Diesen Artikel bewerten: 

Folgen der DSGVO

Effizientes Datenmanagement wird mehr und mehr zum kritischen Erfolgsfaktor

14.02.2018
Von 
Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Der Countdown für die neue EU-Datenschutzgrundverordnung (EU-DSGVO) läuft. Sie konfrontiert Unternehmen in Europa mit zahlreichen Vorschriften in Bezug auf den Umgang mit personenbezogenen Daten. Doch die DSGVO bietet auch die Chance, durch eine klare Strategie und den Einsatz passender IT-Lösungen ein effizientes Datenmanagement zu realisieren – der Ausgangspunkt für digitale Geschäftsmodelle.

Bei der Umsetzung der EU-DSGVO hinken Firmen vielerorts noch hinterher. Laut einer Studie des Branchenverbandes BITKOM hat sich ein Drittel der Betriebe in Deutschland noch nicht mit der neuen Verordnung beschäftigt und nur 13 Prozent haben erste Maßnahmen umgesetzt, obwohl bei einem Verstoß hohe Geldstrafen drohen. Sie können sich auf bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro belaufen. Die rechtliche Seite ist jedoch nur ein Aspekt der EU-DSGVO.

Wie weit ist Ihr Unternehmen bei der Umsetzung der DSGVO?
Wie weit ist Ihr Unternehmen bei der Umsetzung der DSGVO?
Foto: Bitkom Research

Datenmanagement auf den Prüfstand stellen

Für Niels Weigel, Director MEE CoE Database & Data Management bei SAP SE, stellt die Verordnung auch den Ausgangspunkt dar, um das Datenmanagement über die gesamte IT-Landschaft hinweg auf den Prüfstand zu stellen und es zu vereinheitlichen und transparent zu machen. So entstehe eine 360-Grad-Sicht auf personenbezogene Daten, die die rechtskonforme Verwaltung dieser Informationen über ihren Lebenszyklus erst ermögliche. Das sind wichtige Voraussetzungen für schlagkräftige Business-Analytics-Prozesse - insbesondere für digitale und datengetriebene Geschäftsmodelle, die mit Predictive Analytics und Technologien für Machine Learning arbeiten.

Digitale Geschäftsmodelle brauchen Datenmanagement

"Speziell im Hinblick auf die digitale Transformation herkömmlicher Geschäftsmodellewird ein effizientes Datenmanagementin hoher Qualität mehr und mehr zu einem kritischen Erfolgsfaktor", erläutert Niels Weigel. Doch dessen Umsetzung gestaltet sich häufig schwierig, denn in vielen Unternehmen sind durch internationale Expansion oder den Zukauf regionaler Firmen über die Jahre komplexe heterogene IT-Landschaften aus SAP und Nicht-SAP-Lösungen entstanden.

Personenbezogene Daten von Kunden etwa werden oftmals mehrfach erfasst und in verschiedenen Anwendungen gespeichert, zum Beispiel im ERP- und CRM-System sowie in E-Commerce-Anwendungen. Erfahrungsgemäß sind dabei überdies Daten wie Telefonnummern häufig in Tabellen oder Datenfeldern (z.B. "ORT2") abgelegt, die dafür gar nicht vorgesehen sind.

Single Source of Truth schaffen

"All das geht zu Lasten von Datenqualität, Transparenz und Auskunftsfähigkeit. Das Löschen eines Data Subjects in den IT-Systemen, das heißt aller zu einer natürlichen Person gespeicherten Daten, wird so ebenfalls zum zeitaufwendigen Kraftakt", erläutert Niels Weigel. Abhilfe können hier spezielle IT-Lösungen schaffen, die der internen IT einen sofortigen Einblick und Zugriff auf sämtliche personenbezogenen Daten zu einer natürlichen Person ermöglichen. Genau hier setzen Database- und Data-Management-Lösungen von SAP für das Enterprise Information Management (EIM) an.

»

IDG Webcast in Zusammenarbeit mit SAP

Mit SAP richtig vorbereiten auf die EU DSGVO

 
"Richtig vorbereiten auf die EU DSGVO"
Was IT-Verantwortliche jetzt beachten sollten
 
 

Eine Grundvoraussetzung für den Erfolg von Datenmanagement-Initiativen im Zuge der Umsetzung der EU-DSGVO sowie von digitalen Transformationsprojekten bilden - Stichwort Single Source of Truth - korrekte, vollständige, aktuelle und bereinigte Stammdaten in hoher Qualität. Hier kommt die Anwendung SAP Master Data Governance ins Spiel, mit der sich Stammdaten zentral erstellen, verwalten und pflegen lassen. Sie extrahiert dazu Daten aus SAP- und Nicht-SAP-Software, egal ob die Lösungen on-premise oder in der Cloud betrieben werden, und bildet daraus einen so genannten Golden Record, der sämtliche Attribute etwa zu einem Kunden zusammenführt.

Datenqualität und -nutzung analysieren

Es gibt darüber hinaus weitere nützliche IT-Werkzeuge zur Optimierung des Datenmanagements. SAP Information Steward zeigt auf, wo sich personenbezogen Daten befinden könne, wie es um die Qualität personenbezogener Stammdaten bestellt ist und ob sie den gesetzlichen Anforderungen und internen Compliance-Vorgaben entsprechen. Mit dieser Lösung können auch Datenflüsse etwa bei einem ETL-Prozess von SAP ERP nach SAP Business Warehouse verfolgt und die Beziehungen zwischen Metadatenobjekten visualisiert werden.

SAP Process Mining by Celonis analysiert wiederum, in welchen Geschäftsprozessen beziehungsweise in welchen Prozessvarianten personenbezogene Daten verwendet und wie die Informationen durch die IT-Systeme geschleust werden. Die IT-Lösung stellt dann in Dashboards die Ergebnisse der Prozessanalysen übersichtlich und leicht verständlich dar.

Personenbezogene Daten rechtskonform löschen

"Zu den besonders sensiblen Aufgaben, die sich aus der DSGVO ergeben, gehört neben der Aufbewahrung auch das Sperren personenbezogener Daten sowie deren Löschung, unter Einhaltung sämtlicher gesetzlicher Fristen", erklärt Niels Weigel. Zum Beispiel müssen Daten von Bewerbern auf eine Arbeitsstelle bereits nach wenigen Monaten vernichtet werden. Personenbezogene Informationen für die Gehaltsabrechnung werden dagegen erst nach Ablauf von zehn Jahren fällig. Das Mittel der Wahl, um diese Aufgaben zu erledigen und personenbezogene Daten über ihren Lebenszyklus transparent zu verwalten, ist SAP Information Lifecycle Management (SAP ILM).

Risiken bei der Datenbearbeitung minimieren

Zur Minimierung von Sicherheitsrisiken bei der Bearbeitung personenbezogener Daten sind alle gesetzlichen Vorschriften der neuen EU-DSGVO, aber auch interne Compliance-Richtlinien - wie ein "Segregation-of-Duties"-Konzept - strikt einzuhalten. Lassen sich die damit verbundenen Risikomanagement-, Kontroll- und Auditprozesse über alle Applikationen hinweg automatisiert und transparent durchführen, ist das ein unschätzbarer Vorteil.

Dafür eignet sich SAP-Software für Governance, Risikomanagement und Compliance (GRC) besonders gut, da sie die Database- und Datamanagement-Lösungen von SAP optimal ergänzt. SAP GRC Process Control zum Beispiel verwaltet sämtliche Richtlinien zentral über ihren Lebenszyklus hinweg, protokolliert alle Änderungen und spürt Schwachstellen und Verstöße durch automatische Tests in Echtzeit auf. Ebenso wichtig ist ein rechtskonformes Berechtigungskonzept, das die Zugriffe von Endanwendern auf sensible Daten und Geschäftsprozesse wirkungsvoll steuert und falls nötig auch blockiert. Dafür sorgt die Anwendung SAP Access Control, mit der auch eine Risikosimulation kritischer Berechtigungen durchgeführt werden kann.

Vier Punkte für ein effizientes Datenmanagement

Eine wichtige Voraussetzung für den Erfolg eines Datenmanagement- und GRC-Projekts im Zusammenhang mit der DSGVO ist eine klare Strategie, die folgende vier Punkte umfassen sollte:

1. Zu Beginn erfolgt eine Bestandsaufnahme, die den gegenwärtigen Stand der Vorbereitungen in Bezug auf die DSGVO sowie Sicherheitslücken und -risiken bei der Verarbeitung personenbezogener Daten aufzeigt. Zu ermitteln ist darüber hinaus, in welchen IT-Systemen welche personenbezogenen Daten gespeichert sind.

2. Als nächstes werden durch eine Risikoabschätzung die Prozesse identifiziert, die in Bezug auf personenbezogene Daten besonders kritisch sind, und festgelegt, welche technischen und organisatorischen Maßnahmen absolute Priorität genießen und als erstes durchzuführen sind.

3. Um eine datenschutzfreundliche Struktur zu schaffen, ist zu prüfen, ob die IT-Anwendungen nach den Grundsätzen von Privacy by Design beziehungsweise Privacy by Default gestaltet sind. Das gilt auch, wenn eine IT-Lösung per Customizing angepasst oder ein Template für einen SAP-Rollout erstellt wird. Bei der Einführung neuer Verfahren zur Verarbeitung personenbezogener Daten ist zu klären, ob eine Datenschutzfolgeabschätzung (Privacy Impact Assessment) durchzuführen ist.

4. Sind die entsprechenden Maßnahmen umgesetzt, müssen Verfahren installiert werden, mit denen regelmäßig von A bis Z die Wirksamkeit der durchgeführten Aktionen evaluiert, überprüft und bewertet wird. Genau dieses Vorgehen sorgt dafür, dass die Sicherheit beim Management personenbezogener Daten stetig steigt. Hier schließt sich der Kreis.

Hier zum passenden Computerwoche Webcast anmelden