Neben der Erstellung eines Verfahrensverzeichnisses sowie einigen technischen und organisatorischen Maßnahmen in allen IT-Systemen von Unternehmen gibt es einige Besonderheiten für die Umsetzung der DS-GVO innerhalb von SAP-Systemen.
Grundsätzlich die folgenden Punkte zu beachten und umzusetzen:
- Personenbezogene Daten finden sich nicht nur im SAP HCM, sondern auch in allen anderen SAP-Modulen: Kunden-, Lieferanten-, Patienten- und Benutzerdaten sind ebenfalls betroffen. In allen Workflows wie BANF, Rechnungseingang, Zeitkorrekturen, Reisekostenabrechnungen, sowie Reports (auch im BW / BI) und z. B. Zeiterfassung in CATS, sind ebenfalls personenbezogene Daten zu finden.
- Nachdem Sie die Lösch- und Sperrfristen pro Daten- und Prozessart definiert haben, sollte geprüft werden, ob Sie ggf. einzelne Datenfelder löschen können, bzw. ob sie wirklich der jeweiligen Zweckbestimmung unterliegen (Tipp: Beachten Sie, dass z. B. Vertriebsmitarbeiter personenbezogene Daten nicht in Freitextfeldern erfassen).
- Im nächsten Schritt erfolgt die Prüfung des Rollen- und Berechtigungskonzepts. Nutzen Sie die Chance Benutzer und Rollen exakter zu spezifizieren und ggf. auch Rechte einzuschränken
- Zur Realisierung des Auskunftsrechts von natürlichen Personen steht das SAP Information Retrieval Framework (SAP IRF) lizenzkostenfrei zur Verfügung.
- Durch die Bemühungen der DSAG (Deutschsprachige SAP Anwendergruppe) wurde erreicht, dass das SAP ILM Retention Management für alle Anforderungen zur Umsetzung der DS-GVO lizenzkostenfrei einsetzbar ist. Hiermit können SAP-weit die neuen Anforderungen nach Datensperrung und -löschung für alle personenbezogenen Daten umgesetzt werden.
- Mit dem SAP Read Access Logging bietet SAP eine technische Möglichkeit die lesenden Zugriffe auf definierte Daten zu protokollieren. Protokollierungsregeln und Aufbewahrungsrichtlinien lassen sich hiermit flexibel konfigurieren.
- Insgesamt sollte nochmals die Sicherheit des SAP-Systems überprüft werden. Dieses beinhaltet das regelmäßige Einspielen aktueller Sicherheitshinweise, Umsetzung von komplexen Passwortregeln. Sicherstellung der RFC-Calls sowie Einschränkungen von Berechtigungen für technische User, Überprüfung des Backup- und Recovery-Konzepts sowie das Funktionieren der Maßnahmen zum unterbrechungsfreien Betrieb.
Tipp: Löschen Sie alle personenbezogenen Daten in den vorgelagerten Entwicklungs-, Test- und Qualitätssicherungssystemen, die üblicherweise durch Systemkopien des Produktivsystems erzeugt werden. Diese unterliegen, mit den oftmals abweichenden Berechtigungskonzepten, einem großen Risiko.
Für die Cloud-basierten Services der SAP (z. B. SuccessFactors, hybris, SAP Cloud Platform) arbeitet die SAP bereits an der Umsetzung von Lösungen zur Erfüllung der gesetzlichen Anforderungen. Die DSAG geht davon aus, dass diese Funktionen ebenfalls lizenzkostenfrei und bis zum 25. Mai 2018 bereitstehen.Beim Einsatz von SAP SuccessFactors sind die Felder der speziellen Datenkategorien (z. B. ethnische Herkunft, Glaube, politische Überzeugung) gesondert zu prüfen und ggf. auszublenden.
#GDPR #DSGVO #Compliance