Fehler vermeiden

7 Datenschutzregeln für SAP-Systeme

21.03.2013 von Stefan Staub und Rolf Schlagintweit
Der Datenschutz kommt in den meisten SAP-Systemen zu kurz. Oft fehlen Funktionen und das Bewusstsein der Anwender. Folgende sieben Punkte sollten Sie beachten, damit Sie Ihre SAP-Infrastruktur regelkonform betreiben können.
Um Datenschutz bei SAP-Systemen garantieren zu können, müssen sich Anwender aktiv einbringen. Wir stellen die wichtigsten Maßnahmen vor.
Foto: fotolia.com/Gina Sanders

Unternehmen unterschätzen in SAP-Großprojekten häufig, was es bedeutet, wenn mächtige Datenbestände, die Mitarbeiter, Partner oder Kunden betreffen, integriert werden. Gerade SAP-Anwender müssen sich dabei auch mit der Datensicherheit und dem Datenschutz befassen. Schließlich kommen an vielen Punkten personenbezogene Informationen ins Spiel, für die in Europa besondere Schutzbedingungen gelten. Zu regeln ist, wer, wo, unter welchen Umständen und aus welchem Grund auf bestimmte Daten zugreifen darf. Dabei sind die SAP-eigenen Funktionen nicht immer hilfreich, sondern verhindern manchmal sogar, was getan werden muss. Was sind typische Mängel bei der Datenspeicherung in SAP-Installationen? Und wie können Firmen diese Mängel beheben und dennoch die gesteckten Ziele erreichen?

Im Idealfall arbeiten SAP-Berater mit den Datenschutzbeauftragten Hand in Hand, um Daten vor unrechtmäßigem Zugriff zu schützen und die rechtlichen Vorschriften einzuhalten. Erschwert wird diese Kooperation aber meist dadurch, dass SAP-Berater vor allem daran interessiert sind, das Projekt schnell durchzuziehen und die Prozesse möglichst effizient zu gestalten. Datenschutzbeauftragte wiederum sind in den seltensten Fällen mit den technischen Aspekten von SAP-Systemen vertraut. In der Praxis tauchen bei SAP-Einführungsprojekten immer wieder ähnliche Probleme auf, die sich jedoch lösen lassen. Die wichtigsten Mängel und entsprechende Lösungsansätze sind im Folgenden aufgelistet.

Auf den folgenden Seiten finden Sie ausführliche Lösungsansätze für jedes Problem

1. Das richtige Kennwort

SAP-Systeme sind unter anderem durch Kennworte vor dem Zugriff von außen geschützt. Die Standardeinstellung erlaubt jedoch ausgesprochen schwache Kennworte, die nicht regelmäßig geändert werden müssen. Drei Zeichen reichen aus, und damit ist es für Profis ein Leichtes, sich in die meisten Accounts einzuhacken. Doch schon mit den Bordmitteln von SAP lässt sich die Sicherheit der Daten und des Systems deutlich erhöhen. 25 Parameter stehen Administratoren zur Verfügung, um die Komplexität der Passwörter vorzugeben, so beispielsweise die Länge, die Anzahl der möglichen Sonderzeichen, die Häufigkeit der Änderung und wie stark ein neues Passwort vom alten abweichen muss.

Sieben Fehler

Das sind die häufigsten Datenschutzmängel in SAP-Projekten:

  1. Standardeinstellungen für die Kennwortvergabe behalten.

  2. Personenbezogene Daten im Ausland speichern.

  3. Zweckentfremdung von Daten.

  4. Personenbezogene Daten über die gesetzliche Aufbewahrungsfrist hinaus speichern.

  5. Reale Daten auf dem Qualitätssicherungs-system nutzen.

  6. Großzügig Universalrechte an SAP-Berater und Entwickler vergeben.

  7. SAP-eigene Suchmaschine hebelt das Rechte-Management aus.

Mobile Instandhaltungslösungen von SAP
SAP Inventory Manager
Mit dem SAP Inventory Manager lassen sich alle klassischen Wareneingangs- und Warenausgangsprozesse unter Verwendung von Barcodes in Echtzeit erfassen. SAP Inventory Manager beschleunigt so die Inventur.
SAP Workmanager
Der SAP Workmanager deckt alle Prozesse rund um die eigentliche Anlageninstandhaltung ab: Arbeitsaufträge, Rückmeldungen, Zeiterfassungen. Sie haben vor Ort die passenden Informationen zur Hand, von den technischen Platz- und Equipmentdaten über die Wartungshistorie bis hin zu den zum Auftrag gehörenden Ersatzteilen.
SAP Rounds Manager
Mit SAP Rounds Manager lassen sich Inspektionsrunden beschleunigen. Mitarbeiter überwachen Installationen effizienter und erfassen Zählerstände einfacher.
SAP CRM Service Manager
SAP CRM Service Manager ist eine mobile Komplettlösung für den mobilen Außendienst. Mit der Software lassen sich Mobilgeräte arbeiter nahtlos mit SAP Customer Relationship Management (SAP CRM) verbinden. Das Instandhaltungsteam greift via Smartphone oder Tablet auf Firmendaten zu – jederzeit und ortsunabhängig.

2. Datenverarbeitung im Auftrag

Für Datenschützer ist die "Datenverarbeitung im Auftrag" eine der wichtigsten aktuellen Herausforderungen: Wie stellen Unternehmen sicher, dass ihre von Dritten gehosteten Daten sicher sind? Für die gesetzlich geforderte Überprüfung der organisatorisch-technischen Maßnahmen des Dienstleisters gibt es verschiedene Methoden, die bis hin zur persönlichen Überprüfung vor Ort gehen. Nun handelt es sich bei SAP-Installationen aber häufig um länderübergreifend eingesetzte Lösungen. Im Selbstverständnis von Konzernen spielen nationale Grenzen bei der Zusammenarbeit mit den Landesgesellschaften und Niederlassungen keine Rolle.

Rechtlich sieht das aber anders aus. Wenn ein SAP-System mit personenbezogenen Daten physisch in Manila oder den USA installiert ist, stellt das zunächst einmal einen Verstoß gegen deutsches und EU-Recht dar, denn es gilt: Die Daten müssen innerhalb des Europäischen Wirtschaftsraums bleiben. Doch selbst innerhalb der Europäischen Union ist jede Landesgesellschaft und jede GmbH aus rechtlicher Sicht ein eigenes Unternehmen. Greift es auf Daten zu, ist das erst einmal eine Datenübermittlung, deren Zulässigkeit geprüft werden muss. Das heißt: Wenn verschiedene Gesellschaften innerhalb eines Konzerns gemeinsam eine SAP-Installation betreiben und nutzen, sind vertragliche Regelungen zur Nutzung der Daten notwendig. Der Datenschutzbeauftragte kann helfen, diese Verträge zu erstellen. Solange die Daten in der EU bleiben, ist der Datenschutz dann vorbildlich umgesetzt, wenn die sogenannten EU-Standardvertragsklauseln in Verbindung mit den 2009 verschärften deutschen Regelungen zur Auftragsdatenverarbeitung zwischen den Niederlassungen gelten. Die Bedingungen für die Auftragsdatenverarbeitung in Drittländern, also außerhalb der EU, sind strenger. Internationale Konzerne können zur Vereinfachung des konzerninternen Datentransfers Binding Corporate Rules erarbeiten und diese von der EU genehmigen lassen. Je nach Unternehmensphilosophie und Unabhängigkeit der Einzelunternehmen kann aber auch der Betrieb mehrerer SAP-Systeme die bessere Alternative sein.

3. Zweckentfremdung der Daten

Die Speicherung von personenbezogenen Daten ist per Gesetz an den Zweck gebunden: Man darf nur solche Daten verarbeiten, die für legitime Zwecke erforderlich sind, und darf sie dann auch nur für diesen definierten Einsatz nutzen. Ein typischer legitimer Wunsch kann es sein, dass die Konzernspitze ein weltweites Reporting über die Arbeit der Personalabteilungen wünscht. Wenn Daten zur Leistungskontrolle von Einzelpersonen verwendet werden, so liegt nach deutschem Recht ein Missbrauch vor, es sei denn, der Betriebsrat hat zugestimmt. Ein solcher Leistungs-Benchmark ist auf der Basis der Personalanwendung SAP HCM möglich, doch zum rechtskonformen Vorgehen müssen die personenbezogenen Daten anonymisiert sein. So lässt sich zum Beispiel weltweit aggregieren, wie viele neue Mitarbeiter eine Personalabteilung eingestellt hat, ohne dass auf die Namen der einzelnen HR-Mitarbeiter oder des einzelnen Neueingestellten geschlossen werden kann. Aus datenschutzrechtlicher Sicht wäre ein verwendungsbezogener Nachweis zur Nutzung von personenbezogenen Daten sinnvoll. Dies unterstützt SAP jedoch derzeit nicht.

Die Geschichte der SAP
Anfang der 70er
Die SAP-Gründer traten an, das alte Zeitalter der Datenverarbeitung ...
Anfang der 70er
... via Lochkarten zu beenden.
1974
Arbeitsplatz von Hackman und Neugard.
1976
Das Computer-Team mit ...
1976
... Dietmar Hopp und
1976
Hasso Plattner ...
1976
... bei einem Fußballturnier.
In den 80ern
Graphiken stellen R2 vor
1980
So sahen damals die Arbeitsplätze bei SAP aus.
1980
Das erste SAP-Gebäude
1982
Die Gründer von SAP (v.l.: Dietmar Hopp, Hans-Werner Hector, Hasso Plattner, Klaus Tschira)
1982
Die Gründer von SAP (v.l.: Hopp, Tschira, Hector, Plattner)
1982
10 Jahre SAP
1982
10 Jahre SAP. Das SAP-Gründer-Team und der damalige Walldorfer Bürgermeister (v.l.: Plattner, Tschira, Bürgermeister Jürgen Criegee, Hopp, Hector)
1986
SAP beim Gewerbegebiet an der Neurottstraße
1987
Hopp beim Tennistournier zum 15. Geburtstag von SAP
1987
Plattner beim Tennistournier zum 15. Geburtstag von SAP
1987
Das SAP-Team
1987
Hopp startet den Bau der SAP-Zentralen in Walldorf
1988
Dietmar Hopp bei der Einweihung des Schulungszentrum
1988
Der erste Handelstag der SAP-Aktie
1988
Plattner am ersten Handelstag der SAP-Aktie
1988
Die Gründer von SAP: v.l. Klaus Tschira, Hasso Plattner, Ditmar Hopp und Hans-Werner Hector
1988
Plattner am ersten Handelstag der SAP-Aktie
In den 90ern
R/3 wird vorgestellt.
In den 90ern
... vorgestellt.
Anfang der 90er
Hopp (2.v.l.) und Oswald (links) treffen den damaligen Bundeskanzler Helmut Kohl
1990
Die COMPUTERWOCHE schreibt bereits im Herbst 1990 über SAP:
1990
"Nahezu unbemerkt hat sich die SAP AG, Walldorf, mit dem modularen Standardsoftware-Paket R/2 eine Quasi-Monopol-Position auf dem Gebiet der kommerziellen Standardsoftware für S/370-Rechner in der Bundesrepublik geschaffen."
1990
Auf der CeBIT: Oswald und Hopp
1990
Die erste Bilanzpressekonferenz
1990
Die erste Bilanzpressekonferenz
1992
Plattner an der Gitarre auf der 20 Jahre SAP Feier in den USA
1992
Die Torte auf der 20 Jahre SAP Feier in den USA
1992
Das SAP-Team
1992
Bei der Übgerabe des Bundesverdienstkreuz: Hopp und der damalige Ministerpräsident von Baden-Württemberg Erwin Teufel (Mitte)
1992
Der Countdown zu R/3
1992
Hopp und der Architekt Willi Vorfelder
1992
Hopp stellt die ersten SAP-Kunden vor
1992
Das Industriegebiet in Walldorf
1992
Gerhard Oswald (Mitte) beim Countdown zu R/3
1993
Bilder von der Hauptversammlung
1993
Hopp auf der Hauptversammlung
1993
Kooperationsabkommen zwischen Plattner und ...
1993
Bill Gates (links)
1995
Das SAP-Team: v.l. Tschira, Kagermann, Zencke, Plattner
1995
Kagermann und Rudolf Scharping
1995
Die erste SAP-Aktie
1996
Award: Company of the Year für SAP
1996
Dietmar Hopp
1996
Dietmar Hopp auf der Bilanz-Pressekonferenz
1996
Kagermann und Bill Gates
1996
Kagermann, Bill Gates und Tschira (v.l.)
1996
Tschira, Bill Gates und Kagermann (v.l.)
1996
Die SAP-Zentrale
1997
25 Jahre SAP
1997
25 Jahre SAP
1997
25 Jahre SAP
1997
25 Jahre SAP
1997
25 Jahre SAP
1997
Ein SAP-Arbeitsplatz
1997
Ein SAP-Arbeitsplatz-Server
1997
SAP auf der CeBIT
1997
SAP auf der CeBIT
1997
SAP auf der CeBIT
1997
SAP auf der CeBIT
1997
Hasso Plattner auf der CeBIT
1997
Der SAP Formel1 Wagen
1997
Dietmar Hopp
1997
Hopp beim Golfturnier zum 25. Geburtstag
1997
Hopp, Kagermann und Oswald (v.l.)
1997
Kagermann beim Golfturnier zum 25. Geburtstag
1997
Plattner beim Golfturnier zum 25. Geburtstag
1997
Plattner beim Golfturnier zum 25. Geburtstag
1997
Die SAPPHIRE in Amsterdam
1997
Die SAPPHIRE in Amsterdam
1997
Die SAPPHIRE in Orlando
1997
Hasso Plattner auf der SAPPHIRE in Amsterdam
1997
Luftbild von der SAP-Zentrale in Walldorf
1998
Kagermann und Namgung, der damalige CEO von Samsung
1998
Das SAP-Team in New York
1998
Kagermann (li.) und Heinrich (Mitte) beim Börsengang in New York
1998
Kagermann und Plattner beim Börsengang in New York
1998
Kagermann und Plattner beim Börsengang in New York
1998
Plattner, Erwin Teufel, Kagermann (v.l.) auf der CeBIT
1998
Die Eröffnungszeremonie zu den WDF03 mit Kagermann
1998
Die Eröffnungszeremonie mit Kagermann (li.) und dem damaligen Bürgermeister von Walldorf
1998
Die Eröffnungszeremonie mit Kagermann (li.) und Erwin Teufel
1998
Die Softwarepalette R/3
1998
Ein SAP-Arbeitsplatz
1998
Plattner (re.) und Joschka Fischer
1998
Plattner (re.) und Joschka Fischer
1998
Ex-Bundeskanzler Helmuth Schmidt, Kagermann und Plattner (v.l.)
1998
Der Release von R3
1998
Der Release von R3
1998
Bilanzpressekonferenz mit Plattner, Hopp und Kagermann
1998
Zum Börsengang in New York
1998
Zum Börsengang in New York
1998
Zum Börsengang in New York
1998
Die SAPPHIRE in LA
1998
Die SAPPHIRE in LA
1999
Das SAP-Team
1999
Kagermann (li.) und Ex-Bundespräsident Roman Herzog
1999
Tiger Woods bei der SAP Open
1999
Ein SAP-Arbeitsplatz
2000
Luftbild von der SAP-Zentrale in Walldorf
2002
Auf der CeBIT 2002
2002
Auf der CeBIT 2002 treffen sich Kagermann (vorne li.) und Gerhard Schröder
2007
Luftbild von der SAP-Zentrale in Walldorf
2008
Das SAP-Team
2008
Auf der CeBIT mit Angela Merkel und Kagermann
2009
Auf der CeBIT mit Léo Apotheker, Arnold Schwarzenegger, Angela Merkel und Henning Kagermann (v.l.)
2010
Luftbild von der SAP-Zentrale in Walldorf

4. Gesetzliche Aufbewahrungsfrist

Die gesetzliche Aufbewahrungsfrist von Geschäftsdokumenten ist genau geregelt und beträgt beispielsweise für Handelsbriefe sechs, für Buchungsbelege zehn Jahre, für Arbeitszeitnachweise aber nur zwei Jahre. Nach dieser Frist sind personenbezogene Daten zu vernichten beziehungsweise zu löschen. Doch dafür bietet SAP bis dato keine durchgängige Handhabe. Für die Anwender besteht die einzige Möglichkeit darin, entsprechende Prozesse zu schaffen und die Daten manuell zu löschen. SAP hat diese Lücke bereits erkannt. Als ersten Schritt auf dem Weg zu einer umfassenden Lösung gibt es mittlerweile Reports, die zumindest das Löschen einer Personalnummer ermöglichen.

So finden Sie den richtigen SAP-Hosting-Partner
So finden Sie den richtigen SAP-Hosting-Partner
Diese Tipps unterstützen Sie bei der SAP-Hosting wahl.
Tipp 1:
Partnerwahl auf Augenhöhe: Größe und Unternehmenskultur sollten zusammenpassen, das heißt ein Kunde mit 25 SAP-Nutzern sollte keinen Hosting-Partner in der Größe von IBM, HP etc. wählen.
Tipp 2:
Referenzen des Partners sollten in Größe und Branche dem eigenen Unternehmen ähneln. Am besten ist ein Partner mit Fokus auf den Mittelstand.
Tipp 3:
Zukunftssicherheit des Partners: Wie sieht seine künftige Strategie aus? Kann der Partner mitwachsen, auch international? Ist der Partner solvent und damit auch längerfristig noch auf dem Markt?
Tipp 4:
Wie übernimmt er die Systeme? Eins zu eins, oder wird er sie optimieren? Besitzt er neben dem Hosting des SAP-Basisbetriebs auch Kompetenzen im Application-Management? Kennt er den spezifischen Bedarf seiner Kunden und ist er flexibel genug, darauf einzugehen? Wie sieht das Hardwarekonzept aus?
Tipp 5:
Der Hosting-Partner muss nicht unbedingt von SAP zertifiziert sein. Wichtig ist es, dass er die Lage analysiert, die Bedürfnisse des Kunden erkennt und dann die Lösung gut umsetzt.
Tipp 6:
Daher wichtig: persönliche Beziehung und Vertrauen. Kunden sollten im Vorfeld den direkten Kontakt zu den Personen suchen, die später die Alltagsarbeit leisten (IT-Leute, Projekt-Manager)
Tipp 7:
Gutes Preis-Leistungs-Verhältnis
Tipp 8:
Flexibles und variables Preismodell, das dem jeweiligen Bedarf des Kunden entgegenkommt (Pay per Use, Festpreis, viele variable Bestandteile etc.)

5. Reale Daten im Q-System

Die meisten Unternehmen betreiben in der Regel drei SAP-Systeme: ein Entwicklungssystem, ein Produktivsystem und ein Qualitätssicherungssystem ("Q-System"), anhand dessen die Funktionsweise des Produktivsystems geprüft wird. Ein Q-System erfüllt seinen Zweck umso besser, je mehr die enthaltenen Daten denen im Produktivsystem ähneln. Deshalb ist es gängige Praxis, die kompletten Produktivdaten zu kopieren und als Testdaten zu verwenden. Dies stellt jedoch einen Missbrauch dar, unter Umständen sogar einen eklatanten Eingriff in die Persönlichkeitsrechte. Im Q-System haben meist Berater und Entwickler - das können hunderte Personen sein - volle Zugriffsrechte. Für jeden dieser Mitarbeiter wäre es ein Leichtes, die Daten auf einen USB-Stick zu kopieren und beispielsweise Mitarbeiterdaten einem Headhunter oder Vertragsdaten einem Wettbewerber zu verkaufen.

Es ist daher wichtig, alle Daten zu anonymisieren, die sich leicht zuordnen lassen, also unter anderem Name, Geburtsdatum und Adresse. Zusätzlich ist es sinnvoll, das Prinzip der Datensparsamkeit anzuwenden und nur die wirklich nötigen Informationen in das Q-System zu überspielen. Die Daten sollten vorher nach dem Zufallsprinzip ausgewählt werden. Dies schränkt den potenziellen Missbrauch zusätzlich ein. Hier gilt wieder die Zweckbindung: Beschäftigte geben ihre Daten dem Unternehmen zur Abwicklung des Beschäftigungsverhältnisses, nicht jedoch, um damit IT-Systeme zu testen.

6. Universalrechte sparsam nutzen

Beim Umgang mit Daten ist Sparsamkeit wichtiger als Großzügigkeit. Dass einer Vielzahl von SAP-Beratern und -Entwicklern Universalrechte eingeräumt werden, ist falsch. Die Zugriffe von Personen mit Universalrechten sind nämlich nicht nachprüfbar und auditierbar. Sinnvoll sind dagegen abgestufte und sparsam vergebene Berechtigungen. Die fast undurchschaubare Komplexität des SAP-Berechtigungskonzepts macht es erforderlich, mit einem unternehmenseigenen System die Rechte auf wenige, transparent dokumentierte und überprüfbare Rollen einzugrenzen. Auch die meisten Administratoren sollten arbeitsteilige Rollen erhalten wie zum Beispiel als Administrator für Benutzer, für Berechtigungsdaten oder für Berechtigungsprofile. Diese Trennung führt beim Datenzugriff bei bestimmen Konstellationen zu einem Vier-Augen-Prinzip. Nicht zu vergessen ist natürlich, dass SAP-Berater eine Vertraulichkeitserklärung zu unterzeichnen haben.

7. Die SAP-eigene Suchmaschine

Zu guter Letzt bietet die SAP-Welt ein mächtiges Tool, das Datenschutz und Datensicherheit völlig aushebelt. Mit der SAP-eigenen Suchmaschine lässt sich jede Art von Information im System suchen und sammeln. Schon die Vorschau enthält oft Bankdaten oder Informationen beispielsweise über Abmahnungen oder Behinderungen. Da SAP keine rollenbasierten Nutzungsrechte oder Einschränkungen der Vorschaufunktionen anbietet, bleibt Unternehmen derzeit nur die Möglichkeit, die Suchmaschine zu deaktivieren oder große Bereiche für die Suchmaschine zu sperren.

Diese Beispiele zeigen, dass sich Anwender aktiv um den Datenschutz in ihren SAP-Systemen kümmern müssen. Bereits mit ein paar wenigen Maßnahmen lässt sich die Datensicherheit erheblich erhöhen. Bei einer vertrauensvollen Zusammenarbeit zwischen einem Datenschutzbeauftragten mit SAP-Erfahrung und SAP-Beratern findet sich für nahezu jede Anforderung des Business eine rechtskonforme Lösung. Damit ist auch der Geschäftsführer, der letztlich für die Einhaltung der Datenschutzbestimmungen haftet, auf der sicheren Seite. (ba/CW)

Dieser Beitrag erschien bereits in der ChannelPartner-Schwesterpublikation Computerwoche