-
Deutschsprachige SAP® Anwendergruppe
Leitfaden Datenschutz SAP ERP 6.0DSAG ARBEITSGRUPPE
DATENSCHUTZ
STAND 20. SEPTEMBER 2009
-
ErarbEitEt in dEr arbEitsgruppE datEnschutzLEitfadEn datEnschutz
sap Erp 6.0 stand 20. sEptEmbEr 2009
dsag e. V.deutschsprachige sap-anwendergruppe
DSAG Arbeitskreis Revision / Risikomanagement
Seite
2
-
in mEmoriamthomas barthEL
(1950 – 2007)
Seite
3
-
der vorliegende Leitfaden datenschutz sap Erp release 6.0 soll
datenschutzbeauftragten der sap-anwender anhaltspunkte für die
Vorgehensweise bei der umsetzung der anforderungen der
datenschutz-vorschriften bei Einsatz der sap-software geben.
der Leitfaden ist als „Empfehlung“ gedacht, nicht aber als
„verbindliche richtlinie“ oder „norm“. Jegliche Verantwortung für
art, umfang und Ergebnis der umsetzung der datenschutzvorschriften
verbleibt somit bei der Leitung der verantwortlichen stelle
(unternehmen / behörde).
für das studium dieses Leitfadens werden grundkenntnisse der
sap-systeme sowie Kenntnisse der handels- und steuerrechtlichen
grundlagen und des bundesdatenschutzgesetzes (bdsg) vorausgesetzt.
der Leitfaden datenschutz behandelt fragestellungen, die bereits in
den sap-sicherheitsleitfäden oder in anderen prüfleitfäden des dsag
aK-revision enthalten sind, insbesondere aus datenschutzrechtlicher
sicht. in dieser Version wird z. t. auch auf modulspezifische
besonderheiten, z. b. hcm, eingegangen.
mit sap Erp wird die klassische abap-Welt (abap stack) um die
JaVa-Welt (JaVa stack) ergänzt. dieser Leitfaden umfasst den
abap-stack, die Version für den JaVa-stack ist in planung.
sap Erp ist als international eingesetzte standardsoftware
konzipiert. der Leitfaden berücksichtigt die Eu-richtlinie 95 / 46
/ Eg und die deutsche datenschutzgesetzgebung.
die autoren sind mitglieder der arbeitsgruppe datEnschutz im
dsag arbeitskreis revision und stellen hiermit ihre Erfahrungen zur
Verfügung.
© copyright 2008 dsag E.V.
diE autorEn:herr t. barthel † forbit gmbh / caro gmbh,
hamburgherr i. carlberg bit e.V., bochumherr V. Lehnert sap
deutschland ag & co.Kg, Walldorfherr h. miller geberit
deutschland gmbh, pfullendorfherr t. müthlein dmc datenschutz
management & consulting gmbh & co.Kg frechen / gdd e.V.
bonnfrau a. otto sap deutschland ag & co.Kg, Walldorfherr s.
pieper deloitte & touche gmbh, frankfurt herr K. redling sap
deutschland ag & co.Kg, Walldorfherr a. reschke
rechtsanwaltskanzlei reschke, Wiesbaden herr p. schiefer bayer ag,
Leverkusenherr h.-J. schwab sap ag, Walldorfherr g. siebert forba
partnerschaft, berlinherr g. Voogd forbit gmbh / caro gmbh,
hamburg
EinleitungSe
ite 4
-
an dEr 1. / 2. aufLagE WirKtEn aussErdEm mit:herr V. ahrend
bosch telecom gmbh, frankfurt herr r. anhorn robert bosch gmbh,
stuttgartfrau c. bonni Lausitzer braunkohle ag, senftenbergherr W.
Kilian rWE Energie aktiengesellschaft, Essenherr a. Lenz rheinbraun
ag, Kölnherr s. dierschke basf ag-zok, Ludwigshafenherr W. geesmann
Kpmg deutsche treuhand-gesellschaft, düsseldorfherr r. glagow pWc
deutsche revision ag, düsseldorfherr f. glaß pWc deutsche revision
ag, düsseldorf herr t. glauch Kpmg deutsche treuhand-gesellschaft,
düsseldorfherr J. heck brau und brunnen ag, dortmundherr g.
hohnhorst Kpmg deutsche treuhand-gesellschaft, düsseldorfherr W.
hornberger sap ag, Walldorfherr a. Kirk ruhrgas ag, Essenherr K.
Lorenz deutsche bausparkasse badenia ag, Karlsruheherr dr. pötschat
basf ag, Ludwigshafenherr E. schmidt philip morris gmbh,
münchenherr a. von der stein rWE systems ag, dortmundherr u.
ueberschar mannesmann arcor ag & co., Eschborn / Kölnfrau g.
zibulski sap ag, Walldorf
die Verantwortung für den inhalt tragen die autoren. die
redaktionelle bearbeitung und das Layout liegen bei der sap ag und
der dsag.
hinWEis:die vorliegende publikation ist urheberrechtlich
geschützt (copyright). alle rechte liegen, soweit nicht
ausdrücklich anders gekennzeichnet, bei:dEutschsprachigE sap®
anWEndErgruppE E.V.altrottstraße 34 a69190
WalldorfdeutschlandJedwede unerlaubte Verwendung ist nicht
gestattet. dies gilt insbesondere für die Vervielfältigung,
Verbreitung, Übersetzung oder die Verwendung in elektronischen
systemen / digitalen medien.
die autoren des Leitfaden datenschutz sind für Kritik,
Änderungs- und Ergänzungswünsche dankbar. dies gilt sowohl für
Vorschläge zur Vertiefung der einzelnen Kapitel als auch für die
nennung von beispielen aus konkreten prüfungserfahrungen.
um dem Leser das antworten zu erleichtern, ist auf der folgenden
seite ein formular eingefügt.
1 z. b. hgb, ao, gdpdu, gob / gobs
Seite
5LE
itfa
dEn
dat
Ensc
hu
tz f
Ür
sa
p Er
p 6.
0 st
an
d 2
0. s
EptE
mb
Er 2
009,
© d
sag
e. V
.
-
an die autoren der arbeitsgruppe datenschutz
dsag-geschäftsstellealtrottstr. 34a69190 WalldorfE-mail:
[email protected]
fax: +49 (0) 62 27 – 358 09 59
absEndErname
funktion
abteilung
firma
anschrift
telefon telefax
ErgÄnzEndE information(En) zum LEitfadEn datEnschutz sap Erpich
möchte der arbeitsgruppe zu folgendem themenkreis informationen
geben (bitte ankreuzen):
( ) Kritische tabellen / customizing-Einstellungen( ) Kritische
objekte ( ) Kritische sap-fakten ( ) beispiele für konkrete
umsetzungsmaßnahmen und prüfungshandlungen
ich bEziEhE mich aufLeitfaden datenschutz sap Erp,
Kapitel:.....................................................................................................................sap
Erp,
release:...........................................................................................................................................................
mEinE information LautEt:
............................................................................................................................................................................................
............................................................................................................................................................................................
............................................................................................................................................................................................
............................................................................................................................................................................................
............................................................................................................................................................................................
............................................................................................................................................................................................
............................................................................................................................................................................................
............................................................................................................................................................................................
zur WEitErEn ErLÄutErung sind anLagEn bEigEfÜgt (bittE
anKrEuzEn):( ) Ja( ) nein
Seite
6
-
1 EinfÜhrungsprozEss 12 1.1 anforderungen des bdsg an sap Erp 12
1.1.1 Erhebung, Verarbeitung oder nutzung von personenbezogenen
daten 12 1.1.2 Übermittlung von personenbezogenen daten 13 1.1.3
abrufverfahren 13 1.1.4 besondere zweckbindung 13 1.1.5
auftragsverarbeitung 13 1.1.6 unterrichtung des betroffenen 14
1.1.7 rechte des betroffenen 14 1.1.8 auskunft an jedermann 14
1.1.9 meldepflicht 15 1.1.10 Verpflichtung der mitarbeiter auf das
datengeheimnis 15 1.1.11 schulung 15 1.1.12 maßnahmen zur
datensicherheit 15 1.1.13 Übersichten gem. §§ 4e, 4g und §18 abs. 2
(bdsg-Übersichten) 15 1.1.14 Vorabkontrolle 16 1.1.15 sap solution
manager als unterstützendes tool im Einführungsprozess 16 1.2
mitwirken des datenschutzbeauftragten bei der Einführung von sap
Erp 17 1.2.1 datenschutzbeauftragter – mitglied des
sap-projektteams 17 1.2.2 information des datenschutzbeauftragten
zu den „meilensteinen“ 17 1.2.3 informationsmöglichkeiten für den
datenschutzbeauftragten 17 1.3 sap-fakten 18 1.3.1 customizing und
asap-Vorgehensmodell 18 1.3.2 berechtigungskonzept 20 1.3.3 change
transport system / change transport organizer (cts / cto) 21 1.3.4
schnittstellenverarbeitung 22 1.3.4.1 datenübernahme 22 1.3.4.2
pc-Verarbeitung 22 1.3.4.3 Kommunikationsschnittstellen 22 1.3.4.4
sap-automation 22 1.3.5 Job-auftragsverfahren und -dokumentation
1.4 risiken 22 1.4.1 nichteinschaltung des datenschutzbeauftragten
bzw. der arbeitnehmervertreter 23 1.4.2 nichtbeachtung der
sap-Empfehlungen 23 1.4.3 nichtberücksichtigung bzw. verspätete
Erstellung des berechtigungskonzeptes 23 1.4.4 nicht ordnungsgemäße
anwendung eines datenverarbeitungsprogramms 23 1.5
prüfungshandlungen im rahmen der Einführung / checkliste 24
2 aufgabEn dEs datEnschutzbEauftragtEn 26 2.1 Überwachung der
ordnungsgemäßen programmanwendung (§ 4g abs. 1 bdsg) 27 2.1.1
Einbeziehung des dsb vor und während der programmentwicklung und
-anpassung 28 2.1.2 prüfung der datenerhebung und datennutzung auf
rechtmäßigkeit 28 2.1.3 auswertung der protokollierung 28 2.1.4
prüfung der Verfahrensdokumentation 28 2.1.5 mitwirkung bei der
festlegung und Überprüfung des berechtigungskonzeptes 29
Gliederung
Seite
7LE
itfa
dEn
dat
Ensc
hu
tz f
Ür
sa
p Er
p 6.
0 st
an
d 2
0. s
EptE
mb
Er 2
009,
© d
sag
e. V
.
-
2.1.6 mitwirkung bei der festlegung des betriebskonzeptes und
der betreiberorganisation 30 2.1.7 abfassung einer
datenschutzerklärung 31 2.1.8 Überwachung des Korrektur- und
transportwesens unter sap Erp 32 2.1.9 Kontrollen im laufenden
betrieb 32 2.2 schulung der anwender mit Verpflichtung auf das
datengeheimnis (§§ 4g und 5 bdsg) 32 2.2.1 personenkreis, der
geschult und verpflichtet werden muss 32 2.2.2 inhalt der
anwenderschulungen 33 2.2.3 abbildung der anwenderschulung im sap
33 2.2.3.1 anwenderschulung über infotypen „belehrungen“ oder
„Qualifizierungen“ 33 2.2.3.2 anwenderschulung über das
Veranstaltungsmanagement 34 2.3 führen von Übersichten (§ 4g abs. 2
/ §18 abs. 2 bdsg) 34 2.3.1 informationen zur verantwortlichen
stelle 38 2.3.2 zweckbestimmungen der datenerhebung, -verarbeitung
oder -nutzung 38 2.3.3 beschreibung der betroffenen personengruppen
und der diesbezüglichen daten oder datenkategorien 38 2.3.4
Empfänger oder Kategorien von Empfängern 40 2.3.5 regelfristen für
Löschung 42 2.3.6 geplante Übermittlung in drittstaaten 48 2.3.7
maßnahmen zur gewährleistung der sicherheit 49 2.3.8
zugriffsberechtigte personen 49 2.3.9 beispiel melderegister 50 2.4
systemunterstützung 52 2.4.1 auswertungen zur tabellen- und
feldanalyse 53 2.4.2 techniken zum auffinden personenbezogener
daten 55 2.4.3 prüfung der zugriffsberechtigungen 57
3 rEchtE dEr bEtroffEnEn und Von JEdErmann 60 3.1
benachrichtigung und auskunft 60 3.1.1 rechtliche anforderungen 60
3.1.2 sap-fakten 61 3.1.3 anforderungen an die organisation des
datenschutzes 61 3.2 berichtigung, Löschung und sperrung 63 3.2.1
rechtliche anforderungen 63 3.2.2 sap-fakten 64 3.2.3 anforderungen
an die organisation des datenschutzes 64
4 umsEtzung dEr anfordErungEn aus § 9 bdsg und anLagE:
tEchnisch-organisatorischE massnahmEn 66
4.1 anforderungen 66 4.1.1 gesetzliche anforderungen aus § 9
bdsg 66 4.1.2 sap-funktionalität zur abdeckung der gesetzlichen
anforderungen 66 4.2 sap-fakten, risiken und maßnahmen 70 4.2.1
abap-fakten, risiken und maßnahmen 71 4.2.1.1 identifizierung und
authentifizierung 71 4.2.1.1.1 sap-fakten 71 4.2.1.1.2 risiken und
zu ergreifende maßnahmen 74
GliederungSe
ite 8
-
4.2.1.2 standardbenutzer 74 4.2.1.2.1 sap* 74 4.2.1.2.2 sapcpic
75 4.2.1.2.3 ddic 75 4.2.1.2.4 EarlyWatch 75 4.2.1.2.5 batch user
76 4.2.1.2.6 risiken und zu ergreifende maßnahmen 76 4.2.1.3
benutzerberechtigungskonzept: ausgewählte berechtigungsobjekte 76
4.2.1.3.1 berechtigungsobjekte im hcm 76 4.2.1.3.2
berechtigungsobjekt p_abap 77 4.2.1.3.3 berechtigungsobjekt p_tcodE
78 4.2.1.3.4 berechtigungsobjekt s_tcodE 78 4.2.1.3.5 tabelle tstca
78 4.2.1.3.6 umwandlung von reports in transaktionen 79 4.2.1.3.7
berechtigungsobjekt s_tabu_dis, s_tabu_cLi und s_tabu_Lin 79
4.2.1.3.8 berechtigungsobjekt s_tooLs_EX 80 4.2.1.3.9
berechtigungsobjekt s_scd0 80 4.2.1.3.10 objekte zur benutzer- und
berechtigungspflege (s_usEr_xxx) 80 4.2.1.3.11 berechtigungsobjekt
s_gui und XXL-Listviewer 81 4.2.1.3.12 risiken und zu ergreifende
maßnahmen 81 4.2.1.4 benutzerberechtigungskonzept: ausgewählte
profile 82 4.2.1.4.1 profil sap_aLL 82 4.2.1.4.2 profil sap_nEW 82
4.2.1.4.3 profil p_bas_aLL 82 4.2.1.4.4 sonstige s_xxx-profile 83
4.2.1.4.5 rollen mit kritischen berechtigungen 83 4.2.1.4.6 risiken
und zu ergreifende maßnahmen 83 4.2.1.5 besonderheiten bei der
berechtigungsprüfung 84 4.2.1.5.1 ausschaltung / modifikation von
berechtigungsprüfungen 84 4.2.1.5.2 authority-check bei
abap-programmen (standardprogramm oder Eigenentwicklungen) 85
4.2.1.5.3 berechtigungshauptschalter hr (tabelle t77s0; grpid
„autsW“) 85 4.2.1.5.4 report berechtigungsgruppen 86 4.2.1.5.5
risiken und zu ergreifende maßnahmen 86 4.2.1.6
benutzeradministration 87 4.2.1.6.1 Konzeption der zentralen
benutzeradministration 87 4.2.1.6.2 Konzeption der dezentralen
benutzeradministration 88 4.2.1.6.3 benutzeradministration mit dem
profilgenerator 88 4.2.1.6.4 Veraltete benutzeradministration mit
profilen 88 4.2.1.6.5 risiken und zu ergreifende maßnahmen 88
4.2.1.7 Änderungen am produktivsystem 89 4.2.1.7.1 change and
transport system 89 4.2.1.7.2 tabellenprotokollierung / customizing
89 4.2.1.7.3 systemänderbarkeit 90 4.2.1.7.4 protokolle 90
Seite
9LE
itfa
dEn
dat
Ensc
hu
tz f
Ür
sa
p Er
p 6.
0 st
an
d 2
0. s
EptE
mb
Er 2
009,
© d
sag
e. V
.
-
4.2.1.7.5 schutz der tabelle t000 91 4.2.1.7.6 risiken und zu
ergreifende maßnahmen 91 4.2.1.8 systemschnittstellen 91 4.2.1.8.1
batch-input 91 4.2.1.8.2 rfc, aLE, bapi 92 4.2.1.8.3 pc-download 92
4.2.1.8.4 abap-Listviewer 92 4.2.1.8.5 risiken und zu ergreifende
maßnahmen 92 4.2.1.9 auditing und Logging 93 4.2.1.9.1 security
audit Log 93 4.2.1.9.2 system Log 95 4.2.1.9.3
transaktionsprotokollierung stad (ccms) 95 4.2.1.9.4
Workflow-protokollierung 95 4.2.1.9.5 report-protokollierung im hcm
95 4.2.1.9.6 ad-hoc-Query-protokollierung zur Kontrolle der
zweckbindung 96 4.2.1.9.7 risiken und zu ergreifende maßnahmen 96
4.2.1.10 Komplexe suchhilfe 97 4.2.1.11 zusammenfassung zentraler
risiken 97 4.3 zusammenfassung der prüfungshandlungen 98
5 auftragsdatEnVErarbEitung und KonzErnintErnEr datEnaustausch
100
5.1 abgrenzungen beim thema outsourcing und datenschutz 100 5.2
Vertragsgestaltung zwischen auftragnehmer und auftraggeber 101
5.2.1 pflichten des auftraggebers und auftragnehmers 101 5.2.2
umfang der datenverarbeitung / Weisungen 102 5.2.3 technische und
organisatorische maßnahmen 102 5.2.4 Wahrung der rechte der
betroffenen 103 5.2.5 datengeheimnis 103 5.2.6 Kontrollen durch den
auftraggeber 103 5.2.7 datenschutzbeauftragter des auftragnehmers
103 5.2.8 unterauftragnehmer 104 5.2.9 Verarbeitung im ausland 104
5.2.10 Wartung und pflege 105 5.3 sap-fakten 106 5.3.1
ausgangssituation 106 5.3.2 sap-administration 107 5.3.3
sap-spezifische maßnahmen 107 5.3.3.1 systemadministration 107
5.3.3.2 change and transport organizer (cto / cts) 107 5.3.3.3
fernwartung und services 108 5.3.3.4 rfc und aLE 108 5.3.3.5
Job-abwicklung 108 5.3.3.6 pc-download 109 5.3.3.7 datenbank- und
Lan-umgebung 109
GliederungSe
ite 10
-
5.3.3.8 mandantenübergreifende funktionen 109 5.3.3.9
sap-protokolle 109 5.4 risiken 110
6 bEsondErE thEmEn 112 6.1 auditwerkzeuge: audit information
system und benutzerinformationssystem 112 6.1.1 audit information
system (ais) 112 6.1.2 benutzerinformationssystem (suim) 113 6.2
sos-report (security optimization service) 114 6.3 sap grc
(governance, risk and compliance) 115 6.3.1 sap grc access control
116 6.3.1.1 risk analysis and remediation (vormals compliance
calibrator) 117 6.3.1.2 Enterprise role management (bisher bekannt
als Virsa role Expert) 117 6.3.1.3 superuser privilege management
(bisher bekannt als Virsa firefighter for sap) 117 6.3.1.4
compliant user provisioning (bisher bekannt als Virsa access
Enforcer) 118 6.3.2 sap grc process control 118
7 gLossar 120
8 anLagEn 122 8.1 Verpflichtung auf das datengeheimnis 122 8.2
merkblatt zum umgang mit personenbezogenen daten 124 8.3
beteiligung des datenschutzbeauftragten am asap-Vorgehensmodell 125
8.4 checkliste zu den anforderungen an die prüfbarkeit 137
Seite
11LE
itfa
dEn
dat
Ensc
hu
tz f
Ür
sa
p Er
p 6.
0 st
an
d 2
0. s
EptE
mb
Er 2
009,
© d
sag
e. V
.
-
1 Einführungsprozess
2 im folgenden umfasst der begriff sap Erp im sinne dieses
Leitfadens auch die abap-Komponenten von sap netWeaver
die Voraussetzung für die anwendung des
bundesdatenschutzgesetzes (bdsg) ist beim Einsatz von sap Erp2
erfüllt, da in allen modulen personenbezogene daten automatisiert
verarbeitet werden (vgl. §1 bdsg in Verbindung mit §§12 oder 27
bdsg). deshalb sind das bundesdatenschutzgesetz und andere
rechtsvor-schriften zum datenschutz, z. b. in einer
Landesverwaltung das jeweilige Landesdatenschutzgesetz, zu
beachten. dieser Leitfaden gilt für den öffentlichen und den nicht
öffentlichen bereich. auf die besonder-heiten der
Landesdatenschutzgesetze wird in diesem Leitfaden nicht
eingegangen.da sap Erp als international eingesetzte
standardsoftware unter betriebswirtschaftlichen aspekten konzipiert
ist, kann ein anwender nicht ohne Weiteres davon ausgehen, dass für
alle angebotenen daten-felder die rechtsgrundlagen im sinne der
deutschen datenschutzvorschriften gegeben sind.Es ergibt sich damit
die notwendigkeit zu überprüfen, ob sap Erp in der beim anwender
vorgesehenen ausprägung den anforderungen des
bundesdatenschutzgesetzes und ggf. anderer Vorschriften über den
datenschutz genügt.der datenschutzbeauftragte (dsb) sowie
betriebsrat / personalrat sind daher in die projektarbeit
einzube-ziehen, wobei die projektverantwortung für die
ordnungsgemäße Einführung von sap Erp der projekt-leitung
obliegt.auch wenn das bdsg den anforderungen des harmonisierten
datenschutzrechts in der Eu entspricht, sind die lokalen
besonderheiten der einzelnen Eu-mitgliedsstaaten zu beachten.
1.1 anfordErungEn dEs bdsg an sap Erpdas bdsg spricht ein
grundsätzliches Verbot der Erhebung, Verarbeitung und nutzung
personenbezogener daten aus und erlaubt die datenverarbeitung nur,
wenn die im bdsg definierten Voraussetzungen erfüllt sind. dieser
grundsatz führt dazu, dass mit der Einführung des sap Erp überprüft
werden muss, ob die anforderungen des bdsg und anderer
rechtsvorschriften angemessen berücksichtigt wurden.
Entspre-chendes gilt auch für Änderungen im laufenden betrieb.
1.1.1 ErhEbung, VErarbEitung odEr nutzung Von pErsonEnbEzogEnEn
datEn
grundsätzlich ist die Erhebung, Verarbeitung oder nutzung von
personenbezogenen daten gemäß § 4 bdsg verboten, es sei denn,>
das bdsg erlaubt bzw. verlangt die Verarbeitung oder> eine
andere vorrangige rechtsvorschrift erlaubt bzw. verlangt die
Verarbeitung oder> es liegt eine schriftliche Einwilligung des
betroffenen vor.die zulässigkeitskriterien für die Erhebung,
Verarbeitung oder nutzung ergeben sich aus § 4 bdsg in Verbindung
mit §11 bdsg und> §§13 und 14 bdsg für die öffentlichen
stellen> §§ 28 bis 30 bdsg für nicht öffentliche stellen.die
beweislast für die zulässigkeit trägt die verantwortliche
stelle.der grundsatz der datenvermeidung und datensparsamkeit gem.
§ 3a bdsg mit dem ziel, keine oder so wenig personenbezogene daten
wie möglich zu erheben, zu verarbeiten oder zu nutzen, ist zu
beachten.> die RechtsgRundLagen für die Erhebung, Verarbeitung
und nutzung sind im bdsg differenziert gestaltet und müssen geprüft
bzw. geschaffen werden (z. b. Einwilligung, Vertrag,
betriebsverein- barung).> die organisatorischen und technischen
maßnahmen zur nutzung von sap Erp sind so zu gestalten, dass nuR
die eRfoRdeRLichen personenbezogenen daten gespeichert werden.
dabei ist zu
Seite
12
-
beachten, dass im auslieferungszustand der software technische
maßnahmen nur im geringen umfang ausgeprägt sind.> abhängig vom
zweck der Verarbeitung ist mit den möglichkeiten des
berechtigungskonzeptes und anderer sicherungsmaßnahmen
sicherzustellen, dass die daten nur im Rahmen deR zuLässigen zwecke
verarbeitet werden können. für unterschiedliche zwecke erhobene
daten müssen durch technisch-organisatorische maßnahmen getrennt
verarbeitet werden können.> Es dürfen nur die daten vorgehalten
werden, die zur Erfüllung der aufgabenstellung erforderlich sind
(VeRbot deR VoRRatsdatenspeicheRung).> abhängig vom zweck der
datenspeicherung (z. b. abwicklung eines Vertrages) sind die
benötigten datenfeLdeR festzulegen und im customizing
einzustellen.> zusätzlich ist die daueR deR datenspeicheRung auf
die erforderliche zeit zu begrenzen, entsprechend festzulegen und
für die Löschung der daten zu sorgen (z. b. von bewerberdaten oder
festlegung der speicherungsdauer nach dem Vertragsende und
anschließende Löschung).
1.1.2 ÜbErmittLung Von pErsonEnbEzogEnEn datEngrundsätzlich ist
die Übermittlung von personenbezogenen daten verboten. die
zulässigkeitskriterien für Übermittlungen ergeben sich aus § 4b
bdsg in Verbindung mit den §§15, 16, 28, 29, 30 bdsg. Es ist
sicher-zustellen, dass die zweckbindung der übermittelten daten
auch vom Empfänger eingehalten wird. hierzu ist der Empfänger auf
die zweckbindung hinzuweisen.daraus ergibt sich die notwendigkeit,
alle RegeLmässigen oder anLassbezogenen Übermittlungen auf ihre
rechtmäßigkeit zu prüfen!
1.1.3 abrufVErfahrEnEin abrufverfahren darf nur eingerichtet
werden, wenn die Voraussetzungen des §10 bdsg erfüllt sind.>
sollen personenbezogene daten von dritten abgerufen werden können,
sind zusätzliche maßnahmen zur sicherstellung der rechtmäßigkeit
des abrufes und der datensicherheit bei den beteiligten stellen
erforderlich.> insbesondere muss die verantwortliche stelle
gewährleisten, dass mittels geeigneter stichproben die
rechtmäßigkeit der Übermittlung personenbezogener daten
festgestellt werden kann3.
1.1.4 bEsondErE zWEcKbindungWerden zu zwecken des datenschutzes,
der datensicherung oder zur sicherstellung eines ordnungsgemä-ßen
betriebes personenbezogene daten gespeichert (z. b. Logfile oder
accounting-informationen), sieht das bdsg in § 31 eine besondere
zweckbindung für diese Kontrollinformationen vor.> Es ist zu
klären, welche aufzeichnungen im sap Erp hierzu gehören und welche
funktionen / stellen diese informationen benötigen und die
Kontrollfunktionen ausüben.
1.1.5 auftragsVErarbEitungWerden personenbezogene daten im
auftrag durch andere stellen erhoben, verarbeitet oder genutzt, ist
der auftraggeber für die Einhaltung des bdsg und anderer
Vorschriften über den datenschutz gemäß §11 bdsg
verantwortlich.
3 der regierungsentwurf vom september 2007 sieht in §§ 29 eine
Verschärfung der regelung zur stichprobenkontrolle vor
Seite
13LE
itfa
dEn
dat
Ensc
hu
tz f
Ür
sa
p Er
p 6.
0 st
an
d 2
0. s
EptE
mb
Er 2
009,
© d
sag
e. V
.
-
> der auftragnehmer ist sorgfältig auszuwählen.> dem
auftragnehmer sind vertragliche auflagen zur Verwendung der daten
und zur datensicherheit zu machen.> der auftraggeber muss sich
von der Einhaltung der getroffenen maßnahmen beim auftragnehmer
überzeugen.die vorgenannten ausführungen gelten auch für die
prüfung und Wartung automatisierter Verfahren oder von
datenverarbeitungsanlagen (Wartung und prüfung ist
auftragsverarbeitung!), wenn dabei ein zugriff auf personenbezogene
daten nicht ausgeschlossen werden kann.
1.1.6 untErrichtung dEs bEtroffEnEnder betroffene ist über den
umgang mit seinen personenbezogenen daten zu unterrichten. hierauf
kann nur dann verzichtet werden, wenn ihm die gesetzlich genannten
umstände bereits bekannt sind.grundsätzlich soll die information
bei der datenerhebung beim betroffenen erfolgen, z. b. im rahmen
des Vertragsabschlusses.Erfolgt die datenerhebung nicht beim
betroffenen, sondern bei einem dritten, z. b. durch ankauf von
adressen oder Übermittlung durch ein Konzernunternehmen, ist er
unter den Voraussetzungen des § 33 bdsg zu benachrichtigen, wenn
> erstmalig personenbezogene daten über ihn gespeichert bzw.
übermittelt werden oder> von ihm bei öffentlichen stellen daten
ohne seine Kenntnis gemäß §19a bdsg erhoben werden oder> bei
nicht öffentlichen stellen gemäß § 33 bdsg erstmalig daten über ihn
gespeichert bzw. übermittelt werden.falls demnach eine
benachrichtigung erforderlich wird, muss das Verfahren entsprechend
festgelegt werden.
1.1.7 rEchtE dEs bEtroffEnEnEs dürfen nur zulässige und richtige
personenbezogene daten gespeichert werden. Entscheidungen, die für
den betroffenen eine rechtliche folge nach sich ziehen oder ihn
erheblich beeinträchtigen, dürfen nicht ausschließlich auf der
basis einer automatisierten Verarbeitung getroffen werden4.die
datenspeicherung soll für den betroffenen transparent sein. deshalb
hat der betroffene ein recht auf auskunft sowie auf beRichtigung,
Löschung, speRRung und wideRspRuch. die anforderun-gen des § 6 bdsg
in Verbindung mit §§19, 20, 34, 35 bdsg sind zu beachten.> die
verantwortliche stelle muss in der Lage sein, zur
auskunftserteilung alle personenbezogenen daten des betroffenen
zuverlässig zu ermitteln! diese anforderung korrespondiert mit der
anforderung zur führung einer Übersicht gemäß § 4g abs. 2 bdsg
(Verfahrensverzeichnis).> Eine automatisierte
Einzelfallentscheidung ist gem. § 6a bdsg nur in bestimmten
ausnahmefällen zulässig. Werden diese ausnahmefälle in anspruch
genommen, sind sie entsprechend zu dokumentieren5.die
Voraussetzungen, unter denen sperrungen erforderlich werden, sind
zu definieren. die Verwendung gesperrter daten ist zu regeln.
1.1.8 ausKunft an JEdErmanngemäß § 4g abs. 2 satz 2 bdsg hat der
datenschutzbeauftragte jedermann auf antrag Einsicht in das
4 der regierungsentwurf vom september 2007 sieht in § 6a eine
ausweitung der regelung vor5 der regierungsentwurf vom september
2007 sieht zusätzliche anforderungen in § 28 für alle
scoring-Verfahren vor
1 EinführungsprozessSe
ite 14
-
Verfahrensverzeichnis zu gewähren. ist kein
datenschutzbeauftragter bestellt, dann hat die geschäfts-leitung
dies sicherzustellen.
1.1.9 mELdEpfLicht unter den Voraussetzungen des § 4d bdsg sind
automatisierte Verarbeitungen vor ihrer inbetriebnahme der
zuständigen aufsichtsbehörde zu melden. > die meldepflicht
entfällt gemäß § 4d abs. 2 bdsg, wenn die verantwortliche stelle
einen beauftragten für den datenschutz bestellt hat. stattdessen
sind diese informationen dem datenschutzbeauftragten zur führung
des Verfahrensverzeichnisses zur Verfügung zu stellen.> sie
entfällt auch gemäß § 4d abs. 3 bdsg, wenn personenbezogene daten
für eigene zwecke erhoben, verarbeitet oder genutzt werden, hierbei
höchstens neun personen mit der Erhebung, Verarbeitung oder nutzung
der personenbezogenen daten beschäftigt und entweder eine
Einwilligung der betroffe- nen vorliegt oder die Erhebung,
Verarbeitung oder nutzung der zweckbestimmung eines Vertragsver-
hältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem
betroffenen dient.
1.1.10 VErpfLichtung dEr mitarbEitEr auf das datEngEhEimnisdas
bdsg fordert, dass alle personen, die mit personenbezogenen daten
umgehen, auf das datengeheim-nis gemäß § 5 bdsg zu verpflichten
sind.> die Verpflichtung auf das datengeheimnis ist pro
mitarbeiter zu dokumentieren.> Es ist sicherzustellen, dass
beauftragte firmen, die bei der Einführung von sap Erp hinzugezogen
werden, ihre mitarbeiter auf das datengeheimnis verpflichtet
haben.
1.1.11 schuLungder datenschutzbeauftragte hat die mitarbeiter
gemäß § 4g abs. 1 nr. 2 bdsg mit dem bdsg sowie anderen
Vorschriften über den datenschutz und über innerbetriebliche
regelungen, die sich aus dem gesetz ergeben, vertraut zu
machen.> der datenschutzbeauftragte hat die projektmitglieder
und anwender, die an der Einführung von sap Erp beteiligt sind, mit
den anforderungen des bdsg vertraut zu machen.> die
durchgeführten schulungen sind zu dokumentieren.
1.1.12 massnahmEn zur datEnsichErhEitpersonenbezogene daten
dürfen nur erhoben, verarbeitet oder genutzt werden, wenn
angemessene tech-nische und organisatorische maßnahmen zur
datensicherheit getroffen wurden. die anforderungen der einzelnen
zielsetzungen ergeben sich aus § 9 bdsg und anlage.> Es sind
angemessene maßnahmen zur datensicherheit zu treffen und mit dem
datenschutzbeauftragten abzustimmen.> gegebenenfalls kann zur
Verbesserung des datenschutzes und der datensicherheit das
instaLLieRte system einem it-sicherheitsaudit unterworfen
werden6.
1.1.13 ÜbErsichtEn gEm. §§ 4E, 4g und §18 abs. 2
(bdsg-ÜbErsichtEn)die öffentLichen steLLen entsprechend zweitem
abschnitt bdsg führen gemäß §18 bdsg abs. 2 ein Verzeichnis der
eingesetzten datenVeRaRbeitungsanLagen und haben die angaben gemäß
§ 4e
6 der regierungsentwurf vom september 2007 sieht ein
audit-gesetz vor, das durch Vo konkretisiert werden muss. hierin
ist z. zt. explizit der bezug zur it-sicherheit ausgeschlossen
Seite
15LE
itfa
dEn
dat
Ensc
hu
tz f
Ür
sa
p Er
p 6.
0 st
an
d 2
0. s
EptE
mb
Er 2
009,
© d
sag
e. V
.
-
bdsg sowie die rechtsgrundlagen der Verarbeitung schriftlich
festzulegen. die verantwortlichen nicht öffentLichen steLLen
entsprechend drittem abschnitt bdsg haben dem
datenschutzbeauftragten gemäß § 4g abs. 2 bdsg eine Übersicht über
die in § 4e bdsg genannten angaben sowie die zugriffsbe-rechtigten
personen zur Verfügung zu stellen.> die Wege und möglichkeiten,
mit denen die erforderlichen Übersichten erstellt werden können,
sind festzulegen.
1.1.14 VorabKontroLLEunabhängig von der Verpflichtung der
verantwortlichen stelle, den datenschutzbeauftragten bei der
Ver-fahrenseinführung / -änderung zu beteiligen, sind Verfahren
automatisierter Verarbeitung mit besonderen risiken für die rechte
und freiheiten der betroffenen, insbesondere die Verarbeitung
besonderer daten und / oder daten zur Leistungs- und
Verhaltenskontrolle, gemäß § 4d abs. 5 bdsg unter den dort
genannten Voraussetzungen vor beginn der Verarbeitung einer
datenschutzrechtlichen prüfung zu unterwerfen. zuständig für die
Vorabkontrolle ist der datenschutzbeauftragte. Eine schriftliche
dokumentation zur Vorabkontrolle ist zu empfehlen.
1.1.15 sap soLution managEr aLs untErstÜtzEndEs tooL im
EinfÜhrungsprozEssder sap solution manager ist die service- und
supportplattform der sap, die bei der Einführung und
implementierung von sap-projekten eine durchgängige unterstützung
bietet. sofern der solution manager genutzt wird, sollte der
datenschutzverantwortliche auf die darin befindlichen dokumente zur
beurteilung des systems zurückgreifen7.
7 m. schäfer, m. melich: sap solution manager . galileo press,
bonn 2006
alle geschäftsprozesse
die gesamte dokumentation
alle Kunden-entwicklungen undfunktionalen Erweiterungen
sämtliche informationenzu Vorfällen undproblemen
sämtliche Überwachungsdaten
sämtliche test-informationen
alle systeme
alle schulungs-informationen
alle informationenzu serviceplanung,
auslieferung undfollow-up
sämtliche Änderungs-informationen
alle service-Level-informationen
sämtliche test-informationen
sapsoLutionmanagEr
sapsoLutionmanagEr
1 EinführungsprozessSe
ite 16
-
1.2 mitWirKEn dEs datEnschutzbEauftragtEn bEi dEr EinfÜhrung Von
sap Erpdas bdsg verlangt in § 4g abs. 1 nr. 1 bdsg die rechtzeitige
Einschaltung des datenschutzbeauftragten bei Vorhaben der
automatisierten Verarbeitung personenbezogener daten. hierzu
gehören auch die Einführung und der releasewechsel von sap Erp.>
Wird sap Erp in einem unternehmen eingeführt, ist der
datenschutzbeauftragte frühzeitig zu beteiligen.> der
datenschutzbeauftragte hat dabei zu überprüfen, ob das customizing
und die implementierung des sap Erp den anforderungen des bdsg
genügt.> insbesondere dem grundsatz der datenvermeidung und
datensparsamkeit gemäß § 3a bdsg kommt im rahmen einer sap
Erp-Einführung große bedeutung zu. hier kann der
datenschutzbeauftragte ggf. direkten Einfluss auf die gestaltung
des systems nehmen.> bei einem releasewechsel hat sich der
datenschutzbeauftragte auch von der datenschutzkonformen
durchführung des Wechsels zu überzeugen.
1.2.1 datEnschutzbEauftragtEr − mitgLiEd dEs sap-proJEKttEamsdie
sachgerechte beratung der projektleitung und -mitarbeiter und die
Überprüfung der ordnungsgemäßen anwendung (customizing) durch den
datenschutzbeauftragten, die im § 4g abs. 1 nr. 1 bdsg vorgesehen
ist, können effektiv erreicht werden, wenn er projektmitglied ist.
Wird sap Erp in einem unternehmen eingeführt, ist der
datenschutzbeauftragte daher vom projektbeginn an zu
beteiligen.
1.2.2 information dEs datEnschutzbEauftragtEn zu dEn
„mEiLEnstEinEn“Es liegt in der Verantwortung des
datenschutzbeauftragten zu entscheiden, wann und wie er die
ordnungs-gemäße anwendung von sap Erp überprüft und welche
unterlagen er hierfür benötigt. die abstimmung, welche unterlagen
er benötigt und wann die fragestellungen aus dem bdsg zu
beantworten sind, lässt sich nur angemessen unter berücksichtigung
der zielsetzungen und projektentwicklung festlegen.der
datenschutzbeauftragte sollte zu den „meilensteinen“ die
erforderlichen absprachen mit dem projektteam zu den einzelnen
modulen treffen bzw. überprüfen, ob die getroffenen festlegungen
den anforderungen des bdsg genügen.die datenschutzrelevanten
projektschritte sind im asap-Vorgehensmodell definiert.
Ein beispiel: asap-Vorgehensmodell2.6
geschäftsprozessdefinition2.6.3.1 anforderungen zu
geschäftsprozessen bestimmen ... 2.6.3.3 anforderungen zum
berichtswesen bestimmen und mit datenschutzbeauftragtem
abstimmen
1.2.3 informationsmögLichKEitEn fÜr dEn datEnschutzbEauftragtEn
der datenschutzbeauftragte sollte sich einen angemessenen
Kenntnisstand über folgende Elemente des sap Erp-systems aneignen:
> das berechtigungskonzept und den profilgenerator> die
tabellenverwaltung> die sap-programmiersprache abap und abap
Query > abap – advanced business application programming> das
sap abap dictionary
Seite
17LE
itfa
dEn
dat
Ensc
hu
tz f
Ür
sa
p Er
p 6.
0 st
an
d 2
0. s
EptE
mb
Er 2
009,
© d
sag
e. V
.
-
im abap dictionary sind alle datenfelder des sap-referenzmodells
dokumentiert. Eine Übersicht über die Verwendung eines einzelnen
feldes in der sap-datenwelt erhalten sie über die funktion
Verwendungsnachweis.> Verfahrensweise bei Extraktion und
auswertung von daten aus sap Erp mit standardtools wie z. b.
microsoft Excel> hilfsmittel zur gestaltung von bildschirmmasken
(screen & menue painter)
zur sachgerechten beratung und prüfung der ordnungsgemäßen
anwendung von sap Erp benötigt der datenschutzbeauftragte darüber
hinaus unterlagen und informationen.folgende unterlagen sollten dem
datenschutzbeauftragten generell zur Verfügung stehen:>
Komplette sap Erp-dokumentation (doku-cd, begleitbriefe,
release-informationen mit transaktion so99, http://help.sap.com)
> der sap-Einführungsleitfaden und das asap-Vorgehensmodell>
der sap-prüfleitfaden revision (z. zt. release 3.0d vom 20.02.97):
http://www.sap.de/revis> die sap sicherheitsleitfäden werden von
sap zur Verfügung gestellt. bitte beachten sie den sap- hinweis
39267 ‚Verfügbarkeit des sap sicherheitsleitfadens’> die
sap-hilfe (dokumentations-cd)
(http://www.sap.com/germany/aboutsap/shop/)> zugriff auf den sap
service marketplace für die hinweise und zusätzliche informationen
(http://service.sap.com) der datenschutzbeauftragte sollte sich
alle dokumente unter den stichworten „datenschutz“,
„datensicherheit“ und „sicherheit“ ansehen.> idEs
schulungssystem (idEs – internet demo and Evaluation system)>
audit information system. das audit information system (ais) ist
als arbeitsmittel für den auditor und den datenschutzbeauftragten
gedacht und wird im Kapitel 6.1 „audit information system“
beschrieben. Es hat z. zt. im system-auditteil und datenschutzteil
einen stand, der r/3 4.6c entspricht. bitte beachten sie den
sap-hinweis 77503, ‚audit information system (ais)’.>
sap-hinweis 23611 ‚sicherheit in sap-produkten’> sap-hinweis
30724 ‚datenschutz und sicherheit in sap-systemen’
1.3 sap-faKtEn
1.3.1 customizing und asap-VorgEhEnsmodELLdas customizing wurde
in eine transaktion für die projektverwaltung (spRo_admin) und in
eine transaktion für die projektbearbeitung (spRo) aufgeteilt.
das customizing dient der unternehmensspezifischen Einstellung
des sap-systems. aufgrund der komplexen tabellenstrukturen von sap
Erp stellt sap systemseitig ein Vorgehensmodell und
Ein-führungsleitfäden (grundstrukturen zur Einführung) zur
Verfügung. diese sind auch bestandteil der
sap-online-dokumentation.
> das asap-Vorgehensmodell bildet zum einen den methodischen
rahmen für den Einführungs- und releasewechselprozess, zum anderen
ist es ein operatives Werkzeug zur unterstützung in jeder phase der
Einführung.> die projektleitfäden für das sap Erp customizing
als unternehmensspezifische untermenge des
1 EinführungsprozessSe
ite 18
-
Vorgehensmodells listen alle aktivitäten für die Einführung des
sap-systems auf und unterstützen die steuerung und dokumentation
der Einführung.
die ordnungsmäßige sap-Einführung hängt wesentlich von der
sachgerechten nutzung der sap-Ein-führungsleitfäden (implementation
guide – img) ab.das asap-Vorgehensmodell beinhaltet für den
datenschutzbeauftragten wesentliche punkte, bei denen er
projektspezifisch festlegen sollte, wie er in die
projektentwicklung einzubeziehen ist.
beispiele für die Einbeziehung des datenschutzbeauftragten
sind:> datenschutzrelevante geschäftsprozesse ermitteln und
festlegen> stammdaten festlegen> berichtswesen festlegen>
informationsfluss personenbezogener daten bei
anwendungsschnittstellen, insbesondere zu anderen programmen,
untersuchen> informationsfluss der vorgesehenen berichte und
auswertungen auf datenschutzgesichtspunkte hin untersuchen>
datenschutzspezifische freigabe zu projektphasen (meilensteinen)
festlegen> berechtigungskonzept unter datenschutz- und
datensicherheitsgesichtspunkten beurteilen>
archivierungskonzept, insbesondere im hinblick auf die
Löschungsfristen, beurteilen (siehe Kapitel 2.3.5 regelfristen für
Löschung)> testkonzept beurteilen> datenschutzspezifische
schulungsinhalte und -zeitpunkte festlegen>
dokumentationsinhalte hinsichtlich datenschutzrelevanter fragen
festlegen> migration und altdatenübernahme definieren>
programmanpassungen ermitteln und genehmigen
das sap-standard-Vorgehensmodell und allgemeine hinweise hierzu
finden sie auf der dokumenta-tions-cd oder dem sap marketplace;
http://service.sap.com.Empfehlungen zu beteiligungsthemen des
datenschutzbeauftragten entlang des asap-Vorgehensmo-dells stehen
in anlage 3.die einzelnen themen sollten bei der planung einer
beteiligung des datenschutzbeauftragten durchge-gangen und für die
festlegung des eigenen Vorgehens verwendet werden.
der sap Erp customizing Einführungsleitfaden (implementation
guide − img) ist im system über den menüpfad zu finden: Werkzeuge →
customizing → img → projektbearbeitung (spRo); schaltfläche
‚sap-referenz-img’
die zuordnung der customizing-aktivitäten der modulbezogenen
Einführungsleitfäden zum Vorgehens-modell ermitteln sie durch die
zuschaltung der anzeige. gehen sie folgendermaßen vor: 1 rufen sie
die angelegten projektleitfäden auf: menüpfad: Werkzeuge →
customizing → img → projektbearbeitung durch doppelklick auf das
jeweilige projekt und anschließendes Klicken auf die schaltfläche
,projekt-img’ erhalten sie den zugehörigen projektleitfaden
angezeigt. 2 öffnen sie die jeweiligen customizing-aktivitäten bis
auf die Ebene der ausführbaren funktionen.
Seite
19LE
itfa
dEn
dat
Ensc
hu
tz f
Ür
sa
p Er
p 6.
0 st
an
d 2
0. s
EptE
mb
Er 2
009,
© d
sag
e. V
.
-
suchen sie sich die einschlägigen aktivitäten aus den Leitfäden
heraus, die sie unter daten- schutzgesichtspunkten bearbeiten
müssen, und identifizieren sie die modulspezifischen Ein-
stellungen. 3 nehmen sie Kontakt mit den modulbezogenen
projektgruppen auf und sprechen sie ihre aktivitäten mit ihnen
ab.
1.3.2 bErEchtigungsKonzEptEin zugriffsschutzsystem und die
möglichkeit zur Vergabe individueller berechtigungen dient unter
datenschutzaspekten im Wesentlichen folgenden zielen:> dem
schutz vertraulicher daten vor unberechtigter Erhebung,
speicherung, Kenntnisnahme, Übermittlung und nutzung, dem schutz
der daten vor unberechtigter, auch versehentlicher Änderung oder
Löschung> der gewährleistung des zweckgebundenen gebrauchs der
daten > der nachvollziehbarkeit und zweckgebundenheit des
zugriffs auf personenbezogene datensap liefert einen set von
standardrollen aus, die der Kunde als Vorlage benutzen und
hinsichtlich der zuständigkeiten und organisatorischen ausprägungen
an seine individuellen bedürfnisse anpassen kann. der umfang dieser
rollen ist aus funktionssicht definiert, die rollen sind zwingend
auf die sicherheitsbedürfnisse (funktionstrennung, kritische
berechtigungen) der organisation anzupassen. mit jeder Vorlage
erhält man ein individuelles benutzermenü. die rollenvorlagen sind
integrativer bestandteil der anwendungsübergreifenden Workplace und
Enterprise portal / portal-rollen.
dem administrator steht eine erweiterte funktionsauswahl in der
Einstiegstransaktion sap Easy access zur Verfügung. mit dieser
erweiterten funktionsauswahl ist es ihm möglich, einfach eine der
vielen benutzerrollen einem benutzer zuzuweisen. dieser benutzer
erhält bei der anmeldung am system automatisch das für seine
tägliche arbeit typische benutzermenü sowie die berechtigungen, die
er für diese arbeit benötigt.
die hohe flexibilität des sap-berechtigungs- und
benutzerverwaltungskonzepts kann daher bei unsachgemäßer anwendung
bereits im rahmen der Einführungsphase zu erheblichen Verletzungen
des datenschutzes führen. statt des weit gefassten standards bei
ausgelieferten rollen und profilen etc. muss daher unbedingt
unternehmensspezifisch nach dem prinzip der minimalen berechtigung
eingegrenzt und angepasst werden.
da die ordnungsmäßigkeit des sap Erp-systems unmittelbar durch
das Verfahren zur Vergabe von berechtigungen beeinflusst wird, ist
auch das Vergabeverfahren selbst als wesentlicher bestandteil des
zugriffsschutzes anzusehen. Es muss daher organisatorisch
definiert, revisionsfähig gestaltet sowie ausreichend getestet und
spätestens zum produktionsbeginn verfügbar sein.
schließlich muss darauf geachtet werden, dass rollen und ggf.
auch aktivitätsgruppen, berechtigungen und profile im testsystem
neu angelegt, geändert oder gelöscht werden und anschließend
mittels cts /cto (change transport system / change transport
organizer) über das Qualitätssicherungssystem in die
produktionsumgebung übernommen werden.
1 EinführungsprozessSe
ite 2
0
-
1.3.3 changE transport systEm / changE transport organizEr (cts
/ cto)sap empfiehlt, in einem produktiven system grundsätzlich
keine Änderungen vorzunehmen bzw. zu-zulassen. alle Änderungen sind
daher aus der test- oder Qualitätssicherungsumgebung mit dem sog.
Korrektur- und transportwesen8 in das produktive system zu
übernehmen. das gesicherte Korrektur- und transportwesen ist somit
wesentlicher bestandteil eines sicheren und ordnungsgemäßen sap
Erp-systems.
unter datenschutzaspekten stehen dabei folgende zielsetzungen im
Vordergrund:> die registrierung und dokumentation einschließlich
der geordneten Übergabe der systement- wicklungsumgebungsobjekte
(Euo) zwischen den unterschiedlichen sap Erp-systemen oder
unterschiedlichen mandanten innerhalb eines sap Erp-systems> die
sicherstellung, dass ausschließlich genehmigte systemänderungen
vorgenommen und entsprechend nachvollziehbar dokumentiert werdenaus
den vorgenannten zielen und aus der tatsache, dass Euo in der regel
systemweite gültigkeit besitzen, ist zwingend erforderlich, dass
mindestens zwei physisch getrennte sap Erp-systeme implementiert
werden müssen (test- und produktivsystem), wenn personenbezogene
daten aus der produktivumgebung (z. b. für massentests) in der
testumgebung verwendet werden, sind diese dort nach möglichkeit
entweder zu anonymisieren oder zu pseudonymisieren. hierzu kann man
sich ggf. geeignete anonymisierungs-tools von drittanbietern
beschaffen. sollte dies nicht möglich sein, sind auch für das
testsystem und die testumgebung angemessene maßnahmen zur
datensicherheit zu ergreifen (z. b. zeitliche begrenzung der
berechtigungen im testsystem). das berechtigungskonzept ist auf
alle systeme, auch Entwicklungs- und testsysteme anzuwenden,
insbesondere wenn sie personen-bezogene daten enthalten.
1.3.4 schnittstELLEnVErarbEitung
1.3.4.1 datEnÜbErnahmEsap bietet die LsmW (Legacy system
migration Workbench) als datenübernahmeverfahren. dieses tool ist
speziell für die altdatenübernahme konzipiert worden und bedient
sich der bapi- oder batch-input-schnittstelle (siehe auch
transaktion Lsmw).da die Konvertierung aus dem alt- bzw. Vorsystem
mit programmen außerhalb des sap Erp-umfeldes erfolgt, ist die
ordnungsgemäße umsetzung der daten (d. h. die datenkonsistenz)
durch geeignete organisatorische maßnahmen sicherzustellen, um
möglichen manipulationen vorzubeugen.für die datenübernahme wird im
sap Erp auch das batch-input-Verfahren9 herangezogen. hierbei wird
durch ein schnittstellenprogramm eine sog. batch-input-mappe
erzeugt, die dabei die online-Eingabe von transaktionscodes und
daten simuliert und beim abspielen die entsprechenden
berechtigungs- und plausibilitätsprüfungen durchläuft.neben dem
batch-input-Verfahren bestehen weitere möglichkeiten der
datenübernahme, z. b. remote function call (rfc),
internet-schnittstellen oder pc-upload und -download10. diese
werden i. d. r. für datenübernahmen im lfd. betrieb (aus vor- oder
nachgelagerten systemen) eingesetzt.alle schnittstellen sind im
falle der Übermittlung / Weitergabe entsprechend dem § 4e bdsg zu
dokumentieren.
8 m. schäfer, m. melich: sap solution manager, galileo press,
bonn 2006 9 siehe hierzu ergänzende hinweise in Kapitel 6
prüfleitfaden revision10 siehe hierzu ergänzende hinweise in den
sap-sicherheitsleitfäden
Seite
21
LEit
fad
En d
atEn
sch
utz
fÜ
r s
ap
Erp
6.0
sta
nd
20.
sEp
tEm
bEr
200
9, ©
dsa
g e
. V.
-
1.3.4.2 pc-VErarbEitungup- / download in der anwendung (vgl.
hierzu u. a. Kapitel 4.2.1.8.3)
1.3.4.3 KommuniKationsschnittstELLEndie datenorientierte
schnittstelle remote function call (Rfc) ermöglicht sap- und
nicht-sap-anwendungen, sap-funktionsbausteine über rechnergrenzen
aufzurufen.business application programming interfaces (bapis) sind
von externen programmen aufrufbare und direkt ausführbare
methodenaufrufe von business-objekten.diese
geschäftsprozessorientierten standardschnittstellen sind auf eine
dialogkommunikation ausgerichtet. sie ermöglichen die Ergänzung des
sap Erp-Kernsystems um anwendungen, die speziell im inteRnet und
intRanet entwickelt werden.bapis werden sap Erp-intern als
funktionsbausteine realisiert, die über rfc aufrufbar
sind.application Link Enabling (aLe) ermöglicht die Verteilung von
daten des sap Erp-systems. Über musterlösungen wird beschrieben,
wie ein unternehmen seine geografische datenverarbeitung
organisieren und durchführen kann.mit aLe / web lassen sich
verteilte geschäftsprozesse über das netz quasi zum
geschäftspartner verlagern.im rahmen von aLE werden bapis für die
integration verteilter geschäftsprozesse eingesetzt.
1.3.4.4 sap-automation mit dieser schnittstelle lassen sich
alternative oberflächen statt dem sap gui einsetzen.neben der
Kommunikationssicherheit ist zu prüfen, ob über diese
schnittstellen personenbezogene daten ausgetauscht bzw. übermittelt
werden und wer die regelmäßigen Empfänger sind.
1.3.5 Job-auftragsVErfahrEn und -doKumEntationbeim
Job-auftragsverfahren steht unter datenschutzaspekten der schutz
und die integrität der unternehmensdaten und der personenbezogenen
daten im Vordergrund.Jobs, die ein operating benötigen und deshalb
nicht ausschließlich im aktionsbereich der fachabteilung
durchgeführt werden, müssen besonders beachtet werden. insbesondere
bei diesen Jobs darf keine ausführung ohne schriftlichen auftrag
erfolgen. auftraggeber ist i. d. r. die fachabteilung.bei Jobs, die
vom sap-system generiert werden, wird die dokumentation automatisch
mit generiert. bei von anwendern selbst generierten Jobs (z. b.
batch-input-mappen) muss auch die dokumentation durch den anwender
selbst erfolgen. diese dokumentation sollte nach einem
einheitlichen schema erfolgen.Jobs werden nicht über das Korrektur-
und transportwesen vom test- ins produktivsystem übergeben. sie
werden im produktivsystem neu erstellt.
1.4 risiKEnbei der Einführung von sap Erp-systemen bzw.
-projekten bestehen aufgrund der oben geschilderten sap-fakten auch
unter datenschutzaspekten besondere risiken.neben dem risiko der
unsachgemäßen sap-Einführung durch fehler beim customizing und der
benutzung bzw. handhabung des Korrektur- und transportwesens
ergeben sich auch aus fehlern bei der Erstellung eines
zugriffsberechtigungskonzepts negative folgewirkungen für die
vorzusehenden technischen und organisatorischen maßnahmen.
1 EinführungsprozessSe
ite 2
2
-
1.4.1 nichtEinschaLtung dEs datEnschutzbEauftragtEn bzW. dEr
arbEitnEhmErVErtrEtErWerden der datenschutzbeauftragte und − soweit
vorhanden − die mitbestimmungsorgane (arbeitneh-mervertretung)
nicht rechtzeitig sowohl bei der Einführung als auch bei allen
nachfolgenden Änderun-gen eingeschaltet, besteht das risiko, dass
datenschutzrechtliche anforderungen (u. a. Vorabkontrolle,
unzulässige datenspeicherung und -übermittlung) und
mitbestimmungsrechte bei der projektarbeit nicht hinreichend
beachtet werden.
1.4.2 nichtbEachtung dEr sap-EmpfEhLungEndie nichtbeachtung der
sap-Empfehlungen, insbesondere der sap Erp-sicherheitsleitfäden und
die sap netWeaver security guides (s. http://help.sap.com), kann
eine unsachgemäße und nicht ordnungs-gemäße systemeinführung zur
folge haben.
hier bestehen insbesondere folgende risiken:>
zugriffsmöglichkeiten auf betriebssystem-, datenbank- und
netzwerkebene> unsachgemäßes abweichen beim customizing vom
Vorgehensmodell bzw. den implementation guides (imgs)>
unzureichende dokumentation und Erläuterungen der
customizing-Einstellungen> unzureichende
schnittstellendokumentation (batch-input, pc-download, ggf.
systemerweiterungen, archivierungssysteme)
1.4.3 nichtbErÜcKsichtigung bzW. VErspÄtEtE ErstELLung dEs
bErEchtigungsKonzEptEsWährend der Einführungsphase des sap Erp
sowie neuer Komponenten ist ein betriebswirtschaftliches
berechtigungskonzept zu erstellen. dies dient als grundlage u. a.
für den aufbau von rollen, mit denen manuell oder mittels des
profilgenerators dann die benutzerspezifischen berechtigungsprofile
erstellt werden.das berechtigungskonzept muss konsequent und
konsistent eingesetzt werden. der jeweils aktuelle stand der
zugelassenen benutzer und deren zugriffsrechte sind zu
dokumentieren. beim customizing müssen u. a. sap-Vorgaben (z. b.
rechte, startparameter etc.) einschränkend geändert werden. bei
einem unzureichenden bzw. zu spät eingesetzten berechtigungskonzept
besteht die gefahr, dass den benutzern zu weit reichende
berechtigungen vergeben werden.
1.4.4 nicht ordnungsgEmÄssE anWEndung EinEs datEnVErarbEitungs-
programmsdie Voraussetzung für den ordnungsgemäßen Einsatz von sap
Erp ist u. a. die beachtung der auflagen des bdsg. Konkret sind bei
der Einführung eines sap Erp-systems unter datenschutzaspekten
folgende risiken möglich:> unzureichende datenmodellierung
aufgrund unterlassener Vorabkontrolle bei Verwendung von daten
besonderer art nach § 3 abs. 9 bdsg> unzulässige bzw.
leichtfertige handhabung von personenbezogenen originaldaten im
testsystem> fehlende Verpflichtung auf das datengeheimnis bzw.
unzureichende sensibilisierung / schulung der projektmitglieder /
anwender
Seite
23
LEit
fad
En d
atEn
sch
utz
fÜ
r s
ap
Erp
6.0
sta
nd
20.
sEp
tEm
bEr
200
9, ©
dsa
g e
. V.
-
> unzureichende dokumentation der personenbezogenen daten, um
den rechten der betroffenen (auskunft, berichtigung, sperrung und
Löschung) und der Verpflichtung zur benachrichtigung
nachzukommen> nichtbeachtung des 4-augen-prinzips im rahmen des
cts (change and transport system). unzureichende festlegung der
transportschichten (integrations-, Konsolidierungs- bzw. beliefe-
rungssysteme) in den tabellen tcEntraL und tcEdELi innerhalb des
cts> unzureichende absicherung des transportprogramms (tp, bzw.
r3trans) sowie unzureichende aufbewahrung des
transportprotokolls> ggf. fehlende historienführung bei der
Übertragung von programmen bzw. tabellen in die produktiv-
umgebung> Wird das cts nicht oder falsch eingesetzt, können
nicht autorisierte programme / objekte zur unzu- lässigen nutzung
oder Verarbeitung personenbezogener daten führendie Einschränkung
der vorgenannten risiken dient auch dazu, das risiko der
unternehmensleitung (straftaten, ordnungswidrigkeiten und
schadenersatz im sinne des bdsg §§ 7, 8, 43, 44) zu reduzieren.
1.5 prÜfungshandLungEn im rahmEn dEr EinfÜhrung / chEcKListEzur
hilfestellung für den datenschutzbeauftragten und die
projektmitarbeiter ist die nachfolgende checkliste (ohne anspruch
auf Vollständigkeit!) erstellt worden. Wesentliche fragestellungen
sind aufgenommen worden. Es wird jedoch empfohlen, diese checkliste
projektbezogen zu überarbeiten und zu ergänzen. (Weitere details zu
prüfungshandlungen s. Kap. 4)folgende fragen sind pro sap
Erp-Komponente von der projektleitung zu beantworten:1 Welche
aufgabenstellungen soll die sap Erp-Komponente abdecken?2 Über
welche personengruppen (z. b. bewerber, mitarbeiter, angehörige von
mitarbeitern, debitoren, Kreditoren, fremdfirmenmitarbeiter etc.)
sollen daten gespeichert werden?3 Welche geschäftsprozesse sind
betroffen?4 Werden durch die ausgestaltung der projektorganisation
datenschutzrechtliche aspekte des sap- projektes rechtzeitig
berücksichtigt?5 sind dem datenschutzbeauftragten rechtzeitig
ausreichende unterlagen, insbesondere für die Vorabkontrolle, zur
Verfügung gestellt worden?6 ist der datenschutzbeauftragte in die
projektarbeit angemessen eingebunden?7 Welche personenbezogenen
daten sollen gespeichert werden?8 Welche personenbezogenen daten
sollen an externe Empfänger aus welchem grund (regelmäßig,
anlassbezogen) übermittelt werden? Liegt bei Empfängern außerhalb
der Eu ein angemessenes datenschutzniveau vor?9 Liegen die
rechtsgrundlagen zur Erhebung, Verarbeitung und nutzung
personenbezogener daten (z. b. Vertrag, Einwilligung, dienst- /
betriebsvereinbarung) vor?10 soll die möglichkeit eines
automatisierten abrufes von personenbezogenen daten realisiert
werden? – Wenn ja: Wie sollen die anforderungen zur sicherstellung
des rechtmäßigen abrufes und der datensicherheit realisiert
werden?11 Werden automatisierte Einzelfallentscheidungen
vorgenommen? – Wenn ja: sind die Voraussetzungen des § 6a abs. 2
bdsg gegeben?12 Welche schnittstellen bestehen zu anderen
dV-anwendungen?
1 EinführungsprozessSe
ite 2
4
-
13 Welche Logfiles sind vorgesehen und wie sollen sie verwendet
werden (z. b. report-protokolldatei in sap Erp hcm, tabelle V_t599r
und Erstellung des security audit Logs)?14 Wie soll die
zweckbindung gemäß § 31 bdsg eingehalten werden?15 Welche dauer der
datenspeicherung ist für die einzelnen datengruppen unter
berücksichtigung der jeweiligen rechtsgrundlage vorgesehen?16
Welches Löschungskonzept soll realisiert werden?17 Wie wird
sichergestellt, dass aufbewahrungspflichtige daten (z. b.
zehnjahresfrist aus steuer- lichen gründen) nur zweckgebunden zur
Verfügung stehen?18 besteht die notwendigkeit, personen zu
benachrichtigen? – Wenn ja: Wie und mit welchen formulierungen soll
der betroffene benachrichtigt werden?19 Wie ist das
sicherheitskonzept gestaltet?20 sind die berechtigungen nach dem
prinzip der geringsten berechtigung vergeben?21 sind die
sap-sicherheitsleitfäden abgearbeitet worden?22 Werden
personenbezogene daten verschlüsselt übertragen (dies ist für die
sapgui- und die sapLpd-Verbindung mit snc möglich; rfc-Verbindungen
können gesichert werden) und ggf. verschlüsselt gespeichert (dies
ist eine funktion der datenbank, nicht des sap Erp)? 23 auf welcher
hardware und an welchen standorten soll sap Erp installiert
werden?24 Welches dV-netz soll genutzt werden?25 Werden beim
Einsatz von internet / intranet-techniken entspr. firewall-systeme
eingesetzt?26 Werden alle eingesetzten dV-systeme zum betrieb des
sap Erp-systems dokumentiert?27 Wenn ja: Welche organisatorischen
Lösungen sind vorgesehen, um dem datenschutzbeauftragten eine
Übersicht zur Verfügung zu stellen?28 Wird dem
datenschutzbeauftragten eine Verfahrensübersicht zur Verfügung
gestellt werden?29 Welche organisatorischen Lösungen sind
vorgesehen?30 sind alle neu hinzugefügten tabellen, domänen,
datenfelder und reports entsprechend dokumen- tiert und ausreichend
geschützt?31 sind alle personen, die zugriff auf personenbezogene
daten erlangen können, auf das daten- geheimnis verpflichtet?32
Wird der datenschutzbeauftragte bei system-upgrades bzw.
releasewechseln zeitnah einge- schaltet?33 gibt es in
referenztabellen kritische auswahlfelder mit ggf. unzulässigen
inhalten (z. b. angaben zur Konfession im infotyp 0002, angaben zum
familienstand oder Kindern)?
Seite
25
LEit
fad
En d
atEn
sch
utz
fÜ
r s
ap
Erp
6.0
sta
nd
20.
sEp
tEm
bEr
200
9, ©
dsa
g e
. V.
-
2 Aufgaben des Datenschutzbeauftragtenda der dsb in der regel
kein sap-spezialist ist, wird er mit unterschiedlichen mitarbeitern
des unterneh-mens zusammenarbeiten. Er wird sich im rahmen seiner
tätigkeit sowohl mit anwendern der fachabtei-lungen als auch mit
dV-mitarbeitern austauschen. Ebenso ist eine Kooperation mit
anderen organisations-einheiten des unternehmens (z. b. interne
revision) zur bearbeitung einzelner themenfelder denkbar. um die
Vorabkontrolle, die begleitung des customizing und die
erforderlichen prüfungshandlungen möglichst umfassend durchführen
zu können, ist eine ausreichende ausbildung des
datenschutzbeauftragten in der nutzung der relevanten sap
Erp-funktionen notwendig. im sap Erp wird eine Vielzahl von
auditor-rollen ausgeliefert, die insbesondere den verschiedenen
funktionsbereichen des audit information systems (ais) zugeordnet
sind. diese standardrollen sind nur als Vorlage für die
unternehmensspezifischen rollen des jeweiligen anwenderbetriebes
gedacht und müssen noch an die betrieblichen strukturen angepasst
bzw. ausgeprägt werden. die ausgelieferten ais-standard-rollen sind
unterteilt in transaktionsrollen (definieren ‚nur’ das
benutzermenü) und berechtigungsrollen (beinhalten die
berechtigungen)11.
in der folgenden tabelle wird eine auswahl der von sap
angebotenen standardrollen dargestellt, die für den
datenschutzbeauftragten relevant sind:
roLLE bEschrEibung funKtionsumfang
sap_auditor_a ais-zentrale berechtigungen
die berechtigungen der rolle sind zentral für das kaufmännische
audit und das datenschutzaudit
sap_auditor_ad-min
ais-administration diese rolle beinhaltet funktionalitäten für
die administration des ais
sap_auditor_ds ais-datenschutz das menü der rolle enthält das
dateiregister zu personenbezogenen daten
sap_auditor_ds_a ais-datenschutz (berechtigungen)
die rolle beinhaltet berechtigungen für das datenschutzaudit
sap_auditor_ba_hr
ais-human-resources
das menü der rolle bietet funktionalitäten zum kaufmännischen
audit (Einzelabschluss) und zur personalwirtschaft (hr / hcm)
sap_auditor_sa ais-system audit das menü der rolle enthält
funktionen zum system audit, insbesondere systemkonfiguration,
transportverbund, Entwicklung und customizing
sap_ca_auditor_systEm_dispLay
ais-berechtigungen für system audit (anzeige)
die berechtigungen der rolle ermöglicheneinen zugang zum system
audit (Vorsicht: entgegen der sap-dokumentation keine reinen
Leserechte)
sap_auditor_sa_ccm _usr
ais-system audit-benutzer und -berechtigungen
das menü der rolle bietet funktionen zur benutzerverwaltung:
benutzer, berechtigungen, profile und rollen
11 siehe hierzu auch die sap-hinweise 754273 und 451960
Seite
26
-
die rollen sind wie folgt zu finden: menüpfad: Werkzeuge →
administration → benutzerpflege → rollenverwaltung (pfcg)
die sap-auditor-rollen sind sehr spezifisch auf einzelne
ais-funktionen hin definiert. die rolle sap_auditor_ds beinhaltet
als menü zunächst nur die ais-funktionen zum ‚dateiregister’. Eine
Kombination mit weiteren rollen (z. b. sap_auditor_ds_a,
sap_auditor_a, sap_auditor_hr oder sap_ca_auditor_systEm_dispLay)
ist daher mindestens notwendig, um die tätigkeit eines
datenschutzbeauftragten im rahmen der sap-prüfung zu
unterstützen.
die von sap ausgelieferten rollen müssen sorgfältig im
unternehmen analysiert und entsprechend angepasst werden. die
explizite ‚datenschutzrolle’ sap_auditor_ds bietet lediglich den
menüpunkt ‚dateiregister (Übersichten)’ des ais. die rolle
sap_ca_auditor_systEm_ dispLay enthält kritische berechtigungen,
die über eine reine anzeige hinausgehen.Es wird empfohlen, die
sap-auditor-rollen unternehmensspezifisch anzupassen. der
datenschutzbeauftragte hat über die für eine
datenschutzsystemprüfung erforderlichen umfassenden Leserechte im
audit information system (vgl. Kapitel 6) sowie den direkten aufruf
der entsprechenden transaktionen und reports zu verfügen,
allerdings ohne zugriff auf mitarbeiterdaten.darüber hinaus kann
dem datenschutzbeauftragten für Echtdatenprüfungen eine zweite auf
die individuellen zuständigkeiten geschaffene rolle zugeteilt
werden. Letztere ist ggf. zeitlich befristet zu erteilen.Eine
bewertung der von sap ausgelieferten rollen, eine neukonzeption von
datenschutzrollen (z. b eine rolle mit reinen Leserechten) sowie
hinweise zur ausprägung liefert die diplomarbeit „Entwicklung von
datenschutzrollen für das audit information system im sap
Erp“12
2.1 ÜbErWachung dEr ordnungsgEmÄssEn programmanWEndung (§ 4g
abs. 1 bdsg)der beauftragte für den datenschutz wirkt auf die
Einhaltung des bdsg und anderer Vorschriften über den datenschutz
hin. ... Er hat insbesondere die ordnungsgemäße anwendung der
datenverarbeitungsprogramme, mit deren hilfe personenbezogene daten
verarbeitet werden sollen, zu überwachen; ...
dabei sind speziell folgende punkte von relevanz:>
zulässigkeit der datenverarbeitung unter beachtung des grundsatzes
der datenvermeidung und datensparsamkeit (§ 3a bdsg) >
sicherstellung der rechte der betroffenen (§§19 ff bzw. §§ 34 ff
bdsg)> Verpflichtung auf das datengeheimnis (§ 5 bdsg)>
besondere technisch-organisatorische Vorkehrungen zur
gewährleistung des datenschutzes. für den fall, dass besondere
risiken für die rechte der betroffenen bestehen, ist eine
Vorabkontrolle zwingend erforderlich (§ 4d abs. 5 bdsg)aus diesem
gesetzlichen auftrag sind die folgenden Verpflichtungen für den dsb
bei Einsatz des sap Erp-systems abzuleiten.
12 otto, anna: Entwicklung von datenschutzrollen für das ais im
sap Erp, Vdm Verlag, saarbrücken 2008
http://www.forbit.de/allgemein/arbeitspapiere.html
Seite
27
LEit
fad
En d
atEn
sch
utz
fÜ
r s
ap
Erp
6.0
sta
nd
20.
sEp
tEm
bEr
200
9, ©
dsa
g e
. V.
-
2 Aufgaben des Datenschutzbeauftragten2.1.1 EinbEziEhung dEs dsb
Vor und WÄhrEnd dEr programmEntWicKLung und -anpassungdie aufgaben
des dsb beziehen sich neben dem schutz personenbezogener daten auch
auf die sicherheit des gesamtsystems. hierzu ist es erforderlich,
dass der dsb von beginn an seitens der projektleitung in die
projekte eingebunden wird. außerdem sind dem dsb
programmmodifikationen und programmschnitt-stellen offen zu legen.
testverfahren sind gemeinsam abzustimmen.bereits beim fachkonzept
kann dann die prüfung auf datenschutzrelevante aspekte und
entsprechende festlegung der verwendeten objekte erfolgen.das dem
fachkonzept folgende dV-Konzept sollte einen abschnitt über
personenbezogene daten enthalten.Weitere informationen zu tabellen,
feldnamen und datenelementen sowie deren Verwendung in program-men
liefert das abap dictionary (transaktionsE12) bzw. das repository
infosystem (object navigator, transaktion sE84); zu weiterer
systemunterstützung vgl. Kapitel 2.4.
2.1.2 prÜfung dEr datEnErhEbung und datEnnutzung auf
rEchtmÄssigKEitdie Überwachungstätigkeit des dsb beschränkt sich
nicht nur auf die Verarbeitung (§ 3 abs. 4 bdsg). sie umfasst auch
das Erheben (§ 3 abs. 3 bdsg) und das nutzen (§ 3 abs. 5 bdsg)
personenbezogener daten. in diesem sinne ist zunächst die
zulässigkeit der konkreten datenverarbeitung zu prüfen.
2.1.3 ausWErtung dEr protoKoLLiErungin sap Erp stehen eine
Vielzahl von protokollen zu unterschiedlichen zwecken zur Verfügung
(ausführliche beschreibungen finden sich in den
sap-sicherheitsleitfäden). im folgenden sind die wesentlichen
protokolle, die dem dsb zur Kontrolle und zur sicherstellung eines
ordnungsgemäßen betriebes zur Verfügung stehen sollten, aufgelistet
(hinweis: Ein nachvollzug wesentlicher protokolleinträge ist mit
dem audit information system (system audit, systemprotokolle und
statusanzeigen möglich). details sind in Kapitel 4.2.1.9
beschrieben:> das security audit Log, transaktion sm20n
(filtereienstellungen sm19)> systemprotokoll syslog, sm21 >
den Workloadmonitor des ccms mit transaktion stad und st03n> im
anwendungslog (transaktionen sLg0 und sLg1)> business Workflow
(transaktionen swi2_* und swi5) > Änderungen
betriebswirtschaftlicher objekte (transaktion scdo) >
customizing-objekte und tabellenaufzeichnungen (transaktion scu3;
reports rstbhist und rsVtprot) > sQL-audit (vgl. sap-hinweis
115224)> sap Query-protokollierung (siehe abschnitt
4.2.1.9.6)> protokoll der reportstarts hcm, report rpuprotd>
Änderungsbelege hcm-infotypen, report rpuaud00> Eingabeprotokoll
Kundendaten (z. b. batch-input-protokolle, Job-protokolle)
2.1.4 prÜfung dEr VErfahrEnsdoKumEntationzur Überwachung der
programmanwendung durch den dsb ist eine aussagefähige
Verfahrensdokumen-tation erforderlich, die insbesondere über
folgende punkte auskunft geben soll:> aufgabenstellung der
anwendung (i.s. der zweckbindung), insbesondere mit hinweisen
auf
Seite
28
-
datenschutzrelevante Elemente > technisch-organisatorische
maßnahmen gemäß § 9 bdsg bzw. anlage> zugriffsberechtigungen
nach art und umfang auf personenbezogene objekte (z. b. daten,
programme, berichte)> Verwendungsnachweis der personenbezogenen
objekte in programmen> berechtigte interne und externe Empfänger
der von den anwendungsprogrammen erzeugten daten nach art und
umfang> darstellung der programmabläufe. sicherung der
datenbestände und der verwendeten programme> Lösch- und
sperrkonzept sowie die archivierung (abgrenzung von operativer
nutzung und ‚aufbewahrungs-nutzung’)seitens sap werden
hilfestellungen zur Verfahrensdokumentation bereitgestellt. mit dem
report rscrdoma können im audit information system z. b. die
‚dateiregister-funktionalitäten’ zur analyse der verwendeten
personenbezogenen domänen genutzt werden. ausführliche hinweise zu
weiteren system-funktionen finden sich insbesondere in den
abschnitten 2.3.3 ff und 2.4.
2.1.5 mitWirKung bEi dEr fEstLEgung und ÜbErprÜfung dEs
bErEchtigungsKonzEptEsder dsb ist an der Erarbeitung eines
organisatorischen rahmens zur ausgestaltung des
berechtigungs-konzeptes beratend zu beteiligen. diese beteiligung
kann dazu beitragen, den später notwendigen aufwand bei einer
Vorabkontrolle zu reduzieren.das berechtigungsrahmenkonzept hat
verbindliche aussagen zu enthalten über > den geltungsbereich
(verantwortliche stelle / n)> die rahmenbedingungen; u. a.
Verantwortungen für die Wartung und pflege des sap-systems
einschließlich festlegung der customizing-aufgaben und der hierfür
benötigten berechtigungen XE „berechtigungen“; regelungen zur
Änderung von systemobjekten wie insbesondere repositoryobjekte
(Änderungs-, test- und freigabeverfahren einschließlich der
Übernahme in die produktion)> die fachlich-organisatorische
ausgestaltung des rollenspezifischen Konzeptes > möglichst
arbeitsplatzbezogene und nur in begründeten ausnahmefällen
individuelle ausgestaltung > funktionaler aufbau > prinzip
der minimalen bzw. adäquaten berechtigungsvergabe >
Kontrollierbarkeit im sinne des bdsg und revisionsfähigkeit >
umsetzung der anforderungen an die zweckbindung (§ 31 bdsg) und der
datensicherung im sinne des § 9 bdsg und seiner anlage> die
systemtechnische ausgestaltung > grundsätze zur nutzung der
zentralen benutzerverwaltung > umgang mit (standard-) rollen und
standardprofilen (hinweis: keine Verwendung von standardprofilen (=
auslieferungsprofile) > festlegung von restriktionen einzelner
berechtigungen (hinweis: berücksichtigung aller relevanter systeme
und mandanten) > realisierung des dazugehörigen
organisatorischen Konzepts > trennung von kritischen und
unkritischen transaktionen> die anforderungen an eine dem
zweckbindungsprinzip angemessene abbildung der unternehmens-
organisation(en) auf die sap-struktur / organisationsebene von
systemen, mandanten, buchungs- kreisen, Werken, personalbereiche
etc.
Seite
29
LEit
fad
En d
atEn
sch
utz
fÜ
r s
ap
Erp
6.0
sta
nd
20.
sEp
tEm
bEr
200
9, ©
dsa
g e
. V.
-
2 Aufgaben des Datenschutzbeauftragten> ein Verfahren zur
Klassifikation und pflege von berechtigungsgruppen von abap-reports
und tabellen> die namenskonventionen; Konventionen zur benennung
von benutzerstammsätzen (keine namen ohne personenbezug),
benutzergruppen, rollen sowie anderer relevanter sap-objekte
(einschließlich beschreibung begründeter ausnahmen); namensregeln
für unterschiedliche rollen wie Lese-rollen, rollen mit zugriff auf
bestimmte organisationseinheiten, transaktionsrollen etc.> die
Einrichtung von notfall-usern> die festlegung der berechtigungen
für Externe und deren Kontrolle> der umgang mit sonder-usern wie
sap*, ddic, sapcpic, EarlyWatch> den aufbau der dokumentation;
u. a. eindeutige Verantwortlichkeiten für die Veränderung des
Konzeptes bei notwendig werdenden organisatorisch-funktionalen
anpassungen> Konventionen für nicht-produktivsysteme, die
testdaten mit echten daten oder wichtige nachweis- pflichtige
dokumentationsbestandteile enthalten> regelung für die Vergabe
von profilen (ohne profilgenerator)
Es lassen sich folgende grundsätze ableiten:> die
fachabteilungen / -bereiche sind für die sicherheit ihrer daten und
daher auch für den wirksamen zugriffsschutz verantwortlich. Es sind
regelmäßige Kontrollen der angemessenheit der vergebenen
berechtigungen durch die datenverantwortlichen vorzusehen. > die
benutzerverwaltung ist möglichst nahe beim benutzer
wahrzunehmen.> die administration des berechtigungsverfahrens
sollte auf mehrere stellen, organisationseinheiten oder mitarbeiter
verteilt und entsprechend dokumentiert werden (funktionstrennung
zwischen Erstellen, zuordnen und Kontrollieren / prüfen).> die
Vergabe von nutzerkennungen hat nachvollziehbar zu erfolgen
(Vergabe von berechtigungen im system ausschließlich nach
schriftlicher freigabe durch die Verantwortlichen), und es müssen
zeitnahe Kontrollen bzgl. der gültigkeit von benutzerkennungen
vorgenommen werden. > benutzer dürfen auf basis des fachlichen
rollenkonzeptes nur die berechtigungen erhalten, die sie für ihre
aufgaben zwingend benötigen. > die berechtigungen privilegierter
benutzer sollten fachlich und zeitlich eingegrenzt werden (s. Kap.
4.2). notfall-user sind nur in notsituationen zu aktivieren, deren
gebrauch ist mit dem security audit Log (sm20) oder anderen
entsprechenden tools zu protokollieren. > für betriebsfremde und
befristet beschäftigte wie auch für den remote support sind die
rechte und der gültigkeitszeitraum angemessen zu begrenzen (vgl.
sap netWeaver sicherheitsleitfaden).> anwendungsbezogene
berechtigungen für Entwickler sind grundsätzlich auf die
Entwicklungssysteme zu beschränken.um bestehende
berechtigungskonzepte zu überprüfen und insbesondere regeln für die
Vergabe von kritischen berechtigungen zu definieren, können
sap-Lösungen wie das audit information system oder grc access
control verwendet werden (details siehe Kapitel 6).
2.1.6 mitWirKung bEi dEr fEstLEgung dEs bEtriEbsKonzEptEs und
dEr bEtrEibErorganisationder dsb sollte rechtzeitig an der
Erarbeitung eines organisatorischen rahmens zur ausgestaltung des
betriebskonzeptes beteiligt werden. unter einem betriebskonzept
wird hier die grundlegende Einrichtung des sap-systems auf einem
oder mehreren servern und unter Einbeziehung der
Kommunikationseinrich-tungen, der netzwerke, des betriebssystems
und des datenbankmanagements verstanden.
Seite
30
-
dazu sollte der dsb frühzeitig Empfehlungen abgeben, die den
sicherheitsstandard auf den verschiedenen Ebenen festlegen, der
notwendig ist, manipulationen und ungerechtfertigte zugriffe auf
personenbezogene daten zu verhindern. hierzu könnten Empfehlungen
zu ausgewählten system- und profilparametern ebenso gehören wie die
mitwirkung des dsb bei der festlegung des sicherheitsmanagements,
z. b. bei prozessdefinitionen für sicherheits- und
datenschutzanforderungen.Eine ausführliche beschreibung der hierbei
relevanten themen findet sich in den sap-sicherheitsleitfäden.
hierbei wird z. b. folgendes thema beschrieben: > alleiniger
nutzer der datenbank ist das sap-system> Es ist darauf zu
achten, dass auf die datenbank nicht von unter dem sap-system
liegenden schichten (wie etwa der datenbank selbst oder dem
betriebssystem) zugegriffen wird. ansonsten könnte der sap-
berechtigungsschutz umgangen werden.> Es darf nur ein sehr eng
begrenzter Kreis von administratoren zugriff auf datenbanktabellen
und sap- daten auf betriebssystemebene erhalten.
für den betrieb eines sap Erp-systems wird im regelfall eine
betreiberorganisation (bo, verantwortlich für die spezifische
administration des sap Erp-systems) notwendig werden, die
insbesondere an gewicht gewinnt, wenn mehrere unternehmen /
behörden über ein system abgewickelt werden sollen. die
betreiberorganisation kann dabei zentral oder dezentral oder durch
eine Kombination von beiden alternativen organisiert werden. >
den Vorteilen einer dezentralen betreiberorganisation wie die nähe
zum anwender und die flexible organisatorische zuordnung der bo in
den unternehmen / behörden oder die gewährleistung der
harmonisierung der arbeitsabläufe stehen die nachteile einer
höheren abstimmung der gesellschafts- übergreifenden aktivitäten
und operativen übergreifenden fragestellungen sowie ein tendenziell
höherer personalbedarf als in einem rein zentralen ansatz
gegenüber.> bei einem zentralen ansatz ist eine eindeutige
Kompetenzregelung mit klarer organisationsstruktur und schneller
Entscheidung bei Konfliktfällen möglich. allerdings kann die
flexibilität der über das sap- system abgewickelten unternehmen /
behörden eingeschränkt bzw. die durchsetzung von gesellschafts-
individuellen anforderungen bei übergreifenden Einstellungen
schwierig sein. auch können interessen- konflikte bei der Leitung
der bo nicht ausgeschlossen werden.der dsb hat insbesondere darauf
zu achten, dass durch die betreiberorganisation die belange des
datenschutzes hinsichtlich Vertraulichkeit und sicherheit von
personenbezogenen daten gewährleistet bleiben.
2.1.7 abfassung EinEr datEnschutzErKLÄrung sofern dritten ein
internet-zugang auf das sap-system gewährt wird, ist der dsb an der
Erstellung einer datenschutzerklärung zu den anfallenden
geschäftsprozessen zu beteiligen. die nutzer sind zu beginn des
nutzungsvorgangs über art, umfang und zwecke der Erhebung sowie die
Verwendung personenbezogener daten und deren Verarbeitung zu
unterrichten, sofern eine solche unterrichtung nicht bereits
erfolgt ist (§13 abs. 1 satz 1 tmg).diese Erklärung ist als
vertrauensbildende maßnahme zu verstehen und soll den
geschäftspartner in verständlicher form über getroffene
standardmaßnahmen zum schutz seiner privatsphäre (Vertraulichkeit,
integrität, authentizität) informieren. Eine hilfestellung bietet
der oEcd privacy statement generator unter folgender urL:
http://www.oecd.org/sti/privacygenerator
Seite
31
LEit
fad
En d
atEn
sch
utz
fÜ
r s
ap
Erp
6.0
sta
nd
20.
sEp
tEm
bEr
200
9, ©
dsa
g e
. V.
-
2.1.8 ÜbErWachung dEs KorrEKtur- und transportWEsEns untEr sap
Erpum integrität und Verfügbarkeit des produktivsystems zu
schützen, ist eine trennung in verschiedene systeme notwendig,
wobei unter sicherheitsaspekten mindestens eine dreiteilung in
Entwicklungs-, integrations- und produktivsystem zu empfehlen ist.
die drei systeme sind über das Korrektur und transportsystem
(change & transport system) miteinander verbunden. Eine
beschreibung der hierbei zu ergreifenden schutzmaßnahmen findet
sich in den sap-sicherheitsleitfäden.beispielsweise wird darauf
hingewiesen, dass – zur Vermeidung von unbefugtem Einschleusen von
programmen oder daten über das sap Erp-transportsystem in das
produktivsystem – eine abschottung gegenüber test- und
Entwicklungssystemen erforderlich ist. Es wird empfohlen, den
produktiven applikations- und datenbankrechner ausschließlich der
sap Erp-anwendung zuzuordnen und aus sicht des netzwerkes über ein
eigenes transportsystem zu verfügen. der dsb hat darauf zu achten,
ob / wie Kopien von personenbezogenen daten in
nicht-produktivsysteme transportiert werden bzw. benutzer- und
berechtigungswerte aus vorgelagerten systemen in das
produktivsystem gelangen, ohne inhaltlich abgestimmt zu
sein.hinweis: hierbei ist ein datenschutzgerechtes
Entsorgungskonzept für test- bzw. nicht mehr benötigten
produktiv-output (z. b. papier, datenträger) festzulegen (z. b. din
32 757 bzw. din 33 858).
2.1.9 KontroLLEn im LaufEndEn bEtriEbzur Überwachungsaufgabe des
dsb gehören sowohl regelmäßige als auch unangemeldete Kontrollen
und stichproben im hinblick auf die organisation des
betriebsablaufes, die notwendigen funktionstrennungen und die
handhabung des zugriffsberechtigungskonzeptes und auch die
auswertung der Logfiles. Vergleiche hierzu auch die bemerkungen zu
den zugriffsrechten des dsb zum security audit Log (Kapitel
4.2.1.9.1) und zum audit information system in Kapitel 6.
2.2 schuLung dEr anWEndEr mit VErpfLichtung auf das datEn-
gEhEimnis (§§ 4g und 5 bdsg)
2.2.1 pErsonEnKrEis, dEr gEschuLt und VErpfLichtEt WErdEn
mussbei aufnahme der tätigkeit sind die bei der Erhebung,
Verarbeitung und nutzung personenbezogener daten tätigen personen
zu schulen (§ 4g abs. 1 nr. 2 bdsg) und auf das datengeheimnis zu
verpflichten (§ 5 bdsg). dabei handelt es sich im Wesentlichen um
folgenden personenkreis:> mitarbeiter in allen bereichen, in
denen pcs im Einsatz sind> mitarbeiter in rechenzentren /
it-mitarbeiter> mitarbeiter in fachabteilungen mit
personenbezogenen daten, z. b.> personalabteilung, Lohn- und
gehaltsabrechnung, zeitwirtschaft > Verkauf, marketing, Werbung
> Einkauf > controlling > boten > projektmitgliederzu
verpflichten sind auch teilzeitkräfte und auszubildende /
praktikanten. betriebsratsmitglieder fallen ebenfalls unter § 5
bdsg.mitarbeiter von fremdfirmen, z. b. externe berater, die
zugriff zu personenbezogenen daten haben, müssen
2 Aufgaben des DatenschutzbeauftragtenSe
ite 3
2
-
auf das datengeheimnis verpflichtet sein. der
datenschutzbeauftragte kann die Verpflichtung dieser mitarbeiter
nicht selbst vornehmen, er sollte sich aber die Verpflichtung
vertraglich zusichern lassen und deren Einhaltung
kontrollieren.
2.2.2 inhaLt dEr anWEndErschuLungEnder anwender soll durch die
schulung mit den Vorschriften des bdsg und allen für die
fachaufgabe einschlägigen datenschutzvorschriften vertraut gemacht
werden. die anwenderschulung soll allgemeine informationen zum
datenschutzrecht und auf den jeweiligen tätigkeitsbereich
abgestimmte hinweise geben, insbesondere zu datensicherheit und
ordnungsmäßigkeit der datenverarbeitung. ziel der schulung ist es,
den Einzelnen für datenschutzgerechtes Verhalten am arbeitsplatz zu
befähigen.für schulungszwecke können auch pc-gestützte
anwenderschulungen verwendet werden, die die schulung des
datenschutzbeauftragten nicht ersetzen, sondern zur Vertiefung des
Wissens beitragen sollten.nach erfolgter schulung sind die
teilnehmer auf das datengeheimnis schriftlich zu verpflichten.
diese Ver-pflichtungserklärung (anlage 1) sollte bestandteil der
personalakte werden. Empfehlenswert ist es, jedem
schulungsteilnehmer die entsprechenden auszüge aus dem bdsg sowie
ein merkblatt zum umgang mit personenbezogenen daten (anlage 2)
auszuhändigen.als beispiel kann der sap-hinweis 35493
‚Verpflichtung datenschutz und geheimhaltung‘, dienen.
2.2.3 abbiLdung dEr anWEndErschuLung im sap
2.2.3.1 anWEndErschuLung ÜbEr infotypEn „bELEhrungEn“ odEr
„QuaLifiziErungEn“ für hcm-anwender besteht die möglichkeit, die
anwenderschulung mit Verpflichtung auf das daten-geheimnis im sap
Erp-system im personalstammsatz zu hinterlegen.Vom
datenschutzbeauftragten bzw. von der personalabteilung kann die
schulung zum datenschutz folgendermaßen eingetragen werden:
menüpfad: personal → personalmanagement → administration →
personalstamm → pflegen (pa30).
Verwendet werden kann der infotyp 0035 (belehrungen) oder die
Qualifikation im profil einer person in der personalentwicklung
(durch aufruf infotyp 0024, achtung: hierzu muss im customizing der
schalter pLogi appra in der tabelle t77s0 auf 1 stehen). der
infotyp „Qualifikationen“ greift auf den Qualifikationskatalog
zurück. darin muss dann im rahmen des customizing die
anwenderschulung aufgenommen werden.
menüpfad: personal → personalmanagement → personalentwicklung →
Einstellungen → laufende Einstellungen → Qualifikationskatalog
bearbeiten (ooQa)
der Qualifikationskatalog hat eine baumstruktur. die
datenschutzschulung kann z. b. unter dem zweig „rechtliche
grundlagen“ angelegt werden. mit dem report RhstRu00 erfolgt die
strukturauswertung des Qualifikationskataloges.
Seite
33
LEit
fad
En d
atEn
sch
utz
fÜ
r s
ap
Erp
6.0
sta
nd
20.
sEp
tEm
bEr
200
9, ©
dsa
g e
. V.
-
Über den report RhXQaLif (Qualifikation eines / mehrerer
teilnehmer) lässt sich leicht auswerten, wer bereits verpflichtet
ist und an welchen schulungen er teilgenommen hat. der report
bietet auch die möglichkeit, nach organisationseinheiten
auszuwerten. Ein Vergleich zwischen mitarbeitern einer abteilung
(z. b. personal-abt., EdV-abt. usw.) mit den verpflichteten
personen zeigt die differenzen auf. Ein besonderes augenmerk ist
auf neueinstellungen bzw. umsetzungen von mitarbeitern zu
richten.Empfehlung: unternehmen, die nicht das
hcm-organisationsmanagement und die hcm-personalentwick-lung
einsetzen, sollten den infotyp 0035 (belehrungen) benutzen. alle
anderen können auch den oben beschriebenen Weg über die
Qualifizierungen im profil einer person verwenden.
2.2.3.2 anWEndErschuLung ÜbEr das VEranstaLtungsmanagEmEntfür
anwender, die das Veranstaltungsmanagement nutzen, empfiehlt es
sich, mit diesem instrument die gesamte organisation der
anwenderschulungen abzuwickeln. Über das Veranstaltungsmanagement
kann die planung, durchführung und Verwaltung von Veranstal-tungen
organisiert werden. so können z. b. die teilnehmer der schulung,
ort und zeit, referenten usw. geplant und abgerechnet werden.
2.3 fÜhrEn Von ÜbErsichtEn (§ 4g abs. 2 / §18 abs. 2 bdsg)in der
phase des customizings wird festgelegt, welche daten erfasst und
gespeichert werden sollen. in diesem fall wirkt der dsb aktiv an
der umsetzung datenschutzrechtlicher anforderungen mit.
für die effektive Wahrnehmung seiner aufgaben benötigt der dsb
nach den §§ 4e und 4g abs. 2 bdsg folgende unterlagen:
§ 4g abs. 2 aufgabEn dEs bEauftragtEn fÜr dEn datEnschutz dem
beauftragten für den datenschutz ist von der verantwortlichen
stelle eine Übersicht über die in §4e satz 1 genannten angaben
sowie über zugriffsberechtigte personen zur Verfügung zu stellen.
der beauftragte für den datenschutz macht die angaben nach § 4e
satz 1 nr. 1 bis 8 auf antrag jedermann in geeigneter Weise
verfügbar.
§ 4E inhaLt dEr mELdEpfLicht sofern Verfahren automatisierter
Verarbeitungen meldepflichtig sind, sind folgende angaben zu
machen: 1 name oder firma der verantwortlichen stelle 2 inhaber,
Vorstände, geschäftsführer od
