Autor: Priyasha Purkayastha, Sr. Inhaltsverfasser | Co-Autor: Laura Parri Royo, Marketing Direktorin
Innerhalb der SAP-Gemeinschaft wurde die
Nichteinhaltung der DSGVO stets als ernsthafte Bedrohung angesehen. Der Grund
dafür ist die hohe Komplexität der SAP-Systemarchitektur und das große
Datenvolumen, das in diesen Systemen verarbeitet wird. Dieser Artikel bietet
einen detaillierten Überblick über die Allgemeine Datenschutzverordnung, die
Höhe der Strafen, die Sie erwarten können, wenn Ihr Unternehmen als nicht
konform gilt, und wie SAP-Anwender dieses Risiko mindern können. Lesen Sie
weiter!
Inhalt
GDPR-Sanktionen | Wer wurde kürzlich mit einem Bußgeld belegt?
Im März 2024 stellte das Information Commissioner’s Office die Methoden klar, die es zur Berechnung der Bußgelder für Verstöße gegen das Datenschutzrecht in Großbritannien verwenden wird. Diese Klarstellung ist von Bedeutung: 2023 war für einige Unternehmen ein ziemlich teures Jahr, wenn man die DSGVO in Betracht zieht.
Von allen in der Vergangenheit verhängten Bußgeldern musste Meta im Jahr 2023 eine Rekordstrafe in Höhe von 1,2 Milliarden Pfund für den nicht konformen Austausch von Daten zwischen seinen Niederlassungen in der EU und den USA zahlen. Dies war die höchste Geldstrafe, die jemals gegen ein Unternehmen wegen eines Verstoßes gegen die DSGVO verhängt wurde. Bedenken Sie jedoch, dass sie nicht die einzigen waren, die bestraft wurden. In 2023 wurden auch TikTok und Spotify mit Geldstrafen in Millionenhöhe wegen Nichteinhaltung der DSGVO belegt. Spotify wurde in Schweden wegen mangelnder Transparenz bei der Verwendung der von seinen Nutzern erhobenen Daten mit einer Geldstrafe belegt. TikTok wurde mit einem Bußgeld belegt, weil das Unternehmen die personenbezogenen Daten von 1,4 Millionen Kindern unter 13 Jahren verarbeitet und es versäumt hat, diese Nutzer zu schützen und angemessene Kontrollen durchzuführen.
Diese Anekdoten machen deutlich, dass die Risiken einer saftigen GDPR-Strafe seit der Flut von Fällen im Zeitraum 2019-2021, als Amazon, British Airways, Google, Marriott International und H&M – alle mit ziemlich hohen Geldstrafen wegen Nichteinhaltung konfrontiert wurden – gleich geblieben sind.
Geschichtsunterricht | Große Marken, die mit GDPR-Strafen konfrontiert wurden
- Im Jahr 2021 wurde Amazon von der luxemburgischen Nationalen Kommission für Datenschutz (CNPD) zu einer Geldstrafe in Höhe von 746 Millionen Euro verurteilt, weil der Umgang mit personenbezogenen Daten nicht den Vorschriften entsprach.[1]
- 2019 wurde Google von der französischen Datenschutzbehörde (CNIL – Commission nationale Informatique et Libertés) zu einer Geldstrafe von 50 Millionen Euro verurteilt, weil es bei personalisierten Anzeigen an Transparenz und gültiger Zustimmung mangelte.[2]
- Im Jahr 2020 wurde British Airways vom britischen Information Commissioner’s Office (ICO) wegen einer Datenschutzverletzung, von der über 400.000 Kunden betroffen waren, zu einer Geldstrafe von 20 Millionen Pfund verurteilt. Der Verstoß betraf persönliche Daten wie Anmeldeinformationen, Zahlungskartendaten und Reisebuchungsinformationen.[3]
- Im Jahr 2020 wurde Marriott von der ICO zu einer Geldstrafe in Höhe von 18,4 Millionen Pfund verurteilt, weil durch eine IT-bedingte Datenschutzverletzung die persönlichen Daten von rund 339 Millionen Gästen weltweit offengelegt wurden.[4]
- Im Jahr 2020 wurde H&M von der deutschen Datenschutzbehörde zu einer Geldstrafe in Höhe von 35,3 Millionen Euro verurteilt, weil das Unternehmen umfangreiche Aufzeichnungen über das Privatleben seiner Mitarbeiter geführt hatte.[5]
Die häufigsten GDPR-Risiken für SAP-Systembenutzer
Marken wurden also wegen schwerer Verstöße gegen die Datenschutzbestimmungen mit einer Geldstrafe belegt – was bedeutet das für SAP-Anwender? Können sie auch mit einer Geldstrafe belegt werden? Natürlich! Verstöße gegen die Allgemeine Datenschutzverordnung können zu hohen Strafen führen – unabhängig davon, ob Sie in der EU ansässig sind oder Bürger in der EU betreuen. Es gibt zwei verschiedene Stufen von Sanktionen, die die EU-Behörden bei Nichteinhaltung der Vorschriften gegen Organisationen verhängen. Die eine gilt für weniger schwere Verstöße mit Geldbußen bis zu 10%, die andere für schwere Verstöße mit Geldbußen bis zu 20%. Wir haben die Datenschutzgrundverordnung und ihre Sanktionen in dem unten stehenden Blog behandelt. Klicken Sie auf die Schaltfläche, um mehr zu erfahren!
GDPR IN DER EU | EIN UMFASSENDER LEITFADEN, UM ALLES DARÜBER ZU WISSEN!
Wenn es um die häufigsten GDPR-Risiken für Nutzer von SAP-Systemen geht, sollten Sie daran denken, dass SAP eines der leistungsfähigsten ERP-Systeme ist und in der Regel von großen Unternehmen eingesetzt wird. Benutzer betreiben ihre Unternehmen in der Regel an mehreren Standorten, was bedeutet, dass große Mengen an persönlichen Daten über verschiedene Module, Systeme und Standorte verteilt sind.
Mehr über die Herausforderungen der GDPR-Compliance für SAP-Anwender
Hinzu kommt, dass SAP von vielen verschiedenen Unternehmensfunktionen genutzt wird – vom Finanzwesen über die Fertigung und das Personalwesen bis hin zum Kundenbeziehungsmanagement. Das bedeutet, dass verschiedene Arten von Daten über Personen, Personal, Kunden und Lieferanten in mehreren Datenbanken gespeichert werden. Alle diese erworbenen Daten müssen in Übereinstimmung mit den grundlegenden Anforderungen der DSGVO verarbeitet und gespeichert werden. Dazu gehört, dass Daten nur so lange gespeichert werden, wie sie benötigt werden (das Recht auf Vergessenwerden), dass die gespeicherten Daten korrekt sind und dass sie rechtmäßig verarbeitet werden. Es ist jedoch zu beobachten, dass Unternehmen das Führen von Aufzeichnungen oft auf die leichte Schulter nehmen, was zu zahlreichen Verstößen gegen die Vorschriften führt. In der Tat ist die schlechte Aufbewahrung von Unterlagen einer der häufigsten Verstöße gegen die DSGVO.
DATENSCHUTZ: IHR ABSOLUTER LEITFADEN ZU DESSEN BEDEUTUNG, VORSCHRIFTEN UND MEHR
SAP wirbt mit dem Konzept, den Kern sauber zu halten, um sicherzustellen, dass die Benutzer die maximale Systemleistung nutzen können. Dies birgt zusätzliche Risiken für die Nutzer von SAP-Systemen, da sie Anwendungen und Dienste von Drittanbietern integrieren müssen, um spezifischere Systemfunktionen zu erhalten. Das bedeutet, dass Integrationen mit anderen Anbietern ebenfalls konform sein müssen, sowohl in Bezug auf die Art und Weise des Datenaustauschs zwischen Systemen als auch auf die individuelle GDPR-Konformität des Systemanbieters. Neben der Systemkomplexität ist die Sicherheit ein weiterer wichtiger Risikofaktor für SAP-Anwender. Unternehmen, die SAP-Systeme verwenden, müssen über strenge Zugriffskontrollen verfügen, um sicherzustellen, dass unbefugte Benutzer keinen Zugriff auf Daten erhalten, die sie nicht einsehen oder verarbeiten dürfen.
Personenrecht
Die wichtigste Änderung, die die GDPR-Gesetzgebung mit sich gebracht hat, ist das Maß an Kontrolle, das jeder Einzelne nun über die Art und Weise hat, wie persönliche Daten verwendet werden können. Sie können Zugang zu allen über sie gespeicherten Daten beantragen und verlangen, dass diese geändert oder gelöscht werden. Alle Benutzer des SAP-Systems müssen über Systeme verfügen, die sicherstellen, dass eine solche Anfrage sehr schnell ausgeführt werden kann. Einer der Benutzer von TJC Group hat uns mit einem Projekt beauftragt, um genau dies zu tun und sicherzustellen, dass sie bereit sind, diese Anfragen zu erfüllen, wenn sie in Zukunft gestellt werden.
Damit verbunden ist das ‚Recht auf Vergessenwerden‘ – die Verpflichtung, im Falle einer Datenschutzverletzung schnell zu reagieren. Dies ist sehr wichtig, denn das größte Risiko für Datenverluste bei Unternehmen sind Cyberangriffe, und Hacker haben es zunehmend auf persönliche Daten abgesehen. Im Falle einer Datenschutzverletzung müssen SAP-Anwender in der Lage sein, die Verletzung innerhalb von 72 Stunden zu erkennen, darauf zu reagieren und sie zu melden, wie es die GDPR-Bestimmungen vorschreiben.
Wie minimieren wir die Risiken einer Nichteinhaltung der DSGVO?
Es gibt viele Möglichkeiten für SAP-Anwender, sich selbst zu helfen und ihr Risiko der Nichteinhaltung der DSGVO zu verringern. Eine der effektivsten Möglichkeiten ist die Implementierung von SAP Information Lifecycle Management (ILM). Hier erfahren Sie, wie ILM hilft, die Nichteinhaltung der GDPR zu vermeiden.
Verwaltung der Datenspeicherung
ILM hilft Unternehmen bei der Definition und Durchsetzung von Richtlinien zur Datenaufbewahrung. Indem ILM festlegt, wie lange verschiedene Arten von Daten aufbewahrt werden sollen, stellt ILM sicher, dass personenbezogene Daten nur so lange wie nötig aufbewahrt werden, was eine entscheidende Anforderung der DSGVO ist. Es automatisiert die Löschung von Daten, sobald die Aufbewahrungsfrist abgelaufen ist, und verringert so das Risiko, dass Daten unrechtmäßig aufbewahrt werden.
Datenarchivierung
ILM ermöglicht die effiziente Archivierung von Daten, die nicht mehr aktiv genutzt werden, aber aus Compliance- oder Geschäftsgründen aufbewahrt werden müssen. Die archivierten Daten werden sicher gespeichert und können bei Bedarf abgerufen werden, so dass Unternehmen die Notwendigkeit des Datenzugriffs mit den Compliance-Anforderungen in Einklang bringen können.
Löschung und Vernichtung von Daten
ILM bietet Funktionen für die sichere Löschung und Vernichtung von Daten. Dadurch wird sichergestellt, dass personenbezogene Daten auf kontrollierte und überprüfbare Weise dauerhaft aus dem System entfernt werden können, wodurch das Recht auf Vergessenwerden gemäß GDPR erfüllt wird.
Fazit
Unternehmen, die SAP-Systeme verwenden, müssen auf die Einhaltung der Datenschutzgrundverordnung achten, denn es drohen erhebliche Strafen. Sie sollten sicherstellen, dass robuste Datenschutzmaßnahmen vorhanden sind, dass regelmäßige Audits durchgeführt werden und dass eine genaue Dokumentation vorhanden ist, um das Risiko zu minimieren, dass eine Nichteinhaltung festgestellt wird.
Dennoch müssen Unternehmen auch bei der Implementierung von SAP ILM äußerst vorsichtig sein, da die Umsetzung schwierig sein kann. In solchen Fällen brauchen Sie Partner, die den Prozess für Sie reibungslos gestalten, und TJC Group ist hier, um Ihnen zu helfen. Unser umfangreiches Fachwissen in den Bereichen ILM, Datenarchivierung und Datenmanagement kann Ihnen nicht nur bei der Einhaltung der GDPR helfen, sondern auch bei der Reduzierung der TCO, der Sicherheit und der rechtlichen Risiken. Kontaktieren Sie uns jetzt für weitere Informationen!