Anforderungen der DSGVO
Seit dem 25. Mai 2018 sind Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) mit empfindlichen Geldbußen belegt. Entsprechend viel Aufmerksamkeit hat das Thema bereits erhalten. Doch wie sieht eine Compliance Prüfung und ein Nachweis der Rechenschaftspflicht im Kontext von SAP-Systemen aus?
DSGVO Umsetzungsstatus in den Unternehmen
Die Datenschutzbeauftragten in den Unternehmen und Behörden haben sicher auch ohne Berücksichtigung der SAP-Systeme keine Langeweile.
Nachdem die Verfahren dokumentiert und Prozesse festgelegt sind rücken die SAP-Systeme in den Vordergrund. Hier sind beispielsweise die definierten Lösch- und Sperrprozesse technisch einzurichten. Doch aufgepasst, denn es ist sicher mehr zu beachten als nur Daten zu sperren und zu löschen.
DSGVO und SAP-Systeme
Besonders erwähnenswert sind die Auswirkungen der DSGVO auf SAP-Systeme wie sie sich in verschiedenen Paragraphen (zum Beispiel) Art. 5 wieder finden. Hervorzuheben wäre da Abs. 1 Buchst. f. Aufgrund dieses Absatzes sind die Integrität und Vertraulichkeit bei der Verarbeitung zu wahren. Genauso verhält es sich mit dem Art. 32. Denn dieser Artikel beschreibt Maßnahmen, um die Sicherheit bei der Verarbeitung zu gewährleisten. Konkret sind dies :
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Auch Art. 25 verlangt eine Sicherheit entsprechend dem Stand der Technik.
Bislang liegt der Fokus meist auf den generellen Anforderungen des Datenschutzes wie:
- Zweckbestimmung
- Folgeabschätzung
- Datenminimierung
- Richtigkeit der Daten
- Speicherbegrenzung
- oder Rechenschaftspflichten
Jetzt gelangen hier noch technisch-organisatorische Maßnahmen (TOM) in den Pflichtenkatalog hinzu. Diese sind insbesondere bei SAP-Systemen durch eine sichere Systemkonfiguration, ein minimales Berechtigungskonzept und ein organisiertes Patch-Management abzubilden.
Erforderliche Schutzmaßnahmen
Kein Wunder, dass ein Datenschutzbeauftragter zunächst die organisatorischen Aufgaben bewältigt. Stellt sich ihm doch wahrscheinlich die Frage wie dies in SAP realisiert werden soll. Doch an den SAP-Systemen und der Forderung nach Integrität führt kein Weg vorbei. Dieser Aufgabe muss er sich stellen, denn hier sammeln sich viele Daten mit Bezug zur DSGVO. Die Forderung der Integrität zielt auf den Schutz vor unentdeckbarer Manipulation. Dies ist in SAP-Systemen im wesentlichen mit diesen Maßnahmen zu erreichen:
- Schutz des Codes und Protokollierung der Änderungen
- technische Maßnahmen zur Vermeidung von Manipulation wie Zugangs- und Zugriffskontrollen.
- Schutz der Konfiguration und Protokollierung der Änderungen
- Patchmanagement
- Schutz der Schnittstellen und Protokollierung der Verwendung
Zur Wahrung der Vertraulichkeit gilt es die TOM aus §64 des BDSG-neu zu beachten:
- Zugangskontrolle ( physikalisch, Authentifizierung)
- Datenträgerkontrolle (Verschlüsselung, Zugriff)
- Speicherkontrolle (Trennung OS-, DB-, ERP-Ebenen und User-Zugriffe)
- Benutzerkontrolle (Authentifizierung, Autorisierung, Protokollierung)
- Zugriffskontrolle (Berechtigungskonzept, Read Access Logging)
- Übertragungskontrolle (Dokumentation der Schnittstellen, Einschränkung der Nutzung)
- Transportkontrolle (Verschlüsselung beim Transport)
- Wiederherstellbarkeit (Backup & Desaster Recovery)
- Zuverlässigkeit (Erkennung von Fehlverhalten des Systems)
- Datenintegrität (siehe Oben)
- Auftragskontrolle (Einhaltung der Weisungen durch Auftraggeber)
- Verfügbarkeitskontrolle (Schutz vor [mutwilligen] Verlust durch Berechtigungskonzept, Datensicherung)
- Trennbarkeit (Struktur der Daten muss Trennung nach Zweck erlauben)
Wenn man letztlich seine Hausaufgaben gemacht hat und den Forderungen durch technische Maßnahmen im SAP-System nachgekommen ist, gilt es dies auch Nachweisen zu können:
Nachweis der Rechenschaftspflicht
Dies ist sicher keine einfache Aufgabe. So sind eine Vielzahl an Kontrollen und Dokumentationen durchzuführen.
Unsere BSI Publikation „DSGVO – Prüfübersicht für SAP-Systeme“ beinhaltet einen umfassender Kontrollmaßnahmen, um das Thema DSGVO Compliance bei SAP-Systemen bewerten zu können.
Wenn Sie mehr zu dem Nachweis und der Compliance Prüfung erfahren wollen, stehen unsere Experten Ihnen gerne mit Rat und Tat zur Seite.
Unser DSGVO Kontrollcheck ist ideal, um den Nachweis der DSGVO-Compliance zu erbringen. Kontaktieren Sie uns.