Let's Talk Data Security

Interview: MAPA setzt die Anforderungen der DSGVO im SAP System um

Geschrieben von EPI-USE Labs GmbH | May 9, 2019 8:36:54 AM

Laut der EU-Datenschutz Grundverordnung müssen Unternehmen weltweit, die personenbezogene Daten von EU-Bürgern erheben, speichern und verarbeiten, in der Lage sein, die Daten zu einer Person offenzulegen. Außerdem müssen Sie angeben können, zu welchem Zweck die Daten gespeichert und verwendet werden. Viele SAP Kunden können diese Anforderungen noch nicht vollständig in Ihren Systemen umsetzen. Unser Kunde MAPA zeigt wie´s geht: Im Interview berichtet MAPA über die Herausforderungen und die Umsetzung des Projektes.

Über MAPA (u.a. BILLY BOY, NUK, Spontex):

Ob es um Familienplanung, Babys oder die tägliche Arbeit im Haushaltgeht - wir liefern Produkte, auf die sich Familienrund um den Globus verlassen können. Unsere Spontex Haushalts-artikel und unsere Kondome nehmen eine Spitzenposition im nationalen Markt ein. Mit unserer Babycare-Marke NUK sind wir in Deutschland unangefochtener Marktführer ein Ziel, das wir auch international verfolgen. Unsere langjährige Erfahrung, die konsequente Investition in die Entwicklung und Fertigung von Qualitäts-Produkten, der schonende Umgang mit den natürlichen Ressourcen, strenge Sicherheitsnormen und die Nähe zu den Bedürfnissen der Verbraucher bilden die Basis unseres Erfolges. Weitere Informationen unter: www.mapa.de

 Interview als PDF herunterladen

 Frage 1:
Unternehmen weltweit müssen in der Lage sein, die Anforderungen der EU-Datenschutzgrundverordnung zu erfüllen. Vor welchen technischen und konzeptionellen Herausforderungen standen Sie im Rahmen der Umsetzung der DSGVO-Anforderungen?

MAPA:
Aus technischer Sicht lag die größte Sorge in SAP als unser führendes ERP-System. Um die Datenkonsistenz zu gewährleisten, wird das Löschen von Daten grundsätzlich vermieden. Mit SAP Standardfunktionen lassen sich sensible Datensätze nicht ohne weiteres löschen – diese werden mittels Archivierung lediglich an einen anderen Speicherort abgelegt, sind dort aber wiederherstellbar. Eine Verfremdung einzelner Felder innerhalb der Datensätze steht ebenfalls nicht zur Verfügung. Ein Termin mit der DSAG, bei dem die SAP-Lösung zur Behebung des Problems vorgestellt wurde, verdeutlichte uns die Problematik, schien aber als Lösung nicht zuletzt aufgrund der Kosten und des Implementierungsaufwandes ungeeignet. Letztendlich kamen wir zu der Einsicht, dass es mit vorhandenen Standardwerkzeugen nicht möglich sein würde, Daten gemäß den Anforderungen der DGSVO aus dem SAP System zu löschen. Im Detail galt es weiterhin herauszufinden welche personenbezogenen Daten wo im SAP System abliegen. Im Rahmen der Prozessdokumentation konnten wir zunächst nur aufzeigen, welche Datensätze potentiell verfremdet werden müssen: diese Dokumentation muss für die technische Umsetzung bis auf die Detailebene einzelner Felder erweitert werden.

 

 

Malte Podszus, Consultant FI/CO/HR bei der MAPA GmbH, spricht über den Einsatz  und die Vorteile der GDPR Compliance Suite

 

Frage 2:
Welche Kriterien sprachen für den Erwerb der DSGVO/GDPR Compliance Suite von EPI-USE Labs?

MAPA:
Wir anonymisieren bereits seit Jahren SAP Testdaten einfach und schnell mit der EPI-USE Labs Lösung Data Secure auf Test-und Trainingssystemen. Daher hatten wir Vertrauen in die technische Genauigkeit der Anonymisierung auch bei kritischen und komplexen Datenstrukturen, wie im HR Modul. Zur Umsetzung der neuen EU-Datenschutzgrundverord-nung müssen jedoch einzelne Datensätze in Produktivsystemen verfremdet werden. Der Ansatz den EPI-USE Labs mit der DSGVO/GDPR Compliance Suite verfolgt, passt dabei zu unserer Vorgehensweise: Mit Data Disclose werden die kritischen SAP Systeme durchsucht und lokalisiert, wo sensible Daten gespeichert sind. Mit dieser Lösung wird der Daten-Footprint einer Person in den SAP Systemen gefunden, abgerufen und zur Verfügung gestellt – im Sinne weiterer Automatisierung zukünftig auch in Nicht-SAP Systemen, sobald diese durch API’s integriert sind.

 

Frage 3:
Was waren die Meilensteine zur Umsetzung der Datenschutzgrundverordnung – insbesondere Artikel 15 DSGVO (Auskunftsrecht) und Artikel 17 DSGVO (Recht auf Löschung)?

MAPA:
Ein erster Meilenstein war die generelle Vorbereitung des SAP Systems. Vor der Installation der zur Verfügung gestellten Transporte, mussten technische Mindestanforderungen erfüllt werden. Unser System war zunächst nicht vollständig für den Einsatz der DSGVO/GDPR Compliance Suite gerüstet. Da EPI-USE Labs auf die moderne Oberflächentechnologie FIORI setzt, nahmen wir dies zum Anlass unsere Basis für die Zukunft zu rüsten und die notwendigen Support Packages einzuspielen. Die generellen technischen Anforderungen an die DSGVO/GDPR Compliance Suite sind: NetWeaver 7.0 und Fiori Gateway. Danach konnte unmittelbar Data Disclose aktiviert werden. Auf Basis des ausgelieferten Templates wurden die relevanten personenbezogenen Daten verfeinert und somit die Basis gelegt, um die Anforderungen des Artikels 15 DSGVO (Auskunftsrecht) für das SAP System zu erfüllen. In der nächsten Projektphase wird das Recht auf Löschung nach Artikel 17 DSGVO umgesetzt. EPI-USE Labs bietet auch hier die passende Lösung mit Data Redact. Als Teil der DSGVO/GDPR Compliance Suite für SAP kann Data Redact schnell und lückenlos sensible oder personenbezogene Daten verfremden, ohne ganze Datensätze zu löschen. Damit lassen sich die Daten nicht länger auf eine bestimmte Person beziehen, aber Reports können wie gewohnt erstellt werden, ohne die referentielle Integrität der Daten zu beeinträchtigen. Vor der Einführung von Data Redact mussten wir definieren, welche Felder im Spannungsfeld zwischen Aufbewahrungsrichtlinien und Datensparsamkeit anonymisiert werden sollen. Dabei mussten auch kundeneigene Erweiterungen der Datenstrukturen berücksichtigt werden. Der Aufwand über das Template hinaus hängt im Allgemeinen davon ab, wie nah die systemeigene Datenstruktur am Standard der SAP gehalten ist.

 

Frage 4:
Welche Vorteile ergeben sich für Sie durch die DSGVO/GDPR Compliance Suite zum Auffinden und Verfremden von SAP-Daten nach Artikel 17 DSGVO (Recht auf Löschung)?

MAPA:
Der größte Vorteil besteht darin, dass die Datenintegrität weiter gewährleistet ist. So sind zum Beispiel Kundenaufträge weiterhin auffindbar, da nur die sensiblen Kundendaten anonymisiert werden. Alle Aufträge und verkauften Artikel sind weiterhin einsehbar, einzig die Zuordnung zum Kunden ist nicht mehr möglich. Dadurch bleiben alle Testsysteme voll funktionsfähig und Testaufträge sind weiterhin bearbeitbar. Sofern ganze Datenbereiche archiviert werden müssten, wäre die Datenintegrität nicht mehr gegeben.

 

Frage 5:
Gibt es eine Zukunftsstrategie zur erweiterten Umsetzung der EU-Datenschutzgrundverordnung nach Artikel 5 DSGVO (Verhältnismäßigkeit von Datenbeständen)?

MAPA:
Die verhältnismäßige Verarbeitung personenbezogener Daten nach Artikel 5 DSGVO bildet einen weiteren zentralen Bestandteil zur Erfüllung der Datenschutzrichtlinie. Schon im Rahmen der Einführung von Data Secure wurde diskutiert, die EPI-USE Labs Lösung Client Sync zur selektiven Kopie von SAP-Daten einzusetzen. Hier wird ein Zeitschnitt des Produktivsystems auf Test- und Trainingssysteme kopiert, um Testdaten zu erstellen. Diese selektive Mandantenkopie ersetzt die Systemkopie und unterstützt bei der Erfüllung des Artikel 5 DSGVO. Wir gehen außerdem davon aus, dass sich die Gesetzgebung in der Zukunft verschärfen wird. Wir planen künftig den Einsatz der DSGVO/GDPR Compliance Suite in allen Bereichen des Unternehmens. Die Nutzung der Suite soll keine zentrale Aufgabe der IT bleiben, sondern dezentral jeder Abteilung die Möglichkeit geben, die richtigen Daten aufzuspüren und zu anonymisieren.