DATENSCHUTZ IN SAP CLOUD FOR CUSTOMER

Autor: Timm Broichgans | Veröffentlicht: 26.10.2018

Big Data und der Vertrauensverlust

Mit dem technischen Fortschritt und zunehmender Digitalisierung sind den Möglichkeiten der Erfassung und vor allem der Nutzung persönlicher Daten kaum noch Grenzen gesetzt. Wann haben Sie das letzte Mal die Nutzungsbedingungen einer App oder eines Onlineportals gelesen? Oder stimmen Sie eher einfach zu? Will man den Dienst nutzen, bleibt zumeist eh kaum eine Alternative. Eine Mehrheit der Nutzer hat kaum einen Überblick, wer welche Daten von ihnen wo gespeichert hat.

Die neue „Währung“ der persönlichen Daten ist diffus und unübersichtlich. Dies führt zu Verunsicherung bei den Verbrauchern und einem generellen Misstrauen, welches durch die jüngsten Debatten über den widerrechtlichen Verkauf von persönlichen Daten bestärkt wurde.

Dieses Misstrauen begegnet auch seriösen, gewissenhaft arbeitenden Unternehmen. Hier ergeben sich im Rahmen der europäischen DSGVO auch Chancen, das Vertrauen zurückzugewinnen und sich von den „schwarzen Schafen“ abzugrenzen.

Nicht nur für Privatpersonen ist es schwierig, den Überblick über seine persönlichen Daten zu behalten. Auch Unternehmen tun sich oft schwer, die seit dem 25. Mai 2018 geltenden Pflichten der Datenauskunft und ggf. der Löschung bestimmter Daten, besonders im Rahmen der Vorschriften zu Aufbewahrungsfristen von Transaktionsdaten, nachzukommen. Hier bietet SAP Cloud for Customer (C4C) als Teil des neuen Customer Experience Produktportfolios SAP C/4HANA die nötigen Werkzeuge, um Transparenz zu schaffen und das Vertrauen der Kunden wiederzuerlangen.

Einwilligungsmanagement in Cloud for Customer

Auf Basis der Kanäle und Kommunikationskategorien kann die Kontaktaufnahme aus C4C heraus für jeden Kunden und jeden Ansprechpartner eines Kunden gesteuert und verwaltet werden. So kann auf einen Blick überprüft werden, für welche Kanäle der Kunde seine Kontakteinwilligung gegeben hat und welchen Inhalten er zugestimmt hat, siehe Abbildung 01.

Ist ein Kanal mit „Ablehnung“ hinterlegt unterbindet C4C den Versuch der Kontaktaufnahme mittels dieses Kanals, beispielsweise über Kampagnen. So wird sichergestellt, dass ohne explizite Einwilligung keine versehentliche Kontaktaufnahme stattfindet. Zur Erinnerung: Verstöße gegen die DSGVO können mit bis zu 20 Mio. Euro oder 4% des globalen Unternehmensumsatzes (nicht nur EU!) geahndet werden, je nachdem welcher Betrag größer ist.

Abbildung 01

Zugriffskontrolle

Zugriffsrechte können in C4C auf unterschiedliche Weise definiert und der Zugriff von Benutzergruppen oder einzelnen Mitarbeitern auf Privatkunden, Ansprechpartner und andere Mitarbeiter eingeschränkt, unterbunden und kontrolliert werden. Dies kann sowohl auf Ebene standardisierter Benutzerrollen geschehen, als auch im Detail für einzelne Anwender, siehe Abbildung 02. Dazu sind alle Systemfunktionen nach Anwendungsbereichen in „Workcenter“ unterteilt, die in der Berechtigungsverwaltung aktiviert oder deaktiviert werden können. Hierbei unterstützt zusätzlich eine automatische Konsistenzprüfung, die Widersprüche im Zugriffsmanagement aufzeigt.

Weitere Einschränkungsmöglichkeiten sind Geschäftskontexte, einzelne Felder oder Feldgruppen sowie Systemaktionen. So lässt sich beispielsweise die Excel-Exportfunktion zentral deaktivieren, ohne manuell und mit der Gefahr von Lücken in der Einschränkung, Felder im System einzeln sperren zu müssen. Für vollständige Transparenz werden jegliche Veränderungen an den Benutzerrollen und Zugriffsrechten lückenlos und manipulationssicher protokolliert.

Neben dem Management der C4C-internen Zugriffsrechte, können auch die Zugriffspunkte durch externe Systeme definiert und kontrolliert werden. Generell erfordert der Zugriff externer Systeme gültige Zertifikate, die sich in den Kommunikationsvereinbarungen kontrollieren und verwalten lassen, siehe Abbildung 03.Weiterhin ermöglichen die umfangreichen Monitoring-Funktionen das Eingrenzen und Identifizieren von fehlerhaften Web-Service-Aufrufen.

Abbildung 02

Abbildung 03

Personendatenauskunft und -löschung

Mithilfe des Work-Centers „Personendatenauskunft“ können Kunden sowie auch die eigenen Mitarbeitern über die in C4C gespeicherten persönlichen Daten informiert werden, wie es seit Ende Mai durch die EU-DSGVO vorgeschrieben ist, siehe Abbildung 04.

Dazu werden Transaktionsdaten und persönliche Daten in einem Hierarchiediagramm angezeigt, um auf einen Blick die gesamte Datenstruktur erfassen zu können. Wenn ein höherer Detailgrad der präsentierten Informationen benötigt wird, sind Verlinkungen in die einzelnen Objekte vorhanden.

Auch Erweiterungen der Kunden-Geschäfsobjekte werden einbezogen. Es werden also alle Objekte aufgezeigt, die mit den Ursprungsdaten verknüpft sind. Dies können beispielsweise kundenspezifische Felder sein, die nicht dem SAP Standard entsprechen, oder Zugriffspunkte in Integrationsszenarien mit anderen Systemen.

Mit der Funktion „Personendatenlöschung“ können Löschanfragen zentral bearbeitet werden. Die Löschung der Daten verläuft automatisch im Hintergrund, während das System ohne Einschränkungen für das Tagesgeschäft verfügbar bleibt, siehe Abbildung 05.

Definierte Aufbewahrungsfristen werden berücksichtigt und Änderungen protokolliert. So werden zwar die persönlichen Daten wie vorgeschrieben unkenntlich gemacht, die zugehörigen Transaktionsdaten bleiben jedoch mit anonymisierten Personendaten erhalten.

Wenn neue Adressen im System eingepflegt werden, muss das „Double-Opt-In Verfahren“ angewendet werden. Hier sorgt C4C dafür, dass der erforderliche doppelte Genehmigungsprozess (beispielsweise bei dem Versand einer Mail aus dem System an einen externen Adressaten) berücksichtigt wird. Das System kann so eingestellt werden, dass nach 30 Tagen ohne Antwort, die Daten im System automatisch unkenntlich gemacht werden. So werden zukünftige E-Mails ohne ausdrückliche Genehmigung verhindert.

Abbildung 04

Abbildung 05

Zusammenfassung

Nachdem die Anforderungen an Datenschutz und Transparenz zuletzt erheblich gestiegen sind und die Diskussion über die Umsetzbarkeit der DSGVO anhält, bietet SAP Cloud for Customer bereits heute umfangreiche Möglichkeiten, Personendaten gesetzeskonform zu erfassen und zu verwalten, sowie dem Kunden und den eigenen Mitarbeitern präzise Auskunft über Umfang und Nutzung seiner persönlichen Daten geben zu können. Weiterhin können, wenn der Kunde es wünscht, seine Daten nachhaltig und sicher gelöscht werden. Dies erfolgt zentral und einfach in einem eigens dafür geschaffenen Tool, integriert in C4C.

Wollen Sie mehr über Cloud for Customer „Sales“, „Service“, „Marketing“ oder Datenschutz in C/4HANA erfahren? Dann kontaktieren Sie uns gerne!

Zurück zum Blog
Martin Deutsch Allgeier ES

Haben Sie Fragen?

Unser Delivery Manager, Martin Deutsch, hilft Ihnen gerne weiter.

Jetzt Kontakt aufnehmen