalls SOPHIA
Verfügung gestellt werden. Ziel ist eine datenschutzkonforme     zum Einsatz: Mithilfe der SOPHIA-Analyse werden alle
Umsetzung der Löschansprüche aus der DSGVO im Kun-               personenbezogenen Daten im SAP-System automatisch und
denunternehmen, ohne dabei funktionierende Prozesse zu           verlässlich gefunden. Durch die Analyse können anschließend
beeinträchtigen.                                                 alle jeweiligen Zugriffsberechtigungen aufgedeckt werden.
                                                                 Zudem unterstützen die Experten bei der Erstellung und
Zusätzlich hat Natuvion mit SOPHIA ein einzigartiges Ana-        Qualitätssicherung des Rollen- und Berechtigungskonzepts,
lyseverfahren entwickelt. Mithilfe dieser Lösung können          insbesondere bei der Erstellung einer „Unverträglichkeitsma-
jegliche personenbezogene Daten im SAP-System aufgespürt         trix“. In Zusammenarbeit mit den Fachabteilungen im Kun-
werden – auch außerhalb des HCM oder bekannter Infotypen.        denunternehmen wird festgelegt, welche Rollenkombination
                                                                 aus Gründen des Datenschutzes oder aufgrund von Compli-
                                                                 ance-Vorgaben vergeben werden dürfen und welche nicht.
Das Sperren
Im Rahmen des Workshops zur Ermittlung der Löschfristen
und der Erstellung eines entsprechenden Löschkonzepts
                                                                 Das integrierte Datenschutzkonzept
kommt auch das Thema Datensperre auf die Agenda. Sperren         Der Kunde setzt eine Vielzahl von Maßnahmen zur Um-
bzw. die sogenannte „Einschränkung der Verarbeitung“ ist         setzung des Datenschutzes im Unternehmen ein. Diese
ebenfalls eine zu erfüllende Anforderung aus der DSGVO. An       Maßnahmen, bspw. das Lösch- und Sperrkonzept oder die
                                                                                                 Regelungen für Rollen und
                                                                                                 Berechtigungen, müssen
                                                                                                 sinnvoll in einem Gesamtkon-
                                                                                                 zept für das entsprechende
                                                                                                 SAP HCM-System zusammen-
                                                                                                 geführt werden. Nur so kann
                                                                                                 ein einheitlich hohes Schutz-
                                                                                                 niveau in der Umsetzung der
                                                                                                 DSGVO erreicht werden.




                                                                                                                          | 23
Sie können auch lesen
Nächster Teil ... Stornieren