Ab dem 25. Mai 2018 tritt die EU-DSGVO (Datenschutz-Grundverordnung) auf Englisch GDPR (General Data Protection Regulation) und das neue BDSG (Bundesdatenschutzgesetzt) in kraft. Die Verordnung setzt neue Anforderungen an dem Umgang mit personenbezogenen Daten.

Insbesondere in SAP Systemlandschaften kann das neue Gesetzt zu Herausforderungen führen. Denn hier sind die personenbezogenen Daten nicht nur in den Produktiv-Systemen vorhanden sondern auch in Test-Systemen und Entwicklungs-Systemen.

 

Bereit für die EU-DSGVO?

Bereit für die EU-DSGVO?

DSGVO Definition

Auf Wikipedia [1] wird die Datenschutz-Grundverordnung (DSGVO) wie folgt beschrieben:

“Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden.”

Der typische SAP Systemaufbau

Viele SAP Kunden verwenden eine sogenannte 3-System Landschaft bestehend aus einem:

  • Entwicklungssystem (DEV System)
  • Testsystem (Qualitätssystem/ Q-System)
  • Produktivsystem (PROD System)

Die Datenschutz-Herausforderung bei vielen Unternehmen, die SAP im Einsatz haben, ist die Bereitstellung von anonymisierten Testdaten in den nicht-produktiven Landschaften wie z.B. Testsystemen und Entwicklungssystemen.

SAP ILM: DSGVO in Produktivsystemen

Für die Umsetzung der DSGVO in SAP-Landschaften, bietet SAP die Software-Lösung Information Lifecycle Management (ILM). Mit ILM werden personenbezogene Daten archiviert oder auch vernichtet. Es werden nicht nur personenbezogene Daten in Produktiv-Systemen betrachtet sondern auch in entsprechenden SAP Archivsystemen.

SAP ILM bietet ein ein Werkzeug zur Definition von Aufbewahrungsregeln mit denen die Aufbewahrungsfristne von Daten geregelt werden können, liefert jedoch keinen DSGVO Content aus. D.h. die Kunden müssen die Regeln komplett selbst festlegen.

Durch das Customizing im SAP ILM kann ein Regelwerk zur Ermittlung korrekter Haltefristen von Daten anhand verschiedener Kriterien durchlaufen werden.

Die Vernichtung der Daten wird ständig protokolliert und nachgewiesen.

DSGVO in SAP Nicht-produktiven Systemen

Wie bereits oben beschrieben besteht die Herausforderung die produktiven Daten anonymisiert in die Testlandschaft und Entwicklungslandschaft zu übertragen.

Insbesondere Daten aus folgenden Tabellen bedürfen der Anonymisierung:

ERP System:

  • ADCP – Zuordnung Person/Adresse (Business Address Services)
  • ADCPS – Schattentabelle: Zuordnung Person/Adresse (Busi. Adr. Serv)
  • ADR2 – Telefonnummern (Business Address Services)
  • ADR3 – Faxnummern (Business Address Services)
  • ADR6 – E-Mail-Adressen (Business Address Services)
  • ADRC – Adressen (Business Address Services)
  • ADRCS2 – Schattentabelle_2: Adressen (Business Address Services)
  • ADRP – Personen (Business Address Services)
  • KNA1 – Kundenstamm (allgemeiner Teil)
  • KNBK – Kundenstamm (Bankverbindungen)
  • LFA1 – Lieferantenstamm (allgemeiner Teil)
  • LFBK – Lieferantenstamm (Bankverbindungen)
  • REGUH – Regulierungsdaten aus Zahlprogramm
  • SEPA_MANDATE – Sepa Mandate
  • TIBAN – IBAN
  • BUT000 – GP: Allgemeine Daten I
  • BUT0BK – GP: Bankverbindungen
  • KNVK – Kundenstamm Ansprechpartner

Um zu erfahren welche Feldnamen in den jeweiligen Tabellen betroffen sind, treten Sie bitte mit mir in Kontakt:

 

Datenschutz Herausforderung bei Nicht-Produktiven Systemen

Typischerweise werden Qualitäts- bzw Testsysteme 1-2 mal im Jahr erstellt, Entwicklungssysteme haben meist gar keine produktiven,  anonymisierten Daten.

Dies ist dem Aufwand geschuldet, Produktiv-Systeme zu kopieren, und Daten anschließend auch zu anonymisieren. Des weiteren kann ein Entwicklungs-System auch nicht einfach überschrieben werden, da dort das aktuelle Customizing und die Weiterentwicklungen residieren.

Weiterführende Informationen

[1] DSGVO auf Wikipedia
[2] DSGVO Info Website

Effizienz beim Testen & Entwickeln

Über 10 Jahre habe ich als Projektleiter und Berater bei der SAP gearbeitet, danach im SAP Eco-System. In dieser Zeit habe ich die oben beschriebenen Prozesse und Herausforderungen am eigenen Leib erfahren. Ich habe aber auch Lösungen bei meinen Projekten kennengelernt, die das Testen sehr effizient gestaltet haben, sei es Test Automation oder die Bereitstellungen von anonymisierten Test-Daten in nichtproduktiven System gewesen.

Gerne teile ich meine Erfahrungen mit Ihnen und tausche mich unverbindlich mit Ihnen zu diesem Thema aus. Treten Sie hierzu einfach jetzt mit mir in Kontakt:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.