Die Auswirkungen der DSGVO auf SAP: Ein Leitfaden zur Einhaltung der DSGVO und zu SAP

30. September 2023 Von Soterion

Die Datenschutz-Grundverordnung (DSGVO) wurde von Grund auf neu entwickelt, um den Herausforderungen im Bereich der personenbezogenen Daten einer modernen, digitalen Welt gerecht zu werden. Es sind viele Jahre seit seiner Einführung vergangen, aber es besteht kein Zweifel, dass es die Art und Weise verändert hat, wie viele Unternehmen mit personenbezogenen Daten umgehen.

In diesem Artikel erläutern wir die DSGVO, ihre Auswirkungen auf Unternehmen, die SAP einsetzen, und geben Ratschläge, wie Sie sicherstellen können, dass das Unternehmen DSGVO-konform bleibt.

Die Einführung der DSGVO

Trotz jahrelanger Warnung gerieten Unternehmen weltweit in Panik, als die EU ankündigte, dass die DSGVO im Mai 2018 in Kraft treten würde. Viele Unternehmen fragten sich plötzlich: "Was ist DSGVO-Konformität?" Darüber hinaus mussten sie wissen, welche Schritte sie unternehmen mussten, um sicherzustellen, dass sie nicht gegen diese neuen Datenschutzgesetze verstießen.

Die DSGVO ist eine Datenschutzgesetzgebung, die 2018 in der Europäischen Union (EU) in Kraft getreten ist. Das Ziel der DSGVO war es, Datenschutzgesetze einzuführen, die sich mit den Herausforderungen des Datenschutzes befassen, denen sich der Einzelne in einer Welt gegenübersieht, die auf digitalen Diensten basiert. Dies geschah durch die Einführung einer Reihe von Regeln, die einschränkten, was Unternehmen mit personenbezogenen Daten tun konnten, wenn sie in EU-Mitgliedstaaten tätig waren.

Die Folgen mangelnder DSGVO-Konformität

Mit diesen neuen Gesetzen gingen auch neue Konsequenzen einher. Wenn festgestellt wird, dass ein Unternehmen wahrscheinlich gegen die Datenschutzbestimmungen der DSGVO verstoßen hat, erhält das Unternehmen eine Verwarnung. Wenn sich herausstellt, dass ein Unternehmen die DSGVO nicht einhält, besteht die Gefahr, dass es Folgendes riskiert:

Geldbußen in Höhe von 10 Millionen Euro oder 2 % des weltweiten Umsatzes des Unternehmens für geringfügige Verstöße, je nachdem, welcher Betrag höher ist.
Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes des Unternehmens bei schwerwiegenden Verstößen, je nachdem, welcher Betrag höher ist.

Wie sich die DSGVO direkt auf Unternehmen auswirkte, die S betreibenAP

Im Jahr 2017 erörterte James Baird in seinem Artikel "The Impact of GDPR for Organizations that Run on SAP" im SAP Community Blog die Auswirkungen der neuen DSGVO-Gesetze auf Unternehmen, die SAP einsetzen. Baird betonte, dass die DSGVO für jede Organisation gilt, die personenbezogene Daten von in Europa ansässigen Personen verarbeitet. Für SAP-Anwender bedeutete dies, dass alle Informationen in einem SAP-System, unabhängig davon, ob sie in Daten oder Dokumenten enthalten sind und "über mehrere Umgebungen, Systeme, Standorte und Länder hinweg gespeichert wurden", ordnungsgemäß geschützt und verworfen werden müssen.

Dies bedeutete, dass erhebliche Änderungen vorgenommen werden mussten, um sicherzustellen, dass der SAP-Datenschutz DSGVO-konform ist. Hier sind einige der Bereiche, die von dieser neuen Gesetzgebung dramatisch betroffen waren.

Einwilligung in die Erhebung personenbezogener Daten

Vor der DSGVO waren die Compliance-Gesetze für die Online-Datenerfassung entweder vage oder nicht vorhanden. Viele Unternehmen sammelten Daten entweder unter sehr weit gefassten Einwilligungsbedingungen, hinter komplizierten juristischen Formulierungen oder ohne auch nur die Zustimmung einer Person einzuholen. Die DSGVO machte dies illegal und verlangte von Unternehmen, in sehr einfachen Worten zu beschreiben, welche Daten sie von einer Person sammeln.

Die Verwaltung personenbezogener Daten

Der Schutz personenbezogener Daten wurde für viele Unternehmen zur obersten Priorität. Dies bedeutete, dass jedes Unternehmen, das SAP einsetzte, Maßnahmen ergreifen musste, um sicherzustellen, dass nur autorisierter SAP-Zugriff zulässig war und dass alle auf einem System gespeicherten personenbezogenen Daten verschlüsselt wurden. Es müsste ein Zugriffsrisikomanagement implementiert werden, wenn SAP-Anwender dies nicht bereits tun.

Unternehmen mussten das Mandat "Recht auf Vergessenwerden" erfüllen

Jede Organisation, die personenbezogene Daten eines EU-Bürgers sammelt und speichert, muss die Möglichkeit haben, die personenbezogenen Daten dieser Person aus ihren Systemen zu löschen. Es gab eine Reihe von Umständen, unter denen dies anwendbar war, z. B. wenn die Person ihre Zustimmung zur Verwendung ihrer Daten widerrufen hat oder die Daten unrechtmäßig erhoben wurden.

Meldung von Verstößen

Vor der DSGVO gab es zahlreiche aufsehenerregende Verstöße, die Unternehmen heimlich zu vertuschen versuchten oder erst lange nach dem Verstoß ankündigten. Die DSGVO hat dies unter Strafe gestellt und Unternehmen verpflichtet, Datenschutzverletzungen innerhalb von 72 Stunden nach ihrer Feststellung einer Datenschutzbehörde (DPA) zu melden, sofern die Umstände nichts anderes vorschreiben. Die Unternehmen waren jedoch weiterhin verpflichtet, so schnell wie möglich mit der Datenschutzbehörde zu kommunizieren, da sie sonst Bußgelder riskierten. Zu den erforderlichen Informationen gehörten, wie es zu der Sicherheitsverletzung kam, welche Folgen die Verletzung hatte und welche Maßnahmen das Unternehmen ergriff, um die Sicherheitsverletzung zu beheben.

Die enorme Herausforderung, die SAP-DSGVO-Konformität sicherzustellen

Aufgrund der schieren Menge an SAP-Tabellen und -Feldern ist die Einhaltung von Datenschutzbestimmungen (wie z.B. DSGVO, CCPA, PDPA, POPIA etc.) für viele Unternehmen eine enorme Herausforderung. Erst wenn das Unternehmen festgestellt hat, wo sich personenbezogene Daten in seiner SAP-Lösung befinden, kann es damit beginnen, diese effektiv zu klassifizieren und zu verwalten.

Die GRC-Software von Soterion erleichtert die Erstellung eines Datenschutzregelwerks auf der Grundlage der von Ihrem Unternehmen definierten sensiblen Felder. Durch die Aufnahme von Datenschutzregeln in Ihr Soterion-Regelwerk wird das Datenschutzrisiko in die Soterion Access Risk Manager- und Periodic Review-Prozesse integriert, um den Datenschutz durch Design zu gewährleisten.

Wie Unternehmen sicherstellten, dass ihr SAP-System DSGVO-konform ist

Letztendlich lag es an jedem Unternehmen, die genauen Schritte herauszufinden, die es unternehmen musste, um sicherzustellen, dass seine SAP-Systeme konform waren. Es gibt jedoch übergreifende Richtlinien, die Unternehmen befolgen könnten, um sicherzustellen, dass sie DSGVO-konform sind.

Die folgenden Richtlinien gelten auch heute noch für alle Organisationen, die die Einhaltung der DSGVO sicherstellen möchten.

Schritt 1: Führen Sie ein Audit Ihres SAP-Systems durch
Der erste Schritt besteht darin, ein Audit Ihres SAP-Systems durchzuführen, um zu beurteilen, welche Daten Sie haben, und diese nach Bedarf zu kategorisieren.

Schritt 2: Identifizieren Sie personenbezogene Daten, die in Ihrem SAP-System gespeichert sind
Sobald Sie die Daten auf Ihrem System verstanden haben, besteht der zweite Schritt darin, die persönlichen Daten auf Ihrem System zu klassifizieren. Dieser Schritt ist von entscheidender Bedeutung, da personenbezogene Daten im Mittelpunkt der DSGVO stehen und jedes Versäumnis, personenbezogene Daten korrekt zu identifizieren und zu sichern, dazu führen kann, dass Ihr Unternehmen die DSGVO nicht einhält.

Personenbezogene Daten können Informationen wie Vorname, Nachname oder Kontaktnummer sein oder sogar Informationen wie einen Kontonamen oder eine Kontonummer enthalten. Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (einen lebenden, atmenden Menschen) beziehen, gelten als personenbezogene Daten im Sinne der DSGVO.

Schritt 3: Entfernen Sie alle unnötigen personenbezogenen Daten und stellen Sie sicher, dass in Zukunft nur die erforderlichen personenbezogenen Daten erfasst werden
Sobald alle personenbezogenen Daten identifiziert wurden, ist es notwendig, alle unnötigen personenbezogenen Daten auf Ihrem System dauerhaft zu löschen. Dadurch soll sichergestellt werden, dass alle Daten, die auf Ihrem System verbleiben, die Daten widerspiegeln, die Ihre Organisation benötigt, um ihre Funktionen zu erfüllen. Während Sie beispielsweise einen Namen und eine E-Mail-Adresse benötigen, um mit Ihren Kunden in Kontakt zu treten, benötigen Sie möglicherweise nicht deren Telefonnummer. Wenn Sie diese Kategorie vorhandener personenbezogener Daten löschen und sicherstellen, dass sie in Zukunft nicht mehr erfasst werden, werden weitere zusätzliche Compliance-Belastungen für Ihr Unternehmen beseitigt.

Schritt 4: Notwendige persönliche Daten verschlüsseln
Wenn Ihr Unternehmen dies noch nicht getan hat, ist es wichtig, dass Sie alle personenbezogenen Daten, die Sie in Ihrem SAP-System speichern, verschlüsseln. Damit stellen wir sicher, dass Sie jedes weitere Risiko ausschließen, falls Unbefugte Zugriff auf die auf Ihren Systemen gespeicherten personenbezogenen Daten erhalten.

Schritt 5: Entwickeln von Zugriffs-, Aufbewahrungs- und Löschregeln
Nachdem Sie die personenbezogenen Daten nun korrekt identifiziert, sortiert und verschlüsselt haben, ist es notwendig, Zugriffs-, Aufbewahrungs- und Löschregeln zu erstellen und zu verwalten, die DSGVO-konform sind. Diese Regeln lassen sich besser wie folgt verstehen:

Zugriffsregeln stellen sicher, dass nur die autorisierten Mitglieder Ihrer Organisation Zugriff auf die personenbezogenen Daten haben. Diese SAP-Zugriffsregeln müssen an die Anforderungen Ihres Unternehmens angepasst werden.
Die Aufbewahrungsregeln der DSGVO besagen, dass personenbezogene Daten nur so lange erhoben, verarbeitet und gespeichert werden, wie es für eine Organisation erforderlich ist. Einfacher ausgedrückt: Sie können keine personenbezogenen Daten speichern, die Ihr Unternehmen nicht explizit für den Betrieb benötigt.
Löschregeln sind einfach Regeln, die mit der DSGVO-Anforderung "Recht auf Vergessenwerden" übereinstimmen. Das bedeutet, dass Daten, die für eine Organisation nicht mehr erforderlich sind, gelöscht werden müssen. In Situationen, in denen personenbezogene Daten nicht gelöscht werden können, muss der autorisierte Zugriff widerrufen werden.

Schritt 6: Implementieren Sie Tools zur Anonymisierung bestimmter Kategorien neuer Daten nach Bedarf
Die De-Identifizierung personenbezogener Daten kann es Unternehmen auch ermöglichen, begrenzte Datensätze zu sammeln, ohne unnötige identifizierbare Informationen zu erhalten. Beispielsweise könnte ein Unternehmen, das untersucht, wie ein Benutzer mit seiner Software interagiert, daran interessiert sein, bestimmte Verhaltensmuster zu identifizieren, benötigt jedoch möglicherweise nicht den Namen oder die E-Mail-Adresse des jeweiligen Benutzers. Durch die Anonymisierung von Informationen eliminieren Sie wieder jede notwendige Gefährdung durch die DSGVO.

Schritt 7: Überwachen und regelmäßiges Auditieren von Systemen und Benutzern, um die Einhaltung der Vorschriften sicherzustellen
Sobald Sie die vorherigen Schritte abgeschlossen haben, denken Sie vielleicht, dass Ihr System auf die DSGVO vorbereitet ist. Eine einzige DSGVO-Compliance-Prüfung und die Aktualisierung Ihrer SAP-Zugriffs-, Sicherheits- und Benutzerregeln reichen jedoch nicht aus, um sicherzustellen, dass Ihr SAP-System konform ist. Sie müssen das System überwachen und regelmäßige Audits durchführen, um sicherzustellen, dass personenbezogene Daten korrekt erfasst und gespeichert werden, dass nur autorisierte Benutzer Zugriff auf die Daten haben und dass Sicherheitstools alle Zugriffe auf diese Daten protokollieren.

SAP-Konformität mit Soterion sicherstellen

Es ist mehr als fünf Jahre her, dass die DSGVO eingeführt wurde, aber viele weitere Länder sind dabei, die Datenschutzgesetzgebung zum Schutz von Einzelpersonen und Organisationen zu verbessern, oder haben bereits ihre eigenen Gesetze zum Schutz personenbezogener Daten eingeführt. Da Sie wissen, welche Auswirkungen die DSGVO auf den Datenschutz hat, ist es wichtig, dass Ihr SAP-System diese Vorschriften einhält.

Soterion bietet SAP-Governance-, Risiko- und Compliance-Lösungen (GRC) an, um sicherzustellen, dass Unternehmen Datenschutz- und andere Vorschriften einhalten. Unsere SAP-Sicherheitsberater arbeiten mit Ihrem Unternehmen zusammen, um sicherzustellen, dass Ihr SAP-System den Gesetzen des Landes entspricht, in dem es tätig ist.

Kontaktieren Sie uns , um mehr darüber zu erfahren, wie Soterion sicherstellen kann, dass das SAP-System Ihres Unternehmens seine Risiken korrekt verwaltet.

Cookie	Dauer	Beschreibung
cookiegesetzinfo-kontrollfeld-analytik	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Analytik“.
cookiegesetzinfo-kontrollfeld-funktionell	11 Monate	Das Cookie wird durch die GDPR-Cookie-Zustimmung gesetzt, um die Zustimmung des Benutzers für die Cookies der Kategorie „Funktional“ aufzuzeichnen.
cookiegesetzinfo-kontrollfeld-notwendig	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Notwendig“.
cookiegesetzinfo-kontrollfeld-anderes	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Andere“.
cookiegesetzinfo-kontrollfeld-leistung	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Leistung“.
gesehen_cookie_richtlinie	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung oder Ablehnung des Nutzers zur Verwendung von Cookies, aber keine persönlichen Daten.

Die Auswirkungen der DSGVO auf SAP: Ein Leitfaden zur Einhaltung der DSGVO und zu SAP

Das könnte Sie interessieren

Die Bedeutung der Abstimmung der SAP-Zugriffssteuerung mit der FUE-Lizenzierung

SAP Security & GRC-Podcast – Technische Reihe (F06): Erstellen und Pflegen von Fiori-Spaces und -Seiten

Verstehen, welche GRC-Geschäftsziele für Ihr Unternehmen am wichtigsten sind

Such[wort] eingeben