Information et éducation par et pour la communauté SAP

Prêt pour le règlement général sur la protection des données de l'UE ?

La nouvelle législation européenne sur la protection des données doit entrer en vigueur au printemps 2018. Les entreprises de toutes tailles qui stockent et traitent des données n'ont plus qu'un an et demi pour se conformer aux exigences en matière de sécurité des données et aux nombreuses obligations de rendre des comptes.
Volker Kyra, Secude
30 juin 2016
Le-mot-clé-actuel
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Ansonsten drohen ihnen bei Verstößen massive Bußgelder von bis zu 20 Millionen Euro oder vier Prozent ihres Jahresumsatzes. Auf was sollten Unternehmen, die SAP nutzen, in Zukunft achten und wie können sie sich vorbereiten?

Was bedeutet dies nun für Unternehmen? Welche Datensysteme sind besonders betroffen? Welche Schritte müssen bis 2018 umgesetzt werden, um den neuen Vorgaben zu entsprechen?

Das Stufensystem der neuen Datenschutzgrundverordnung sieht bereits Strafen von bis zu zwei Prozent des weltweit erwirtschafteten Jahresumsatzes vor, wenn Verarbeitungsvorgänge nicht ordnungsgemäß dokumentiert werden (Artikel 28).

Bei einer Verletzung der Datensicherheit sind Unternehmen verpflichtet, innerhalb von 72 Stunden die Behörden zu informieren (Artikel 31).

Nach der Definition der neuen Gesetzgebung handelt es sich auch um eine Datenschutzverletzung, wenn ein Mitarbeiter Einblick in Daten hat, die er für seine Tätigkeit nicht benötigt.

Zudem müssen Unternehmen dafür Sorge tragen, dass Mitarbeiter erkennen können, wann sie mit der Datenverarbeitung gegen Gesetze verstoßen oder unberechtigt Daten verarbeiten.

Der erste und wichtigste Schritt für alle Unternehmen ist es, zu prüfen, in welchen Systemen sie die von der Gesetzgebung betroffenen Daten vorhalten. Im zweiten Schritt sollte geprüft werden, ob das Unternehmen verlässlich nachvollziehen und nachweisen kann, was mit diesen Daten gemacht wird, wenn diese beispielsweise das System verlassen.

Im Zuge der immer komplexeren IT-Umgebungen ist es für Unternehmen eine große Herausforderung, nachzuvollziehen, welche Daten in welchen Systemen vorgehalten und über welche Kanäle sie eventuell geteilt werden.

Personenbezogene Daten sind besonders häufig in ERP-Systemen zu finden. Innerhalb dieser regulierten IT-Umgebung ist es relativ einfach, die Vorgaben für die neuen Datenschutzrichtlinien umzusetzen, wenn diese über Berechtigungsstrukturen und Audit-Logs verfügen.

Ist man also damit abgesichert?

Leider nein – denn sobald diese Daten aus dem System exportiert wurden, greifen die SAP-Berichtigungsstrukturen nicht mehr und es kann auch nicht nachvollzogen werden, was anschließend mit den Daten passiert.

In den meisten Unternehmen erfolgen diese Datenexporte aber täglich, ohne dass sich die Mitarbeiter über mögliche Konsequenzen im Klaren sind. Dies betrifft besonders Wirtschaftszweige wie Energie (Strom, Öl und Gas), Verkehr (Luft, Schiene, Wasser und Straße), Infrastrukturzweige wie Trinkwasserversorgung, Bank- und Finanzmarktinfrastrukturen, Handelsplätze, Gesundheitsdienstleister sowie digitale Infrastrukturen.

Nötig ist daher die Einführung von Audit- bzw. Protokollierungslösungen, die aufzeichnen, wer Daten einsieht, exportiert und weitergibt.

Zudem empfiehlt sich die Integration einer GRC-Lösung, damit im Falle von Regelverstößen Benachrichtigungen an die Verantwortlichen gehen.

Im Idealfall sollten die Datensätze jedoch bereits bei ihrer Entstehung klassifiziert werden. Sensible, von der Gesetzgebung betroffene Daten können dann für ihren gesamten Lebenszyklus mit entsprechenden Regeln versehen werden.

So können sie beispielsweise nur für die interne Nutzung oder für bestimmte Personen freigegeben werden, oder der Download spezieller Daten wird komplett gesperrt.

Zudem werden die Mitarbeiter so für das Thema sensibilisiert und auf mögliche Verstöße hingewiesen. Die Einführung eines Rights-Management-Systems (RMS) hilft dabei, einer Verletzung der Datensicherheit (Artikel 31) vorzubeugen und die Nutzung der Daten auch außerhalb des ERP-Systems nachzuweisen oder zu beschränken.

Die neue Gesetzgebung sieht ebenfalls vor, dass die meisten Unternehmen einen Datenschutzbeauftragten ausweisen müssen (Artikel 35). Für die Verantwortlichen ist nun der ideale Zeitpunkt, die interne Situation zu überprüfen, geeignete Maßnahmen für die Sondierung und Sicherung der Daten einzuleiten und Lösungsangebote gründlich zu prüfen.

avatar
Volker Kyra, Secude

Volker Kyra est directeur général, VP Sales & Marketing EMEA chez Secude.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.