Sie sind hier: Home » Markt » Hinweise & Tipps

FIT für die EU-Datenschutzgrundverordnung?


EU-DSGVO: Was Unternehmen, die SAP nutzen, in Zukunft achten müssen und wie sie sich vorbereiten können
EU-DSGVO-Compliance: Welche Schritte müssen innerhalb der nächsten zwei Jahre umgesetzt werden, um den neuen Vorgaben zu entsprechen?

(03.05.16) - Im Frühjahr 2018 sollen die neuen Datenschutzbestimmungen, EU-DSGVO (General Data Protection Regulation – GDPR), in Kraft treten. Für Unternehmen jeder Größe, die Daten sammeln, speichern und verarbeiten, bringt dies eine höhere Verantwortung für die Datensicherheit und umfangreichere Rechenschaftspflichten mit sich. Unternehmen haben außerdem nur zwei Jahre Zeit, die Einhaltung der neuen Vorschriften zur Speicherung und Verarbeitung von Kundendaten sicherzustellen. Ansonsten drohen ihnen bei Verstößen massive Bußgelder von bis zu 20 Million Euro oder 4 Prozent ihres Jahresumsatzes. Secude, Experte für Datensicherheits-Lösungen im SAP-Umfeld, hat die wichtigsten Schritte zur Vorbereitung für Unternehmen zusammengestellt.

>> Was bedeutet dies nun für Unternehmen? Welche Datensysteme sind besonders betroffen?
>> Welche Schritte müssen innerhalb der nächsten zwei Jahre umgesetzt werden, um den neuen Vorgaben zu entsprechen?

"Der erste und wichtigste Schritt für alle Unternehmen ist es, zu prüfen, in welchen Systemen sie die von der Gesetzgebung betroffenen Daten vorhalten" erklärt Volker Kyra, Vice President Sales EMEA von Secude. "Im zweiten Schritt sollte geprüft werden, ob das Unternehmen verlässlich nachvollziehen und nachweisen kann, was mit diesen Daten gemacht wird, wenn sie beispielsweise das System verlassen".

Das Stufensystem der neuen Gesetzgebung sieht bereits Strafen von bis zu zwei Prozent des weltweiten erwirtschafteten Jahresumsatzes vor, wenn Verarbeitungsvorgänge nicht ordnungsgemäß dokumentiert werden (Artikel 28). Bei einer Verletzung der Datensicherheit sind Unternehmen verpflichtet, innerhalb von 72 Stunden die Behörden zu informieren (Artikel 31). Nach der Definition der neuen Gesetzgebung handelt es sich auch um eine Datenschutzverletzung, wenn ein Mitarbeiter Einblick in Daten hat, die er für seine Tätigkeit nicht benötigt. Zudem müssen Unternehmendafür Sorge tragen, dass Mitarbeiter erkennen können, wann sie mit der Datenverarbeitung gegen Gesetze verstoßen oder unberechtigt Daten verarbeiten.

Sind ERP-Systeme wie SAP betroffen?
Im Zuge der immer komplexeren und dezentralen IT-Umgebungen, ist es für Unternehmen eine große Herausforderung, nachzuvollziehen, welche Daten in welchen Systemen vorgehalten und über welche Kanäle sie eventuell geteilt werden. Personenbezogene Daten sind besonders häufig in ERP-Systemen zu finden. Innerhalb dieser regulierten IT-Umgebung ist es relativ einfach, die Vorgaben für die neuen Datenschutzrichtlinien umzusetzen, wenn diese über Berechtigungsstrukturen und Audit-Logs verfügen. Ist man also damit abgesichert? Leider nein – denn sobald diese Daten aus dem System exportiert wurden, greifen die SAP Berichtigungsstrukturen nicht mehr, und es kann auch nicht nachvollzogen werden, was anschließend mit den Daten passiert. In den meisten Unternehmen erfolgen diese Datenexporte aber täglich, ohne dass sich die Mitarbeiter über mögliche Konsequenzen in Klaren sind.

Nötig ist daher die Einführung von Audit- bzw. Protokollierungslösungen, die aufzeichnen, wer Daten einsieht, exportiert und weitergibt. Zudem empfiehlt sich die Integration einer GRC-Lösung, damit im Falle von Regelverstößen Benachrichtigungen an die Verantwortlichen gehen. Im Idealfall sollten die Datensätze jedoch bereits bei ihrer Entstehung klassifiziert werden. Sensible, von der Gesetzgebung betroffene Daten, können dann für ihren gesamten Lebenszyklus mit entsprechenden Regeln versehen werden. So können sie beispielsweise nur für die interne Nutzung oder für bestimmte Personen freigegeben werden, oder der Download spezieller Daten wird komplett gesperrt. Zudem werden die Mitarbeiter so für das Thema sensibilisiert und auf mögliche Verstöße hingewiesen.

Die Einführung eines Rights-Management-Systems (RMS) hilft dabei, einer Verletzung der Datensicherheit (Artikel 31) vorzubeugen und die Nutzung der Daten auch außerhalb des ERP-Systems nachzuweisen oder zu beschränken.

"Die neue Gesetzgebung sieht ebenfalls vor, dass die meisten Unternehmen einen Datenschutzbeauftragten ausweisen müssen (Artikel 35). Für die Verantwortlichen ist nun der ideale Zeitpunkt, die interne Situation zu überprüfen, geeignete Maßnahmen für die Sondierung und Sicherung der Daten einzuleiten und Lösungsangebote gründlich zu prüfen", resümiert Kyra. (Secude: ra)

Secude: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Ethik für KI-Technologien ein Muss

    Das Europäische Parlament hat kürzlich mit dem "AI-Act" die weltweit erste staatliche Regulierung von KI verabschiedet. Die Verordnung soll die Entwicklung und den Einsatz von KI-Technologien maßgeblich regeln, indem sie Transparenz, Rechenschaftspflichten und Sicherheitsstandards vorschreibt.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld. "Mit einer gründlichen Vorbereitung können Firmen, Freiberufler und Selbstständige der Kontrolle ihrer Buchführung durch das Finanzamt aber in aller Regel gelassen entgegenblicken", betont Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Bausteine für ein erfolgreiches ESG-Reporting

    Das Europäische Parlament hat bereits zum Jahresende 2022 die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive, kurz CSRD) angenommen. Zahlreiche Unternehmen - kapitalmarktorientierte, aber auch viele aus dem Mittelstand - sind spätestens Anfang 2025 rechtlich dazu verpflichtet, Informationen über die gesellschaftlichen und ökologischen Auswirkungen ihres Handelns zu veröffentlichen und nach einem klar vorgegebenen Kriterienkatalog Rechenschaft abzulegen.

  • Chaos bei der Umsetzung von NIS-2 droht

    Ein Blick zurück kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft - genauer gesagt endete die 24-monatige Übergangsfrist. Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen.

  • Die Uhr für DORA-Compliance tickt

    Ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt.

Internet-Domain kann gepfändet werden Regulatorische Vorgaben & Tax-Compliance

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen