Beruflich Dokumente
Kultur Dokumente
$UEHLWVNUHLV5HYLVLRQ
$UEHLWVJUXSSH'DWHQVFKXW]
/HLWIDGHQ'DWHQVFKXW]
IU6$35
5HOHDVH
%HVWHOO1U )D[1U
KWWSZZZVDSFRPJHUPDQ\DERXWVDSUHYLV
KWWSZZZVDSGHUHYLV
(LQIKUXQJVSUR]HVV
$XIJDEHQGHV'DWHQVFKXW]EHDXIWUDJWHQ
2.1.1 Einbeziehung des DSB vor und während der Programmentwicklung- und -
anpassung.............................................................................................................................. 28
2.1.2 Prüfung der Datenerhebung und Datennutzung auf Rechtmäßigkeit ................... 28
2.1.3 Auswertung der Protokollierung........................................................................... 28
2.1.4 Prüfung der Verfahrensdokumentation................................................................. 29
2.1.5 Mitwirkung bei der Festlegung und Überprüfung des Berechtigungskonzeptes .. 29
2.1.6 Mitwirkung bei der Festlegung des Betriebskonzeptes und der
Betreiberorganisation............................................................................................................ 31
2.1.7 Abfassung einer Datenschutzerklärung ................................................................ 32
2.1.8 Überwachung des Korrektur- und Transportwesens unter SAP R/3 .................... 32
2.1.9 Kontrollen im laufenden Betrieb .......................................................................... 32
2.2 6FKXOXQJGHU$QZHQGHUPLW9HUSIOLFKWXQJDXIGDV'DWHQJHKHLPQLVJXQG
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 3
%'6*
5HFKWHGHU%HWURIIHQHQXQGYRQMHGHUPDQQ
3.1.1 SAP-Fakten........................................................................................................... 61
3.1.2 Anforderungen an die Organisation des Datenschutzes ....................................... 61
3.2 %HULFKWLJXQJ/|VFKXQJXQG6SHUUXQJ
8PVHW]XQJGHU$QIRUGHUXQJHQDXV%'6*XQG$QODJH7HFKQLVFK
RUJDQLVDWRULVFKH0DQDKPHQ
3URJUDPPGRNXPHQWDWLRQ
)UHLJDEHYHUIDKUHQ
$QZHQGXQJVHQWZLFNOXQJ
%HQXW]HUVHUYLFH6\VWHPDGPLQLVWUDWLRQ
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 4
5HFKHQ]HQWUXPVEHWULHE
4.3.3 Prüfung der Datenschutzmaßnahmen gemäß § 9 BDSG und der Anlage .......... 101
$XWKHQWLIL]LHUXQJ
=XJULIIVVFKXW]
=XJULIIVVFKXW]
=XJULIIVVFKXW]
=XJULIIVVFKXW]
=XJULIIVVFKXW]
$XIWUDJVGDWHQYHUDUEHLWXQJ
%HVRQGHUH7KHPHQ
=XVDPPHQIDVVXQJGHUbQGHUXQJHQXQG1DFKWUlJH
Einleitung
Die Verantwortung für den Inhalt tragen die Autoren. Die redaktionelle Bear-
beitung liegt bei der SAP AG, Walldorf.
+LQZHLV : Das Werk einschließlich aller seiner Teile ist urheberrechtlich ge-
schützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechts ist
ohne Zustimmung der Urheber unzulässig und strafbar. Das gilt insbesondere
für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspei-
cherung und Verarbeitung in elektronischen Systemen.
Die Autoren des Leitfaden Datenschutz sind für Kritik, Änderungs- und Er-
gänzungswünsche dankbar. Dies gilt sowohl für Vorschläge zur Vertiefung der
einzelnen Kapitel als auch für die Nennung von Beispielen aus konkreten
Prüfungserfahrungen.
8P GHP /HVHU GDV $QWZRUWHQ ]X HUOHLFKWHUQ LVW DXI GHU IROJHQGHQ 6HLWH
HLQ)RUPXODUHLQJHIJW
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 9
Eimsbüttelerstr. 18
D-22769 Hamburg
Email: barthel@forbit.de
Absender: Name: ...........................................................................................
Funktion: ...........................................................................................
Abteilung: ...........................................................................................
Firma: ...........................................................................................
Anschrift: ...........................................................................................
...........................................................................................
Telefon: ................................... Fax: ............................................
Ich möchte der Arbeitsgruppe zu folgendem Themenkreis Informationen geben (bitte ankreuzen):
( ) Kritische Tabellen/Customizing-Einstellungen
( ) Kritische Objekte
( ) Kritische SAP-Fakten
( ) Beispiele für konkrete Umsetzungsmaßnahmen und Prüfungshandlungen
Ich beziehe mich auf
SAP-Leitfaden Datenschutz R/3, Kapitel:................................................
SAP-R/3-System, Release: ....................................................
Meine Information lautet:
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
Zur weiteren Erläuterung sind Anlagen beigefügt (bitte ankreuzen):
( ) Ja ( ) Nein
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 10
1. Einführungsprozess
Die Voraussetzung für die Anwendung des Bundesdatenschutzgesetzes
(BDSG) ist beim Einsatz von SAP R/3 erfüllt, da in allen Modulen personen-
bezogene Daten automatisiert verarbeitet werden (vgl. § 1 BDSG in Verbin-
dung mit §§ 12 oder 27 BDSG). Deshalb sind das Bundesdatenschutzgesetz
und andere vorrangige Rechtsvorschriften, z.B. das jeweilige Landesdaten-
schutzgesetz zu beachten. Dieser Leitfaden gilt für den öffentlichen und den
nicht-öffentlichen Bereich. Auf die Besonderheiten der Landesdatenschutzge-
setze wird in diesem Leitfaden nicht eingegangen.
Da SAP R/3 als international eingesetzte Standardsoftware unter betriebswirt-
schaftlichen Aspekten konzipiert ist, kann ein Anwender nicht ohne weiteres
davon ausgehen, dass für alle angebotenen Datenfelder die Rechtsgrundlagen
im Sinne der deutschen Datenschutzgesetze gegeben sind.
Es ergibt sich damit die Notwendigkeit zu überprüfen, ob SAP R/3 in der beim
Anwender vorgesehenen Ausprägung den Anforderungen des Bundesdaten-
schutzgesetzes und ggf. anderer Vorschriften über den Datenschutz genügt.
Der Datenschutzbeauftragte sowie Betriebsrat/Personalrat sind daher in die
Projektarbeit einzubeziehen, wobei die Projektverantwortung für die ordnungs-
gemäße Einführung von SAP R/3 der Projektleitung obliegt.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 11
1.1 $QIRUGHUXQJHQGHV%'6*DQ6$35
Das BDSG spricht ein grundsätzliches Verbot der Verarbeitung und Nutzung
personenbezogener Daten aus und erlaubt die Datenverarbeitung nur, wenn die
im BDSG definierten Voraussetzungen erfüllt sind. Dieser Grundsatz führt da-
zu, dass mit der Einführung des SAP R/3 überprüft werden muss, ob die An-
forderungen des BDSG und anderer vorrangiger Rechtsvorschriften angemes-
sen berücksichtigt wurden.
1.1.3 Abrufverfahren
1.1.5 Auftragsverarbeitung
werden oder
• von ihm bei öffentlichen Stellen Daten ohne seine Kenntnis gemäß § 19a
BDSG erhoben werden oder
• bei nicht-öffentlichen Stellen gemäß § 33 BDSG erstmalig Daten über ihn
gespeichert bzw. übermittelt werden.
Falls demnach eine Benachrichtigung erforderlich wird, muss das Verfahren
entsprechend festgelegt werden.
1.1.9 Meldepflicht
Das BDSG fordert, dass alle Personen, die mit personenbezogenen Daten um-
gehen, auf das Datengeheimnis gemäß § 5 BDSG zu verpflichten sind.
• Die Verpflichtung auf das Datengeheimnis ist pro Mitarbeiter zu dokumen-
tieren.
• Es ist sicherzustellen, dass beauftragte Firmen, die bei der Einführung von
SAP R/3 hinzugezogen werden, ihre Mitarbeiter auf das Datengeheimnis
verpflichtet haben.
1.1.11 Schulung
1.1.14 Vorabkontrolle
Abs. 5 BDSG unter den dort genannten Voraussetzungen vor Beginn der Ver-
arbeitung einer datenschutzrechtlichen Prüfung zu unterwerfen. Zuständig für
die Vorabkontrolle ist der Datenschutzbeauftragte.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 16
(LQIKUXQJYRQ6$35
Die sachgerechte Beratung der Projektleitung und -mitarbeiter und die Über-
prüfung der ordnungsgemäßen Anwendung (Customizing) durch den Daten-
schutzbeauftragten, die im § 4g Abs. 1 Nr. 1 BDSG vorgesehen ist, können ef-
fektiv erreicht werden, wenn er Projektmitglied ist.
Wird SAP R/3 in einem Unternehmen eingeführt, ist der Datenschutz-
beauftragte daher vom Projektbeginn an zu beteiligen.
schutzbeauftragten abstimmen
1.3 6$3)DNWHQ
+LOIH!6$3%LEOLRWKHN!,0*
bzw. im System
Menüpfad:
3URMHNWEHDUEHLWXQJ!6$35HIHUHQ],0* (SPRO)
1.3.2 Berechtigungskonzept
len:
• dem Schutz vertraulicher Daten vor unberechtigter Erhebung, Speicherung,
Kenntnisnahme, Übermittlung und Nutzung, dem Schutz der Daten vor un-
berechtigter, auch versehentlicher Änderung oder Löschung
• der Gewährleistung des zweckgebundenen Gebrauchs der Daten
• der Nachvollziehbarkeit und Zweckgebundenheit des Zugriffs auf
personenbezogene Daten
Mit Release 4.6C liefert SAP ein Set von Rollenvorlagen aus, die der Kunde
als Vorlage benutzen und hinsichtlich der Zuständigkeiten und organisatori-
schen Ausprägungen an seine individuellen Bedürfnisse anpassen sollte. Mit
jeder Vorlage erhält man ein individuelles Benutzermenü. Die Rollenvorlagen
sind integrativer Bestandteil der anwendungsübergreifenden mySAP.com
Workplace und Enterprise Portal/Portal-Rollen.
Dem Administrator steht eine erweiterte Funktionsauswahl in der Einstiegs-
transaktion SAP Easy Access zur Verfügung. Mit dieser erweiterten Funktions-
auswahl ist es ihm möglich, einfach eine der vielen Benutzerrollen einem Be-
nutzer zuzuweisen. Dieser Benutzer erhält bei der Anmeldung am System au-
tomatisch das für seine tägliche Arbeit typische Benutzermenü sowie die Be-
rechtigungen, die er für diese Arbeit benötigt.
Die hohe Flexibilität des SAP-Berechtigungs- und Benutzerverwaltungskon-
zepts kann daher bei unsachgemäßer Anwendung bereits im Rahmen der Ein-
führungsphase zu erheblichen Verletzungen des Datenschutzes führen. Statt
des weitgefassten Standards bei ausgelieferten Rollen und Profilen etc. muss
daher unbedingt unternehmensspezifisch nach dem Prinzip der minimalen Be-
rechtigung eingegrenzt und angepasst werden.
Da die Ordnungsmäßigkeit des SAP-Systems unmittelbar durch das Verfahren
zur Vergabe von Berechtigungen beeinflusst wird, ist auch das Vergabeverfah-
ren selbst als wesentlicher Bestandteil des Zugriffsschutzes anzusehen. Es muss
daher organisatorisch definiert revisionsfähig gestaltet sowie ausreichend getes-
tet und spätestens zum Produktionsbeginn verfügbar sein.
Schließlich muss darauf geachtet werden, dass Rollen und ggf. auch Aktivitäts-
gruppen, Berechtigungen und Profile im Testsystem neu angelegt, geändert
oder gelöscht werden und anschließend mittels CTS/CTO (Change Transport
System/Change Transport Organizer) über das Qualitätssicherungssystem in
die Produktionsumgebung übernommen werden.
1
siehe hierzu Kapitel 3 Prüfleitfaden Revision
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 21
1.3.4 Schnittstellenverarbeitung
1.3.4.1 Datenübernahme
Ab Rel. 4.5 bevorzugt SAP die LSMW (Legacy System Migration Workbench)
als Datenübernahmeverfahren. Dieses Tool ist speziell für die Altdatenüber-
nahme konzipiert worden und bedient sich der BAPI- oder Batch-Input-
Schnittstelle (siehe auch Transaktion LSMW).
Da die Konvertierung aus dem Alt- bzw. Vorsystem mit Programmen außer-
halb des SAP-Umfeldes erfolgt, ist die ordnungsgemäße Umsetzung der Daten
(d. h. die Datenkonsistenz) durch geeignete organisatorische Maßnahmen
sicherzustellen, um möglichen Manipulationen vorzubeugen.
Für die Datenübernahme wurde früher in SAP das Batch-Input-Verfahren2 he-
rangezogen. Hierbei wird durch ein Schnittstellenprogramm eine sog. Batch-
Input-Mappe erzeugt, die dabei die Online-Eingabe von Transaktionscodes und
Daten simuliert und beim Abspielen die entsprechenden Berechtigungs- und
Plausibilitätsprüfungen durchläuft.
Neben dem Batch-Input-Verfahren bestehen weitere Möglichkeiten der Daten-
übernahme, z.B. Remote Function Call (RFC), Internet-Schnittstellen oder PC-
Upload und Download3. Diese werden i.d.R. für Datenübernahmen im lfd. Be-
trieb (aus vor- oder nachgelagerten Systemen) eingesetzt.
Alle Schnittstellen sind im Falle der Übermittlung entsprechend dem § 4e
BDSG zu dokumentieren.
1.3.4.2 PC-Verarbeitung
Up-/Download in der Anwendung (vgl. hierzu u.a. Kapitel 4.2.8.3)
1.3.4.3 Kommunikationsschnittstellen
2
siehe hierzu ergänzende Hinweise in Kapitel 6 Prüfleitfaden Revision
3
siehe hierzu ergänzende Hinweise im Sicherheitsleitfaden
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 22
Objekten.
Diese geschäftsprozessorientierten Standardschnittstellen sind auf eine Dialog-
kommunikation ausgerichtet. Sie ermöglichen die Ergänzung des R/3-
Kernsystems um Anwendungen, die speziell im ,QWHUQHW und ,QWUDQHW entwi-
ckelt werden.
BAPIs werden R/3-intern als Funktionsbausteine realisiert, die über RFC auf-
rufbar sind.
Application Link Enabling ($/() ermöglicht die Verteilung von Daten des
R/3-Systems. Über Musterlösungen wird beschrieben, wie ein Unternehmen
seine geographische Datenverarbeitung organisieren und durchführen kann.
Mit $/(:HE lassen sich verteilte Geschäftsprozesse über das Netz quasi zum
Geschäftspartner verlagern.
Im Rahmen von ALE werden BAPIs für die Integration verteilter Geschäfts-
prozesse eingesetzt.
1.3.4.4 SAP-Automation
Mit dieser Schnittstelle lassen sich alternative Oberflächen statt dem SAP GUI
einsetzen.
Neben der Kommunikationssicherheit ist zu prüfen, ob über diese Schnittstel-
len personenbezogene Daten ausgetauscht bzw. übermittelt werden und wer die
regelmäßigen Empfänger sind.
1.4 5LVLNHQ
Bei der Einführung von SAP R/3-Systemen bzw. -Projekten bestehen aufgrund
der oben geschilderten SAP-Fakten auch unter Datenschutzaspekten besondere
Risiken.
Neben dem Risiko der unsachgemäßen SAP-Einführung durch Fehler beim
Customizing und der Benutzung bzw. Handhabung des Korrektur- und Trans-
portwesens ergeben sich auch aus Fehlern bei der Erstellung eines Zugriffsbe-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 23
Während der Einführungsphase des R/3 sowie neuer Komponenten ist ein be-
triebswirtschaftliches Berechtigungskonzept zu erstellen. Dies dient als Grund-
lage u.a. für den Aufbau von Rollen, mit denen manuell oder mittels des Profil-
generators dann die benutzerspezifischen Berechtigungsprofile erstellt werden.
Das R/3-Berechtigungskonzept muss konsequent und konsistent eingesetzt
werden. Der jeweils aktuelle Stand der zugelassenen Benutzer und deren
Zugriffsrechte ist zu dokumentieren. Beim Customizing müssen u.a. SAP-
Vorgaben (z.B. Rechte, Startparameter etc.) einschränkend geändert werden.
Bei einem unzureichenden bzw. zu spät eingesetztem Berechtigungskonzept
besteht die Gefahr, dass den Benutzern zu weitreichende Berechtigungen ver-
geben werden.
Die Voraussetzung für den ordnungsgemäßen Einsatz von SAP R/3 ist u.a. die
Beachtung der Auflagen des BDSG. Konkret sind bei der Einführung eines
R/3-Systems unter Datenschutzaspekten folgende Risiken möglich.
• Unzulässige bzw. leichtfertige Handhabung von personenbezogenen
Originaldaten im Testsystem
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 24
naldaten im Testsystem
• Fehlende Verpflichtung auf das Datengeheimnis bzw. unzureichende Sensi-
bilisierung/Schulung der Projektmitglieder/Anwender
• Unzureichende Dokumentation der personenbezogenen Daten, um den
Rechten der Betroffenen (Auskunft, Berichtigung, Sperrung und Löschung)
und der Verpflichtung zur Benachrichtigung nachzukommen
• Nichtbeachtung des 4-Augen-Prinzips im Rahmen des CTS. Unzureichende
Festlegung der Transportschichten (Integrations-, Konsolidierungs- bzw. Be-
lieferungssysteme) in den Tabellen TWSYS, DEVL und TASYS innerhalb
des CTS
• Unzureichende Absicherung des Transportprogramms (tp, bzw. R3trans)
sowie unzureichende Aufbewahrung des Transportprotokolls
• Ggf. fehlende Historienführung bei der Übertragung von Programmen bzw.
Tabellen in die Produktivumgebung
• Wird das CTS nicht oder falsch eingesetzt, können nicht autorisierte Pro-
gramme/Objekte zur unzulässigen Nutzung oder Verarbeitung personenbe-
zogener Daten führen
Die Einschränkung der vorgenannten Risiken dient auch dazu, das Risiko der
Unternehmensleitung (Straftaten, Ordnungswidrigkeiten und Schadenersatz im
Sinne des BDSG §§ 7, 8, 43, 44) zu reduzieren.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 25
&KHFNOLVWH
vergeben?
- Ist der Sicherheitsleitfaden abgearbeitet worden?
- Werden personenbezogene Daten verschlüsselt übertragen (dies ist für
die SAPGUI- und die SAPLPD-Verbindung mit SNC möglich; RFC-
Verbindungen können gesichert werden) und ggf. verschlüsselt gespeichert
(dies ist eine Funktion der Datenbank, nicht des R/3)?
18. Auf welchen Rechnern und an welchen Standorten soll SAP R/3 installiert
werden?
- Welches DV-Netz soll genutzt werden?
- Werden beim Einsatz von Internet/Intranet-Techniken entspr. Firewall-
Systeme eingesetzt?
19. Werden alle eingesetzten DV-Systeme von SAP dokumentiert?
- Wenn ja: Welche organisatorischen Lösungen sind vorgesehen, um dem
Datenschutzbeauftragten eine Übersicht zur Verfügung zu stellen?
20. Mit welchen Mitteln soll dem Datenschutzbeauftragten eine Übersicht über
die Art der gespeicherten Daten zur Verfügung gestellt werden?
- Welche organisatorischen Lösungen sind vorgesehen?
21. Sind alle neu hinzugefügten Tabellen, Domänen, Datenfelder und Reports
entsprechend dokumentiert und ausreichend geschützt?
22. Sind alle Personen, die Zugriff auf personenbezogene Daten erlangen kön-
nen, auf das Datengeheimnis verpflichtet?
23. Wird der Datenschutzbeauftragte bei System-Upgrades bzw. Releasewech-
seln zeitnah eingeschaltet?
24. Gibt es in Referenztabellen für Auswahlfelder unzulässige Inhalte, die
Personen zugeordnet werden können?
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 27
5ROOH %HVFKUHLEXQJ
(PFCG)
Die Rolle $XGLWRU 'DWHQVFKXW] umfasst Basis-Berechtigungen zur Administra-
tion, Entwicklungsumgebung und zentrale Funktionen. Folgende Transaktionen
sind u.a. vorgesehen:
AL08, PA10…PA30, PFCG, RZ01…RZ12, SA38, SARG, SCAT, SE11, SE38,
SE80, SM18, SM19, SM21, SM31, SM37, SM59, SU01…SU98, SUIM
Die SAP-Rollen sind sehr umfassend definiert. Wir empfehlen den Anwender-
firmen daher die umfassende Rolle $XGLWRU 'DWHQVFKXW] wie folgt unterneh-
mensspezifisch anzupassen: Der Datenschutzbeauftragte sollte grundsätzlich
über eine „Grundrolle für Datenschutzbeauftragte“ verfügen. Diese umfasst die
für eine Datenschutzsystemprüfung erforderlichen umfassenden Leserechte im
Audit-Informationssystem (vgl. Kapitel 6) sowie den direkten Aufruf der ent-
sprechenden Transaktionen und Reports, allerdings keinen Zugriff auf
Mitarbeiterdaten.
2.1 hEHUZDFKXQJGHURUGQXQJVJHPlHQ
3URJUDPPDQZHQGXQJJ$EV%'6*
'HU %HDXIWUDJWH IU GHQ 'DWHQVFKXW] ZLUNW DXI GLH (LQKDOWXQJ GHV %'6*
XQG DQGHUHU 9RUVFKULIWHQ EHU GHQ 'DWHQVFKXW] KLQ (U KDW LQVEHVRQGHUH
FKHQ
Aus diesem gesetzlichen Auftrag sind die folgenden Verpflichtungen für den
DSB bei Einsatz des SAP R/3-Systems abzuleiten.
Die Aufgaben des DSB beziehen sich neben dem Schutz personenbezogener
Daten auch auf die Sicherheit des Gesamtsystems. Hierzu ist es erforderlich,
dass der DSB von Beginn an seitens der Projektleitung in die Projekte einge-
bunden wird. Außerdem sind dem DSB Programmmodifikationen und Pro-
grammschnittstellen offen zu legen. Testverfahren sind gemeinsam abzustim-
men.
Bereits beim Fachkonzept kann dann die Prüfung auf datenschutzrelevante
Aspekte und entsprechende Festlegung der verwendeten Objekte erfolgen.
Weitere Informationen zu Tabellen, Feldnamen und Datenelementen sowie de-
ren Verwendung in Programmen liefert das ABAP Dictionary (Repository-
Informationssystem, Transaktion SE84; zu weiterer Systemunterstützung vgl.
Kapitel 2.4) .
Die Überwachungstätigkeit des DSB beschränkt sich nicht nur auf die Verar-
beitung (§ 3 Abs. 4 BDSG). Sie umfasst auch das Erheben (§ 3 Abs. 3 BDSG)
und das Nutzen (§ 3 Abs. 5 BDSG) personenbezogener Daten. In diesem Sinne
ist zunächst die Zulässigkeit der konkreten Datenverarbeitung zu prüfen.
Zur Überwachung der Programmanwendung durch den DSB ist eine aussage-
fähige Verfahrensdokumentation erforderlich, die insbesondere über folgende
Punkte Auskunft geben soll:
• Aufgabenstellung der Anwendung (i.S. Zweckbindung), insbesondere mit
Hinweisen auf datenschutzrelevante Elemente
• Zugriffsberechtigungen nach Art und Umfang auf personenbezogene Objek-
te (z.B. Daten, Programme, Berichte)
• Verwendungsnachweis der personenbezogenen Objekte in Programmen
• Berechtigte interne und externe Empfänger der von den Anwendungspro-
grammen erzeugten Daten nach Art und Umfang
• Darstellung der Programmabläufe. Sicherung der Datenbestände und der
verwendeten Programme.
• Löschungsfristen
Seitens SAP wird eine Hilfestellung zur Verfahrensdokumentation zur Auslie-
ferung bereitgestellt, die in den Standard integriert ist und online zur Verfü-
gung steht. Modifikationen bzw. individuelle Erweiterungen gegenüber der
Standardversion sind gesondert zu dokumentieren. Sie sind, soweit sie das
Funktionsspektrum erweitern, als Ergänzung in die Verfahrensdokumentation
aufzunehmen.
• Benutzer sollen auf Basis des fachlichen Rollenkonzeptes nur die Berechti-
gungen erhalten, die sie für ihre Aufgaben zwingend benötigen.
• Es sind regelmäßige Kontrollen der Angemessenheit der vergebenen Be-
rechtigungen durch die Datenverantwortlichen vorzusehen.
• Die Berechtigungen privilegierter Benutzer sollten zeitlich begrenzt wer-
den. Notfall-User sind nur in Notsituationen zu aktivieren, deren Gebrauch
ist zu protokollieren.
• Für Betriebsfremde und befristet Beschäftigte wie auch für den Remote
Support sind die Rechte und der Gültigkeitszeitraum angemessen zu be-
grenzen.
• Anwendungsbezogene Berechtigungen für Entwickler sind grundsätzlich
auf die Entwicklungssysteme zu beziehen.
Der DSB hat insbesondere darauf zu achten, dass durch die Betreiberorganisa-
tion die Belange des Datenschutzes hinsichtlich Vertraulichkeit und Sicherheit
von personenbezogenen Daten gewährleistet bleiben.
Sofern Dritten ein Internet-Zugang auf das SAP-System gewährt wird, sollte
der DSB wesentlich an der Erstellung einer Datenschutzerklärung zu den anfal-
lenden Geschäftsprozessen beteiligt werden. Die Notwendigkeit einer solchen
Datenschutzerklärung ist aus dem Teledienstedatenschutzgesetz (TDDSG) ab-
zuleiten, nach dem “der Nutzer vor der Erhebung über Art, Umfang, Ort und
Zweck der Erhebung, Verarbeitung und Nutzung seiner personenbezogenen
Daten zu unterrichten ist” (§ 3 Abs. 5 TDDSG).
Diese Erklärung ist als vertrauensbildende Maßnahme zu verstehen und soll
den Geschäftspartner in verständlicher Form über getroffene Standardmaßnah-
men zum Schutz seiner Privatsphäre (Vertraulichkeit, Integrität, Authentizität)
informieren. Eine Hilfestellung bietet der OECD Privacy Statement Generator
unter folgender URL:
http://cs3-hq.oecd.org/scripts/pwv3/pwhome.htm
Zur Überwachungsaufgabe des DSB gehören sowohl regelmäßige als auch un-
angemeldete Kontrollen und Stichproben im Hinblick auf die Organisation des
Betriebsablaufes, die notwendigen Funktionstrennungen und die Handhabung
des Zugriffsberechtigungskonzeptes als auch die Auswertung der Logfiles.
Vergleiche hierzu auch die Bemerkungen zu den Zugriffsrechten des DSB, zum
Benutzermenü, zum Security Audit Log und zum Audit-Informationssystem in
Kapitel 6.1.1.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 33
'DWHQJHKHLPQLVJXQG%'6*
Bei Aufnahme der Tätigkeit sind die bei der Erhebung, Verarbeitung und Nut-
zung personenbezogener Daten tätigen Personen zu schulen (§ 4g (1) Nr. 2
BDSG) und auf das Datengeheimnis zu verpflichten (§ 5 BDSG). Dabei han-
delt es sich im wesentlichen um folgenden Personenkreis:
• Mitarbeiter in allen Bereichen, in denen PCs im Einsatz sind
• Mitarbeiter in Rechenzentren / EDV-Mitarbeiter
• Mitarbeiter in Fachabteilungen mit personenbezogenen Daten, z.B.
− Personalabteilung, Lohn- und Gehaltsabrechnung, Zeitwirtschaft
− Verkauf, Marketing, Werbung
− Einkauf
− Controlling
− Boten
− Projektmitglieder
Zu verpflichten sind auch Teilzeitkräfte und Auszubildende / Praktikanten. Be-
triebsratsmitglieder fallen ebenfalls unter § 5 BDSG.
Mitarbeiter von Fremdfirmen, z.B. externe Berater, die Zugriff zu personenbe-
zogenen Daten haben, müssen auf das Datengeheimnis verpflichtet sein. Der
Datenschutzbeauftragte kann die Verpflichtung dieser Mitarbeiter nicht selbst
vornehmen, er sollte sich aber die Verpflichtung vertraglich zusichern lassen
und deren Einhaltung kontrollieren.
Der Anwender soll durch die Schulung mit den Vorschriften des BDSG und al-
len für die Fachaufgabe einschlägigen Datenschutzvorschriften vertraut ge-
macht werden. Die Anwenderschulung soll allgemeine Informationen zum Da-
tenschutzrecht und auf den jeweiligen Tätigkeitsbereich abgestimmte Hinweise
geben, insbesondere zu Datensicherheit und Ordnungsmäßigkeit (siehe auch
”Trainerleitfaden”, herausgegeben von der Gesellschaft für Datenschutz und
Datensicherheit). Ziel der Schulung ist es, den einzelnen für datenschutzgerech-
tes Verhalten am Arbeitsplatz zu befähigen.
Für Schulungszwecke können auch PC-gestützte Anwenderschulungen ver-
wendet werden, die die Schulung des Datenschutzbeauftragten nicht ersetzen,
sondern zur Vertiefung des Wissens beitragen sollten.
Nach erfolgter Schulung sind die Teilnehmer auf das Datengeheimnis schrift-
lich zu verpflichten. Diese Verpflichtungserklärung (Anlage 1) sollte Bestand-
teil der Personalakte werden. Empfehlenswert ist es, jedem Schulungsteilneh-
mer die entsprechenden Auszüge aus dem BDSG sowie ein Merkblatt zum
Umgang mit personenbezogenen Daten (Anlage 2) auszuhändigen.
Als praktische Hilfe kann der SAP-Hinweis 35493, Verpflichtung Datenschutz
und Geheimhaltung, dienen.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 34
QDOVWDPP!3IOHJHQ (PA30).
Verwendet werden kann der Infotyp 0035 (Belehrungen) oder die Qualifizie-
rung im Profil einer Person in der Personalentwicklung (durch Aufruf Infotyp
0024; Achtung: hierzu muss im Customizing der Schalter PLOGI APPRA in
der Tabelle T77S0 auf 1 stehen).
Der Infotyp “Qualifizierungen” greift auf den Qualifikationskatalog zurück.
Darin muss dann im Rahmen des Customizing die Anwenderschulung aufge-
nommen werden.
Menüpfad:
3HUVRQDO ! 3HUVRQDOPDQDJHPHQW ! 3HUVRQDOHQWZLFNOXQJ !
ORJEHDUEHLWHQ (OOQA)
Der Qualifikationskatalog hat eine Baumstruktur. Die Datenschutzschulung
kann z.B. unter dem Zweig “rechtliche Grundlagen” angelegt werden.
Schulung, Ort und Zeit, Referenten usw. geplant und abgerechnet werden. Nä-
heres siehe Kapitel 6.2.
%'6*
In der Phase des Customizings wird festgelegt, welche Daten erfasst und ge-
speichert werden sollen. In diesem Falle wirkt der DSB aktiv an der Umsetzung
datenschutzrechtlicher Anforderungen mit.
Für die effektive Wahrnehmung seiner Aufgaben benötigt der DSB nach den
§§ 4e und 4g Abs. 2 BDSG folgende Unterlagen:
J$XIJDEHQGHV%HDXIWUDJWHQIUGHQ'DWHQVFKXW]
2) Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stel-
le eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über
zugriffsberechtigte Personen zur Verfügung zu stellen. Im Fall des § 4d Abs.
2 macht der Beauftragte für den Datenschutz die Angaben nach § 4e Nrn. 1
bis 8 auf Antrag jedermann in geeigneter Weise verfügbar. Im Fall des § 4d
Abs. 3 gilt Satz 2 entsprechend für die verantwortliche Stelle.
H,QKDOWGHU0HOGHSIOLFKW
IROJHQGH$QJDEHQ]XPDFKHQ
1DPHRGHU)LUPDGHUYHUDQWZRUWOLFKHQ6WHOOH
QDFK GHU 9HUIDVVXQJ GHV 8QWHUQHKPHQV EHUXIHQH /HLWHU XQG GLH PLW GHU
/HLWXQJGHU'DWHQYHUDUEHLWXQJEHDXIWUDJWHQ3HUVRQHQ
$QVFKULIWGHUYHUDQWZRUWOLFKHQ6WHOOH
=ZHFNEHVWLPPXQJHQGHU'DWHQHUKHEXQJYHUDUEHLWXQJRGHUQXW]XQJ
HLQH%HVFKUHLEXQJGHUEHWURIIHQHQ3HUVRQHQJUXSSHQXQGGHUGLHVEH]J
OLFKHQ'DWHQRGHU'DWHQNDWHJRULHQ
HLQHJHSODQWH'DWHQEHUPLWWOXQJLQ'ULWWVWDDWHQ
HLQH DOOJHPHLQH %HVFKUHLEXQJ GLH HV HUP|JOLFKW YRUOlXILJ ]X EHXUWHL
9HUDUEHLWXQJDQJHPHVVHQVLQG
'XUFKIKUXQJGHV'DWHQVFKXW]HVLQGHU%XQGHVYHUZDOWXQJ
GLH$QJDEHQQDFKHVRZLHGLH5HFKWVJUXQGODJHGHU9HUDUEHLWXQJVFKULIW
QLFKW QDFK $EV RGHU HLQJHVFKUlQNW ZLUG NDQQ KLHUYRQ DEJHVHKHQ
ZHUGHQ
9HUDQWZRUWOLFKNHLWHQ
der Befolgung der Gesetze und Vorschriften zum Datenschutz KLQ]XZLUNHQ. Für
jeden Mitarbeiter, insbesondere aber für die Verantwortlichen der DV-Systeme
gilt:
IU GLH (LQKDOWXQJ GHU *HVHW]H XQG 9RUVFKULIWHQ ]XP 'DWHQVFKXW] XQG ]XU
QDKPHQ]XWUHIIHQGDVVGLH'DWHQ
QXUUHFKWVPlLJXQG]ZHFNJHEXQGHQYHUDUEHLWHWZHUGHQ
VDFKOLFKULFKWLJXQGDNWXHOOVLQG
QLFKWOlQJHUDOVIUGHQ=ZHFNHUIRUGHUOLFKDXIEHZDKUWZHUGHQ
YRUXQHUODXEWHP=XJULIIXQG0DQLSXODWLRQHQJHVFKW]WZHUGHQ
QLFKWRKQH*HQHKPLJXQJDQ'ULWWHZHLWHUJHOHLWHWZHUGHQ
'HV :HLWHUHQ LVW MHGHU HLQ]HOQH GDIU YHUDQWZRUWOLFK GDVV GLH LKP DQYHU
WUDXWHQSHUVRQHQEH]RJHQHQ'DWHQQXULP5DKPHQVHLQHU$XIJDEHQVWHOOXQJ
YHUDUEHLWHWXQGJHQXW]WZHUGHQ
XQGVWUDIEDU
Es bietet sich an, diese Klarstellung den Verantwortlichen mit der Aufforde-
rung zur Erstellung der Übersichten zukommen zu lassen.
)RUPGHU'RNXPHQWDWLRQ
Während der Inhalt der Übersichten in den §§ 4e und 4g BDSG detailliert be-
schrieben ist, wird zur Form der Dokumentation im Gesetzestext keine Aussa-
ge getroffen. Für das R/3-System ist eine Kombination von schriftlichen Über-
sichten (z.B. Aktenvermerken) und Verweisen auf die elektronische Dokumen-
tation (z.B. ABAP Dictionary) sinnvoll. Hierfür bietet sich an, die Dynamik des
SAP-Systems zu nutzen und sich die Details dann zu besorgen, wenn sie benö-
tigt werden.
Im Zentrum der Dokumentation stehen die Meldedaten nach § 4e BDSG, er-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 37
Der Inhalt der Übersichten muss sich nach dem Verwendungszweck richten.
Aus diesem Grund wollen wir die Übersichten in ein |IIHQWOLFKHV 0HOGHUHJLV
WHU und ein EHWULHEVLQWHUQHV 9HUIDKUHQVYHU]HLFKQLV unterteilen, die verschie-
'DV|IIHQWOLFKH0HOGHUHJLVWHU
Das öffentliche Melderegister ist die Grundlage für eine Meldung an die Auf-
sichtsbehörde und die Auskunft an jedermann. Das öffentliche Melderegister
soll allgemeine gesellschaftliche Transparenz gewährleisten, den Betroffenen
im Vorfeld ihrer Auskunftsansprüche Orientierungswissen darüber geben, wer
welche Daten (ggf. auch über sie) speichert und die EU-Datenschutzrichtlinie
umsetzen.
Meldungen sollten kurz und verständlich sein, wie die Darstellung des
Landeszentrums für Datenschutz Schleswig-Holstein beispielhaft zeigt (vgl.
2.3.9).
Neben der im § 4e BDSG festgelegten Verpflichtung zur Meldung an das Re-
gister gehen zunehmend Betriebe dazu über, von sich aus die von ihnen verar-
beiteten Daten und deren Verwendungszwecke sowie die betroffenen Perso-
nengruppen durch eine entsprechende Datenschutzerklärung zu veröffentlichen
(vgl. OECD Privacy Statement Generator4).
'DVEHWULHEVLQWHUQH9HUIDKUHQVYHU]HLFKQLV
4
siehe: http://ca3-hq.oecd.org/scripts/pwv3/pwhome.htm
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 38
In vielen Fällen muss dabei Detailwissen zur Person zur Verfügung gestellt
werden, wobei die einschlägigen SAP-Funktionalitäten (z.B. ABAP Dictionary,
AIS) zur Unterstützung herangezogen werden können.
'HWDLOOLHUXQJVJUDG
Die Informationen sind dem DSB als hEHUVLFKWHQ von der verantwortlichen
Stelle zur Verfügung zu stellen. Auch die Begriffe Personengruppen, Datenka-
tegorien und Kategorien von Empfängern lassen darauf schließen, dass detail-
lierte Beschreibungen in diesen Übersichten nicht notwendig sind. Da das öf-
fentliche Melderegister auch jedermann in geeigneter Weise verfügbar gemacht
werden muss, ist eine genaue Beschreibung von Einzeldaten, Personen oder
Empfängern für die Außendarstellung nicht angebracht. Schließlich zeigt der
Ausschluss der ergriffenen Sicherungsmaßnahmen nach Punkt 9 in § 4e BDSG,
dass die Offenbarung der Daten nicht zu einem Risiko für das verarbeitende
Unternehmen werden darf.
Die Übersichten müssen auf der anderen Seite für den DSB ein geeigneter An-
satz sein, um für verschiedene Zwecke eine Detailanalyse vornehmen zu kön-
nen:
• Bei der Vorabkontrolle benötigt ein gewissenhafter DSB in vielen Fällen
neben der Satzbeschreibung auch Einblick in die Einzelfelder z.B. bei
Speicherung von Gesundheits- oder Leistungsdaten.
• Bei Überwachung der datenschutzgerechten Verarbeitung muss der DSB
mit Unterstützung der Verantwortlichen und/oder auf Grundlage der
Dokumentation im Einzelfall bis auf Feldebene vordringen können.
• Die Benachrichtigung umfasst die Identität des Verarbeiters, die Zweck-
bestimmung, Kategorien von Empfängern und die Art der Daten.
• Die Betroffenen sind bei Erhebung über die Identität der verantwortli-
chen Stelle, die Zweckbestimmung der Erhebung und die Kategorien
von Empfängern zu unterrichten, wenn sie nicht bereits auf andere Wei-
se Kenntnis erlangt haben.
• Die Auskunft verlangt exakte Informationen über die zu einer Person ge-
speicherten Daten und deren Herkunft, die Empfänger und den Zweck
der Speicherung
• Zur Beurteilung der § 9-Maßnahmen zur Gewährleistung der Sicherheit
der Verarbeitung sind detaillierte Angaben über die gespeicherten Daten
erforderlich.
Aus dieser Zusammenstellung ist ersichtlich, dass auch Auskunft und Benach-
richtigung sich auf Punkte der Übersichten beziehen.
Zur Tabellen- oder Feldanalyse kann im R/3 das ABAP Dictionary genutzt
werden. Der Umgang mit Domänen, Tabellen, Reports und Verwendungs-
nachweisen erfordert vom DSB handwerkliches Geschick. Wegen der Vorab-
kontrolle muss man gegebenenfalls bis auf das sensitive Datum selbst herun-
terbrechen, z.B. Felder im Infotyp 0028, *HVXQGKHLWVGDWHQ, oder Infotyp 0077,
:HLWHUH 'DWHQ ]XU 3HUVRQ, mit ethnischer Herkunft, Konfessionsschlüssel oder
Veteran Status. Wir werden später zeigen, wie man zum Inhalt und zur Doku-
mentation von Feldern und Prüftabellen kommt.
Hier fassen wir die Punkte eins bis drei des öffentlichen Melderegisters zu-
sammen. Die Informationen über den Firmennamen, die Anschrift und die Ge-
schäftsleitung eignen sich am besten zu einer Internet-Darstellung in einer Art
Impressum.
$QIRUGHUXQJ
$XVOHJXQJGHUJHVHW]OLFKHQ$QIRUGHUXQJLQ%H]XJDXI5
Auch wenn das BDSG davon ausgeht, dass die Rechtsgrundlage der Verarbei-
tung für alle Daten - d.h. für jedes einzelne Datenfeld - gegeben sein muss und
auch insofern vor der Verarbeitung geprüft werden muss, so kann daraus nicht
gefolgert werden, dass auch die Dokumentation feldbezogen zu erfolgen hat.
Die Frage, ob zusätzlich die Rechtsgrundlage direkt mit in die Übersicht aufzu-
nehmen ist, wird sehr unterschiedlich beantwortet.
Vom Hersteller des R/3-Systems kann der Anwenderbetrieb unserer Einschät-
zung nach keine allgemeingültigen Angaben zu den Rechtsgrundlagen erwar-
ten, da im Einzelfall verschiedene bereichsspezifische Gesetze, Tarifverträge,
Betriebsvereinbarungen, Einwilligungen oder im Falle des § 28 Abs. 1 Satz 1
BDSG die verschiedensten Vertragsverhältnisse in Frage kommen.
Die Angabe der Geschäftszwecke muss im Unternehmen aus Sicht der Fachab-
teilung definiert werden, z.B. Finanzbuchhaltung, Personalabrechnung,
Bewerberverwaltung, Reisekostenabrechnung.
$QIRUGHUXQJ
6$3)DNWHQ
SAP R/3 baut bei der Datenhaltung auf den Diensten relationaler Datenbank-
systeme auf. Über relationale Verknüpfungen von Tabellen können Daten auf
unterschiedlichen Ebenen aggregiert und zu neuen Aussagen verknüpft werden.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 40
$XVOHJXQJGHUJHVHW]OLFKHQ$QIRUGHUXQJLQ%H]XJDXI5
Die zu einer Personengruppe gehörigen Daten können im AIS unter der jewei-
ligen Rolle abgefragt werden, wobei eine Liste nicht leerer Tabellen mit Kenn-
zeichnung der abgefragten Domäne angezeigt wird. Im Zusammenhang mit den
Mitarbeiterdaten sind dies die entsprechenden Infotypen.
Der Begriff der Datenkategorie ist ebenfalls neu im BDSG. Bisher wurde eine
Kategorisierung von personenbezogenen Daten bereits in unterschiedlicher
Weise vorgeschlagen. Der Bundesbeauftragte für den Datenschutz (BfD) defi-
nierte sogenannte Datenschutzstufen, wobei die Daten nach Art der zu ergrei-
fenden Datensicherungs- bzw. Datenschutzmaßnahmen in A, B, C unterteilt
wurden (siehe 12. Tätigkeitsbericht des BfD, S. 114)
Die SAP schlägt z.B. für Mitarbeiterdaten eine Differenzierung in die folgen-
den Kategorien vor [Hornberger/Schneider, S. 228 ff)]:
1. mitarbeiterbezogene Daten zur geschäftlichen Kommunikation (elektroni-
sches Adressverzeichnis)
2. persönliche Geschäftsdaten (z.B. Stelle, Funktion, Qualifikationen)
3. Privatdaten (z.B. private Telefonnummer)
4. sensitive Daten (z.B. Gesundheitsdaten).
Daher spricht einiges dafür, die Tabellen des R/3-Systems weiterhin als Grund-
lage der Dokumentation zu wählen. Diese Vorgehensweise hat Vorteile, denn
die Prüfung, welche Tabellen sinnvollerweise zusammengefasst werden soll-
ten, entfällt, und die zusätzlichen Angaben der Übersichten nach § 4 BDSG
können den im System definierten Tabellen direkt zugeordnet werden. Auch
aus Praktikabilitätsgründen bietet sich diese einheitliche und systemnahe Do-
kumentation an, denn dabei kann auf einfache Weise auf die im System hinter-
legten Informationen zurückgegriffen werden.
Welche Hilfen bietet SAP R/3 an, um die regelmäßigen Empfänger zu ermit-
teln? Welchen Überblick bietet SAP R/3 über Systeme und Komponenten an?
• Technische Verbindungen
Basis-Services (BC-SRV), Transaktion SM59 (RFC-Destination) und SM54
(CPIC-Destination)
• Verzeichnis der verfügbaren R/3-Systeme mit den entsprechenden Trans-
portschichten (SM31)
Tabelle 76<67
• Übersicht Mandanten
Tabelle 7
• Übersicht Buchungskreise
Tabelle 7
• Komponentenhierarchie (SB01 bzw. HIER)
• Repository-Infosystem (SE84)
Menüpfad:
:HUN]HXJH ! $%$3 :RUNEHQFK ! hEHUVLFKW ! ,QIRV\VWHP !
9HUZHQGXQJVQDFKZHLV!3URJUDPPHQ'\QSURV
! 7DEHOOHQQDPH
1DYLJDWRU
JEDQNOLNHIGWOJEDQN *HJHQNRQWLHUXQJ%DQN
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 44
Auch wenn die Löschfristen kein spezielles R/3_Thema sind, soll hier eine all-
gemeine Information für den DSB zur Diskussion mit den Fachabteilungen zu-
sammengestellt werden. Schließlich gehört es zu den Aufgaben des DSB, auf
die Einhaltung von Datenschutzvorschriften hinzuwirken.
Nach dem BDSG werden die Regelfristen für Löschungen erstmalig an zentra-
ler Stelle § 4e Abs. 7 BDSG für den öffentlichen und nicht-öffentlichen Be-
reich genannt.
Öffentlicher Bereich
Das BDSG ist ein Auffanggesetz, d.h. spezielle Rechtsvorschriften sind vor-
rangig anzuwenden.
Erst wenn solche bereichsspezifischen vorrangigen Rechtsvorschriften keine
rechtlichen Regelungen beinhalten, kommt das BDSG zum Tragen. So gilt
nach § 20 BDSG
(2) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht-
automatisierten Dateien gespeichert sind, sind zu löschen, wenn
ihre Speicherung unzulässig ist oder
ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer
Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist.
(3) An die Stelle einer Löschung tritt eine Sperrung, soweit
1. einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewah-
rungsfristen entgegenstehen,
2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdi-
ge Interessen des Betroffenen beeinträchtigt würden, oder
3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur
mit unverhältnismäßig hohem Aufwand möglich ist.
5
Diesem Abschnitt liegen folgende Quellen zugrunde: Abel, Bolten/Pulle, Bergmann/Möhrle/Herb
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 45
fernt, wenn der Betroffene das 24. Lebensjahr vollendet hat (§ 58 Abs. 1
BZRG).
Allein im Bereich der sozialen Sicherung haben etwa die gesetzlichen Kran-
kenkassen Regelfristen für Löschungen zu beachten, die sich aus dem
- Sozialgesetzbuch (SGB)
- Sozialversicherungs-Rechnungsverordnung (SVRV) i. V mit GoB und GoD
- Allg. Verwaltungsvorschriften ü. d. Rechnungswesen i. d. Sozialversiche-
rung (SRVwV)
- Risikostruktur-Ausgleichsverordnung (RSAV)
ergeben.
Nach § 284 Abs. 1 Satz 4 und § 304 Abs. 1 SGB V vorgegebene Verpflichtung
zur Löschung bestimmter Daten geht der Löschfrist nach § 84 SGB X vor.
Nicht-öffentliche Regelungen
Auf der anderen Seite gibt es eine ganze Reihe von Vorschriften, die Mindest-
aufbewahrungsfristen regeln. Wichtige Eckpunkte sind:
+DQGHOVXQG6WHXHUUHFKW
$UEHLWVXQG6R]LDOUHFKW%HUXIVRUGQXQJHQ
ODJH$EV$2$EV+*%
'DWHQDXVGHP6FKXOGQHUYHU]HLFKQLVEHLQLFKW|IIHQWOLFKHQ6WHOOHQ
Auskunfteien und die SCHUFA erhalten in der Regel von den Gerichten
unmittelbar Daten aus den Schuldnerverzeichnis (§ 915d Abs. 1, § 915e Abs. 1
Buchst. B ZPO). Die Empfänger von Daten aus dem Schuldnerverzeichnis
müssen die gesetzlichen Löschfristen einhalten (§ 915g Abs. 1 ZPO, § 15
SchuVVO – Schuldnerverzeichnisverordnung). Eine Eintragung im Schuldner-
verzeichnis wird nach Ablauf von 3 Jahres gelöscht. Für Schuldnerdaten, die
nach § 107 Abs. 2 KO – Konkursordnung aufgenommen wurden, gilt eine Lö-
schungsfrist von 5 Jahren.
Folgerungen
Im Datenschutzrecht besteht nach Ablauf der Aufbewahrungsvorschrift eine
Löschpflicht. Hierbei sind die Daten unwiderruflich zu entfernen, d.h. zu ver-
nichten. Ein reines Sperren des Zugriffspfads oder eine Archivierung wären
nach diesen Normen nicht erlaubt.
Bei relationalen Datenbanken, wie sie im R/3-System verwendet werden, hat
der Anwender jedoch keinen Einfluss auf die physikalische Speicherung. Lö-
schung bedeutet Sperrung aller weiteren Zugriffe, ohne dass die Daten unbe-
dingt zu 100% gelöscht werden. Theoretisch wären sie durch Datenbank-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 48
6
Siehe Arbeitsunterlage: Übermittlungen personenbezogener Daten an Drittländer: Anwendung
von Artikel 25 und 26 der Datenschutzrichtlinie der EU (WP12) Link:
http://europa.eu.int/comm/internal_market/de/dataprot/wpdocs/wpdocs_98.htm
7
Siehe Link http://europa.eu.int/comm/internal_market/en/dataprot/news/clauses.htm
8
Zu dem Punkt hEHUPLWWOXQJDQ'ULWWOlQGHU hat SAP ausführlich Stellung genommen, siehe Kap.
6.6 in 6LFKHUKHLWXQG'DWHQVFKXW]PLW6$36\VWHPHQ
9
Link: http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe harbor list
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 49
WXQJDQJHPHVVHQVLQG
Verwaltungssachbearbeiter Arbeitgeberleistungen
Vergütungsmanagement
Organisationsmanagement
Fachvorgesetzter Arbeitgeberleistungen
für Vergütungsmanagement
Organisationsmanagement
Personaladministration
Personalkostenplanung
Beurteilungssystem
Personalentwicklung
Raum Reservierungen
Veranstaltungsmanagement
Sachbearbeiter Leistungslohn
Zeiterfassung
Einsatzplanung
Abrechnung
10
dto. und Zusammenstellung im GDD-Praktiker-Workshop „Das neue BDSG im Betrieb“ vom 1.3.2001, Re-
gister 4
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 51
gIIHQWOLFKHU7HLO
beitschutz
P\6$3),: Pflege und Service für Kunden
und Lieferanten
P\6$3&50: Marketingplanung und
Kampagnenmanagement, Telemarketing,
Kontaktmanagement, Kundenservice In-
teraction Center, Internet Customer Self-
Service, Servicemanagement, Einsatzpla-
nung,
Betroffene Personengruppen und 3HUVRQHQ: Mitarbeiter, Bewerber, Kun-
1LFKW|IIHQWOLFKHU7HLO
Technisch-organisatorische Maßnahmen
nach § 9 BDSG
.RQWUROOH 0DQDKPHQEHLVSLHOH
2.4 6\VWHPXQWHUVWW]XQJ
Im R/3-System ist das ABAP Dictionary zur Verwaltung aller im System ver-
wendeter Daten vorgesehen. Das ABAP Dictionary gibt Auskunft über Tabel-
len, Domänen und Felder und kann als Verwendungsnachweis in Reports,
Dynpros oder weiteren Tabellen herangezogen werden.
In diesem Abschnitt wollen wir einen kurzen Einblick in Techniken zur Erstel-
lung einer Übersicht über Daten und Datenkategorien für die Verfahrensbe-
schreibung geben.
Hinweis: Zum besseren Verständnis der benutzten Transaktion lassen sich die-
se wie folgt in die Menüs einblenden:
Menüpfad:
=XVlW]H!(LQVWHOOXQJHQ!7HFKQLVFKH1DPHQDQ]HLJHQ
*UREHUhEHUEOLFN
Menüpfad:
:HUN]HXJH ! $%$3 :RUNEHQFK ! (QWZLFNOXQJ ! 'LFWLRQDU\
Mit Hilfe dieser Übersichten können über das ABAP Dictionary gezielt einzel-
ne Tabellen oder Felder bearbeitet werden.
Wir empfehlen, die Berechtigung über den Tabellenzugriff auf die
personalwirtschaftlichen Tabellen nur Sachbearbeitern mit detaillierten HR-
Kenntnissen zu erteilen.
'DWHQGHV3HUVRQDOZLUWVFKDIWVEHUHLFKV+5
!,QIRW\SHQ (SECR)
(Report RPDINF01) bietet zusätzlich
,QIRW\SHQ XQG 6XEW\SHQ PLW '%6WDWLVWLN
%HQXW]HUGDWHQ%HQXW]HUYHUZDOWXQJ
Tabellenname: US*
Domäne: XUBNAME Benutzername im Benutzerstamm
%HQXW]HUGDWHQ6DFKEHDUEHLWHUNHQQ]HLFKHQ
Domänen:
AENUS Username der letzten Änderung
AS4USER Autor der letzten Änderung
BNAME Benutzername
BUSAB Nummer des Buchhaltungs-Sachbearbeiter
DDUSER Dictionary: Letzter ändernder Benutzer
DWNAM Name des zuständigen Sachbearbeiters
RALDB_NAME Name des Erstellers/Änderers der Variante
SACHA Sachbearbeiter für Abrechnung,
Personal, Zeiterfassung
UNAME Benutzername
UBNAME Benutzernamen
USERNAME Benutzername (SAP-Benutzer)
USNAM Name des Benutzers
XUBNAME Benutzername im Benutzerstamm
XUSER Benutzername
%HQXW]HUGDWHQ3URWRNROOGDWHQ
9DULDQWH%HL3URMHNWHLQIKUXQJ
Über die F1-Hilfe ist es möglich, aus den Dynpros das Dynprofeld zu ermitteln
mit den entsprechenden Namen von Tabelle, Feld, Datenelement und Domäne.
Das ABAP Dictionary ermöglicht mit diesen Informationen, Verwendungs-
nachweise in Programmen, Dynpros und Tabellen der Einzelfelder zu ermit-
teln. Sofern hierbei kein Tabellenname sondern ein Strukturname angezeigt
wird, ist die zugrundeliegenden Datenbanktabelle über den Verwendungs-
nachweis zum angezeigten Datenelement zu bestimmen.
Menüpfad:
:HUN]HXJH ! $%$3 :RUNEHQFK ! hEHUVLFKW ! ,QIRV\VWHP!
mit Aus-
$%$3 'LFWLRQDU\ ! *UXQGREMHNWH ! 'DWHQHOHPHQWH
9DULDQWH,PDNWLYHQ6\VWHP
'RNXPHQWDWLRQYRQ'DWHQIHOGHUQ
• Anzeigen bzw. Drucken von Tabellen und Feldern (auch als Tabellenhand-
buch mit 566'2&7% druckbar)
Menüpfad:
:HUN]HXJH ! $%$3 :RUNEHQFK ! hEHUVLFKW ! ,QIRV\VWHP !
Menüpfad:
:HUN]HXJH ! $%$3 :RUNEHQFK ! (QWZLFNOXQJ ! 'LFWLRQDU\
Menüpfad:
:HUN]HXJH!$GPLQLVWUDWLRQ!%HQXW]HUSIOHJH!,QIRV\VWHP .
XQG%HUHFKWLJXQJHQ!%HQXW]HU!%HQXW]HUQDFK$GUHVVGDWHQ
* alle Benutzer
!/LVWHHU]HXJHQ!
Selektionen können auch über den Schalter %HQXW]HU QDFK NRPSOH[HQ 6HOHNWL
RQVNULWHULHQ für Berechtigungen, Profile und Benutzer erfolgen. Weiter können
führen)
Weitere Reports:
(LQOHLWXQJ
Die Novellierung des BDSG hat bei den Rechten der Betroffenen und bei den
Rechten von jedermann zu einigen wichtigen Änderungen geführt, die zu be-
achten sind.
5HFKWHGHU%HWURIIHQHQ
Grundlage sind hier die Verpflichtung der verantwortlichen Stelle zur Benach-
richtigung der Betroffenen gem. § 33 BDSG und gem. § 6 Abs. 1 die unab-
dingbaren Rechte des Betroffenen auf Auskunft (§§ 19, 34 BDSG) und auf Be-
richtigung, Löschung oder Sperrung (§§ 20, 35 BDSG).
Die Wahrnehmung der Rechte durch einen Betroffenen aus den §§ 20 und 35
BDSG setzt dessen Benachrichtigung und/oder Information über die Angaben
gem. § 4e Satz 1 Nr. 1-8 BDSG oder eine Kenntnisnahme auf Grund anderer
Umstände voraus und erfüllt somit das Transparenzgebot aus dem Urteil des
Bundesverfassungsgerichtes vom 15. 12. 1983 zum Recht auf informationelle
Selbstbestimmung.
5HFKWHYRQMHGHUPDQQ
3.1 %HQDFKULFKWLJXQJXQG$XVNXQIW
3.1.1 SAP-Fakten
GDWHQ ), mit der alle für einen Mitarbeiter tatsächlich belegten Infotypen ange-
zeigt werden. Mit der entsprechenden Pflegetransaktion des HR (PA30) kön-
nen im zweiten Schritt die Daten der belegten Infotypen für eine Auskunftser-
teilung ausgedruckt werden.
$%$3'LFWLRQDU\
Ein systematisches Vorgehen über das ABAP Dictionary kann z.B. folgende
Schritte umfassen:
6RQVWLJH0|JOLFKNHLWHQ
hEHUGLH$Q]HLJHWUDQVDNWLRQHQXQG$%$33URJUDPPHGHU)DFKPRGXOH
hEHU5HSRUWV
Zu einzelnen Themen gibt es Reports oder Transaktionen, die einen Teil der
gespeicherten Daten ausgeben.
Beispiele aus dem HR:
• Personalstammblatt mit dem Report RPPSTM00
• Die Personalakte zeigt alle Stammdaten einer Person an.
Menüpfad:
3HUVRQDO!3HUVRQDOPDQDJHPHQW!$GPLQLVWUDWLRQ!3HUVR
QDOVWDPP!3HUVRQDODNWH PA10
• Infotypübersicht für einen Mitarbeiter im AIS (siehe 3.1.1) oder mit dem
Report RPDINF01.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 63
Es werden aber nicht die gespeicherten Daten ausgegeben, sondern nur die Da-
tenstruktur, so dass man, je nach Anfrage des Betroffenen, ggf. nacharbeiten
muss.
hEHU4XHULHV
)D]LW
3.2 %HULFKWLJXQJ/|VFKXQJXQG6SHUUXQJ
D =XP,QKDOWGHU%HULFKWLJXQJ/|VFKXQJRGHU6SHUUXQJ
E%HVRQGHUH$UWHQYRQ'DWHQ
• Wie wirksam sind Lösch- bzw. Sperrvermerke bei Daten mit Doppelbezug
(z.B. Infotyp 0021 Familie/Bezugsperson und 0118 Kindergeld)?
F =XVDPPHQKDQJPLWDQGHUHQ5HFKWHQ
• Wie wird Auskunft über gesperrte bzw. mit Löschvermerk versehene Daten
gegeben?
3.2.2 SAP-Fakten
Außer zu den unter 3.2.1. genannten Fragen sind Grundsatzfragen des Archi-
vierungskonzeptes einzubeziehen und organisatorische Vorkehrungen ggf. in
folgender Hinsicht zu treffen:
D2UJDQLVDWLRQGHU6SHUUXQJ
Da eine Sperrung einzelner Daten zur Person als technische Funktion im R/3-
System explizit nicht vorgesehen ist, muss die verantwortliche Stelle ein adä-
quates organisatorisches Verfahren entwickeln. Übergangsweise könnte die
verantwortliche Stelle statt einer Sperrung von Daten ihre datenschutzgerechte
Dokumentation/Archivierung in Kombination mit einer vorübergehenden Lö-
schung vornehmen.
E)RUPGHU/|VFKXQJ
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 66
4.1 $QIRUGHUXQJHQ
Die nachfolgende Abbildung listet in der linken Spalte die acht Anforderungen
aus der Anlage zu § 9 BDSG auf und stellt in der mittleren Spalte ausgewählte
Ansatzpunkte zur Umsetzung der Anforderungen in R/3-System daneben. Es
folgen in der rechten Spalte Hinweise auf weiterführende Literatur zu diesem
Thema.
IRUGHUXQJHQ GHV6$356\VWHPV
4.) zu JHZlKUOHLVWHQ, dass perso- innerhalb des R/3 mit dem Be- Systemdokumentation, 'Authori-
nenbezogene Daten bei der HOHNW rechtigungskonzept; zations Made Easy‘, Handbuch
URQLVFKHQ hEHUWUDJXQJ oder BC
während ihres Transports oder ih- außerhalb des R/3 Systems: Ver-
rer 6SHLFKHUXQJ DXI 'DWHQWUl schlüsselung im Netz Sicherheitsleitfaden R/3
JHU QLFKW XQEHIXJW JHOHVHQ NR (LAN/WAN) und auf sonstigen
SLHUW , verändert oder HQWIHUQW Datenträgern;
ZHUGHQ N|QQHQ XQG GDVV EHU
$XIWUDJVNRQWUROOH
JHVFKW]WVLQG Datensicherungskonzept;
siehe die allgemeinen Empfeh-
9HUIJEDUNHLWVNRQWUROOH an die Aufgaben angepasste Be- lungen des Sicherheitsleitfadens
rechtigungen; bzgl. Datensicherung
4.2 6$3)DNWHQ5LVLNHQXQG0DQDKPHQ
4.2.1.1 SAP-Fakten
Bevor ein R/3-Benutzer auf die Informationen und Funktionen im R/3-System
zugreifen kann, muss er sich über das SAP-Logon mittels einer Benutzer-ID
und einem Kennwort anmelden. Durch die Eingabe dieser Daten identifiziert
sich der Anwender gegenüber dem R/3-System und das System kontrolliert, ob
der Benutzer berechtigt ist, mit dem System zu arbeiten. In Bezug auf das
Kennwort gelten hierbei, sofern keine Änderungen in der konkreten Installation
vorgenommen worden sind, die in den Startparametern getroffenen Einstellun-
gen. Diese bei der Installation gesetzten Parameterwerte sind für ein Testsys-
tem vorgesehen und müssen für das Produktivsystem neu eingestellt werden.
Für die Verwaltung der Parameter stehen die Transaktionen RZ10 (Verwaltung
von Instanzenprofilen) und RZ11 (Pflege von Profilparametern) zur Verfü-
gung.
Die für die Benutzeridentifizierung relevanten Parameter werden im folgenden
erläutert. Die ebenfalls angegebenen Empfehlungen beziehen sich auf einen
Grundschutz und Erfahrungswerte. Dabei ist zu beachten, dass die Parameter-
Werte in Abhängigkeit von der Sicherheitspolitik in jedem Unternehmen
durchaus unterschiedlich definiert werden können.
• Mindestlänge des Kennwortes
Der Parameter LOGIN/MIN_PASSWORD_LNG bestimmt die Mindestan-
zahl der Stellen, die das Kennwort besitzen muss.
Empfohlener Parameter-Wert: “6” (Die Mindestlänge beträgt 6 Stellen.)
• Verfallsdauer des Kennwortes
Der Parameter LOGIN/PASSWORD_EXPIRATION_TIME bestimmt das
Intervall für den Kennwortwechsel bei Dialoganmeldung und ITS-Services,
die die Flowlogic verwenden.
Empfohlener Parameter-Wert: “90” oder weniger (Nach maximal 90 Tagen
muss der Benutzer sein Kennwort ändern.)
• Verbotene Kennwörter
Über die genannten Einstellungen hinaus können in der Tabelle USR40
Kennwörter definiert werden, die von der Benutzung ausgeschlossen werden
(zum Beispiel Ausschluss von Trivialkennwörtern oder Tastaturkombinatio-
nen).
• Weitere Anmeldevarianten
Je nach Release gibt es neben der kennwortbasierten Anmeldung weitere
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 70
Wie der Vorgang der Anmeldung am System durch Parameter gesteuert wird,
ist auch die Berechtigungsprüfung bei der Arbeit mit dem R/3-System von der
Einstellung in Profilparametern abhängig. Die nachfolgend aufgeführten emp-
fohlenen Einstellungen beziehen sich wiederum auf einen Grundschutz. Fol-
gende zentrale Parameter sind hier zu nennen:
• Ausschalten von Berechtigungsprüfungen
Durch den Parameter AUTH/NO_CHECK_IN_SOME_CASES können Be-
rechtigungsprüfungen unterdrückt werden. Die von SAP vorgeschlagene
Anzahl von Berechtigungsprüfungen kann mit Hilfe der Transaktion SU24
reduziert werden. Dies setzt voraus, dass der Parameter mit “Y” für das
Ausschalten von Berechtigungsprüfungen eingestellt ist. Bei Verwendung
des Profilgenerators wird der Wert „Y“ gefordert.
Empfohlener Parameter-Wert: “N” bzw. “Y“ bei Verwendung des Profilge-
nerators
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 71
4.2.2 Standardbenutzer
4.2.2.1 SAP*
Der Benutzer SAP* ist der von SAP fest codierte Initialuser und somit für die
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 72
4.2.2.2 SAPCPIC
Der Benutzer SAPCPIC ist ein eingerichteter Standarduser der SAP. Er kann
nicht zur Anmeldung im Dialog verwendet werden, erlaubt aber den Aufruf ei-
niger Programme und Funktionsbausteine im SAP R/3-System. Er wird nur in-
nerhalb des EarlyWatch-Service benötigt, um Performance-Daten zu sammeln,
externe Hintergrundprogramme zu starten und Werte für das Computer Center
Management System (CCMS) zurückzuliefern.
Als Schutzmaßnahme kann neben der Änderung des Standardkennworts auch
die Sperrung des Benutzers erwogen werden. Bei Durchführung dieser Maß-
nahmen sollte SAP-Hinweis 29276 beachtet werden.
Grundsätzlich sollten CPIC-Benutzer, auch wenn eine Anmeldung im Dialog
nicht möglich ist, über funktionsbezogenen Rollen/Profile verfügen.
4.2.2.3 DDIC
Neben SAP* ist der Benutzer DDIC durch SAP definiert. Der Benutzer DDIC
wird für die Pflege des ABAP-Dictionaries und der Softwarelogistik verwen-
det. Daher sind auch für diesen Benutzer weitreichende Systemrechte hinter-
legt, die über die in Benutzerprofilen definierten Rechte hinausgehen.
DDIC wird im Rahmen der Installation nur in den Mandanten 000 und 001 er-
stellt (Initialkennwort vgl. R/3-Sicherheitsleitfaden). Für andere Mandanten
muss der Benutzer DDIC, sofern erforderlich, angelegt werden.
Da es sich bei DDIC auch um einen Benutzer handelt, der Sonderrechte besitzt
und bei dem eine eindeutige personenbezogene Zuordnung i.d.R. erschwert ist,
unterliegt seine Nutzung auch besonderen Anforderungen hinsichtlich der
Nachvollziehbarkeit der durchgeführten Aktivitäten.
Auch für den Benutzer DDIC ist das Profil SAP_ALL aus Datenschutzsicht
nicht zulässig. Zur Ausübung der erforderlichen Aktivitäten (z.B. Starten und
Stoppen von Tasks im Rahmen des Systemmonitorings) sollten funktionsbezo-
gene Profile/Rollen erstellt werden. Weiterhin sind organisatorische Festlegun-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 73
4.2.2.4 EARLYWATCH
Der User EARLYWATCH ist der Dialogbenutzer für den Earlywatch-Service
im Mandanten 066. Er wird nur für den Performance Monitor benötigt.
Zum Schutz dieses Benutzers vor unberechtigtem Zugriff ist das Initialkenn-
wort zu ändern. Weiterhin sollten auch hier technische und organisatorische
Maßnahmen ergriffen werden, über die sichergestellt ist, dass ausschließlich
Funktionen ausgeführt werden, die für die Nutzung dieses Benutzers vorgese-
hen sind.
PERSK Mitarbeiterkreis
VDSK1 Organisationsschlüssel
Bei dem Feld “Berechtigungslevel” ist zu berücksichtigen, dass weitere Objek-
te (bspw. +5%HZHUEHU oder ),5HLVHSODQXQJ) zu Prüfzwecken herangezogen
werden (vgl. bzgl. weiteren Details SAP-Objektdokumentation).
Weiterhin sind hinsichtlich des Berechtigungslevels (vgl. bzgl. weiteren Details
SAP-Objektdokumentation) u.a. folgende Werte von Bedeutung:
R Lesen
W Schreiben
M Matchcode (Empfehlung: Man sollte nie nur W oder nur R vergeben;
sonst erhalten die Anwender keine Suchhilfe (früher Matchcodesuche)
und müssen immer direkt die Personalnummer eingeben.
S gesperrt schreiben, entsperren, sofern der letzte Änderer des Satzes
nicht der aktuelle Benutzer ist.
E gesperrt schreiben
D ändern des Sperrkennzeichens
Zusätzlich zum Berechtigungsobjekt P_ORGIN ist für die Stammdatenpflege
eine Berechtigung für die jeweilige Transaktion, z.B. PA30 (Personalstamm
pflegen), erforderlich.
Zugriffs auf Tabellen (anzeigen oder ändern) gesteuert werden. Das Feld %H
UHFKWLJXQJVJUXSSH dient zur Einschränkung des Zugriffs auf bestimmte Tabel-
len.
Das Objekt 6B7$%8B&/, besteht aus dem Feld .HQQ]HLFKHQ IU PDQGDQWHQ
XQDEKlQJLJH3IOHJH.
Aus datenschutzrechtlicher Sicht ist darauf zu achten, dass zur Vermeidung ei-
nes unzulässigen Zugriffs auf personenbezogene Daten mittels der Tabellenan-
zeige SE16 auf eine restriktive Vergabe des Zugriffs auf Berechtigungsgrup-
pen solcher Tabellen (z.B. den Infotypen in den PA-Tabellen) geachtet wird.
Eine Zuordnung von Tabellen zu Berechtigungsgruppen kann über die
Transaktion SE16 und Angabe der Tabelle V_DDAT abgerufen werden.
Über das Objekt S_SPO_DEV können die Berechtigungen zum Drucken auf
namentlich vorgegebenen Druckern vergeben werden. Durch eine generische
Vergabe von Druckernamen kann auf diese Art und Weise z.B. festgelegt wer-
den, dass ein Benutzer des HR-Moduls ausschließlich auf Druckern der Perso-
nalabteilung drucken kann.
4.2.6 Benutzeradministration
oder auch dezentral – über das Customizing bis auf Objekt- und Feldebene ein-
stellbar – erfolgen.
Da die Benutzeradministration sowie die Administration der Zugriffsrechte si-
cherheitssensible Aktivitäten darstellen, besteht im R/3-System die Möglich-
keit, ein organisatorisches Mehr-Augen-Prinzip abzubilden.
Dabei spricht SAP die Empfehlung aus, einen Benutzeradministrator, einen
Rollenadministrator und einen Aktivierungsadministrator einzurichten, um
grundsätzlich eine Funktionstrennung zu gewährleisten.
Die Aufgaben des Benutzeradministrators beziehen sich auf die Anlage und
Pflege von Benutzerstammsätzen.
Der Rollenadministrator pflegt die Elemente des Berechtigungskonzeptes. Dies
sind je nach konzeptuellem Vorgehen Rollen, Profile bzw. Berechtigungen.
Der Aktivierungsadministrator ist für die Verwendbarkeit der Elemente des Be-
rechtigungskonzeptes zuständig. Auch hier sind die Aufgaben von dem
konzeptionellen Vorgehen abhängig. Sie bestehen in einer Aktivierung von
Berechtigungen bzw. Profilen, die der Rollenadministrator in der Pflegeversion
erstellt hat. Alternativ bestehen sie in der Durchführung des Benutzerabgleichs.
Dabei werden die Rollen mit den darin hinterlegten Profilen und Berechtigun-
gen den Benutzerstammsätzen zugeordnet.
Um diese Trennung der unterschiedlichen Administrationsaufgaben zu ermög-
lichen, hat SAP in der Objektklasse “Basis-Administration” die folgenden Be-
rechtigungsobjekte definiert:
• Benutzerstammpflege: Benutzergruppen (S_USER_GRP)
• Benutzerstammpflege: Berechtigungen (S_USER_AUT)
• Benutzerstammpflege: Berechtigungsprofil (S_USER_PRO)
• Berechtigungswesen: Prüfung für Rollen (S_USER_AGR)
• Berechtigungswesen: Transaktionen in Rollen (S_USER_TCD)
• Berechtigungswesen: Feldwerte in Rollen (S_USER_VAL)
gepasst.
Da Änderungen an Tabellen in der Regel mit Programmänderungen gleichge-
setzt werden können, sind vorgenommene Änderungen ab Produktivstart zu
protokollieren. Die Tabellenänderungsprotokolle sind entsprechend den gesetz-
lich geforderten Aufbewahrungsfristen (10 Jahre) vorzuhalten.
Im Auslieferungsstandard sieht SAP die Protokollierung von Tabellenänderun-
gen aufgrund der notwendigen Customizing-Maßnahmen nicht vor.
Für das Testsystem ist der Parameter - rec/client - auf OFF gestellt. Diese
Einstellung muss zum Beginn der Customizing-Arbeiten im Entwicklungssys-
tem und nach Produktivstart im Produktivsystem durch Ändern des Standard-
profils (DEFAULT.PFL) dahingehend geändert werden, dass entweder alle
Tabellenänderungen im System protokolliert werden (ALL) oder zumindest
die des Auslieferungsmandanten (000) und des/der Produktivmandanten. Die
Einstellung ON ist nicht zulässig.
Wenn der Parameter UHFFOLHQW eingeschaltet ist, werden Änderungsprotokoll-
sätze für diejenigen Tabellen geschrieben, die bei den technischen Einstellun-
gen das entsprechende Kennzeichen gesetzt haben. Selbsterstellte 7DEHOOHQ
7 ;< RGHU = müssen vom Kunden somit als protokollierungspflichtig ge-
kennzeichnet werden.
Die Pflege des Protokollierungskennzeichens von Tabellen wird mit der Trans-
aktion SE13 durchgeführt.
Customizing-Einstellungen sollten i.d.R. nicht im Produktivsystem vorge-
nommen werden, um ein erforderliches Test-, Abnahme- und Freigabeverfah-
ren nicht zu unterlaufen und sicherzustellen, dass die vorgenommenen Einstel-
lungen anforderungsgerecht vorgenommen wurden.
Zu berücksichtigen ist in diesem Zusammenhang, dass bei der Nutzung des
TMS sicherzustellen ist, dass auch bei Transporten von Customizing-
Änderungen im Zielsystem eine Protokollierung erfolgt. Hierzu ist es erforder-
lich, in der Konfiguration den Parameter RECCLIENT = Parameter für die
Tabellenprotokollierung beim Import zu setzen (dieser Parameter ist von
Rec/client bzgl. der Tabellenprotokollierung im Produktivsystem zu unter-
scheiden).
4.2.7.3 Systemänderbarkeit
Über die Transaktion SE06 kann gesteuert werden, ob Objekte des Repository
und des mandantenunabhängigen Customizings änderbar sind.
Dabei können einzelne Objekte, wie z.B:
- Kundenentwicklungen
- SAP-Basiskomponenten
- Development Workbench
spezifisch geschützt werden. Über eine dieser Transaktion zugeordneten
Schaltfläche lassen sich entsprechende Änderungsprotokolle auswerten.
Über die in dieser Transaktion festgelegten Schutzmechanismen ergeben sich
keine Auswirkungen auf mandantenabhängige Customizing-Änderungen.
Diesbezüglich werden entsprechende Sicherheitsmechanismen über die Man-
dantensteuerung (vgl. Schutz der Tabelle T000) festgelegt.
4.2.7.4 Protokolle
Wenn in SAP Änderungen an Objekten/Tabellen vorgenommen werden, wird –
entsprechende Systemeinstellungen vorausgesetzt – ein Eintrag in einer Ände-
rungsprotokolldatei erzeugt. Dieser ist in dem Datei-/Datenbanksystem des
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 86
4.2.8 Systemschnittstellen
4.2.8.1 Batch-Input
Bei dem Batch-Input-Verfahren werden Daten in einer sogenannten Batch-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 87
Input-Mappe gespeichert. Die Übernahme der Daten erfolgt durch das Abspie-
len der Batch-Input-Mappe. Sie simuliert die Online-Eingabe von Trans-
aktionscodes und Daten und durchläuft beim Abspielen die entsprechenden Be-
rechtigungs- und Plausibilitätsprüfungen.
Die Technik von RFC bildet auch die Grundlage für weitere R/3-spezifische
Schnittstellenmethoden, wie Application Link Enabling (ALE) und Business
Application Program Interface (BAPI).
4.2.8.3 PC-Download
SAP bietet die Möglichkeit, die unterschiedlichsten Auswertungen per Down-
load aus der ”gesicherten SAP-Umgebung” auf den PC zu übertragen und dort
ohne zusätzliche Kontrollen weiterzuverarbeiten. Dabei bezieht sich der Down-
load z.B. auf jede Art von Listausgaben, die über Menü auf den PC über-tragen
werden kann.
Menüpfad:
6\VWHP!/LVWH!6LFKHUQ!/RNDOH'DWHL
4.2.8.4 ABAP-Listviewer
Über den in vielen Programmen eingebauten ABAP-Listviewer können ange-
zeigte Daten ohne weitere Berechtigungsprüfung oder Protokollierung per
"Kopieren" und "Einfügen" in ein beliebiges anderes Programm übernommen
werden.
Es ist zu beachten, dass die Konfiguration und die Auswertung der nachfolgen-
den Protokolle mit dem Datenschutzbeauftragten abzustimmen ist und die Mit-
bestimmungsrechte der Arbeitnehmervertretungen beachtet werden.
4.2.9.1 Audit-Informationssystem
Das Audit-Informationssystem (AIS) ist als Unterstützung für Wirtschaftsprü-
fer, interne Revisoren, Systemprüfer und Datenschutzbeauftragte von der SAP
entwickelt worden. Über das AIS stellt SAP eine Sammlung von prüfungsrele-
vanten Reports zur Verfügung, die es der vorgenannten Personengruppe – ohne
spezifische Kenntnis der erforderlichen Reports – ermöglicht, umfangreiche
Auswertungen vorzunehmen.
Im Funktionsumfang des AIS wurden die Erkenntnisse und Anforderungen
eingebunden, die sich aus der Arbeit der unterschiedlichen Arbeitskreise (AK-
Revision, AK-Datenschutz) ergeben haben.
Ab dem Release 3.1i ist es möglich, das AIS kostenfrei nachzuinstallieren, und
seit Release 4.6 gehört es standardmäßig zum Lieferumfang. Zum Start des AIS
dient die Transaktion SECR. Über die dargestellte Ordnerstruktur besteht
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 89
Zugriff auf
- kaufmännisches Audit
- System Audit
Teilbereiche des System Audit stellen Checklisten gemäß dem R/3-
Sicherheitsleitfaden und Checklisten gemäß Datenschutzleitfaden dar.
Ab dem Release 4.6c plant die SAP eine Überarbeitung des AIS. Dabei wird
u.a. die Transaktion SECR durch entsprechende Rollen ersetzt.
jeden Benutzer können statistische Daten auf täglicher, wöchentlicher und mo-
natlicher Basis erzeugt werden. (Transaktion STAT mit RSSTAT020 bzw.
STAD mit RSSTAT026)
4.2.9.5 Zur Anzeige der statistischen Daten bzgl. der Benutzer sind die SAP-Objekte
S_TOOLS_EX mit Feld AUTH Wert S_TOOLS_EX_A und S_ADMI_FCD mit
Feld S_ADMI_FCD Wert ST0R erforderlich. Die Nutzung dieser Funktionalität
und deren Vergabe ist aus Datenschutzgesichtspunkten heraus einer kritischen Be-
trachtung zu unterziehen. Monitoring von besonderen Ereignissen (z.B.
Workflow-Aktivitäten)
Weiterhin ist davon auszugehen, dass zukünftig verstärkt die sog. Workflow-
Komponente (als Teil des SAP-Basismoduls) genutzt wird. Diese stellt dabei
Werkzeuge zur automatischen Steuerung und Bearbeitung von anwendungs-
übergreifenden Abläufen bereit. Hierüber wird es möglich, alle Bearbeitungs-
schritte der einzelnen Benutzer automatisch zu protokollieren (z.B. mit SWU9,
SWI2, SWI5) (Zeit der Ausführung, Dauer etc.).
Wird die Workflow-Komponente genutzt, stehen somit Auswertungsmöglich-
keiten bzgl. des Benutzerverhaltens (z.B. Anzahl der bearbeiteten Vorgänge
etc.) zur Verfügung.
4.2.9.6 Report-Protokollierung im HR
Um nachgelagerte Kontrollen bzgl. des Starts von “kritische Reports” zu imp-
lementieren, besteht die Möglichkeit diese in die Tabelle T599R (V_T599R)
einzupflegen. Sofern über die vorgenommenen Einstellungen sichergestellt ist,
dass Protokolle erzeugt werden, kann eine Auswertung mit dem Report
RPUPROTD durchgeführt werden.
Aus Datenschutzsicht empfehlenswert ist mindestens eine Protokollierung der
Nutzung von flexiblen Auswertungen, wie den Reports RPLICO10 und
RPLMIT00, sowie die Nutzung der flexiblen Fehlzeitenauswertungen, die
RPTABSxx Reports.
In den letzten Releaseständen wurden die Suchhilfen von SAP immer weiter
ausgebaut. In vielen Modulen, wie z.B. dem HR, stellen sie eigene Informati-
onssysteme dar. Die angebotenen Suchhilfen können über Customizingfunktio-
nen eingeschränkt werden. Die Definition der verwendeten Suchhilfen sollte im
Projekt unter Hinzuziehung des DSB und ggf. der Arbeitnehmervertretung er-
folgen.
4.3 =XVDPPHQIDVVXQJGHU3UIXQJVKDQGOXQJHQ
4.3.1.1 Hardware
Ist jeweils aktuell dokumentiert,
q auf welchen Rechnern welche SAP relevanten DV-Verfahren (die Daten von SAP R/3 bekommen oder an
R/3 abgeben, wie z.B. Zeiterfassungssysteme) ablaufen?
q auf welchen Rechnern die SAP R/3 Test-, Qualitätssicherungs- und Produktivsysteme laufen?
Stimmen diese Angaben mit dem SYSTEM>>STATUS und den Tabellen TSYST (Anzeige über SM31,
bzw. SE16) überein? / T000 und T001
q um welche Rechnersysteme es sich handelt (ob etwa Windows-, UNIX-, MVS-, AS/400-Rechner als Ser-
ver verwendet werden, welche Client-Rechner in Betrieb sind)?
q Welche Betriebssysteme (mit Angabe der Versionsnummer) eingesetzt werden? Vgl. mit ".ys" im OK-
Code oder SYSTEM>>STATUS in den verschiedenen Systemen
q welche Netzwerkdienste in der Server-Domain aktiv sind und welche deaktiviert wurden?
q welche Router und Firewall-Systeme die SAP-Server Domain und das SAP-Netz von anderen Netzen
(insbesondere externen Netzen) abschotten?
q zwischen Applikationsservern
q welche Wartungszugänge, insbesondere für Fernwartung (Hard- oder Softwarewartung) vorgesehen sind?
Wenn ja, gefährden die Zwecke die Integrität und die Prüfbarkeit des R/3-Systems?
Wird diese Query-Sprache uneingeschränkt genutzt (z.B. auch für die Veränderung der Datenbasis)?
Hat jemand außer den Systemverwaltern Zugriff auf die SAP-Tabellen und die R/3-Datenbank von der Be-
triebssystemebene aus?
Prüfe die vergebenen Zugriffsrechte auf SAP-Objekte auf der Ebene der Betriebssysteme und des Netzwerkes
der betroffenen Server.
4.3.1.3 Programmiertechnik
Existieren verbindliche Programmrichtlinien?
Ist festgelegt,
1. welche Programmiersprachen außerhalb SAP verwendet werden und deren Programme auf SAP zugrei-
fen dürfen (z.B. SQL, JAVA...)?
1. Überprüfe die Einstellungen der Mandanten zur Änderbarkeit und Aufzeichnungspflichtigkeit in den
Tabellen T000 der in Frage kommenden Systeme
2. Prüfe die vergebenen Berechtigungen für das Objekt S_DEVELOP Aktivität 01 (anlegen) und 02 (än-
dern) sowie PROG
1. Überprüfe die Einstellungen der Mandanten in den Tabellen T000 der in Frage kommenden Systeme.
2. Prüfe die vergebenen Berechtigungen für das Objekt S_TABU_DIS Aktivität 02; S_TABU_CLI „X“.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 95
Ist das Verfahren für die Änderung der Produktionsprogramme schriftlich festgelegt?
Wer hat welche Berechtigungen im Change and Transporting System (CTS) ? Analysiere die vergebenen Be-
rechtigungen zum Berechtigungsobjekt S_TRANSPRT mit dem Berechtigungsinformationssystem SUIM Be-
nutzer nach Berechtigungswert.
Wird bei allen wesentlichen Änderungen und bei Releasewechsel auf die Vollständigkeit der Dokumentation
und die Revisionsfähigkeit geachtet?
Analysiere insbesondere mit dem CTS Informationssystem (Transaktion SE03) die transportierten eigenen
Objekte auf eine ausreichende und verständliche Dokumentation.
Werden geschützte personenbezogene Daten aus dem produktiven SAP-System in ein Open Information Wa-
rehouse zur allgemeinen Auswertung übertragen?
3URJUDPPWHVWXQG7HVWYRQ&XVWRPL]LQJ(LQVWHOOXQJHQ
Werden Testläufe mit eigens dafür erstellten Testdaten oder mit echten Daten durchgeführt?
Analysiere die Daten stichprobenartig (z.B. durch Aufruf der entsprechenden Stamm- und Bewegungsdaten in
den betroffenen Modulen) im Qualitätssicherungsmandanten im Konsolidierungssystem.
Ist sichergestellt, dass ein Testlauf mit echten Daten grundsätzlich nur in folgenden Fällen durchgeführt wird:
• im Rahmen der Zwecke und mit den Berechtigungen, die die Tester auch im echten System haben?
Analysiere die Berechtigungen im Testsystem mit SUIM.
• im Rahmen des 4-Augenprinzips, sofern über die Rolle der Testenden (Programmierer, Qualitätssicherer,
Fachabteilung) hinaus weitergehende Rechte auf die Daten vergeben werden (z.B. alle Rechte für den
Personalchef)?
• unter der Beteiligung der Fachabteilung, die Eigner der Daten ist?
Ist eine sichere Vernichtung des nicht anonymisierten Testmaterials mit Ausnahme der zu dokumentierenden
Testdaten gewährleistet?
Werden Testhilfen (etwa die SAP-eigenen Computer-Aided Test-Tools (CATT)) eingesetzt und von wem?
Ist festgelegt,
q welche Daten für den Programmtest und welche für den Abschlusstest in den der Produktion vorgelager-
ten Systemen und Mandanten verwendet werden dürfen? Prüfe die SOLL-Vorgaben (eines notwendigen
Testkonzeptes) auf Übereinstimmung mit den durchgeführten Transporten ins Konsolidierungs- oder Test-
system und deren Mandanten (Transaktion SE03 oder mit der AIS-Funktion Report RSWB0040).
q welche Stelle für die Formulierung des Programmier- und Änderungsauftrages zuständig ist?
Gibt es spezielle Vorgaben einzuhaltender Sicherheitsmaßnahmen (etwa zum Schutz der Dokumentation vor
Überschreiben bei Mandantenkopien)?
Untersuche insbesondere die Belieferungs- und Transportwege und die vergebenen Berechtigungen in den zu
Tests verwendeten Mandanten.
3URJUDPPGRNXPHQWDWLRQ
Wird die maschinell unterstützte Dokumentation bei der Entwicklung eigener Objekte genutzt?
Inspiziere mit der Transaktion SA38 (SPRINGE>>DOKUMENTATION) oder mit SE38 die Z- und Y-
Reports sowie mit der SE11 die Tabellendokumentation der Z- und Y-Tabellen.
Ist sichergestellt, dass durch restriktive Vergabe der Berechtigungen (Objekt S_TRANSPRT) und durch ent-
sprechende Einstellungen der Systeme und Mandanten alle Programmänderungen und Änderungen an
programmsteuernden Tabellen aufgezeichnet werden?
Ist durch entsprechende Rechtevergabe sichergestellt, dass die Dokumentation geschützt ist?
Welche Personen haben Entwicklerrechte (etwa S_CTS_DEVELO), wer Verwalterrechte (etwa das Profil
S_CTS_ALL) und wer Projektleiterrechte (z.B. das Profil S_CTS_PROJEC) bzw. vergleichbare Rechte? Un-
tersuche das Berechtigungsobjekt S_TRANSPRT mit SUIM.
Oder kann ggf. jede/r auf Grund von Generalberechtigungen (etwa SAP_ALL) alle Transporte freigeben und
durchführen?
Ist für jedes Programm eine Programmdokumentation erstellt worden, die zumindest folgende Teile enthalten
sollte?
• Datenflussplan
• verwendete Testdaten
Rufe dazu die Onlinedokumentation (SE38 ANZEIGE Dokumentation) auf, bzw. untersuche die Programm-
akten der selbstentwickelten Programme.
Gibt es ein Bedienungshandbuch, das alle für die Benutzung des angepassten R/3-Systems notwendigen
Hinweise enthält und die Bedeutung der geforderten Eingabedaten ausreichend erklärt?
Sind die Systeme (Tabelle TSYST) und Mandanten (Tabelle T000) und die Belieferungswege (Tabellen
TASYS), Konsolidierungswege (Tabelle TWSYS) sowie Transportschichten (Tabelle DEVL) ausreichend
dokumentiert und ist deren Einhaltung durch Systemeinstellungen (z.B. Systemänderbarkeit in T000)
gewährleistet?
• Welche Berechtigungen sind für das Objekt S_RFC vergeben, und welche Benutzer haben diese Berech-
tigungen?
• Welche Berechtigungen sind für die Objekte S_ALE_* vergeben, und welche Benutzer haben diese Be-
rechtigungen?
Welche Batch-Input Benutzer sind für welche Aufgaben angelegt? Untersuche die Benutzerstämme mit
SUIM auf unbekannte Batch-Input Benutzer
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 98
)UHLJDEHYHUIDKUHQ
Ist zur Freigabe von neuen oder geänderten Funktionen zur Verarbeitung geschützter personenbezogener Da-
ten ein organisatorisches Verfahren entwickelt und durch entsprechende Zugriffsrechte im CTS abgesichert
worden? Sind die Belange der Datensicherung und des Datenschutzes dabei ausreichend berücksichtigt wor-
den? Prüfe, ob organisatorische Regelungen durch die entsprechende Vergabe der Berechtigungen zum Ob-
jekt S_TRANSPRT umgesetzt wurden.
Ist dokumentiert,
• wer für die datenschutzrechtliche Programmfreigabe, und hier insbesondere für die Prüfung der Rechts-
grundlagen, die notwendigen technisch-organisatorischen Maßnahmen (speziell Berechtigungsprüfungen)
und die Dokumentation, verantwortlich ist?
Prüfe dies gegen die Vergabe der Berechtigungen zum Objekt S_TRANSPRT.
Prüfe die dokumentierenden Texte zu Aufträgen mit Transaktion SE03, Report RSWBOSSR.
Prüfe die Vergabe der Berechtigungen zum Objekt S_TRANSPRT: Wer kann entsprechende Transporte
durchführen?
Sind die Testroutinen und -abläufe für die Überprüfung der ordnungsgemäßen Verfahrensinstallation und des
fehlerfreien Programmablaufs ausreichend dokumentiert?
$QZHQGXQJVHQWZLFNOXQJ
Ist dokumentiert,
• welche Personen für die Releasewechsel und Wartung des SAP-Verfahrens zuständig sind?
• welche Teile des Verfahrens mit eigenem Personal und welche im Auftrag von einem Softwarehaus
entwickelt wurden?
• wann das Verfahren wesentliche Änderungen erfahren hat, wann neue Module, Funktionen und Anwen-
dungen hinzugekommen sind?
Liegt eine Zusammenstellung und Kurzbeschreibung der zu unterschiedlichen Zeitpunkten eingesetzten SAP-
Verfahren vor?
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 99
%HQXW]HUVHUYLFH6\VWHPDGPLQLVWUDWLRQ
Ist festgelegt,
Prüfe die Angaben gegen die Benutzerberechtigungen mit der Transaktion SUIM.
Ist festgelegt, wer wann dieses Protokoll zu welchen Zwecken auswerten soll/darf?
Werden alle Verfahrensänderungen ausreichend (im CTS und durch Änderungsprotokolle) maschinell proto-
kolliert?
Prüfe insbesondere die Aufzeichnungspflichtigkeit in den betreffenden Mandanten (Tabelle T000) sowie die
Vollständigkeit der Protokollierung im CTS mit SE03.
Prüfe die vergebenen Zugriffsrechte auf die Dateien des CTS, wer die Protokolle auf SAP- und auf Betriebs-
systemebene (SCD0 Aktion 06) archivieren und/oder löschen kann.
• auf welche Daten der Benutzerservice Zugriff hat, bzw. wer einen Trace (Transaktion ST01) durchfüh-
ren kann?
Werden Störungen und Maßnahmen zu deren Behebung in einem Störungslogbuch außerhalb von SAP R/3
revisionsfähig (Datum, Uhrzeit) dokumentiert?
Ist der Ablauf der Benutzer- und Berechtigungsverwaltung (Einrichten, Kennwortvergabe, Rechtevergabe,
Löschen/Ändern bei Versetzung oder Ausscheiden) ausreichend dokumentiert und ausreichend zeitnah orga-
nisiert?
5HFKHQ]HQWUXPVEHWULHE
Ist die Systemkonsole in einem gesicherten Bereich untergebracht und gegen missbräuchliche Benutzung ge-
sichert?
Gibt es Zwangsprotokollierungen für alle Änderungen am DV-System und an den Systemprogrammen, auf
denen die SAP-Software läuft?
Wird das Systemverwalterkennwort für die betreffenden Systeme regelmäßig geändert und in geeigneter Wei-
se geheim gehalten?
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 100
Ist Accounting
• im SAP-System im Einsatz?
Werden diese Berichte von der Revision und/oder dem Datenschutzbeauftragten regelmäßig ausgewertet?
• Führung?
• Auswertung?
• Aufbewahrung?
Gibt es Aufbewahrungs- und Löschungsfristen für die RZ-Dokumentationen (Protokolle, Schichtpläne u.ä.)?
Ist die Vergabe von Benutzerberechtigungen für die etwaige Benutzung einer Ausweichanlage geregelt?
4.3.1.4 Verfahrensanwendung
Prüfe zusätzlich die Maßnahmen zur Datensicherung gemäß §9 BDSG im Abschnitt 3 der
Checklisten.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 101
$QKDQJ]X%HQXW]HUEHUHFKWLJXQJHQ
Wird der Anhang manuell oder mit Hilfe des Systems geführt?
• mit dem Report RSUSR002 Übersicht über die Benutzer und die zugeordneten Profile
• mit dem Report RSUSR002 Auswertung für ein bestimmtes Objekt, wenn nur Benutzer mit Zugriff auf
bestimmte Berechtigungsobjekte gesucht werden
• mit dem Report RSUSR008 und RSUSR009 Prüfung der Benutzer mit kritischen Berechtigungen.
Vergleiche - abhängig von der Form der Anlage - die Auflistung mit dem aktuellen Stand der Tabellen (mit-
tels SA38 und den entsprechenden RSUSR* ABAPs).
Vergleiche ggf. den SOLL- und den IST-Stand der Anhänge in Form von PC-Dateien im .dbf oder .xls For-
mat durch eine entsprechende MS Query SQL Abfrage.
Vergleiche auch die weitergehenden Prüfungen zum Zugriffsschutz unter der Rubrik 'Prüfung von Daten-
schutz- und Datensicherungsmaßnahmen gem. § 9 BDSG'.
Bei der Prüfung der getroffenen technischen und organisatorischen Maßnahmen nach §9 BDSG
und seiner Anlage folgt die Darstellung der Systematik der Anlagennummerierung - auch wenn
dies im Einzelfall zur doppelten Nennung einzelner Prüfungspunkte führt. Es werden auch hier
wieder nur die Punkte weiter ausgeführt, die einen Bezug zu der SAP-Software haben. Hierbei fal-
len allen voran die Punkte “Zutrittskontrolle", “Auftragskontrolle" und “Verfügbarkeitskontrolle”
ins Auge, die Themenkomplexe ansprechen, die mit anderen technischen oder organisatorischen
Mitteln außerhalb des SAP-Systems gelöst werden müssen. Soweit es sinnvoll erschien, sind hier
auch für solche Fälle einige Prüfungen aufgenommen.
Laut Ziffer 1 ist 'Unbefugten der Zutritt zu Datenverarbeitungssystemen, mit denen personen-
bezogene Daten verarbeitet oder genutzt werden, zu verwehren =XWULWWVNRQWUROOH
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 102
Bei Ziffer 2 der Anlage zu §9 BDSG ist 'zu verhindern, dass Datenverarbeitungsanlagen durch
Unbefugte genutzt werden können =XJDQJVNRQWUROOH'
$XWKHQWLIL]LHUXQJ
Ist gewährleistet, dass jeder SAP-Benutzer über einen eigenen Benutzerstammsatz verfügt?
Prüfe stichprobenartig, ob alle Anwender in den betroffenen Abteilungen in der Liste der zugelassenen Be-
nutzer (Report RSUSR002) stehen.
Untersuche weiter mit RSUSR002 die Liste der Benutzer auf ggf. angelegte personenunabhängige Benutzer
(z.B. 'Lager' oder 'Personalsachbearbeiter' oder ähnliche)
• Existieren Vorgaben für sichere Kennwörter? Sind die verbotenen Kennwörter in der Tabelle USR40
ausreichend gepflegt?
• Existieren Mindestanforderungen an die Länge und den Aufbau von Kennwörtern (Empfehlung mind. 6
Zeichen)? Welche Einstellungen zur Mindestkennwortlänge gibt es? Untersuche mit RSPARAM die Pa-
rameter login/min_password_lng.
• Wird der Kennwortwechsel maschinell erzwungen? Welche Einstellungen zum Kennwortwechsel gibt
es? (Empfehlung 60 oder 90 Tage). Untersuche mit RSPARAM den Parameter log-
in/password_expiration_time.
• Erfolgt ein Abbruch der Verbindung nach einer bestimmten Anzahl von Fehlversuchen (3)? Untersuche
mit RSPARAM die Parameter login/fail_to_session_end und login/fail_to_user_lock.
• Ist das automatische Anlegen des Benutzers SAP* ausgeschaltet? Untersuche mit RSPARAM die Para-
meter login/no_automatic_user_sapstar (Wert sollte bei abgeschaltetem Benutzer 1 sein).
• Werden inaktive Benutzer automatisch abgemeldet? Untersuche mit RSPARAM die Parameter
rdisp/gui_auto_logout.
• Wurden die Standardbenutzer SAP*, DDIC, SAPCPIC und EARLYWATCH ausreichend geschützt? Ru-
fe mit RSUSR002 deren Benutzerstammsätze auf und analysiere die Ergebnisse von RSUSR003.
Erfolgt eine Authentifikation am Frontend-Rechner durch andere Mittel, z.B. Chipkarte, wenn der Rechner in
mehr oder weniger öffentlich zugänglichen Räumen steht?
Kann der Benutzer seinen Bildschirm, ohne sich abzumelden, über die Software verriegeln? Ist der Kenn-
wortschutz insbesondere an Arbeitsplätzen mit Publikumsverkehr auf der Ebene des PC-Betriebssystems ak-
tiviert?
Erfolgt eine Dunkelschaltung des Bildschirms bei längerer Inaktivität? Nach wie vielen Minuten?
Wird für die Gewährleistung der Datensicherheit auf den PCs eine spezielle Sicherheitssoftware eingesetzt?
Wird von der Verschlüsselung der SAP-Daten mittels Secure Store & Forward (SSF) Gebrauch gemacht und
in Bezug auf welche Daten?
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 103
Ist sichergestellt, dass geschützte Daten aus dem SAP R/3-System nicht per Download und/oder Mail auf un-
geschützte Systeme abfließen können?
Ist sichergestellt, dass zur Fernwartung (im Mandant 066) nur zugegriffen werden kann, wenn die Fernwar-
tung ausdrücklich angefordert wird?
Sind die eingerichteten Benutzerstammsätze für den Rest der Zeit gesperrt?
=XJULIIVVFKXW]
Gibt es neben der Benutzerübersicht im RSUSR002 eine Tabelle, die auf aktuellem Stand Benutzer und Be-
rechtigungen ausweist?
Sind die umfassenden Generalberechtigungen (wie SAP_ALL) auf besonders geschützte (und zwangsproto-
kollierte) Notfallbenutzer beschränkt?
Prüfe mit dem Berechtigungsinfosystem (Transaktion SUIM), wer das Sammelprofil SAP_ALL und wer ver-
gleichbar umfassende Berechtigungen besitzt.
Prüfe, ob die Zwangsprotokollierung für diese Benutzer in der Produktivumgebung eingeschaltet ist (mit
Transaktion SM19).
Untersuche ggf. die Protokolle in der Produktivumgebung auf verdächtige Nutzung der weitgehenden
Berechtigungen.
Sind die sensiblen Tabellen durch Tabellenberechtigungen ausreichend geschützt? Analysiere die Tabellen-
klassen in der Tabelle TDDAT für das Berechtigungsobjekt S_TABU_DIS.
Prüfe anschließend mit SUIM >> Benutzer nach Berechtigungswerten für S_TABU_DIS, welche Benutzer
auf diese Tabellenklassen Zugriff haben.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 104
Sind die sensiblen Programme durch Reportklassen ausreichend geschützt? Analysiere die zugeordneten Re-
portklassen mit dem Report RSCSAUTH für die zu schützenden Reports.
Sind alternativ für den Endbenutzer nur Reportbäume zugänglich? Analysiere, ob die Benutzung der Transak-
tion SA38 geschützt ist.
Sind alle zu schützenden Transaktionen entweder gesperrt (Ansicht mit dem Report RSAUDITC) oder mit ei-
ner Berechtigungsprüfung gegen das Objekt S_TCODE versehen? Analysiere die Tabelle TSTCA oder be-
nutze die Transaktion SE93.
Ist gegebenenfalls die Berechtigungsprüfung in kritischen Transaktionen vom Umfang verringert? Prüfe den
Parameter auth/no_check_in_some_cases. Hat er den Wert Y, prüfe, welche Prüfungen mit SU24 ausgeschal-
tet/verändert wurden.
Ist das 4-Augenprinzip bei der Pflege und Aktivierung von Berechtigungen und Profilen sowie bei der Benut-
zerpflege gewährleistet?
Prüfe die Organisation und die Einstellungen zu den Objekten S_USER_GRP (hier insbesondere: Wer kann
welche Benutzergruppen pflegen?), S_USER_PRO und S_USER_AUT.
Untersuche den Parameter rdisp/call_system mit dem Report RSPARAM. Wenn der Wert nicht 0 ist, kann
aus SAP heraus auf das Betriebssystem zugegriffen werden.
War der Programmschalter zur Nutzung der strukturellen Berechtigung jederzeit entsprechend der
Festlegungen eingestellt?
Prüfe die Nutzung des Programmschalters für strukturelle Berechtigungen im Modul HR in Tabelle T77S0.
%HGLHQHUREHUIOlFKH
Werden die Benutzer durch einen entsprechenden Eintrag im Benutzerstammsatz gezielt auf das für sie ein-
schlägige Untermenü durchgeschaltet? Rufe den Report RSUSR002 auf, erzeuge eine Liste aller in Frage
kommenden Benutzer, drücke zweimal den Knopf 'andere Sicht' und untersuche die Spalte 'Startmenü'.
Ist durch das Customizing gewährleistet, dass der Anwender nur Zugriff auf solche Daten hat, die er zur Er-
füllung seiner Aufgaben benötigt?
Prüfe die Masken (DYNPROs) im Zugriff einzelner Benutzer z.B. Mit PA20 in der Personalwirtschaft.
3URWRNROOLHUXQJ
Werden vom Betriebssystem die Benutzungsdaten protokolliert, so dass erkennbar ist, wer wann außerhalb
von SAP mit welchen Ressourcen wie auf welche SAP R/3-Daten zugegriffen hat?
Wird die Protokollierung des Downloads in der SM20 unter Datenschutzgesichtspunkten regelmäßig ausge-
wertet?
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 105
IXJW JHOHVHQ NRSLHUW, verändert oder HQWIHUQW ZHUGHQ N|QQHQ XQG GDVV EHUSUIW XQG
IHVWJHVWHOOWZHUGHQNDQQDQZHOFKH6WHOOHQHLQHhEHUPLWWOXQJSHUVRQHQEH]RJHQHU'DWHQ
GXUFK(LQULFKWXQJHQ]XU'DWHQEHUWUDJXQJYRUJHVHKHQLVW:HLWHUJDEHNRQWUROOH .
=XJULIIVVFKXW]
Gibt es neben der Benutzerübersicht im RSUSR002 eine Tabelle, die auf aktuellem Stand Benutzer und Be-
rechtigungen ausweist?
'DWHQEHUPLWWOXQJ
Wird eine Übersicht/Liste über diejenigen Stellen geführt, an die Datenübermittlungen programmgesteuert
stattfinden können?
Rufe das Audit-Info-System (Transaktion SECR) auf und prüfe dort die Punkte SYSTEM
AUDIT>>SYSTEM KONFIGURATION>>SYSTEM und >>KOMMUNIKATIONSARTEN R/3 für RFC,
CPIC und ALE Verbindungen.
Gibt es eine aktuelle Dokumentation der für die selbsttätige Übermittlung einzusetzenden Programme gemäß
§10 Absatz 4 BDSG außerhalb von SAP R/3?
Erfolgt außerhalb von SAP R/3 eine revisionssichere Protokollierung der programmgesteuerten Übermittlun-
gen durch Aufzeichnung von
• übermittelnder Benutzer
• Empfänger
• Daten
• Datum
• Uhrzeit?
Erfolgt eine Verschlüsselung der Daten durch SNC auf den Übertragungsstrecken?
Wenn ja, zwischen welchen Instanzen (SAP GUI und Applikationsserver, Applikationsserver und Drucker,
etc.)?
2XWSXWPDQDJHPHQW
Ist dokumentiert, welche Ausgaben auf PCs umgelenkt werden können? Prüfe die Vergabe der Berechtigun-
gen zum Objekt S_GUI (Aktivität 61).
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 106
=XJULIIVVFKXW]
Erfolgt die Ausgabe der Druckerzeugnisse bei Personaldatenverarbeitung benutzerbezogen? Sind die Dru-
ckerberechtigungen abteilungs- bzw. benutzerbezogen eingerichtet, oder kann es passieren, dass Ausdrucke
versehentlich in ganz fremden Abteilungen/Standorten/Ländern gemacht werden?
3URWRNROOHLQVWHOOXQJHQ
Überprüfe die Einstellungen zu SM19, wenn der Parameter rsau/enable mit dem Report RSPARAM gleich 1
ist.
Ist die Protokollierung der Tabellenänderungen eingeschaltet? Prüfe den Parameter rec/client mit RSPARAM
sowie RECCLIENT der TP-Parameter.
Sind alle wichtigen Tabellenänderungen (vor allem System- und Schlüsseltabellen wie die Abwesenheits-
gründe T554*) protokollierungspflichtig?
Stelle alle in Frage kommenden Tabellen zusammen und prüfe die Einstellungen (Transaktion SCU3 oder
Anzeige der Tabelle DD09L)
Erfolgt eine revisionssichere Protokollierung der Eingabe in einer Protokolldatei für alle relevanten SAP-
Objekte durch Aufzeichnung von
• erfassten Daten
Prüfe die eingestellten Änderungsbelege für alle in Frage kommenden Objekte mit Transaktion SCD0.
Prüfe mit dem Berechtigungsinformationssystem SUIM, bzw. dem Report RSUSR002, welcher Benutzer zu
dem Objekt S_SCD0 Aktivität 06 besitzt.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 107
3URWRNROODXVZHUWXQJHQ
Welche Protokollierung im SAP R/3-Verfahren wird von wem und zu welchen Zwecken genutzt?
• Ist das Security Audit Log aktiviert und wozu? Prüfe Transaktion SM19 und den Parameter rsau/enable
(Wert muss 1 sein) mit dem Report RSPARAM.
• Wird ggf. die Tagesstatistik (Transaktion STAT) genutzt? Vgl. den Parameter stat/level = 1.
• Welche Anwendungsprotokolle sind eingeschaltet? Vgl. die Konfiguration SLG0 für die SLG1.
• Wer kann die Protokollierung der Workflows (der Transaktionen SWI2 und SWI5) nutzen und zu wel-
chem Zweck?
• Für welche betriebswirtschaftlichen Objekte ist die Protokollierung eingeschaltet? (Transaktion SCD0)
=XJULIIVVFKXW]
Gibt es neben der Benutzerübersicht im RSUSR002 eine Tabelle, die auf aktuellem Stand Benutzer und Be-
rechtigungen beim Auftragnehmer ausweist?
Ist die Benutzergruppe der Benutzer beim Auftragnehmer im Berechtigungsstammsatz differenziert, d.h. ab-
teilungsweise oder funktionsbezogen gepflegt? Analysiere mit RSUSR002 >Anzeige aller Benutzer> 'Andere
Sicht' die Benutzergruppen.
Ist sichergestellt, dass ausreichende Kontrollen die Risiken weitgehender Berechtigungen beim Auftragneh-
mer abdecken?
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 108
=XJULIIVVFKXW]
Ist auf der Ebene des Betriebssystems sichergestellt, dass keine versehentliche Löschung der SAP-Dateien
erfolgen kann? Sind die Zugriffsrechte auf Betriebssystemebene entsprechend der SAP-Empfehlungen re-
striktiv vergeben? Werden die vorhandenen Zugriffsrechte regelmäßig überprüft?
Ist auf der Ebene des Datenbanksystems sichergestellt, dass keine versehentliche Löschung der SAP-Dateien
erfolgen kann? Sind die Zugriffsrechte auf Datenbankebene entsprechend der SAP-Empfehlungen restriktiv
vergeben? Werden die vorhandenen Zugriffsrechte regelmäßig überprüft?
Ist der Zugang zu den archivierten Daten und Datenträgern ausreichend geschützt? Prüfen Sie die entspre-
chende Organisation.
Ist sichergestellt, dass die Datenverarbeitungsanlagen und die Datenträger ausreichend gegen Einwirkungen
von Feuer, Wasser, Stromausfall und -schwankungen geschützt sind?
Ist sichergestellt, dass die Datenträger ausreichend gegen Einwirkungen von Materialermüdung geschützt
sind? Prüfen Sie, ob es ausreichende Stichproben gibt.
=XJULIIVVFKXW]
Ist auf der Ebene des Zugriffsschutzes eine ausreichend strikte Zuordnung Benutzer/Funktionen/Befugnisse
zu zulässigen Zwecken vorhanden?
• der Programmbibliothek
• der Programmierwerkzeuge
• der Administrationsfunktionen
6RQVWLJH0DQDKPHQ
Ist auf der Ebene der einzelnen Systeme, Mandanten und Buchungskreise eine ausreichende Abschottung der
Benutzer/Funktionen/Befugnisse vorhanden?
Sind die verbleibenden Risiken durch entsprechende Schulung der Benutzer in den Fachabteilungen, der
Programmierung und der Systemverwaltung abgedeckt?
$OOJHPHLQH5LFKWOLQLHQ
Existieren Richtlinien für die Datensicherheit (allgemein oder speziell für das DV-Verfahren) und sind diese auf
einem aktuellen Stand?
Ist durch das Verfahren sichergestellt, dass Mängel an den technisch-organisatorischen Maßnahmen oder Da-
tenschutzverstöße umgehend an den betrieblichen Datenschutzbeauftragten weitergeleitet werden und mit
diesem zusammen Abhilfe geschaffen wird?
=XJULIIVYHUZDOWXQJXQG3URWRNROODXVZHUWXQJHQ
Werden die Zugriffsberechtigungen eines ausscheidenden oder zu versetzenden Benutzers sofort gelöscht?
Gibt es ggf. einen automatisch ablaufenden Workflow zum Löschen eines Benutzers?
Ist die maschinelle Verwaltung und Pflege der Benutzerstammsätze, Berechtigungen, Profile und ggf. Rollen
ausreichend und zeitnah geregelt?
Wird durch das interne Kontrollsystem regelmäßig die Einhaltung des Berechtigungskonzepts geprüft? Wie
häufig finden solche Untersuchungen statt?
Wird die Protokollierung aller Versuche, sich vergeblich als Benutzer anzumelden (Report RSUSR006), re-
gelmäßig überprüft?
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 110
Ist die Weitergabe der Druckerausgaben an die Anwender geregelt, sofern diese keinen Arbeitsplatzdrucker
haben?
Wurde beachtet, dass die Sicherungsdateien zu schützen sind, etwa durch ein Kennwort oder Freigabedatum?
Werden die eingerichteten Schutzmaßnahmen regelmäßig einem eingehenden Test unterzogen, um festzustel-
len, ob sie noch den gewünschten Schutzzweck erfüllen?
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 111
5 Auftragsdatenverarbeitung
5.1 $EJUHQ]XQJHQEHLP7KHPD2XWVRXUFLQJXQG
'DWHQVFKXW]
zogener Daten ist, die der Outsourcinggeber zur Verfügung stellt. Man spricht
hier von einer sogenannten Funktionsübertragung.
Wenn innerhalb eines Konzerns DV-Outsourcing betrieben wird, sind die an-
zuwendenden Rechtsvorschriften nicht anders zu interpretieren als bei einem
Outsourcing zwischen sonstigen fremden Unternehmen.
5.2 9HUWUDJVJHVWDOWXQJ]ZLVFKHQ$XIWUDJJHEHUXQG
$XIWUDJQHKPHU
Als ”Herr der Daten” ist der Auftraggeber für die Einhaltung der Vorschriften
des BDSG und der anderen Vorschriften über den Datenschutz verantwortlich.
Insbesondere ist er verantwortlich für die Zulässigkeit der Erhe-
bung/Verarbeitung/Nutzung der Daten, für die Wahrung der Rechte des Betrof-
fenen, für die Haftung ihm gegenüber und für die Einhaltung der datenschutz-
rechtlichen Kontrolle. Der Auftragnehmer ist unter Prüfung der Eignung der
angebotenen technischen und organisatorischen Maßnahmen sorgfältig auszu-
wählen (kaufmännische Sorgfaltspflicht). Zwingend ist die schriftliche Festle-
gung der Datenerhebung/-verarbeitung/-nutzung, der technischen und organisa-
torischen Maßnahmen und etwaiger Unterauftragsverhältnisse. Es ist zu regeln,
dass nur nach den Weisungen des Auftraggebers verfahren wird.
Der Auftraggeber hat die Pflicht, sich gemäß § 11 Abs. 1 BDSG von der Ein-
haltung der technischen und organisatorischen Maßnahmen beim Auftragneh-
mer zu überzeugen. Die Pflicht zur Überwachung erstreckt sich auf Betriebsab-
läufe, DV-Systeme und Räumlichkeiten und unterliegt der Verschwiegenheits-
verpflichtung bezüglich der erlangten Kenntnisse.
Hat der Auftragnehmer einen Datenschutzbeauftragten bestellt, so entfällt die
Meldepflicht gemäß § 4d BDSG unter Berücksichtigung weiterer Ausnahmen
(siehe dort). Er muss intern sicherstellen, dass die Datenerhebung, -
verarbeitung bzw. -nutzung nur nach den festgelegten Weisungen erfolgt und
die technischen und organisatorischen Maßnahmen (gemäß Anlage zu § 9
BDSG) eingehalten werden. Seine Mitarbeiter sind auf das Datengeheimnis zu
verpflichten, ein Datenschutzbeauftragter ist zu bestellen.
• Ort, Zeitpunkte und ggf. Reihenfolge der Erhebung, Verarbeitung bzw. Nut-
zung
• Übertragung von Daten/Dateien via Datenleitung oder Satellit
• Angaben zur Datenverschlüsselung
• Art der Datenleitung (z.B. Internet, WAN o.a.)
• Berechtigung bzw. Pflicht zum Transport/Versand von Dateien, Magnetda-
tenträgern, Belegen oder Listen
• Sonderanforderungen an den Auftragnehmer (dazu berechtigte Personen des
Auftraggebers, Ansprechpartner beim Auftragnehmer)
• Festlegung der Zuständigkeit für die Archivierung und von Aufbewahrungs-
fristen (siehe auch Kapitel 2.3.5)
5.2.3 7HFKQLVFKHXQGRUJDQLVDWRULVFKH0DQDKPHQ
5.2.4 :DKUXQJGHU5HFKWHGHU%HWURIIHQHQ
Die Rechte des Betroffenen sind gegenüber dem Auftraggeber geltend zu ma-
chen. Das bedeutet für das Auftragsverhältnis, dass der Auftraggeber auch alle
notwendigen Informationen und Mittel zur Wahrung dieser Rechte auf Benach-
richtigung, Auskunft, Sperrung und Löschung durch den Auftragnehmer erhal-
ten muss. Es ist insoweit eine Unterstützungspflicht vorzusehen.
5.2.5 'DWHQJHKHLPQLV
5.2.6 .RQWUROOHQGXUFKGHQ$XIWUDJJHEHU
5.2.7 'DWHQVFKXW]EHDXIWUDJWHUGHV$XIWUDJQHKPHUV
5.2.8 8QWHUDXIWUDJQHKPHU
5.2.9 9HUDUEHLWXQJLP$XVODQG
Mit der Umsetzung der EU-Richtlinie sind die Anforderungen an die Datenver-
arbeitung im Ausland neu geregelt worden. Hinsichtlich des Auftragnehmers
wird keine Unterscheidung mehr getroffen zwischen einer Datenverarbeitung in
Deutschland oder in einem Staat innerhalb der EU. Bei der Nutzung eines Ser-
vice-Rechenzentrums in einem Drittland (also außerhalb der EU) ist aber wei-
terhin der Tatbestand der Datenübermittlung gegeben, die nur unter bestimmten
Voraussetzungen erlaubt ist. Hier einige Beispiele:
- Es ist zu prüfen, ob eine positive oder negative Entscheidung der EU-
Kommission in Bezug auf ein angemessenes Schutzniveau in diesem
Drittland existiert. In 2000 wurden beispielsweise die Schweiz und Un-
garn positiv bewertet, so dass eine Auftragsdatenverarbeitung in diesen
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 115
5.2.10 :DUWXQJXQG3IOHJH
Per definitionem gilt gemäß § 11 Absatz 5 BDSG die Erbringung von War-
tungsarbeiten oder von vergleichbaren Unterstützungsdienstleitungen als Auf-
tragsdatenverarbeitung im Sinne des Bundesdatenschutzgesetzes.
Die Wartung und Pflege von Systemen kann beispielweise folgende
Tätigkeiten beinhalten:
n Installation und Pflege von Netzwerken, Hardware und Software u.a. (Be-
triebssysteme, Middleware, Anwendungen)
n Parametrisieren von Software
n Programmentwicklungen/-anpassungen/-umstellungen
n Durchführung von Migrationen im Produktivsystem
Wartungsmaßnahmen können direkt vor Ort oder per Fernwartung durchge-
führt werden.
Im Hinblick auf den Schutz personenbezogener Daten gegenüber unautorisier-
ter Kenntnisnahme und/oder Weiterverwendung durch externe Systembetreu-
er/Wartungspersonal sind geeignete Sicherheitsmaßnahmen einzurichten:
n Art und Umfang der Wartung sind schriftlich zu vereinbaren.
n Das Wartungspersonal ist schriftlich zur Verschwiegenheit zu verpflichten
(“Datengeheimnis”). Dieses gilt auch für Fernwartungsarbeiten (“Remote
Access”).
n Personenbezogene Daten des Produktivsystems dürfen nicht auf andere
Systeme heruntergeladen werden.
n Bei Fernwartungsmaßnahmen via Remote Access ist das Prinzip der ge-
ringsten Rechtevergabe zu beachten. Zugriffe auf produktive Rechner-
system und Anwendungen sind im Einzelfall zu autorisieren.
n Entsprechende systemseitige Protokollierungen der durchgeführten War-
tungsmaßnahmen an Programmen und Datenbeständen sind vom System-
administrator unverzüglich und in zeitlicher Nähe zur Durchführung der
Wartung sachgerecht vorzunehmen.
n Personenbezogene Daten sind vor direkten Zugriffen des Wartungsperso-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 116
5.3 6$3)DNWHQ
5.3.1 $XVJDQJVVLWXDWLRQ
5.3.2 6$3$GPLQLVWUDWLRQ
• %HQXW]HUVWDPPSIOHJH%HUHFKWLJXQJVSURILO
sind entsprechend den Vereinbarungen bei Auftragnehmer bzw. Auftraggeber
einzurichten.
5.3.3 6$3VSH]LILVFKH0DQDKPHQ
5.3.3.1 Systemadministration
Es ist sorgfältig zu prüfen, in welchem Umfang umfassende bzw. weitreichen-
de Berechtigungen bzw. Rollen an Benutzer des oder der Auftraggeber verge-
ben werden, da auf diese Weise mandanten- und buchungskreisübergreifende
Funktionen wahrgenommen werden können.
Beispielsweise können u.U. personenbezogene Daten des Buchungskreises
"xxxx" Benutzern des Buchungskreises "yyyy" zugänglich sein.
Auf der anderen Seite ist sorgfältig zu prüfen, inwiefern Administratoren des
Auftragnehmers Zugriffsrechte auf personenbezogene Daten des Auftraggebers
erhalten.
Berechtigung Customizing
SAP_BC_CUS_CUSTOMIZER
6B$'(9(/23
Berechtigung Anwendungsentwickler
SAP_BC_DWB_ABAPDEVELOPER
ABAP Entwickler
5.3.3.5 Job-Abwicklung
Zwischen Auftraggeber und Auftragnehmer sind die Verantwortlichkeiten be-
züglich Job-Auftrag, Job-Durchführung und Job-Überwachung klar schriftlich
zu definieren (z.B. Personalabrechnungslauf, Mahnlauf). Diese Verfahrensan-
weisungen sollten sowohl den Fachabteilungen des Auftraggebers als auch den
EDV-Zuständigen des Auftragnehmers vorliegen.
Die im SAP-System generierten Job-Protokolle weisen nach, mit welchen Pa-
rametern ein Job gelaufen ist. Sie sind daher entsprechend zu schützen. I.d.R.
wird für die Aufbewahrung der Job-Protokolle der Auftragnehmer zuständig
sein.
Die handelsrechtlichen Aufbewahrungsfristen für die Job-Dokumentation
betragen mindestens 10 Jahre. Sie muss innerhalb dieses Zeitraums also auch
für den DSB verfügbar sein.
Die vertrauliche Handhabung der für die jeweiligen rechtlich selbständigen
Einheiten ausgedruckten Listen, die personenbezogenen Daten enthalten, ist
sicherzustellen (vgl. auch § 3 Absatz 2 BDSG)
5.3.3.6 PC-Download
Die Übertragung von SAP-Daten aus der "gesicherten SAP-Umgebung" per
PC-Download ist ab 4.0 über das Berechtigungsobjekt S_GUI zu schützen.
In Releases ab 3.0C kann über Download-Funktionsbausteine der Download
unterbunden bzw. protokolliert werden (siehe hierzu SAP-Hinweis 28777).
Auf einem PC hat der Benutzer die Möglichkeit durch Bildschirmabgriff (Cut
and Paste) Daten von der Anzeige zu kopieren. Hierfür müssen beim Auftrag-
nehmer geeignete organisatorische Rahmenbedingungen geschaffen werden,
die verhindern, dass personenbezogene Daten ohne Wissen des Auftraggebers
beim Auftragnehmer anderweitig nutzbar gemacht werden.
VFKHQ.
5.3.3.9 SAP-Protokolle
Unter Datenschutz- und Haftungsaspekten hat der Auftragnehmer archivierte
SAP-Protokolle als Nachweis für die Ausführung der Datenverarbeitung i.S.d.
vertraglichen Vereinbarungen und möglichen Nachkontrollen aufzubewahren.
Die Auftragskontrolle kann Job-Protokolle, Terminpläne, Sonderarbeitennach-
weise, Customizing-Aufträge, Transportaufträge etc. umfassen.
Die Aufbewahrungsfristen könnten an die handels- und steuerrechtlichen Vor-
schriften anlehnt werden.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 122
5.4 5LVLNHQ
6 Besondere Themen
6.1 $OOJHPHLQH7HFKQLNHQ
Das AIS ist ein Arbeitsmittel für den Auditor, Datenschutzbeauftragten und
DV-Revisor. Das AIS führt zu einer Verbesserung der Prüfungsqualität und ei-
ner Rationalisierung des Prüfungsablaufes.
Es ist eine Sammlung, Strukturierung und Voreinstellung von Prüfungsfunkti-
onen wie
- Prüfungshandlungen inklusive Dokumentation
- Prüfungsauswertungen
- Download von Prüfungsdaten
6.1.2 Favoritenliste
zeige für die TSTCT-Tabelle (Anzeige der Transaktionen im System) auch mit:
Tabellenanzeige für die TSTCT-Transaktionsübersicht.
Das Anlegen der individuellen Favoritenliste ist in der R/3-Dokumentation be-
schrieben. Beispiele von Transaktionen, die in die individuelle Favoritenliste
eingetragen werden sollten, finden sich im Kapitel 1 des FI-Prüfleitfadens.
6.1.3 Reportingbaum
6.1.4 Reportvarianten
6.2 $QZHQGHUVFKXOXQJEHUGDV9HUDQVWDOWXQJVPDQDJHPHQW
Prozesse im Veranstaltungsmanagement
• Veranstaltungsvorbereitung
• Veranstaltungsangebot
• Tagesgeschäft
• Wiederkehrende Arbeiten
Menüpfad
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 125
Sobald ein solches Angebot erstellt ist, kann zum Tagesgeschäft übergegangen
werden. Das Tagesgeschäft umfasst alle Aktivitäten, die die Buchungsvorgänge
betreffen. Es können z. B. Teilnahmen auf Veranstaltungen gebucht werden
oder Stornierungen durchgeführt werden. Für jede Aktivität ist eine entspre-
chende Korrespondenz vorhanden. Das Tagesgeschäft kann wie folgt durchge-
führt werden:
Menüpfad
Personal -> Veranstaltungsmanagement -> Teilnahmen
Menüs im Veranstaltungsmanagement
Im Veranstaltungsmanagement sind verschiedene Menüs hinterlegt. Daten, die
in einem Menü angelegt werden, werden auch gleichzeitig in andere Menüs
übernommen.
Menüpfad:
3HUVRQDO ! 9HUDQVWDOWXQJVPDQDJHPHQW ! 9HUDQVWDOWXQJ !
9HUDQVWDOWXQJVPHQ (PSV2)
Im Veranstaltungsmenü werden Veranstaltungstermine angelegt und geändert
sowie Ressourcen verwaltet.
Menüpfad:
Personal -> Veranstaltungsmanagement -> Teilnahmen ->
Teilnahmemenü (PSV1)
Im Teilnahmemenü werden sämtliche Buchungsvorgänge und die
Korrespondenz erledigt.
Menüpfad:
Personal -> Veranstaltungsmanagement -> Infosystem -> Aus-
kunftsmenü (PSV3)
Im Auskunftsmenü können alle Standardauswertungen zu Veranstaltungen,
Teilnahmen und Ressourcen erstellt werden.
Menüpfad:
3HUVRQDO! 9HUDQVWDOWXQJVPDQDJHPHQW ! 5HVVRXUFHQ ! 5HV
VRXUFHQPHQ(PSVR)
Im Ressourcenmenü können alle Ressourcentypen und Ressourcen des
Veranstaltungsmanagements verwaltet werden.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 126
Menüpfad:
3HUVRQDO ! 9HUDQVWDOWXQJVPDQDJHPHQW ! :HUN]HXJH !
:HUN]HXJPHQ (PSVT)
Im Werkzeugmenü können Infotypen für mehrere Objekte gleichzeitig bearbei-
tet werden und die Objekte des Veranstaltungsmanagements übersetzt werden.
Menüpfad:
3HUVRQDO ! 9HUDQVWDOWXQJVPDQDJHPHQW ! (LQVWHOOXQJHQ !
ODXIHQGH(LQVWHOOXQJHQ!6WDPPGDWHQNDWDORJ(OOC3)
In der Übersicht der Veranstaltungshierarchie können Stammdaten angelegt
und geändert werden sowie Verknüpfungen zu bestehenden Objekten angelegt
werden.
Reports im Veranstaltungsmanagement
Reports im Veranstaltungsmanagement beginnen mit den Buchstaben RH. Für
die Tätigkeit des Datenschutzbeauftragten sind die folgenden Reports zu emp-
fehlen:
Der Report 5+;4$1) (Voraussetzungsabgleich) listet bei Angabe der Da-
tenschutz-Schulung unter Veranstaltungsauswahl alle geschulten Personen auf.
Über Optionen (ungleich Datenschutz-Schulung) lässt sich einstellen, dass die
Auswertung fürQLFKW geschulte Anwender erfolgt.
Weitere Reports zur Unterstützung des Datenschutzbeauftragten sind:
- RHBUCH00 (Buchungen pro Teilnehmer)
- RHABLAUF (Veranstaltungsablauf)
- RHKBED00 (Veranstaltungsbedarf)
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 127
7 Glossar
7.1 :LFKWLJH%HJULIIHGHV%'6*
3HUVRQHQEH]RJHQH'DWHQ
%HVRQGHUH$UWHQSHUVRQHQEH]RJHQHU'DWHQ
Angaben über die rassische und ethnische Herkunft, politische Meinungen, re-
ligiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit,
Gesundheit oder Sexualleben.
%HWURIIHQHU
$XWRPDWLVLHUWH9HUDUEHLWXQJ
1XW]HQ
9HUDQWZRUWOLFKH6WHOOH
Jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt,
verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Als
verantwortliche Stelle gilt ein Unternehmen/Behörde, nicht z.B. einzelne Ab-
teilungen.
'ULWWHU
Jede Person oder Stelle außerhalb der verantwortlichen Stelle. Für das Unter-
nehmen / die Behörde ist also auch jede Gruppengesellschaft Dritter im Sinne
des Gesetzes.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 128
7.2 6$3%HJULIIH
$FFHOHUDWHG6$3 (ASAP)
Durchgängige, phasenorientierte Lösung der SAP zur effizienten und kontinu-
ierlichen Einführung von SAP R/3.
$%$35HSRUW
6$34XHU\
$%$34XHU\
Werkzeug der ABAP Workbench, das Benutzern ohne Kenntnis der ABAP-
Programmiersprache die Möglichkeit bietet, eigene Auswertungen zu definieren
und auszuführen.
In der ABAP Query werden nur Texte eingegeben und Felder und Optionen mar-
kiert, die den Aufbau der Auswertungen bestimmen sollen. Die Felder werden
über Sachgebiete ausgewählt.
7UDQVDNWLRQ
Aus der Sicht der Dialogprogrammierung ist eine Transaktion ein komplexes
Objekt, das aus einem Modulpool und Dynpros besteht und mit einem Transak-
tionscode aufgerufen wird.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 129
%HUHFKWLJXQJ
%HUHFKWLJXQJVREMHNW
2EMHNWNODVVH
3URILOH
Berechtigungsprofile geben den Benutzern Zugriff auf das System. Sie enthal-
ten Berechtigungen, die durch den Namen eines Berechtigungsobjektes und den
Namen einer Berechtigung identifiziert werden. Wird ein Profil in einem Be-
nutzerstammsatz eingetragen, so sind einem Benutzer damit alle in diesem Pro-
fil enthaltenen Berechtigungen zugeordnet.
6DPPHOSURILOH
5ROOHIUKHU$NWLYLWlWVJUXSSH
6DPPHOUROOH
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 130
3URILOJHQHUDWRU
9LHZ
$%$3/LVWYLHZHU (ALV)
7.3 *UXQGEHJULIIHGHV'LFWLRQDU\
hEHUEOLFN*UXQGREMHNWH
Die zentrale Datenstruktur des Dictionary ist die Tabelle. Eine Tabelle besteht
aus einer Liste von Feldern. Jedes Tabellenfeld wird einem Datenelement zu-
geordnet, das die inhaltliche Bedeutung des Feldes beschreibt. Das Datenele-
ment ist wiederum einer Domäne zugeordnet, die die technischen Eigenschaf-
ten des Feldes bestimmt.
Datenelemente und Domänen sind eigenständige Objekte im Dictionary. Des-
halb kann ein Datenelement für mehrere Felder verschiedener Tabellen ver-
wendet werden. Eine Domäne kann in verschiedenen Datenelementen verwen-
det werden. Dies ermöglicht die Wiederverwendung von einmal definierten
Objekten sowie die automatische Konsistenthaltung von Feldern mit gleichen
inhaltlichen bzw. technischen Eigenschaften.
7DEHOOH
)HOGQDPHQ
Jedes Feld verweist auf ein Datenelement und damit auf eine Domäne, um de-
ren Eigenschaften zu übernehmen. Seine formalen Eigenschaften werden durch
die Domäne bestimmt, seine inhaltliche Funktion durch das ihm zugeordnete
Datenelement.
Da die Eigenschaften von Tabellenfeldern im Dictionary auf drei Ebenen ver-
teilt sind (Felder, Datenelemente und Domänen) und jeweils nur einem dieser
Objekte zugeordnet sind, muss jedes Feld sowohl auf ein Datenelement als
auch auf eine Domäne verweisen. Damit ist die Konsistenz von technisch und
fachlich gleichartigen Feldern über Tabellen hinweg gewährleistet.
'DWHQHOHPHQW
'RPlQH
6WUXNWXU
Im Dictionary kann auch der Aufbau der Daten, die bei Berechnungen inner-
halb von Programmen oder bei der Datenübergabe zwischen Programmen auf-
treten, global definiert werden. Dies geschieht durch die Definition einer Struk-
tur. Eine Struktur wird im Dictionary wie eine Tabelle definiert und kann dann
aus ABAP-Programmen heraus angesprochen werden. Eine Änderung der De-
finition der Struktur im Dictionary wird automatisch in allen Programmen
wirksam.
3RROWDEHOOHQ
Bei diesem Tabellentyp handelt es sich um logische Tabellen, die bei ihrer
Definition einem Tabellenpool zugeordnet werden müssen.
Pooltabellen können benutzt werden, um Steuerdaten (z.B. Dynprofolgen oder
Programmparameter) abzulegen. Mehrere Pooltabellen können in einem Tabel-
lenpool zusammengefasst werden. Die Daten dieser Pooltabellen werden dann
in einer gemeinsamen Tabelle auf der Datenbank gespeichert.
&OXVWHUWDEHOOHQ
Bei diesem Tabellentyp handelt es sich um logische Tabellen, die bei ihrer
Definition einem Tabellencluster zugeordnet werden müssen.
Clustertabellen können benutzt werden, um Steuerdaten (z. B. Dynprofolgen
oder Programmparameter) abzulegen. Weiterhin können temporäre Daten oder
fortlaufende Texte, wie zum Beispiel Dokumentation, in Clustertabellen
abgelegt werden.
Mehrere Clustertabellen können in einem Tabellencluster zusammengefasst
werden. Die Daten der Clustertabellen werden dann im gemeinsamen Tabel-
lencluster auf der Datenbank abgelegt.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 133
8 Literatur
Die nachfolgende Auflistung erhebt keinen Anspruch auf Vollständigkeit.
• 'DPPDQQ 8OULFKLQ6LPLWLV'DPPDQQ*HLJHU0DOOPDQQ:DO]
• 6WULHEHFN8ZH%HUQG*ODXFK7KRPDV+RKQKRUVW*HRUJ.XPSI
9 Anlagen
Anlage 1: Verpflichtung auf das Datengeheimnis
9.1 $QODJH
Unternehmen/Behörde Datum
Datenschutzbeauftragter
9HUSIOLFKWXQJDXIGDV'DWHQJHKHLPQLV
Im Rahmen Ihrer Tätigkeit haben Sie auch mit Daten natürlicher Personen zu
tun.
Bitte bestätigen Sie durch Ihre Unterschrift auf der Kopie dieses Briefes, dass
Sie von dieser Verpflichtung, von dem beiliegenden Auszug aus den §§ 1, 2, 3,
5, 9, 43, 44 des Bundesdatenschutzgesetzes und dem beiliegenden Merkblatt
Kenntnis genommen haben.
Kenntnis genommen:
..............................................................
Unterschrift
Anlage
Auszug aus BDSG
Merkblatt
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 137
9.2 $QODJH
Unternehmen/Behörde Datum
Datenschutzbeauftragter
WXQKDEHQ
Dieses Merkblatt soll mit den wichtigsten Bestimmungen und Begriffen des
Bundesdatenschutzgesetzes (BDSG) vertraut machen. Darüber hinaus werden
einige Empfehlungen gegeben, wie Sie im Umgang mit personenbezogenen
Daten Verstöße gegen das BDSG vermeiden können.
QHQEH]RJHQHU'DWHQ
Mit dem BDSG wird grundsätzlich die Verarbeitung und Nutzung personenbe-
zogener Daten untersagt, es sei denn, dieses Gesetz selbst oder andere Rechts-
vorschriften erlauben Sie oder der Betroffene, d. h. die Person, um deren Daten
es sich handelt, stimmt in freier Entscheidung - in schriftlicher Form - zu. Die
unerlaubte Verarbeitung und Nutzung von Daten natürlicher Personen ist unter
Strafe gestellt.
Für den Bereich der privaten Wirtschaft gilt das BDSG nur dann, wenn sie per-
sonenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen verarbei-
ten, nutzen oder dafür erheben. Erlaubt ist diese Verarbeitung oder Nutzung im
wesentlichen unter folgenden Voraussetzungen:
• Es liegt ein Vertragsverhältnis (z.B. Arbeitsvertrag) oder ein vertragsähnli-
ches Vertrauensverhältnis (z.B. bei Bewerbungen) mit dem Betroffenen
vor. Es dürfen jedoch nur die Daten verarbeitet werden, die der Zweckbe-
stimmung des Vertragsverhältnisses oder vertragsähnlichen Vertrauensver-
hältnisses dienen (bei einem arbeitsrechtlichen Vertragsverhältnis dürfen
z.B. keine Daten über Parteizugehörigkeit oder Hobbys gespeichert werden,
da sie für die Erfüllung des Vertrages nicht notwendig sind).
• Die Verarbeitung der Daten ist für die verantwortliche Stelle zur Wahrung
ihrer berechtigten Interessen erforderlich. Es darf jedoch kein Grund für die
Annahme bestehen, dass der Betroffene ein überwiegendes Interesse daran
hat, dass seine Daten nicht verarbeitet werden.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 138
• Für die verantwortliche Stelle ist die Verarbeitung zur Durchführung wis-
senschaftlicher Forschung erforderlich. Das wissenschaftliche Interesse
muss allerdings ein mögliches Gegeninteresse des Betroffenen erheblich
übersteigen und der Forschungszweck darf nicht auch auf andere Weise mit
angemessenem Aufwand erreicht werden können.
0DQDKPHQ]XU*HZlKUOHLVWXQJGHV'DWHQVFKXW]HV
Zu den Maßnahmen, die dem Datenschutz dienen, gehören auch die Verpflich-
tung aller mit personenbezogenen Daten befassten Mitarbeiter auf das Daten-
geheimnis und die Berufung eines Datenschutzbeauftragten, dem es obliegt, die
Einhaltung aller Bestimmungen des Gesetzes zu überwachen.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 139
(PSIHKOXQJHQ
• Sorgen Sie dafür, dass niemand, der dazu nicht berechtigt ist, Einblick in Ih-
re Unterlagen (z.B. Karteien, Akten) nehmen kann.
• Stellen Sie sicher, dass nicht mehr benötigte Unterlagen, soweit Sie sie nicht
selbst vernichten können, kontrolliert entsorgt werden.
• Bei Arbeiten mit PC oder Terminal: Verlassen Sie die Geräte nicht ohne
ordnungsgemäße Beendigung der Sitzung.
9.3 $QODJH
Zur Einführung von SAP R/3 hat SAP das Modell ASAP entwickelt. Dieses
Standard-Vorgehensmodell und allgemeine Hinweise hierzu finden Sie auf der
Dokumentations-CD. Empfehlungen der Arbeitsgruppe Datenschutz zu
Beteiligungsthemen des Datenschutzbeauftragten entlang des ASAP-
Vorgehensmodells finden Sie hier. Gehen Sie die Themen bei der Planung ei-
ner Beteiligung des Datenschutzbeauftragten durch und planen in diesem Rah-
men Ihr eigenes Vorgehen.
3KDVH3URMHNWYRUEHUHLWXQJ
Zweck .....
Erreichung von Zielwerten für Beteiligung und Unterstützung
Sicherheitslevel und Datenschutz
D!O.
P'%
BQ*
5(+
Q% *
F#
Q*
?7(+ $C*
H%'%
(/!J
M .@*'L'%
(RJ(SQ*
%&
(+
1.1.4.2
(;(=
57- %Projektrollen
CLQ*
*7
N zuordnen
M
Zweck .........
Change-Team-Mitglied
Revision
Datenschutz
Arbeitnehmervertretung
2. Beschreiben Sie die Projektrollen ....
Revisor
Zuständige für den Datenschutz
Arbeitnehmervertretung
1.1.5.1 - Arbeitsplan erstellen
1.1.6.2 - Schulungsplan überarbeiten
T- UK#V5
5W$(#)62CL 5%&
'%
1.2 - Projektabläufe
1.2.1.1. - Projektkommunikationsplan festlegen
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 141
D7*'1L
Q*
$(+
Q% *
F
7
Q*
?(+ 5C*7
L $Q L&
N
1.2.1.9 - Standards zur Qualitätssicherung bestimmen
Zweck .....
... im Einführungsprozess führen können. Ggf. sind die
festgelegten Standards mit der Revision und/oder den Zuständigen für den
Datenschutz abzustimmen.
1.2.2.9 - ABAP-Entwicklungsstandards festlegen
Klären Sie, ob in der Fachabteilung programmiert werden soll und ob ABAP Query ge-
nutzt werden soll. Schaffen Sie ggf. die datenschutzrechtlich erforderlichen Vorausset-
zungen (Zustimmung der Arbeitnehmervertretung, Schaffung weiterer datenschutzrecht-
lich erforderlicher Rechtsgrundlagen, Schulung der Mitarbeiter, Abnahme der erstellten
Programme)
5 5 5 5*
( %C1R(+Q*
$C*
$ % C +G:(+C.*.L
K
7
K?7
-
C*
Zweck:
Zweck dieser Aufgabe ist es, Standards zur Arbeitsgestaltung, zur
Ergonomie und zum Datenschutz festzulegen.
Vorgehensweise
1. Ermitteln Sie, inwieweit die Einhaltung von Standards zur
Arbeitsgestaltung, zur Ergonomie und zum Datenschutz für
die Einführung notwendig sind. Klären Sie die Zuständigkeiten
für diese Aufgaben (Informatik, Fachabteilung).
2. Erstellen Sie ggf. einen Zeitplan für diese Aspekte. Wenden Sie
sich an die hierfür zuständigen Stellen in Ihrem Unternehmen
(z. B. Arbeitsschutz, Arbeitnehmervertretung, Datenschutz) und
legen Sie einen Zeitplan fest.
Ergebnis:
Entscheidung über die Entwicklung entsprechender Standards ist
getroffen
Rollen:
Projektleiter, Change-Team-Leiter, Arbeitnehmervertretung,
Zuständige für den Datenschutz
*
P)*0$7
&
P
*% $ 7
F8:(;.2'2>.'
; N
1.2.3.1 - Erforderliche Systeme bestimmen (
K34 5*' 5*7
&
% $ 7
F8:(;.%'*>.'
; N
1.2.3.2 - Mandantenstrategie festlegen (
1.3 - Projekt-Kickoff
D*
(/G: %Q*
-
:%C&'%
9#
Q*
?7(+ $C*
@*'L'%
(RJ(SQ*
%&
( M
(;(;
1.3.1.2
7%CN - Kickoff-Meeting durchführen
Zweck:
.... . Hierzu gehören Vertreter der Unternehmensleitung,
Mitglieder des Projektteams, Berater und ggf. weitere Mitarbeiter, z. B. Arbeitnehmerver-
treter und die Zuständigen für den Datenschutz.
1.4 - Planung der technischen Anforderungen
1.5 - Qualitätsprüfung Projektvorbereitung
D7
(/G: %Q
-
2CL%*$
*' CLQ*
57
C
(O
(=,%,#
N
1.5.1.2 - Projektvorbereitungsphase abnehmen
Ablauf:
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 142
1. ...
2. Holen Sie die Genehmigung und formale Abnahme ein, ggf. unter
Einbeziehung der nicht ständig am Projekt beteiligten
Gruppen (z. B. Arbeitnehmervertretung, Zuständige für den
Datenschutz)
3KDVH%XVLQHVV%OXHSULQW
einfügen:
Chancen und Risiken aus Sicht der Arbeitnehmer abschätzen.
5LVLNREHXUWHLOXQJGHU8QWHUQHKPHQVOHLWXQJYHUYROOVWlQGLJHQ
Zweck
.... zu bearbeitenden Punkte (z. B. zum Datenschutz oder zu
Einbeziehung der Arbeitnehmervertretung) sowie besonders
kritische Elemente des umfassenden Umstrukturierungsprogramms.
5 5 AB2!
>.2I .(+>*., ? (#'
:*
(+*
2&
%C&'2(;*? %(;
Zweck
..... die für Aktionspläne verantwortlich zeichnen oder diese
kontrollieren, wie z. B. die Revision und der Datenschutzbeauftragte,
sind
aufgefordert am Workshop zu den Risiken in der Unternehmensführung
teilzunehmen.
5 5 A$ P2!
$ >.*I .(+>5$*.5, ? (#'
R(+Q*
*
%&
( M
(;(;
5% C +
7
!J
M $.@*'1C2C*?$L %
(;(;
57
(+&'2
( :*
(+*
2
&
%$
72C&'2(;*? 2(;
5 A A$ P2!
$ >.*I .(+>5$*.5, ? (/
7
Q*
?(+ 5C*7
+!J
M .@*'
(= % ?7 ,:( ?7
(#'2(=*? %(;
Zweck
Zweck dieser Aufgabe ist es, Risikovermeidungsstrategien und
Aktionspläne - sowie die entsprechenden Verantwortlichkeiten - vorzustellen, um die
Einführungsrisiken, insbesondere aus Sicht des
Datenschutzes und des KontraG, zu minimieren.
Vorgehensweise (analog 4.2.2.4)
Ergebnis
Quantifizierung der Einführungsrisiken und Definition der vorgesehenen Aktionen und
Aufgabenverteilung zur Vorbeugung dieser Risiken
5 5 U P
Zweck
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 143
Zweck
... angesprochen werden. Hierbei sollte auch auf die Aspekte zur
Sicherstellung des Datenschutzes eingegangen werden.
2.2.8.2 - Verfahren für den Wissenstransfer festlegen und einführen
Zweck
......... weitergeleitet werden, wobei dies ggf. mit den für den
Datenschutz zuständigen Stellen abzustimmen ist bzw. diese Stellen
in den Prozess einzubeziehen sind.
2.3 - Projektteamschulung Business Blueprint
2.3.1.1 - Schulungsplan überarbeiten
2.3.1.2 - Schulung vorbereiten
$ *'L)*0$
L 'L % (+ . .(+>*., '2(;*? %(;
2.5 - Organisationsstruktur
2.6 - Geschäftsprozessdefinition
2.6.1.1 - Geschäftsprozess-Workshops planen
7T- U$R*?.(='%
(=%C*
$
-
?7 ,:(;.5
-$
LQ*
- L&
Zweck
........ und dem R/3-Referenzmodell - unter Berücksichtigung der
daraus ableitbaren Konsequenzen für die Qualifizierung und Datenschutzorganisation -
festzulegen.
L#
Q*
?7(+ $C*
5Q L&
H
2.6.3.3 - Anforderungen zum Berichtswesen bestimmen und
Zweck
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 144
Zweck
......... berücksichtigen. Bei personenbezogen Daten ist das
Konzept ggf. mit der Arbeitnehmervertretung und dem
Datenschutzbeauftragten abzustimmen.
*7
(/G: %Q*
%C&'2
(R(+Q*
*
%&
( M
(;(=
57%C
2.6.4.2 - Geschäftsprozessdefinition und -modelle optimieren
3ODQIU%HQXW]HUVFKXOXQJXQGGRNXPHQWDWLRQHUVWHOOHQ
Vorgehensweise
... dokumentiert sein. Dabei sollten auch datenschutzrechtliche
Aspekte unter Einbeziehung des Datenschutzbeauftragten
berücksichtigt werden.
2.7 - Qualitätsprüfung Business Blueprint
P $
-5 #
,6(+ *8:%
P'2(;1RJ(SQ*
%&
( M
(;(;
$72C@*'
-Q
%?(S 5C*7
L 5Q2*
%&
Zweck
Zweck dieser Aufgabe ist es, die Abnahme durch die Projektleitung
und andere Stellen, z. B. Revision, Datenschutz und Arbeitnehmervertretung, zu er-
wirken.
Rollen
Projektleiter, Lenkungsausschuss, Revision, Datenschutz, Arbeitnehmervertretung
U
5>$
$ ?%
. 5*' C%>
,:( ?
3KDVH5HDOLVLHUXQJ
Ablauf
2. ...dem Lenkungsausschuss, der Revision, der Arbeitnehmervertretung, dem Daten-
schutzbeauftragten und, falls erforderlich, ....
3.3 - Schulung des Projektteams, Realisierung
3.4 - Baseline-Konfiguration und -Abnahme
U5 A A UK23P
5
$ %C $(
RQ%% $%&
M .(+Q*
(;
Laden Sie auch die ggf. nicht ständig im Projekt vertretenen Gruppen (Revision, Daten-
schutz und Arbeitnehmervertretung) ein.
3.4.5.1 - Baseline-Szenarien ausführen
Vorgehensweise
... für Ihre wichtigsten Geschäftsabläufe - auch unter
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 145
Stellen Sie darüber hinaus sicher, dass die Sicherheitsverletzungen regelmäßig überprüft
werden.
"!#$
%
&
Zweck
..... Legen Sie die Verfahren zur Qualitätssicherung, ggf. unter
Einbeziehung der Revision und der für den Datenschutz zuständigen Stellen, fest. ... .
&')(*#+-,.#$
#$,/0124365%
347"/,&89:;<=>#$
Vorgehensweise
4. Stimmen Sie die Ergebnisse ggf. mit der Revision, der Arbeitnehmervertretung und
den für den Datenschutz zuständigen Stellen ab.
Vorgehensweise
Ablauf
1. ... zusammen, nehmen Sie ggf. Hinweise zum Datenschutz auf.
Überprüfen Sie, ob alle vorgesehenen Entwickler (Externe nicht vergessen) auf die Ein-
haltung der Datenschutzvorschriften verpflichtet sind. Tragen Sie dafür Sorge, dass vor
Aufnahme ihrer Tätigkeiten fehlende Verpflichtungen nachgeholt werden.
7"#3K
.#, >-7">">
742
3.7.2.1 - Anwendungshierarchie, Entwicklungsklassen festlegen
Zweck
Einige der Schlüssel-Items, die Sie berücksichtigen müssen, sind
....
datenschutzrechtliche Bestimmungen,
Rechte der Arbeitnehmervertretung
4. Bestimmen Sie die auszutauschenden Daten
........ im Interface Advisor). Prüfen Sie bei
personenbezogenen Daten die Einhaltung der geltenden Bestimmungen zum
Datenschutz.
3.10 - Entwicklung von Systemerweiterungen
3.10.1.2 - Genehmigung prüfen
Ablauf
1. Prüfen Sie die definierten Formulare und ergänzen diese -
soweit notwendig um datenschutzrechtliche Hinweise.
.... erstellt wird.
3.13 - Erarbeitung des Berechtigungskonzepts
Ablauf
1. Stellen Sie Fragen
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 147
'DWHQVFKXW]$QIRUGHUXQJHQIRUPXOLHUHQ
Nicht direkt fachabteilungsbezogene Rollen für den Revisor, die Wirtschaftprüfer, den für
den Datenschutz verantwortlichen Stellen und der Arbeitnehmervertretung definieren.
( )(1 B$
.$#, >-7"4># : ,
!"
#$&%'()'
*
+, .-
%' /02
1 $3$4
657'98' :7'0;<
#06=>
%?
0#72"
@%?# A "7
$&BC0 01 %'()'7/0# %#+D.
E? 0 F
Zweck
........ der Benutzer benötigt. Überprüfen sie bei
personenbezogene Daten, ggf. unter Einschaltung der zuständigen Stellen
(z. B. mit dem Datenschutzbeauftragten), abschließend die
Einhaltung der rechtlichen Bestimmungen. ...
B$
.$#, >-7>>4
72$ $
#34#$
H5-;7"#3J!#= = 7. 7"#
3.13.2.1a -
AM"&$.$-702$/"
festlegen
)( K
.-, >-7">/"012!#$:C
Zweck
... verantwortlichen Dateneignern, der Revision und ggf. vom
Datenschutzbeauftragten und der Arbeitnehmervertretung, abnehmen
zu lassen.
Tips
... die Unternehmensauditoren, z.B. Revisioren und die für den
Datenschutz zuständigen Stellen, hinzuziehen. ..
3.14 - Archivierungsverfahren einrichten
F7"-3 3".-70
.$#= ,.#
G6H".$-7">
, & !-".$#&$ G
3.14.1.1 - Archivierungsstrategie festlegen
Zweck
... wird sie reduziert. Hierbei sind sowohl die gesetzlichen
Aufbewahrungs- und Löschungsfristen (z. B. nach dem
Datenschutzgesetz) zu beachten.
3.15 - Abschließender Integrationstest
3.16 - Dokumentation und Schulungsunterlagen für Benutzer
)(')(1)(*4AK/7:C#",-&
34
7"4>#C3$
B$-70$$
!#, : :C >>#&%$$CF " $'J I
5%= C"
K%7 0
.%7"=7
> 7"#3<)3/7"$
= = $ G
Zweck
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 148
4XDOLWlWVSUIXQJ5HDOLVLHUXQJ
- 3UIXQJGHU$EOlXIHXQGGHU'\QSURVDQ+DQGGHU3URWRW\SHQ
- (YDOXWLRQGHU6RIWZDUH(UJRQRPLH
3KDVH3URGXNWLRQVYRUEHUHLWXQJ
Zweck
... durchzuführen. Dabei sollte auf die relevanten geltenden
Unternehmenspolicies zum Informationsschutz und die zu
beachtenden rechtlichen Bestimmungen, z. B. zum Datenschutz,
hingewiesen werden.
4.3 – Systemmanagement
, -7#3 +#9&: 3: , ,
", <
/$-$ 347"
.$#
CF 7"#
/
>E>- !#, : :C
"
>>-7"#&$
B$
.$/$,.$#, >-7"4>
3"&$.$-70
.-= ,.$#
K
/"
Ablauf
1. ....
.. über Organisation und Prozesse, insbesondere auch die
geltenden Unternehmenspolicies und rechtlichen Bestimmungen
zum Datenschutz.
4.5 - Cutover
4XDOLWlWVSUIXQJ3URGXNWLRQVYRUEHUHLWXQJ
3KDVH*R/LYHXQG6XSSRUW
5.1 – Produktionssupport
)(1$ 7N/= E
$ 7"#3;5%
!= $:C =0H"$ ">4>#7"#
K".$#7>
3"&$.$-70
.-= ,.$#
K, : : 7">-
10 Index
ABAP 17, 52, 54, 56, 57, 61, 62, 71, 90, 130, 131 § 5 BDSG 14, 112, 135
ABAP Dictionary 17, 27, 35, 37, 39, 42, 49, 51, 52, § 9 BDSG 29, 46, 48, 65, 66, 91, 100, 108, 111,
53, 54, 55, 56, 61, 129 112, 117
ABAP-Listviewer 86, 87, 129 §10 BDSG 104
Abrufverfahren 12 Benachrichtigung 12, 13, 24, 36, 37, 59, 60, 112
AcceleratedSAP 18, 127 Benutzeradministrator 81
Accounting 12, 46, 53, 54, 99 Benutzerverwaltung 29, 39, 53, 57, 147
Administration 26, 29, 30, 33, 47, 54, 56, 61, 78, 81, Berechtigungen 19, 20, 21, 23, 25, 26, 28, 29, 30, 41,
83, 116, 117 51, 56, 57, 58, 65, 66, 67, 71, 73, 75, 76, 77, 78, 79,
AIS 6LHKH · Audit - Informationssystem 80, 81, 82, 83, 87, 89, 93, 94, 95, 96, 97, 100, 102,
Aktivierungsadministrator 81, 116 103, 104, 105, 106, 108, 109, 117, 118, 128, 142,
Aktivitätsgruppe 128 146
ALE 22, 86, 87, 96, 104, 119 Berechtigungsgruppe 73, 75, 80
Anwenderschulung 32, 33, 123 Berechtigungskonzept 11, 17, 18, 19, 21, 23, 28, 29,
Arbeitnehmervertretung 23, 75, 90, 139, 140, 141, 49, 65, 66, 67, 74, 76, 77, 78, 80, 81, 87, 89, 90,
143, 144, 145, 146 103, 146
ASAP-Vorgehensmodell 16 Berechtigungsobjekte 48, 57, 58, 72, 76, 77, 79, 80,
Audit 17, 25, 26, 28, 31, 39, 52, 57, 60, 79, 87, 88, 81, 82, 86, 87, 100, 116
104, 118 Berechtigungsprüfung 69, 70, 73, 74, 75, 76, 79, 80,
Audit-Informationssystem 17, 26, 28, 31, 39, 40, 52, 87, 95, 97
56, 60, 87, 92, 122 Berechtigungsrahmenkonzept 28, 108
Auditor Arbeitsplatz 17, 122 Betriebskonzept 30
Auditor Datenschutz 26 Betriebsvereinbarung 11, 24
Aufbewahrungsfristen 43, 44, 50, 64, 84, 85, 112, 119, BetrVG 41
120 Bildschirmmasken 17
Aufbewahrungsvorschriften 45, 46, 47 BPersVG 41
Auftragsdatenverarbeitung 110, 113, 114, 116, 117, Bundesdatenschutzgesetzes 10
118, 119 CATT 94
Auftragskontrolle 67, 100, 106, 112, 120 CCMS 28, 71, 88, 89
Auftragsverarbeitung 12 Checkliste 24, 88, 91, 99, 143
Auskunft 13, 24, 28, 36, 37, 59, 60, 61, 62, 63, 112, Codes of Conduct 47
122, 138 CTO 20, 74, 83, 118
Authentifizierung 48, 68, 79, 101 CTS 20, 24, 74, 83, 94, 95, 97, 98, 118, 129
Autoren 7, 8 Customizing 9, 11, 16, 18, 19, 22, 23, 26, 28, 33, 34,
BAPI 21, 86, 119 40, 54, 78, 79, 81, 83, 84, 90, 93, 94, 103, 118, 120
Batch-Input 21, 22, 23, 85, 87, 96 Datenerhebung 27
Batch-Input-Verfahren 21 Datenfelder 10, 11, 17, 25, 37, 56, 61, 62, 78, 90
BDSG 7, 10, 11, 12, 13, 14, 16, 21, 23, 24, 27, 32, 38, Datengeheimnis 14, 25, 32, 33, 111, 112, 114, 134,
39, 60, 62, 110, 111, 112, 117, 132, 135, 136, 137, 135, 137
138 Datenkategorien 34, 37, 38, 39, 48, 50, 51, 86
§ 11 BDSG 12, 110, 113, 116 Datennutzung 27
§ 11 DSG 111 Datenschutzbeauftragte 7, 10, 14, 16, 17, 18, 23, 24,
§ 18 BDSG 34 25, 26, 27, 32, 40, 54, 111, 112, 113, 135, 136, 137,
§ 20 BDSG 43 138
§ 28 BDSG 38 Datenschutzerklärung 31, 36
§ 3 BDSG 43, 110, 119 Datenschutzkontrolle 41
§ 31 BDSG 25 Datensicherheit 12, 14, 17, 25, 32, 101, 108
§ 33 BDSG 13, 59 Datenübernahme 21
§ 35 BDSG 44, 62 Datenvermeidung und Datensparsamkeit 11, 16, 27
§ 38 BDSG 13, 36, 59 Dauer der Datenspeicherung 11, 25
§ 3a BDSG 11, 16, 27 DDIC 29, 71, 101
§ 4 BDSG 11 DEÜV 41
§ 4c BDSG 114 Dokumentation 18, 20, 22, 23, 24, 29, 34, 35, 37, 38,
§ 4d BDSG 13, 111 40, 50, 56, 61, 63, 67, 72, 83, 88, 90, 92, 94, 95, 96,
§ 4e BDSG 14, 21, 34, 35, 36, 37, 38, 39, 43, 47, 97, 104, 119, 122, 123, 130, 131, 147
59, 86 Dokumentations-CD 17
§ 4g BDSG 16, 27, 35, 39, 86 Download 17, 21, 23, 61, 65, 66, 70, 76, 86, 87, 90,
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 151
Risiko 22, 23, 24, 37, 69, 70, 72, 76, 78, 82, 85, 108 T77AD 53
Rolle 20, 23, 26, 29, 39, 40, 48, 51, 56, 71, 72, 81, 82, T77AR 53
88, 108, 117, 118, 128, 129, 140, 143, 146 T77S0 33, 79, 80, 103
Rollenadministrator 81 TASYS 24, 96
Rollenkonzept 30 TDDAT 102
Sachbearbeiter 41, 61 TSTCA 74, 103
Sachbearbeiterkennzeichen 41, 53 TSTCT 123
Safe Harbor 114 TSYST 42, 92, 96
Safe Harbor 47 TWSYS 24, 96
SAP Easy Access 20 US* 53
SAP-Hinweis USH* 57
28777 76 USR* 57
SAP Service System 17, 80 USR40 68, 70, 101
SAP-Automation 22 V_T599R 25, 89
SAPCPIC 29, 71, 101 Tabellen- und Feldanalyse 51
SAP-Fakten 9, 18, 22, 38, 60, 63, 68, 116 Tabellenverwaltung 17
SAPGUI 25 technisch-organisatorische Maßnahmen 11, 65, 97,
SAP-Hinweis 108
115224 28 Teledienstedatenschutzgesetz 31
23611 18 TMS 83, 84, 85
28777 66, 119 tp 24
29276 71 Transaktion 18, 21, 27, 28, 42, 51, 54, 56, 61, 69, 70,
30724 18 72, 73, 74, 75, 79, 80, 82, 84, 85, 87, 88, 89, 94, 95,
35493 32 97, 98, 102, 103, 104, 120, 127, 128
39267 17 AL08 56
39769 17 HIER 42
77503 17, 122 LSMW 21
SAP-Logon 68 OOQA 33
Schulung 14, 17, 19, 24, 32 PA10 61
Security Audit Log 28, 31, 79, 88, 89, 106, 118 PA30 26, 33, 54, 60, 63, 73
Sicherheitsleitfaden 17, 21, 23, 25, 27, 30, 31, 67, 71, PFCG 26, 72
90, 119 PFUD 82
SNC 25, 70, 104 RZ10 68, 70
Sperrung 13, 24, 43, 46, 47, 59, 62, 63, 71, 72, 88, RZ11 68, 70
112 SA38 26, 57, 74, 79, 95, 100, 103, 122
Suchhilfe 57, 73, 90 SCC0 120
Syslog 28, 88 SCC2 120
Tabelle SCC5 120
BNKA 41 SCD0 28, 75, 98, 105, 106
DEVL 24, 96 SCU3 28, 105, 106
HRP1* 52 SE03 83, 94, 97, 98
HRP1000 bis HRP1999 52 SE06 84, 85
HRP1001 53 SE11 26, 42, 52, 54, 56, 61, 95, 122
HRPAD* 53 SE13 84
KN* 52 SE16 42, 57, 61, 70, 74, 75, 80, 92, 122
LF* 52 SE38 26, 74, 95, 96
LFBK 41 SE80 26, 42, 74
P000* 56 SE81 42, 61
PA0* 40, 52 SE84 27, 42, 52, 56, 61, 74
PA0000 bis PA0999 52 SE93 103
PA0009 41 SECR 39, 52, 87, 88, 104
PA2* 52 SERP 61
PA2000 bis PA2999 52 SLG0 28
PB4* 52 SLG1 28
PCL* 52 SM04 56
SADR* 52 SM19 26, 79, 88, 102, 105, 106
T000 42, 84, 85, 92, 93, 96, 98 SM20 79, 88, 103
T001 42, 92 SM21 26, 28, 53, 88, 106
T599R 89 SM30 75, 85
T778V 53 SM31 42
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 153