Europäische Datenschutzanforderungen erreichen die SAP Banking Community
02.08.2017 | News & Presse
Die weitgehenden Compliance-Anforderungen zum Datenschutz aus der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) waren eines der Hauptthemen der diesjährigen DSAG-Tagung der SAP Banking-Arbeitskreise. Bei einigen SAP Banking-Nutzern sind die Anforderungen analysiert und Umsetzungsprojekte gestartet oder in Vorbereitung. Bei anderen reift erst die Erkenntnis, dass das Thema auf der Agenda steht. „Die Anforderungen aus der EU-DSGVO sind nicht trivial, und der Zeitraum für die Umsetzung ist endlich“, erläutert Konrad Wehner vom SAP Banking-Branchenspezialisten b²tec Software GmbH und Referent auf der DSAG-Tagung.
Neben eher fachlich-organisatorischen Themen - wie erweiterten Nachweis- und Dokumentationspflichten von Prozessen und Systemen sowie bei Verträgen mit Kunden, Mitarbeitern und Dienstleistern – stehen Themen mit hoher IT-Relevanz. So haben unter anderem Kunden ein Recht auf die Portierbarkeit Ihrer personenbezogenen Daten in elektronischer Form. Auch steht ihnen die Beauskunftung über die sie betreffenden, gespeicherten Daten zu – und dazu zählen auch archivierte Daten.
Die vermutlich größte Aufgabe wird jedoch das Löschen von personenbezogenen Daten beziehungsweise das Einschränken der Nutzung dieser Daten. Diese Forderung ist zwar, wie viele der oben genannten Punkte, nicht wirklich neu, da sie bereits im Bundesdatenschutzgesetz (BDSG) verankert war. Mit der EU-DSGVO geht jetzt aber eine drastische Veränderung der Strafandrohung einher – statt bisher maximal 300.000 Euro bis zu vier Prozent des weltweiten Jahresumsatzes. Damit besteht neben den Reputationsrisiken nun auch ein erhebliches finanzielles Risiko.
Das Löschen bzw. das Einschränken der Datennutzung wird potentiell den Löwenanteil eines zu veranschlagenden Projektbudgets ausmachen. Denn natürlich sind die vielen Aufbewahrungsfristen, aus welchen gesetzlichen Regeln sie sich auch immer ergeben sollten, nach wie vor zu beachten. Hier gilt „Aufbewahren vor Löschen“ – aber natürlich nur genau bis zum Ende der Aufbewahrungsfrist. Eine zusätzlich Komplikation ergibt sich aus dem ggf. für die Verfolgung von Rechtsfällen erforderlichen Nicht-Löschen von personenbezogenen Daten – im anglo-amerikanischen gerne als „Legal Hold“ bezeichnet.
SAP empfiehlt zur Einhaltung der europäischen Datenschutz-Grundverordnung die Nutzung von SAP Information Lifecycle Management (SAP ILM). SAP Information Lifecycle Management ermöglicht die Verwaltung des Lebenszyklus sowohl produktiver als auch archivierter (personenbezogenen) Daten. So lassen sich Regeln für die Abbildung juristischer oder regulatorischer Aufbewahrungsvorgaben definieren; Daten, die für Rechtsfälle relevant sind, können vor dem Löschen bewahrt werden; schlussendlich erfolgt die Datenlöschung exakt zum definierten Zeitpunkt. Allerdings wirkt SAP ILM nur auf die Datenbestände, die unter SAP verwaltet werden.
Die b²tec unterstützt mehrere namhafte deutsche Banken in der konzeptionellen Vorbereitung und der fachlich/technischen Umsetzung der EU-DSGVO. Mitarbeiter der b²tec haben in diesem Zusammenhang umfassende Vorstudien zur EU-DSGVO im Inland und europäischen Ausland begleitet und sind derzeit bei zwei großen Bankinstituten in den Umsetzungsprojekten eingebunden.