DSGVO & SAP SuccessFactors– die wichtigsten Fragen beantwortet

Ab 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) oder englisch „General Data Protection Regulation“ (GDPR) in Kraft. Betroffen sind dabei alle Unternehmen, die personenbezogene Daten verarbeiten. Anders als bisher liegt nun die Verantwortung stärker bei den Unternehmen, sich um Sicherheit und Datenschutz zu bemühen.

Der Stichtag im Mai nächsten Jahres bietet noch etwas Vorlaufzeit. Nutzen Sie diese um sich entsprechend vorzubereiten. Um Sie bei der Vorbereitung zu unterstützen, haben wir die wichtigsten Fragen die Sie sich im Zusammenhang mit der DSGVO und SuccessFactors stellen müssen, zusammengefasst. 

Ab Mai 2018 ist die Kontrolle aller persönlichen Daten in Europa ein Menschenrecht.

Warum ist Datenschutz wichtig?

Die verstärkte Vernetzung und Digitalisierung von Unternehmen führt zu einem immer größer werdenden Aufkommen von Datensammlungen und –flüssen. Die DSGVO hat einerseits zum Ziel, die Rechte betroffener Personen besser zu schützen, und andererseits, eine Vereinheitlichung und Normierung des Datenschutzes zu erwirken, sowie einen grenzüberschreitenden Datenfluss innerhalb der EU zu vereinfachen.

Was bedeutet das für Sie?

Ab dem Stichtag 25. Mai 2018 drohen Unternehmen, deren Datenverarbeitung noch unsachgemäß vonstattengeht, hohe Strafen. In der DSGVO werden Pflichten definiert, deren Einhaltung transparent und nachweisbar dokumentiert sein müssen.

Klar zu definieren ist, welche personenbezogenen Daten zu welchem Zweck erhoben und verarbeitet werden. Darüber hinaus muss sichergestellt werden, dass die Informationen richtig und angemessen gesichert sind. Betroffene, deren Daten verarbeitet werden sollen, müssen in den allermeisten Fällen ihre Einwilligung zur Verarbeitung geben und dazu vorab über oben genannte Punkte und ihre damit verbundenen Rechte informiert werden.

Das Recht auf Löschung, gibt betroffenen Personen die Möglichkeit, eine sofortige Löschung all ihrer personenbezogenen Daten zu erwirken. 

Wie bereits erwähnt, muss jederzeit nachvollziehbar sein, dass die Verarbeitung zu allen Zeiten rechtskonform ist und war (ab Inkrafttreten der DSGVO). 

 DSGVO Reche.png

 

Dürfen Daten ins Ausland übermittelt werden?

Beim Übermitteln von Daten ins Ausland, ist zu berücksichtigen, dass Ihr Unternehmen die Verantwortung über diese Daten übernommen hat. Es muss also überprüft werden können, wer die Daten erhält und sichergestellt werden, dass auch Dritte die Daten entsprechend schützen. Innerhalb der EU greift deshalb einheitlich die DSGVO.

Was ist zu tun, wenn der Datenschutz verletzt wird?

Es kommt immer wieder zu Situationen, in denen Unbefugte Zugriff auf sensible Informationen bekommen. Kommt es zu einer Verletzung des Datenschutzes, muss dies nun innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden. Entsteht hierbei voraussichtlich ein Risiko für die Rechte und Freiheiten betroffener Personen, müssen auch diese unverzüglich informiert werden.

Welche Funktionen stehen Ihnen innerhalb von SuccessFactors zur Verfügung um DSGVO-konform zu agieren? 

Mit dem Q4 2017 Release hat SAP begonnen Funktionen zur Einhaltung der EU-Datenschutzgrundverordnung (DSGVO) auszurollen. Aktuell sind diese Funktionen bereits in allen Preview Instanzen  vorhanden. 

Im Zuge des nächsten Major Release (Q2 2018) werden weitere Funktionen verfügbar sein, um den Anforderungen der Verordnung gerecht zu werden. SuccessFactors unterscheidet hier sechs Funktionsbereiche:

  1. Change Logging: Verwaltung von Änderungen von persönlichen Daten (Vorname, Nachname, etc.)
  2. Read Access Logging: Verwaltung von Zugriffen auf sensible Daten (Sexuelle Orientierung, Parteizugehörigkeit, etc.)
  3. Data Subject Info: Kunden können Berichte über die Daten eines Nutzers ziehen, die in SuccessFactors gespeichert sind
  4. Data Purge: Konfiguration von Vorratsdatenspeicher und Support von permanenter Datenbereinigung 
  5. Data Blocking: Zugang zu historischen Daten kann eingeschränkt werden (zB. vergangene Performance Reports) 
  6. Consent: Ermöglicht Bewerbern die Zustimmung zu a) der Bewerbung an sich und b) über künftige Job Angebote informiert zu werden (Relevant für Recruiting Marketing & Management)

Diese Funktionsbereiche referenzieren auf die Artikel 27, 30-32, 37, 24 der Verordnung und resultieren in unterschiedlichen Verantwortlichkeiten bzw. Vereinbarungen.

Für das Q4 2017 Release wurden Funktionen zu den Themen „Data Subject Info“ und „Data Purge“ in einer Beta-Version umgesetzt. Allgemeine Verfügbarkeit und Abdeckung aller oben genannten Punkte sollen mit Q1 2018 erreicht werden. Weitere Details hierzu finden Sie in den Q4 2017 Platform Release Notes

Verwaltung von Vorratsdatenspeicherungen

Das Vorratsdatenspeicherungs Management Tool (Data Retention Management Tool) kann über das Admin Center entsprechend berechtigt werden. Damit sind Admins in der Lage Löschanträge zur Datenbereinigung anzulegen und abzusenden. Datenbereinigungen sind somit leichter zugänglich und einfacher abzuwickeln dank Wartungsregeln.

2017-12-06 14_24_34-SuccessFactors_ Neue Löschanfrage erstellen.png

Das DRM Tool ist keine gänzlich neue Funktion, wurde aber laut den Anforderungen zu DSGVO erweitert.

 

screenshot1.png

 

Eine weitere Funktionserweiterung in diesem Zusammenhang bietet das Data Retention Time Management. Abhängig von Datentypen, wie Länderzugehörigkeit oder der Information ob ein Nutzer aktiv oder inaktiv ist, kann man Verweildauern definieren. Mit dem Q4 2017 ist dieses Feature in Preview Instanzen verfügbar und kann getestet werden. Um das zu tun, müssen Sie das Extension Center (MDF) und Rollenberechtigungen aktiviert haben. 

Extension Center (MDF) und sensible Daten

Sie haben MDF und MDF Export aktiviert? Dann haben Sie auch die Möglichkeit den GDPR (DSGVO) Switch zu aktivieren. Damit stehen Ihnen weitere zusätzliche Funktionen zur Verfügung. Dank Konfiguration zu MDF Objekttypen sind Admins in der Lage gesetzeskonform sensible Datenfelder als solche entsprechend  zu konfigurieren.  Diese Option unterscheidet allerdings dazu einzelne Datenfelder als sensibel zu markieren. Wie beispielsweise Passwörter die im Interface nur mit “****” gekennzeichnet sind. Diese Felder können in den Details eines spezifischen Datenfelds über die Admin Funktion "Manage Business Configuration" verwaltet werden. 

 

Nächste Schritte & Checklist

Eine klare Empfehlung die wir jedem SuccessFactors Kunden nahelegen, ist es einen "Datenschutz-Administrator" zu benennen und im System zu erstellen. Diese Rolle hat dann die Berechtigung, um die oben genannten Funktionen zu bedienen. Sobald Sie die Rolle erstellt haben, können Sie diese Admingruppen oder einzelnen Usern zuweisen.

Stellen Sie sicher, dass Sie Rollenberechtigungen (Role-based permissions (RBP)) sowie das Meta-data Framework (MDF) in Ihrer SuccessFactors Instanz aktivieren, um die neuen DSGVO unterstützenden Funktionen nützen zu können.

Eine umfangreiche Checkliste zur Vorbereitung auf die DSGVO finden Sie hier.

Sie wollen mehr zu DSGVO erfahren? Am 13.12. veranstaltet TalentChamp ein Webinar zum Thema, in dem wir Ihnen die in diesem Blogartikel beschriebenen Funktionen und ein Tool von Accenture zur Datenverschlüsselung vorstellen. Melden Sie sich hier an!  

 

 

Nach oben