Basierend auf datenschutz-, handels- und steuerrechtlichen Vorgaben lassen sich Anforderungen für betroffene IT-Systeme eines Unternehmens ableiten. In den meisten ERP-Systemen befinden sich unzählige handelsrechtlich relevante Daten, aber auch personenbezogene Daten sind aus Dokumentations- und Nachvollziehbarkeitsgründen festzuhalten. Beispiele hierfür sind Personaldaten, Lieferanten- und Kundendaten, GPS-Daten oder Adressen. Zudem sind potenziell personenbezogene Daten vielfältig und nicht immer leicht zu erkennen.

KPMG Codebook ist eine Lösung für ERP-Systeme von SAP, um die Anforderungen des HGB und der DSGVO zu vereinbaren und zu erfüllen. Ziel ist es, Transparenz über vorhandene personenbezogene Daten herzustellen, Klarheit über ihre Altersstruktur und einhergehende Aufbewahrungsfristen zu erlangen und einen Prozess zur Gewährleistung der rechtlichen Anforderungen bei vollständiger Nutzbarkeit der verbleibenden nicht personenbezogenen Daten zu ermöglichen.

Dafür ist KPMG Codebook voll in das SAP-System integriert und hat Zugriff auf die Tabellen der Datenbank und Metadaten der Tabellenfelder. KPMG Codebook greift ausschließlich auf tatsächlich genutzte Tabellen im Produktivsystem zu und identifiziert aufgrund des Regelwerks, ob personenbezogene Daten gespeichert sind. Es werden nicht nur SAP-Standardtabellen durchsucht, sondern auch z- und y-Tabellen. Hierbei nutzt KPMG Codebook sein umfassendes Regelwerk. In diesem befinden sich über 1.000 Suchbegriffe. Da KPMG Codebook nicht den Inhalt, sondern den Aufbau und die Art der Tabellen betrachtet, können auch False Positives identifiziert werden. In KPMG Codebook sind aufgrund der durchgeführten Analysen eine große Anzahl an False Positives bereits bekannt und werden herausgefiltert. (z. B. Herausfiltern von Gebäudenamen). 

Projektablauf

Zu Beginn des Projekts nehmen wir in einem initialen Workshop die genaue Gestaltung Ihrer IT-Landschaft und Ihre individuellen Besonderheiten auf. KPMG Codebook wird dann für die genutzten Module im SAP-System und in den Eigenentwicklungen angepasst. 

Darauf folgt die Installation der Software auf Ihren SAP-Systemen durch unsere Spezialisten. Nachdem die fehlerfreie Integration sichergestellt ist, wird der Suchlauf gestartet. Das Ergebnis ist eine Darstellung aller Tabellen und Felder des SAP-Systems, die potenziell personenbezogene Daten beinhalten. Bei unserer Lösung legen wir großen Wert darauf, dass der tatsächliche Tabelleninhalt sowohl in der Verarbeitung als auch in der Analyse nicht eingesehen werden muss. Nur in Ausnahmefällen  - zur Klärung von unklaren Analyseergebnissen  - werden Beispieldatensätzen analysiert. Das Ergebnis wird von einem unserer Berater geprüft. Die Treffer werden kategorisiert in sichere Treffer, False Positives und Feldern, bei denen Rückfragen zur letztendlichen Einordnung notwendig sind. 

False Positives werden direkt zur Datenbank bereits bekannter False Positives hinzugefügt. Die Felder, welche individuell für Ihre Systeme relevant sind, werden separat behandelt und bei künftigen Auswertungen von Schwestersystemen direkt passend eingeordnet. So lernt KPMG Codebook von SAP-System zu SAP-System im Allgemeinen, aber im speziellen bei Ihnen, stetig dazu.

Im Analyse-Ergebnis-Workshop werden die Ergebnisse präsentiert, bewertet und final eingeordnet. Damit ist die Basis für die Pseudonymisierung der personenbezogenen Daten eingerichtet. Unsere Spezialisten erarbeiten die Systematik für eine ideale Kombination aus fortlaufender Nutzbarkeit der Daten und Sicherheit gegenüber rechtlichen Anforderungen. Dabei werden gezielt die Felder für die Pseudonymisierung ausgewählt, welche den Rückschluss auf eine natürliche Person ermöglichen würden. Die restlichen Daten stehen für Auswertungen und sonstige Statistiken weiter zur Verfügung. Die Datenintegrität wird beibehalten.

Die originären Feldwerte mit dem Schlüssel (Pseudonym) werden in das Codebook außerhalb des SAP-Systems eingetragen und vor unberechtigtem Zugriff geschützt. Die Originalbegriffe im SAP-System werden durch das Pseudonym ersetzt. Sofern es in Folge eines Audits oder anderer zwingender Gründen nötig ist, können die Pseudonyme im SAP-System jederzeit durch das Codebook mit den originären Feldwerten ersetzt werden und im Anschluss wieder pseudonymisiert werden. 

Fortlaufende Ermittlung der Altersstruktur

KPMG Codebook ermittelt ebenso die Altersstruktur der Einträge und ermöglicht so, entsprechende zeitliche Einteilungen (z. B. Geschäftsjahr) vorzunehmen. Basierend auf den ermittelten Aufbewahrungsfristen können die Löschzeitpunkte ermittelt werden. Ist die Aufbewahrungsfrist abgelaufen, erlischt auch die implizite Erlaubnis zur Verwahrung der personenbezogenen Daten, sofern sich zwischenzeitlich keine Legal-Hold-Thematiken ergeben haben. 

Stellt KPMG Codebook fest, dass die Aufbewahrungsfrist für definierte Datencluster überschritten ist, kann der Schlüssel im Codebook außerhalb des SAP-Systems entfernt werden und somit ist der Eintrag in SAP gleichzeitig anonymisiert und erfüllt damit die Löschanforderungen. 

Durch diesen Prozess bietet KPMG Codebook eine Reihe großer Vorteile:

  • Compliance in Hinsicht auf GDPR und HGB
  • Zugriffseinschränkung auf personenbezogene und besonders schützenswerte Daten
  • Definierter Prozess zur Pseudonymisierung, De-pseudonymisierung und Anonymisierung personenbezogener Daten in SAP-ERP-Systemen
  • Volle Nutzerbarkeit der Daten auch nach Erlöschen der Aufbewahrungsfrist
  • Geringer fortlaufender Aufwand nach Durchführung eines initialen Projekts
  • Nutzung von Synergieeffekten für weitere Systeme in der eigenen IT-Landschaft

KPMG unterstützt Sie auf dem gesamten Weg. Als zuverlässiger und erfahrener Partner begleiten wir Sie von der Aufnahme des Status Quo, der Analyse der Daten, Klassifizierung und Auswahl bis hin zur Umsetzung der Pseudonymisierung. 

Melden Sie sich gerne, damit wir Ihnen KPMG Codebook auf Ihre individuellen Bedürfnisse angepasst vorstellen können.

Ihre Ansprechperson

Mein Profil

Speichern Sie Inhalte, verwalten Sie Ihre Bibliothek und teilen Sie die Inhalte mit Ihrem Netzwerk.

So kontaktieren Sie uns