DSGVO-Bußgelder beißen, da Datenverwaltungsprozesse immer noch unzureichend sind

01-03-2021 | 4 | DART, Steuer- und Prüfungsbereitschaft

Autor: Mani Singh , SAP-Berater bei der TJC Group

Die DSGVO-Verordnungen traten im Mai 2018 in Kraft. Genauso wie frischgebackene Eltern die emotionalen Herausforderungen der Kleinkinderzeit etwa im selben Zeitraum von 20 Monaten zu schätzen wissen, beginnen auch Unternehmen jetzt zu erfahren, was die Nichteinhaltung der DSGVO finanziell bedeutet.

Carrefour und sein Bankenzweig wurden Anfang 2020 von der lokalen Datenschutzbehörde, der Commission nationale de l’informatique et des libertés (CNIL), mit einer Geldstrafe von über 3 Millionen Euro (3,7 Millionen US-Dollar) wegen mehrfacher Verstöße gegen die DSGVO belegt. Bis Ende des Jahres hatte die irische Datenschutzkommission (DPC) Twitter mit einer Geldstrafe von 450.000 Euro belegt, weil es versäumt hatte, eine Datenschutzverletzung gemäß der europäischen Datenschutz-Grundverordnung (DSGVO) unverzüglich zu melden und zu dokumentieren. Auch Technologieunternehmen müssen sich auf eine Bußgeldlawine einstellen. Berichten zufolge hat Facebook 302 Millionen Euro für mögliche Bußgelder von der irischen DPC wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) bereitgestellt.

DSGVO-Konformität | TJC-Gruppe

Unsere Erfahrung aus Gesprächen mit Unternehmen, die an der Implementierung von Information Lifecycle Management (ILM)-Strategien interessiert sind, zeigt, dass viele mit der Einhaltung der DSGVO zu kämpfen haben. Das liegt daran, dass entweder ihre Geschäftsprozesse immer noch nicht korrekt sind oder wenn sie korrekt sind, sie von den Mitarbeitern nicht vollständig befolgt werden. Wenn wir beispielsweise ein Projektaudit starten und mit der Analyse von Kundendaten beginnen, entdecken wir Unstimmigkeiten wie Verkaufsaufträge und Lieferungen, die vor vielen Jahren getätigt wurden und nicht als abgeschlossen abgeschlossen wurden, und daher sind die Daten für diese Art von Dokumenten nicht vorhanden einen Zustand, dass es gelöscht werden kann.

Sie sollten gemäß einer strengen ILM-Strategie vernichtet werden, um Risiken und die Gesamtbetriebskosten (TCO) der Aufbewahrung dieser zwecklosen Daten zu vermeiden.

ILM-Perspektive | TJC-Gruppe

Das Problem der Aufbewahrung von Daten

Wenn der beabsichtigte Zweck der Daten für diese Dokumente aus DSGVO-Sicht abgelaufen ist (geschäftliche und behördliche Verwendung) und personenbezogene Daten in diesen Dokumenten enthalten sind, müssen diese Daten oder Dokumente vernichtet werden, um die Einhaltung der DSGVO sicherzustellen. Beispielsweise enthalten Verkaufsunterlagen und Lieferungen in der Regel Kundendaten wie Name, Adresse und Telefondaten, bei denen es sich um personenbezogene und identifizierbare Daten handelt.

Um auf dieses Beispiel zurückzukommen, größere Unternehmen haben oft Hunderttausende solcher Aufzeichnungen, die viele Jahre zurückreichen. Das Problem der Aufbewahrung von zu löschenden Daten entsteht meist dadurch, dass der Geschäftsprozess, wie der Status von Verkaufsbelegen und Lieferungen geändert werden muss, um den Verkaufsbeleg vollständig abzuschließen, entweder nicht von vornherein definiert war oder von Mitarbeitern übersehen wird.

Wenn ein Unternehmen beispielsweise Waren an Kunden versendet, muss die Lieferung abgeschlossen sein, sobald die Produkte eingehen. Wenn der Prozess schlecht gesteuert wird und die Lieferung offen bleibt – und wenn dies bei jeder Bestellung in großem Umfang geschieht – könnten dem Unternehmen bald 500 GB an unvollständigen Datensätzen zu Lieferungen zur Verfügung stehen. Dies kann insbesondere im Hinblick auf Herausforderungen schaffen 1) die Betriebskosten für die Aufbewahrung von Daten, die nach ihrer Aufbewahrungsfrist (der Zeitraum, nach dem die Daten keinen geschäftlichen oder rechtlichen Zweck mehr haben) nicht mehr aufbewahrt werden sollten, 2) die Rechtskosten für die Aufbewahrung personenbezogener oder identifizierbarer Daten nach ihrer Aufbewahrungsfrist, 3) die Leistung von Systemen aufgrund von Datensättigung und zusätzlichen Risiken.

Klingt unglaublich, aber wir sehen es regelmäßig. Auch mangelnde Berücksichtigung von ILM ist bei Greenfield-Implementierungen ebenso üblich wie bei Legacy-Systemen . Denn die Priorität bei Greenfield-Implementierungen ist immer, das System zum Laufen zu bringen. Die Verwaltung des laufenden Informationslebenszyklus steht nie im Vordergrund oder tritt zumindest in den Hintergrund.

Datenvernichtung in SAP

Wenn ein Unternehmen SAP verwendet, wird die Situation noch komplizierter. Daten müssen in einem bestimmten Zustand gespeichert und Datenprozesse korrekt befolgt werden, damit die letzten Phasen des Informationslebenszyklusmanagements (Datenlöschung) automatisiert werden können.

Betrachten wir ein Beispiel, einen Laptop-Händler. Als Teil des Verkaufsworkflows müssen ihre Lieferaufzeichnungen abgeschlossen und Rechnungen an das Finanzteam gebucht worden sein. Sobald dies erledigt ist, kann der Datensatz vollständig vervollständigt und gelöscht werden, um die DSGVO-Konformität zu gewährleisten.

Die Aufbewahrungsfrist oder der Lebenszyklus der Daten wird durch den Zweck definiert, dem sie dienen, und dieser kann von Organisation zu Organisation stark variieren. Im Beispiel der Laptop-Lieferung müssen Daten im Falle einer Reklamation oder eines Problems mit den Geräten möglicherweise 3 Jahre lang aufbewahrt werden. Ein anderer Hersteller möchte im Falle eines Rückrufs möglicherweise Informationen zu Produktteilen noch länger aufbewahren.

Dieses einfache Beispiel verdeutlicht, dass bei unvollständigen Geschäftsprozessen die Einführung von ILM und Datenarchivierung viel schwieriger wird – weil es schwieriger ist, Fehler zu erkennen, und dies zusätzliche Komplexität hinzufügt. In der Praxis müssen Unternehmen all diese Aufzeichnungen manuell abschließen, was mehr Zeit in Anspruch nimmt und die Projektkosten erhöht. Legacy-Lieferdaten stellen möglicherweise nicht allzu viele Compliance-Probleme dar, aber wenn es um Finanzinformationen oder komplexe Maschinen mit Teilen geht, die über viele Jahre nachverfolgt werden müssen.

DSGVO | TJC-Gruppe

Nachdem wir zahlreiche Archivierungs- und Löschprojekte für Kunden unterstützt haben, um Probleme mit der rechtmäßigen Datenaufbewahrung aufgrund nicht abgeschlossener Geschäftsprozesse zu beheben, sind wir als Organisation gut positioniert, um diese Beobachtungen zu machen. TJC hat praktische Anleitungen und Managementlösungen bereitgestellt, um Probleme aufgrund von Daten- und Prozessinkonsistenzen in diesen Fällen zu lösen. Es beinhaltet die Zusammenarbeit mit dem Geschäftsteam, um die Bedingungen für die Schließung alter Verkaufsaufträge und Finanzdokumente festzulegen.

Finanzieller Druck in einer Covid-19-Welt

Aufgrund von Covid-19 und dem dadurch entstandenen finanziellen Druck müssen Unternehmen jetzt automatisierte Informationsmanagementlösungen einführen, die zu vernichtende Daten auf die kosteneffizienteste Weise identifizieren und verwalten und einen maximalen ROI erzielen können.

DSGVO | TJC-Gruppe

Dies erfordert Anstrengung und ein klares Verständnis der Daten und ihrer Verwendung. Erstens, indem identifiziert wird, wo sich die Daten befinden, und dann damit begonnen wird, eine ILM-Strategie speziell für die Vernichtungsphase dieses Lebenszyklus zu definieren. Auf diese Weise kann die Organisation nachweisen, dass sie angemessene Schritte nach vorne unternimmt, falls und wenn Prüfer ihre Daten auf DSGVO-Konformität in Frage stellen.

Wenden Sie sich an uns, wenn Sie fachkundige Beratung zum Management der DSGVO-Compliance und SAP ILM in Ihren SAP-Systemen erhalten möchten.