Denn strafbar macht sich, wer "das Recht auf Vergessenwerden" missachtet
Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO) in Europa. Durch die Änderung der Gesetze erlangen alle EU-Bürger ein grundsätzliches „Recht auf Vergessenwerden“.
Laut §83 / Abs. 5 DSGVO dürfen bei gravierenden Verstößen bis zu 4 % des Unternehmensumsatzes bzw. bis zu 20 Millionen Euro Strafe verhängt werden.
Datenschutzverstöße können teuer werden
Nicht nur die Logistikprozesse treffen die Gesetze der EU-Datenschutzgrundverordnung – sie gelten branchenübergreifend.
Dies bekam im November letzten Jahres ein deutsches Unternehmen einer Wohnungsgesellschaft zu spüren und wurde zu einem Rekord-Bußgeld in Höhe von 14,5 Millionen Euro verklagt.
Anlass war in diesem Fall ein nicht ausreichendes Lösch- und Archivierungssystem personenbezogener Daten. Das Unternehmen legte Widerspruch ein. Das Verfahren ist noch nicht abgeschlossen.
Personenbezogene Daten erkennen und löschen
In nahezu allen unserer Projekte werden sensible Daten gespeichert, die einen Personenbezug aufweisen. Betroffen von der Datenschutzgrundverordnung sind daher so gut wie alle Bereiche der leogistics Services. Die Herausforderung ist, diese Daten allumfänglich in Ihrem System zu finden und datenschutzkonform zu behandeln.
Wie Sie Ihr Unternehmen vor Strafen schützen können
Viele Kunden sind unsicher, ob ihre implementierten Lösungen die Anforderungen der DSGVO erfüllen. Sie stellen sich zu Recht die Frage, ob und wie sie weiterhin zum Beispiel Fahrer- oder Mitarbeiterdaten speichern können. Die persönlichen Daten sind vielseitig: Von Namen, Adressen und Telefonnummern bis hin zu Zeitstempeln von Anwendern.
Maßnahmen für die sichere Nutzung der leogistics d.s.c.
Vor allem im Bereich Yard- und Slot-Management müssen allein aus rechtlichen Gründen Fahrerinformationen gespeichert werden. Im Falle von Evakuierungsmaßnahmen sind die Besitzer eines Werksgeländes verpflichtet zu wissen, wer sich auf ihrem Privatgelände befindet. Außerdem ist die Transparenz, wer sich wann, wo und wie lange auf dem Werksgelände befindet, so ziemlich allen Hofbetreibern aus unterschiedlichen Gründen wichtig.
Es klingt widersprüchlich, dass zum einen Daten gespeichert werden, zum anderen diese wieder zeitnah gelöscht werden müssen. Das ist es nicht! Wichtig ist nur der richtige Umgang mit den erhobenen sensiblen Daten.
Um sensible Daten gesetzeskonform zu verwalten müssen sie anonymisiert werden.
Die Möglichkeit zur Anonymisierung bieten wir in der aktuellen Version der leogistics d.s.c., wo mit einem Batchjob Daten anonymisiert, gelöscht oder überschrieben werden können.
Auch wenn Kunden Belegdaten unterschiedlich nutzen und speichern (bspw. Ressourcen, Belegpositionen, Business Partner), kann jegliche Anforderung zur Löschung der Daten realisiert werden.
Durch die frühe Beschäftigung mit diesem sensiblen Thema weist der Report von Anfang an einen sehr generischen Ansatz auf. Die variable Entwicklung erlaubt es, für unterschiedliche Daten unterschiedliche Löschzeitpunkte einzustellen.
| DATENART | DATENART | AUFBEWAHRUNGSFRIST |
|---|---|---|
| Kommunikationsdaten | Telefonnummer und Emailadresse | 1 Tag |
| Namen | Fahrer Vor- und Nachname | 3650 Tage |
| Persönliche Daten | Adresse, Qualifikationen etc. | 730 Tage |
Anwendungsbeispiel in der leogistics d.s.c.
Enge Kundenbindungen für aktuelle Marktanforderungen
Nachdem die ersten Kunden die DSGVO-Anwendung im Einsatz hatten, wurden weitere individuelle Wünsche geäußert. Je nach Kundenwunsch können individuelle Anpassungen an die Datenverwaltung realisiert werden:
- Ein Wunsch war zum Beispiel die Möglichkeit, Daten zur Löschung per Ermittlung zu unterscheiden. So sollten Informationen von Transporten, welche gefahrgutrelevant waren, länger aufbewahrt werden als Informationen von Transporten ohne Gefahrgut. Mit Hilfe vom Business Rule Framework Plus (BRF+), können solche Kriterien nun kundenindividuell ausgeprägt werden.
- Ein anderer Kunde wünschte sich die Möglichkeit einer manuellen Löschung einzelner Datensätze. Dies wurde mit einer Personal Object Worklist (POWL) gelöst. Die POWL erlaubt das einfache Suchen nach einzelnen Datensätzen und natürlich die direkte Anonymisierung gemäß der DSGVO.
Datenschutz bei der Terminalintegration
Auch beim Einsatz von Check-In- und Check-Out-Terminals werden die Richtlinien der Datenschutzgrundverordnung berücksichtigt. Der Fahrer wird direkt beim Check-In darüber informiert, dass seine Daten zunächst erhoben und gespeichert werden.
Ebenfalls wird der Fahrer darüber in Kenntnis gesetzt, dass die Daten fristgerecht wieder gelöscht werden. Er wird außerdem am Terminal aufgefordert, ein Häkchen unter die DSGVO-Vereinbarung zu setzen, durch das er sich mit der Verwaltung seiner Daten einverstanden erklärt. Erst nach der Zustimmung darf der Fahrer das Yard befahren.
DSGVO in standard SAP-Modulen
In nahezu allen SAP-Anwendungen werden personenbezogene Daten gespeichert. Es kann sich auf den ersten Blick um harmlos klingende Informationen handeln: Auch Ladetermindaten im SAP EWM oder Zeit- und Anwesenheitsdaten können personenbezogen sein und müssen anhand von definierten Aufbewahrungszeiträumen gelöscht werden.
Dementsprechend wichtig ist es, dass Sie sich mit dem Thema Datenschutz beschäftigen, um keine Abmahnung oder gar teure Bußgelder zu riskieren.
Als Lösung bietet die SAP das sogenannte Information Lifecycle Management (ILM) an. Das ILM stellt Regelwerke, Prozesse, Verfahrensweisen und Werkzeuge zur Verfügung, um Informationen zu erfassen, abzuspeichern und zu löschen.
Cloud Services
Das wohl aktuellste Thema im Bereich der Digitalisierung sind Cloud-Anwendungen. Auch wir sind mit einigen Anwendungen bereits in der Datenwolke vertreten.
Vor allem im Cloud-Umfeld gibt es viele Fragen bezüglich Datensicherheit und viel Aufklärungsbedarf. Unser erfahrenes Team aus Entwicklern und Beratern hat die lösungsrelevanten Themen der DSGVO für Sie im Blick und berät Sie gern zur Speicherung von (personenbezogenen) Daten in der Cloud.
So bietet beispielsweise der Hosting-Dienstleister AWS (Amazon Web Services) schon über 500 Funktionen und Services, um die Sicherheit Ihrer Daten zu gewährleisten.
Datenspeicherung in Deutschland
§§44 ff. DSGVO schränken die Datenübermittlung in ein Drittland ein. Deshalb sind alle Daten der myleo / dsc in Deutschland gehostet und unterliegen so der strengen deutschen und europäischen Gesetzgebung.
Unser Datencenter hat unter anderem folgende Zertifizierungen:
- ISO 9001 Anforderungen zur Zertifizierung von Qualitätsmanagementsystemen in deutscher und englischer Sprache
- ISO 27001
IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen
- ISO 27017
- ISO 27018
Verschlüsselung gemäß neuester Sicherheitsstandards
Die Verschlüsselung der Daten in der Datenwolke wird standardmäßig über HTTPS und TLS vorgenommen, sodass nur Sender und Empfänger die Daten lesen können.
Haben Sie an Alles gedacht?
- Ist die Autorisierung für die Dateneinsicht beschränkt?
- Wurde geprüft, ob die Datennutzer die DSGVO-Guidelines unterschrieben haben?
- Ist die Datenerfassung auf ein Minimum reduziert?
- Sind Löschzeitpunkte definiert?
- Sind Datenschutzstellen im Unternehmen eingebunden?
- Achtung bei besonders schutzwürdigen Daten. Gibt es eine Kontrollstelle?
- Sind Zulässigkeitsvoraussetzungen bei der Übermittlung von personenbezogenen Daten berücksichtigt?
Was ist Ihr Anwendungsfall?
Sollten Sie sich nicht sicher sein, welche Maßnahmen Sie zur Erfüllung aller Richtlinien der DSGVO benötigen, wenden Sie sich gerne an uns.
Bei Fragen zu diesem oder anderen Themen im Blog wenden Sie sich gerne an blog@leogistics.com.
Jens Arndt
Consultant SAP Logistics
