praktische umsetzung eines datenschutz … · praktische umsetzung eines datenschutz...

Praktische Umsetzung eines Datenschutz Managementsystems im SAP Support

Hermann-Josef SchwabDatenschutzbeauftragter SAP AG

GDD Erfa-Kreis Workshop8. Juni 2011 in Stuttgart

© 2011 SAP AG. All rights reserved. 2

Agenda

Motivation und Ziele

Die SAP Support Organisation

Aufbau eines Datenschutz Managementsystems (DSMS)

Integration und Umsetzung des DSMS in ISO 9001

Ausblick


53.513 SAP-MITARBEITER WELTWEIT

JAHRESUMSATZ ÜBER 12,5 MRD. €

ÜBER 109.000 UNTERNEHMEN IN MEHR ALS 120 LÄNDERN SETZEN SAP-SOFTWARE EIN


38 Jahre Branchenerfahrung

DIENST-LEISTUNGEN

KONSUMGÜTER-INDUSTRIE

HANDEL

FINANZDIENST-LEISTUNGEN

PROZESS-INDUSTRIE

FERTIGUNGS-INDUSTRIE

ÖFFENT-LICHEVERWAL-TUNG


SAP-Produktstrategie

ON DEVICEZugriff unabhängig

vom Zeitpunkt und Ort

ON DEMANDPlattform für Analysen und Informationsmanagement

ON PREMISEGeschäftsprozessplattform


Definition Auftragsdatenverarbeitung

Eine Auftragsdatenverarbeitung wird für die Fälle angenommen, in denen die technische Abwicklung der Datenverarbeitung [personenbezogener Daten] auf einenDritten - den Auftragnehmer – übertragen wird, während die inhaltliche Verantwortung für die Aufgabenerfüllung beim Auftraggeber verbleibt.Quelle: Webseite des Bundesdatenschutzbeauftragten www.bfdi.de

Datenverarbeitung im Auftrag … ist die Speicherung, Veränderung, Übermittlung, Sperrung oder Löschung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers. Quelle: BITKOM www.bitkom.org

Aufgrund § 11 Abs. 5 BDSG ist die Wartung “entsprechend" zu behandeln, wenn dabei ein Zugriff auf personenbe-zogene Daten nicht ausgeschlossen werden kann.


Änderung BDSG § 11 Auftragsdatenverarbeitung 2009

Gestiegene Anforderungen an Vertragsinhalte

Anpassungen in bestehenden Verträgen und Vertrags-templates, ggf. kundenindividuelle Anpassungen

Detaillierungsgrad der technisch-organisatorischen Maßnahmen (TOM) erhöht

Gestiegene Anforderungen an Kontrollen

Kontrolle der TOM vor Beginn der Verarbeitung

Regelmäßige Kontrollen der TOM während Verarbeitung

Dokumentation der Kontrollen

Bußgeldtatbestand bei fehlender Erstkontrolle


Realisierungsalternativen der Kontrollen

Gesetzesbegründung (BT Drucksache 16/13657):

Nur durch eine Dokumentation lässt sich der Handlungszeitpunkt nachweisen und kann sich der Auftraggeber z. B. gegenüber der Aufsichtsbehörde entlasten. Eine nähere Ausgestaltung der Art und des Umfangs der Dokumentation erscheint nicht erforderlich und würde wiederum der Bandbreite an Auftragsdatenver-arbeitungen nicht gerecht werden. So kann z. B. der Umfang je nach Größe und Komplexität der Auftragsdatenverarbeitung variieren.

Abgesehen wird davon, dass sich der Auftraggeber [a] unmittelbar beim Auftragnehmer vor Ort oder [b] selbst in Person überzeugt. Dies wäre regelmäßig nicht angemessen und mit einem Verlust an Flexibilität verbunden, z. B. wenn der Auftraggeber ein [c] Testat eines Sachverständigen einholen möchte oder eine [d] schriftliche Auskunft des Auftragnehmers ausreicht.


Bewertung der Realisierungsalternativen für Kontrollen beim globale Dienstleister mit > 10.000 Kunden

a) unmittelbar beim Auftragnehmer vor Ortin der Realität nur in Einzelfällen

b) selbst in Personeher ausgeschlossen, evtl. In Einzelfällen

c) Testat eines Sachverständigen (Zertifizierung durch Dritte)einzig realistische Möglichkeit, erschwert leider durch Verzicht auf Datenschutzauditgesetz, evtl.Regelung bei Stiftung Datenschutz

d) schriftliche Auskunft des Auftragnehmers nur bei zertifizierten Dienstleistern in Randbereichen


Ziele eines Datenschutz Managementsystems (DSMS) im AGS sind daher:

Interne Prozess Verbesserungen: dauerhafte Sicherstellen eines hohen Datenschutz-Niveaus aufgrund der gesetzlichen AnforderungenExternes Zertifikat: der Nachweis der Einhaltung der Anforderungen des BDSG kann durch ein externes Zertifikat bestätigt werden und vermindert dadurch Aufwände bei Kunden, die gemäß BDSG §11 Prüfpflichten habenVorbereitung auf künftige internationale Standards zum Datenschutz

Konsequenzen für Kunden und SAP

Durch die Gesetzes-Änderungenersuchen Kunden um Vertrags-Ergänzungensenden Kunden Fragebögen oder erwarten anderweitige Nachweise zum Datenschutzmöchten Kunden den Datenschutz / die techn.-orga. Maßnahmen bei SAP auditieren

um ihre legalen Anforderungen oder Anforderungen der Wirtschaftsprüfer zu befriedigen.

Dies führt auf Seite der Kunden aber auch der SAP zu hohen Aufwänden.


Datenschutz Managementsystem für SAP AGS

Es fehlen nationale oder internationale StandardsISO Standard: wird diskutiert, nicht vor 2013British Standard 10012:2009 nicht national anwendbar

SAP hat sich deshalb für die Einführung einesDatenschutz Managementsystem entschieden

Basis ist der Datenschutz-Management-Standard vonLoomans & Matz (http://www.loomans-matz.de) Der unter Mitwirkung und enger Abstimmung mitdem Landesbeauftragten für den Datenschutz in Rheinland-Pfalz erstellt wurde


Datenschutz Management Standard

Der Standard übersetzt statische legale Anforderungen in ein Prozess orientiertes System vgl. ISO 900x/27xxx

Die Verantwortliche Stelle erhält die Möglichkeit den Datenschutz zu prüfen und alle datenschutzrele-vanten Prozesse ständig zu verbessernDer Standard legt die Verantwortlichkeiten desManagement und Strukturen zur Einhaltungdokumentiert fest.


Datenschutz Management Standard II

Ziele sind daherDas zu erreichende Datenschutz-Niveau definierenAnforderungen aus dem Gesetz, durch Aufsichtsbe-hörden, aus Verträgen oder internen Regelungennachvollziehbar erfüllenProzesse zur fortwährenden Überprüfung der Wirk-samkeit des DSMS zu implementierenEine Basis für interne und externe Audits zu etablieren

AktivitätenPlanung: Datenschutz-Policy, datenschutzrelevanteProzesse und Maßnahmen (inkl. Sicherheit)Do: ImplementierungCheck: interne Audits zur Prüfung der Einhaltungder Gesetze, des Standards und der Sicherheits-maßnahmenAct: Anpassung, Umplanung und Verbesserung


Data Protection Management Standard Inhalte I

Pflichten der Unternehmens-LeitungDatenschutz-Policy erstellen und Ziele definierenOrganisation mit Ressourcen etablierenVerantwortlichkeiten festlegen

Informations-und BenachrichtigungspflchtenVorfallbehandlung (intern/extern)Zur Einführung des DSMS in die Organisation

Dokumentations-AnforderungenManagement-Entscheidungen und Aktivitäten bzgl.DSMS müssen dokumentiert werdenInhalte: Policy, Zieldefinitionen, Anweisungen undBerichte zum Datenschutz, Vorfallsmeldungen und Prozessdefintionen


Data Protection Management Standard Inhalte II

Verantwortlicher für den DatenschutzErnennen eines VerantwortlichenKnowHow und Verlässlichkeit gewährleisten

Audits und Management -BewertungRegelmäßige ÜberprüfungenÄnderungen, Beschwerden, Vorfälle berücksichtigenVerbesserungen vorschlagen und Entscheidungen

Weitere MaßnahmenVerfahrensverzeichnisProzesse zu Meldepflichten und Betroffenen-RechteMitarbeiter-Trainings und vertragliche FestlegungenRisiko Analyse und Daten-KlassifizierungVertrags-Management UnterauftragnehmerTechn.-Organisatorische MaßnahmenAufbewahrungspflichten und Daten-Vernichtung


Agenda





Ausblick


Die globale SAP Support Organisation

GSC EMEA(Locations in Austria, Spain, Hungary and India)Germany, Austria, SwitzerlandEMEA excl. UK and IrelandEastern Europe, RussiaTurkey and Middle EastAfrica (excl. South Africa)India (and neighbour countries)Malaysia

Canada Ireland

India

France China

MalaysiaBrazil

Spain India

Germany

SAP Headquarters Germany

USA

Czech Republic

Austria/Hungary

Bulgaria

Canada

GSC Americas(Locations in Canada, Brazil and Ireland)North AmericaLatin AmericaSouth AfricaUK and Ireland

GSC APJ(Locations in China/India)

Greater ChinaSouth East AsiaKoreaAustraliaNew ZealandJapan

Global Support Center (GSC)Development Support


Kunde öffnet eine Problemmeldung via SAP Service Marktplatz oder SAP Solution Manager

Zuweisung von Kundenmeldungen

1) Selektion der Support LokationSprache / Land / ZeitzoneProdukt und KomponentePrioritätKapazität der Support Center

2) Selektion eines ExpertenAusbildung und Erfahrung des MitarbeitersAuslastung des MitarbeitersMitarbeiter- / Kundenbeziehung

3) Selektion der MeldungTop Down (automatische Priorisierung)Bearbeitungszustand (ohne Bearbeiter)


Verwendung von personenbezogenen Daten in der Meldungsbearbeitung

Personenbezogene Daten:Name und Kontaktdetails in den Kopfdaten

Name des SAP Bearbeiters

Telefonnummer der Kontaktperson im Meldungstext

Tabellen mit Namen, Details über Personen im Meldungstext, in den Anlagen oder im Kundensystem

Nicht personenbezogene, jedoch schützenswerte Daten:

Installationsdetails in den Kopfdaten

Kunden- oder Installationsnummer


Agenda





Ausblick


Vorbereitungen für ein Datenschutz-Managementsystem

Durchführung einer Risikoanalyse mit dem Ziel:Die Transparenz der SAP internen Situation in Bezug auf Datenschutz-AnforderungenDie SAP interne Vorbereitung auf das Datenschutz-Audit

Auswahl des PilotenMaßgebliche Kriterien: – Kundenforderungen– Ergebnisse der Risikoanalyse

Hauptfokus bei Kunden gemäß BDSG: Lieferantenbeziehung zur SAP = Wartung der SoftwareSAP Support Prozess ist sehr gut dokumentiert und ist ISO 9001 zertifiziertHohe Sicherheitsstandards in der SAP Support Organisation vorhanden

SAP Meldungsbearbeitungsprozess für On Premise Produkte


Einflussfaktoren auf DSMS

Berücksichtigung der AnforderungenGesetzgeber(ISO) NormSAP VorschriftenBusiness…DSMS

BDSGL&M

Standard

Zertifi-zierer

SAP Prozesse

QMS (ISO 9001)

Delivery

SAP Leitlinien

Sicher-heit


Aufbau und Inhalt des DSMS

Ziele des DSMSBezug zu den SAP SicherheitsleitlinienErstimplementierung und ÄnderungsmanagementUmfang, Geltungsbereich und VerantwortlichkeitenIntegration des DSMS‘ in das QMS des SAP SupportsAus- und WeiterbildungZugangskontrolle zu KundenmeldungenRisikomanagementDurchführung von Datenschutz AuditsBehandlung von Datenschutzanfragen und -vorfällenÜberwachung des DPMS‘ durch das Management


Grundlagen des DSMS

DSMS

SAP Security Policy & SAP

Security Standards

Datenschutz-Schulungen

DatenschutzAudit

Questionnaire Datenschutz-bezogeneArbeits-

anweisungen

Technisch & Orga.

Massnahmen

SAP Datenschutz

Policy


Agenda





Ausblick


Plan Do Check Act

Datenschutz ist ein Bestandteil der SAP ProzesseAufsetzen auf existierende ProzesseNutzung der existierenden ISO Strukturen

VorgehenIntegration des DSMS in das vorhandene QMS als UnterstützungsprozessEinbindung in interne und externe Audits

DatenschutzfragebogenAuditorentrainingDokumenten Prüfung und Vor-ort-Prüfung

Lenkung: Ergänzung des ISO SteuerungsmodelsManagement Meeting mit Datenschutz-BeauftragtenBericht zu Audit und Risk AssessmentEntscheidungen zu Massnahmen

Korrektur- und VorbeugungsmaßnahmenDatenschutz-Bericht als eigenes Dokument


Einhaltung der Datenschutzvorgaben durch Einwirkung auf die Unternehmensleitung

Bereitstellung aller notwendigen Sicherheitsmaßnahmen zur Unterstützung der Datenschutzvorgaben und der Supportregelungen

Umsetzung der strategischen Vorgaben und Einhaltung der Datenschutzvorgaben im Vorstandsbereich

Administration und Erweiterung des DSMS

Integration des DPMS in das bestehende QM System

Durchsetzen der Datenschutzanforderungen laut DSMS innerhalb der Supportorganisation

Integration datenschutz-relevanter Aspekte in die Supportprozesse

Organisation des DSMS

Sicherheitsbeauftragter SAP AG

Verantwortlicher der Support Organisation

QMS Verantwortlicher

Zertifikatsverantwortlicher Verantwortlicher des Support Prozesses

Sicherheitsbeauftragter Support

Datenschutzbeauftragter SAP AG

Unternehmensebene (strategisch)

Business Ebene (operativ)

Vorstandsebene (taktisch)


DSMS Abstimmungsmeetings

Geplante DSMS AbstimmungenDokumentenabstimmung

SAP Supportmanagement Datenschutzbeauftragter SAP AGDSMS ZertifikatsverantwortlicherSicherheitsbeauftragter SAP Support

DSMS ManagementmeetingDatenschutzbeauftragter SAP AGQMS VerantwortlicherSAP Supportmanagement DSMS ZertifikatsverantwortlicherSicherheitsbeauftragter SAP Support

Jährliche AuditplanungDatenschutzbeauftragter SAP AGQMS VerantwortlicherSAP Supportmanagement DSMS ZertifikatsverantwortlicherSicherheitsbeauftragter SAP Support

Bedarfsweise zusätzliche AbstimmungenProzessüberprüfung

ProzessverantwortlicherDatenschutzbeauftragter SAP AGQMS VerantwortlicherSAP Supportmanagement DSMS Zertifikatsverantwortlicher

RisikoanalyseDSMS ZertifikatsverantwortlicherSicherheitsbeauftragter SAP SupportSAP Risikomanagement

DatenschutzvorfälleDatenschutzbeauftragter SAP AGSAP Supportmanagement DSMS ZertifikatsverantwortlicherSicherheitsbeauftragter SAP Support


Typisches Datenschutzaudit (0,5 - 1 Tage)

Datenschutz Überblick zu Beginn des AuditsDokumentenaudit

Arbeitsvertrag (Verpflichtung auf Datengeheimnis)Dokumentation der Prozesse und der Infrastruktur

Interviews Leitung der Lokation (Management Interview)2-3 Mitarbeiter Interviews per ProzessInterview mit dem Personalverantwortlichen

RaumbegehungArbeitsplätzeRechenzentrumVideoüberwachung

Erste Ergebnisse in der Schlussbesprechung


Initiale Umsetzung des DSMS 2010

* Auswahl der Standorte durch den Zertifizierer – jedoch Anlehnung an QM Planung

Q3 2010Risikobewertung des SAP Supports bzgl Datenschutz

Oktober 2010Vor-Audit für die SAP AG

November 2010DSMS Schulungen und InformationsveranstaltungenQualitätsverantwortliche in den Standorten und Supportmanager der StandorteDatenschutz und Sicherheitsschulungen für SupportmitarbeiterErstimplementierung und Freigabe des DSMS im Support QM SystemInitiale externe Audits*:

SAP AG, Walldorf, St Leon-RotIrland, Dublin und Österreich, WienBrasilien, Sao Leopoldo und Indien, Bangalore

Dezember 2010Zertifikatsübergabe an den Vorstand am 14.Dezember 2010.


Zertifikat

Zertifikatsgeber:The British Standards Institution

ÜberwachungsauditNovember / Dezember 2011

Re-Zertifizierung:November / December 2013


Agenda





Ausblick


Erfahrungen und Verbesserungspotenzial

Was haben wir gelernt?Aufmerksamkeit und Sensibilität für Datenschutz muss erhöht werdenErweiterung des vorhanden Prozesses zur Meldung von Sicherheitsvorfällen Kleinere Anpassungen und Ergänzungen im DSMSVerbesserungspotenzial in den auditierten Standorten:

Österreich: Installation eines Aktenvernichters für vertrauliche UnterlagenIrland: Zertifikat der Löschanlage erneuern

>

Was müssen wir noch verbessern?Aufbau eines Curriculums nach Zielgruppen: Qualitätsverantwortliche, Prozessbeteiligte, ManagerAbgrenzung Datenschutz vs SicherheitsthemenAuswirkungen im AlltagNachweise über Datenschutzschulungen zentral archivierenEinführung regelmäßiger Risikoanalysen in 2011Erweiterung auf neue ProzesseStärkere Zusammenarbeit mit dem SAP Riskmanagement

>

Fragen?

Thank You!Hermann-Josef SchwabDatenschutzbeauftragter SAP AGData Protection & Privacy Office

SAP AGDietmar-Hopp-Allee 1669190 Walldorf


No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP AG. The information contained herein may be changed without prior notice.

Some software products marketed by SAP AG and its distributors contain proprietary software components of other software vendors.

Microsoft, Windows, Excel, Outlook, and PowerPoint are registered trademarks of Microsoft Corporation. IBM, DB2, DB2 Universal Database, System i, System i5, System p, System p5, System x, System z, System z10, System z9, z10, z9, iSeries, pSeries, xSeries, zSeries, eServer, z/VM, z/OS, i5/OS, S/390, OS/390, OS/400, AS/400, S/390 Parallel Enterprise Server, PowerVM, Power Architecture, POWER6+, POWER6, POWER5+, POWER5, POWER, OpenPower, PowerPC, BatchPipes, BladeCenter, System Storage, GPFS, HACMP, RETAIN, DB2 Connect, RACF, Redbooks, OS/2, Parallel Sysplex, MVS/ESA, AIX, Intelligent Miner, WebSphere, Netfinity, Tivoli and Informix are trademarks or registered trademarks of IBM Corporation.

Linux is the registered trademark of Linus Torvalds in the U.S. and other countries.

Adobe, the Adobe logo, Acrobat, PostScript, and Reader are either trademarks or registered trademarks of Adobe Systems Incorporated in the United States and/or other countries.Oracle is a registered trademark of Oracle Corporation.

UNIX, X/Open, OSF/1, and Motif are registered trademarks of the Open Group.

Citrix, ICA, Program Neighborhood, MetaFrame, WinFrame, VideoFrame, and MultiWin are trademarks or registered trademarks of Citrix Systems, Inc.HTML, XML, XHTML and W3C are trademarks or registered trademarks of W3C®, World Wide Web Consortium, Massachusetts Institute of Technology.

Java is a registered trademark of Sun Microsystems, Inc.

JavaScript is a registered trademark of Sun Microsystems, Inc., used under license for technology invented and implemented by Netscape. SAP, R/3, SAP NetWeaver, Duet, PartnerEdge, ByDesign, SAP BusinessObjects Explorer, StreamWork, and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP AG in Germany and other countries.

© 2011 SAP AG. All rights reserved

Business Objects and the Business Objects logo, BusinessObjects, Crystal Reports, Crystal Decisions, Web Intelligence, Xcelsius, and other Business Objects products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of Business Objects Software Ltd. Business Objects is an SAP company.

Sybase and Adaptive Server, iAnywhere, Sybase 365, SQL Anywhere, and other Sybase products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of Sybase, Inc. Sybase is an SAP company.

All other product and service names mentioned are the trademarks of their respective companies. Data contained in this document serves informational purposes only. National product specifications may vary.The information in this document is proprietary to SAP. No part of this document may be reproduced, copied, or transmitted in any form or for any purpose without the express prior written permission of SAP AG.

This document is a preliminary version and not subject to your license agreement or any other agreement with SAP. This document contains only intended strategies, developments, and functionalities of the SAP® product and is not intended to be binding upon SAP to any particular course of business, product strategy, and/or development. Please note that this document is subject to change and may be changed by SAP at any time without notice.

SAP assumes no responsibility for errors or omissions in this document. SAP does not warrant the accuracy or completeness of the information, text, graphics, links, or other items contained within this material. This document is provided without a warranty of any kind, either express or implied, including but not limited to the implied warranties of merchantability, fitness for a particular purpose, or non-infringement.SAP shall have no liability for damages of any kind including without limitation direct, special, indirect, or consequential damages that may result from the use of these materials. This limitation shall not apply in cases of intent or gross negligence.

The statutory liability for personal injury and defective products is not affected. SAP has no control over the information that you may access through the use of hot links contained in these materials and does not endorse your use of third-party Web pages nor provide any warranty whatsoever relating to third-party Web pages.

praktische umsetzung eines datenschutz … · praktische umsetzung eines datenschutz...

Documents