Nach dem 25. Mai 2018 wird die Datenschutzgrundverordnung (EU-DSGVO) wirksam und es vergeht mittlerweile kein Tag mehr ohne Beitrag hierzu – und das zu Recht! Denn wie eine Mitglieder-Umfrage der DSAG unter SAP-Anwendern noch vor wenigen Wochen gezeigt hat, haben gerade einmal etwas mehr als die Hälfte aller Unternehmen (53%) eine Roadmap. Von der vollständigen Umsetzung der neuen Vorschriften einmal ganz abgesehen. Michael Müllner, Head of Security & Compliance bei AKQUINET, schlägt für Sie im Gespräch eine Brücke von den gesetzlichen Anforderungen hin zu operativen Schritten und ganz konkreten Tipps, wie Sie sich dem Thema nähern können.
Herr Müllner, wenn man sich die Status von Unternehmen zur DSGVO ansieht, könnte man den Eindruck gewinnen, viele haben dieses Thema eindeutig unterschätzt. Ist die Situation tatsächlich so dramatisch?
„Aus österreichischer bzw. deutscher Perspektive haben Unternehmen einen entscheidenden Vorteil, der ihnen in der derzeitigen Situation in die Karten spielt und das ist die Tatsache, dass unsere vorherige Gesetzeslage, im europaweiten Vergleich, bereits relativ scharf war. Wenn Unternehmen in der Vergangenheit also bereits uptodate waren, was den jeweils gültigen Datenschutz betraf, dann ist das Delta zur neuen Gesetzeslage deutlich leichter zu schließen, als wenn man dieses Thema bis dato eher Stiefmütterlich behandelt hätte.“
Nun ist der Schutz von Daten ja kein Thema, das ausschließlich die SAP-Bereiche von Unternehmen tangiert. Warum ist es für SAP-Entscheider dennoch wichtig, die wesentlichen Aspekte der neuen Verordnung auf dem Radar zu haben?
„Selbstverständlich betrifft das Thema Datenschutz ein Unternehmen ganzheitlich. Aber viele der personenbezogenen Daten in den Unternehmen werden insbesondere in den SAP-Systemen verarbeitet und somit rücken diese Systeme automatisch in den Fokus. Daher konzentrieren wir uns im SAP Security & Compliance Team der AKQUINET auch ganz gezielt auf die Bedeutung der Verordnung für die SAP-Systeme und Anwender unsere Kunden.“
Vermutlich könnten wir Tage über die diversen Punkte auf dem Weg zur DSGVO-Konformität sprechen. Aber was ist zunächst einmal die grundsätzliche Idee hinter der neuen Verordnung?
„Aus EU-Sicht ist der grundsätzliche Gedanke hinter der veränderten Gesetzgebung, dass Endkunden Transparenz erhalten über ihre personenbezogenen Daten. Es soll somit sichergestellt werden, dass Unternehmen personenbezogenen Daten nicht mehr nach freien Belieben speichern, verarbeiten oder auch weitergeben dürfen.
Am Ende des Tages bedeutet das: Jeder hat das Recht auf Auskunft, welche Daten zur eigenen Person im jeweiligen Unternehmen vorliegen, man kann die Anpassung falscher Angaben einfordern oder auch die Löschung der eigenen Daten verlangen. Sofern es keinen Zweck bzw. Rechtsgrundlage mehr dafür gibt, dass das Unternehmen die Daten noch länger vorhalten müsste.“
Nun vergeht aktuell ja kaum ein Tag ohne Newsletter zur DSGVO. Warum ist dieses Thema aus Ihrer Sicht derart brisant und man kann ihm aktuell kaum entkommen?
„Die Frage ist schnell zu beantworten: das Strafmaß! Bei Nichteinhaltung der Gesetzesvorgaben drohen Strafen von bis zu 4% des Unternehmensumsatzes. Ein derart hohes Strafmaß kannte man in diesem Umfeld auch in Österreich oder Deutschland bisher sicherlich noch nicht. Die Behörden haben angekündigt, dass sie hart durchgreifen wollen. Was das in der Praxis heißen wird, werden die ersten Präzedenzfälle zeigen müssen.“
Wie können Unternehmen denn identifizieren, ob es sich bei den Daten in ihren Systemen um personenbezogene Daten handelt, die unter die EU-DSGVO fallen?
„Das ist in der Tat ganz häufig die erste Frage, die uns Kunden stellen. Um das entscheiden zu können, gibt es drei Komponenten, die maßgeblich sind:
1) Die Verarbeitungskomponente
Werden Daten voll-/teil-automatisiert verarbeitet bzw. nichtautomatisiert in einem Dateisystem gespeichert? Wenn nein, ist der sachliche Anwendungsbereich der DSGVO nicht eröffnet und die Prüfung ist an diesem Punkt beendet.
2) Die Inhaltskomponente
Liegen Daten vor, die sich auf eine (lebenden) Person beziehen oder mit einer Person in Verbindung gebracht werden können? Beispielsweise ganz klassisch der Name, die Adresse, das Geburtsdatum, aber u.U. auch Angaben zur Religion oder andere besonders schützenswerte Informationen. Wenn nein, liegen anonyme/anonymisierte Daten vor, die nicht der DSGVO unterliegen.
3) Die Identitätskomponente
Ist die Person, auf die sich die Daten beziehen identifiziert oder ist es nach allgemeinem Ermessen wahrscheinlich, dass diese identifiziert werden könnte? Das heißt, können von den Angaben aus der Inhaltskomponente Rückschlüsse gezogen werden auf eine ganz bestimmte Person. Wenn nein, liegen wiederum anonyme bzw. anonymisierte Daten vor, die nicht der DSGVO unterliegen.
Lautet die Antwort auf diese drei Fragen jedoch „JA“, handelt es sich um personenbezogene Daten im Sinne des Artikels 4 Ziffer 1.
Die Herangehensweise über diese drei Komponenten hat sich durchaus bewährt, um bei unseren Kunden die Spreu vom Weizen trennen zu können in Bezug auf gespeicherte Daten in deren SAP-Systemen.“
Nun bezieht sich die Datenschutzgrundverordnung ja nicht nur um die Erfassung bzw. Verarbeitung personenbezogener Daten, sondern gibt auch ganz klare Vorgaben, was im Fall von Datenverlusten oder Diebstählen zu erfolgen hat. Welche Tipps haben Sie hier für Unternehmen?
„Ein möglicher Datenverlust/ -Diebstahl kann von einem Unternehmen natürlich nur dann zeitnah behördlich gemeldet werden, wenn dieser zuvor überhaupt erkannt wurde. Insbesondere der unerlaubte Datenabfluss aus einem Kernsystem mit personenbezogenen Daten muss daher unbedingt zuverlässig überwacht und somit erkannt werden. Dies beinhaltet übrigens auch die lesenden Zugriffe auf Daten!
Zum Thema Data Leakage Prevention gibt es für Kunden, die unsere SAST SUITE im Einsatz haben, zwei Module, die hier ideal unterstützen. Zum einen das SAST Download Management und zum anderen das SAST HCM Read Access Monitoring.“
Warum ist gerade auch die Protokollierung der lesenden Zugriffe auf HR-Daten so wichtig?
„Privilegierte User eines SAP-Systems wie Administratoren, haben notwendigerweise
vollen Zugriff auf sensible Daten – auch auf die von Mitarbeitern. Daher kann durch ein geeignetes „Notfall-User-Konzept“ das Öffnen, Bearbeiten und Herunterladen von Daten durch diese User revisionssicher dokumentiert werden. Anders sieht das in Unternehmen häufig beim reinen Anzeigen, von SAP HCM Daten aus. Durch die fehlende Protokollierung sind vertrauliche Personendaten an dieser Stelle nicht geschützt. Das Modul SAST HCM Read Access Monitoring aus unserer GRC-Suite schließt diese Sicherheitslücke und hilft so, Datenverluste oder Datenweitergaben deutlich zu erschweren.“
SAP bietet im Standard ja auch einige Funktionalitäten, um vor dem Datendiebstahl aus SAP-Systemen zu schützen. Ist dieser Schutz nicht ausreichend für die meisten Unternehmen?
„Der SAP-Standard bietet hier eher überschaubare Möglichkeiten. – insbesondere, wenn man den Datenschutz ganzheitlich für das Unternehmen betrachtet. Denn dann zählen zu den kritischen Daten in SAP-Systemen nicht nur personenbezogene Daten gem. DSGVO, sondern ebenfalls Lieferantendaten, Firmendaten wie Finanzdaten oder Preise und natürlich auch technische Zeichnungen oder Rezepturen. Dies alles sind schützenswerte Daten und Unternehmen sollten unerwünschte Zugriffe und erst recht Downloads dieser Daten verhindern können.
Mit dem SAST Download Management erkennen Unternehmen, wenn Downloads von Dateien oberhalb einer festgelegten Dateigröße erfolgen, bestimmt Stichworte enthalten wie „Preisliste“, „$-Zeichen“ oder andere Keywords oder der Versand an eine spezifische E-Mailadresse erfolgt – und das unmittelbar! So haben unsere Kunden die Möglichkeit unverzüglich Gegenmaßnahmen einzuleiten. Man sieht sofort: wer hat versucht was wann herunterzuladen. Einen 100% Schutz vor Datendiebstahl gibt es natürlich nie. Aber so lässt die Wahrscheinlichkeit eines Datenlecks doch deutlich eingrenzen und im Worstcase der Schuldige unverzüglich ermitteln.“
In Beiträgen zur DSGVO liest man sehr häufig die Begriffe „Privacy by design“ und „Privacy by default“. Worum geht es hierbei?
„Das meint eigentlich nichts anderes als die datenschutzfreundliche Technikgestaltung bzw. das Sicherstellen datenschutzfreundlicher Voreinstellungen. Anders formuliert: Integration des Schutzes der Privatsphäre und des Datenschutzes in den gesamten Technologie-Lebenszyklus – vom frühen Entwurfsstadium bis zu deren Einführung, Nutzung und letztendlich Außerbetriebnahme. Genau das ist einer der Punkte an denen man merkt, wie weit mehr sich das Thema Datenschutz künftig auf das gesamte Business eines Unternehmens auswirken wird und kein reines IT-Thema mehr ist.
Mein Tipp ist daher, zeitnah einen Prozess zur Umsetzung aller Pflichten einzurichten und den Schutz der Privatsphäre und den Datenschutz bei der Erstellung und dem Betrieb von Datenverarbeitungssystemen immer direkt mit zu bedenken – stets ausgerichtet nach dem Grundsatz der Datenminimierung.“
Gibt es noch einen letzten Punkt, den Sie Unternehmen mit auf den Weg geben möchten?
„Etwas, das nicht nur für den SAP-Bereich wichtig ist, sondern ebenfalls für das gesamte Unternehmen, ist die Pflege eines Verzeichnisses an Verarbeitungstätigkeiten. Was heißt das?
Die Verantwortlichen müssen ein Verzeichnis führen in dem alle „Verarbeitungstätigkeiten, die der Zuständigkeit unterliegen“, aufgenommen sind. Der Zweck besteht darin, eine transparente Übersicht über alle personenbezogenen Daten im Unternehmen zu schaffen, sowohl intern als beispielsweise auch für externe Prüfer.
So ein Index beinhaltet: in welchen Verarbeitungstätigkeiten und zu welchen Zwecken, werden welche Daten verarbeitet. Diesem Dokument wird somit bei kommenden Prüfungen eine zentrale Rolle zukommen und es spielt keine Rolle, ob dies als Excel-Datei vorliegt oder eine Datenbank zur Verfügung steht.
Als Tipp aus unserer Praxis: Es hat sich bewährt in diese Übersicht eine Spalte zu integrieren, die direkt zur jeweiligen Applikation verweist, in der die Daten zu finden sind. So sind Unternehmen bei Anfragen von außen wesentlich leichter in der Lage zu sehen, welche Daten der betreffenden Person, wo in den diversen Systemen zu finden sind.“
Wenn ein Unternehmen jetzt zu der Hälfte gehört, die noch keine ausgereifte DSGVO-Roadmap vorweisen kann. Wie können Sie und Ihre Kollegen hier unterstützten?
„Im ersten Schritt empfehlen wir eine Reifegrad-Evaluierung und einen daraus abgeleiteten unternehmensspezifischen DSGVO-Maßnahmenkatalog. Anschließend folgt dann eine Identifikation der notwendigen Handlungsmaßnahmen und natürlich unterstützten wir dann gerne auch bei der operativen Umsetzung.“
Vielen Dank für das Gespräch und die wirklich sehr informativen Einblicke.
Michael Müllner (Head of Security & Compliance Services bei AKQUINET Österreich)
Sie freuen sich über weitere Tipps und Handlungsempfehlungen zur Datenschutzgrundverordnung? Dann sprechen Sie uns gerne an: sast@akquinet.de