:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
SAP-Einsatz datenschutzkonform gestalten Datenschutz für SAP
Der Einsatz von SAP stellt für die Unternehmen nicht nur aus organisatorischer sondern auch aus Datenschutzsicht eine Herausforderung dar. In diesem Beitrag geht es um die grundsätzliche Bedeutung des Datenschutzes im Zusammenhang mit SAP R/3. Es wird dargelegt, warum der Datenschutz eine so große Bedeutung für den Einsatz der SAP-Software hat. In diesem Zusammenhang wird auch auf die rechtlichen Grundlagen des Datenschutzgesetztes eingegangen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Das SAP-System hat sich in den vergangenen zehn Jahren zu der am weitesten verbreiteten Softwarelösungen für die IT-technische Unterstützung der kaufmännischen Serviceprozesse in Groß- aber zunehmend auch in mittelständischen Firmen entwickelt.
SAP R/3 gehört zur Kategorie der „Enterprise Ressource Planning“-Systeme (ERP). Die klassischen Kernmodule von SAP reichen dabei vom Einkauf, der Lagerhaltung über das externe und interne Rechnungswesen bis hin zum Personalwesen. Die durch diese SAP-Module gespeicherten Daten sind nicht nur aus unternehmenspolitischer sondern auch aus datenschutzrechtlicher Sicht besonders schützenswürdig. In den letzen zehn Jahren sind aber auch immer mehr Spezialmodule für die verschiedenen Wirtschaftssparten hinzugekommen.
Die Komplexität von SAP ergibt sich zum Einen aus der Vielzahl der Datenbanktabellen, in denen die Daten gespeichert werden. SAP bringt kein eigenes Datenbanksystem, sondern setzt ein gesondertes System, wie z.B. Oracle voraus. Insgesamt werden mehrere Tausend Datenbanktabellen verwaltet, deren Dokumentation ebenso tausende Seiten umfasst.
Mit der SAP eigenen Auswertesprache ABAP (Allgemeiner Berichtsaufbereitungsprozessor) sowie Standardabfragekommandos (SQL-Queries) lassen sich die gespeicherten Daten fast beliebig zu komplexen Datensammlungen zusammenfassen. In diesem Zusammenhang ist auch die Protokollierung wesentlicher Aktivitäten im SAP (Anlegen, Verändern und Löschen von Daten) als wesentliche Quelle für die Entstehung von personenbezogenen Daten zu nennen.
Der Zugriffsschutz für das SAP-System und die darin gespeicherten Daten wird durch das SAP-eigene Berechtigungssystem realisiert, das für sich wiederum ein sehr komplexes Gebilde darstellt. Das Herz des Berechtigungssystems stellen ca. 1000 Berechtigungsobjekte dar, die von SAP fest vorgegeben sind und die jeweils mit bestimmten Werten versehen werden. Diese sind hunderten von Profilen und Sammelprofilen zugeordnet, wobei beliebig viele kundeneigene Profile zusätzlich erstellt werden können.
Seite 2: Datenschutzrelevante Prozesse beim Einsatz von SAP
Datenschutzrelevante Prozesse beim Einsatz von SAP
Bereits vor dem Einsatz von SAP-Systemen ist zu klären, welche datenschutzrelevanten Prozesse mit SAP abgebildet werden sollen. Dabei sind zunächst alle Prozesse zu berücksichtigen, in denen personenbezogene Daten gespeichert werden, so z.B. im Personalbereich. Aber auch solche Prozesse sind zu berücksichtigen, in denen aus der Verknüpfung bzw. der Auswertung von Daten personenbezogene Daten gewonnen werden können, z.B. Leistungsauswertungen.
Das Bundesdatenschutzgesetz aber auch das Mitbestimmungsgesetz macht es erforderlich, dass vor dem Einsatz von SAP-Systemen die Zustimmung sowohl des betrieblichen Datenschutzbeauftragten als auch des Betriebsrates eingeholt werden muss. Beide Institutionen sind per Gesetz unabhängig von ihrer jeweiligen Geschäftsleitung und damit auch nicht weisungsgebunden.
Es ist also nicht zulässig, zunächst einmal mit der Datenverarbeitung in SAP zu beginnen und dann sukzessiv den Zustimmungs- bzw. den Mitbestimmungsprozess abzuwickeln. Aus ihrer Unabhängigkeit heraus können sowohl der Datenschutzbeauftragte als auch der Betriebsrat eine nicht genehmigte Datenverarbeitung in SAP per Gerichtsbeschluss untersagen lassen.
Anforderungen des Datenschutzgesetzes
Das Bundesdatenschutzgesetz stellt insbesondere auch für den Einsatz von SAP-Systemen eine Vielzahl von Anforderungen auf, von denen einige wesentliche im Folgenden beispielhaft genannt werden.
Zusätzlich zur grundsätzlich erforderlichen Zustimmung vor dem Produktivbeginn ist in §28 BDSG geregelt, dass der Zweck der Datenverarbeitung schon vor deren Nutzung - also schon bei der Erhebung - konkret festgelegt werden muss. Und auch nur zu diesem vorher definierten Zweck, oder mehreren, dürfen die Daten später auch verarbeitet werden. Dies ist insbesondere im Zusammenhang mit den angesprochenen vielfältigen Auswertemöglichkeiten im SAP von erheblicher Relevanz.
In §3 des BDSG wird das Postulat der Datensparsamkeit erhoben. Danach sollten so wenig wie möglich personenbezogene Daten verarbeitet werden. Wenn also der Zweck der Datenverarbeitung auch mit anonymisierten Daten zu erreichen ist, hat die Verarbeitung von personenbezogenen Daten zu unterbleiben.
Ein weiteres wesentliches Prinzip, nämlich das der Transparenz, wird in §4 BDSG festgelegt. Danach muss jederzeit bekannt sein, welche Daten zu welchem Zweck verarbeitet (erhoben, gespeichert und verarbeitet) werden. Hierzu ist das in §4 vorgeschriebene Verzeichnis aufzustellen und zu führen.
Fazit
Zwar stellt das Bundesdatenschutzgesetz zunächst einige rechtliche Hürden für den datenschutzkonformen Einsatz von SAP-System auf. Die Vielzahl der Unternehmen, die SAP im Einsatz haben zeigt jedoch, dass es bei einem entsprechend geplanten und durchgeführten Einführungsprojekt durchaus möglich ist, die unternehmensbezogenen und die datenschutzrechtlichen Anforderungen an den Einsatz von SAP-Systemen unter einen Hut zu bringen.
Artikelfiles und Artikellinks
Link: BDSG Online
(ID:2012662)
:quality(80)/p7i.vogel.de/wcms/12/f4/12f43ce168f4a7dd42cdff5c8311f871/0107693433.jpeg "Der Schutz eines Datenschutzbeauftragen vor Kündigung und Abberufung ist in Deutschland bei verpflichtender Bestellung sehr hoch. Unternehmen sind deshalb gut beraten, die Position nicht einfach Irgendjemandem aufzutragen. (Bild: fotogestoeber - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/02/9a021ec4ed4ab7fa4bbe16b087642113/0108299188.jpeg "Es reicht nicht, einmal eine Datenschutzerklärung zu erstellen. Man muss sie dauerhaft aktuell halten. (Bild: peterschreiber.media - stock.adobe.com)")