Wir bieten Lösungen zur Umsetzung Ihrer Datenschutzanforderungen
Die EU Datenschutz-Grundverordnung (DSGVO) (Engl: EU General Data Protection Regulation (GDPR)) ist eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen EU-weit vereinheitlicht werden. Ein Hauptziel der Verordnung ist es, den Bürgerinnen und Bürgern der EU die Kontrolle über ihre personenbezogenen Daten zurückzugeben. Zusätzlich soll die Menge an gespeicherten sensiblen Personendaten stark reduziert werden, indem nur die Daten gespeichert werden, deren Zweck erforderlich und verhältnismäßig ist.
Seit dem 25. Mai 2018 gilt nun diese Verordnung mit weitreichenden Auswirkungen auf Unternehmen, die Daten verarbeiten. GDPR Compliance ist nicht verhandelbar und bei Nichtbefolgung können Aufsichtsbehörden gegen Unternehmen Maßnahmen ergreifen und diese sanktionieren. Dabei können Bußgelder von bis zu 20 Millionen Euro oder – sofern höher – vier Prozent des weltweiten Jahresumsatzes anfallen.
Kontaktieren Sie uns für eine Systemanalyse Fachartikel: Versäumnisse können teuer werden
EPI-USE bietet Ihnen die folgenden Lösungen und Services zur Umsetzung der Datenschutzanforderungen:
Die vielen verschiedenen IT-Systeme machen es unmöglich, einen einheitlichen Ansatz zu verfolgen. EPI-USE hat über 30 Jahre Expertise und Erfahrung in der Entwicklung von Softwarelösungen im Bereich SAP Datenmaskierung und SAP Testdaten und unterstützt Sie bei der Umsetzung Ihrer Compliance-Anforderungen.
Die meisten Organisationen sehen eine Richtlinie zur Datenspeicherung als einen Zeitraum, wie lange Daten von den technischen Teams mindestens behalten werden, und nicht als den Zeitpunkt, an dem Daten proaktiv gelöscht werden müssen. Mit der neuen EU-Datenschutzgrundverordnung hat sich dies geändert, und alle Organisationen haben historische Daten in Ihren SAP Systemen, für deren Speicherung sie keine rechtliche Grundlage mehr haben. Dies können Daten von Familienangehörigen ehemaliger Arbeitnehmer, die Bankkontonummern früherer Kunden oder andere personenbezogene Daten sein.
EPI-USE bietet einen einfachen Clean-Up Service zum Verfremden dieser alten Daten, ohne dass komplexe Archivierungsprojekte erforderlich sind. Die Technologie zur Unterstützung von Data Redact – einem Tool zur Verfremdung von personenbezogenen Daten - wird mit einer speziellen Lizenz für die Auswahl von Massendaten und paralleler Verarbeitung eingesetzt. Unsere Experten unterstützen Sie auch bei der exakten Festlegung der Daten, die beim initialen Massendaten Clean-Up bereinigt werden sollen und wie diese Datensätze ausgewählt werden.
On-Demand Webinar Massendaten Verfremden mit dem Initial Clean-up Service
Historische Daten von Mitarbeitern werden in den meisten Fällen benötigt, aber was passiert, wenn dieser Teil des Unternehmens veräußert wurde? Dürfen diese Mitarbeiterdaten zehn Jahre später überhaupt noch im System gespeichert werden? Auch wenn nur die wirklich notwendigen Daten des Mitarbeiters beibehalten werden sollen, was passiert mit den persönlichen Daten? Mit dem Clean-Up Service für Massendaten können im ersten Schritt eine kleine Menge hochsensibler Daten, wie Familieninformationen oder Bankkontonummern, für alle Personen, die das Unternehmen vor mehr als einem Jahr verlassen haben, verfremdet werden.
Im zweiten Schritt können die Daten von Mitarbeitern, die beispielsweise seit sieben Jahren und mehr nicht mehr im Unternehmen beschäftigt sind, verfremdet werden. Daten, wie etwa Informationen über Krankheitstage, Leistungsbeurteilungen und Gehaltsangaben verringern die Datenmenge immens.
In diesem Bereich ist es viel schwieriger, rechtliche Gründe für die Aufbewahrung der Daten zu definieren. Es kann Tausende von Kunden, Geschäftspartnern und Adressen geben, die seit über fünf Jahren nicht mit dem Unternehmen in Kontakt standen. Anstatt alle diese Stamm- und Bewegungsdaten zu archivieren, können wir einen Clean-Up Service zur Verfremdung von Massendaten bereitstellen, um Identifikatoren aus den Stammdaten, sowie jegliche Referenzen zu den Bewegungsdaten zu entfernen. Dies bedeutet, dass diese Person nicht mehr im System erkennbar ist. Alternativ empfiehlt es sich, Kreditkarteninformationen und Sicherheitsfragen sowie Antworten, viel früher aus ehemaligen Kundendatensätzen zu entfernen.
Kontaktieren Sie uns für ein erstes Gespräch und erfahren Sie, wie Ihnen unser Clean-Up Service zur Verfremdung von Massendaten bei der Einhaltung der DSGVO helfen kann.
Kontaktieren Sie uns zum Initial Clean-Up ServiceThe main emphasis of GDPR is on Personal Information. GDPR aims to protect personal data rights such as the right to be informed, the right of access, the right of rectification, the right to erasure (aka the right to be forgotten), the right to strict processing, the right to data portability, the right to object and rights to automated decision-making and profiling.
Organisations wishing to store data must have explicit consent from the subject of the data. The reason for storing it must be transparent, and the data subject has the authority to block processing while concerns are dealt with, as well as to request the removal of the information from the system. There is nothing to say that data must be anonymised – the law is not that prescriptive. However, the law does say that there must be documentation showing that data protection is by design, and that processes comply with the rights of the data subject.
The difficulties will start when someone requests the details of where their personal data is being kept in an IT system. Let’s complicate that: let’s say your organisation receives ten requests – or even one hundred – to locate sensitive, personal data. Imagine having to log into a number of SAP systems to download table entries, or take screenshots to show the data subject’s footprint. How many password resets will be required? Do you know all the places to look? And how long will this take?
It’s not easy for SAP systems to comply with the demands of GDPR because of its architecture. SAP stores information in an intricate and tangled way. Data is stored and replicated across the system in many places, such as customer master, business partner, change document tables, and so on. SAP is also highly configurable, so when it is implemented, the way in which this happens dictates which tables and fields the data will be stored in. An additional complication is that there are often multiple copies of systems. The data might be in Z-tables, and the only way this can be verified is to get into that system.
The requirements of GDPR go to the very core of your IT systems, because they need to be built into the design; a project like this can affect your CRM systems, your ERP systems and customer first line support. Entire new business processes have to be put into place. You will also need an auditor to scrutinise your security arrangements. Every organisation should have a plan to meet the requirements, and assign key roles and responsibilities to that plan.
EPI-USE Labs will help you deal with GDPR. Our knowledge, experience, expertise and products will help you sleep peacefully at night in the knowledge that everything is under control.
The main emphasis of GDPR is on Personal Information. GDPR aims to protect personal data rights such as the right to be informed, the right of access, the right of rectification, the right to erasure (aka the right to be forgotten), the right to strict processing, the right to data portability, the right to object and rights to automated decision-making and profiling.
It’s not easy for SAP systems to comply with the demands of GDPR because of its architecture. SAP stores information in an intricate and tangled way. Data is stored and replicated across the system in many places, such as customer master, business partner, change document tables, and so on. SAP is also highly configurable, so when it is implemented, the way in which this happens dictates which tables and fields the data will be stored in. An additional complication is that there are often multiple copies of systems. The data might be in Z-tables, and the only way this can be verified is to get into that system.
Organisations wishing to store data must have explicit consent from the subject of the data. The reason for storing it must be transparent, and the data subject has the authority to block processing while concerns are dealt with, as well as to request the removal of the information from the system. There is nothing to say that data must be anonymised – the law is not that prescriptive. However, the law does say that there must be documentation showing that data protection is by design, and that processes comply with the rights of the data subject.
The requirements of GDPR go to the very core of your IT systems, because they need to be built into the design; a project like this can affect your CRM systems, your ERP systems and customer first line support. Entire new business processes have to be put into place. You will also need an auditor to scrutinise your security arrangements. Every organisation should have a plan to meet the requirements, and assign key roles and responsibilities to that plan.
EPI-USE Labs will help you deal with GDPR. Our knowledge, experience, expertise and products will help you sleep peacefully at night in the knowledge that everything is under control.
The difficulties will start when someone requests the details of where their personal data is being kept in an IT system. Let’s complicate that: let’s say your organisation receives ten requests – or even one hundred – to locate sensitive, personal data. Imagine having to log into a number of SAP systems to download table entries, or take screenshots to show the data subject’s footprint. How many password resets will be required? Do you know all the places to look? And how long will this take?
Malte Podszus, Consultant FI/CO/HR | MAPA GmbH
© 2021 EPI-USE Labs GmbH, Altrottstraße 31, 69190 Walldorf
© 2021 EPI-USE GmbH, Sophie-Scholl-Platz 8, 63452 Hanau
© 2021 EPI-USE Berlin GmbH, Friedrichstraße 95, 10117 Berlin