Eine der Fragen, die mir oft gestellt wird, ist: „Brauche ich den Data Sync Manager (DSM) von EPI-USE überhaupt noch? Ich schließe einen RISE with SAP-Vertrag ab, und dort sind ‚Datenaktualisierungen‘ bereits enthalten.“ Wenn Sie RISE with SAP nutzen, müssen Sie sicherstellen, dass keine personenbezogenen Daten (PII) in Ihren Nicht-Produktionsumgebungen gespeichert werden. Andernfalls verstoßen Sie sowohl gegen Ihr Data Processing Agreement (DPA) mit SAP als auch gegen Datenschutzvorschriften. In diesem Blog erkläre ich ausführlich, warum Sie DSM dennoch brauchen – und was das für Datenschutz und Compliance bedeutet.
Eine der häufigsten Fragen, die mir derzeit gestellt wird, ist: „Brauche ich den EPI-USE Data Sync Manager (DSM) noch? Ich unterschreibe einen RISE with SAP Vertrag, und dort sind ‚Datenaktualisierungen‘ standardmäßig enthalten.“
In diesem Blog gehe ich näher darauf ein, warum DSM weiterhin erforderlich ist und welche Auswirkungen dies auf den Datenschutz und die allgemeine Compliance hat.
SAPs Data Processing Agreement (DPA): Keine Speicherung personenbezogener Daten in Nicht-Produktionssystemen
Im Jahr 2019 schrieb mein Kollege Paul Hammersley einen Blog über die Änderungen im Data Processing Agreement (DPA) von SAP.
Hier eine kurze Zusammenfassung:
Der Blog behandelt die Änderungen in den Geschäftsbedingungen von SAP, die die Speicherung personenbezogener Daten in Nicht-Produktionsumgebungen untersagen. Dies ist im SAP Cloud Services Data Processing Agreement sowie in ähnlichen Support-Vereinbarungen festgelegt. Traditionell gelangen personenbezogene Daten häufig über Systemkopien oder Datenladeprozesse, wie Snapshots und Datenbankkopien, in Testsysteme – darunter auch sensible Informationen wie Mitarbeiter- und Kundendaten.
Mit neuen Datenschutzgesetzen wie der DSGVO fordert SAP nun klarere Richtlinien, die Unternehmen dazu verpflichten, personenbezogene Daten in Nicht-Produktionsumgebungen zu entfernen oder zu maskieren.
Der Artikel empfiehlt den Einsatz der Data Sync Manager (DSM) Suite von EPI-USE. Deren Komponenten Client Sync, Object Sync und Data Secure ermöglichen schlankere Testumgebungen und sorgen dafür, dass Daten bereits vor dem Verlassen des Produktionssystems maskiert werden. So bleiben Unternehmen konform mit den aktualisierten SAP-Bedingungen. Angesichts der immer komplexeren Datenschutzvorgaben sind solche Lösungen entscheidend, um personenbezogene Daten effektiv zu schützen.
Warum hat SAP diese Änderung eingeführt?
Im ständig wachsenden und komplexen Bereich der globalen Datenschutzgesetze ist eines der wichtigsten Prinzipien, das in allen Bereichen übernommen wird, „informierte und ausdrückliche Zustimmung für den Verwendungszweck der Daten“. Das bedeutet, dass ein Unternehmen eine rechtliche Rechtfertigung nicht nur für die gesammelten Daten, sondern auch für jeden Zweck, für den diese Daten verwendet werden, haben muss.
Beispielsweise haben Sie eine Rechtfertigung für die Speicherung personenbezogener Daten (PII), um Rechnungen, Zahlungen und Gehaltsabrechnungen in Ihrer Produktionsumgebung zu bearbeiten. Aber haben Sie die schriftliche, informierte Zustimmung von jedem Mitarbeiter, Kunden oder Anbieter, ihre PII für Tests zu verwenden? In diesem Zusammenhang verschiebt das DPA-Update von SAP die Haftung im Falle eines Verstoßes oder einer Datenschutzprüfung von sich selbst auf das Unternehmen.
Spulen wir vor ins Jahr 2024: Das DPA ist immer noch in Kraft, aber was hat sich geändert?
Die Anzahl der SAP-Kunden, die mit RISE for SAP in die Cloud wechseln und diese DPAs einhalten, ist gestiegen. Wenn Sie RISE with SAP nutzen, müssen Sie sicherstellen, dass keine PII-Daten in Ihren Nicht-Produktionsumgebungen gespeichert werden, da Sie andernfalls sowohl mit Ihrem DPA mit SAP als auch mit den Datenschutzvorschriften in direkten Konflikt geraten.
Datenaktualisierungen im Rahmen von RISE with SAP
Das führt zum nächsten Punkt. Im Rahmen Ihres RISE-Vertrags führt SAP Datenaktualisierungen in Ihrer Nicht-Produktionsumgebung durch.
Was bedeutet das in der Praxis?
Das bedeutet, dass das SAP-Support-Team vollständige Systemkopien bereitstellt – seien Sie also auf Ausfallzeiten und langwierige Verfahren vorbereitet. Es bedeutet auch, dass, wenn Sie keine Lösung zur Datenmaskierung implementiert haben, echte PII-Daten in Ihrer Nicht-Produktionsumgebung vorhanden sein werden! (Bin ich der Einzige, der das ironisch findet?)
Wie lösen Sie das also?
Eine Lösung wie EPI-USE Data Secure, Teil der DSM Suite, kann Ihnen dabei helfen, sowohl mit Ihrem SAP DPA als auch mit den Datenschutzvorschriften konform zu bleiben, indem sie sensible PII-Daten in Ihrem Nicht-Produktionssystem maskiert.
Sie sollten auch überlegen, ob vollständige Systemkopien der Weg sind, wie Sie Ihre Testdaten verwalten möchten. Mit einer Lösung wie DSM können Sie den Umfang der Daten, die Sie kopieren, reduzieren. Dies könnte auch bedeuten, dass Sie Ihre T-Shirt-Größen in einer Cloud-Umgebung überschaubar halten.
In diesem Video erklärt Paul, wie Sie Ihre Speicher- und Kosten im Blick behalten:
Die Aktualisierungen, die Sie mit Ihrem RISE-Vertrag erhalten, sind vollständige Systemkopien. Sie bieten weder den Vorteil einer Reduzierung Ihres Daten-Footprints noch eine Datenmaskierung.
Darüber hinaus benötigen viele unserer Kunden, die RISE nutzen, weiterhin zusätzliche Basis-Funktionen, um ihre Systeme wie gewohnt zu betreiben. Werfen Sie einen Blick darauf, welche Basis-Services SAP in Ihrem RISE-Vertrag abdeckt und wo mögliche Lücken für Ihr Unternehmen bestehen. Außerdem stellen wir Ihnen unseren ergänzenden Service vor, den wir entwickelt haben, um SAPs RISE Basis-Services zu erweitern.
Einen Kommentar schreiben