:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Datenschutzrelevante Prozesse beim Einsatz von SAP
Bereits vor dem Einsatz von SAP-Systemen ist zu klären, welche datenschutzrelevanten Prozesse mit SAP abgebildet werden sollen. Dabei sind zunächst alle Prozesse zu berücksichtigen, in denen personenbezogene Daten gespeichert werden, so z.B. im Personalbereich. Aber auch solche Prozesse sind zu berücksichtigen, in denen aus der Verknüpfung bzw. der Auswertung von Daten personenbezogene Daten gewonnen werden können, z.B. Leistungsauswertungen.
Das Bundesdatenschutzgesetz aber auch das Mitbestimmungsgesetz macht es erforderlich, dass vor dem Einsatz von SAP-Systemen die Zustimmung sowohl des betrieblichen Datenschutzbeauftragten als auch des Betriebsrates eingeholt werden muss. Beide Institutionen sind per Gesetz unabhängig von ihrer jeweiligen Geschäftsleitung und damit auch nicht weisungsgebunden.
Es ist also nicht zulässig, zunächst einmal mit der Datenverarbeitung in SAP zu beginnen und dann sukzessiv den Zustimmungs- bzw. den Mitbestimmungsprozess abzuwickeln. Aus ihrer Unabhängigkeit heraus können sowohl der Datenschutzbeauftragte als auch der Betriebsrat eine nicht genehmigte Datenverarbeitung in SAP per Gerichtsbeschluss untersagen lassen.
Anforderungen des Datenschutzgesetzes
Das Bundesdatenschutzgesetz stellt insbesondere auch für den Einsatz von SAP-Systemen eine Vielzahl von Anforderungen auf, von denen einige wesentliche im Folgenden beispielhaft genannt werden.
Zusätzlich zur grundsätzlich erforderlichen Zustimmung vor dem Produktivbeginn ist in §28 BDSG geregelt, dass der Zweck der Datenverarbeitung schon vor deren Nutzung - also schon bei der Erhebung - konkret festgelegt werden muss. Und auch nur zu diesem vorher definierten Zweck, oder mehreren, dürfen die Daten später auch verarbeitet werden. Dies ist insbesondere im Zusammenhang mit den angesprochenen vielfältigen Auswertemöglichkeiten im SAP von erheblicher Relevanz.
In §3 des BDSG wird das Postulat der Datensparsamkeit erhoben. Danach sollten so wenig wie möglich personenbezogene Daten verarbeitet werden. Wenn also der Zweck der Datenverarbeitung auch mit anonymisierten Daten zu erreichen ist, hat die Verarbeitung von personenbezogenen Daten zu unterbleiben.
Ein weiteres wesentliches Prinzip, nämlich das der Transparenz, wird in §4 BDSG festgelegt. Danach muss jederzeit bekannt sein, welche Daten zu welchem Zweck verarbeitet (erhoben, gespeichert und verarbeitet) werden. Hierzu ist das in §4 vorgeschriebene Verzeichnis aufzustellen und zu führen.
Fazit
Zwar stellt das Bundesdatenschutzgesetz zunächst einige rechtliche Hürden für den datenschutzkonformen Einsatz von SAP-System auf. Die Vielzahl der Unternehmen, die SAP im Einsatz haben zeigt jedoch, dass es bei einem entsprechend geplanten und durchgeführten Einführungsprojekt durchaus möglich ist, die unternehmensbezogenen und die datenschutzrechtlichen Anforderungen an den Einsatz von SAP-Systemen unter einen Hut zu bringen.
Artikelfiles und Artikellinks
Link: BDSG Online
(ID:2012662)
:quality(80)/p7i.vogel.de/wcms/12/f4/12f43ce168f4a7dd42cdff5c8311f871/0107693433.jpeg "Der Schutz eines Datenschutzbeauftragen vor Kündigung und Abberufung ist in Deutschland bei verpflichtender Bestellung sehr hoch. Unternehmen sind deshalb gut beraten, die Position nicht einfach Irgendjemandem aufzutragen. (Bild: fotogestoeber - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/02/9a021ec4ed4ab7fa4bbe16b087642113/0108299188.jpeg "Es reicht nicht, einmal eine Datenschutzerklärung zu erstellen. Man muss sie dauerhaft aktuell halten. (Bild: peterschreiber.media - stock.adobe.com)")