Anzeige

Interview: Wie SAP sich auf die EU-DSGVO vorbereitet

Die EU Datenschutzgrundverordnung (EU-DSGVO) erhöht die Anforderungen an Datenschutz und Datensicherheit bei der Verarbeitung personenbezogener Daten. Ferner müssen Nachweise und Rechenschaftspflichten eingehalten werden.

Wir fragten Michael Wiedemann, Vice President Data Protection Operations und stellvertretender Datenschutzbeauftragter bei SAP SE, wie der Softwarehersteller das Thema bewertet, wie die neuen Anforderungen umgesetzt werden und wo besondere Herausforderungen liegen.

 

Warum ist die EU-DSGVO für SAP bedeutend?

Michael WiedemannMichael Wiedemann: Die EU Datenschutzgrundverordnung ist eine umfassende Regelung mit 99 Artikeln und 173 Erwägungsgründen, welche gleichermaßen zu beachten sind. Deren Umsetzung erfordert eine entsprechend lange Vorbereitungszeit. Bei Nichteinhaltung der Vorgaben drohen weitreichende Konsequenzen, insbesondere im Hinblick auf die drastisch erhöhten Bußgelder.

Auch seitens unserer Kunden nehmen wir schon seit einiger Zeit eine erhöhte Sensibilisierung wahr. Die Kunden erwarten von SAP nicht nur uneingeschränkte Einhaltung der Vorschriften, sondern erhoffen sich auch von uns Hinweise und Anregungen für ihre eigenen Datenschutzprojekte.

Sie sehen also, das Thema hat für uns hohe Relevanz.

 

Wie geht SAP ein derartiges Mammutprojekt an?

Die Neuregelungen betreffen alle Bereiche des Unternehmens, daher ist eine konzertierte Aktion durch das zentrale Datenschutzteam notwendig. Wir haben die Themen strukturiert, in Subprojekte aufgeteilt, binden die Business Units frühzeitig ein und verfolgen eine detaillierte Projektplanung mit Meilenstein-Reporting. Da SAP auch in der Vergangenheit stets um ein hohes Datenschutzniveau bemüht war, konzentrieren wir uns auf die Frage nach dem Delta, also dem Unterschied zu den bisherigen Vorschriften.

Gemeinsam mit den einzelnen Business Bereichen erstellen wir detaillierte Gap-Analysen. Diese Analysen bilden die Grundlage für tiefgehende Diskussionen mit den weltweit agierenden Units und resultieren in umfassenden Implementierungsplänen.

 

Wo sehen Sie die größten Herausforderungen?

Unternehmen müssen künftig stärker als bisher nachweisen, dass sie die geltenden Regeln einhalten. Dies erfordert eine sorgfältige Dokumentation der Datenschutzaktivitäten im Unternehmen.

Dokumentationswürdige Aktivitäten sind beispielsweise die Erfassung und Bewertung aller Unternehmensprozesse und Datenströme, Nachweise über regelmäßige Maßnahmen zur Datenschutzsensibilisierung und ebenso auch die Planung und Durchführung von Kontrollen. Gerade dem Punkt Kontrollen wird heute schon in den meisten Unternehmen viel zu wenig Bedeutung beigemessen.

 

Können Sie uns ein paar Beispiele zur DSGVO Implementierung bei SAP geben?

Unser Datenschutzmanagementsystem ist das organisatorische Rückgrat der Datenschutzrichtlinien der SAP. Durch regelmäßige Risikobewertungen und intensive Datenschutzaudits erhalten wir wertvolle Rückmeldungen über den jeweiligen Datenschutzstandard. Durch neutrale Zertifizierungsstellen lassen wir uns darüber hinaus regelmäßig überprüfen und zertifizieren.

Ein weiterer wichtiger Baustein ist die datenschutzrechtliche Lieferantenkontrolle und -bewertung. Prozesse, in denen personenbezogene Daten von mehreren Beteiligten verarbeitet werden, können wir dadurch durchgängig bewerten, eine Grundvoraussetzung für unsere Forderung auch über unser Unternehmen hinaus ein vergleichbares Datenschutzniveau zu erzielen. Auch hier greifen die Kontrollmechanismen der SAP, indem unsere Unterauftragnehmer in Form von Fragebogen, aber auch durch sporadische Vor-Ort-Kontrollen überprüft werden.

Als letzten Punkt möchte ich das Verzeichnis der Verarbeitungstätigkeiten ansprechen. Viele Datenschützer kennen dies bereits aus der Forderung des Bundesdatenschutzgesetzes (BDSG) als Verfahrensverzeichnis. Auch nach der neuen DSGVO müssen alle Verfahren mit Bezug zu personenbezogenen Daten inventarisiert und auf ihre Datenschutz Konformität überprüft werden. Selbstverständlich sind auch hier die Durchführung der Inventarisierung sowie die Bewertung aller Verfahren nachvollziehbar zu dokumentieren.

Bei SAP haben wir zur Bewältigung dieser umfassenden Aufgabe eigens eine Software entwickelt, unser Procedure Enrollment Tool, kurz PET. Dieses Tool erleichtert durch seine ausgefeilte Fragetechnik unseren Mitarbeitern die Erfassung ihrer Verfahren. Eine eingebaute Auswertungslogik nimmt bereits bei der Erfassung eine Bewertung vor und dokumentiert diese.

 

Mit einem Wort ausgedrückt – worauf kommt es im DSGVO Projekt am meisten an?

Mit einem Wort lässt sich ein derart umfassendes Projekt nicht hinreichend beschreiben. Wenn Sie erlauben, gebe ich Ihren Lesern jedoch ein paar Stichpunkte mit auf den Weg:

  • Gründliches Projektmanagement
  • Frühzeitige Einbeziehung der betroffenen Geschäftsbereiche
  • Ausführliche Delta Analyse
  • Solider Implementierungsplan
  • Meilensteinkontrolle

Grundsätzlich empfehle ich baldmöglich zu starten, die DSGVO kommt in vollem Umfang im Mai 2018.

 

Vielen Dank für das Interview.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

DSAGTT24

DSAG-Event bringt Klarheit — aber auch neue SAP-Fragen

Was waren die wichtigsten Erkenntnisse der DSAG-Technologietage 2024 in Hamburg? SAP-Kunden fordern vom Hersteller SAP …