SAP-Berechtigungskonzept vs. Datenschutz-Folgenabschätzung

Autor: Tobias Harmes | 13. Juni 2018

12

Am 24. Mai 2016 ist in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten, welche seit dem 25. Mai 2018 verbindlich anzuwenden ist. Auf Sie und Ihr Unternehmen kommen dabei große Herausforderungen bei der Anpassung Ihres SAP-Berechtigungskonzepts zu, die es zu überwinden gilt.

Viele der Anforderungen in der DSGVO hätten bereits durch die deutschen, sehr strengen Datenschutzgesetze umgesetzt werden müssen, was jedoch in der Praxis auch aufgrund der im Verhältnis geringen Strafandrohungen nur stiefmütterlich realisiert wurde. Speziell die durch Art. 35 festgehaltene Datenschutz-Folgenabschätzung bringt große Herausforderungen mit sich. Haben Sie sich in Ihrem Unternehmen bereits damit auseinandergesetzt?

Neues SAP Berechtigungskonzept vom führenden SAP-Security Berater

Wir helfen SAP Kunden, ein neues Berechtigungskonzept einzuführen, dass den Prüfer zufriedenstellt und im Betrieb reibungslos funktioniert.

Mit Aktiv werden der DSGVO können Sie bis zu einer Geldbuße von 20.000.000 € oder 4% Ihres weltweiten Umsatzes bestraft werden, was für viele Unternehmen einer Bankrotterklärung gleich käme. Diese Sanktionierungsmaßnahmen durch die EU gilt es zu vermeiden, ein erster wichtiger Schritt ist dabei ein angepasstes Berechtigungskonzept in Ihrem SAP-Umfeld.

Dabei ist besonderer Fokus auf die Datenschutz-Folgenabschätzung zu legen. Diese erinnert in ihren Grundzügen stark an die im alten deutschen Datenschutzgesetz festgehaltene Vorabkontrolle, birgt jedoch noch weitere Herausforderungen in sich.

Worum handelt es sich bei der Datenschutz-Folgenabschätzung?

Mit Art. 35 der DSGVO wird eine Datenschutz-Folgenabschätzung eingeführt. „Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Instrument, um das Risiko zu erkennen und zu bewerten, das für das Individuum in dessen unterschiedlichen Rollen durch den Einsatz einer bestimmten Technologie entsteht. Ziel einer DSFA ist es, vor der Verarbeitung von Daten die Folgen dieses Prozesses abzuschätzen, insbesondere dann, wenn aufgrund dieser Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen entstehen kann. Es müssen bestimmte Mindestanforderungen bezüglich des Inhalts einer Datenschutz-Folgenabschätzung erfüllt sein. Dabei muss zunächst eine systematische Beschreibung der geplanten Verarbeitungsschritte erstellt werden. Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge, Weiterhin ist eine Bewertung der entstehenden Risiken anzulegen. Zusätzlich muss ein Katalog mit Maßnahmen erstellt werden, die ergriffen werden, um den Schutz der personenbezogenen Daten sicherzustellen. Somit wird garantiert, dass die DSGVO eingehalten wird.

cyber-security-3400657_1920

Die Datenschutz-Folgenabschätzung steht in Verbindung zum interen Kontrollsystem

Die DSGVO birgt viele Dokumentationspflichten inkl. der Datenschutz-Folgenabschätzung, die große Anforderungen an Berechtigungskonzepte stellen. Eine Dokumentationspflicht davon, das Erstellen eines Verfahrensverzeichnisses, verlangt Anpassungen des Berechtigungskonzepts. Für die Datenschutz-Folgenabschätzung sind auch Anpassungen an SAP-Berechtigungssystemen notwendig. Mit der DSFA soll analysiert werden, wozu Daten benutzt werden und was mit ihnen geschehen kann, wo kritische Punkte in der Verarbeitung vorliegen und was daraus für Gefahren entstehen können. Es handelt sich somit um eine Risikoabschätzung die Daten betreffend. Innerhalb des internen Kontrollsystems werden Risiken betrachtet, im Berechtigungskonzept selbst wird festgeschrieben, dass dieses gesetzlichen Grundlagen und dem IKS unterliegt. Somit wird eine Verbindung zwischen der DSFA und dem Berechtigungskonzept hergestellt.

 

Wir helfen Ihnen dabei, Ihr Unternehmen DSGVO-konform aufzustellen.

 

 Was hat der Datenschutzbeauftragte mit der Datenschutz-Folgenabschätzung am Hut?

Ein weitere Berührung zwischen der Datenschutz-Folgenabschätzung und Berechtigungssystemen wird durch die Verbindung zum Datenschutzbeauftragten aufgezeigt. Dieser steht dem Verantwortlichen mit Rat zur Seite und überwacht die Durchführung der Datenschutz-Folgenabschätzung. Ihm selbst ist es allerdings nicht aufgetragen, die DSFA selbst anzustoßen oder durchzuführen.
Nichtsdestotrotz kann mit dem Berechtigungskonzept kein deutlich weitergehendes Risk Management ersetzt werden, so dass ein solches parallel zu einem Berechtigungskonzept zu entwerfen ist.

Alles zum Datenschutz (DSGVO)

Alles zur DSGVO: Auf der sicheren Seite in Sachen Datenschutz

Jeder Kunde möchte, dass seine personenbezogenen Daten geschützt werden, das schreibt nun auch die DSGVO vor. Entgehen sie den hohen Strafen!

Die Umsetzungen  der DSFA und der weiteren Anforderungen aus der DSGVO stellen einen langwierigen Prozess dar, den es gilt, akribisch umzusetzen. Falls Sie dabei Unterstützung benötigen, freue ich mich sehr über ihre Fragen!

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice