Mit der zunehmenden, unternehmensübergreifenden Vernetzung von IT-Systemen sind IT-Sicherheit und Datenschutz heute zentrale Themen jedes Unternehmens. Die Auflagen für den Schutz Ihrer Daten wurden mit der Einführung der Datenschutz-Grundverordnung (DSGVO) in Deutschland zusätzlich verschärft.
Die Vorbereitung auf die neuen Datenschutzregeln ist für Unternehmen eine Chance, ihren Umgang mit sensiblen Daten zu überprüfen. Durch die immer stärkere Vernetzung und die Verlagerung von „Datenschätzen“ in die Cloud, wie es bei HANA der Fall ist, sind Unternehmensdaten wachsenden Gefahren durch Cyberkriminalität ausgesetzt. Neben dem gesetzlich geforderten Schutz personenbezogener Daten müssen Unternehmen auch ihre sensiblen Unternehmensdaten vor unberechtigtem Zugriff schützen.
Entwickeln Sie vor Beginn der Migration auf S/4HANA ein umfassendes Sicherheits- und Datenschutzkonzept für die Berechtigungen der User und den Datenschutz in Ihrer S/4HANA Landschaft und den angrenzenden Systemen. Denn Datenschutz ist kein Projekt, sondern ein gelebter Prozess, der ständigen Änderungen unterliegt.
Das Datenschutzkonzept sollte u.a. einen dynamischen Prozess nach dem klassischen Plan-Do-Check-Act abbilden. Vorher ist allerdings die entscheidende Frage zu stellen und zu klären:
„Wo in meinem SAP-System befinden sich welche personenbezogenen Daten?“
Sind diese transparent und dokumentiert, ist der P-D-C-A-Zyklus gestartet. Weitere wesentliche Punkte sind generisch in der folgenden Grafik dargestellt.
Frühzeitig in der Planung sind die Grundsätze des Data Protection by Design and Default zu beachten:
Zugriffsberechtigungen erlauben Benutzern, Objekte zu schreiben, anzuzeigen, zu ändern oder zu löschen. Dies ist bei Zugriff auf pbD* streng zu reglementieren. Denn aus Datenschutzsicht darf ein User nur aufgrund seiner Aufgabe oder Rolle im Unternehmen pbD* schreiben oder darauf zugreifen, lesen und/oder verändern oder löschen. Zusätzlich muss dies auf Grund der Rechenschaftspflicht in der DSGVO nachträglich nachgewiesen werden können.
Somit ist auf das Berechtigungskonzept unter Datenschutzgesichtspunkten ein wesentliches Augenmerk zu richten, neben dem sowieso zu berücksichtigenden 4-Augen-Prinzip in einigen Prozessen. Hierzu mehr im zweiten Teil dieses Blogs.
PbD* in Testumgebung
Zum Testen benötigt man praxisnahe Daten. Dabei sollten pbD* für die verschiedenen Testphasen synthetisch erzeugt oder anonymisiert werden. In dem Fall ist man aus der DSGVO raus und das Testen wird deutlich einfacher. Lässt sich dies partout nicht umgehen, ist das gleiche, strenge Berechtigungskonzept wie für die Produktionsumgebung anzuwenden.
Das Löschkonzept
Die Unternehmen, die HANA bereits eingeführt haben, beklagen einen erheblichen Aufwand, um SAP S/4HANA für die DSGVO fit zu machen. Dies betrifft zu einem wesentlichen Teil die Anforderung der DSGVO, pbD*, deren Erhebungszweck entfallen ist und die keiner Aufbewahrungspflicht aufgrund anderer Gesetze unterliegen, zu löschen oder zumindest zu sperren. Es ist offenbar nicht einfach und mit einem gewissen Aufwand verbunden. Viele Unternehmen sahen sich gezwungen, in ergänzende Produkte zu investieren, um die gesetzlichen Anforderungen zu erfüllen.
Insbesondere das „SAP NetWeaver Information Lifecycle Management“ (ILM) stellt dabei aus DSAG-Sicht eine wichtige Komponente dar. Ohne dieses Werkzeug sei die Umsetzung der Datenschutzvorgaben nur mit hohem Zusatzaufwand machbar. Das ILM wird unter anderem zum Sperren und Löschen von personenbezogenen Daten benötigt.
Fazit
Nicht nur wegen drohender hoher, abschreckender Sanktionen, sondern auch wegen möglicher Reputationsschäden sollten Unternehmen frühzeitig die Anforderungen des Datenschutzes im HANA-Projekt berücksichtigen. „Vor-Sicht ist günstiger als Nach-Sicht“.
Der zweite, folgende Teil zum Thema DSGVO in SAP S/4HANA Projekten beschäftigt sich mit der Umsetzung (Do), der regelmäßigen Kontrolle (Check) sowie der Umsetzung der Erkenntnisss in geeignete Maßnahmen (Act).
Anmerkung:
Fragen, Feedback und Kommentare zu diesem Beitrag senden Sie bitte an acent.marketing@acent.de
Roland von Gehlen | 27.07.2020