Datenschutz Verstehen – Datenschutz bei SAP: Leitfaden zur Umsetzung!
SAP steht für Systemanalyse und Programmentwicklung und hat sich mittlerweile in 77 % aller weltweiten Transaktionen etabliert. Das Unternehmen SAP ist in 180 Nationen vertreten und besitzt 444.000 Kunden. Bei SAP-Lösungen handelt es sich um Datenmanagement-Systemen, die eine einheitliche Sicht auf alle Daten des Unternehmens ermöglicht und so die Effizienz steigert. SAP bietet seinen Kunden verschiedene Arten von SAP-Systemen, cloudbasierte Lösungen oder On-Premises also auf den eigenen Servern installierte Systeme. Für den unternehmensübergreifenden Informationsfluss sind jedoch datenschutzrechtliche Bestimmungen einzuhalten. Um dies sicher zu gewährleisten, brauchen Unternehmen Hilfe von Datenschutzexperten. Wir geben Ihnen einen Einblick, was für die Umsetzung des Datenschutzes bei SAP wichtig ist.
SAP ILM
SAP Information Lifecycle Management verfolgt das Hauptziel, Daten von der Erstellung bis hin zur endgültigen Vernichtung zu kontrollieren. Besonders interne betriebliche Prozesse sowie gesetzliche Anforderungen machen das SAP ILM so nützlich und notwendig. Zuletzt stellte gerade die europäische Datenschutz-Grundverordnung (DSGVO) Unternehmen vor große Herausforderungen. Anforderungen an die Datenspeicherung, Löschen von Daten und Nachweispflichten erfordern ein ausgeklügeltes System und rücksichtsvollen Umgang mit personenbezogenen Daten. Um schwerwiegende Folgen bestmöglich unterbinden zu können, ist das SAP ILM eine wertvolle Maßnahme. Personenbezogene Daten werden genauestens sortiert und automatisch nach einem vorgegebenen Stichtag automatisiert gelöscht. Wie genau SAP ILM bei der Sicherstellung des Datenschutzes helfen kann erfahren Sie mit folgender Liste.
Liste der Funktionen
- Datenarchivierung: Daten, die nicht mehr relevant sind für die regelmäßige Verwendung, werden automatisch vom System archiviert. Die Daten werden auf einem externen Speichersystem übertragen. Dort sind sie für den späteren Bedarf wieder abrufbar und verstopfen somit aktuelle Datenbanken nicht. Diese Funktion stellt die Hauptfunktion der Datenverwaltung dar. Die Effektivität wird zudem gesteigert durch eine Verknüpfung mit anderen Funktionen, wie der Datenvernichtung und der Erstellung von Snapshots.
- Retention Management: Diese Funktion ermöglicht eine effiziente und rechtlich sichere Datenaufbewahrung. Gesetzliche Bestimmungen und Speicherungsfristen können im System eingepflegt werden und sichern somit das von dem Art. 17 DSGVO vorgeschriebene Recht auf Vergessenwerden einer betroffenen Person. Hierdurch kann bestimmt werden, welche Daten zu welchem Zeitpunkt zur Verfügung stehen oder vernichtet werden müssen.
- ILM Retention Warehouse: Das Retention Warehouse behandelt die Beendigung von Systemen und Systemlandschaften und gliedert dies in drei Phasen. In der ersten Phase werden Daten aus einem alten System extrahiert. Daraufhin werdem Daten und Anwendungen von Vorgaben übertragen. In der dritten Phase findet ein Reporting in einer Stilllegungsumgebung statt.
Berechtigungskonzept SAP nach DSGVO
Berechtigungskonzepte sind ein wichtiges Tool für die Realisierung des Datenschutzes in einem Unternehmen. Hierdurch soll erreicht werden, dass unbefugten Personen kein Zugriff auf Daten gewährt wird. Unter Berücksichtigung der DSGVO geht es hierbei besonders um personenbezogene Daten oder besondere Kategorien personenbezogener Daten. Der Grundsatz der Vertraulichkeit regelt dies auch in Art. 5 Abs. 1 lit. f) DSGVO. Demnach ist sicherzustellen, dass Daten nur von berechtigten Personen eingesehen werden. Um dem gerecht zu werden, müssen Zugriffsrechte auf ein Minimum begrenzt und auch fortlaufend kontrolliert werden. Ein Negativbeispiel stellen dabei die Zugriffsrechte von Azubis in Unternehmen dar. Teilweise haben sie mehr Berechtigungen als Abteilungsleiter, da die verschiedenen Berechtigungen nicht entzogen werden, wenn Azubis in verschiedenen Abteilungen arbeiten. Das schlichte Vergessen des Entzuges von Berechtigungen kann schwerwiegende Folgen nach sich ziehen.
Um dem entgegenzuwirken, sollten sog. Default-Einstellungen im Unternehmen integriert werden. Beispielsweise könnten alle Daten, die älter als 60 Monate sind, durch eine Systemprogrammierung für alle Anwender ausgeblendet werden. Diese und weitere Einstellungen bewahren sodann die Vertraulichkeit der Daten.
SAP Read Access Logging
Auch die Funktion der SAP Read Access Logging hat einen datenschutzrechtlichen Bezug. Sie zeichnet auf, welcher User, welche Information, wann angesehen hat. Dies spielt hinsichtlich der Auskunftsrechte von betroffenen Personen eine wichtige Rolle. Gem. Art. 15 DSGVO haben Betroffene das Recht, von dem Verantwortlichen Auskunft darüber zu erhalten, welche personenbezogene Daten verarbeitet werden. Zudem trifft den Verantwortlichen die Pflicht, dies auch gem. Art. 5 Abs. 2 DSGVO dokumentiert nachweisen zu können. Durch die Protokollierung der Zugriffe auf bestimmte Daten, wie beispielsweise Kunden- oder Mitarbeiterdaten, kann die Auskunft stets gewährleistet werden. Insbesondere in großen Unternehmen kann so die Produktivität enorm erhöht werden. Wer versucht dem Auskunftsrecht ohne System und Konzept nachzugehen, wird erhebliche Personalkosten aufnehmen müssen und voraussichtlich trotzdem ein schlechteres Ergebnis liefern. Denn wer eine ausreichende Antwort liefern muss, kann nicht allein auf die Berechtigungen selbst zurückgreifen. Stattdessen muss auch feststellbar sein, wer alles tatsächlich, nicht nur theoretisch, Zugriff und Einsicht auf diese Daten erlangt hat.
SAP Auftragsverarbeitungs-Vertrag
Abhängig vom Unternehmen sind 5.000 Euro leicht verdient. Noch leichter ist es jedoch, 5.000 Euro auszugeben. Und zwar als Bußgeld wegen eines fehlenden Auftragsverarbeitungs-Vertrags. Grundlage ist der Art. 28 DSGVO, dieser schreibt vor, dass ein Vertrag zwischen dem Auftragnehmer und dem Auftraggeber geschlossen werden muss. Eine Auftragsverarbeitung liegt vor, wenn die Verarbeitung von personenbezogenen Daten durch einen Auftrag eines Verantwortlichen stattfindet. Auftragsverarbeitungs-Verträge werden geschlossen, um die personenbezogenen Daten bestmöglich zu schützen und eine größtmögliche Transparenz gewährleisten zu können. Zu den typischen Auftragsverarbeitern gehören solche, die Einsicht in personenbezogene Daten erhalten oder diese verarbeiten, z.B. Druckdienstleister, cloudbasierte Lohnbuchhaltung und Softwareanbieter. Hierzu gehört auch die Lösung der SAP ILM bzw. SAP-Software im Allgemeinen. Für die Wirksamkeit eines Vertrages müssen bestimmte Inhalte konkret geregelt worden sein. Insbesondere müssen angepasste technische und organisatorische Maßnahmen gem. Art. 32 DSGVO vertraglich festgehalten, sowie die Haftung entsprechend geregelt werden. Konkret wird geregelt, wie die Daten im Auftrag verarbeitet werden sollen, was erlaubt ist und was nicht. Ebenso sollte vereinbart werden, ob Unterauftragsverhältnisse erlaubt sind, welche Kontrollrechte durch den Auftragnehmer wahrgenommen werden würden und vieles mehr. Gerade bei einer Software-Lösung wie SAP, müssen ausreichend technische und organisatorische Maßnahmen vorliegen, da extrem viele und sensible Daten verarbeitet werden.
Vereinbarung bei SAP S/4HANA gem. DSGVO
Bei dem System SAP S/4HANA handelt es sich um einen Nachfolger eines Markenproduktes der SAP SE, in dem alltägliche Prozesse eines Unternehmens abgedeckt werden können. Es dient der Planung und Verwaltung unterschiedlichster Aufgaben im Bereich Kapital, Personal, Material, Kommunikation und Kunden. Für das neue S/4HANA-System ist zunächst eine grundlegende Entscheidung von Unternehmen zu treffen. Soll das System im eigenen Rechenzentrum betrieben werden oder cloudbasiert erfolgen? Diese beiden Möglichkeiten lassen sich kategorisch einteilen. In den On-Premises-Style, also die Organisation auf eigenen Rechensystemen oder den Cloud-Style, also eine cloudbasierte Lösung. In Bezug auf die Verarbeitung und Speicherung der personenbezogenen Daten, ist es wichtig zu wissen, wo diese Daten überall hingelangen. Während bei der On-Premises Lösung die Daten lediglich lokal gehalten werden, können Daten bei der Cloud-Version auf der gesamten Welt verteilt werden. Durch ein stark vernetztes System der Cloud-Anwendungen von SAP und dem daraus resultierenden Rechenzentrumsstandorten, sind je Standort unterschiedliche Maßnahmen zu ergreifen. Dies hat zur Folge, dass nicht jeder Auftragsverarbeitung-Vertrag für jeden Standort genutzt werden kann, sondern individuell angepasst werden muss. Egal, wie ein Unternehmen sich entscheidet, feststeht, dass die Sicherheit und Vertraulichkeit der personenbezogenen Daten stets gesichert sein muss.
Vereinbarung bei On Premises SAP gem. DSGVO
Bei der On Premises-Lösung sind wiederum andere wichtige Faktoren zu berücksichtigen. Durch die lokale Speicherung auf unternehmensinternen Servern, liegt die Verantwortung in Händen des Unternehmers. Diese Verantwortung bezieht sich auf die Verfügbarkeit, Vertraulichkeit und Integrität der Daten. Das Unternehmen muss somit eigene technische und organisatorische Maßnahmen ergreifen für die lokale Speicherung der personenbezogenen Daten. Jedoch agiert SAP noch immer als Auftragsverarbeiter, da noch die Möglichkeit besteht, auf die Daten zuzugreifen. Bei der Erstellung von Auftragsverarbeitungs-Verträgen muss also darauf geachtet werden, wer Zugriff auf die Daten erhält und wie groß die Auslagerung der Verarbeitung ist. Je größer der Einfluss auf die Verarbeitung von Daten, desto mehr Verantwortung muss getragen werden. Dies gilt für den Auftraggeber, das Unternehmen und dem Auftragnehmer SAP gleichermaßen.
Aus organisatorischen und monetären Gründen kann es also hilfreich sein, keine On Premises-Lösung zu verwenden, da die technischen und organisatorischen Maßnahmen einiges an Aufwand bedarf. Zudem sind Kosten für eine ausreichende Hardware und damit verbundene Instandhaltungskosten nicht zu vernachlässigen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.