New call-to-action

GDPR in der EU | Ein umfassender Leitfaden, um alles darüber zu wissen!

14-06-2024 | 13 Minute gelesen | DSGVO-Konformität, SAP Information Lifecycle Management

Da der Datenschutz sowohl für Regierungen als auch für Unternehmen auf der ganzen Welt oberste Priorität hat, sehen wir einen Zustrom von Datenschutzgesetzen, die die dringend benötigten regulatorischen Anforderungen sicherstellen. Eines dieser Gesetze, oder vielleicht sogar eines der allerersten, die die Welt kennt, ist die Allgemeine Datenschutzverordnung (General Data Protection Regulation, GDPR).

Kurz gesagt ist die GDPR eine Gesetzgebung, die den Verbrauchern das Recht gibt, ihre Daten zu kontrollieren, die rechtmäßig von Organisationen oder Dienstleistern gesammelt werden. Die am 25. Mai 2018 in der EU in Kraft getretene Datenschutz-Grundverordnung ist nicht nur für Verbraucher, sondern auch für Unternehmen, die in der Region tätig sind, von größter Bedeutung.

Inhaltsübersicht

Einführung

Erst vor wenigen Tagen bestätigte Europol – die Hüterin von Recht und Ordnung in der Europäischen Union– einen Einbruch in ein Webportal; eine andere Nachricht besagt, dass ein massiver Einbruch in die Daten von Dell etwa 49 Millionen Nutzer betroffen hat. Wir hören von zahlreichen Datenschutzverletzungen auf der ganzen Welt, die Organisationen aller Art betreffen. Und obwohl es praktisch unmöglich ist, solche Verstöße ganz zu verhindern, gibt es durchaus Möglichkeiten, um sicherzustellen, dass die Daten der Benutzer nicht in extremem Maße betroffen sind. Die Gesetze zum Datenschutz und zum Schutz der Privatsphäre gewährleisten genau das. Tatsächlich waren von der Datenpanne im Internet, die Europol getroffen hat, keine betrieblichen Daten betroffen. Auch bei der Datenpanne bei Dell wurden laut einer Erklärung keine Kundendaten wie Finanz- und Zahlungsinformationen, E-Mail-Adressen und Telefonnummern gestohlen. Dank Datenschutzgesetzen wie der General Data Protection Regulation sinkt das Risiko, dass Benutzerdaten gestohlen werden.

Was ist die Allgemeine Datenschutzverordnung?

Die General Data Protection Regulation (GDPR), die als das härteste Datenschutz- und Sicherheitsgesetz der Welt angepriesen wird, umreißt einen Rahmen, der sich darauf konzentriert, wie eine Organisation personenbezogene Daten sammeln, verarbeiten, speichern und übertragen kann. Diese umfassende Datenschutzverordnung trägt zur Kontrolle der Datenschutzgesetze in allen Mitgliedsländern der Europäischen Union bei.

Ein wichtiger Punkt, den Sie beachten sollten – obwohl die Gesetzgebung von der EU entworfen und verabschiedet wurde, erlegt das Gesetz auch Nicht-EU-Organisationen Verpflichtungen auf, wenn sie Daten über Bürger in den Mitgliedsländern der Europäischen Union sammeln. Mit der Umsetzung der Datenschutz-Grundverordnung (GDPR) bekräftigt Europa seine Haltung in Bezug auf die Bedeutung und die Prioritäten des Datenschutzes, insbesondere in einer Zeit, in der das digitale Zeitalter mehr und mehr an Bedeutung gewinnt.

Die Verordnung ist in ihren Einzelheiten ziemlich streng, was die Einhaltung der DSGVO für Organisationen, vor allem für kleine und mittlere Unternehmen, etwas mühsam machen kann. Unternehmen, die die Anforderungen der Datenschutzverordnung nicht erfüllen, müssen mit hohen Geldstrafen und Bußgeldern rechnen, die in den zweistelligen Millionenbereich gehen können.

Entschlüsselung des indischen Gesetzes zum Schutz digitaler persönlicher Daten (DPDP), 2023

Insgesamt wurde das GDPR-Gesetz entwickelt, um den Personen, die der Erfassung ihrer persönlichen Daten durch Organisationen zustimmen, einen besseren und umfassenderen Schutz und mehr Rechte zu bieten. Darüber hinaus legt dieses Datenschutzgesetz auch Wert darauf, wie Benutzerdaten gesammelt, sortiert und verwendet werden müssen, sowie auf die erforderlichen Einschränkungen.

Es heißt, dass das Gesetz zur Allgemeinen Datenschutzverordnung die Datenschutzbestimmungen in den Mitgliedsländern der Europäischen Union harmonisiert hat. Abgesehen von den EU- und Nicht-EU-Staaten gilt die Datenschutz-Grundverordnung auch für alle Organisationen, die Dienstleistungen in der EU anbieten, unabhängig von ihrem Standort.

Die Geschichte der Allgemeinen Datenschutzverordnung

Zwar gibt es heute mehr Stimmen, die sich für den Datenschutz in der digitalen Welt einsetzen, aber Tatsache ist, dass das „Recht auf Privatsphäre“ schon immer ein wichtiges Thema in der Welt war. Was die EU betrifft, so ist das „Recht auf Privatsphäre“ Teil der Europäischen Menschenrechtskonvention von 1950, in der es heißt: „Jeder hat das Recht auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs.“

Als wir mit fortschrittlicheren technologischen Erfindungen, der Magie des Internets, in die Welt vordrangen, erkannte die Europäische Union die Notwendigkeit moderner, effizienterer und strengerer Gesetze zum Schutz von Daten und Privatsphäre. Im Jahr 1995 verabschiedete die EU ein Mandat, die Europäische Datenschutzrichtlinie, die Mindeststandards für den Datenschutz und die Datensicherheit festlegt. Im Jahr 1998 trat die Richtlinie in Kraft und damit wurde jeder Mitgliedstaat beauftragt, sein eigenes Gesetz gemäß der Richtlinie umzusetzen.

Doch da stürmte das Internet bereits in die Welt und das Zeitalter der Digitalisierung und des Onlinebetriebs. Daher hat das Europäische Parlament die Bedeutung eines verfeinerten, aber stärkeren und strengeren Datenschutzgesetzes erkannt und 2016 die Allgemeine Datenschutzverordnung eingeführt und verabschiedet. Und am25. Mai 2018 trat die Datenschutz-Grundverordnung in der EU endlich in Kraft.

Die Grundlagen der Allgemeinen Datenschutzverordnung

In diesem Abschnitt sehen wir uns die Grundlagen der DSGVO an, die in drei Abschnitte unterteilt ist – für wen sie gilt, die verschiedenen Strafen und die wichtigsten Definitionen.

Für wen gilt die Datenschutz-Grundverordnung?

Wenn Ihr Unternehmen personenbezogene Daten von EU-Bürgern verarbeitet oder wenn Ihr Unternehmen Waren oder Dienstleistungen für Menschen in der EU anbietet, dann gilt die DSGVO für Sie, auch wenn Ihr Unternehmen nicht in der EU ansässig ist. Der Grund für die Einführung der Allgemeinen Datenschutzverordnung ist der Schutz von Daten, die EU-Bürgern gehören. Daher gilt sie für Unternehmen, die mit diesen Daten umgehen, unabhängig davon, ob sie in der EU ansässig sind oder nicht. Tatsächlich wird das Gesetz, das für Nicht-EU-Organisationen gilt, als „extraterritoriale Wirkung“ bezeichnet.

In Artikel 3 wird der territoriale Geltungsbereich der Datenschutz-Grundverordnung erwähnt. Das müssen Sie wissen –

  • Dem Text zufolge gilt die Verordnung für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Organisation, die zu einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter in der Union gehört, unabhängig davon, ob die Verarbeitung innerhalb der EU stattfindet oder nicht.
  • Die DSGVO gilt für die Verarbeitung personenbezogener Daten von Personen, die sich in der EU befinden, durch einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter in der Union, wenn die Verarbeitungstätigkeiten im Zusammenhang stehen mit –
  • Waren- und Dienstleistungsangebote an die betroffenen Personen in der Union, unabhängig davon, ob eine Zahlung der betroffenen Person erforderlich ist; oder
  • Überwachung ihres Verhaltens, soweit es innerhalb der Union stattfindet.
  • Gemäß dem Text in Artikel 3 gilt die Allgemeine Datenschutzverordnung für die Verarbeitung personenbezogener Daten durch einen für die Verarbeitung Verantwortlichen außerhalb der EU, aber an einem Ort, an dem das Recht eines Mitgliedstaats aufgrund des Völkerrechts gilt.

Darüber hinaus besagt Artikel 3.1, dass die DSGVO auf Organisationen mit Sitz außerhalb der EU anwendbar ist, unabhängig davon, ob die Daten außerhalb der Region gespeichert oder verwendet werden. Artikel 3.2 geht einen Schritt weiter und wendet das Gesetz auf Organisationen an, die nicht in der EU ansässig sind, wenn die folgenden zwei Bedingungen erfüllt sind

  • Die Organisation bietet Waren und Dienstleistungen in der EU an
  • Überwacht das Online-Verhalten der Bürger in der EU.

Allerdings deckt Artikel 3.3 noch einige weitere Szenarien ab, wie z.B. die EU-Botschaften; wir werden diese in unseren zukünftigen Artikeln ausführlich besprechen.

Welche Ausnahmen gibt es von dieser Regel?

Fairerweise muss man den Anwendungsbereich der DSGVO verstehen, da sie sowohl für EU-Mitglieder als auch für Nicht-EU-Mitglieder gilt, was die Sache ein wenig schwierig macht. Sie haben zwar bereits gelesen, wo sie gilt, aber lassen Sie uns sehen, welche Ausnahmen von dieser Regel es gibt.

Es gibt zwei wichtige Ausnahmen von dieser Regel, nämlich –

  • Die DSGVO gilt nicht für „rein persönliche oder häusliche“ Aktivitäten. Wenn Ihr Unternehmen also beispielsweise eine E-Mail-Adresse gesammelt hat, um einen Tagesausflug mit Ihren Teammitgliedern/Kollegen zu organisieren, ist es nicht notwendig, deren Kontaktdaten zu verschlüsseln, um die Datenschutzbestimmungen einzuhalten. (es ist jedoch immer eine gute Idee, dies zu tun). Allerdings gilt die DSGVO für Organisationen, die „berufliche oder gewerbliche Tätigkeiten“ ausüben. Wenn Sie also zum Beispiel E-Mail-Adressen aus Ihrem Bekanntenkreis sammeln müssen, um Spenden für eine Veranstaltung zu sammeln, kann das GDPR-Gesetz für Sie gelten.
  • Die zweite Ausnahme von der Einhaltung der DSGVO gilt für Organisationen, die weniger als 250 Mitarbeiter haben. Denken Sie daran, dass kleine und mittlere Unternehmen nicht vollständig von der DSGVO ausgenommen sind, aber die Verordnung befreit sie in den meisten Fällen von der Pflicht zur Aufbewahrung von Daten.
Header TJC Group Fallstudie Carlsberg Group SAP-Datenarchivierung und GDPR Compliance

Sanktionen bei Einhaltung der GDPR

Die Nichteinhaltung der Anforderungen der Allgemeinen Datenschutzverordnung kann zu einer kostspieligen Angelegenheit werden, die ein großes Loch in Ihre Tasche reißt. Gemäß Artikel 83 sind die von der EU verhängten Bußgelder für die Nichteinhaltung der DSGVO flexibel und skalieren mit der Größe des Unternehmens, aber unabhängig von der Unternehmensgröße ist die Haftung sehr hoch.

Die zwei Stufen der GDPR-Bußgelder

Die weniger schwerwiegenden Verstöße können zu einer Geldstrafe von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr führen, je nachdem, welcher Betrag höher ist. Die Geldbußen umfassen alle Verstöße gegen die Artikel, die –

Für die Verarbeitung Verantwortliche und Auftragsverarbeiter: Gemäß den Artikeln 8, 11, 25-39, 42 und 43 müssen Organisationen, die Daten erheben und kontrollieren, d.h. für die Verarbeitung Verantwortliche, und solche, die Daten verarbeiten, d.h. Auftragsverarbeiter, unbedingt die Datenschutzbestimmungen einhalten. Darüber hinaus müssen auch die Vorschriften über die rechtmäßige Verarbeitung von Daten strikt eingehalten werden. Die Nichteinhaltung dieser Vorschriften wird mit hohen Strafen geahndet. Als Organisationen müssen die oben genannten Artikel 8, 11, 25-39, 42 und 43 gelesen werden, um die Einhaltung der Anforderungen der DSGVO zu gewährleisten.

Zertifizierungsstellen: Akkreditierte Stellen, die dafür zuständig sind, Organisationen mit den erforderlichen Zertifizierungen auszustatten, müssen sicherstellen, dass ihre Bewertungen und Beurteilungen fair, transparent und unvoreingenommen durchgeführt werden. Lesen Sie die Artikel 42 und 43 für weitere Informationen dazu.

Überwachungsstellen: Gemäß Artikel 41 müssen die Überwachungsstellen, die über ein angemessenes Maß an Sachkenntnis verfügen, ihre Unabhängigkeit unter Beweis stellen und bei der Bearbeitung von Beschwerden oder gemeldeten Verstößen die festgelegten Verfahren einhalten – unparteiisch und transparent.

Die schwerwiegenderen Verstöße im Rahmen der DSGVO richten sich gegen die Grundsätze des Rechts auf Privatsphäre und des Rechts auf Vergessenwerden. Verstöße gegen diese Grundsätze können zu Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr führen, je nachdem, welcher Betrag höher ist. Dazu gehören alle Verstöße gegen die Artikel, die –

Für die Verarbeitung Verantwortliche und Auftragsverarbeiter: Gemäß den Artikeln 8, 11, 25-39, 42 und 43 müssen Organisationen, die Daten erheben und kontrollieren, d.h. für die Verarbeitung Verantwortliche, und solche, die Daten verarbeiten, d.h. Auftragsverarbeiter, unbedingt die Datenschutzbestimmungen einhalten. Darüber hinaus müssen auch die Vorschriften über die rechtmäßige Verarbeitung von Daten strikt eingehalten werden. Die Nichteinhaltung dieser Vorschriften wird mit hohen Strafen geahndet. Als Organisationen müssen die oben genannten Artikel 8, 11, 25-39, 42 und 43 gelesen werden, um die Einhaltung der Anforderungen der DSGVO zu gewährleisten.

Zertifizierungsstellen: Akkreditierte Stellen, die dafür zuständig sind, Organisationen mit den erforderlichen Zertifizierungen auszustatten, müssen sicherstellen, dass ihre Bewertungen und Beurteilungen fair, transparent und unvoreingenommen durchgeführt werden. Lesen Sie die Artikel 42 und 43 für weitere Informationen dazu.

Überwachungsstellen: Gemäß Artikel 41 müssen die Überwachungsstellen, die über ein angemessenes Maß an Sachkenntnis verfügen, ihre Unabhängigkeit unter Beweis stellen und bei der Bearbeitung von Beschwerden oder gemeldeten Verstößen die festgelegten Verfahren einhalten – unparteiisch und transparent.

2. Unter der DSGVO verstoßen die schwereren Verstöße gegen die Grundsätze des Rechts auf Privatsphäre und des Rechts auf Vergessenwerden. Verstöße gegen diese Grundsätze können zu Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes der Organisation aus dem vorangegangenen Geschäftsjahr führen, je nachdem, welcher Betrag höher ist. Dazu gehören alle Verstöße gegen die Artikel, die –

Die Grundlagen für die Verarbeitung: Gemäß Artikel 5, 6 und 9 müssen Organisationen Daten rechtmäßig, fair und transparent verarbeiten. Die Daten müssen für rechtmäßige Zwecke erhoben und verarbeitet werden und müssen korrekt und auf dem neuesten Stand gehalten werden. Allerdings muss die Datenverarbeitung so erfolgen, dass ihre Sicherheit gewährleistet ist. Organisationen dürfen Daten nur dann verarbeiten, wenn sie eine der sechs in Artikel 6 aufgeführten rechtmäßigen Voraussetzungen erfüllen. Darüber hinaus ist es strengstens untersagt, bestimmte Arten personenbezogener Daten wie die rassische Herkunft, die sexuelle Ausrichtung, politische und religiöse Überzeugungen, die Mitgliedschaft in einer Gewerkschaft sowie gesundheitliche oder biometrische Daten zu erfassen, es sei denn, es liegen besondere Umstände vor. Lesen Sie die oben erwähnten Artikel 6, 6 und 9 für weitere Informationen zu diesem Aspekt.

Die Bedingungen für die Einwilligung: Wann immer die Verarbeitung von Daten durch eine Organisation auf der Grundlage der Zustimmung des Benutzers gerechtfertigt ist, muss diese dokumentiert werden, falls die Organisation dies unter Umständen beweisen muss. Die Einzelheiten hierzu finden Sie unter Artikel 7.

Die Rechte der betroffenen Personen: Gemäß Artikel 12-22 haben Personen das Recht, über die Daten, die die Organisation erhebt, informiert zu werden, und darüber hinaus zu erfahren, wofür diese Daten verwendet werden. Darüber hinaus haben Einzelpersonen auch das Recht, eine Kopie der gesammelten Daten zu erhalten, die Daten im Falle von Ungenauigkeiten zu korrigieren sowie die Daten unter bestimmten Umständen zu löschen. Darüber hinaus haben Einzelpersonen auch das Recht, ihre Daten an andere Organisationen zu übermitteln.

Übermittlung von personenbezogenen Daten: Dies bezieht sich speziell auf die Übermittlung von personenbezogenen Daten an eine internationale Organisation oder einen Empfänger in einem Drittland. In den Artikeln 44-49 heißt es, dass die EU, bevor eine Organisation personenbezogene Daten an ein Drittland oder eine internationale Organisation übermittelt, entscheiden muss, dass das Land oder die Organisation angemessene Schutzmaßnahmen ergreift und gleichzeitig eine gesicherte Übermittlung der Daten gewährleistet.

Die anderen Geldbußen unter GDPR

Abgesehen von den zwei Stufen der GDPR-Sanktionen werden folgende weitere Geldbußen verhängt

Verstoß gegen die Gesetze der Mitgliedsstaaten: Jeder Verstoß gegen die Gesetze der Mitgliedstaaten, die unter Kapitel IX verabschiedet wurden, wird mit Sanktionen geahndet. Kapitel IX räumt den EU-Mitgliedstaaten das Recht ein, zusätzliche Datenschutzgesetze zu erlassen, die jedoch mit der DSGVO im Einklang stehen müssen. Im Falle eines Verstoßes gegen die nationalen Gesetze sind Strafen garantiert.

Nichtbefolgung einer Anordnung einer Aufsichtsbehörde: Wenn eine Organisation einer Anordnung einer Aufsichtsbehörde oder eines Überwachungsgremiums der DSGVO nicht nachkommt, unabhängig davon, was der ursprüngliche Verstoß war, wird eine hohe Strafe folgen.

Es handelt sich lediglich um Bußgelder. Artikel 82 gibt betroffenen Personen (Nutzern) das Recht, von Organisationen, die ihnen aufgrund von Verstößen gegen die DSGVO materielle oder immaterielle Schäden zugefügt haben, Schadenersatz zu verlangen.

Wie werden die GDPR-Bußgelder erhoben?

Gemäß der Allgemeinen Datenschutzverordnung werden die Sanktionen von der Datenschutzbehörde in jedem EU-Land verwaltet. Die Behörde bestimmt, ob gegen ein Gesetz verstoßen wurde und wie hoch das Strafmaß ist. Nachfolgend finden Sie die Kriterien, nach denen der Verstoß und die Höhe der Geldstrafe bestimmt werden –

Die Art und Schwere des Verstoßes: Hier geht es um den allgemeinen Grund des Verstoßes, z. B. was passiert ist, warum es passiert ist, wie viele Menschen betroffen waren, wie hoch der Schaden war und wann er behoben wurde.

Die Absicht des Verstoßes: In dieser Phase prüft die Datenschutzbehörde, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde.

Milderung: Hier wird geprüft, ob die Organisation Maßnahmen ergriffen hat, um den Schaden, den die betroffenen Personen durch den Verstoß erlitten haben, zu mindern.

Vorsorgemassnahmen: Der Umfang der technischen und organisatorischen Vorbereitungen, die von der Organisation zur Einhaltung der DSGVO getroffen wurden.

Die Geschichte des Unternehmens: Alle relevanten Verstöße in der Vergangenheit, einschließlich der Verstöße gemäß der Datenschutzrichtlinie (nicht nur der DSGVO) und der Einhaltung früherer administrativer Korrekturmaßnahmen gemäß der DSGVO.

Zusammenarbeit: Hier wird die Zusammenarbeit der Organisation mit den Aufsichtsbehörden zur Aufdeckung und Behebung von Verstößen überprüft.

Kategorie der Daten: Hier wird die Art der von den Verstößen betroffenen personenbezogenen Daten überprüft.

Benachrichtigung: Ob die Organisation oder der benannte Dritte die Verstöße proaktiv an die Datenschutzbehörde oder die Aufsichtsbehörde gemeldet hat.

Zertifizierung: Ob die Organisation den genehmigten und angemessenen Verhaltenskodex befolgt hat und ob sie zertifiziert ist.

Erschwerende Faktoren: Schließlich alle Aspekte, die sich aus den Umständen des Falles ergeben, einschließlich der finanziellen Vorteile, die durch den Verstoß erzielt wurden, sowie der vermiedenen Verluste.

Sobald die Datenschutzaufsichtsbehörden diese Punkte festgelegt haben und das Unternehmen mehrere Verstöße gegen die DSGVO begangen hat, wird es für den schwerwiegendsten Verstoß bestraft, vorausgesetzt, alle Verstöße sind Teil derselben Verarbeitungsvorgänge. Andernfalls drohen der Organisation hohe Strafen.

Wichtige Definitionen

In den letzten Grundlagen der Datenschutzverordnung werden mehrere Rechtsbegriffe ausführlich definiert; die wichtigsten sind jedoch im Folgenden aufgeführt.

Personenbezogene Daten: Personenbezogene Daten sind grundsätzlich alle Informationen, die sich auf eine Person beziehen und die direkt oder indirekt identifiziert werden können. Die offensichtlichsten persönlichen Daten sind Namen und E-Mail-Adressen, aber auch andere Daten wie Standort, ethnische Zugehörigkeit, Geschlecht, religiöse und politische Überzeugungen, Web-Cookies und biometrische Daten. Tatsächlich fallen auch pseudonyme Daten unter die Definition personenbezogener Daten, wenn es auch nur annähernd einfach ist, eine Person zu identifizieren.

Datenverarbeitung: Ob automatisiert oder manuell – jede Aktion, die mit Daten durchgeführt wird, fällt unter die Definition der Datenverarbeitung. Zu den Aktionen gehören das Sammeln, Aufzeichnen, Strukturieren, Speichern, Verwenden, Organisieren oder Löschen von Daten.

DSGVO, das vergessene Element in ERP-Systemen

Datensubjekt: Datensubjekt ist die Person, deren Daten verarbeitet werden; Kunden, Website-Besucher, Benutzer usw. sind Datensubjekte.

Datenverantwortlicher: Die Behörde, die entscheidet, warum und wie die personenbezogenen Daten einer Person verarbeitet werden müssen. Wenn Sie beispielsweise in Ihrem Unternehmen für den Umgang mit Daten verantwortlich sind, sind Sie der für die Datenverarbeitung Verantwortliche.

Datenverarbeiter: Ein Datenverarbeiter ist ein Dritter, der personenbezogene Daten im Auftrag eines Datenverantwortlichen verarbeitet. Im Rahmen der DSGVO gibt es besondere Regeln für datenverarbeitende Personen und Organisationen. Tatsache ist, dass zu den Datenverarbeitern auch Cloud-Server, E-Mail-Dienstleister und so weiter gehören können.

Anwendung der GDPR auf SAP-Systeme

Persönliche Daten sind überall, von Personalakten bis hin zu Bankdaten und mehr. Außerdem sind sie über mehrere Module in SAP verstreut, z. B. in mehreren Tabellen, Dokumenten, CRMs usw. Diese Daten können auch in Dokumenten wie Gehaltsabrechnungen, E-Mails, Rechnungen usw. enthalten sein. Sie können jedoch nicht einfach in SAP-Systemen gespeichert werden, ohne einen legitimen Zweck zu erfüllen. Daher kann die Anwendung und Sicherstellung der GDPR-Konformität in SAP-Systemen in der jetzigen Form eine schwierige Aufgabe sein. Wenn wir jedoch allgemein sprechen, können die folgenden Schritte befolgt werden –

  • Der erste Schritt besteht darin, festzustellen, welche Art von personenbezogenen Daten gespeichert wird und wo sie gespeichert werden.
  • Der zweite Schritt besteht darin, Regeln für die Aufbewahrung, Sperrung und Löschung von Daten nach bestimmten Zeiträumen festzulegen. Die Aufbewahrungsfrist richtet sich nach dem Zweck, für den die personenbezogenen Daten erhoben wurden. Zum Beispiel Rechnungsverwaltung, Anwendungsverwaltung, Auftragsverwaltung, usw.
  • Danach müssen die personenbezogenen Daten archiviert, gelöscht oder anonymisiert werden.

Denken Sie vor allem daran, dass es keine Einzellösung für die Bearbeitung von GDPR-Anfragen in SAP gibt, sondern dass es sich um eine Kombination von Tools handelt. Die wichtigste Lösung von SAP für GDPR ist das SAP Information Lifecycle Management oder SAP ILM, das SAP-Benutzern hilft, Richtlinien für die Datenaufbewahrung und die Vernichtung am Ende der Aufbewahrungsfristen zu definieren. Mit einigen anderen Tools von SAP-Partnern, wie dem Archiving Sessions Cockpit (ASC) der TJC Group, lässt sich dieser Prozess jedoch auch automatisieren.

SAP Information Lifecycle Management für die Einhaltung der GDPR

Mit Vorschriften wie der GDPR werden Organisationen einige Verpflichtungen zur Verarbeitung personenbezogener Daten auferlegt. Für Unternehmen, insbesondere für solche, die in der EU tätig sind oder dort Dienstleistungen anbieten, ist die beste Vorgehensweise zur Gewährleistung der Einhaltung der Datenschutzgrundverordnung (GDPR) bzw. der gesetzlichen Bestimmungen die Definition von Regeln für die Datenaufbewahrung mit einer Lösung, die von SAP kostenlos zur Verfügung gestellt wird, wenn sie zur Einhaltung der Datenschutzgesetze eingesetzt wird. SAP ILM geht über Ihre Standard-Datenarchivierung hinaus und versucht, ein ausgewogenes Verhältnis zwischen Gesamtbetriebskosten (TCO), Risiko und rechtlicher Compliance zu erreichen. Sie umfasst eine Reihe von Richtlinien, Prozessen, Praktiken und Tools, die erforderlich sind, um den geschäftlichen Wert der Informationen mit der am besten geeigneten und kostengünstigsten Infrastruktur in Einklang zu bringen.

Die Anwendung von SAP ILM in Ihren Abläufen zur Sicherstellung der GDPR-Compliance kann eine knifflige Angelegenheit sein. Mit der TJC Group können Sie sich jedoch von diesen Herausforderungen verabschieden. Wir sind Experten für Datenmanagement und mit unserem bewährten SAP ILM-Prozess können sich Unternehmen entspannt zurücklehnen. Wir können den Aufsichtsbehörden einen klaren Projektumfang und eine bewährte Methodik nachweisen, und das auch noch vollständig automatisiert.

Sehen Sie sich die Fallstudie der Dürr Group an, einem weltweit führenden Maschinen- und Anlagenbauer, der sich an uns gewandt hat, um einen Plan zur Löschung persönlicher Daten auf Projektebene zu erstellen.

Header web TJC Group Fallstudie Durr Group Datenlöschung und SAP ILM

Setzen Sie sich mit uns in Verbindung, um SAP ILM zu erlernen und zu implementieren und die Einhaltung des GDPR-Gesetzes in der EU sicherzustellen!

Häufig gestellte Fragen

Ist das GDPR-Gesetz auf Organisationen in den Vereinigten Staaten anwendbar?

Antwort: Die DSGVO ist im Kern ein EU-Gesetz. Sie gilt jedoch für jedes Unternehmen, das seine Website oder Dienste EU-Bürgern zur Verfügung stellt, also auch für Organisationen in den USA. Grundsätzlich muss jede Organisation, die ihre Dienstleistungen und Waren an EU-Bürger und ihre Mitgliedsstaaten anbietet, die Datenschutzgrundverordnung einhalten, unabhängig davon, in welchem Land sie ansässig ist.

Was ist eine GDPR-Einwilligung für Organisationen?

Antwort: Um sicherzustellen, dass der Einzelne mehr Kontrolle über seine persönlichen Daten hat, schreibt die DSGVO vor, dass Organisationen die Zustimmung des Einzelnen einholen müssen, bevor sie seine persönlichen Daten erfassen oder verarbeiten. Dieses Szenario ist jedoch nur unter bestimmten Umständen plausibel, nicht immer.

Was gilt als personenbezogene Daten im Sinne der EU-DSGVO?

Antwort: Tatsache ist, dass die DSGVO hauptsächlich für personenbezogene Daten gilt. Wenn Sie also wissen, welche Daten unter personenbezogene Daten fallen, die der DSGVO unterliegen, können Sie sich mühelos auf den Schutz Ihrer Daten konzentrieren. Gemäß der EU-DSGVO sind die häufigsten personenbezogenen Daten Namen und E-Mail-Adressen. Darüber hinaus sind auch Standort, ethnische Zugehörigkeit, Geschlecht, religiöse und politische Überzeugungen, Web-Cookies und biometrische Daten persönliche Daten. Darüber hinaus fallen auch pseudonyme Daten unter die Definition personenbezogener Daten, wenn es auch nur annähernd einfach ist, eine Person zu identifizieren.

Zurück zu allen Blogs
Business to Government Compliance Cybersecurity DART Datenmanagement S/4HANA-Migration DSGVO-Konformität Enterprise Legacy System Application (ELSA) Fichier des Écritures Comptables (FEC) IT-Trends Karriere Nachhaltigkeit SAF-T-Konformität SAP BTP SAP Information Lifecycle Management SAP-Datenarchivierung SAP-Datenverwaltung SAP-Highlights Steuer- und Prüfungsbereitschaft Systemstilllegungen Unternehmen der TJC-Gruppe Vorfall
July 2024June 2024May 2024April 2024March 2024February 2024January 2024December 2023November 2023October 2023September 2023August 2023July 2023June 2023May 2023April 2023March 2023February 2023January 2023December 2022November 2022October 2022September 2022August 2022June 2022April 2022March 2022February 2022December 2021November 2021October 2021September 2021July 2021June 2021May 2021April 2021March 2021February 2021January 2021December 2020November 2020October 2020September 2020August 2020June 2020May 2020April 2020March 2020February 2020January 2020December 2019October 2019September 2019July 2019November 2018August 2018July 2018June 2018April 2018February 2018December 2017May 2017February 2016December 2015May 2015February 2014March 2013

Aktuelle Artikel

Legacy system decommissioning and cybersecurity
The strategic imperative: Decommissioning legacy systems for better cybersecurity

02/07/2024 |  

7 Minute gelesen
Header TJC Group joins the American SAP User Group (ASUG)
TJC Group Joins the American SAP User Group (ASUG) Community

26/06/2024 |  

2 Minute gelesen

Mehr wie das

Header Key terminologies SAP Data Management

Unlocking SAP data management | Key terminologies explained 

17/06/2024 |  

9 Minute gelesen

Entschlüsselung des indischen Gesetzes zum Schutz digitaler persönlicher Daten (DPDP), 2023

23/05/2024 |  

6 Minute gelesen
data privacy

Datenschutz: Ihr absoluter Leitfaden zu dessen Bedeutung, Vorschriften und mehr

17/04/2024 |  

9 Minute gelesen