Christian Ballhorn

ist Head of Engineering bei PROCON IT mit den Schwerpunkten SAP und Big Data

Data & StorageDatenbank

DSGVO: Das Business Warehouse fit machen für die neue Verordnung

Wenn die DSGVO im Mai in Kraft tritt, werden Anwender vor der Frage stehen, wo sind eigentlich die Daten im Unternehmen verteilt, weiß Christian Ballhorn von Procon IT.

Das Inkrafttreten der neuen Datenschutzgrundverordnung (DSGVO) steht vor der Tür. Das bedeutet für Unternehmen, dass sie personenbezogene Daten auf Anfrage löschen bzw. Auskunft über die Verarbeitung geben müssen. Für viele ist das eine große Herausforderung, da oft ein Gesamtüberblick über alle Daten im Unternehmen fehlt. Daher gilt es, sich entsprechend vorzubereiten: Unternehmen müssen eine genaue Bestandsaufnahme ihrer Daten machen, welche Daten gelöscht werden müssen oder in welchen Fällen eine Anonymisierung ausreicht.

Unternehmen, die das SAP Business Warehouse (SAP BW) einsetzen, entwickeln darauf im Laufe der Zeit verschiedene Applikationen. Eine gewisse Komplexität entsteht dadurch, dass neue Anforderungen hinzukommen, für die neue Applikationen entwickelt oder bestehende weiterentwickelt werden – häufig ohne zentrale Steuerung und ohne andere Applikationen zu involvieren. Nach und nach geht somit der Gesamtüberblick verloren. Hinzu kommt, dass das BW-Datenmodell nicht darauf ausgelegt ist, Stammdaten einfach so zu löschen: Im BW sind Stammdaten (z.B. Personalnummer, Adresse) die Basis und werden mit Bewegungsdaten (z.B. Bestellvorgänge, Rechnungsstellungen) verknüpft.

Werden also Stammdaten ohne Verwendung der Standard-Tools gelöscht, läuft das BW-System fehlerhaft und kann keine korrekten Reports mehr ausgeben. Daher müssen erst die relevanten Verknüpfungen zwischen Stamm- und Bewegungsdaten aufgehoben werden. Denn auch die Löschung der Bewegungsdaten ist keine Option, da diese oft für Reports oder das Controlling benötigt werden. Was also tun? Im Rahmen der neuen DSGVO ist es in vielen Fällen ausreichend, personenbezogene Daten lediglich so zu anonymisieren, sodass keinerlei Verbindung zur Person hergestellt werden kann. Eine zukünftige Herangehensweise zur Vermeidung weiterer Aufwände sollte daher auch sein, wo möglich, auf personenbezogene Daten zu verzichten. So stellen Unternehmen sicher, dass sie DSGVO-konform sind und gleichzeitig noch valide Reports erstellen können.

Bestandsaufnahme: Wo liegt was?

Bevor anonymisiert werden kann, müssen Unternehmen wissen, wo im BW-System personenbezogene Daten vorhanden sind. Dazu müssen sie ihre Dokumentation (Architekturdiagramme, Reporting Cards, etc.) auf den aktuellen Stand bringen: In welchen Stammdaten-Objekten und in welchen Bewegungsdaten-Objekten befinden sich personenbezogene Daten? Wo sind personenbezogene Daten gespeichert? In welchen Berichten werden sie ausgewertet? Welche Personen haben Zugriff darauf? Dabei handelt es sich zwar um einen zeitaufwändigen Prozess, der aber unbedingt nötig ist. Denn sollten Mitarbeiter, Kunden oder andere Personen verlangen, dass die persönlichen Daten gelöscht bzw. anonymisiert werden, müssen Unternehmen wissen, wo sie überall sie gespeichert und verwendet werden.

Datenschutz (Bild: Shutterstock)

Idealerweise arbeiten IT-, Fach- und Rechtsabteilung aus dem Unternehmen gemeinsam an der Dokumentation und Festlegung der Maßnahmen. Die IT legt dabei fest, wo und wie die Daten verarbeitet werden. Der Fachbereich weiß, welche Daten wie ausgewertet werden müssen und die Rechtsabteilung gibt die Zeiträume vor, in denen Löschung und Anonymisierung erfolgen sollen. So stellen Unternehmen sicher, dass die DSGVO richtig und nicht überinterpretiert wird. Es ist wichtig, dass vor Abschluss dieser Bestandsaufnahme keine Daten unwiederbringlich gelöscht werden, um berichtsrelevante Daten weiterhin verfügbar zu haben. Durch die Bestandsaufnahme ist auch zu sehen, welche Daten man anonymisiert für Reporting-Zwecke behalten sollte und welche gänzlich gelöscht werden können.

Ausgewähltes Whitepaper

Erfolgreiche Cyber-Sicherheit erfordert eine neue Sichtweise

Ein Plattformansatz verringert die Risiken und beschleunigt die Implementierung und Integration. Unternehmen können Sicherheitslösungen schneller und mit weniger Aufwand sowie Komplexität bereitstellen, wie McAfee in diesem Whitepaper erklärt. 

Frühjahrsputz im Business Warehouse

Da in einem Unternehmen täglich neue personenbezogene Daten gespeichert werden, wirken sich die Anforderungen der DSGVO dauerhaft auf laufende und zukünftige Entwicklungsprojekte aus. Daher sollte zur DSGVO beispielsweise ein Handbuch oder ein Kapitel in den Entwicklungsrichtlinien erstellt werden, um die Berücksichtigung auch in Zukunft sicherzustellen. Zudem empfiehlt es sich, automatisierte Lösch- und Anonymisierungsregeln zu definieren, damit nicht jedes Objekt manuell bearbeitet werden muss.

Grundsätzlich sollten Unternehmen die DSGVO für einen „Frühjahrsputz“ nutzen, um auch für sich einen Mehrwert zu generieren. Durch die gründliche Bestandsaufnahme sowie die Identifizierung und Entfernung von alten Objekten befinden sich weniger Daten im Business Warehouse. So wird weniger Speicherplatz benötigt, was sich letztendlich auch positiv auf die Betriebskosten auswirkt.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.