Markus Krieger
Markus Krieger
 - 13. Juni 2018

SAP-Berechtigungskonzept vs. Datenschutz-Folgenabschätzung

privacy-policy-3344455_1920 Am 24. Mai 2016 ist in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten, welche seit dem 25. Mai 2018 verbindlich anzuwenden ist. Auf Sie und Ihr Unternehmen kommen dabei große Herausforderungen bei der Anpassung Ihres SAP-Berechtigungskonzepts zu, die es zu überwinden gilt.


Viele der Anforderungen in der DSGVO hätten bereits durch die deutschen, sehr strengen Datenschutzgesetze umgesetzt werden müssen, was jedoch in der Praxis auch aufgrund der im Verhältnis geringen Strafandrohungen nur stiefmütterlich realisiert wurde. Speziell die durch Art. 35 festgehaltene Datenschutz-Folgenabschätzung bringt große Herausforderungen mit sich. Haben Sie sich in Ihrem Unternehmen bereits damit auseinandergesetzt?

Mit Aktiv werden der DSGVO können Sie bis zu einer Geldbuße von 20.000.000 € oder 4% Ihres weltweiten Umsatzes bestraft werden, was für viele Unternehmen einer Bankrotterklärung gleich käme. Diese Sanktionierungsmaßnahmen durch die EU gilt es zu vermeiden, ein erster wichtiger Schritt ist dabei ein angepasstes Berechtigungskonzept in Ihrem SAP-Umfeld.

Dabei ist besonderer Fokus auf die Datenschutz-Folgenabschätzung zu legen. Diese erinnert in ihren Grundzügen stark an die im alten deutschen Datenschutzgesetz festgehaltene Vorabkontrolle, birgt jedoch noch weitere Herausforderungen in sich.

Worum handelt es sich bei der Datenschutz-Folgenabschätzung?

Mit Art. 35 der DSGVO wird eine Datenschutz-Folgenabschätzung eingeführt. „Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Instrument, um das Risiko zu erkennen und zu bewerten, das für das Individuum in dessen unterschiedlichen Rollen durch den Einsatz einer bestimmten Technologie entsteht. Ziel einer DSFA ist es, vor der Verarbeitung von Daten die Folgen dieses Prozesses abzuschätzen, insbesondere dann, wenn aufgrund dieser Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen entstehen kann. Es müssen bestimmte Mindestanforderungen bezüglich des Inhalts einer Datenschutz-Folgenabschätzung erfüllt sein. Dabei muss zunächst eine systematische Beschreibung der geplanten Verarbeitungsschritte erstellt werden. Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge, Weiterhin ist eine Bewertung der entstehenden Risiken anzulegen. Zusätzlich muss ein Katalog mit Maßnahmen erstellt werden, die ergriffen werden, um den Schutz der personenbezogenen Daten sicherzustellen. Somit wird garantiert, dass die DSGVO eingehalten wird.

cyber-security-3400657_1920

Die Datenschutz-Folgenabschätzung steht in Verbindung zum interen Kontrollsystem

Die DSGVO birgt viele Dokumentationspflichten inkl. der Datenschutz-Folgenabschätzung, die große Anforderungen an Berechtigungskonzepte stellen. Eine Dokumentationspflicht davon, das Erstellen eines Verfahrensverzeichnisses, verlangt Anpassungen des Berechtigungskonzepts. Für die Datenschutz-Folgenabschätzung sind auch Anpassungen an SAP-Berechtigungssystemen notwendig. Mit der DSFA soll analysiert werden, wozu Daten benutzt werden und was mit ihnen geschehen kann, wo kritische Punkte in der Verarbeitung vorliegen und was daraus für Gefahren entstehen können. Es handelt sich somit um eine Risikoabschätzung die Daten betreffend. Innerhalb des internen Kontrollsystems werden Risiken betrachtet, im Berechtigungskonzept selbst wird festgeschrieben, dass dieses gesetzlichen Grundlagen und dem IKS unterliegt. Somit wird eine Verbindung zwischen der DSFA und dem Berechtigungskonzept hergestellt.

 

Wir helfen Ihnen dabei, Ihr Unternehmen DSGVO-konform aufzustellen.

 

 Was hat der Datenschutzbeauftragte mit der Datenschutz-Folgenabschätzung am Hut?

Ein weitere Berührung zwischen der Datenschutz-Folgenabschätzung und Berechtigungssystemen wird durch die Verbindung zum Datenschutzbeauftragten aufgezeigt. Dieser steht dem Verantwortlichen mit Rat zur Seite und überwacht die Durchführung der Datenschutz-Folgenabschätzung. Ihm selbst ist es allerdings nicht aufgetragen, die DSFA selbst anzustoßen oder durchzuführen.
Nichtsdestotrotz kann mit dem Berechtigungskonzept kein deutlich weitergehendes Risk Management ersetzt werden, so dass ein solches parallel zu einem Berechtigungskonzept zu entwerfen ist.

Die Umsetzungen  der DSFA und der weiteren Anforderungen aus der DSGVO stellen einen langwierigen Prozess dar, den es gilt, akribisch umzusetzen. Falls Sie dabei Unterstützung benötigen, freue ich mich sehr über ihre Fragen!

Markus Krieger

Markus Krieger

Mein Name ist Markus Krieger und ich bin begeisterter SAP-Consultant im Bereich Basis und Security. Meine Schwerpunkte sind die Optimierung von Berechtigungskonzepten sowie das Erreichen von DSGVO-Konformität von SAP-Systemen, um Ihr Unternehmen sicherer zu gestalten.

Sie haben Fragen? Kontaktieren Sie mich!




Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.