Leitfaden Datenschutz SAP ERP 6.0

Transkript

1 Deutschsprachige SAP Anwendergruppe Leitfaden Datenschutz SAP ERP 6.0 DSAG ARBEITSGRUPPE DATENSCHUTZ STAND 30. MAI 2008

2 DSAG Arbeitskreis Revision / Risikomanagement ERARBEITET IN DER ARBEITSGRUPPE DATENSCHUTZ LEITFADEN DATENSCHUTZ SAP ERP 6.0 STAND 30. MAI 2008 DSAG e. V. Deutschsprachige SAP-Anwendergruppe Seite 2

3 IN MEMORIAM THOMAS BARTHEL ( ) Seite 3

4 Einleitung Der vorliegende Leitfaden Datenschutz SAP ERP Release 6.0 soll Datenschutzbeauftragten der SAP- Anwender Anhaltspunkte für die Vorgehensweise bei der Umsetzung der Anforderungen der Datenschutzvorschriften bei Einsatz der SAP-Software geben. Der Leitfaden ist als Empfehlung gedacht, nicht aber als verbindliche Richtlinie oder Norm. Jegliche Verantwortung für Art, Umfang und Ergebnis der Umsetzung der Datenschutzvorschriften verbleibt somit bei der Leitung der verantwortlichen Stelle (Unternehmen / Behörde). Für das Studium dieses Leitfadens werden Grundkenntnisse der SAP-Systeme sowie Kenntnisse der handels- und steuerrechtlichen Grundlagen und des Bundesdatenschutzgesetzes (BDSG) vorausgesetzt. Der Leitfaden Datenschutz behandelt Fragestellungen, die bereits in den SAP-Sicherheitsleitfäden oder in anderen Prüfleitfäden des DSAG AK-Revision enthalten sind, insbesondere aus datenschutzrechtlicher Sicht. In dieser Version wird z. T. auch auf modulspezifische Besonderheiten, z. B. HCM, eingegangen. Mit SAP ERP wird die klassische ABAP-Welt (ABAP Stack) um die JAVA-Welt (JAVA Stack) ergänzt. Dieser Leitfaden umfasst den ABAP-Stack, die Version für den JAVA-Stack ist in Planung. SAP ERP ist als international eingesetzte Standardsoftware konzipiert. Der Leitfaden berücksichtigt die EU-Richtlinie 95 / 46 / EG und die deutsche Datenschutzgesetzgebung. Die Autoren sind Mitglieder der Arbeitsgruppe DATENSCHUTZ im DSAG Arbeitskreis Revision und stellen hiermit ihre Erfahrungen zur Verfügung. COPYRIGHT 2008 DSAG E.V. DIE AUTOREN: Herr T. Barthel Herr I. Carlberg Herr V. Lehnert Herr H. Miller Herr T. Müthlein Frau A. Otto Herr S. Pieper Herr K. Redling Herr A. Reschke Herr P. Schiefer Herr H.-J. Schwab Herr G. Siebert Herr G. Voogd FORBIT GmbH / CArO GmbH, Hamburg BIT e.v., Bochum SAP Deutschland AG & Co.KG, Walldorf Geberit Deutschland GmbH, Pfullendorf DMC Datenschutz Management & Consulting GmbH & Co.KG Frechen / GDD e.v. Bonn SAP Deutschland AG & Co.KG, Walldorf Deloitte & Touche GmbH, Frankfurt SAP Deutschland AG & Co.KG, Walldorf Rechtsanwaltskanzlei Reschke, Wiesbaden Bayer AG, Leverkusen SAP AG, Walldorf Forba Partnerschaft, Berlin FORBIT GmbH / CArO GmbH, Hamburg Seite 4

5 AN DER 1. / 2. AUFLAGE WIRKTEN AUSSERDEM MIT: Herr V. Ahrend Bosch Telecom GmbH, Frankfurt Herr R. Anhorn Robert Bosch GmbH, Stuttgart Frau C. Bonni Lausitzer Braunkohle AG, Senftenberg Herr W. Kilian RWE Energie Aktiengesellschaft, Essen Herr A. Lenz Rheinbraun AG, Köln Herr S. Dierschke BASF AG-Zok, Ludwigshafen Herr W. Geesmann KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf Herr R. Glagow PWC Deutsche Revision AG, Düsseldorf Herr F. Glaß PWC Deutsche Revision AG, Düsseldorf Herr T. Glauch KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf Herr J. Heck Brau und Brunnen AG, Dortmund Herr G. Hohnhorst KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf Herr W. Hornberger SAP AG, Walldorf Herr A. Kirk Ruhrgas AG, Essen Herr K. Lorenz Deutsche Bausparkasse Badenia AG, Karlsruhe Herr Dr. Pötschat BASF AG, Ludwigshafen Herr E. Schmidt Philip Morris GmbH, München Herr A. von der Stein RWE Systems AG, Dortmund Herr U. Ueberschar Mannesmann Arcor AG & Co., Eschborn / Köln Frau G. Zibulski SAP AG, Walldorf Die Verantwortung für den Inhalt tragen die Autoren. Die redaktionelle Bearbeitung und das Layout liegen bei der SAP AG und der DSAG. HINWEIS: Die vorliegende Publikation ist urheberrechtlich geschützt (Copyright). Alle Rechte liegen, soweit nicht ausdrücklich anders gekennzeichnet, bei: DEUTSCHSPRACHIGE SAP ANWENDERGRUPPE E.V. Altrottstraße 34 a Walldorf Deutschland Jedwede unerlaubte Verwendung ist nicht gestattet. Dies gilt insbesondere für die Vervielfältigung, Verbreitung, Übersetzung oder die Verwendung in elektronischen Systemen / digitalen Medien. Die Autoren des LEITFADEN DATENSCHUTZ sind für Kritik, Änderungs- und Ergänzungswünsche dankbar. Dies gilt sowohl für Vorschläge zur Vertiefung der einzelnen Kapitel als auch für die Nennung von Beispielen aus konkreten Prüfungserfahrungen. Um dem Leser das Antworten zu erleichtern, ist auf der folgenden Seite ein Formular eingefügt. 1 Z. B. HGB, AO, GDPdU, GoB / GoBS Seite 5 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

6 An die Autoren der Arbeitsgruppe Datenschutz DSAG-Geschäftsstelle Altrottstr. 34a Walldorf Fax: +49 (0) ABSENDER Name Funktion Abteilung Firma Anschrift Telefon Telefax ERGÄNZENDE INFORMATION(EN) ZUM LEITFADEN DATENSCHUTZ SAP ERP Ich möchte der Arbeitsgruppe zu folgendem Themenkreis Informationen geben (bitte ankreuzen): ( ) Kritische Tabellen / Customizing-Einstellungen ( ) Kritische Objekte ( ) Kritische SAP-Fakten ( ) Beispiele für konkrete Umsetzungsmaßnahmen und Prüfungshandlungen ICH BEZIEHE MICH AUF Leitfaden Datenschutz SAP ERP, Kapitel:... SAP ERP, Release:... MEINE INFORMATION LAUTET: ZUR WEITEREN ERLÄUTERUNG SIND ANLAGEN BEIGEFÜGT (BITTE ANKREUZEN): ( ) Ja ( ) Nein Seite 6

7 Gliederung 1 EINFÜHRUNGSPROZESS Anforderungen des BDSG an SAP ERP Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten Übermittlung von personenbezogenen Daten Abrufverfahren Besondere Zweckbindung Auftragsverarbeitung Unterrichtung des Betroffenen Rechte des Betroffenen Auskunft an jedermann Meldepflicht Verpflichtung der Mitarbeiter auf das Datengeheimnis Schulung Maßnahmen zur Datensicherheit Übersichten gem. 4e, 4g und 18 Abs. 2 (BDSG-Übersichten) Vorabkontrolle SAP Solution Manager als unterstützendes Tool im Einführungsprozess Mitwirken des Datenschutzbeauftragten bei der Einführung von SAP ERP Datenschutzbeauftragter Mitglied des SAP-Projektteams Information des Datenschutzbeauftragten zu den Meilensteinen Informationsmöglichkeiten für den Datenschutzbeauftragten SAP-Fakten Customizing und ASAP-Vorgehensmodell Berechtigungskonzept Change Transport System / Change Transport Organizer (CTS / CTO) Schnittstellenverarbeitung Datenübernahme PC-Verarbeitung Kommunikationsschnittstellen SAP-Automation Job-Auftragsverfahren und -Dokumentation 1.4 Risiken Nichteinschaltung des Datenschutzbeauftragten bzw. der Arbeitnehmervertreter Nichtbeachtung der SAP-Empfehlungen Nichtberücksichtigung bzw. verspätete Erstellung des Berechtigungskonzeptes Nicht ordnungsgemäße Anwendung eines Datenverarbeitungsprogramms Prüfungshandlungen im Rahmen der Einführung / Checkliste 24 2 AUFGABEN DES DATENSCHUTZBEAUFTRAGTEN Überwachung der ordnungsgemäßen Programmanwendung ( 4g Abs. 1 BDSG) Einbeziehung des DSB vor und während der Programmentwicklung und -anpassung Prüfung der Datenerhebung und Datennutzung auf Rechtmäßigkeit Auswertung der Protokollierung Prüfung der Verfahrensdokumentation Mitwirkung bei der Festlegung und Überprüfung des Berechtigungskonzeptes 31 Seite 7 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

8 Gliederung Mitwirkung bei der Festlegung des Betriebskonzeptes und der Betreiberorganisation Abfassung einer Datenschutzerklärung Überwachung des Korrektur- und Transportwesens unter SAP ERP Kontrollen im laufenden Betrieb Schulung der Anwender mit Verpflichtung auf das Datengeheimnis ( 4g und 5 BDSG) Personenkreis, der geschult und verpflichtet werden muss Inhalt der Anwenderschulungen Abbildung der Anwenderschulung im SAP Anwenderschulung über Infotypen Belehrungen oder Qualifizierungen Anwenderschulung über das Veranstaltungsmanagement Führen von Übersichten ( 4g Abs. 2 / 18 Abs. 2 BDSG) Informationen zur verantwortlichen Stelle Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien Empfänger oder Kategorien von Empfängern Regelfristen für Löschung Geplante Übermittlung in Drittstaaten Maßnahmen zur Gewährleistung der Sicherheit Zugriffsberechtigte Personen Beispiel Melderegister Systemunterstützung Auswertungen zur Tabellen- und Feldanalyse Techniken zum Auffinden personenbezogener Daten Prüfung der Zugriffsberechtigungen 60 3 RECHTE DER BETROFFENEN UND VON JEDERMANN Benachrichtigung und Auskunft Rechtliche Anforderungen SAP-Fakten Anforderungen an die Organisation des Datenschutzes Berichtigung, Löschung und Sperrung Rechtliche Anforderungen SAP-Fakten Anforderungen an die Organisation des Datenschutzes 67 4 UMSETZUNG DER ANFORDERUNGEN AUS 9 BDSG UND ANLAGE: TECHNISCH-ORGANISATORISCHE MASSNAHMEN Anforderungen Gesetzliche Anforderungen aus 9 BDSG SAP-Funktionalität zur Abdeckung der gesetzlichen Anforderungen SAP-Fakten, Risiken und Maßnahmen ABAP-Fakten, Risiken und Maßnahmen Identifizierung und Authentifizierung SAP-Fakten Risiken und zu ergreifende Maßnahmen 75 Seite 8

9 Standardbenutzer SAP* SAPCPIC DDIC EarlyWatch Batch User Risiken und zu ergreifende Maßnahmen Benutzerberechtigungskonzept: ausgewählte Berechtigungsobjekte Berechtigungsobjekte im HCM Berechtigungsobjekt P_ABAP Berechtigungsobjekt P_TCODE Berechtigungsobjekt S_TCODE Tabelle TSTCA Umwandlung von Reports in Transaktionen Berechtigungsobjekt S_TABU_DIS, S_TABU_CLI und S_TABU_LIN Berechtigungsobjekt S_TOOLS_EX Berechtigungsobjekt S_SCD Objekte zur Benutzer- und Berechtigungspflege (S_USER_xxx) Berechtigungsobjekt S_GUI und XXL-Listviewer Risiken und zu ergreifende Maßnahmen Benutzerberechtigungskonzept: ausgewählte Profile Profil SAP_ALL Profil SAP_NEW Profil P_BAS_ALL Sonstige S_xxx-Profile Rollen mit kritischen Berechtigungen Risiken und zu ergreifende Maßnahmen Besonderheiten bei der Berechtigungsprüfung Ausschaltung / Modifikation von Berechtigungsprüfungen Authority-Check bei ABAP-Programmen 86 (Standardprogramm oder Eigenentwicklungen) Berechtigungshauptschalter HR (Tabelle T77S0; GRPID AUTSW ) Report Berechtigungsgruppen Risiken und zu ergreifende Maßnahmen Benutzeradministration Konzeption der zentralen Benutzeradministration Konzeption der dezentralen Benutzeradministration Benutzeradministration mit dem Profilgenerator Veraltete Benutzeradministration mit Profilen Risiken und zu ergreifende Maßnahmen Änderungen am Produktivsystem Change and Transport System Tabellenprotokollierung / Customizing Systemänderbarkeit Protokolle 92 Seite 9 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

10 Gliederung Schutz der Tabelle T Risiken und zu ergreifende Maßnahmen Systemschnittstellen Batch-Input RFC, ALE, BAPI PC-Download ABAP-Listviewer Risiken und zu ergreifende Maßnahmen Auditing und Logging Security Audit Log System Log Transaktionsprotokollierung STAD (CCMS) Workflow-Protokollierung Report-Protokollierung im HCM Ad-Hoc-Query-Protokollierung zur Kontrolle der Zweckbindung Risiken und zu ergreifende Maßnahmen Komplexe Suchhilfe Zusammenfassung zentraler Risiken Zusammenfassung der Prüfungshandlungen AUFTRAGSDATENVERARBEITUNG UND KONZERNINTERNER DATENAUSTAUSCH Abgrenzungen beim Thema Outsourcing und Datenschutz Vertragsgestaltung zwischen Auftragnehmer und Auftraggeber Pflichten des Auftraggebers und Auftragnehmers Umfang der Datenverarbeitung / Weisungen Technische und organisatorische Maßnahmen Wahrung der Rechte der Betroffenen Datengeheimnis Kontrollen durch den Auftraggeber Datenschutzbeauftragter des Auftragnehmers Unterauftragnehmer Verarbeitung im Ausland Wartung und Pflege SAP-Fakten Ausgangssituation SAP-Administration SAP-spezifische Maßnahmen Systemadministration Change and Transport Organizer (CTO / CTS) Fernwartung und Services RFC und ALE Job-Abwicklung PC-Download Datenbank- und LAN-Umgebung 113 Seite 10

11 Mandantenübergreifende Funktionen SAP-Protokolle Risiken BESONDERE THEMEN Auditwerkzeuge: Audit Information System und Benutzerinformationssystem Audit Information System (AIS) Benutzerinformationssystem (SUIM) SOS-Report (Security Optimization Service) SAP GRC (Governance, Risk and Compliance) SAP GRC Access Control Risk Analysis and Remediation (vormals Compliance Calibrator) Enterprise Role Management (bisher bekannt als Virsa Role Expert) Superuser Privilege Management (bisher bekannt als Virsa FireFighter for SAP) Compliant User Provisioning (bisher bekannt als Virsa Access Enforcer) SAP GRC Process Control GLOSSAR 124 Seite 11 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

12 1 Einführungsprozess Die Voraussetzung für die Anwendung des Bundesdatenschutzgesetzes (BDSG) ist beim Einsatz von SAP ERP 2 erfüllt, da in allen Modulen personenbezogene Daten automatisiert verarbeitet werden (vgl. 1 BDSG in Verbindung mit 12 oder 27 BDSG). Deshalb sind das Bundesdatenschutzgesetz und andere Rechtsvorschriften zum Datenschutz, z. B. in einer Landesverwaltung das jeweilige Landesdatenschutzgesetz, zu beachten. Dieser Leitfaden gilt für den öffentlichen und den nicht öffentlichen Bereich. Auf die Besonderheiten der Landesdatenschutzgesetze wird in diesem Leitfaden nicht eingegangen. Da SAP ERP als international eingesetzte Standardsoftware unter betriebswirtschaftlichen Aspekten konzipiert ist, kann ein Anwender nicht ohne Weiteres davon ausgehen, dass für alle angebotenen Datenfelder die Rechtsgrundlagen im Sinne der deutschen Datenschutzvorschriften gegeben sind. Es ergibt sich damit die Notwendigkeit zu überprüfen, ob SAP ERP in der beim Anwender vorgesehenen Ausprägung den Anforderungen des Bundesdatenschutzgesetzes und ggf. anderer Vorschriften über den Datenschutz genügt. Der Datenschutzbeauftragte (DSB) sowie Betriebsrat / Personalrat sind daher in die Projektarbeit einzubeziehen, wobei die Projektverantwortung für die ordnungsgemäße Einführung von SAP ERP der Projektleitung obliegt. Auch wenn das BDSG den Anforderungen des harmonisierten Datenschutzrechts in der EU entspricht, sind die lokalen Besonderheiten der einzelnen EU-Mitgliedsstaaten zu beachten. 1.1 ANFORDERUNGEN DES BDSG AN SAP ERP Das BDSG spricht ein grundsätzliches Verbot der Erhebung, Verarbeitung und Nutzung personenbezogener Daten aus und erlaubt die Datenverarbeitung nur, wenn die im BDSG definierten Voraussetzungen erfüllt sind. Dieser Grundsatz führt dazu, dass mit der Einführung des SAP ERP überprüft werden muss, ob die Anforderungen des BDSG und anderer Rechtsvorschriften angemessen berücksichtigt wurden. Entsprechendes gilt auch für Änderungen im laufenden Betrieb ERHEBUNG, VERARBEITUNG ODER NUTZUNG VON PERSONENBEZOGENEN DATEN Grundsätzlich ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten gemäß 4 BDSG verboten, es sei denn, > das BDSG erlaubt bzw. verlangt die Verarbeitung oder > eine andere vorrangige Rechtsvorschrift erlaubt bzw. verlangt die Verarbeitung oder > es liegt eine schriftliche Einwilligung des Betroffenen vor. Die Zulässigkeitskriterien für die Erhebung, Verarbeitung oder Nutzung ergeben sich aus 4 BDSG in Verbindung mit 11 BDSG und > 13 und 14 BDSG für die öffentlichen Stellen > 28 bis 30 BDSG für nicht öffentliche Stellen. Die Beweislast für die Zulässigkeit trägt die verantwortliche Stelle. Der Grundsatz der Datenvermeidung und Datensparsamkeit gem. 3a BDSG mit dem Ziel, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen, ist zu beachten. > Die RECHTSGRUNDLAGEN für die Erhebung, Verarbeitung und Nutzung sind im BDSG differenziert gestaltet und müssen geprüft bzw. geschaffen werden (z. B. Einwilligung, Vertrag, Betriebsvereinbarung). > Die organisatorischen und technischen Maßnahmen zur Nutzung von SAP ERP sind so zu gestalten, dass NUR DIE ERFORDERLICHEN personenbezogenen Daten gespeichert werden. Dabei ist zu 2 Im Folgenden umfasst der Begriff SAP ERP im Sinne dieses Leitfadens auch die ABAP-Komponenten von SAP NetWeaver Seite 12

13 beachten, dass im Auslieferungszustand der Software technische Maßnahmen nur im geringen Umfang ausgeprägt sind. > Abhängig vom Zweck der Verarbeitung ist mit den Möglichkeiten des Berechtigungskonzeptes und anderer Sicherungsmaßnahmen sicherzustellen, dass die Daten nur IM RAHMEN DER ZULÄSSIGEN ZWECKE verarbeitet werden können. Für unterschiedliche Zwecke erhobene Daten müssen durch technisch-organisatorische Maßnahmen getrennt verarbeitet werden können. > Es dürfen nur die Daten vorgehalten werden, die zur Erfüllung der Aufgabenstellung erforderlich sind (VERBOT DER VORRATSDATENSPEICHERUNG). > Abhängig vom Zweck der Datenspeicherung (z. B. Abwicklung eines Vertrages) sind die benötigten DATENFELDER festzulegen und im Customizing einzustellen. > Zusätzlich ist die DAUER DER DATENSPEICHERUNG auf die erforderliche Zeit zu begrenzen, entsprechend festzulegen und für die Löschung der Daten zu sorgen (z. B. von Bewerberdaten oder Festlegung der Speicherungsdauer nach dem Vertragsende und anschließende Löschung) ÜBERMITTLUNG VON PERSONENBEZOGENEN DATEN Grundsätzlich ist die Übermittlung von personenbezogenen Daten verboten. Die Zulässigkeitskriterien für Übermittlungen ergeben sich aus 4b BDSG in Verbindung mit den 15, 16, 28, 29, 30 BDSG. Es ist sicherzustellen, dass die Zweckbindung der übermittelten Daten auch vom Empfänger eingehalten wird. Hierzu ist der Empfänger auf die Zweckbindung hinzuweisen. Daraus ergibt sich die Notwendigkeit, alle REGELMÄSSIGEN oder ANLASSBEZOGENEN Übermittlungen auf ihre Rechtmäßigkeit zu prüfen! ABRUFVERFAHREN Ein Abrufverfahren darf nur eingerichtet werden, wenn die Voraussetzungen des 10 BDSG erfüllt sind. > Sollen personenbezogene Daten von Dritten abgerufen werden können, sind zusätzliche Maßnahmen zur Sicherstellung der Rechtmäßigkeit des Abrufes und der Datensicherheit bei den beteiligten Stellen erforderlich. > Insbesondere muss die verantwortliche Stelle gewährleisten, dass mittels geeigneter Stichproben die Rechtmäßigkeit der Übermittlung personenbezogener Daten festgestellt werden kann BESONDERE ZWECKBINDUNG Werden zu Zwecken des Datenschutzes, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes personenbezogene Daten gespeichert (z. B. Logfile oder Accounting-Informationen), sieht das BDSG in 31 eine besondere Zweckbindung für diese Kontrollinformationen vor. > Es ist zu klären, welche Aufzeichnungen im SAP ERP hierzu gehören und welche Funktionen / Stellen diese Informationen benötigen und die Kontrollfunktionen ausüben AUFTRAGSVERARBEITUNG Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz gemäß 11 BDSG verantwortlich. 3 Der Regierungsentwurf vom September 2007 sieht in 29 eine Verschärfung der Regelung zur Stichprobenkontrolle vor Seite 13 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

14 1 Einführungsprozess > Der Auftragnehmer ist sorgfältig auszuwählen. > Dem Auftragnehmer sind vertragliche Auflagen zur Verwendung der Daten und zur Datensicherheit zu machen. > Der Auftraggeber muss sich von der Einhaltung der getroffenen Maßnahmen beim Auftragnehmer überzeugen. Die vorgenannten Ausführungen gelten auch für die Prüfung und Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen (Wartung und Prüfung ist Auftragsverarbeitung!), wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann UNTERRICHTUNG DES BETROFFENEN Der Betroffene ist über den Umgang mit seinen personenbezogenen Daten zu unterrichten. Hierauf kann nur dann verzichtet werden, wenn ihm die gesetzlich genannten Umstände bereits bekannt sind. Grundsätzlich soll die Information bei der Datenerhebung beim Betroffenen erfolgen, z. B. im Rahmen des Vertragsabschlusses. Erfolgt die Datenerhebung nicht beim Betroffenen, sondern bei einem Dritten, z. B. durch Ankauf von Adressen oder Übermittlung durch ein Konzernunternehmen, ist er unter den Voraussetzungen des 33 BDSG zu benachrichtigen, wenn > erstmalig personenbezogene Daten über ihn gespeichert bzw. übermittelt werden oder > von ihm bei öffentlichen Stellen Daten ohne seine Kenntnis gemäß 19a BDSG erhoben werden oder > bei nicht öffentlichen Stellen gemäß 33 BDSG erstmalig Daten über ihn gespeichert bzw. übermittelt werden. Falls demnach eine Benachrichtigung erforderlich wird, muss das Verfahren entsprechend festgelegt werden RECHTE DES BETROFFENEN Es dürfen nur zulässige und richtige personenbezogene Daten gespeichert werden. Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf der Basis einer automatisierten Verarbeitung getroffen werden 4. Die Datenspeicherung soll für den Betroffenen transparent sein. Deshalb hat der Betroffene ein Recht auf AUSKUNFT sowie auf BERICHTIGUNG, LÖSCHUNG, SPERRUNG und WIDERSPRUCH. Die Anforderungen des 6 BDSG in Verbindung mit 19, 20, 34, 35 BDSG sind zu beachten. > Die verantwortliche Stelle muss in der Lage sein, zur Auskunftserteilung alle personenbezogenen Daten des Betroffenen zuverlässig zu ermitteln! Diese Anforderung korrespondiert mit der Anforderung zur Führung einer Übersicht gemäß 4g Abs. 2 BDSG (Verfahrensverzeichnis). > Eine automatisierte Einzelfallentscheidung ist gem. 6a BDSG nur in bestimmten Ausnahmefällen zulässig. Werden diese Ausnahmefälle in Anspruch genommen, sind sie entsprechend zu dokumentieren 5. Die Voraussetzungen, unter denen Sperrungen erforderlich werden, sind zu definieren. Die Verwendung gesperrter Daten ist zu regeln AUSKUNFT AN JEDERMANN Gemäß 4g Abs. 2 Satz 2 BDSG hat der Datenschutzbeauftragte jedermann auf Antrag Einsicht in das Seite 14 4 Der Regierungsentwurf vom September 2007 sieht in 6a eine Ausweitung der Regelung vor 5 Der Regierungsentwurf vom September 2007 sieht zusätzliche Anforderungen in 28 für alle Scoring-Verfahren vor

15 Verfahrensverzeichnis zu gewähren. Ist kein Datenschutzbeauftragter bestellt, dann hat die Geschäftsleitung dies sicherzustellen MELDEPFLICHT Unter den Voraussetzungen des 4d BDSG sind automatisierte Verarbeitungen vor ihrer Inbetriebnahme der zuständigen Aufsichtsbehörde zu melden. > Die Meldepflicht entfällt gemäß 4d Abs. 2 BDSG, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat. Stattdessen sind diese Informationen dem Datenschutzbeauftragten zur Führung des Verfahrensverzeichnisses zur Verfügung zu stellen. > Sie entfällt auch gemäß 4d Abs. 3 BDSG, wenn personenbezogene Daten für eigene Zwecke erhoben, verarbeitet oder genutzt werden, hierbei höchstens NEUN Personen mit der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten beschäftigt UND entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient VERPFLICHTUNG DER MITARBEITER AUF DAS DATENGEHEIMNIS Das BDSG fordert, dass alle Personen, die mit personenbezogenen Daten umgehen, auf das Datengeheimnis gemäß 5 BDSG zu verpflichten sind. > Die Verpflichtung auf das Datengeheimnis ist pro Mitarbeiter zu dokumentieren. > Es ist sicherzustellen, dass beauftragte Firmen, die bei der Einführung von SAP ERP hinzugezogen werden, ihre Mitarbeiter auf das Datengeheimnis verpflichtet haben SCHULUNG Der Datenschutzbeauftragte hat die Mitarbeiter gemäß 4g Abs. 1 Nr. 2 BDSG mit dem BDSG sowie anderen Vorschriften über den Datenschutz und über innerbetriebliche Regelungen, die sich aus dem Gesetz ergeben, vertraut zu machen. > Der Datenschutzbeauftragte hat die Projektmitglieder und Anwender, die an der Einführung von SAP ERP beteiligt sind, mit den Anforderungen des BDSG vertraut zu machen. > Die durchgeführten Schulungen sind zu dokumentieren MASSNAHMEN ZUR DATENSICHERHEIT Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn angemessene technische und organisatorische Maßnahmen zur Datensicherheit getroffen wurden. Die Anforderungen der einzelnen Zielsetzungen ergeben sich aus 9 BDSG und Anlage. > Es sind angemessene Maßnahmen zur Datensicherheit zu treffen und mit dem Datenschutzbeauftragten abzustimmen. > Gegebenenfalls kann zur Verbesserung des Datenschutzes und der Datensicherheit das INSTALLIERTE System einem IT-Sicherheitsaudit unterworfen werden ÜBERSICHTEN GEM. 4E, 4G UND 18 ABS. 2 (BDSG-ÜBERSICHTEN) Die ÖFFENTLICHEN STELLEN entsprechend zweitem Abschnitt BDSG führen gemäß 18 BDSG Abs. 2 ein Verzeichnis der eingesetzten DATENVERARBEITUNGSANLAGEN und haben die Angaben gemäß 4e 6 Der Regierungsentwurf vom September 2007 sieht ein Audit-Gesetz vor, das durch VO konkretisiert werden muss. Hierin ist z. Zt. explizit der Bezug zur IT-Sicherheit ausgeschlossen Seite 15 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

16 1 Einführungsprozess BDSG sowie die Rechtsgrundlagen der Verarbeitung schriftlich festzulegen. Die verantwortlichen NICHT ÖFFENTLICHEN STELLEN entsprechend drittem Abschnitt BDSG haben dem Datenschutzbeauftragten gemäß 4g Abs. 2 BDSG eine Übersicht über die in 4e BDSG genannten Angaben sowie die zugriffsberechtigten Personen zur Verfügung zu stellen. > Die Wege und Möglichkeiten, mit denen die erforderlichen Übersichten erstellt werden können, sind festzulegen VORABKONTROLLE Unabhängig von der Verpflichtung der verantwortlichen Stelle, den Datenschutzbeauftragten bei der Verfahrenseinführung / -änderung zu beteiligen, sind Verfahren automatisierter Verarbeitung mit besonderen Risiken für die Rechte und Freiheiten der Betroffenen, insbesondere die Verarbeitung besonderer Daten und / oder Daten zur Leistungs- und Verhaltenskontrolle, gemäß 4d Abs. 5 BDSG unter den dort genannten Voraussetzungen vor Beginn der Verarbeitung einer datenschutzrechtlichen Prüfung zu unterwerfen. Zuständig für die Vorabkontrolle ist der Datenschutzbeauftragte. Eine schriftliche Dokumentation zur Vorabkontrolle ist zu empfehlen SAP SOLUTION MANAGER ALS UNTERSTÜTZENDES TOOL IM EINFÜHRUNGSPROZESS Der SAP Solution Manager ist die Service- und Supportplattform der SAP, die bei der Einführung und Implementierung von SAP-Projekten eine durchgängige Unterstützung bietet. Sofern der Solution Manager genutzt wird, sollte der Datenschutzverantwortliche auf die darin befindlichen Dokumente zur Beurteilung des Systems zurückgreifen 7. Alle Systeme Alle Geschäftsprozesse Alle Schulungsinformationen Die gesamte Dokumentation Sämtliche Testinformationen Alle Informationen zu Serviceplanung, Auslieferung und Follow-up Sämtliche Änderungsinformationen Alle Service-Level- Informationen SAP SOLUTION MANAGER Sämtliche Testinformationen Alle Kundenentwicklungen und funktionalen Erweiterungen Sämtliche Informationen zu Vorfällen und Problemen Sämtliche Überwachungsdaten 7 M. Schäfer, M. Melich: SAP Solution Manager. Galileo Press, Bonn 2006 Seite 16

17 1.2 MITWIRKEN DES DATENSCHUTZBEAUFTRAGTEN BEI DER EINFÜHRUNG VON SAP ERP Das BDSG verlangt in 4g Abs. 1 Nr. 1 BDSG die rechtzeitige Einschaltung des Datenschutzbeauftragten bei Vorhaben der automatisierten Verarbeitung personenbezogener Daten. Hierzu gehören auch die Einführung und der Releasewechsel von SAP ERP. > Wird SAP ERP in einem Unternehmen eingeführt, ist der Datenschutzbeauftragte frühzeitig zu beteiligen. > Der Datenschutzbeauftragte hat dabei zu überprüfen, ob das Customizing und die Implementierung des SAP ERP den Anforderungen des BDSG genügt. > Insbesondere dem Grundsatz der Datenvermeidung und Datensparsamkeit gemäß 3a BDSG kommt im Rahmen einer SAP ERP-Einführung große Bedeutung zu. Hier kann der Datenschutzbeauftragte ggf. direkten Einfluss auf die Gestaltung des Systems nehmen. > Bei einem Releasewechsel hat sich der Datenschutzbeauftragte auch von der datenschutzkonformen Durchführung des Wechsels zu überzeugen DATENSCHUTZBEAUFTRAGTER MITGLIED DES SAP-PROJEKTTEAMS Die sachgerechte Beratung der Projektleitung und -mitarbeiter und die Überprüfung der ordnungsgemäßen Anwendung (Customizing) durch den Datenschutzbeauftragten, die im 4g Abs. 1 Nr. 1 BDSG vorgesehen ist, können effektiv erreicht werden, wenn er Projektmitglied ist. Wird SAP ERP in einem Unternehmen eingeführt, ist der Datenschutzbeauftragte daher vom Projektbeginn an zu beteiligen INFORMATION DES DATENSCHUTZBEAUFTRAGTEN ZU DEN MEILENSTEINEN Es liegt in der Verantwortung des Datenschutzbeauftragten zu entscheiden, wann und wie er die ordnungsgemäße Anwendung von SAP ERP überprüft und welche Unterlagen er hierfür benötigt. Die Abstimmung, welche Unterlagen er benötigt und wann die Fragestellungen aus dem BDSG zu beantworten sind, lässt sich nur angemessen unter Berücksichtigung der Zielsetzungen und Projektentwicklung festlegen. Der Datenschutzbeauftragte sollte zu den Meilensteinen die erforderlichen Absprachen mit dem Projektteam zu den einzelnen Modulen treffen bzw. überprüfen, ob die getroffenen Festlegungen den Anforderungen des BDSG genügen. Die datenschutzrelevanten Projektschritte sind im ASAP-Vorgehensmodell definiert. Ein Beispiel: ASAP-Vorgehensmodell 2.6 Geschäftsprozessdefinition Anforderungen zu Geschäftsprozessen bestimmen Anforderungen zum Berichtswesen bestimmen und mit Datenschutzbeauftragtem abstimmen INFORMATIONSMÖGLICHKEITEN FÜR DEN DATENSCHUTZBEAUFTRAGTEN Der Datenschutzbeauftragte sollte sich einen angemessenen Kenntnisstand über folgende Elemente des SAP ERP-Systems aneignen: > Das Berechtigungskonzept und den Profilgenerator > Die Tabellenverwaltung > Die SAP-Programmiersprache ABAP und ABAP Query > ABAP Advanced Business Application Programming > Das SAP ABAP Dictionary Seite 17 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

18 1 Einführungsprozess Im ABAP Dictionary sind alle Datenfelder des SAP-Referenzmodells dokumentiert. Eine Übersicht über die Verwendung eines einzelnen Feldes in der SAP-Datenwelt erhalten Sie über die Funktion Verwendungsnachweis. > Verfahrensweise bei Extraktion und Auswertung von Daten aus SAP ERP mit Standardtools wie z. B. Microsoft Excel > Hilfsmittel zur Gestaltung von Bildschirmmasken (Screen & Menue Painter) Zur sachgerechten Beratung und Prüfung der ordnungsgemäßen Anwendung von SAP ERP benötigt der Datenschutzbeauftragte darüber hinaus Unterlagen und Informationen. Folgende Unterlagen sollten dem Datenschutzbeauftragten generell zur Verfügung stehen: > Komplette SAP ERP-Dokumentation (Doku-CD, Begleitbriefe, Release-Informationen mit Transaktion SO99, > Der SAP-Einführungsleitfaden und das ASAP-Vorgehensmodell > Der SAP-Prüfleitfaden Revision (z. Zt. Release 3.0D vom ): > Die SAP Sicherheitsleitfäden werden von SAP zur Verfügung gestellt. Bitte beachten Sie den SAP- Hinweis Verfügbarkeit des SAP Sicherheitsleitfadens > Die SAP-Hilfe (Dokumentations-CD) ( > Zugriff auf den SAP Service Marketplace für die Hinweise und zusätzliche Informationen ( Der Datenschutzbeauftragte sollte sich alle Dokumente unter den Stichworten Datenschutz, Datensicherheit und Sicherheit ansehen. > IDES Schulungssystem (IDES Internet Demo and Evaluation System) > Audit Information System. Das Audit Information System (AIS) ist als Arbeitsmittel für den Auditor und den Datenschutzbeauftragten gedacht und wird im Kapitel 6.1 Audit Information System beschrieben. Es hat z. Zt. im System-Auditteil und Datenschutzteil einen Stand, der R/3 4.6c entspricht. Bitte beachten Sie den SAP-Hinweis 77503, Audit Information System (AIS). > SAP-Hinweis Sicherheit in SAP-Produkten > SAP-Hinweis Datenschutz und Sicherheit in SAP-Systemen 1.3 SAP-FAKTEN CUSTOMIZING UND ASAP-VORGEHENSMODELL Das Customizing wurde in eine Transaktion für die Projektverwaltung (SPRO_ADMIN) und in eine Transaktion für die Projektbearbeitung (SPRO) aufgeteilt. Das Customizing dient der unternehmensspezifischen Einstellung des SAP-Systems. Aufgrund der komplexen Tabellenstrukturen von SAP ERP stellt SAP systemseitig ein Vorgehensmodell und Einführungsleitfäden (Grundstrukturen zur Einführung) zur Verfügung. Diese sind auch Bestandteil der SAP-Online-Dokumentation. > Das ASAP-Vorgehensmodell bildet zum einen den methodischen Rahmen für den Einführungsund Releasewechselprozess, zum anderen ist es ein operatives Werkzeug zur Unterstützung in jeder Phase der Einführung. > Die Projektleitfäden für das SAP ERP Customizing als unternehmensspezifische Untermenge des Seite 18

19 Vorgehensmodells listen alle Aktivitäten für die Einführung des SAP-Systems auf und unterstützen die Steuerung und Dokumentation der Einführung. Die ordnungsmäßige SAP-Einführung hängt wesentlich von der sachgerechten Nutzung der SAP-Einführungsleitfäden (Implementation Guide IMG) ab. Das ASAP-Vorgehensmodell beinhaltet für den Datenschutzbeauftragten wesentliche Punkte, bei denen er projektspezifisch festlegen sollte, wie er in die Projektentwicklung einzubeziehen ist. Beispiele für die Einbeziehung des Datenschutzbeauftragten sind: > Datenschutzrelevante Geschäftsprozesse ermitteln und festlegen > Stammdaten festlegen > Berichtswesen festlegen > Informationsfluss personenbezogener Daten bei Anwendungsschnittstellen, insbesondere zu anderen Programmen, untersuchen > Informationsfluss der vorgesehenen Berichte und Auswertungen auf Datenschutzgesichtspunkte hin untersuchen > Datenschutzspezifische Freigabe zu Projektphasen (Meilensteinen) festlegen > Berechtigungskonzept unter Datenschutz- und Datensicherheitsgesichtspunkten beurteilen > Archivierungskonzept, insbesondere im Hinblick auf die Löschungsfristen, beurteilen (siehe Kapitel Regelfristen für Löschung) > Testkonzept beurteilen > Datenschutzspezifische Schulungsinhalte und -zeitpunkte festlegen > Dokumentationsinhalte hinsichtlich datenschutzrelevanter Fragen festlegen > Migration und Altdatenübernahme definieren > Programmanpassungen ermitteln und genehmigen Das SAP-Standard-Vorgehensmodell und allgemeine Hinweise hierzu finden Sie auf der Dokumentations-CD oder dem SAP Marketplace; Empfehlungen zu Beteiligungsthemen des Datenschutzbeauftragten entlang des ASAP-Vorgehensmodells stehen in Anlage 3. Die einzelnen Themen sollten bei der Planung einer Beteiligung des Datenschutzbeauftragten durchgegangen und für die Festlegung des eigenen Vorgehens verwendet werden. Der SAP ERP Customizing Einführungsleitfaden (Implementation Guide IMG) ist im System über den Menüpfad zu finden: Werkzeuge Customizing IMG Projektbearbeitung (SPRO); Schaltfläche SAP-Referenz-IMG Die Zuordnung der Customizing-Aktivitäten der modulbezogenen Einführungsleitfäden zum Vorgehensmodell ermitteln Sie durch die Zuschaltung der Anzeige. Gehen Sie folgendermaßen vor: 1 Rufen Sie die angelegten Projektleitfäden auf: Menüpfad: Werkzeuge Customizing IMG Projektbearbeitung durch Doppelklick auf das jeweilige Projekt und anschließendes Klicken auf die Schaltfläche,Projekt-IMG erhalten Sie den zugehörigen Projektleitfaden angezeigt. 2 Öffnen Sie die jeweiligen Customizing-Aktivitäten bis auf die Ebene der ausführbaren Funktionen. Seite 19 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

20 1 Einführungsprozess Suchen Sie sich die einschlägigen Aktivitäten aus den Leitfäden heraus, die Sie unter Datenschutzgesichtspunkten bearbeiten müssen, und identifizieren Sie die modulspezifischen Einstellungen. 3 Nehmen Sie Kontakt mit den modulbezogenen Projektgruppen auf und sprechen Sie Ihre Aktivitäten mit ihnen ab BERECHTIGUNGSKONZEPT Ein Zugriffsschutzsystem und die Möglichkeit zur Vergabe individueller Berechtigungen dient unter Datenschutzaspekten im Wesentlichen folgenden Zielen: > dem Schutz vertraulicher Daten vor unberechtigter Erhebung, Speicherung, Kenntnisnahme, Übermittlung und Nutzung, dem Schutz der Daten vor unberechtigter, auch versehentlicher Änderung oder Löschung > der Gewährleistung des zweckgebundenen Gebrauchs der Daten > der Nachvollziehbarkeit und Zweckgebundenheit des Zugriffs auf personenbezogene Daten SAP liefert einen Set von Standardrollen aus, die der Kunde als Vorlage benutzen und hinsichtlich der Zuständigkeiten und organisatorischen Ausprägungen an seine individuellen Bedürfnisse anpassen kann. Der Umfang dieser Rollen ist aus Funktionssicht definiert, die Rollen sind zwingend auf die Sicherheitsbedürfnisse (Funktionstrennung, kritische Berechtigungen) der Organisation anzupassen. Mit jeder Vorlage erhält man ein individuelles Benutzermenü. Die Rollenvorlagen sind integrativer Bestandteil der anwendungsübergreifenden Workplace und Enterprise Portal / Portal-Rollen. Dem Administrator steht eine erweiterte Funktionsauswahl in der Einstiegstransaktion SAP Easy Access zur Verfügung. Mit dieser erweiterten Funktionsauswahl ist es ihm möglich, einfach eine der vielen Benutzerrollen einem Benutzer zuzuweisen. Dieser Benutzer erhält bei der Anmeldung am System automatisch das für seine tägliche Arbeit typische Benutzermenü sowie die Berechtigungen, die er für diese Arbeit benötigt. Die hohe Flexibilität des SAP-Berechtigungs- und Benutzerverwaltungskonzepts kann daher bei unsachgemäßer Anwendung bereits im Rahmen der Einführungsphase zu erheblichen Verletzungen des Datenschutzes führen. Statt des weit gefassten Standards bei ausgelieferten Rollen und Profilen etc. muss daher unbedingt unternehmensspezifisch nach dem Prinzip der minimalen Berechtigung eingegrenzt und angepasst werden. Da die Ordnungsmäßigkeit des SAP ERP-Systems unmittelbar durch das Verfahren zur Vergabe von Berechtigungen beeinflusst wird, ist auch das Vergabeverfahren selbst als wesentlicher Bestandteil des Zugriffsschutzes anzusehen. Es muss daher organisatorisch definiert, revisionsfähig gestaltet sowie ausreichend getestet und spätestens zum Produktionsbeginn verfügbar sein. Schließlich muss darauf geachtet werden, dass Rollen und ggf. auch Aktivitätsgruppen, Berechtigungen und Profile im Testsystem neu angelegt, geändert oder gelöscht werden und anschließend mittels CTS / CTO (Change Transport System / Change Transport Organizer) über das Qualitätssicherungssystem in die Produktionsumgebung übernommen werden. Seite 20