Information und Bildungsarbeit von und für die SAP-Community
Die Meinung der SAP-Community, IT-Security Kolumne, MAG 18-02

EU-DSGVO und Big Data

Der Trend in der IT zeigt klar in Richtung IoT, Industrie 4.0 und Verarbeitung riesiger Datenmengen in In-memory-Datenbanken – wie bei Hana. Dabei müssen die Anforderungen der EU-DSGVO von Anfang an berücksichtigt werden.
Christian Ruoff, SEP
8. Februar 2018
Inhalt:
It-Security
avatar

Die gute Nachricht zuerst: Auch mit der EU-DSGVO muss auf neue Technologien nicht verzichtet werden. Big Data, Industrie 4.0 und KI müssen aber von vornherein international-datenschutzrechtlich bis ins Detail durchgeplant werden.

Zu berücksichtigen sind insbesondere die neuen Verpflichtungen zu „Privacy by Design/Default“ und der verpflichtenden Datenschutz-Folgeabschätzung (DFA). Denn bei den datenschutzrelevanten Handlungen, auf die die EU-DSGVO Anwendung findet, handelt es sich fast immer um die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten.

Damit unterliegt die gesamte Datenverarbeitungs-Wertschöpfungskette den Datenschutzgesetzen, von der Generierung/Erhebung bis zur Löschung. Dies wurde mit der neuen Verordnung konkretisiert und verschärft – insbesondere die Rechte auf Vergessenwerden, Datenberichtigung, Löschung, Sperrung und Datenportabilität sowie die Verpflichtung zur Notifizierung von Datenschutzverletzungen.

Die Dokumentationspflichten werden deutlich erweitert und künftig auf den Auftragsverarbeiter erstreckt. Durch die EU-DSGVO kommt es zudem zu einer Erweiterung der Anwendbarkeit von EU-Datenschutzvorschriften auf die Auftragsverarbeiter und deren Auftraggeber in Drittstaaten.

Neu ist auch, dass Auftragsverarbeiter künftig für Datenschutzverletzungen bei ihrer Auftrags-Datenverarbeitung in die (Mit-)Haftung genommen werden können. Die EU-DSGVO wirkt sich auf alle Unternehmen aus, die geschäftlich von der EU aus tätig sind bzw. Geschäftsbeziehungen in die EU unterhalten oder ihre Daten in EU-Mitgliedsstaaten sammeln, verarbeiten und speichern (lassen), das heißt auch Unternehmen oder Organisationen mit Sitz außerhalb der EU.

Für das Design von Big Data, KI und Digitalisierungsprozessen ist auf weitere bestimmende Prinzipien des EU-Datenschutzrechts Rücksicht zu nehmen, namentlich das grundsätzliche Verbot der Datenverarbeitung von personenbezogenen Daten mit Erlaubnisvorbehalt, den Zweckbindungsgrundsatz und die Notwendigkeit einer Rechtfertigung (Gesetz, Einwilligung).

Dies bedeutet, dass eine Verwendung einmal vorhandener Daten zu anderen Zwecken oder die Zusammenführung von Daten mit Daten aus anderen Quellen oder jede Zweckänderung einer neuen, zusätzlichen Rechtfertigung bedarf.

Dies führt bei diesen Prozessen häufig zu Problemen, da Daten aus ihrem ursprünglichen Zweckzusammenhang gerissen, zusammengeführt, umstrukturiert und analysiert und damit neuen Nutzungen zugeführt werden müssen.

Eine individuelle Einwilligung erscheint hier nicht praktikabel. Die Einwilligung wäre nur dann wirksam, wenn sie auf einer hinreichend informierten Grundlage erklärt wurde und den Bestimmungen des AGB-Rechts, insbesondere dem Transparenzgebot, genügen würde.

Als Manko kommt die jederzeitige Widerruflichkeit der Einwilligung hinzu. Soweit gesetzliche Rechtfertigungstatbestände zur Verfügung stehen, sollten diese genutzt werden. Alternativ bedürfte es eines Vertragsmanagements, das gewährleistet, dass die jeweilige Datenverarbeitung für die Anbahnung und Erfüllung eines Vertrages mit dem oder den Betroffenen erforderlich ist, sodass eine entsprechende Gestaltung der Vertragsbeziehungen zweites Mittel der Wahl ist. Erst wenn und soweit gesetzliche Rechtfertigungsbestände nicht eingreifen, sollte auf das Instrument der Einwilligung zurückgegriffen werden.

Ein weiterer wichtiger Punkt ist, dass die Daten auch sicher verarbeitet werden. Dazu wird ein angemessenes Datenschutzkonzept benötigt, das auch die Datensicherung mit einschließt. Dabei sollte die Backup-Lösung für die Anwendungen zertifiziert sein, wie dies bei SEP gerade für SAP-Anwendungen der Fall ist. Dadurch wird gewährleistet, dass der Original-Hersteller-Support nicht verloren geht.

Man sieht also: Die neue Verordnung soll gerade persönliche Daten stärker schützen, was natürlich mit einer strikteren strategischen Ausrichtung für die Datenverarbeitung einhergeht. Auch wenn es augenscheinlich komplizierter wird, bedeutet es auf der anderen Seite, dass die Verarbeitung auch von personenbezogenen Daten weiter möglich ist. Nur eben bedachter, als dies meist bisher erfolgte.

 

https://e3mag.com/partners/sep-ag/

avatar
Christian Ruoff, SEP

Christian Ruoff ist Head of Business Development bei SEP


Alle Artikel des Autors

Schreibe einen Kommentar

Security: Wie sich SAP-Systeme effektiv schützen lassen

Precisely unterstützt Amazon RDS für Db2 Service

Flexera schließt Übernahme von Snow Software ab

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren. Alle Informationen zum Event finden Sie hier:

SAP Competence Center Summit 2024

Veranstaltungsort

Eventraum, FourSide Hotel Salzburg,
Am Messezentrum 2,
A-5020 Salzburg

Veranstaltungsdatum

5. und 6. Juni 2024

Reguläres Ticket:

€ 590 exkl. USt.

Veranstaltungsort

Eventraum, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Veranstaltungsdatum

28. und 29. Februar 2024

Tickets

Regular Ticket
EUR 590 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2024, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.