New call-to-action

GDPR | Wie können SAP-Systembenutzer das Risiko der Nichteinhaltung minimieren?

15-07-2024 | 6 Minute gelesen | DSGVO-Konformität, SAP Information Lifecycle Management, SAP-Datenarchivierung

Autor: Priyasha Purkayastha, Sr. Inhaltsverfasser | Co-Autor: Laura Parri Royo, Marketing Direktorin

Innerhalb der SAP-Gemeinschaft wurde die Nichteinhaltung der DSGVO stets als ernsthafte Bedrohung angesehen. Der Grund dafür ist die hohe Komplexität der SAP-Systemarchitektur und das große Datenvolumen, das in diesen Systemen verarbeitet wird. Dieser Artikel bietet einen detaillierten Überblick über die Allgemeine Datenschutzverordnung, die Höhe der Strafen, die Sie erwarten können, wenn Ihr Unternehmen als nicht konform gilt, und wie SAP-Anwender dieses Risiko mindern können. Lesen Sie weiter!

Inhalt

GDPR-Sanktionen | Wer wurde kürzlich mit einem Bußgeld belegt?

Im März 2024 stellte das Information Commissioner’s Office die Methoden klar, die es zur Berechnung der Bußgelder für Verstöße gegen das Datenschutzrecht in Großbritannien verwenden wird. Diese Klarstellung ist von Bedeutung, da 2023 für einige Unternehmen ein ziemlich teures Jahr war, wenn man die DSGVO in Betracht zieht.

Von allen in der Vergangenheit verhängten Bußgeldern musste Meta im Jahr 2023 eine Rekordstrafe in Höhe von 1,2 Milliarden Pfund für den nicht konformen Austausch von Daten zwischen seinen Niederlassungen in der EU und den USA zahlen. Dies war die höchste Geldstrafe, die jemals gegen ein Unternehmen wegen eines Verstoßes gegen die DSGVO verhängt wurde. Bedenken Sie jedoch, dass sie nicht die einzigen waren, die bestraft wurden; 2023 war ein arbeitsreiches Jahr. In diesem Zeitraum wurden auch TikTok und Spotify mit Geldstrafen in Millionenhöhe wegen Nichteinhaltung der DSGVO belegt. Spotify wurde in Schweden wegen mangelnder Transparenz bei der Verwendung der von seinen Nutzern erhobenen Daten mit einer Geldstrafe belegt. TikTok wurde mit einem Bußgeld belegt, weil das Unternehmen die personenbezogenen Daten von 1,4 Millionen Kindern unter 13 Jahren verarbeitet und es versäumt hat, diese Nutzer zu schützen und angemessene Kontrollen durchzuführen.

Diese Geschichten machen deutlich, dass die Risiken einer saftigen GDPR-Strafe seit der Flut von Fällen im Zeitraum 2019-2021, als Amazon, British Airways, Google, Marriott International und H&M – alle mit ziemlich hohen Geldstrafen wegen Nichteinhaltung konfrontiert wurden – gleich geblieben sind.

Geschichtsunterricht | Große Marken, die mit GDPR-Strafen konfrontiert wurden

  • Im Jahr 2021 wurde Amazon von der luxemburgischen Nationalen Kommission für Datenschutz (CNPD) zu einer Geldstrafe in Höhe von 746 Millionen Euro verurteilt, weil der Umgang mit personenbezogenen Daten nicht den Vorschriften entsprach.[1]
  • 2019 wurde Google von der französischen Datenschutzbehörde (CNIL) zu einer Geldstrafe von 50 Millionen Euro verurteilt, weil es bei personalisierten Anzeigen an Transparenz und gültiger Zustimmung mangelte.[2]
  • Im Jahr 2020 wurde British Airways vom britischen Information Commissioner’s Office (ICO) wegen einer Datenschutzverletzung, von der über 400.000 Kunden betroffen waren, zu einer Geldstrafe von 20 Millionen Pfund verurteilt. Der Verstoß betraf persönliche Daten wie Anmeldeinformationen, Zahlungskartendaten und Reisebuchungsinformationen.[3]
  • Im Jahr 2020 wurde Marriott von der ICO zu einer Geldstrafe in Höhe von 18,4 Millionen Pfund verurteilt, weil durch eine IT-bedingte Datenschutzverletzung die persönlichen Daten von rund 339 Millionen Gästen weltweit offengelegt wurden.[4]
  • Im Jahr 2020 wurde H&M von der deutschen Datenschutzbehörde zu einer Geldstrafe in Höhe von 35,3 Millionen Euro verurteilt, weil das Unternehmen umfangreiche Aufzeichnungen über das Privatleben seiner Mitarbeiter geführt hatte.[5]

Die häufigsten GDPR-Risiken für SAP-Systembenutzer

Marken wurden also wegen schwerer Verstöße gegen die Datenschutzbestimmungen mit einer Geldstrafe belegt – was bedeutet das für SAP-Anwender? Können sie auch mit einer Geldstrafe belegt werden? In der Tat, ja! Verstöße gegen die Allgemeine Datenschutzverordnung können zu hohen Strafen führen – unabhängig davon, ob Sie in der EU ansässig sind oder Bürger in der EU betreuen. Es gibt zwei verschiedene Stufen von Sanktionen, die die EU-Behörden bei Nichteinhaltung der Vorschriften gegen Organisationen verhängen. Die eine gilt für weniger schwere Verstöße mit Geldbußen bis zu 10%, die andere für schwere Verstöße mit Geldbußen bis zu 20%. Wir haben die Datenschutzgrundverordnung und ihre Sanktionen in dem unten stehenden Blog behandelt. Klicken Sie auf die Schaltfläche, um mehr zu erfahren!

GDPR in der EU | Ein umfassender Leitfaden, um alles darüber zu wissen!

Wenn es um die häufigsten GDPR-Risiken für Nutzer von SAP-Systemen geht, sollten Sie daran denken, dass SAP eines der leistungsfähigsten ERP-Systeme ist und in der Regel von großen Unternehmen eingesetzt wird. Benutzer betreiben ihre Unternehmen in der Regel an mehreren Standorten, was bedeutet, dass große Mengen an persönlichen Daten über verschiedene Module, Systeme und Standorte verteilt sind.

Mehr über die Herausforderungen der GDPR-Compliance für SAP-Anwender

Hinzu kommt, dass SAP von vielen verschiedenen Unternehmensfunktionen genutzt wird – vom Finanzwesen über die Fertigung und das Personalwesen bis hin zum Kundenbeziehungsmanagement. Das bedeutet, dass verschiedene Arten von Daten über Personen, Personal, Kunden und Lieferanten in mehreren Datenbanken gespeichert werden. Alle diese erworbenen Daten müssen in Übereinstimmung mit den grundlegenden Anforderungen der DSGVO verarbeitet und gespeichert werden. Dazu gehört, dass Daten nur so lange gespeichert werden, wie sie benötigt werden (das Recht auf Vergessenwerden), dass die gespeicherten Daten korrekt sind und dass sie rechtmäßig verarbeitet werden. Es ist jedoch zu beobachten, dass Unternehmen das Führen von Aufzeichnungen oft auf die leichte Schulter nehmen, was zu zahlreichen Verstößen gegen die Vorschriften führt. In der Tat ist die schlechte Aufbewahrung von Unterlagen einer der häufigsten Verstöße gegen die DSGVO.

Datenschutz: Ihr absoluter Leitfaden zu dessen Bedeutung, Vorschriften und mehr

SAP wirbt mit dem Konzept, den Kern sauber zu halten, um sicherzustellen, dass die Benutzer die maximale Systemleistung nutzen können. Dies birgt zusätzliche Risiken für die Nutzer von SAP-Systemen, da sie Anwendungen und Dienste von Drittanbietern integrieren müssen, um spezifischere Systemfunktionen zu erhalten. Das bedeutet, dass Integrationen mit anderen Anbietern ebenfalls konform sein müssen, sowohl in Bezug auf die Art und Weise des Datenaustauschs zwischen Systemen als auch auf die individuelle GDPR-Konformität des Systemanbieters. Neben der Systemkomplexität ist die Sicherheit ein weiterer wichtiger Risikofaktor für SAP-Anwender. Unternehmen, die SAP-Systeme verwenden, müssen über strenge Zugriffskontrollen verfügen, um sicherzustellen, dass unbefugte Benutzer keinen Zugriff auf Daten erhalten, die sie nicht einsehen oder verarbeiten dürfen.

Rechte des Einzelnen

Die wichtigste Änderung, die die GDPR-Gesetzgebung mit sich gebracht hat, ist das Maß an Kontrolle, das jeder Einzelne nun über die Art und Weise hat, wie persönliche Daten verwendet werden können. Sie können Zugang zu allen über sie gespeicherten Daten beantragen und verlangen, dass diese geändert oder gelöscht werden. Alle Benutzer des SAP-Systems müssen über Systeme verfügen, die sicherstellen, dass eine solche Anfrage sehr schnell ausgeführt werden kann. Einer der Benutzer der TJC Group hat uns mit einem Projekt beauftragt, um genau dies zu tun und sicherzustellen, dass sie bereit sind, diese Anfragen zu erfüllen, wenn sie in Zukunft gestellt werden.

TJC Group Fallstudie Carlsberg Group SAP-Datenarchivierung und GDPR-Compliance

Damit verbunden ist das ‚Recht auf Vergessenwerden‘ – die Verpflichtung, im Falle einer Datenschutzverletzung schnell zu reagieren. Dies ist sehr wichtig, denn das größte Risiko für Datenverluste bei Unternehmen sind Cyberangriffe, und Hacker haben es zunehmend auf persönliche Daten abgesehen. Im Falle einer Datenschutzverletzung müssen SAP-Anwender in der Lage sein, die Verletzung innerhalb von 72 Stunden zu erkennen, darauf zu reagieren und sie zu melden, wie es die GDPR-Bestimmungen vorschreiben.

Wie minimieren wir die Risiken einer Nichteinhaltung der DSGVO?

Es gibt viele Möglichkeiten für SAP-Anwender, sich selbst zu helfen und ihr Risiko der Nichteinhaltung der DSGVO zu verringern. Eine der effektivsten Möglichkeiten ist die Implementierung von SAP Information Lifecycle Management (ILM). Hier erfahren Sie, wie ILM hilft, die Nichteinhaltung der GDPR zu vermeiden –

Verwaltung der Datenspeicherung

ILM hilft Unternehmen bei der Definition und Durchsetzung von Richtlinien zur Datenaufbewahrung. Indem ILM festlegt, wie lange verschiedene Arten von Daten aufbewahrt werden sollen, stellt ILM sicher, dass personenbezogene Daten nur so lange wie nötig aufbewahrt werden, was eine entscheidende Anforderung der DSGVO ist. Es automatisiert die Löschung von Daten, sobald die Aufbewahrungsfrist abgelaufen ist, und verringert so das Risiko, dass Daten unrechtmäßig aufbewahrt werden.

Datenarchivierung

ILM ermöglicht die effiziente Archivierung von Daten, die nicht mehr aktiv genutzt werden, aber aus Compliance- oder Geschäftsgründen aufbewahrt werden müssen. Die archivierten Daten werden sicher gespeichert und können bei Bedarf abgerufen werden, so dass Unternehmen die Notwendigkeit des Datenzugriffs mit den Compliance-Anforderungen in Einklang bringen können.

Löschung und Vernichtung von Daten

ILM bietet Funktionen für die sichere Löschung und Vernichtung von Daten. Dadurch wird sichergestellt, dass personenbezogene Daten auf kontrollierte und überprüfbare Weise dauerhaft aus dem System entfernt werden können, wodurch das Recht auf Vergessenwerden gemäß GDPR erfüllt wird.

Fazit

Unternehmen, die SAP-Systeme verwenden, müssen auf die Einhaltung der Datenschutzgrundverordnung achten, denn es drohen erhebliche Strafen. Sie sollten sicherstellen, dass robuste Datenschutzmaßnahmen vorhanden sind, dass regelmäßige Audits durchgeführt werden und dass eine genaue Dokumentation vorhanden ist, um das Risiko zu minimieren, dass eine Nichteinhaltung festgestellt wird.

GDPR, Einhaltung der allgemeinen Datenschutzverordnung | TJC Group

Dennoch müssen Unternehmen auch bei der Implementierung von SAP ILM äußerst vorsichtig sein, da die Umsetzung schwierig sein kann. In solchen Fällen brauchen Sie Partner, die den Prozess für Sie reibungslos gestalten, und die TJC Group ist hier, um Ihnen zu helfen. Unser umfangreiches Fachwissen in den Bereichen ILM, Datenarchivierung und Datenmanagement kann Ihnen nicht nur bei der Einhaltung der GDPR helfen, sondern auch bei der Reduzierung der TCO, der Sicherheit und der rechtlichen Risiken. Kontaktieren Sie uns jetzt für weitere Informationen!

Zurück zu allen Blogs
Business to Government Compliance Cybersecurity DART Datenmanagement S/4HANA-Migration DSGVO-Konformität Enterprise Legacy System Application (ELSA) Fichier des Écritures Comptables (FEC) IT-Trends Karriere Nachhaltigkeit SAF-T-Konformität SAP BTP SAP Information Lifecycle Management SAP-Datenarchivierung SAP-Datenverwaltung SAP-Highlights Steuer- und Prüfungsbereitschaft Systemstilllegungen Unternehmen der TJC-Gruppe Vorfall
August 2024July 2024June 2024May 2024April 2024March 2024February 2024January 2024December 2023November 2023October 2023September 2023August 2023July 2023June 2023May 2023April 2023March 2023February 2023January 2023December 2022November 2022October 2022September 2022August 2022June 2022April 2022March 2022February 2022December 2021November 2021October 2021September 2021July 2021June 2021May 2021April 2021March 2021February 2021January 2021December 2020November 2020October 2020September 2020August 2020June 2020May 2020April 2020March 2020February 2020January 2020December 2019October 2019September 2019July 2019November 2018August 2018July 2018June 2018April 2018February 2018December 2017May 2017February 2016December 2015May 2015February 2014March 2013

Aktuelle Artikel

SAP DRC: The components that make the solution stand apart
SAP DRC: The components that make the solution stand apart

21/08/2024 |  

8 Minute gelesen
Team Spotlight_Anurag Shrivastava
Team Spotlight | Anurag Shrivastava – Sr. SAP Archiving/ILM consultant

12/08/2024 |  

4 Minute gelesen

Mehr wie das

Quebec Law 25: what is it and what

Quebecs Datenschutzgesetz 25: Was es ist und wie man es einhält

29/07/2024 |  

8 Minute gelesen
Header Key terminologies SAP Data Management

Unlocking SAP data management | Key terminologies explained 

17/06/2024 |  

9 Minute gelesen
GDPR, EU

GDPR in der EU | Ein umfassender Leitfaden, um alles darüber zu wissen!

14/06/2024 |  

13 Minute gelesen