SAP AG é Neurottstr. 16 é D Walldorf Änderungen und Ergänzungen vorbehalten 5 H O H D V H 6 W D Q G 6 H S W H P E H U

Transkript

1 $UEHLWVNUHLV5HYLVLRQ $UEHLWVJUXSSH'DWHQVFKXW] /HLWIDGHQ'DWHQVFKXW] I U6$35 5 H O H D V H 6 W D Q G 6 H S W H P E H U % H V W H O O 1 U ) D [ 1 U K W W S Z Z Z V D S F R P J H U P D Q \ D E R X W V D S U H Y L V K W W S Z Z Z V D S G H U H Y L V SAP AG é Neurottstr. 16 é D Walldorf Änderungen und Ergänzungen vorbehalten

2 für SAP-R/ AG Datenschutz 2 Leitfaden Datenschutz für SAP-R/3 (LQOHLWXQJ (LQI KUXQJVSUR]HVV 1.1 $QIRUGHUXQJHQGHV%'6*DQ6$ Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten Übermittlung von personenbezogenen Daten Abrufverfahren Besondere Zweckbindung Auftragsverarbeitung Benachrichtigung des Betroffenen Rechte des Betroffenen Auskunft an jedermann Meldepflicht Verpflichtung der Mitarbeiter auf das Datengeheimnis Schulung Maßnahmen zur Datensicherheit Übersichten gem. 4e, 4g und 18 Abs. 2 (BDSG-Übersichten) Vorabkontrolle LWZLUNHQGHV'DWHQVFKXW]EHDXIWUDJWHQEHLGHU(LQI KUXQJYRQ6$ Datenschutzbeauftragter - Mitglied des SAP-Projektteams Information des Datenschutzbeauftragten zu den Meilensteinen Informationsmöglichkeiten für den Datenschutzbeauftragten $3)DNWHQ Customizing und ASAP-Vorgehensmodell Berechtigungskonzept Change Transport System/Change Transport Organizer (CTS/CTO) Schnittstellenverarbeitung Job-Auftrags-Verfahren - und Dokumentation LVLNHQ Nichteinschaltung des Datenschutzbeauftragten bzw. der Arbeitnehmervertreter Nichtbeachtung der SAP-Empfehlungen Nichtberücksichtigung bzw. verspätete Erstellung des Berechtigungskonzeptes Nicht ordnungsgemäße Anwendung eines Datenverarbeitungsprogramms U IXQJVKDQGOXQJHQLP5DKPHQGHU(LQI KUXQJ&KHFNOLVWH $XIJDEHQGHV'DWHQVFKXW]EHDXIWUDJWHQ 2.1 hehuzdfkxqjghurugqxqjvjhpl HQ3URJUDPPDQZHQGXQJ J$EV%'6* Einbeziehung des DSB vor und während der Programmentwicklung- und - anpassung Prüfung der Datenerhebung und Datennutzung auf Rechtmäßigkeit Auswertung der Protokollierung Prüfung der Verfahrensdokumentation Mitwirkung bei der Festlegung und Überprüfung des Berechtigungskonzeptes Mitwirkung bei der Festlegung des Betriebskonzeptes und der Betreiberorganisation Abfassung einer Datenschutzerklärung Überwachung des Korrektur- und Transportwesens unter SAP R/ Kontrollen im laufenden Betrieb FKXOXQJGHU$QZHQGHUPLW9HUSIOLFKWXQJDXIGDV'DWHQJHKHLPQLV JXQG

3 für SAP-R/ AG Datenschutz 3 %'6* Personenkreis, der geschult und verpflichtet werden muss Inhalt der Anwenderschulungen Abbildung der Anwenderschulung im SAP ) KUHQYRQhEHUVLFKWHQ J$EV $EV%'6* Informationen zur verantwortlichen Stelle Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien Empfänger oder Kategorien von Empfängern Regelfristen für Löschung Geplante Übermittlung in Drittstaaten Maßnahmen zur Gewährleistung der Sicherheit Zugriffsberechtigte Personen Beispiel Melderegister \VWHPXQWHUVW W]XQJ Auswertungen zur Tabellen- und Feldanalyse Techniken zum Auffinden personenbezogener Daten Prüfung der Zugriffsberechtigungen HFKWHGHU%HWURIIHQHQXQGYRQMHGHUPDQQ 3.1 %HQDFKULFKWLJXQJXQG$XVNXQIW SAP-Fakten Anforderungen an die Organisation des Datenschutzes %HULFKWLJXQJ/ VFKXQJXQG6SHUUXQJ Rechtliche Anforderungen SAP-Fakten Anforderungen an die Organisation des Datenschutzes PVHW]XQJGHU$QIRUGHUXQJHQDXV %'6*XQG$QODJH7HFKQLVFK RUJDQLVDWRULVFKH0D QDKPHQ 4.1 $QIRUGHUXQJHQ Gesetzliche Anforderungen aus 9 BDSG SAP-Funktionalität zur Abdeckung der gesetzlichen Anforderungen $3)DNWHQ5LVLNHQXQG0D QDKPHQ Identifizierung und Authentifizierung Standardbenutzer Benutzerberechtigungskonzept: ausgewählte Berechtigungsobjekte Benutzerberechtigungskonzept: ausgewählte Profile Besonderheiten bei der Berechtigungsprüfung Benutzeradministration Änderungen am Produktivsystem Systemschnittstellen Auditing und Logging Komplexe Suchhilfe Zusammenfassung zentraler Risiken =XVDPPHQIDVVXQJGHU3U IXQJVKDQGOXQJHQ Anforderungen an die Prüfbarkeit URJUDPPWHVWXQG7HVWYRQ&XVWRPL]LQJ(LQVWHOOXQJHQ 3URJUDPPGRNXPHQWDWLRQ )UHLJDEHYHUIDKUHQ $QZHQGXQJVHQWZLFNOXQJ %HQXW]HUVHUYLFH6\VWHPDGPLQLVWUDWLRQ

4 für SAP-R/ AG Datenschutz 4 5HFKHQ]HQWUXPVEHWULHE Prüfung spezieller Regelungen aus vorrangigen Rechtsvorschriften (z.b. aus geltenden Betriebsvereinbarungen zu organisatorisch-technischen Maßnahmen) $QKDQJ]X%HQXW]HUEHUHFKWLJXQJHQ Prüfung der Datenschutzmaßnahmen gemäß 9 BDSG und der Anlage $XWKHQWLIL]LHUXQJ =XJULIIVVFKXW] %HGLHQHUREHUIOlFKH 3URWRNROOLHUXQJ =XJULIIVVFKXW] 'DWHQ EHUPLWWOXQJ 2XWSXWPDQDJHPHQW 3URWRNROOHLQVWHOOXQJHQ 3URWRNROODXVZHUWXQJHQ =XJULIIVVFKXW] =XJULIIVVFKXW] =XJULIIVVFKXW] 6RQVWLJH0D QDKPHQ $OOJHPHLQH5LFKWOLQLHQ =XJULIIVYHUZDOWXQJXQG3URWRNROODXVZHUWXQJHQ $XIWUDJVGDWHQYHUDUEHLWXQJ 5.1 $EJUHQ]XQJHQEHLP7KHPD2XWVRXUFLQJXQG'DWHQVFKXW] 5.2 9HUWUDJVJHVWDOWXQJ]ZLVFKHQ$XIWUDJJHEHUXQG$XIWUDJQHKPHU Pflichten des Auftraggebers und Auftragnehmers Umfang der Datenverarbeitung / Weisungen Technische und organisatorische Maßnahmen Wahrung der Rechte der Betroffenen Datengeheimnis Kontrollen durch den Auftraggeber Datenschutzbeauftragter des Auftragnehmers Unterauftragnehmer Verarbeitung im Ausland Wartung und Pflege $3)DNWHQ Ausgangssituation SAP-Administration SAP-spezifische Maßnahmen LVLNHQ %HVRQGHUH7KHPHQ 6.1 $OOJHPHLQH7HFKQLNHQ Audit-Informationssystem (AIS) Favoritenliste Reportingbaum Reportvarianten $QZHQGHUVFKXOXQJ EHUGDV9HUDQVWDOWXQJVPDQDJHPHQW

5 für SAP-R/ AG Datenschutz 5 *ORVVDU 7.1 :LFKWLJH%HJULIIHGHV%'6* 7.2 6$3%HJULIIH 7.3 *UXQGEHJULIIHGHV'LFWLRQDU\ /LWHUDWXU $QODJHQ 9.1 $QODJH Verpflichtung auf das Datengeheimnis $QODJH Merkblatt Datenschutz $QODJH Empfehlungen zum ASAP-Vorgehensmodell ,QGH[

6 für SAP-R/ AG Datenschutz 6 =XVDPPHQIDVVXQJGHUbQGHUXQJHQXQG1DFKWUlJH (UVWH$XIODJH 5HOHDVH =ZHLWH$XIODJH 5HOHDVH

7 für SAP-R/ AG Datenschutz 7 Einleitung Der vorliegende Leitfaden Datenschutz zum 5HOHDVHVWDQG im SAP- Systemumfeld 5 soll Datenschutzbeauftragten der SAP-Anwender Anhaltspunkte für die Vorgehensweise bei der Umsetzung der Anforderungen der Datenschutzvorschriften bei Einsatz der SAP-Software geben. Der Leitfaden ist als "Empfehlung" gedacht, nicht aber als "Verbindliche Richtlinie" oder "Norm". Jegliche Verantwortung für Art, Umfang und Ergebnis der Umsetzung der Datenschutzvorschriften verbleibt somit beim Datenschutzbeauftragten und der Firma. Für das Studium dieses Leitfadens werden Grundkenntnisse der SAP-Systeme sowie Kenntnisse der GoB "Grundsätze ordnungsmäßiger Buchführung" und des BDSG Bundesdatenschutzgesetz vorausgesetzt. Der Leitfaden Datenschutz behandelt Fragestellungen, die bereits im R/3-Sicherheitsleitfaden oder in anderen Prüfleitfäden des AK-Revision enthalten sind, insbesondere aus datenschutzrechtlicher Sicht. In dieser Version wird nicht auf modulspezifische Besonderheiten, z.b. HR oder mysap Healthcare, eingegangen. SAP R/3 ist als international eingesetzte Standardsoftware konzipiert. Der Leitfaden berücksichtigt zur Zeit die EU Richtlinie 95/46/EG und insbesondere die deutsche Datenschutzgesetzgebung. Die Autoren sind Mitglieder der Arbeitsgruppe DATENSCHUTZ im Arbeitskreis Revision und stellen hiermit ihre Erfahrungen zur Verfügung. Copyright 2001 der Autoren: Herr R. Anhorn Herr T. Barthel Frau C. Bonni Herr I. Carlberg Herr S. Dierschke Herr W. Geesmann Herr R. Glagow Herr F. Glaß Herr T. Glauch Herr J. Heck Herr G. Hohnhorst Herr W. Hornberger Herr A. Kirk Herr K. Lorenz Herr P. Schiefer Herr E. Schmidt Herr A. von der Stein Herr G. Voogd Frau G. Zibulski Robert Bosch GmbH, Stuttgart FORBIT e.v./caro GmbH, Hamburg Lausitzer Braunkohle AG, Senftenberg BIT e.v., Bochum BASF AG-Zok, Ludwigshafen KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf PWC Deutsche Revision AG, Düsseldorf PWC Deutsche Revision AG, Düsseldorf KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf Brau und Brunnen AG, Dortmund KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf SAP AG, Walldorf Ruhrgas AG, Essen Deutsche Bausparkasse Badenia AG, Karlsruhe Bayer AG, Leverkusen Philip Morris GmbH, München RWE Systems AG, Dortmund FORBIT e.v./caro GmbH, Hamburg SAP AG, Walldorf

8 für SAP-R/ AG Datenschutz 8 An der 1. Auflage wirkten außerdem mit: Herr V. Ahrend Herr W. Kilian Herr A. Lenz Herr Dr. Pötschat Herr U. Ueberschar Bosch Telecom GmbH, Frankfurt RWE Energie Aktiengesellschaft, Essen Rheinbraun AG, Köln BASF AG; Ludwigshafen Mannesmann Arcor AG & Co., Eschborn / Köln Die Verantwortung für den Inhalt tragen die Autoren. Die redaktionelle Bearbeitung liegt bei der SAP AG, Walldorf. +LQZHLV: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechts ist ohne Zustimmung der Urheber unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Autoren des Leitfaden Datenschutz sind für Kritik, Änderungs- und Ergänzungswünsche dankbar. Dies gilt sowohl für Vorschläge zur Vertiefung der einzelnen Kapitel als auch für die Nennung von Beispielen aus konkreten Prüfungserfahrungen. 8P GHP /HVHU GDV $QWZRUWHQ ]X HUOHLFKWHUQ LVW DXI GHU IROJHQGHQ 6HLWH HLQ)RUPXODUHLQJHI JW

9 für SAP-R/ AG Datenschutz 9 An den Sprecher der Arbeitsgruppe Datenschutz z. Hd. Herrn T. Barthel c/o. FORBIT/CArO )$; Eimsbüttelerstr. 18 D Hamburg barthel@forbit.de Absender: Name:... Funktion:... Abteilung:... Firma:... Anschrift: Telefon:... Fax:... Betr.: Ergänzende Information(en) zum Leitfaden Datenschutz für SAP- R/3 Ich möchte der Arbeitsgruppe zu folgendem Themenkreis Informationen geben (bitte ankreuzen): Ich beziehe mich auf Meine Information lautet: ( ) Kritische Tabellen/Customizing-Einstellungen ( ) Kritische Objekte ( ) Kritische SAP-Fakten ( ) Beispiele für konkrete Umsetzungsmaßnahmen und Prüfungshandlungen SAP-Leitfaden Datenschutz R/3, Kapitel:... SAP-R/3-System, Release: Zur weiteren Erläuterung sind Anlagen beigefügt (bitte ankreuzen): ( ) Ja ( ) Nein

10 für SAP-R/ AG Datenschutz Einführungsprozess Die Voraussetzung für die Anwendung des Bundesdatenschutzgesetzes (BDSG) ist beim Einsatz von SAP R/3 erfüllt, da in allen Modulen personenbezogene Daten automatisiert verarbeitet werden (vgl. 1 BDSG in Verbindung mit 12 oder 27 BDSG). Deshalb sind das Bundesdatenschutzgesetz und andere vorrangige Rechtsvorschriften, z.b. das jeweilige Landesdatenschutzgesetz zu beachten. Dieser Leitfaden gilt für den öffentlichen und den nicht-öffentlichen Bereich. Auf die Besonderheiten der Landesdatenschutzgesetze wird in diesem Leitfaden nicht eingegangen. Da SAP R/3 als international eingesetzte Standardsoftware unter betriebswirtschaftlichen Aspekten konzipiert ist, kann ein Anwender nicht ohne weiteres davon ausgehen, dass für alle angebotenen Datenfelder die Rechtsgrundlagen im Sinne der deutschen Datenschutzgesetze gegeben sind. Es ergibt sich damit die Notwendigkeit zu überprüfen, ob SAP R/3 in der beim Anwender vorgesehenen Ausprägung den Anforderungen des Bundesdatenschutzgesetzes und ggf. anderer Vorschriften über den Datenschutz genügt. Der Datenschutzbeauftragte sowie Betriebsrat/Personalrat sind daher in die Projektarbeit einzubeziehen, wobei die Projektverantwortung für die ordnungsgemäße Einführung von SAP R/3 der Projektleitung obliegt.

11 für SAP-R/ AG Datenschutz $QIRUGHUXQJHQGHV%'6*DQ6$35 Das BDSG spricht ein grundsätzliches Verbot der Verarbeitung und Nutzung personenbezogener Daten aus und erlaubt die Datenverarbeitung nur, wenn die im BDSG definierten Voraussetzungen erfüllt sind. Dieser Grundsatz führt dazu, dass mit der Einführung des SAP R/3 überprüft werden muss, ob die Anforderungen des BDSG und anderer vorrangiger Rechtsvorschriften angemessen berücksichtigt wurden Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten Grundsätzlich ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten gemäß 4 BDSG verboten, es sei denn, das BDSG erlaubt bzw. verlangt die Verarbeitung oder eine andere vorrangige Rechtsvorschrift erlaubt bzw. verlangt die Verarbeitung oder es liegt eine schriftliche Einwilligung des Betroffenen vor. Die Zulässigkeitskriterien für die Erhebung, Verarbeitung oder Nutzung ergeben sich aus 4 BDSG in Verbindung mit 11 BDSG und 13 und 14 BDSG für die öffentlichen Stellen 28 bis 30 BDSG für nicht-öffentliche Stellen. Die Beweislast für die Zulässigkeit trägt die verantwortliche Stelle. Der Grundsatz der Datenvermeidung und Datensparsamkeit gem. 3a BDSG mit dem Ziel, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen, ist zu beachten. Die 5HFKWVJUXQGODJHQ für die Erhebung, Verarbeitung und Nutzung sind im BDSG differenziert gestaltet und müssen geprüft bzw. geschaffen werden (z.b. Einwilligung, Vertrag, Betriebsvereinbarung). Die organisatorischen und technischen Maßnahmen zur Nutzung von SAP R/3 sind so zu gestalten, dass QXU GLH HUIRUGHUOLFKHQ personenbezogenen Daten gespeichert werden. Abhängig vom Zweck der Verarbeitung ist mit den Möglichkeiten des Berechtigungskonzeptes und anderer Sicherungsmaßnahmen sicherzustellen, dass die Daten nur LP 5DKPHQ GHU ]XOlVVLJHQ =ZHFNH verarbeitet werden können. Für unterschiedliche Zwecke erhobene Daten müssen durch technisch-organisatorische Maßnahmen getrennt verarbeitet werden können. Es dürfen nur die Daten vorgehalten werden, die zur Erfüllung der Aufgabenstellung erforderlich sind (9HUERWGHU9RUUDWVGDWHQVSHLFKHUXQJ). Abhängig vom Zweck der Datenspeicherung (z.b. Abwicklung eines Vertrages) sind die benötigten 'DWHQIHOGHU festzulegen und im Customizing einzustellen. Zusätzlich ist die 'DXHU GHU 'DWHQVSHLFKHUXQJ auf die erforderliche Zeit zu begrenzen, entsprechend festzulegen und für die Löschung der Daten zu sorgen (z.b. von Bewerberdaten oder Festlegung der Speicherungsdauer nach dem Vertragsende und anschließende Löschung).

12 für SAP-R/ AG Datenschutz Übermittlung von personenbezogenen Daten Grundsätzlich ist die Übermittlung von personenbezogenen Daten verboten. Die Zulässigkeitskriterien für Übermittlungen ergeben sich aus 4 b BDSG in Verbindung mit den 15, 16, 28, 29, 30 BDSG. Daraus ergibt sich die Notwendigkeit, alle UHJHOPl LJHQ oder DQODVVEH]RJH QHQ Übermittlungen auf ihre Rechtmäßigkeit zu prüfen! Abrufverfahren Ein Abrufverfahren darf nur eingerichtet werden, wenn die Voraussetzungen des 10 BDSG erfüllt sind. Sollen personenbezogene Daten von Dritten abgerufen werden können, sind zusätzliche Maßnahmen zur Sicherstellung der 5HFKWPl LJNHLW GHV $EUX IHV und der 'DWHQVLFKHUKHLW bei den beteiligten Stellen erforderlich. Insbesondere muss die verantwortliche Stelle gewährleisten, dass mittels geeigneter Stichproben die Übermittlung personenbezogener Daten festgestellt werden kann Besondere Zweckbindung Werden zu Zwecken des Datenschutzes, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes personenbezogene Daten gespeichert (z.b. Logfile oder Accounting-Informationen), verlangt das BDSG in 31 eine besondere Zweckbindung für diese Kontrollinformationen. Es ist zu klären, welche Aufzeichnungen im R/3 hierzu gehören und welche Funktionen / Stellen diese Informationen benötigen und die Kontrollfunktionen ausüben Auftragsverarbeitung Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz gemäß 11 BDSG verantwortlich. Der Auftragnehmer ist sorgfältig auszuwählen. Dem Auftragnehmer sind vertragliche Auflagen zur Verwendung der Daten und zur Datensicherheit zu machen. Der Auftraggeber muss sich von der Einhaltung der getroffenen Maßnahmen beim Auftragnehmer überzeugen. Die vorgenannten Ausführungen gelten auch für die Prüfung und Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen (Wartung und Prüfung ist Auftragsverarbeitung!), wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann Benachrichtigung des Betroffenen Der Betroffene ist unter den Voraussetzungen des 33 BDSG zu benachrichtigen, wenn erstmalig personenbezogene Daten über ihn gespeichert bzw. übermittelt

13 für SAP-R/ AG Datenschutz 13 werden oder von ihm bei öffentlichen Stellen Daten ohne seine Kenntnis gemäß 19a BDSG erhoben werden oder bei nicht-öffentlichen Stellen gemäß 33 BDSG erstmalig Daten über ihn gespeichert bzw. übermittelt werden. Falls demnach eine Benachrichtigung erforderlich wird, muss das Verfahren entsprechend festgelegt werden Rechte des Betroffenen Es dürfen nur zulässige und richtige personenbezogene Daten gespeichert werden. Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf der Basis einer automatisierten Verarbeitung getroffen werden. Die Datenspeicherung soll für den Betroffenen transparent sein. Deshalb hat der Betroffene ein Recht auf $XVNXQIW sowie auf %HULFKWLJXQJ, / VFKXQJ, 6SHUUXQJ und :LGHUVSUXFK. Die Anforderungen des 6 BDSG in Verbindung mit 19, 20, 34, 35 BDSG sind zu beachten. Die verantwortliche Stelle muss in der Lage sein, zur Auskunfterteilung alle personenbezogenen Daten des Betroffenen zuverlässig zu ermitteln! Diese Anforderung korrespondiert mit der Anforderung zur Führung einer Übersicht gemäß 4g Abs. 2 BDSG (Verfahrensverzeichnis). Eine automatisierte Einzelfallentscheidung ist gem. 6a BDSG nur in bestimmten Ausnahmefällen zulässig. Werden diese Ausnahmefälle in Anspruch genommen, sind sie entsprechend zu dokumentieren. Die Voraussetzungen, unter denen Sperrungen erforderlich werden, sind zu definieren. Die Verwendung gesperrter Daten ist zu regeln Auskunft an jedermann Gemäß 4g Abs. 2 Satz 2 BDSG hat der Datenschutzbeauftragte jedermann Auskunft über die gespeicherten Datenarten zu geben. Ist kein Datenschutzbeauftragter bestellt, dann kann sich jeder gem. 38 Abs. 2 Satz 2 BDSG die Einsicht in die gespeicherten Datenarten bei der jeweiligen Aufsichtsbehörde beschaffen Meldepflicht Unter den Voraussetzungen des 4d BDSG müssen automatisierte Verarbeitungen vor ihrer Inbetriebnahme gemeldet werden. Die Meldepflicht entfällt gemäß 4d Abs. 2 BDSG, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat. Sie entfällt auch gemäß 4 d Abs. 3 BDSG, wenn personenbezogene Daten für eigene Zwecke erhoben, verarbeitet oder genutzt werden, hierbei höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten beschäftigt UND entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient.

14 für SAP-R/ AG Datenschutz Verpflichtung der Mitarbeiter auf das Datengeheimnis Das BDSG fordert, dass alle Personen, die mit personenbezogenen Daten umgehen, auf das Datengeheimnis gemäß 5 BDSG zu verpflichten sind. Die Verpflichtung auf das Datengeheimnis ist pro Mitarbeiter zu dokumentieren. Es ist sicherzustellen, dass beauftragte Firmen, die bei der Einführung von SAP R/3 hinzugezogen werden, ihre Mitarbeiter auf das Datengeheimnis verpflichtet haben Schulung Der Datenschutzbeauftragte hat die Mitarbeiter gemäß 4g Abs. 1 Nr. 2 BDSG mit dem BDSG sowie anderen Vorschriften über den Datenschutz und über innerbetrieblichen Regelungen, die sich aus dem Gesetz ergeben, vertraut zu machen. Der Datenschutzbeauftragte hat die Projektmitglieder und Anwender, die an der Einführung von SAP R/3 beteiligt sind, mit den Anforderungen des BDSG vertraut zu machen. Die durchgeführten Schulungen sind zu dokumentieren Maßnahmen zur Datensicherheit Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn angemessene technische und organisatorische Maßnahmen zur Datensicherheit getroffen wurden. Die Anforderungen der einzelnen Zielsetzungen ergeben sich aus 9 BDSG und Anlage. Es sind angemessene Maßnahmen zur Datensicherheit zu treffen und mit dem Datenschutzbeauftragten abzustimmen. Gegebenenfalls kann zur Verbesserung des Datenschutzes und der Datensicherheit das LQVWDOOLHUWH 6\VWHP einem Datenschutzaudit unterworfen werden Übersichten gem. 4e, 4g und 18 Abs. 2 (BDSG-Übersichten) Die IIHQWOLFKHQ6WHOOHQentsprechend zweitem Abschnitt BDSG führen gemäß 18 BDSG Abs. 2 ein Verzeichnis der eingesetzten 'DWHQYHUDUEHLWXQJVDQOD JHQ und haben die Angaben gemäß 4e BDSG sowie die Rechtsgrundlagen der Verarbeitung schriftlich festzulegen. Die verantwortlichen QLFKW IIHQWOLFKHQ 6WHOOHQ entsprechend drittem Abschnitt BDSG haben dem Datenschutzbeauftragten gemäß 4e Abs. 2 BDSG eine Übersicht über die in 4e BDSG genannten Angaben sowie die zugriffsberechtigten Personen zur Verfügung zu stellen. Die Wege und Möglichkeiten, mit denen die erforderlichen Übersichten erstellt werden können, sind festzulegen Vorabkontrolle Verfahren automatisierter Verarbeitung mit besonderen Risiken für die Rechte und Freiheiten der Betroffenen, insbesondere die Verarbeitung besonderer Daten und/oder Daten zur Leistungs- und Verhaltenskontrolle, sind gemäß 4d

15 für SAP-R/ AG Datenschutz 15 Abs. 5 BDSG unter den dort genannten Voraussetzungen vor Beginn der Verarbeitung einer datenschutzrechtlichen Prüfung zu unterwerfen. Zuständig für die Vorabkontrolle ist der Datenschutzbeauftragte.

16 für SAP-R/ AG Datenschutz LWZLUNHQ GHV 'DWHQVFKXW]EHDXIWUDJWHQ EHL GHU (LQI KUXQJYRQ6$35 Das BDSG verlangt in 4g Abs. 1 Nr. 1 BDSG die rechtzeitige Einschaltung des Datenschutzbeauftragten bei Vorhaben der automatisierten Verarbeitung personenbezogener Daten. Hierzu gehört auch die Einführung und der Releasewechsel von SAP R/3. Wird SAP R/3 in einem Unternehmen eingeführt, ist der Datenschutzbeauftragte frühzeitig in die Einführung von SAP R/3 einzuschalten. Der Datenschutzbeauftragte hat dabei zu überprüfen, ob das Customizing und die Implementierung des SAP R/3 den Anforderungen des BDSG genügt. Insbesondere dem Grundsatz der Datenvermeidung und Datensparsamkeit gemäß 3a BDSG kommt im Rahmen einer SAP R/3-Einführung große Bedeutung zu. Hier kann der Datenschutzbeauftragte ggf. direkten Einfluss auf die Gestaltung des SAP-Systems nehmen. Bei einem Releasewechsel hat sich der Datenschutzbeauftragte auch von der ordnungsgemäßen Durchführung des Wechsels zu überzeugen Datenschutzbeauftragter - Mitglied des SAP-Projektteams Die sachgerechte Beratung der Projektleitung und -mitarbeiter und die Überprüfung der ordnungsgemäßen Anwendung (Customizing) durch den Datenschutzbeauftragten, die im 4g Abs. 1 Nr. 1 BDSG vorgesehen ist, können effektiv erreicht werden, wenn er Projektmitglied ist. Wird SAP R/3 in einem Unternehmen eingeführt, ist der Datenschutzbeauftragte daher vom Projektbeginn an zu beteiligen Information des Datenschutzbeauftragten zu den Meilensteinen Es liegt in der Verantwortung des Datenschutzbeauftragten zu entscheiden, wann und wie er die ordnungsgemäße Anwendung von SAP R/3 überprüft und welche Unterlagen er hierfür benötigt. Die Abstimmung, welche Unterlagen er benötigt und wann die Fragestellungen aus dem BDSG zu beantworten sind, lässt sich nur angemessen unter Berücksichtigung der Zielsetzungen und Projektentwicklung festlegen. Der Datenschutzbeauftragte sollte zu den Meilensteinen die erforderlichen Absprachen mit dem Projektteam zu den einzelnen Modulen treffen bzw. überprüfen, ob die getroffenen Festlegungen den Anforderungen des BDSG genügen. Die datenschutzrelevanten Projektschritte sind im ASAP-Vorgehensmodell definiert. Ein Beispiel: ASAP-Vorgehensmodell Geschäftsprozessdefinition Anforderungen zu Geschäftsprozessen bestimmen Anforderungen zum Berichtswesen bestimmen und mit Datenschutzbeauftragten abstimmen

17 für SAP-R/ AG Datenschutz 17 schutzbeauftragten abstimmen Informationsmöglichkeiten für den Datenschutzbeauftragten Der Datenschutzbeauftragte sollte sich einen angemessenen Kenntnisstand über folgende Elemente des R/3-Systems aneignen: Das Berechtigungskonzept und den Profilgenerator Die Tabellenverwaltung Die SAP-Programmiersprache ABAP und ABAP Query ABAP - Advanced Business Application Programming Das SAP ABAP Dictionary Im ABAP Dictionary sind alle Datenfelder des SAP-Referenzmodells dokumentiert. Eine Übersicht über die Verwendung eines einzelnen Feldes in der SAP-Datenwelt erhalten Sie über die Funktion 9HUZHQGXQJVQDFKZHLV. Verfahrensweise bei Extraktion und Auswertung von Daten aus R/3 mit Standardtools wie z.b. Microsoft Excel. Hilfsmittel zur Gestaltung von Bildschirmmasken (Screen & Menue Painter) Zur sachgerechten Beratung und Prüfung der ordnungsgemäßen Anwendung von SAP R/3 benötigt der Datenschutzbeauftragte darüber hinaus Unterlagen und Informationen. Folgende Unterlagen sollten dem Datenschutzbeauftragten generell zur Verfügung stehen: Der SAP-Einführungsleitfaden und das ASAP-Vorgehensmodell Der SAP-Prüfleitfaden Revision Bestell-Nr , bei SAP AG, (z.z. Release 3.0D vom ): Der SAP-Sicherheitsleitfaden wird von SAP für R/3 zur Verfügung gestellt. Bitte beachten Sie den SAP-Hinweis Verfügbarkeit Sicherheitsleitfaden R/3 Die SAP-Hilfe (Dokumentations-CD) Zugriff auf das SAP Service System im SAPNet für die Hinweise, Zugriff auf den SAP-Service für zusätzliche Informationen ( und auf den SAP-Service Marketplace ( ). Der Datenschutzbeauftragte sollte sich alle Dokumente unter den Stichworten "Datenschutz, "Datensicherheit" und Sicherheit ansehen. IDES Schulungssystem (IDES - International Demo and Education System) R/3 Authorization Made Easy (siehe SAP-Hinweis 39769) (für Release 4.0B Bestell-Nr , Für Release 4.6 zum Download unter: Audit-Informationssystem. Das Audit-Informationssystem (AIS) ist ein Arbeitsmittel für den Auditor und den Datenschutzbeauftragten und wird im Kapitel 6.1 Audit- Informationssystem beschrieben. Bitte beachten Sie den SAP-Hinweis AIS.

18 für SAP-R/ AG Datenschutz 18 SAP-Hinweis Sicherheit in SAP-Produkten SAP-Hinweis Datenschutz und Sicherheit im R/3 Release-Informationen (Doku-CD, Begleitbriefe, Transaktion 62, $3)DNWHQ Customizing und ASAP-Vorgehensmodell Das Vorgehensmodell wurde zugunsten von AcceleratedSAP abgelöst. Das Unternehmens-IMG als reduzierter SAP-IMG ist weggefallen. Das Customizing wurde in eine Transaktion für Projektverwaltung (6352B$'0,1) und in eine Transaktion für die Projektbearbeitung (6352) aufgeteilt. Das Customizing dient der unternehmensspezifischen Einstellung des SAP- Systems. Aufgrund der komplexen Tabellenstrukturen von R/3 stellt SAP systemseitig ein Vorgehensmodell und Einführungsleitfäden (Grundstrukturen zur Einführung) zur Verfügung. Diese sind auch Bestandteil der SAP-Online- Dokumentation. Das R/3-Vorgehensmodell bildet zum einen den methodischen Rahmen für den Einführungs- und Releasewechselprozess, zum anderen ist es ein operatives Werkzeug zur Unterstützung in jeder Phase der Einführung. Die Projektleitfäden für das R/3-Customizing als unternehmensspezifische Untermenge des Vorgehensmodells listen alle Aktivitäten für die Einführung des SAP-Systems auf und unterstützen die Steuerung und Dokumentation der Einführung. Die ordnungsmäßige SAP-Einführung hängt wesentlich von der sachgerechten Nutzung der SAP-Einführungsleitfäden (IMG) ab. Das ASAP-Vorgehensmodell beinhaltet für den Datenschutzbeauftragten wesentliche Punkte, bei denen er projektspezifisch festlegen sollte, wie er in die Projektentwicklung einzubeziehen ist. Beispiele für die Einbeziehung des Datenschutzbeauftragten sind: Datenschutzrelevante Geschäftsprozesse ermitteln und festlegen Stammdaten festlegen Berichtswesen festlegen Informationsfluss personenbezogener Daten bei Anwendungsschnittstellen, insbesondere zu anderen Programmen, untersuchen Informationsfluss der vorgesehenen Berichte und Auswertungen auf Datenschutzgesichtspunkte hin untersuchen Datenschutzspezifische Freigabe zu Projektphasen (Meilensteinen) festlegen Berechtigungskonzept unter Datenschutz- und Datensicherheitsgesichtspunkten beurteilen Archivierungskonzept, insbesondere im Hinblick auf die Löschungsfristen, beurteilen Testkonzept beurteilen

19 für SAP-R/ AG Datenschutz 19 Datenschutzspezifische Schulungsinhalte und -zeitpunkte festlegen Dokumentationsinhalte hinsichtlich datenschutzrelevanter Fragen festlegen Migration und Altdatenübernahme definieren Programmanpassungen ermitteln und genehmigen Das SAP-Standard-Vorgehensmodell und allgemeine Hinweise hierzu finden Sie auf der Dokumentations-CD. Empfehlungen der Arbeitsgruppe Datenschutz zu Beteiligungsthemen des Datenschutzbeauftragten entlang des ASAP- Vorgehensmodells finden Sie in Anlage 3. Gehen Sie die Themen bei der Planung einer Beteiligung des Datenschutzbeauftragten durch und planen in diesem Rahmen Ihr eigenes Vorgehen. Den R/3 Customizing Einführungsleitfaden finden über die Hilfe-Funktion Menüpfad: bzw. im System Menüpfad: +LOIH!6$3%LEOLRWKHN!,0* :HUN]HXJH! $FFHOHUDWHG6$3! &XVWRPL]LQJ! 3URMHNWEHDUEHLWXQJ!6$35HIHUHQ],0*(SPRO) Die Zuordnung der Customizing-Aktivitäten der modulbezogenen Einführungsleitfäden zum Vorgehensmodell ermitteln Sie durch die Zuschaltung der Anzeige. Gehen Sie folgendermaßen vor: 1. Rufen Sie die angelegten Projektleitfäden auf: Menüpfad: :HUN]HXJH!$FFHOHUDWHG6$3!&XVWRPL]LQJ durch Doppelklick auf das jeweilige Projekt erhalten Sie den zugehörigen Projektleitfaden angezeigt. 2. Reißen Sie die jeweiligen Customizing-Aktivitäten bis auf die Ebene der ausführbaren Funktionen auf. 3. Den Bezug der Aktivitäten zum Vorgehensmodell erhalten Sie wie folgt angezeigt: Menüpfad:,QIRUPDWLRQ!7LWHOXQG,0*,QIR!=XRUGQXQJ9RUJPRG Suchen Sie sich die einschlägigen Aktivitäten aus den Leitfäden heraus, die Sie unter Datenschutzgesichtspunkten bearbeiten müssen und identifizieren Sie die modulspezifischen Einstellungen. 4. Nehmen Sie Kontakt mit den modulbezogenen Projektgruppen auf und sprechen Sie Ihre Aktivitäten mit ihnen ab Berechtigungskonzept Ein Zugriffsschutzsystem und die Möglichkeit zur Vergabe individueller Berechtigungen dient unter Datenschutzaspekten im wesentlichen folgenden Zie-

20 für SAP-R/ AG Datenschutz 20 len: dem Schutz vertraulicher Daten vor unberechtigter Erhebung, Speicherung, Kenntnisnahme, Übermittlung und Nutzung, dem Schutz der Daten vor unberechtigter, auch versehentlicher Änderung oder Löschung der Gewährleistung des zweckgebundenen Gebrauchs der Daten der Nachvollziehbarkeit und Zweckgebundenheit des Zugriffs auf personenbezogene Daten Mit Release 4.6C liefert SAP ein Set von Rollenvorlagen aus, die der Kunde als Vorlage benutzen und hinsichtlich der Zuständigkeiten und organisatorischen Ausprägungen an seine individuellen Bedürfnisse anpassen sollte. Mit jeder Vorlage erhält man ein individuelles Benutzermenü. Die Rollenvorlagen sind integrativer Bestandteil der anwendungsübergreifenden mysap.com Workplace und Enterprise Portal/Portal-Rollen. Dem Administrator steht eine erweiterte Funktionsauswahl in der Einstiegstransaktion SAP Easy Access zur Verfügung. Mit dieser erweiterten Funktionsauswahl ist es ihm möglich, einfach eine der vielen Benutzerrollen einem Benutzer zuzuweisen. Dieser Benutzer erhält bei der Anmeldung am System automatisch das für seine tägliche Arbeit typische Benutzermenü sowie die Berechtigungen, die er für diese Arbeit benötigt. Die hohe Flexibilität des SAP-Berechtigungs- und Benutzerverwaltungskonzepts kann daher bei unsachgemäßer Anwendung bereits im Rahmen der Einführungsphase zu erheblichen Verletzungen des Datenschutzes führen. Statt des weitgefassten Standards bei ausgelieferten Rollen und Profilen etc. muss daher unbedingt unternehmensspezifisch nach dem Prinzip der minimalen Berechtigung eingegrenzt und angepasst werden. Da die Ordnungsmäßigkeit des SAP-Systems unmittelbar durch das Verfahren zur Vergabe von Berechtigungen beeinflusst wird, ist auch das Vergabeverfahren selbst als wesentlicher Bestandteil des Zugriffsschutzes anzusehen. Es muss daher organisatorisch definiert revisionsfähig gestaltet sowie ausreichend getestet und spätestens zum Produktionsbeginn verfügbar sein. Schließlich muss darauf geachtet werden, dass Rollen und ggf. auch Aktivitätsgruppen, Berechtigungen und Profile im Testsystem neu angelegt, geändert oder gelöscht werden und anschließend mittels CTS/CTO (Change Transport System/Change Transport Organizer) über das Qualitätssicherungssystem in die Produktionsumgebung übernommen werden Change Transport System/Change Transport Organizer (CTS/CTO) SAP empfiehlt, in einem produktiven System grundsätzlich keine Änderungen vorzunehmen bzw. zuzulassen. Alle Änderungen sind daher aus der Test- oder Qualitätssicherungsumgebung mit dem sog. Korrektur- und Transportwesen 1 in das produktive System zu übernehmen. Das gesicherte Korrektur- und Transportwesen ist somit wesentlicher Bestandteil eines sicheren und ordnungsgemäßen SAP-Systems. Unter Datenschutzaspekten stehen dabei folgende Zielsetzungen im Vordergrund: die Registrierung und Dokumentation einschließlich der geordneten Übergabe der Systementwicklungsumgebungsobjekte (EUO) zwischen den unterschiedlichen SAP-Systemen oder unterschiedlichen Mandanten innerhalb eines SAP-Systems 1 siehe hierzu Kapitel 3 Prüfleitfaden Revision

21 für SAP-R/ AG Datenschutz 21 die Sicherstellung, dass ausschließlich genehmigte Systemänderungen vorgenommen und entsprechend nachvollziehbar dokumentiert werden Aus den vorgenannten Zielen und aus der Tatsache, dass EUO in der Regel systemweite Gültigkeit besitzen, ist zwingend erforderlich, dass mindestens zwei physisch getrennte SAP-Systeme implementiert werden müssen (Test- und Produktivsystem).wenn personenbezogene Daten aus der Produktivumgebung (z.b. für Massentests) in der Testumgebung verwendet werden, sind diese dort nach Möglichkeit entweder zu anonymisieren oder zu pseudonymisieren. Hierzu kann man sich ggf. geeignete Anonymisierungs-Tools von Drittanbietern beschaffen. Sollte dies nicht möglich sein, sind auch für das Testsystem und die Testumgebung angemessene Maßnahmen zur Datensicherheit zu ergreifen (z.b. zeitliche Begrenzung der Berechtigungen im Testsystem). Das Berechtigungskonzept sollte auch auf das Testsystem angewendet werden Schnittstellenverarbeitung Datenübernahme Ab Rel. 4.5 bevorzugt SAP die LSMW (Legacy System Migration Workbench) als Datenübernahmeverfahren. Dieses Tool ist speziell für die Altdatenübernahme konzipiert worden und bedient sich der BAPI- oder Batch-Input- Schnittstelle (siehe auch Transaktion LSMW). Da die Konvertierung aus dem Alt- bzw. Vorsystem mit Programmen außerhalb des SAP-Umfeldes erfolgt, ist die ordnungsgemäße Umsetzung der Daten (d. h. die Datenkonsistenz) durch geeignete organisatorische Maßnahmen sicherzustellen, um möglichen Manipulationen vorzubeugen. Für die Datenübernahme wurde früher in SAP das Batch-Input-Verfahren 2 herangezogen. Hierbei wird durch ein Schnittstellenprogramm eine sog. Batch- Input-Mappe erzeugt, die dabei die Online-Eingabe von Transaktionscodes und Daten simuliert und beim Abspielen die entsprechenden Berechtigungs- und Plausibilitätsprüfungen durchläuft. Neben dem Batch-Input-Verfahren bestehen weitere Möglichkeiten der Datenübernahme, z.b. Remote Function Call (RFC), Internet-Schnittstellen oder PC- Upload und Download 3. Diese werden i.d.r. für Datenübernahmen im lfd. Betrieb (aus vor- oder nachgelagerten Systemen) eingesetzt. Alle Schnittstellen sind im Falle der Übermittlung entsprechend dem 4e BDSG zu dokumentieren PC-Verarbeitung Up-/Download in der Anwendung (vgl. hierzu u.a. Kapitel ) Kommunikationsschnittstellen Die datenorientierte Schnittstelle Remote Function Call (5)&) ermöglicht SAP- und Nicht-SAP-Anwendungen, SAP-Funktionsbausteine über Rechnergrenzen aufzurufen. Business Application Programming Interfaces (%$3,V) sind von externen Programmen aufrufbare und direkt ausführbare Methodenaufrufe von Business- 2 siehe hierzu ergänzende Hinweise in Kapitel 6 Prüfleitfaden Revision 3 siehe hierzu ergänzende Hinweise im Sicherheitsleitfaden

22 für SAP-R/ AG Datenschutz 22 Objekten. Diese geschäftsprozessorientierten Standardschnittstellen sind auf eine Dialogkommunikation ausgerichtet. Sie ermöglichen die Ergänzung des R/3- Kernsystems um Anwendungen, die speziell im,qwhuqhw und,qwudqhw entwickelt werden. BAPIs werden R/3-intern als Funktionsbausteine realisiert, die über RFC aufrufbar sind. Application Link Enabling ($/() ermöglicht die Verteilung von Daten des R/3-Systems. Über Musterlösungen wird beschrieben, wie ein Unternehmen seine geographische Datenverarbeitung organisieren und durchführen kann. Mit $/(:HE lassen sich verteilte Geschäftsprozesse über das Netz quasi zum Geschäftspartner verlagern. Im Rahmen von ALE werden BAPIs für die Integration verteilter Geschäftsprozesse eingesetzt SAP-Automation Mit dieser Schnittstelle lassen sich alternative Oberflächen statt dem SAP GUI einsetzen. Neben der Kommunikationssicherheit ist zu prüfen, ob über diese Schnittstellen personenbezogene Daten ausgetauscht bzw. übermittelt werden und wer die regelmäßigen Empfänger sind Job-Auftrags-Verfahren - und Dokumentation Beim Job-Auftragsverfahren steht unter Datenschutzaspekten der Schutz und die Integrität der Unternehmensdaten und der personenbezogenen Daten im Vordergrund. Da im R/3 viele Jobs von der Fachabteilung generiert und gestartet werden können, ist i.d.r. eine entsprechende Verfahrensdokumentation im Anwendungshandbuch der jeweiligen Fachabteilung ausreichend. Jobs, die ein Operating benötigen und deshalb nicht ausschließlich im Aktionsbereich der Fachabteilung durchgeführt werden, müssen besonders beachtet werden. Insbesondere bei diesen Jobs darf keine Ausführung ohne schriftlichen Auftrag erfolgen. Auftraggeber ist i.d.r. die Fachabteilung. Bei Jobs, die vom SAP-System generiert werden, wird die Dokumentation automatisch mit generiert. Beim von Anwender selbst generierten Jobs (z.b. Batch-Input-Mappen) muss auch die Dokumentation durch den Anwender selbst erfolgen. Diese Dokumentation sollte nach einem einheitlichen Schema erfolgen. Jobs werden nicht über das Korrektur- und Transportwesen vom Test- ins Produktivsystem übergeben. Sie werden im Produktivsystem neu erstellt. Eine Jobbibliothek gibt es bisher nicht LVLNHQ Bei der Einführung von SAP R/3-Systemen bzw. -Projekten bestehen aufgrund der oben geschilderten SAP-Fakten auch unter Datenschutzaspekten besondere Risiken. Neben dem Risiko der unsachgemäßen SAP-Einführung durch Fehler beim Customizing und der Benutzung bzw. Handhabung des Korrektur- und Transportwesens ergeben sich auch aus Fehlern bei der Erstellung eines Zugriffsbe-

23 für SAP-R/ AG Datenschutz 23 rechtigungskonzepts negative Folgewirkungen für die vorzusehenden technischen und organisatorischen Maßnahmen Nichteinschaltung des Datenschutzbeauftragten bzw. der Arbeitnehmervertreter Werden der Datenschutzbeauftragte und - soweit vorhanden - die Mitbestimmungsorgane (Arbeitnehmervertretung) nicht rechtzeitig sowohl bei der Einführung als auch bei allen nachfolgenden Änderungen eingeschaltet, besteht das Risiko, dass datenschutzrechtliche Anforderungen (u.a. unzulässige Datenspeicherung und -übermittlung) und Mitbestimmungsrechte bei der Projektarbeit nicht hinreichend beachtet werden Nichtbeachtung der SAP-Empfehlungen Die Nichtbeachtung der SAP-Empfehlungen, insbesondere des SAP R/3- Sicherheitsleitfadens kann eine unsachgemäße und nicht ordnungsgemäße Systemeinführung zur Folge haben. Hier bestehen insbesondere folgende Risiken: Zugriffsmöglichkeiten auf Betriebssystem-, Datenbank- und Netzwerkebene unsachgemäßes Abweichen beim Customizing vom Vorgehensmodell bzw. den Implementation Guides unzureichende Dokumentation und Erläuterungen der Customizing- Einstellungen unzureichende Schnittstellendokumentation (Batch-Input, PC-Download, ggf. Systemerweiterungen, Archivierungssysteme) Nichtberücksichtigung bzw. verspätete Erstellung des Berechtigungskonzeptes Während der Einführungsphase des R/3 sowie neuer Komponenten ist ein betriebswirtschaftliches Berechtigungskonzept zu erstellen. Dies dient als Grundlage u.a. für den Aufbau von Rollen, mit denen manuell oder mittels des Profilgenerators dann die benutzerspezifischen Berechtigungsprofile erstellt werden. Das R/3-Berechtigungskonzept muss konsequent und konsistent eingesetzt werden. Der jeweils aktuelle Stand der zugelassenen Benutzer und deren Zugriffsrechte ist zu dokumentieren. Beim Customizing müssen u.a. SAP- Vorgaben (z.b. Rechte, Startparameter etc.) einschränkend geändert werden. Bei einem unzureichenden bzw. zu spät eingesetztem Berechtigungskonzept besteht die Gefahr, dass den Benutzern zu weitreichende Berechtigungen vergeben werden Nicht ordnungsgemäße Anwendung eines Datenverarbeitungsprogramms Die Voraussetzung für den ordnungsgemäßen Einsatz von SAP R/3 ist u.a. die Beachtung der Auflagen des BDSG. Konkret sind bei der Einführung eines R/3-Systems unter Datenschutzaspekten folgende Risiken möglich. Unzulässige bzw. leichtfertige Handhabung von personenbezogenen Originaldaten im Testsystem

24 für SAP-R/ AG Datenschutz 24 naldaten im Testsystem Fehlende Verpflichtung auf das Datengeheimnis bzw. unzureichende Sensibilisierung/Schulung der Projektmitglieder/Anwender Unzureichende Dokumentation der personenbezogenen Daten, um den Rechten der Betroffenen (Auskunft, Berichtigung, Sperrung und Löschung) und der Verpflichtung zur Benachrichtigung nachzukommen Nichtbeachtung des 4-Augen-Prinzips im Rahmen des CTS. Unzureichende Festlegung der Transportschichten (Integrations-, Konsolidierungs- bzw. Belieferungssysteme) in den Tabellen TWSYS, DEVL und TASYS innerhalb des CTS Unzureichende Absicherung des Transportprogramms (tp, bzw. R3trans) sowie unzureichende Aufbewahrung des Transportprotokolls Ggf. fehlende Historienführung bei der Übertragung von Programmen bzw. Tabellen in die Produktivumgebung Wird das CTS nicht oder falsch eingesetzt, können nicht autorisierte Programme/Objekte zur unzulässigen Nutzung oder Verarbeitung personenbezogener Daten führen Die Einschränkung der vorgenannten Risiken dient auch dazu, das Risiko der Unternehmensleitung (Straftaten, Ordnungswidrigkeiten und Schadenersatz im Sinne des BDSG 7, 8, 43, 44) zu reduzieren.

25 für SAP-R/ AG Datenschutz U IXQJVKDQGOXQJHQ LP 5DKPHQ GHU (LQI KUXQJ &KHFNOLVWH Zur Hilfestellung für den Datenschutzbeauftragten und die Projektmitarbeiter ist die nachfolgende Checkliste (ohne Anspruch auf Vollständigkeit!) erstellt worden. Wesentliche Fragestellungen sind aufgenommen worden. Es wird jedoch empfohlen, diese Checkliste projektbezogen zu überarbeiten. Folgende Fragen sind pro SAP-Modul bzw. Teilmodul von der Projektleitung zu beantworten: 1. Welche Aufgabenstellungen soll das SAP-Modul abdecken? 2. Über welche Personengruppen (z.b. Bewerber, Mitarbeiter, Angehörige von Mitarbeitern, Debitoren, Kreditoren, Fremdfirmenmitarbeiter etc.) sollen Daten gespeichert werden? 3. Welche Geschäftsprozesse sind betroffen? 4. Werden durch die Ausgestaltung der Projektorganisation datenschutzrechtliche Aspekte des SAP-Projektes rechtzeitig berücksichtigt? 5. Ist dem DSB rechtzeitig die Übersicht zur Vorabkontrolle vorgelegt worden? 6. Ist der Datenschutzbeauftragte in die Projektarbeit angemessen eingebunden? 7. Welche personenbezogenen Daten sollen gespeichert werden? 8. Welche personenbezogenen Daten sollen an externe Empfänger aus welchem Grund (regelmäßig, anlassbezogen) übermittelt werden? Liegt bei Empfängern außerhalb der EU ein angemessenes Datenschutzniveau vor? 9. Liegen die Rechtsgrundlagen zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten (z.b. Vertrag, Einwilligung, Dienst- /Betriebsvereinbarung) vor? 10. Soll die Möglichkeit eines automatisierten Abrufes von personenbezogenen Daten realisiert werden? - Wenn ja: Wie sollen die Anforderungen zur Sicherstellung des rechtmäßigen Abrufes und der Datensicherheit realisiert werden? 11. Werden automatisierte Einzelfallentscheidungen vorgenommen? - Wenn ja: Sind die Voraussetzungen des 6a Abs. 2 BDSG gegeben? 12. Welche Schnittstellen bestehen zu anderen DV-Anwendungen? 13. Welche Logfiles sind vorgesehen, und wie sollen sie verwendet werden? (Report-Protokolldatei in HR, Tabelle V_T599R und Erstellung des Security Audit Logs). 14. Wie soll die Zweckbindung gemäß 31 BDSG eingehalten werden? 15. Welche Dauer der Datenspeicherung ist für die einzelnen Datengruppen unter Berücksichtigung der jeweiligen Rechtsgrundlage vorgesehen? - Welches Löschungskonzept soll realisiert werden? 16. Besteht die Notwendigkeit, Personen zu benachrichtigen? - Wenn ja: Wie und mit welchen Formulierungen soll der Betroffene benachrichtigt werden? 17. Wie ist das Sicherheitskonzept gestaltet? - Sind die Berechtigungen nach dem Prinzip der geringsten Berechtigung

26 für SAP-R/ AG Datenschutz 26 vergeben? - Ist der Sicherheitsleitfaden abgearbeitet worden? - Werden personenbezogene Daten verschlüsselt übertragen (dies ist für die SAPGUI- und die SAPLPD-Verbindung mit SNC möglich; RFC- Verbindungen können gesichert werden) und ggf. verschlüsselt gespeichert (dies ist eine Funktion der Datenbank, nicht des R/3)? 18. Auf welchen Rechnern und an welchen Standorten soll SAP R/3 installiert werden? - Welches DV-Netz soll genutzt werden? - Werden beim Einsatz von Internet/Intranet-Techniken entspr. Firewall- Systeme eingesetzt? 19. Werden alle eingesetzten DV-Systeme von SAP dokumentiert? - Wenn ja: Welche organisatorischen Lösungen sind vorgesehen, um dem Datenschutzbeauftragten eine Übersicht zur Verfügung zu stellen? 20. Mit welchen Mitteln soll dem Datenschutzbeauftragten eine Übersicht über die Art der gespeicherten Daten zur Verfügung gestellt werden? - Welche organisatorischen Lösungen sind vorgesehen? 21. Sind alle neu hinzugefügten Tabellen, Domänen, Datenfelder und Reports entsprechend dokumentiert und ausreichend geschützt? 22. Sind alle Personen, die Zugriff auf personenbezogene Daten erlangen können, auf das Datengeheimnis verpflichtet? 23. Wird der Datenschutzbeauftragte bei System-Upgrades bzw. Releasewechseln zeitnah eingeschaltet? 24. Gibt es in Referenztabellen für Auswahlfelder unzulässige Inhalte, die Personen zugeordnet werden können?

27 für SAP-R/ AG Datenschutz 27 2 Aufgaben des Datenschutzbeauftragten Da der DSB in der Regel kein SAP-Spezialist ist, wird er mit unterschiedlichen Mitarbeitern des Unternehmens zusammenarbeiten. Er wird sich im Rahmen seiner Tätigkeit sowohl mit Anwendern der Fachabteilungen als auch mit DV- Mitarbeitern austauschen. Ebenso ist eine Kooperation mit anderen Organisationseinheiten des Unternehmens (z.b. interne Revision) zur Bearbeitung einzelner Themenfelder denkbar. Um die Vorabkontrolle, die Begleitung des Customizing und die erforderlichen Prüfungshandlungen möglichst umfassend durchführen zu können, ist eine ausreichende Ausbildung des Datenschutzbeauftragten in der Nutzung der relevanten SAP R/3-Funktionen notwendig. In R/3 werden verschiedene Auditor-Rollen ausgeliefert: 5ROOH %HVFKUHLEXQJ SAP_CA_AUDITOR_APPL SAP_CA_AUDITOR_APPL_ADMIN SAP_CA_AUDITOR_DS SAP_CA_AUDITOR_HR SAP_CA_AUDITOR_SYSTEM Auditor SAP-Anwendungen (außer HR) Audit Administration Auditor Datenschutz Auditor HR Auditor System SAP_CA_AUDITOR_SYSTEM_DISPLAY Auditor System Anzeige, Hinweis Die Rollen sind wie folgt zu finden: Menüpfad: :HUN]HXJH! $GPLQLVWUDWLRQ! %HQXW]HUSIOHJH! 5ROOHQ (PFCG) Die Rolle $XGLWRU 'DWHQVFKXW] umfasst Basis-Berechtigungen zur Administration, Entwicklungsumgebung und zentrale Funktionen. Folgende Transaktionen sind u.a. vorgesehen: AL08, PA10 PA30, PFCG, RZ01 RZ12, SA38, SARG, SCAT, SE11, SE38, SE80, SM18, SM19, SM21, SM31, SM37, SM59, SU01 SU98, SUIM Die SAP-Rollen sind sehr umfassend definiert. Wir empfehlen den Anwenderfirmen daher die umfassende Rolle $XGLWRU 'DWHQVFKXW] wie folgt unternehmensspezifisch anzupassen: Der Datenschutzbeauftragte sollte grundsätzlich über eine Grundrolle für Datenschutzbeauftragte verfügen. Diese umfasst die für eine Datenschutzsystemprüfung erforderlichen umfassenden Leserechte im Audit-Informationssystem (vgl. Kapitel 6) sowie den direkten Aufruf der entsprechenden Transaktionen und Reports, allerdings keinen Zugriff auf Mitarbeiterdaten. Darüber hinaus kann dem Datenschutzbeauftragten für Echtdatenprüfungen eine zweite auf die individuellen Zuständigkeiten geschaffene Rolle zugeteilt werden. Letztere ist ggf. zeitlich befristet zu erteilen.