Mit dem SAP IRF (Information Retrieval Framework) stellt SAP ein Framework zur gezielten Suche nach personenbezogenen Daten, zur DSGVO-konformen Einhaltung des Rechts auf Auskunft (Art. 15 EU-DSGVO) im SAP-Standard zur Verfügung. Die EU-DSGVO regelt unter anderem die Verarbeitung personenbezogener Daten. In Artikel 15 EU-DSGVO wird Personen das Recht auf Auskunft garantiert. Danach können betroffene Person von dem für die Datenverarbeitung verantwortlichen Unternehmen Auskunft darüber verlangen, welche Daten dort über Sie gespeichert sind bzw. verarbeitet werden.

Das Auskunftsrecht bezieht sich dabei aber nicht nur auf sogenannte Stammdaten wie etwa Name, Adresse und Geburtsdatum,  sondern beispielsweise auch für das SAP IS-U spezifische Datenmodell sowie die geführte Kommunikation und interne Vermerke (Dokumente, Rechnungen oder Begrüßungsschreiben etc.).

Mithilfe des Frameworks (SAP IRF) können die personenbezogenen Daten von nach Auskunft fragenden Personen identifiziert, strukturiert gesammelt und bereitgestellt werden.

Die Suchergebnisse werden in einer umfassenden Liste (SAP-Systeme auch Entwicklungs-, Test- und Qualitätssysteme sowie angebundene Drittsysteme) bereitgestellt. Diese umfasst neben allen gespeicherten und verarbeiteten personenbezogenen Daten der betroffenen Person auch eine Unterteilung nach dem Zweck (Verarbeitungszweck), für den die Daten erhoben und verarbeitet werden, sowie über weitere Empfänger (Daten an Dritte). Die Liste steht in einem gängigen Format zum Download bereit und kann so den betroffenen Personen zur Verfügung gestellt werden (Verfahrensverzeichnis).

16. Februar 2023 Ι DSC GmbH

Für die Testphasen, Betriebsführung, Wartung und Weiterentwicklung von SAP-Systemen werden IT-seitig im Regelfall eine nicht unerhebliche Zahl von Spiegel- und Testsystemen vorgehalten. Die darin enthaltenen Daten müssen einerseits für den sinnvollen Einsatz realistische Daten enthalten, andererseits dürfen hier jedoch keine Echtdaten verwendet werden, da die Verarbeitung dieser Datensätze ebenfalls den Anforderungen der EU-DSGVO unterliegen. Gemäß EU-DSGVO (Art. 4ff.) ist die Nutzung personenbezogener Daten grundsätzlich nur zweckgebunden erlaubt, also nur für den Zweck, für den sie erhoben wurden. Die Stadtwerke Essen AG erfüllen mit dem Einsatz der Add-On-Lösung nicht nur die Anforderungen der DSGVO in ihren Testsystemen, sondern haben gleichzeitig auch eine konsistente gleichlautende Datenhaltung in allen SAP-Systemen sichergestellt. Das Add-On anonymisiert personenbezogene Daten, sodass diese keinen konkreten Personenbezug mehr besitzen und dennoch persistent sind. Nach der Anonymisierung eines bestehenden Systems werden die weiteren Testsysteme mit denselben Daten versorgt. Auf allen Testsystemen stehen somit „reale“ und konsistente Daten zur Verfügung. Dadurch ist sichergestellt, dass die Anforderungen des allgemeinen Datenschutzes, der EU-DSGVO und interner Vorgaben auch auf den Testsystemen der Stadtwerke Essen AG erfüllt sind. So können Mitarbeiter der Stadtwerke Essen auch weiterhin voll auf Entwicklungs-/Testsysteme zugreifen, Schulungsteilnehmer mit realitätsnahen Daten trainieren und Analysen können mit „echten“ Daten durchgeführt werden.

Für die Betriebsführung, Wartung und Weiterentwicklung von SAP-Systemen werden IT-seitig im Regelfall eine nicht unerhebliche Zahl von Spiegel- und Testsystemen vorgehalten. Die darin enthaltenen Daten müssen einerseits für den sinnvollen Einsatz realistische Daten enthalten, andererseits dürfen hier jedoch keine Echtdaten verwendet werden, da die Verarbeitung dieser Datensätze ebenfalls den Anforderungen der DSGVO unterliegen.