Database Reference
In-Depth Information
und Haftungsrisiken, Rechtsunsicherheit sowie die Gefahr von Imageschäden durch
Datenschutzvorfälle mussten angemessen bewältigt werden.
Auch die SAP AG als global agierender Hersteller von Business-Software musste sich
diesen Problemen stellen. Dabei entpuppte sich die Umsetzung der Anforderungen des
Bundesdatenschutzgesetzes im On Premise-Bereich als die größte Herausforderung: Mehr
als 100.000 Kunden aus allen Tätigkeitsfeldern hatten unterschiedlich hohe Anforderun-
gen an den Datenschutz bei der SAP AG und wollten deren Erfüllung nachgewiesen sehen.
Gleichzeitig musste SAP diese Anforderungen auch bei den zahlreichen Lieferanten durch-
setzen. Dazu kamen die Herausforderungen der Regelungen über den internationalen
Datenverkehr sowie die Umsetzung in den einzelnen Konzerngesellschaften, die, soweit
sie nichtdeutschem Datenschutzrecht unterliegen, wenig mit den Begrifflichkeiten und
der Systematik des deutschen BDSG anfangen konnten, dafür jedoch nationale Daten-
schutzregeln umzusetzen hatten. Insbesondere im globalen Support-Prozess war und ist
der Zugriff auf personenbezogene Daten unvermeidlich und es wurde rasch deutlich, dass
man diesen Anforderungen nur mit einem funktionierenden Managementsystem, das in-
ternationale Gültigkeit besitzt, erfolgreich Herr werden könne. Hier zeichnete sich Michael
Wiedemann verantwortlich für die Einführung eines Datenschutzmanagementsystems im
SAP-Support.
Anders als etwa in den Bereichen Qualitätsmanagement oder Informationssicherheit
gibt es jedoch keinen internationalen Standard für ein Datenschutzmanagementsystem.
Vor diesem Hintergrund entwickelten und definierten Prof. Dr. Dirk Loomans und RA
ManuelaMatzvonderLoomans&MatzAGeinenAnforderungskatalog. Basierendaufder
internationalanerkanntenSystematikdesISO9001-StandardsfasstensiedieausdenErfah-
rungen ihrer langjährigen Beratertätigkeit gesammelten Best Practices in einem Konzept
zusammen. Dabei folgten sie einem risikobasierten Ansatz, der aufgrund der Orientie-
rung an den ISO-Standards zudem international anwendbar war. Auch Edgar Wagner, der
Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz,
begrüßte den Ansatz und sprach eine Empfehlung für die Umsetzung aus.
Auf Basis dieser Anforderungen startete die SAP AG noch im gleichen Jahr mit der
Implementierung im globalen Support-Prozess, welche mit der ersten Zertifizierung des
Datenschutzmanagementsystems durch die British Standards Institution im Jahr 2010 er-
folgreich abgeschlossen wurde. SAP befand sich nun in der komfortablen Situation, seinen
Kunden jederzeit die Datenschutzkonformität der Prozesse und Verfahren im Support
nachweisen zu können. Weitere Verbesserungen waren die Abstimmung der internen
Strukturen auf den Datenschutz und die Optimierung des Systems zur Überprüfung der
eigenen Unterauftragnehmer. Die positiven Erfahrungen mit diesem Ansatz haben dazu
geführt, dass SAP seither das Datenschutzmanagementsystem in weitere Geschäftsberei-
che überträgt und in den bestehenden Prozessen weiterentwickelt. Heute deckt es neben
dem Support-Prozess auch die Bereiche Marketing, Human Resources, Entwicklung und
Consulting ab und wurde alljährlich erfolgreich rezertifiziert. Dabei unterstützt das Daten-
schutzmanagementsystem den Nachweis der Datenschutz-Compliance bei der SAP AG
gegenüber ihren Kunden und weist erhebliche Effizienzvorteile auf.
Search WWH ::
Custom Search