Unternehmen unterschätzen in SAP-Großprojekten häufig, was es bedeutet, wenn mächtige Datenbestände, die Mitarbeiter, Partner oder Kunden betreffen, integriert werden. Gerade SAP-Anwender müssen sich dabei auch mit der Datensicherheit und dem Datenschutz befassen. Schließlich kommen an vielen Punkten personenbezogene Informationen ins Spiel, für die in Europa besondere Schutzbedingungen gelten. Zu regeln ist, wer, wo, unter welchen Umständen und aus welchem Grund auf bestimmte Daten zugreifen darf. Dabei sind die SAP-eigenen Funktionen nicht immer hilfreich, sondern verhindern manchmal sogar, was getan werden muss. Was sind typische Mängel bei der Datenspeicherung in SAP-Installationen? Und wie können Firmen diese Mängel beheben und dennoch die gesteckten Ziele erreichen?

Im Idealfall arbeiten SAP-Berater mit den Datenschutzbeauftragten Hand in Hand, um Daten vor unrechtmäßigem Zugriff zu schützen und die rechtlichen Vorschriften einzuhalten. Erschwert wird diese Kooperation aber meist dadurch, dass SAP-Berater vor allem daran interessiert sind, das Projekt schnell durchzuziehen und die Prozesse möglichst effizient zu gestalten. Datenschutzbeauftragte wiederum sind in den seltensten Fällen mit den technischen Aspekten von SAP-Systemen vertraut. In der Praxis tauchen bei SAP-Einführungsprojekten immer wieder ähnliche Probleme auf, die sich jedoch lösen lassen. Die wichtigsten Mängel und entsprechende Lösungsansätze sind im Folgenden aufgelistet.

Auf den folgenden Seiten finden Sie ausführliche Lösungsansätze für jedes Problem

1. Das richtige Kennwort

SAP-Systeme sind unter anderem durch Kennworte vor dem Zugriff von außen geschützt. Die Standardeinstellung erlaubt jedoch ausgesprochen schwache Kennworte, die nicht regelmäßig geändert werden müssen. Drei Zeichen reichen aus, und damit ist es für Profis ein Leichtes, sich in die meisten Accounts einzuhacken. Doch schon mit den Bordmitteln von SAP lässt sich die Sicherheit der Daten und des Systems deutlich erhöhen. 25 Parameter stehen Administratoren zur Verfügung, um die Komplexität der Passwörter vorzugeben, so beispielsweise die Länge, die Anzahl der möglichen Sonderzeichen, die Häufigkeit der Änderung und wie stark ein neues Passwort vom alten abweichen muss.

2. Datenverarbeitung im Auftrag

Für Datenschützer ist die "Datenverarbeitung im Auftrag" eine der wichtigsten aktuellen Herausforderungen: Wie stellen Unternehmen sicher, dass ihre von Dritten gehosteten Daten sicher sind? Für die gesetzlich geforderte Überprüfung der organisatorisch-technischen Maßnahmen des Dienstleisters gibt es verschiedene Methoden, die bis hin zur persönlichen Überprüfung vor Ort gehen. Nun handelt es sich bei SAP-Installationen aber häufig um länderübergreifend eingesetzte Lösungen. Im Selbstverständnis von Konzernen spielen nationale Grenzen bei der Zusammenarbeit mit den Landesgesellschaften und Niederlassungen keine Rolle.

Rechtlich sieht das aber anders aus. Wenn ein SAP-System mit personenbezogenen Daten physisch in Manila oder den USA installiert ist, stellt das zunächst einmal einen Verstoß gegen deutsches und EU-Recht dar, denn es gilt: Die Daten müssen innerhalb des Europäischen Wirtschaftsraums bleiben. Doch selbst innerhalb der Europäischen Union ist jede Landesgesellschaft und jede GmbH aus rechtlicher Sicht ein eigenes Unternehmen. Greift es auf Daten zu, ist das erst einmal eine Datenübermittlung, deren Zulässigkeit geprüft werden muss. Das heißt: Wenn verschiedene Gesellschaften innerhalb eines Konzerns gemeinsam eine SAP-Installation betreiben und nutzen, sind vertragliche Regelungen zur Nutzung der Daten notwendig. Der Datenschutzbeauftragte kann helfen, diese Verträge zu erstellen. Solange die Daten in der EU bleiben, ist der Datenschutz dann vorbildlich umgesetzt, wenn die sogenannten EU-Standardvertragsklauseln in Verbindung mit den 2009 verschärften deutschen Regelungen zur Auftragsdatenverarbeitung zwischen den Niederlassungen gelten. Die Bedingungen für die Auftragsdatenverarbeitung in Drittländern, also außerhalb der EU, sind strenger. Internationale Konzerne können zur Vereinfachung des konzerninternen Datentransfers Binding Corporate Rules erarbeiten und diese von der EU genehmigen lassen. Je nach Unternehmensphilosophie und Unabhängigkeit der Einzelunternehmen kann aber auch der Betrieb mehrerer SAP-Systeme die bessere Alternative sein.

3. Zweckentfremdung der Daten

Die Speicherung von personenbezogenen Daten ist per Gesetz an den Zweck gebunden: Man darf nur solche Daten verarbeiten, die für legitime Zwecke erforderlich sind, und darf sie dann auch nur für diesen definierten Einsatz nutzen. Ein typischer legitimer Wunsch kann es sein, dass die Konzernspitze ein weltweites Reporting über die Arbeit der Personalabteilungen wünscht. Wenn Daten zur Leistungskontrolle von Einzelpersonen verwendet werden, so liegt nach deutschem Recht ein Missbrauch vor, es sei denn, der Betriebsrat hat zugestimmt. Ein solcher Leistungs-Benchmark ist auf der Basis der Personalanwendung SAP HCM möglich, doch zum rechtskonformen Vorgehen müssen die personenbezogenen Daten anonymisiert sein. So lässt sich zum Beispiel weltweit aggregieren, wie viele neue Mitarbeiter eine Personalabteilung eingestellt hat, ohne dass auf die Namen der einzelnen HR-Mitarbeiter oder des einzelnen Neueingestellten geschlossen werden kann. Aus datenschutzrechtlicher Sicht wäre ein verwendungsbezogener Nachweis zur Nutzung von personenbezogenen Daten sinnvoll. Dies unterstützt SAP jedoch derzeit nicht.

4. Gesetzliche Aufbewahrungsfrist

Die gesetzliche Aufbewahrungsfrist von Geschäftsdokumenten ist genau geregelt und beträgt beispielsweise für Handelsbriefe sechs, für Buchungsbelege zehn Jahre, für Arbeitszeitnachweise aber nur zwei Jahre. Nach dieser Frist sind personenbezogene Daten zu vernichten beziehungsweise zu löschen. Doch dafür bietet SAP bis dato keine durchgängige Handhabe. Für die Anwender besteht die einzige Möglichkeit darin, entsprechende Prozesse zu schaffen und die Daten manuell zu löschen. SAP hat diese Lücke bereits erkannt. Als ersten Schritt auf dem Weg zu einer umfassenden Lösung gibt es mittlerweile Reports, die zumindest das Löschen einer Personalnummer ermöglichen.

5. Reale Daten im Q-System

Die meisten Unternehmen betreiben in der Regel drei SAP-Systeme: ein Entwicklungssystem, ein Produktivsystem und ein Qualitätssicherungssystem ("Q-System"), anhand dessen die Funktionsweise des Produktivsystems geprüft wird. Ein Q-System erfüllt seinen Zweck umso besser, je mehr die enthaltenen Daten denen im Produktivsystem ähneln. Deshalb ist es gängige Praxis, die kompletten Produktivdaten zu kopieren und als Testdaten zu verwenden. Dies stellt jedoch einen Missbrauch dar, unter Umständen sogar einen eklatanten Eingriff in die Persönlichkeitsrechte. Im Q-System haben meist Berater und Entwickler - das können hunderte Personen sein - volle Zugriffsrechte. Für jeden dieser Mitarbeiter wäre es ein Leichtes, die Daten auf einen USB-Stick zu kopieren und beispielsweise Mitarbeiterdaten einem Headhunter oder Vertragsdaten einem Wettbewerber zu verkaufen.

Es ist daher wichtig, alle Daten zu anonymisieren, die sich leicht zuordnen lassen, also unter anderem Name, Geburtsdatum und Adresse. Zusätzlich ist es sinnvoll, das Prinzip der Datensparsamkeit anzuwenden und nur die wirklich nötigen Informationen in das Q-System zu überspielen. Die Daten sollten vorher nach dem Zufallsprinzip ausgewählt werden. Dies schränkt den potenziellen Missbrauch zusätzlich ein. Hier gilt wieder die Zweckbindung: Beschäftigte geben ihre Daten dem Unternehmen zur Abwicklung des Beschäftigungsverhältnisses, nicht jedoch, um damit IT-Systeme zu testen.

6. Universalrechte sparsam nutzen

Beim Umgang mit Daten ist Sparsamkeit wichtiger als Großzügigkeit. Dass einer Vielzahl von SAP-Beratern und -Entwicklern Universalrechte eingeräumt werden, ist falsch. Die Zugriffe von Personen mit Universalrechten sind nämlich nicht nachprüfbar und auditierbar. Sinnvoll sind dagegen abgestufte und sparsam vergebene Berechtigungen. Die fast undurchschaubare Komplexität des SAP-Berechtigungskonzepts macht es erforderlich, mit einem unternehmenseigenen System die Rechte auf wenige, transparent dokumentierte und überprüfbare Rollen einzugrenzen. Auch die meisten Administratoren sollten arbeitsteilige Rollen erhalten wie zum Beispiel als Administrator für Benutzer, für Berechtigungsdaten oder für Berechtigungsprofile. Diese Trennung führt beim Datenzugriff bei bestimmen Konstellationen zu einem Vier-Augen-Prinzip. Nicht zu vergessen ist natürlich, dass SAP-Berater eine Vertraulichkeitserklärung zu unterzeichnen haben.

7. Die SAP-eigene Suchmaschine

Zu guter Letzt bietet die SAP-Welt ein mächtiges Tool, das Datenschutz und Datensicherheit völlig aushebelt. Mit der SAP-eigenen Suchmaschine lässt sich jede Art von Information im System suchen und sammeln. Schon die Vorschau enthält oft Bankdaten oder Informationen beispielsweise über Abmahnungen oder Behinderungen. Da SAP keine rollenbasierten Nutzungsrechte oder Einschränkungen der Vorschaufunktionen anbietet, bleibt Unternehmen derzeit nur die Möglichkeit, die Suchmaschine zu deaktivieren oder große Bereiche für die Suchmaschine zu sperren.

Diese Beispiele zeigen, dass sich Anwender aktiv um den Datenschutz in ihren SAP-Systemen kümmern müssen. Bereits mit ein paar wenigen Maßnahmen lässt sich die Datensicherheit erheblich erhöhen. Bei einer vertrauensvollen Zusammenarbeit zwischen einem Datenschutzbeauftragten mit SAP-Erfahrung und SAP-Beratern findet sich für nahezu jede Anforderung des Business eine rechtskonforme Lösung. Damit ist auch der Geschäftsführer, der letztlich für die Einhaltung der Datenschutzbestimmungen haftet, auf der sicheren Seite. (ba)