Sie sind auf Seite 1von 153



$UEHLWVNUHLV5HYLVLRQ

$UEHLWVJUXSSH'DWHQVFKXW]

/HLWIDGHQ'DWHQVFKXW]

IU6$35


5HOHDVH  

6WDQG  6HSWHPEHU

%HVWHOO1U )D[1U

KWWSZZZVDSFRPJHUPDQ\DERXWVDSUHYLV

KWWSZZZVDSGHUHYLV

SAP® AG é Neurottstr. 16 é D-69190 Walldorf


Änderungen und Ergänzungen vorbehalten
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 2

Leitfaden Datenschutz für SAP-R/3


(LQOHLWXQJ 

 (LQIKUXQJVSUR]HVV  

1.1 $QIRUGHUXQJHQGHV%'6*DQ6$35  

1.1.1 Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten ............... 11


1.1.2 Übermittlung von personenbezogenen Daten....................................................... 12
1.1.3 Abrufverfahren...................................................................................................... 12
1.1.4 Besondere Zweckbindung..................................................................................... 12
1.1.5 Auftragsverarbeitung ............................................................................................ 12
1.1.6 Benachrichtigung des Betroffenen........................................................................ 12
1.1.7 Rechte des Betroffenen ......................................................................................... 13
1.1.8 Auskunft an jedermann ......................................................................................... 13
1.1.9 Meldepflicht.......................................................................................................... 13
1.1.10 Verpflichtung der Mitarbeiter auf das Datengeheimnis........................................ 14
1.1.11 Schulung ............................................................................................................... 14
1.1.12 Maßnahmen zur Datensicherheit .......................................................................... 14
1.1.13 Übersichten gem. §§ 4e, 4g und § 18 Abs. 2 (BDSG-Übersichten) .................... 14
1.1.14 Vorabkontrolle ...................................................................................................... 14
1.2 0LWZLUNHQGHV'DWHQVFKXW]EHDXIWUDJWHQEHLGHU(LQIKUXQJYRQ6$35  

1.2.1 Datenschutzbeauftragter - Mitglied des SAP-Projektteams ................................. 16


1.2.2 Information des Datenschutzbeauftragten zu den „Meilensteinen“...................... 16
1.2.3 Informationsmöglichkeiten für den Datenschutzbeauftragten .............................. 17
1.3 6$3)DNWHQ  

1.3.1 Customizing und ASAP-Vorgehensmodell .......................................................... 18


1.3.2 Berechtigungskonzept........................................................................................... 20
1.3.3 Change Transport System/Change Transport Organizer (CTS/CTO) ................. 20
1.3.4 Schnittstellenverarbeitung .................................................................................... 21
1.3.5 Job-Auftrags-Verfahren - und Dokumentation..................................................... 22
1.4 5LVLNHQ 

1.4.1 Nichteinschaltung des Datenschutzbeauftragten bzw. der


Arbeitnehmervertreter........................................................................................................... 23
1.4.2 Nichtbeachtung der SAP-Empfehlungen.............................................................. 23
1.4.3 Nichtberücksichtigung bzw. verspätete Erstellung des Berechtigungskonzeptes. 23
1.4.4 Nicht ordnungsgemäße Anwendung eines Datenverarbeitungsprogramms ......... 24
1.5 3UIXQJVKDQGOXQJHQLP5DKPHQGHU(LQIKUXQJ&KHFNOLVWH  

 $XIJDEHQGHV'DWHQVFKXW]EHDXIWUDJWHQ  

2.1 hEHUZDFKXQJGHURUGQXQJVJHPl‰HQ3URJUDPPDQZHQGXQJ †J$EV%'6*  

2.1.1 Einbeziehung des DSB vor und während der Programmentwicklung- und -
anpassung.............................................................................................................................. 28
2.1.2 Prüfung der Datenerhebung und Datennutzung auf Rechtmäßigkeit ................... 28
2.1.3 Auswertung der Protokollierung........................................................................... 28
2.1.4 Prüfung der Verfahrensdokumentation................................................................. 29
2.1.5 Mitwirkung bei der Festlegung und Überprüfung des Berechtigungskonzeptes .. 29
2.1.6 Mitwirkung bei der Festlegung des Betriebskonzeptes und der
Betreiberorganisation............................................................................................................ 31
2.1.7 Abfassung einer Datenschutzerklärung ................................................................ 32
2.1.8 Überwachung des Korrektur- und Transportwesens unter SAP R/3 .................... 32
2.1.9 Kontrollen im laufenden Betrieb .......................................................................... 32
2.2 6FKXOXQJGHU$QZHQGHUPLW9HUSIOLFKWXQJDXIGDV'DWHQJHKHLPQLV ††JXQG
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 3

%'6* 

2.2.1 Personenkreis, der geschult und verpflichtet werden muss .................................. 33


2.2.2 Inhalt der Anwenderschulungen ........................................................................... 33
2.2.3 Abbildung der Anwenderschulung im SAP.......................................................... 34
2.3 )KUHQYRQhEHUVLFKWHQ †J$EV†$EV%'6*  

2.3.1 Informationen zur verantwortlichen Stelle ........................................................... 39


2.3.2 Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung.............. 39
2.3.3 Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten
oder Datenkategorien ............................................................................................................ 39
2.3.4 Empfänger oder Kategorien von Empfängern ...................................................... 42
2.3.5 Regelfristen für Löschung .................................................................................... 44
2.3.6 Geplante Übermittlung in Drittstaaten.................................................................. 48
2.3.7 Maßnahmen zur Gewährleistung der Sicherheit................................................... 49
2.3.8 Zugriffsberechtigte Personen ................................................................................ 49
2.3.9 Beispiel Melderegister .......................................................................................... 50
2.4 6\VWHPXQWHUVWW]XQJ 

2.4.1 Auswertungen zur Tabellen- und Feldanalyse...................................................... 52


2.4.2 Techniken zum Auffinden personenbezogener Daten .......................................... 55
2.4.3 Prüfung der Zugriffsberechtigungen ..................................................................... 57

 5HFKWHGHU%HWURIIHQHQXQGYRQMHGHUPDQQ  

3.1 %HQDFKULFKWLJXQJXQG$XVNXQIW  

3.1.1 SAP-Fakten........................................................................................................... 61
3.1.2 Anforderungen an die Organisation des Datenschutzes ....................................... 61
3.2 %HULFKWLJXQJ/|VFKXQJXQG6SHUUXQJ  

3.2.1 Rechtliche Anforderungen .................................................................................... 63


3.2.2 SAP-Fakten........................................................................................................... 64
3.2.3 Anforderungen an die Organisation des Datenschutzes ....................................... 64

 8PVHW]XQJGHU$QIRUGHUXQJHQDXV†%'6*XQG$QODJH7HFKQLVFK

RUJDQLVDWRULVFKH0D‰QDKPHQ  

4.1 $QIRUGHUXQJHQ  

4.1.1 Gesetzliche Anforderungen aus § 9 BDSG .......................................................... 66


4.1.2 SAP-Funktionalität zur Abdeckung der gesetzlichen Anforderungen.................. 67
4.2 6$3)DNWHQ5LVLNHQXQG0D‰QDKPHQ  

4.2.1 Identifizierung und Authentifizierung .................................................................. 69


4.2.2 Standardbenutzer .................................................................................................. 71
4.2.3 Benutzerberechtigungskonzept: ausgewählte Berechtigungsobjekte ................... 73
4.2.4 Benutzerberechtigungskonzept: ausgewählte Profile ........................................... 78
4.2.5 Besonderheiten bei der Berechtigungsprüfung ..................................................... 80
4.2.6 Benutzeradministration......................................................................................... 81
4.2.7 Änderungen am Produktivsystem ......................................................................... 84
4.2.8 Systemschnittstellen.............................................................................................. 86
4.2.9 Auditing und Logging........................................................................................... 88
4.2.10 Komplexe Suchhilfe ............................................................................................. 91
4.2.11 Zusammenfassung zentraler Risiken .................................................................... 91
4.3 =XVDPPHQIDVVXQJGHU3UIXQJVKDQGOXQJHQ  

4.3.1 Anforderungen an die Prüfbarkeit ........................................................................ 93


3URJUDPPWHVWXQG7HVWYRQ&XVWRPL]LQJ(LQVWHOOXQJHQ  

3URJUDPPGRNXPHQWDWLRQ  

)UHLJDEHYHUIDKUHQ  

$QZHQGXQJVHQWZLFNOXQJ 

%HQXW]HUVHUYLFH6\VWHPDGPLQLVWUDWLRQ  
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 4

5HFKHQ]HQWUXPVEHWULHE  

4.3.2 Prüfung spezieller Regelungen aus vorrangigen Rechtsvorschriften (z.B. aus


geltenden Betriebsvereinbarungen zu organisatorisch-technischen Maßnahmen) ............. 101
$QKDQJ]X%HQXW]HUEHUHFKWLJXQJHQ  

4.3.3 Prüfung der Datenschutzmaßnahmen gemäß § 9 BDSG und der Anlage .......... 101
$XWKHQWLIL]LHUXQJ 

=XJULIIVVFKXW] 

%HGLHQHUREHUIOlFKH  

3URWRNROOLHUXQJ  

=XJULIIVVFKXW] 

'DWHQEHUPLWWOXQJ  

2XWSXWPDQDJHPHQW  

3URWRNROOHLQVWHOOXQJHQ  

3URWRNROODXVZHUWXQJHQ  

=XJULIIVVFKXW] 

=XJULIIVVFKXW] 

=XJULIIVVFKXW] 

6RQVWLJH0D‰QDKPHQ  

$OOJHPHLQH5LFKWOLQLHQ  

=XJULIIVYHUZDOWXQJXQG3URWRNROODXVZHUWXQJHQ  

 $XIWUDJVGDWHQYHUDUEHLWXQJ 

5.1 $EJUHQ]XQJHQEHLP7KHPD2XWVRXUFLQJXQG'DWHQVFKXW]  

5.2 9HUWUDJVJHVWDOWXQJ]ZLVFKHQ$XIWUDJJHEHUXQG$XIWUDJQHKPHU  

5.2.1 Pflichten des Auftraggebers und Auftragnehmers .............................................. 112


5.2.2 Umfang der Datenverarbeitung / Weisungen...................................................... 112
5.2.3 Technische und organisatorische Maßnahmen ................................................... 113
5.2.4 Wahrung der Rechte der Betroffenen ................................................................. 113
5.2.5 Datengeheimnis .................................................................................................. 113
5.2.6 Kontrollen durch den Auftraggeber .................................................................... 114
5.2.7 Datenschutzbeauftragter des Auftragnehmers .................................................... 114
5.2.8 Unterauftragnehmer ............................................................................................ 114
5.2.9 Verarbeitung im Ausland.................................................................................... 114
5.2.10 Wartung und Pflege ............................................................................................ 115
5.3 6$3)DNWHQ  

5.3.1 Ausgangssituation ............................................................................................... 117


5.3.2 SAP-Administration ........................................................................................... 117
5.3.3 SAP-spezifische Maßnahmen ............................................................................. 118
5.4 5LVLNHQ 

 %HVRQGHUH7KHPHQ 

6.1 $OOJHPHLQH7HFKQLNHQ  

6.1.1 Audit-Informationssystem (AIS) ........................................................................ 123


6.1.2 Favoritenliste ...................................................................................................... 123
6.1.3 Reportingbaum.................................................................................................... 124
6.1.4 Reportvarianten................................................................................................... 124
6.2 $QZHQGHUVFKXOXQJEHUGDV9HUDQVWDOWXQJVPDQDJHPHQW  
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 5

 *ORVVDU  

7.1 :LFKWLJH%HJULIIHGHV%'6*  

7.2 6$3%HJULIIH  

7.3 *UXQGEHJULIIHGHV'LFWLRQDU\  

 /LWHUDWXU  

 $QODJHQ  

9.1 $QODJH  

9.1.1 Verpflichtung auf das Datengeheimnis............................................................... 136


9.2 $QODJH  

9.2.1 Merkblatt Datenschutz........................................................................................ 137


9.3 $QODJH  

9.3.1 Empfehlungen zum ASAP-Vorgehensmodell .................................................... 140


 ,QGH[ 
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 6

=XVDPPHQIDVVXQJGHUbQGHUXQJHQXQG1DFKWUlJH

(UVWH$XIODJH 5HOHDVH 

=ZHLWH$XIODJH 5HOHDVH 


Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 7

Einleitung

Der vorliegende Leitfaden Datenschutz zum 5HOHDVHVWDQG  im SAP-


Systemumfeld 5 soll Datenschutzbeauftragten der SAP-Anwender Anhalts-
punkte für die Vorgehensweise bei der Umsetzung der Anforderungen der Da-
tenschutzvorschriften bei Einsatz der SAP-Software geben.
Der Leitfaden ist als "Empfehlung" gedacht, nicht aber als "Verbindliche Richt-
linie" oder "Norm". Jegliche Verantwortung für Art, Umfang und Ergebnis der
Umsetzung der Datenschutzvorschriften verbleibt somit beim
Datenschutzbeauftragten und der Firma.
Für das Studium dieses Leitfadens werden Grundkenntnisse der SAP-Systeme
sowie Kenntnisse der GoB "Grundsätze ordnungsmäßiger Buchführung" und des
BDSG “Bundesdatenschutzgesetz“ vorausgesetzt. Der Leitfaden Datenschutz
behandelt Fragestellungen, die bereits im R/3-Sicherheitsleitfaden oder in ande-
ren Prüfleitfäden des AK-Revision enthalten sind, insbesondere aus daten-
schutzrechtlicher Sicht. In dieser Version wird nicht auf modulspezifische Be-
sonderheiten, z.B. HR oder mySAP Healthcare, eingegangen.
SAP R/3 ist als international eingesetzte Standardsoftware konzipiert. Der Leit-
faden berücksichtigt zur Zeit die EU Richtlinie 95/46/EG und insbesondere die
deutsche Datenschutzgesetzgebung.
Die Autoren sind Mitglieder der Arbeitsgruppe DATENSCHUTZ im Arbeits-
kreis Revision und stellen hiermit ihre Erfahrungen zur Verfügung.

© Copyright 2001 der Autoren:

Herr R. Anhorn Robert Bosch GmbH, Stuttgart


Herr T. Barthel FORBIT e.V./CArO GmbH, Hamburg
Frau C. Bonni Lausitzer Braunkohle AG, Senftenberg
Herr I. Carlberg BIT e.V., Bochum
Herr S. Dierschke BASF AG-Zok, Ludwigshafen
Herr W. Geesmann KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf
Herr R. Glagow PWC Deutsche Revision AG, Düsseldorf
Herr F. Glaß PWC Deutsche Revision AG, Düsseldorf
Herr T. Glauch KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf
Herr J. Heck Brau und Brunnen AG, Dortmund
Herr G. Hohnhorst KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf
Herr W. Hornberger SAP AG, Walldorf
Herr A. Kirk Ruhrgas AG, Essen
Herr K. Lorenz Deutsche Bausparkasse Badenia AG, Karlsruhe
Herr P. Schiefer Bayer AG, Leverkusen
Herr E. Schmidt Philip Morris GmbH, München
Herr A. von der Stein RWE Systems AG, Dortmund
Herr G. Voogd FORBIT e.V./CArO GmbH, Hamburg
Frau G. Zibulski SAP AG, Walldorf
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 8

An der 1. Auflage wirkten außerdem mit:

Herr V. Ahrend Bosch Telecom GmbH, Frankfurt


Herr W. Kilian RWE Energie Aktiengesellschaft, Essen
Herr A. Lenz Rheinbraun AG, Köln
Herr Dr. Pötschat BASF AG; Ludwigshafen
Herr U. Ueberschar Mannesmann Arcor AG & Co., Eschborn / Köln

Die Verantwortung für den Inhalt tragen die Autoren. Die redaktionelle Bear-
beitung liegt bei der SAP AG, Walldorf.

+LQZHLV : Das Werk einschließlich aller seiner Teile ist urheberrechtlich ge-
schützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechts ist
ohne Zustimmung der Urheber unzulässig und strafbar. Das gilt insbesondere
für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspei-
cherung und Verarbeitung in elektronischen Systemen.

Die Autoren des Leitfaden Datenschutz sind für Kritik, Änderungs- und Er-
gänzungswünsche dankbar. Dies gilt sowohl für Vorschläge zur Vertiefung der
einzelnen Kapitel als auch für die Nennung von Beispielen aus konkreten
Prüfungserfahrungen.

8P GHP /HVHU GDV $QWZRUWHQ ]X HUOHLFKWHUQ LVW DXI GHU IROJHQGHQ 6HLWH

HLQ)RUPXODUHLQJHIJW
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 9

An den Sprecher der


Arbeitsgruppe Datenschutz )$;

z. Hd. Herrn T. Barthel


c/o. FORBIT/CArO

Eimsbüttelerstr. 18

D-22769 Hamburg
Email: barthel@forbit.de
Absender: Name: ...........................................................................................
Funktion: ...........................................................................................
Abteilung: ...........................................................................................
Firma: ...........................................................................................
Anschrift: ...........................................................................................
...........................................................................................
Telefon: ................................... Fax: ............................................

Betr.: Ergänzende Information(en) zum Leitfaden Datenschutz für SAP- R/3

Ich möchte der Arbeitsgruppe zu folgendem Themenkreis Informationen geben (bitte ankreuzen):
( ) Kritische Tabellen/Customizing-Einstellungen
( ) Kritische Objekte
( ) Kritische SAP-Fakten
( ) Beispiele für konkrete Umsetzungsmaßnahmen und Prüfungshandlungen
Ich beziehe mich auf
SAP-Leitfaden Datenschutz R/3, Kapitel:................................................
SAP-R/3-System, Release: ....................................................
Meine Information lautet:
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
Zur weiteren Erläuterung sind Anlagen beigefügt (bitte ankreuzen):
( ) Ja ( ) Nein

Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 10

1. Einführungsprozess
Die Voraussetzung für die Anwendung des Bundesdatenschutzgesetzes
(BDSG) ist beim Einsatz von SAP R/3 erfüllt, da in allen Modulen personen-
bezogene Daten automatisiert verarbeitet werden (vgl. § 1 BDSG in Verbin-
dung mit §§ 12 oder 27 BDSG). Deshalb sind das Bundesdatenschutzgesetz
und andere vorrangige Rechtsvorschriften, z.B. das jeweilige Landesdaten-
schutzgesetz zu beachten. Dieser Leitfaden gilt für den öffentlichen und den
nicht-öffentlichen Bereich. Auf die Besonderheiten der Landesdatenschutzge-
setze wird in diesem Leitfaden nicht eingegangen.
Da SAP R/3 als international eingesetzte Standardsoftware unter betriebswirt-
schaftlichen Aspekten konzipiert ist, kann ein Anwender nicht ohne weiteres
davon ausgehen, dass für alle angebotenen Datenfelder die Rechtsgrundlagen
im Sinne der deutschen Datenschutzgesetze gegeben sind.
Es ergibt sich damit die Notwendigkeit zu überprüfen, ob SAP R/3 in der beim
Anwender vorgesehenen Ausprägung den Anforderungen des Bundesdaten-
schutzgesetzes und ggf. anderer Vorschriften über den Datenschutz genügt.
Der Datenschutzbeauftragte sowie Betriebsrat/Personalrat sind daher in die
Projektarbeit einzubeziehen, wobei die Projektverantwortung für die ordnungs-
gemäße Einführung von SAP R/3 der Projektleitung obliegt.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 11

1.1 $QIRUGHUXQJHQGHV%'6*DQ6$35

Das BDSG spricht ein grundsätzliches Verbot der Verarbeitung und Nutzung
personenbezogener Daten aus und erlaubt die Datenverarbeitung nur, wenn die
im BDSG definierten Voraussetzungen erfüllt sind. Dieser Grundsatz führt da-
zu, dass mit der Einführung des SAP R/3 überprüft werden muss, ob die An-
forderungen des BDSG und anderer vorrangiger Rechtsvorschriften angemes-
sen berücksichtigt wurden.

1.1.1 Erhebung, Verarbeitung oder Nutzung von personenbezogenen


Daten

Grundsätzlich ist die Erhebung, Verarbeitung oder Nutzung von personenbezo-


genen Daten gemäß § 4 BDSG verboten, es sei denn,
− das BDSG erlaubt bzw. verlangt die Verarbeitung oder
− eine andere vorrangige Rechtsvorschrift erlaubt bzw. verlangt die Verarbei-
tung oder
− es liegt eine schriftliche Einwilligung des Betroffenen vor.
Die Zulässigkeitskriterien für die Erhebung, Verarbeitung oder Nutzung erge-
ben sich aus § 4 BDSG in Verbindung mit §§ 11 BDSG und
• §§ 13 und 14 BDSG für die öffentlichen Stellen
• §§ 28 bis 30 BDSG für nicht-öffentliche Stellen.
Die Beweislast für die Zulässigkeit trägt die verantwortliche Stelle.
Der Grundsatz der Datenvermeidung und Datensparsamkeit gem. § 3a BDSG
mit dem Ziel, keine oder so wenig personenbezogene Daten wie möglich zu er-
heben, zu verarbeiten oder zu nutzen, ist zu beachten.
• Die 5HFKWVJUXQGODJHQ für die Erhebung, Verarbeitung und Nutzung sind
im BDSG differenziert gestaltet und müssen geprüft bzw. geschaffen wer-
den (z.B. Einwilligung, Vertrag, Betriebsvereinbarung).
• Die organisatorischen und technischen Maßnahmen zur Nutzung von SAP
R/3 sind so zu gestalten, dass QXU GLH HUIRUGHUOLFKHQ personenbezogenen
Daten gespeichert werden.
• Abhängig vom Zweck der Verarbeitung ist mit den Möglichkeiten des Be-
rechtigungskonzeptes und anderer Sicherungsmaßnahmen sicherzustellen,
dass die Daten nur LP 5DKPHQ GHU ]XOlVVLJHQ =ZHFNH verarbeitet werden
können. Für unterschiedliche Zwecke erhobene Daten müssen durch tech-
nisch-organisatorische Maßnahmen getrennt verarbeitet werden können.
• Es dürfen nur die Daten vorgehalten werden, die zur Erfüllung der Aufga-
benstellung erforderlich sind (9HUERWGHU9RUUDWVGDWHQVSHLFKHUXQJ).
• Abhängig vom Zweck der Datenspeicherung (z.B. Abwicklung eines Ver-
trages) sind die benötigten 'DWHQIHOGHU festzulegen und im Customizing
einzustellen.
• Zusätzlich ist die 'DXHU GHU 'DWHQVSHLFKHUXQJ auf die erforderliche Zeit
zu begrenzen, entsprechend festzulegen und für die Löschung der Daten zu
sorgen (z.B. von Bewerberdaten oder Festlegung der Speicherungsdauer
nach dem Vertragsende und anschließende Löschung).
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 12

1.1.2 Übermittlung von personenbezogenen Daten

Grundsätzlich ist die Übermittlung von personenbezogenen Daten verboten.


Die Zulässigkeitskriterien für Übermittlungen ergeben sich aus § 4 b BDSG in
Verbindung mit den §§ 15, 16, 28, 29, 30 BDSG.
Daraus ergibt sich die Notwendigkeit, alle UHJHOPl‰LJHQ oder DQODVVEH]RJH

QHQ Übermittlungen auf ihre Rechtmäßigkeit zu prüfen!

1.1.3 Abrufverfahren

Ein Abrufverfahren darf nur eingerichtet werden, wenn die Voraussetzungen


des § 10 BDSG erfüllt sind.
• Sollen personenbezogene Daten von Dritten abgerufen werden können, sind
zusätzliche Maßnahmen zur Sicherstellung der 5HFKWPl‰LJNHLW GHV $EUX
IHV und der 'DWHQVLFKHUKHLW bei den beteiligten Stellen erforderlich.

• Insbesondere muss die verantwortliche Stelle gewährleisten, dass mittels ge-


eigneter Stichproben die Übermittlung personenbezogener Daten festgestellt
werden kann.

1.1.4 Besondere Zweckbindung

Werden zu Zwecken des Datenschutzes, der Datensicherung oder zur Sicher-


stellung eines ordnungsgemäßen Betriebes personenbezogene Daten gespei-
chert (z.B. Logfile oder Accounting-Informationen), verlangt das BDSG in § 31
eine besondere Zweckbindung für diese Kontrollinformationen.
• Es ist zu klären, welche Aufzeichnungen im R/3 hierzu gehören und welche
Funktionen / Stellen diese Informationen benötigen und die Kontrollfunk-
tionen ausüben.

1.1.5 Auftragsverarbeitung

Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben,


verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung des BDSG und
anderer Vorschriften über den Datenschutz gemäß § 11 BDSG verantwortlich.
• Der Auftragnehmer ist sorgfältig auszuwählen.
• Dem Auftragnehmer sind vertragliche Auflagen zur Verwendung der Daten
und zur Datensicherheit zu machen.
• Der Auftraggeber muss sich von der Einhaltung der getroffenen Maßnahmen
beim Auftragnehmer überzeugen.
Die vorgenannten Ausführungen gelten auch für die Prüfung und Wartung au-
tomatisierter Verfahren oder von Datenverarbeitungsanlagen (Wartung und
Prüfung ist Auftragsverarbeitung !), wenn dabei ein Zugriff auf personenbezo-
gene Daten nicht ausgeschlossen werden kann.

1.1.6 Benachrichtigung des Betroffenen

Der Betroffene ist unter den Voraussetzungen des § 33 BDSG zu benachrichti-


gen, wenn
• erstmalig personenbezogene Daten über ihn gespeichert bzw. übermittelt
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 13

werden oder
• von ihm bei öffentlichen Stellen Daten ohne seine Kenntnis gemäß § 19a
BDSG erhoben werden oder
• bei nicht-öffentlichen Stellen gemäß § 33 BDSG erstmalig Daten über ihn
gespeichert bzw. übermittelt werden.
Falls demnach eine Benachrichtigung erforderlich wird, muss das Verfahren
entsprechend festgelegt werden.

1.1.7 Rechte des Betroffenen

Es dürfen nur zulässige und richtige personenbezogene Daten gespeichert wer-


den. Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich
ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf der
Basis einer automatisierten Verarbeitung getroffen werden.
Die Datenspeicherung soll für den Betroffenen transparent sein. Deshalb hat
der Betroffene ein Recht auf $XVNXQIW sowie auf %HULFKWLJXQJ, /|VFKXQJ,
6SHUUXQJ und :LGHUVSUXFK. Die Anforderungen des § 6 BDSG in Verbin-

dung mit §§ 19, 20, 34, 35 BDSG sind zu beachten.


• Die verantwortliche Stelle muss in der Lage sein, zur Auskunfterteilung alle
personenbezogenen Daten des Betroffenen zuverlässig zu ermitteln! Diese
Anforderung korrespondiert mit der Anforderung zur Führung einer Über-
sicht gemäß § 4g Abs. 2 BDSG (Verfahrensverzeichnis).
• Eine automatisierte Einzelfallentscheidung ist gem. § 6a BDSG nur in be-
stimmten Ausnahmefällen zulässig. Werden diese Ausnahmefälle in An-
spruch genommen, sind sie entsprechend zu dokumentieren.
Die Voraussetzungen, unter denen Sperrungen erforderlich werden, sind zu de-
finieren. Die Verwendung gesperrter Daten ist zu regeln.

1.1.8 Auskunft an jedermann

Gemäß § 4g Abs. 2 Satz 2 BDSG hat der Datenschutzbeauftragte jedermann


Auskunft über die gespeicherten Datenarten zu geben. Ist kein Datenschutzbe-
auftragter bestellt, dann kann sich jeder gem. § 38 Abs. 2 Satz 2 BDSG die
Einsicht in die gespeicherten Datenarten bei der jeweiligen Aufsichtsbehörde
beschaffen.

1.1.9 Meldepflicht

Unter den Voraussetzungen des § 4d BDSG müssen automatisierte Verarbei-


tungen vor ihrer Inbetriebnahme gemeldet werden.
• Die Meldepflicht entfällt gemäß § 4d Abs. 2 BDSG, wenn die verantwortli-
che Stelle einen Beauftragten für den Datenschutz bestellt hat.
• Sie entfällt auch gemäß § 4 d Abs. 3 BDSG, wenn personenbezogene Daten
für eigene Zwecke erhoben, verarbeitet oder genutzt werden, hierbei höchs-
tens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung der
personenbezogenen Daten beschäftigt UND entweder eine Einwilligung der
Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der
Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Ver-
trauensverhältnisses mit dem Betroffenen dient.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 14

1.1.10 Verpflichtung der Mitarbeiter auf das Datengeheimnis

Das BDSG fordert, dass alle Personen, die mit personenbezogenen Daten um-
gehen, auf das Datengeheimnis gemäß § 5 BDSG zu verpflichten sind.
• Die Verpflichtung auf das Datengeheimnis ist pro Mitarbeiter zu dokumen-
tieren.
• Es ist sicherzustellen, dass beauftragte Firmen, die bei der Einführung von
SAP R/3 hinzugezogen werden, ihre Mitarbeiter auf das Datengeheimnis
verpflichtet haben.

1.1.11 Schulung

Der Datenschutzbeauftragte hat die Mitarbeiter gemäß § 4g Abs. 1 Nr. 2 BDSG


mit dem BDSG sowie anderen Vorschriften über den Datenschutz und über in-
nerbetrieblichen Regelungen, die sich aus dem Gesetz ergeben, vertraut zu ma-
chen.
• Der Datenschutzbeauftragte hat die Projektmitglieder und Anwender, die an
der Einführung von SAP R/3 beteiligt sind, mit den Anforderungen des
BDSG vertraut zu machen.
• Die durchgeführten Schulungen sind zu dokumentieren.

1.1.12 Maßnahmen zur Datensicherheit

Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden,


wenn angemessene technische und organisatorische Maßnahmen zur Datensi-
cherheit getroffen wurden. Die Anforderungen der einzelnen Zielsetzungen er-
geben sich aus § 9 BDSG und Anlage.
• Es sind angemessene Maßnahmen zur Datensicherheit zu treffen und mit
dem Datenschutzbeauftragten abzustimmen.
• Gegebenenfalls kann zur Verbesserung des Datenschutzes und der Datensi-
cherheit das LQVWDOOLHUWH 6\VWHP einem Datenschutzaudit unterworfen wer-
den.

1.1.13 Übersichten gem. §§ 4e, 4g und § 18 Abs. 2 (BDSG-Übersichten)

Die |IIHQWOLFKHQ6WHOOHQ entsprechend zweitem Abschnitt BDSG führen gemäß


§ 18 BDSG Abs. 2 ein Verzeichnis der eingesetzten 'DWHQYHUDUEHLWXQJVDQOD
JHQ und haben die Angaben gemäß § 4e BDSG sowie die Rechtsgrundlagen

der Verarbeitung schriftlich festzulegen. Die verantwortlichen QLFKW


|IIHQWOLFKHQ 6WHOOHQ entsprechend drittem Abschnitt BDSG haben dem Daten-

schutzbeauftragten gemäß § 4e Abs. 2 BDSG eine Übersicht über die in § 4e


BDSG genannten Angaben sowie die zugriffsberechtigten Personen zur Verfü-
gung zu stellen.
• Die Wege und Möglichkeiten, mit denen die erforderlichen Übersichten er-
stellt werden können, sind festzulegen.

1.1.14 Vorabkontrolle

Verfahren automatisierter Verarbeitung mit besonderen Risiken für die Rechte


und Freiheiten der Betroffenen, insbesondere die Verarbeitung besonderer Da-
ten und/oder Daten zur Leistungs- und Verhaltenskontrolle, sind gemäß § 4d
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 15

Abs. 5 BDSG unter den dort genannten Voraussetzungen vor Beginn der Ver-
arbeitung einer datenschutzrechtlichen Prüfung zu unterwerfen. Zuständig für
die Vorabkontrolle ist der Datenschutzbeauftragte.

Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 16

1.2 0LWZLUNHQ GHV 'DWHQVFKXW]EHDXIWUDJWHQ EHL GHU

(LQIKUXQJYRQ6$35

Das BDSG verlangt in § 4g Abs. 1 Nr. 1 BDSG die rechtzeitige Einschaltung


des Datenschutzbeauftragten bei Vorhaben der automatisierten Verarbeitung
personenbezogener Daten. Hierzu gehört auch die Einführung und der Re-
leasewechsel von SAP R/3.
• Wird SAP R/3 in einem Unternehmen eingeführt, ist der Datenschutzbeauf-
tragte frühzeitig in die Einführung von SAP R/3 einzuschalten.
• Der Datenschutzbeauftragte hat dabei zu überprüfen, ob das Customizing
und die Implementierung des SAP R/3 den Anforderungen des BDSG ge-
nügt.
• Insbesondere dem Grundsatz der Datenvermeidung und Datensparsamkeit
gemäß § 3a BDSG kommt im Rahmen einer SAP R/3-Einführung große
Bedeutung zu. Hier kann der Datenschutzbeauftragte ggf. direkten Einfluss
auf die Gestaltung des SAP-Systems nehmen.
• Bei einem Releasewechsel hat sich der Datenschutzbeauftragte auch von der
ordnungsgemäßen Durchführung des Wechsels zu überzeugen.

1.2.1 Datenschutzbeauftragter - Mitglied des SAP-Projektteams

Die sachgerechte Beratung der Projektleitung und -mitarbeiter und die Über-
prüfung der ordnungsgemäßen Anwendung (Customizing) durch den Daten-
schutzbeauftragten, die im § 4g Abs. 1 Nr. 1 BDSG vorgesehen ist, können ef-
fektiv erreicht werden, wenn er Projektmitglied ist.
Wird SAP R/3 in einem Unternehmen eingeführt, ist der Datenschutz-
beauftragte daher vom Projektbeginn an zu beteiligen.

1.2.2 Information des Datenschutzbeauftragten zu den „Meilensteinen“

Es liegt in der Verantwortung des Datenschutzbeauftragten zu entscheiden,


wann und wie er die ordnungsgemäße Anwendung von SAP R/3 überprüft und
welche Unterlagen er hierfür benötigt. Die Abstimmung, welche Unterlagen er
benötigt und wann die Fragestellungen aus dem BDSG zu beantworten sind,
lässt sich nur angemessen unter Berücksichtigung der Zielsetzungen und Pro-
jektentwicklung festlegen.
Der Datenschutzbeauftragte sollte zu den „Meilensteinen“ die erforderlichen
Absprachen mit dem Projektteam zu den einzelnen Modulen treffen bzw. über-
prüfen, ob die getroffenen Festlegungen den Anforderungen des BDSG genü-
gen.
Die datenschutzrelevanten Projektschritte sind im ASAP-Vorgehensmodell de-
finiert.
Ein Beispiel:
ASAP-Vorgehensmodell
...
2.6 Geschäftsprozessdefinition
2.6.3.1 Anforderungen zu Geschäftsprozessen bestimmen
...
2.6.3.3. Anforderungen zum Berichtswesen bestimmen und mit
Datenschutzbeauftragten abstimmen
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 17

schutzbeauftragten abstimmen

1.2.3 Informationsmöglichkeiten für den Datenschutzbeauftragten

Der Datenschutzbeauftragte sollte sich einen angemessenen Kenntnisstand über


folgende Elemente des R/3-Systems aneignen:
• Das Berechtigungskonzept und den Profilgenerator
• Die Tabellenverwaltung
• Die SAP-Programmiersprache ABAP und ABAP Query
ABAP - Advanced Business Application Programming
• Das SAP ABAP Dictionary
Im ABAP Dictionary sind alle Datenfelder des SAP-Referenzmodells do-
kumentiert. Eine Übersicht über die Verwendung eines einzelnen Feldes in
der SAP-Datenwelt erhalten Sie über die Funktion 9HUZHQGXQJVQDFKZHLV.
• Verfahrensweise bei Extraktion und Auswertung von Daten aus R/3 mit
Standardtools wie z.B. Microsoft Excel.
• Hilfsmittel zur Gestaltung von Bildschirmmasken (Screen & Menue Painter)
Zur sachgerechten Beratung und Prüfung der ordnungsgemäßen Anwendung
von SAP R/3 benötigt der Datenschutzbeauftragte darüber hinaus Unterlagen
und Informationen.
Folgende Unterlagen sollten dem Datenschutzbeauftragten generell zur Verfü-
gung stehen:
• Der SAP-Einführungsleitfaden und das ASAP-Vorgehensmodell
• Der SAP-Prüfleitfaden Revision Bestell-Nr. 5001 4633, bei SAP AG, (z.Z.
Release 3.0D vom 20.02.97):
http://www.sap.com/germany/aboutsap/revis
• Der SAP-Sicherheitsleitfaden wird von SAP für R/3 zur Verfügung gestellt.
Bitte beachten Sie den SAP-Hinweis 39267 ‘Verfügbarkeit Sicherheitsleit-
faden R/3’
• Die SAP-Hilfe (Dokumentations-CD)
• Zugriff auf das SAP Service System im SAPNet für die Hinweise, Zugriff
auf den SAP-Service für zusätzliche Informationen (http://service.sap.com)
und auf den SAP-Service Marketplace (
http://www.sap.com/germany/aboutSAP/shop/ ).
Der Datenschutzbeauftragte sollte sich alle Dokumente unter den Stichwor-
ten "Datenschutz, "Datensicherheit" und „Sicherheit“ ansehen.
• IDES Schulungssystem
(IDES - International Demo and Education System)
• R/3 Authorization Made Easy (siehe SAP-Hinweis 39769)
(für Release 4.0B Bestell-Nr. 50021412,

Für Release 4.6 zum Download unter:


http://www.saplabs.com/auth
• Audit-Informationssystem.
Das Audit-Informationssystem (AIS) ist ein Arbeitsmittel für den Auditor
und den Datenschutzbeauftragten und wird im Kapitel 6.1 „Audit-
Informationssystem“ beschrieben.
Bitte beachten Sie den SAP-Hinweis 77503 ‘AIS’.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 18

• SAP-Hinweis 23611 Sicherheit in SAP-Produkten


• SAP-Hinweis 30724 Datenschutz und Sicherheit im R/3
• Release-Informationen (Doku-CD, Begleitbriefe, Transaktion 62 ,
http://help.sap.com)

1.3 6$3)DNWHQ

1.3.1 Customizing und ASAP-Vorgehensmodell

Das Vorgehensmodell wurde zugunsten von AcceleratedSAP abgelöst. Das


Unternehmens-IMG als reduzierter SAP-IMG ist weggefallen.
Das Customizing wurde in eine Transaktion für Projektverwaltung
(6352B$'0,1) und in eine Transaktion für die Projektbearbeitung (6352)
aufgeteilt.


Das Customizing dient der unternehmensspezifischen Einstellung des SAP-


Systems. Aufgrund der komplexen Tabellenstrukturen von R/3 stellt SAP sys-
temseitig ein Vorgehensmodell und Einführungsleitfäden (Grundstrukturen zur
Einführung) zur Verfügung. Diese sind auch Bestandteil der SAP-Online-
Dokumentation.
• Das R/3-Vorgehensmodell bildet zum einen den methodischen Rahmen für
den Einführungs- und Releasewechselprozess, zum anderen ist es ein ope-
ratives Werkzeug zur Unterstützung in jeder Phase der Einführung.
• Die Projektleitfäden für das R/3-Customizing als unternehmensspezifische
Untermenge des Vorgehensmodells listen alle Aktivitäten für die Einfüh-
rung des SAP-Systems auf und unterstützen die Steuerung und Dokumenta-
tion der Einführung.
Die ordnungsmäßige SAP-Einführung hängt wesentlich von der sachgerechten
Nutzung der SAP-Einführungsleitfäden (IMG) ab.
Das ASAP-Vorgehensmodell beinhaltet für den Datenschutzbeauftragten we-
sentliche Punkte, bei denen er projektspezifisch festlegen sollte, wie er in die
Projektentwicklung einzubeziehen ist.
Beispiele für die Einbeziehung des Datenschutzbeauftragten sind:
• Datenschutzrelevante Geschäftsprozesse ermitteln und festlegen
• Stammdaten festlegen
• Berichtswesen festlegen
• Informationsfluss personenbezogener Daten bei Anwendungsschnittstellen,
insbesondere zu anderen Programmen, untersuchen
• Informationsfluss der vorgesehenen Berichte und Auswertungen auf Daten-
schutzgesichtspunkte hin untersuchen
• Datenschutzspezifische Freigabe zu Projektphasen (Meilensteinen) festlegen
• Berechtigungskonzept unter Datenschutz- und Datensicherheitsgesichts-
punkten beurteilen
• Archivierungskonzept, insbesondere im Hinblick auf die Löschungsfristen,
beurteilen
• Testkonzept beurteilen
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 19

• Datenschutzspezifische Schulungsinhalte und -zeitpunkte festlegen


• Dokumentationsinhalte hinsichtlich datenschutzrelevanter Fragen festlegen
• Migration und Altdatenübernahme definieren
• Programmanpassungen ermitteln und genehmigen
Das SAP-Standard-Vorgehensmodell und allgemeine Hinweise hierzu finden
Sie auf der Dokumentations-CD. Empfehlungen der Arbeitsgruppe Daten-
schutz zu Beteiligungsthemen des Datenschutzbeauftragten entlang des ASAP-
Vorgehensmodells finden Sie in Anlage 3. Gehen Sie die Themen bei der Pla-
nung einer Beteiligung des Datenschutzbeauftragten durch und planen in die-
sem Rahmen Ihr eigenes Vorgehen.
Den R/3 Customizing Einführungsleitfaden finden über die Hilfe-Funktion
Menüpfad:


+LOIH!6$3%LEOLRWKHN!,0*

bzw. im System
Menüpfad:

:HUN]HXJH !  $FFHOHUDWHG6$3 ! &XVWRPL]LQJ !

3URMHNWEHDUEHLWXQJ!6$35HIHUHQ],0* (SPRO)

Die Zuordnung der Customizing-Aktivitäten der modulbezogenen


Einführungsleitfäden zum Vorgehensmodell ermitteln Sie durch die
Zuschaltung der Anzeige. Gehen Sie folgendermaßen vor:
1. Rufen Sie die angelegten Projektleitfäden auf:
Menüpfad:
:HUN]HXJH!$FFHOHUDWHG6$3!&XVWRPL]LQJ

durch Doppelklick auf das jeweilige Projekt erhalten Sie den


zugehörigen Projektleitfaden angezeigt.
2. Reißen Sie die jeweiligen Customizing-Aktivitäten bis auf die Ebene der
ausführbaren Funktionen auf.
3. Den Bezug der Aktivitäten zum Vorgehensmodell erhalten Sie wie folgt an-
gezeigt:
Menüpfad:
,QIRUPDWLRQ!7LWHOXQG,0*,QIR!=XRUGQXQJ9RUJPRG

Suchen Sie sich die einschlägigen Aktivitäten aus den Leitfäden


heraus, die Sie unter Datenschutzgesichtspunkten bearbeiten
müssen und identifizieren Sie die modulspezifischen Einstellun-
gen.
4. Nehmen Sie Kontakt mit den modulbezogenen Projektgruppen auf und
sprechen Sie Ihre Aktivitäten mit ihnen ab.

1.3.2 Berechtigungskonzept

Ein Zugriffsschutzsystem und die Möglichkeit zur Vergabe individueller Be-


rechtigungen dient unter Datenschutzaspekten im wesentlichen folgenden Zie-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 20

len:
• dem Schutz vertraulicher Daten vor unberechtigter Erhebung, Speicherung,
Kenntnisnahme, Übermittlung und Nutzung, dem Schutz der Daten vor un-
berechtigter, auch versehentlicher Änderung oder Löschung
• der Gewährleistung des zweckgebundenen Gebrauchs der Daten
• der Nachvollziehbarkeit und Zweckgebundenheit des Zugriffs auf
personenbezogene Daten
Mit Release 4.6C liefert SAP ein Set von Rollenvorlagen aus, die der Kunde
als Vorlage benutzen und hinsichtlich der Zuständigkeiten und organisatori-
schen Ausprägungen an seine individuellen Bedürfnisse anpassen sollte. Mit
jeder Vorlage erhält man ein individuelles Benutzermenü. Die Rollenvorlagen
sind integrativer Bestandteil der anwendungsübergreifenden mySAP.com
Workplace und Enterprise Portal/Portal-Rollen.
Dem Administrator steht eine erweiterte Funktionsauswahl in der Einstiegs-
transaktion SAP Easy Access zur Verfügung. Mit dieser erweiterten Funktions-
auswahl ist es ihm möglich, einfach eine der vielen Benutzerrollen einem Be-
nutzer zuzuweisen. Dieser Benutzer erhält bei der Anmeldung am System au-
tomatisch das für seine tägliche Arbeit typische Benutzermenü sowie die Be-
rechtigungen, die er für diese Arbeit benötigt.
Die hohe Flexibilität des SAP-Berechtigungs- und Benutzerverwaltungskon-
zepts kann daher bei unsachgemäßer Anwendung bereits im Rahmen der Ein-
führungsphase zu erheblichen Verletzungen des Datenschutzes führen. Statt
des weitgefassten Standards bei ausgelieferten Rollen und Profilen etc. muss
daher unbedingt unternehmensspezifisch nach dem Prinzip der minimalen Be-
rechtigung eingegrenzt und angepasst werden.
Da die Ordnungsmäßigkeit des SAP-Systems unmittelbar durch das Verfahren
zur Vergabe von Berechtigungen beeinflusst wird, ist auch das Vergabeverfah-
ren selbst als wesentlicher Bestandteil des Zugriffsschutzes anzusehen. Es muss
daher organisatorisch definiert revisionsfähig gestaltet sowie ausreichend getes-
tet und spätestens zum Produktionsbeginn verfügbar sein.
Schließlich muss darauf geachtet werden, dass Rollen und ggf. auch Aktivitäts-
gruppen, Berechtigungen und Profile im Testsystem neu angelegt, geändert
oder gelöscht werden und anschließend mittels CTS/CTO (Change Transport
System/Change Transport Organizer) über das Qualitätssicherungssystem in
die Produktionsumgebung übernommen werden.

1.3.3 Change Transport System/Change Transport Organizer


(CTS/CTO)

SAP empfiehlt, in einem produktiven System grundsätzlich keine Änderungen


vorzunehmen bzw. zuzulassen. Alle Änderungen sind daher aus der Test- oder
Qualitätssicherungsumgebung mit dem sog. Korrektur- und Transportwesen1 in
das produktive System zu übernehmen. Das gesicherte Korrektur- und Trans-
portwesen ist somit wesentlicher Bestandteil eines sicheren und ordnungsge-
mäßen SAP-Systems.
Unter Datenschutzaspekten stehen dabei folgende Zielsetzungen im Vorder-
grund:
• die Registrierung und Dokumentation einschließlich der geordneten Über-
gabe der Systementwicklungsumgebungsobjekte (EUO) zwischen den un-
terschiedlichen SAP-Systemen oder unterschiedlichen Mandanten innerhalb
eines SAP-Systems

1
siehe hierzu Kapitel 3 Prüfleitfaden Revision
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 21

• die Sicherstellung, dass ausschließlich genehmigte Systemänderungen


vorgenommen und entsprechend nachvollziehbar dokumentiert werden
Aus den vorgenannten Zielen und aus der Tatsache, dass EUO in der Regel sys-
temweite Gültigkeit besitzen, ist zwingend erforderlich, dass mindestens zwei
physisch getrennte SAP-Systeme implementiert werden müssen (Test- und
Produktivsystem).wenn personenbezogene Daten aus der Produktivumgebung
(z.B. für Massentests) in der Testumgebung verwendet werden, sind diese dort
nach Möglichkeit entweder zu anonymisieren oder zu pseudonymisieren. Hier-
zu kann man sich ggf. geeignete Anonymisierungs-Tools von Drittanbietern
beschaffen. Sollte dies nicht möglich sein, sind auch für das Testsystem und die
Testumgebung angemessene Maßnahmen zur Datensicherheit zu ergreifen
(z.B. zeitliche Begrenzung der Berechtigungen im Testsystem). Das Berechti-
gungskonzept sollte auch auf das Testsystem angewendet werden.

1.3.4 Schnittstellenverarbeitung

1.3.4.1 Datenübernahme
Ab Rel. 4.5 bevorzugt SAP die LSMW (Legacy System Migration Workbench)
als Datenübernahmeverfahren. Dieses Tool ist speziell für die Altdatenüber-
nahme konzipiert worden und bedient sich der BAPI- oder Batch-Input-
Schnittstelle (siehe auch Transaktion LSMW).
Da die Konvertierung aus dem Alt- bzw. Vorsystem mit Programmen außer-
halb des SAP-Umfeldes erfolgt, ist die ordnungsgemäße Umsetzung der Daten
(d. h. die Datenkonsistenz) durch geeignete organisatorische Maßnahmen
sicherzustellen, um möglichen Manipulationen vorzubeugen.
Für die Datenübernahme wurde früher in SAP das Batch-Input-Verfahren2 he-
rangezogen. Hierbei wird durch ein Schnittstellenprogramm eine sog. Batch-
Input-Mappe erzeugt, die dabei die Online-Eingabe von Transaktionscodes und
Daten simuliert und beim Abspielen die entsprechenden Berechtigungs- und
Plausibilitätsprüfungen durchläuft.
Neben dem Batch-Input-Verfahren bestehen weitere Möglichkeiten der Daten-
übernahme, z.B. Remote Function Call (RFC), Internet-Schnittstellen oder PC-
Upload und Download3. Diese werden i.d.R. für Datenübernahmen im lfd. Be-
trieb (aus vor- oder nachgelagerten Systemen) eingesetzt.
Alle Schnittstellen sind im Falle der Übermittlung entsprechend dem § 4e
BDSG zu dokumentieren.

1.3.4.2 PC-Verarbeitung
Up-/Download in der Anwendung (vgl. hierzu u.a. Kapitel 4.2.8.3)

1.3.4.3 Kommunikationsschnittstellen

Die datenorientierte Schnittstelle Remote Function Call (5)&) ermöglicht


SAP- und Nicht-SAP-Anwendungen, SAP-Funktionsbausteine über Rechner-
grenzen aufzurufen.
Business Application Programming Interfaces (%$3,V) sind von externen Pro-
grammen aufrufbare und direkt ausführbare Methodenaufrufe von Business-

2
siehe hierzu ergänzende Hinweise in Kapitel 6 Prüfleitfaden Revision
3
siehe hierzu ergänzende Hinweise im Sicherheitsleitfaden
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 22

Objekten.
Diese geschäftsprozessorientierten Standardschnittstellen sind auf eine Dialog-
kommunikation ausgerichtet. Sie ermöglichen die Ergänzung des R/3-
Kernsystems um Anwendungen, die speziell im ,QWHUQHW und ,QWUDQHW entwi-
ckelt werden.
BAPIs werden R/3-intern als Funktionsbausteine realisiert, die über RFC auf-
rufbar sind.
Application Link Enabling ($/() ermöglicht die Verteilung von Daten des
R/3-Systems. Über Musterlösungen wird beschrieben, wie ein Unternehmen
seine geographische Datenverarbeitung organisieren und durchführen kann.
Mit $/(:HE lassen sich verteilte Geschäftsprozesse über das Netz quasi zum
Geschäftspartner verlagern.
Im Rahmen von ALE werden BAPIs für die Integration verteilter Geschäfts-
prozesse eingesetzt.

1.3.4.4 SAP-Automation
Mit dieser Schnittstelle lassen sich alternative Oberflächen statt dem SAP GUI
einsetzen.
Neben der Kommunikationssicherheit ist zu prüfen, ob über diese Schnittstel-
len personenbezogene Daten ausgetauscht bzw. übermittelt werden und wer die
regelmäßigen Empfänger sind.

1.3.5 Job-Auftrags-Verfahren - und Dokumentation

Beim Job-Auftragsverfahren steht unter Datenschutzaspekten der Schutz und


die Integrität der Unternehmensdaten und der personenbezogenen Daten im
Vordergrund.
Da im R/3 viele Jobs von der Fachabteilung generiert und gestartet werden
können, ist i.d.R. eine entsprechende Verfahrensdokumentation im Anwen-
dungshandbuch der jeweiligen Fachabteilung ausreichend.
Jobs, die ein Operating benötigen und deshalb nicht ausschließlich im Aktions-
bereich der Fachabteilung durchgeführt werden, müssen besonders beachtet
werden. Insbesondere bei diesen Jobs darf keine Ausführung ohne schriftlichen
Auftrag erfolgen. Auftraggeber ist i.d.R. die Fachabteilung.
Bei Jobs, die vom SAP-System generiert werden, wird die Dokumentation au-
tomatisch mit generiert. Beim von Anwender selbst generierten Jobs (z.B.
Batch-Input-Mappen) muss auch die Dokumentation durch den Anwender
selbst erfolgen. Diese Dokumentation sollte nach einem einheitlichen Schema
erfolgen.
Jobs werden nicht über das Korrektur- und Transportwesen vom Test- ins Pro-
duktivsystem übergeben. Sie werden im Produktivsystem neu erstellt. Eine
Jobbibliothek gibt es bisher nicht.

1.4 5LVLNHQ

Bei der Einführung von SAP R/3-Systemen bzw. -Projekten bestehen aufgrund
der oben geschilderten SAP-Fakten auch unter Datenschutzaspekten besondere
Risiken.
Neben dem Risiko der unsachgemäßen SAP-Einführung durch Fehler beim
Customizing und der Benutzung bzw. Handhabung des Korrektur- und Trans-
portwesens ergeben sich auch aus Fehlern bei der Erstellung eines Zugriffsbe-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 23

rechtigungskonzepts negative Folgewirkungen für die vorzusehenden techni-


schen und organisatorischen Maßnahmen.

1.4.1 Nichteinschaltung des Datenschutzbeauftragten bzw. der


Arbeitnehmervertreter

Werden der Datenschutzbeauftragte und - soweit vorhanden - die Mitbestim-


mungsorgane (Arbeitnehmervertretung) nicht rechtzeitig sowohl bei der Ein-
führung als auch bei allen nachfolgenden Änderungen eingeschaltet, besteht
das Risiko, dass datenschutzrechtliche Anforderungen (u.a. unzulässige Daten-
speicherung und -übermittlung) und Mitbestimmungsrechte bei der Projektar-
beit nicht hinreichend beachtet werden.

1.4.2 Nichtbeachtung der SAP-Empfehlungen

Die Nichtbeachtung der SAP-Empfehlungen, insbesondere des SAP R/3-


Sicherheitsleitfadens kann eine unsachgemäße und nicht ordnungsgemäße
Systemeinführung zur Folge haben.
Hier bestehen insbesondere folgende Risiken:
• Zugriffsmöglichkeiten auf Betriebssystem-, Datenbank- und Netzwerkebene
• unsachgemäßes Abweichen beim Customizing vom Vorgehensmodell bzw.
den Implementation Guides
• unzureichende Dokumentation und Erläuterungen der Customizing-
Einstellungen
• unzureichende Schnittstellendokumentation (Batch-Input, PC-Download,
ggf. Systemerweiterungen, Archivierungssysteme)

1.4.3 Nichtberücksichtigung bzw. verspätete Erstellung des


Berechtigungskonzeptes

Während der Einführungsphase des R/3 sowie neuer Komponenten ist ein be-
triebswirtschaftliches Berechtigungskonzept zu erstellen. Dies dient als Grund-
lage u.a. für den Aufbau von Rollen, mit denen manuell oder mittels des Profil-
generators dann die benutzerspezifischen Berechtigungsprofile erstellt werden.
Das R/3-Berechtigungskonzept muss konsequent und konsistent eingesetzt
werden. Der jeweils aktuelle Stand der zugelassenen Benutzer und deren
Zugriffsrechte ist zu dokumentieren. Beim Customizing müssen u.a. SAP-
Vorgaben (z.B. Rechte, Startparameter etc.) einschränkend geändert werden.
Bei einem unzureichenden bzw. zu spät eingesetztem Berechtigungskonzept
besteht die Gefahr, dass den Benutzern zu weitreichende Berechtigungen ver-
geben werden.

1.4.4 Nicht ordnungsgemäße Anwendung eines


Datenverarbeitungsprogramms

Die Voraussetzung für den ordnungsgemäßen Einsatz von SAP R/3 ist u.a. die
Beachtung der Auflagen des BDSG. Konkret sind bei der Einführung eines
R/3-Systems unter Datenschutzaspekten folgende Risiken möglich.
• Unzulässige bzw. leichtfertige Handhabung von personenbezogenen
Originaldaten im Testsystem
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 24

naldaten im Testsystem
• Fehlende Verpflichtung auf das Datengeheimnis bzw. unzureichende Sensi-
bilisierung/Schulung der Projektmitglieder/Anwender
• Unzureichende Dokumentation der personenbezogenen Daten, um den
Rechten der Betroffenen (Auskunft, Berichtigung, Sperrung und Löschung)
und der Verpflichtung zur Benachrichtigung nachzukommen
• Nichtbeachtung des 4-Augen-Prinzips im Rahmen des CTS. Unzureichende
Festlegung der Transportschichten (Integrations-, Konsolidierungs- bzw. Be-
lieferungssysteme) in den Tabellen TWSYS, DEVL und TASYS innerhalb
des CTS
• Unzureichende Absicherung des Transportprogramms (tp, bzw. R3trans)
sowie unzureichende Aufbewahrung des Transportprotokolls
• Ggf. fehlende Historienführung bei der Übertragung von Programmen bzw.
Tabellen in die Produktivumgebung
• Wird das CTS nicht oder falsch eingesetzt, können nicht autorisierte Pro-
gramme/Objekte zur unzulässigen Nutzung oder Verarbeitung personenbe-
zogener Daten führen
Die Einschränkung der vorgenannten Risiken dient auch dazu, das Risiko der
Unternehmensleitung (Straftaten, Ordnungswidrigkeiten und Schadenersatz im
Sinne des BDSG §§ 7, 8, 43, 44) zu reduzieren.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 25

1.5 3UIXQJVKDQGOXQJHQ LP 5DKPHQ GHU (LQIKUXQJ 

&KHFNOLVWH

Zur Hilfestellung für den Datenschutzbeauftragten und die Projektmitarbeiter


ist die nachfolgende Checkliste (ohne Anspruch auf Vollständigkeit!) erstellt
worden. Wesentliche Fragestellungen sind aufgenommen worden. Es wird je-
doch empfohlen, diese Checkliste projektbezogen zu überarbeiten.
Folgende Fragen sind pro SAP-Modul bzw. Teilmodul von der Projektleitung
zu beantworten:

1. Welche Aufgabenstellungen soll das SAP-Modul abdecken?


2. Über welche Personengruppen (z.B. Bewerber, Mitarbeiter, Angehörige
von Mitarbeitern, Debitoren, Kreditoren, Fremdfirmenmitarbeiter etc.)
sollen Daten gespeichert werden?
3. Welche Geschäftsprozesse sind betroffen?
4. Werden durch die Ausgestaltung der Projektorganisation
datenschutzrechtliche Aspekte des SAP-Projektes rechtzeitig
berücksichtigt?
5. Ist dem DSB rechtzeitig die Übersicht zur Vorabkontrolle vorgelegt wor-
den?
6. Ist der Datenschutzbeauftragte in die Projektarbeit angemessen eingebun-
den?
7. Welche personenbezogenen Daten sollen gespeichert werden?
8. Welche personenbezogenen Daten sollen an externe Empfänger aus wel-
chem Grund (regelmäßig, anlassbezogen) übermittelt werden? Liegt bei
Empfängern außerhalb der EU ein angemessenes Datenschutzniveau vor?
9. Liegen die Rechtsgrundlagen zur Erhebung, Verarbeitung und Nutzung
personenbezogener Daten (z.B. Vertrag, Einwilligung, Dienst-
/Betriebsvereinbarung) vor?
10. Soll die Möglichkeit eines automatisierten Abrufes von personenbezoge-
nen Daten realisiert werden?
- Wenn ja: Wie sollen die Anforderungen zur Sicherstellung des rechtmä-
ßigen Abrufes und der Datensicherheit realisiert werden?
11. Werden automatisierte Einzelfallentscheidungen vorgenommen?
- Wenn ja: Sind die Voraussetzungen des § 6a Abs. 2 BDSG gegeben?
12. Welche Schnittstellen bestehen zu anderen DV-Anwendungen?
13. Welche Logfiles sind vorgesehen, und wie sollen sie verwendet werden?
(Report-Protokolldatei in HR, Tabelle V_T599R und Erstellung des Secu-
rity Audit Logs).
14. Wie soll die Zweckbindung gemäß § 31 BDSG eingehalten werden?
15. Welche Dauer der Datenspeicherung ist für die einzelnen Datengruppen
unter Berücksichtigung der jeweiligen Rechtsgrundlage vorgesehen?
- Welches Löschungskonzept soll realisiert werden?
16. Besteht die Notwendigkeit, Personen zu benachrichtigen?
- Wenn ja: Wie und mit welchen Formulierungen soll der Betroffene
benachrichtigt werden?
17. Wie ist das Sicherheitskonzept gestaltet?
- Sind die Berechtigungen nach dem Prinzip der geringsten Berechtigung
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 26

vergeben?
- Ist der Sicherheitsleitfaden abgearbeitet worden?
- Werden personenbezogene Daten verschlüsselt übertragen (dies ist für
die SAPGUI- und die SAPLPD-Verbindung mit SNC möglich; RFC-
Verbindungen können gesichert werden) und ggf. verschlüsselt gespeichert
(dies ist eine Funktion der Datenbank, nicht des R/3)?
18. Auf welchen Rechnern und an welchen Standorten soll SAP R/3 installiert
werden?
- Welches DV-Netz soll genutzt werden?
- Werden beim Einsatz von Internet/Intranet-Techniken entspr. Firewall-
Systeme eingesetzt?
19. Werden alle eingesetzten DV-Systeme von SAP dokumentiert?
- Wenn ja: Welche organisatorischen Lösungen sind vorgesehen, um dem
Datenschutzbeauftragten eine Übersicht zur Verfügung zu stellen?
20. Mit welchen Mitteln soll dem Datenschutzbeauftragten eine Übersicht über
die Art der gespeicherten Daten zur Verfügung gestellt werden?
- Welche organisatorischen Lösungen sind vorgesehen?
21. Sind alle neu hinzugefügten Tabellen, Domänen, Datenfelder und Reports
entsprechend dokumentiert und ausreichend geschützt?
22. Sind alle Personen, die Zugriff auf personenbezogene Daten erlangen kön-
nen, auf das Datengeheimnis verpflichtet?
23. Wird der Datenschutzbeauftragte bei System-Upgrades bzw. Releasewech-
seln zeitnah eingeschaltet?
24. Gibt es in Referenztabellen für Auswahlfelder unzulässige Inhalte, die
Personen zugeordnet werden können?



Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 27

2 Aufgaben des Datenschutzbeauftragten


Da der DSB in der Regel kein SAP-Spezialist ist, wird er mit unterschiedlichen
Mitarbeitern des Unternehmens zusammenarbeiten. Er wird sich im Rahmen
seiner Tätigkeit sowohl mit Anwendern der Fachabteilungen als auch mit DV-
Mitarbeitern austauschen. Ebenso ist eine Kooperation mit anderen Organisati-
onseinheiten des Unternehmens (z.B. interne Revision) zur Bearbeitung einzel-
ner Themenfelder denkbar.
Um die Vorabkontrolle, die Begleitung des Customizing und die erforderlichen
Prüfungshandlungen möglichst umfassend durchführen zu können, ist eine aus-
reichende Ausbildung des Datenschutzbeauftragten in der Nutzung der relevan-
ten SAP R/3-Funktionen notwendig.

In R/3 werden verschiedene Auditor-Rollen ausgeliefert:

5ROOH %HVFKUHLEXQJ

SAP_CA_AUDITOR_APPL Auditor SAP-Anwendungen (außer HR)


SAP_CA_AUDITOR_APPL_ADMIN Audit Administration
SAP_CA_AUDITOR_DS Auditor Datenschutz
SAP_CA_AUDITOR_HR Auditor HR
SAP_CA_AUDITOR_SYSTEM Auditor System
SAP_CA_AUDITOR_SYSTEM_DISPLAY Auditor System Anzeige, Hinweis
Die Rollen sind wie folgt zu finden:
Menüpfad:
:HUN]HXJH ! $GPLQLVWUDWLRQ ! %HQXW]HUSIOHJH ! 5ROOHQ

(PFCG)
Die Rolle $XGLWRU 'DWHQVFKXW] umfasst Basis-Berechtigungen zur Administra-
tion, Entwicklungsumgebung und zentrale Funktionen. Folgende Transaktionen
sind u.a. vorgesehen:
AL08, PA10…PA30, PFCG, RZ01…RZ12, SA38, SARG, SCAT, SE11, SE38,
SE80, SM18, SM19, SM21, SM31, SM37, SM59, SU01…SU98, SUIM


Die SAP-Rollen sind sehr umfassend definiert. Wir empfehlen den Anwender-
firmen daher die umfassende Rolle $XGLWRU 'DWHQVFKXW] wie folgt unterneh-
mensspezifisch anzupassen: Der Datenschutzbeauftragte sollte grundsätzlich
über eine „Grundrolle für Datenschutzbeauftragte“ verfügen. Diese umfasst die
für eine Datenschutzsystemprüfung erforderlichen umfassenden Leserechte im
Audit-Informationssystem (vgl. Kapitel 6) sowie den direkten Aufruf der ent-
sprechenden Transaktionen und Reports, allerdings keinen Zugriff auf
Mitarbeiterdaten.

Darüber hinaus kann dem Datenschutzbeauftragten für Echtdatenprüfungen ei-


ne zweite auf die individuellen Zuständigkeiten geschaffene Rolle zugeteilt
werden. Letztere ist ggf. zeitlich befristet zu erteilen.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 28

2.1 hEHUZDFKXQJGHURUGQXQJVJHPl‰HQ

3URJUDPPDQZHQGXQJ †J$EV%'6* 

'HU %HDXIWUDJWH IU GHQ 'DWHQVFKXW] ZLUNW DXI GLH (LQKDOWXQJ GHV %'6*

XQG DQGHUHU 9RUVFKULIWHQ EHU GHQ 'DWHQVFKXW] KLQ  (U KDW LQVEHVRQGHUH

GLH RUGQXQJVJHPl‰H $QZHQGXQJ GHU 'DWHQYHUDUEHLWXQJVSURJUDPPH PLW

GHUHQ +LOIH SHUVRQHQEH]RJHQH 'DWHQ YHUDUEHLWHW ZHUGHQ VROOHQ ]X EHUZD

FKHQ

Dabei sind speziell folgende Punkte von Relevanz:


• Zulässigkeit der Datenverarbeitung unter Beachtung des Grundsatzes der
Datenvermeidung und Datensparsamkeit (§ 3a BDSG)
• Sicherstellung der Rechte der Betroffenen
• Verpflichtung auf das Datengeheimnis
• besondere technisch-organisatorische Vorkehrungen zur Gewährleistung des
Datenschutzes, Für den Fall, dass besondere Risiken für die Rechte der Be-
troffenen bestehen, ist eine Vorabkontrolle zwingend erforderlich (§ 4d Abs.
5 BDSG).

Aus diesem gesetzlichen Auftrag sind die folgenden Verpflichtungen für den
DSB bei Einsatz des SAP R/3-Systems abzuleiten.

2.1.1 Einbeziehung des DSB vor und während der


Programmentwicklung- und -anpassung

Die Aufgaben des DSB beziehen sich neben dem Schutz personenbezogener
Daten auch auf die Sicherheit des Gesamtsystems. Hierzu ist es erforderlich,
dass der DSB von Beginn an seitens der Projektleitung in die Projekte einge-
bunden wird. Außerdem sind dem DSB Programmmodifikationen und Pro-
grammschnittstellen offen zu legen. Testverfahren sind gemeinsam abzustim-
men.
Bereits beim Fachkonzept kann dann die Prüfung auf datenschutzrelevante
Aspekte und entsprechende Festlegung der verwendeten Objekte erfolgen.
Weitere Informationen zu Tabellen, Feldnamen und Datenelementen sowie de-
ren Verwendung in Programmen liefert das ABAP Dictionary (Repository-
Informationssystem, Transaktion SE84; zu weiterer Systemunterstützung vgl.
Kapitel 2.4) .

2.1.2 Prüfung der Datenerhebung und Datennutzung auf Rechtmäßigkeit

Die Überwachungstätigkeit des DSB beschränkt sich nicht nur auf die Verar-
beitung (§ 3 Abs. 4 BDSG). Sie umfasst auch das Erheben (§ 3 Abs. 3 BDSG)
und das Nutzen (§ 3 Abs. 5 BDSG) personenbezogener Daten. In diesem Sinne
ist zunächst die Zulässigkeit der konkreten Datenverarbeitung zu prüfen.

2.1.3 Auswertung der Protokollierung

In SAP R/3 stehen eine Vielzahl von Protokollen zu unterschiedlichen Zwe-


cken zur Verfügung (eine ausführliche Beschreibung findet sich im Kapitel 2.9.
des Sicherheitsleitfadens).
Im Folgenden sind die wesentlichen Protokolle, die dem DSB zur Kontrolle
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 29

und zur Sicherstellung eines ordnungsgemäßen Betriebes zur Verfügung stehen


sollten, aufgelistet (Hinweis: Ein Nachvollzug wesentlicher Protokolleinträge
ist mit dem Audit-Informationssystem (System Audit, Systemprotokolle und
Statusanzeigen) möglich). Details sind in Kapitel 4.2.9 beschrieben:
• das Security Audit Log
• Systemprotokoll Syslog, Transaktion SM21
• das CCMS Transaktion STAT
• im Anwendungslog (Transaktionen SLG0 und SLG1)
• Business Workflow (Transaktionen SWI2 und SWI5).
• Änderungen betriebswirtschaftlicher Objekte (Transaktion SCD0).
• Tabellenaufzeichnungen Transaktion SCU3 (Reports RSTBHIST,
RSTBPROT)
• SQL-Audit (vgl. SAP-Hinweis 115224).

2.1.4 Prüfung der Verfahrensdokumentation

Zur Überwachung der Programmanwendung durch den DSB ist eine aussage-
fähige Verfahrensdokumentation erforderlich, die insbesondere über folgende
Punkte Auskunft geben soll:
• Aufgabenstellung der Anwendung (i.S. Zweckbindung), insbesondere mit
Hinweisen auf datenschutzrelevante Elemente
• Zugriffsberechtigungen nach Art und Umfang auf personenbezogene Objek-
te (z.B. Daten, Programme, Berichte)
• Verwendungsnachweis der personenbezogenen Objekte in Programmen
• Berechtigte interne und externe Empfänger der von den Anwendungspro-
grammen erzeugten Daten nach Art und Umfang
• Darstellung der Programmabläufe. Sicherung der Datenbestände und der
verwendeten Programme.
• Löschungsfristen
Seitens SAP wird eine Hilfestellung zur Verfahrensdokumentation zur Auslie-
ferung bereitgestellt, die in den Standard integriert ist und online zur Verfü-
gung steht. Modifikationen bzw. individuelle Erweiterungen gegenüber der
Standardversion sind gesondert zu dokumentieren. Sie sind, soweit sie das
Funktionsspektrum erweitern, als Ergänzung in die Verfahrensdokumentation
aufzunehmen.

2.1.5 Mitwirkung bei der Festlegung und Überprüfung des


Berechtigungskonzeptes

Der DSB sollte wesentlich an der Erarbeitung eines organisatorischen Rahmens


zur Ausgestaltung des Berechtigungskonzeptes beteiligt werden.
Das Berechtigungsrahmenkonzept sollte verbindliche Aussagen enthalten über
• den Geltungsbereich
• die Rahmenbedingungen; u.a. Verantwortungen für die Wartung und Pfle-
ge des SAP-Systems einschließlich Festlegung der Customizing-Aufgaben
und der hierfür benötigten Berechtigungen; Regelungen zur Änderung von
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 30

Systemobjekten (Änderungs-, Test- und Freigabeverfahren einschließlich


der Übernahme in die Produktion)
• die fachlich-organisatorische Ausgestaltung des rollenspezifischen Kon-
zepts
− möglichst arbeitsplatzbezogene und nur in begründeten Ausnahmefäl-
len individuelle Ausgestaltung
− funktionaler Aufbau
− Prinzip der minimalen bzw. adäquaten Berechtigungsvergabe
− Kontrollierbarkeit im Sinne des BDSG und Revisionsfähigkeit
− Umsetzung der Anforderungen an die Zweckbindung und der
Datensicherung im Sinne des § 9 BDSG und seiner Anlage
• die systemtechnische Ausgestaltung
− Umgang mit (Standard-) Rollen und Standardprofilen (Hinweis: keine
Verwendung von Standardprofilen (=Auslieferungsprofile)
− Festlegung von Restriktionen einzelner Berechtigungen (Hinweis:
Berücksichtigung aller relevanter Systeme und Mandanten)
− Realisierung des organisatorischen Konzepts
− Trennung von kritischen und unkritischen Transaktionen
• die Anforderungen an eine - dem Zweckbindungsprinzip - angemessene
Abbildung der Unternehmensorganisation(en) auf die SAP-Struktur von
Systemen, Mandanten, Buchungskreisen, Werken, etc.
• ein Verfahren zur Klassifikation und Pflege von Berechtigungsgruppen von
ABAP-Reports und Tabellen
• die Namenskonventionen; Konventionen zur Benennung von Benutzer-
stammsätzen (keine Namen ohne Personenbezug), Benutzergruppen, Akti-
vitätsgruppen sowie anderer relevanter SAP-Objekte (einschließlich Be-
schreibung begründeter Ausnahmen)
• die Einrichtung von Notfall-Usern
• die Festlegung der Berechtigungen für Externe und deren Kontrolle
• die Behandlung von Sonder-Usern wie SAP*, DDIC, SAPCPIC, Early-
Watch
• den Aufbau der Dokumentation; u.a. eindeutige Verantwortlichkeiten für
die Veränderung des Konzeptes bei notwendig werdenden organisatorisch-
funktionalen Anpassungen
• Konventionen für Nicht-Produktivsysteme, die Testdaten mit echten Daten
oder wichtige nachweispflichtige Dokumentationsbestandteile enthalten

Es lassen sich folgende Grundsätze ableiten:


• Die Fachabteilungen/-bereiche sind für die Sicherheit ihrer Daten und da-
her auch für den wirksamen Zugriffsschutz verantwortlich.
• Die Benutzerverwaltung ist möglichst nahe beim Benutzer wahrzunehmen.
• Die Administration des Berechtigungsverfahrens sollte auf mehrere Stel-
len, Organisationseinheiten oder Mitarbeiter verteilt werden (Funktions-
trennung zwischen Erstellen, Zuordnen und Kontrollieren/Prüfen).
• Die Vergabe von Nutzerkennungen sollte nachvollziehbar erfolgen (Ver-
gabe von Berechtigungen im System ausschließlich nach schriftlicher Frei-
gabe durch die Verantwortlichen), und es sollten zeitnahe Kontrollen bzgl.
der Gültigkeit von Benutzerkennungen vorgenommen werden.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 31

• Benutzer sollen auf Basis des fachlichen Rollenkonzeptes nur die Berechti-
gungen erhalten, die sie für ihre Aufgaben zwingend benötigen.
• Es sind regelmäßige Kontrollen der Angemessenheit der vergebenen Be-
rechtigungen durch die Datenverantwortlichen vorzusehen.
• Die Berechtigungen privilegierter Benutzer sollten zeitlich begrenzt wer-
den. Notfall-User sind nur in Notsituationen zu aktivieren, deren Gebrauch
ist zu protokollieren.
• Für Betriebsfremde und befristet Beschäftigte wie auch für den Remote
Support sind die Rechte und der Gültigkeitszeitraum angemessen zu be-
grenzen.
• Anwendungsbezogene Berechtigungen für Entwickler sind grundsätzlich
auf die Entwicklungssysteme zu beziehen.

2.1.6 Mitwirkung bei der Festlegung des Betriebskonzeptes und der


Betreiberorganisation

Der DSB sollte rechtzeitig an der Erarbeitung eines organisatorischen Rahmens


zur Ausgestaltung des Betriebskonzeptes beteiligt werden. Unter einem Be-
triebskonzept wird hier die grundlegende Einrichtung des SAP-Systems auf ei-
nem oder mehreren Servern und unter Einbeziehung der Kommunikationsein-
richtungen, der Netzwerke, des Betriebssystems und des Datenbankmanage-
ment verstanden.
Dazu sollte der DSB frühzeitig Empfehlungen abgeben, die den Sicherheits-
standard auf den verschiedenen Ebenen festlegen, der notwendig ist, Manipula-
tionen und ungerechtfertigte Zugriffe auf personenbezogene Daten zu verhin-
dern. Eine ausführliche Beschreibung der hierbei relevanten Themen findet
sich in den Kapiteln 2-3 bis 2-5 des SAP-Sicherheitsleitfadens. Hierbei wird
z.B. folgendes Thema beschrieben:
• Auf Datenbankebene kann der SAP R/3-Berechtigungsschutz umgangen
werden. Daher sollte nur ein sehr eng begrenzter Benutzerkreis (privilegier-
ter Datenbankadministrator) über Zugriffe direkt auf die Datenbanktabellen
verfügen und alle anderen Aktionen auf die Datenbank mit SAP-Mitteln
ausgeführt werden.
Für den Betrieb eines R/3-Systems wird im Regelfall eine Betreiberorganisa-
tion (BO, verantwortlich für die spezifische Administration des SAP R/3-
Systems) notwendig werden, die insbesondere an Gewicht gewinnt, wenn meh-
rere Gesellschaften über ein System abgewickelt werden sollen.
Die Betreiberorganisation kann dabei zentral oder dezentral oder durch eine
Kombination von beiden Alternativen organisiert werden.
• Den Vorteilen einer dezentralen Betreiberorganisation wie die Nähe zum
Anwender und die flexible organisatorische Zuordnung der BO in den Ge-
sellschaften oder die Gewährleistung der Harmonisierung der Arbeitsabläufe
stehen die Nachteile einer höheren Abstimmung der gesellschaftsübergrei-
fenden Aktivitäten und operativen übergreifenden Fragestellungen sowie ein
tendenziell höherer Personalbedarf als in einem rein zentralen Ansatz ge-
genüber.
• Bei einem zentralen Ansatz ist eine eindeutige Kompetenzregelung mit kla-
rer Organisationsstruktur und schneller Entscheidung bei Konfliktfällen
möglich. Allerdings kann die Flexibilität der über das SAP-System abgewi-
ckelten Gesellschaften eingeschränkt bzw. die Durchsetzung von gesell-
schaftsindividuellen Anforderungen bei übergreifenden Einstellungen
schwierig sein. Auch können Interessenkonflikte bei der Leitung der BO
nicht ausgeschlossen werden.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 32

Der DSB hat insbesondere darauf zu achten, dass durch die Betreiberorganisa-
tion die Belange des Datenschutzes hinsichtlich Vertraulichkeit und Sicherheit
von personenbezogenen Daten gewährleistet bleiben.

2.1.7 Abfassung einer Datenschutzerklärung

Sofern Dritten ein Internet-Zugang auf das SAP-System gewährt wird, sollte
der DSB wesentlich an der Erstellung einer Datenschutzerklärung zu den anfal-
lenden Geschäftsprozessen beteiligt werden. Die Notwendigkeit einer solchen
Datenschutzerklärung ist aus dem Teledienstedatenschutzgesetz (TDDSG) ab-
zuleiten, nach dem “der Nutzer vor der Erhebung über Art, Umfang, Ort und
Zweck der Erhebung, Verarbeitung und Nutzung seiner personenbezogenen
Daten zu unterrichten ist” (§ 3 Abs. 5 TDDSG).
Diese Erklärung ist als vertrauensbildende Maßnahme zu verstehen und soll
den Geschäftspartner in verständlicher Form über getroffene Standardmaßnah-
men zum Schutz seiner Privatsphäre (Vertraulichkeit, Integrität, Authentizität)
informieren. Eine Hilfestellung bietet der OECD Privacy Statement Generator
unter folgender URL:
http://cs3-hq.oecd.org/scripts/pwv3/pwhome.htm

2.1.8 Überwachung des Korrektur- und Transportwesens unter SAP R/3

Um Integrität und Verfügbarkeit des Produktivsystems zu schützen, ist eine


Trennung in verschiedene Systeme notwendig, wobei unter Sicherheitsaspekten
eine Dreiteilung in Entwicklungs-, Integrations- und Produktivsystem zu emp-
fehlen ist. Die drei Systeme sind über das Korrektur- und Transportsystem
(Change & Transport System) miteinander verbunden. Eine Beschreibung der
hierbei zu ergreifenden Schutzmaßnahmen findet sich im Kapitel 2-6 des SAP-
Sicherheitsleitfadens.
Beispielsweise wird darauf hingewiesen, dass - zur Vermeidung von unbefug-
tem Einschleusen von Programmen oder Daten über das R/3-Transportsystem
in das Produktivsystem - eine Abschottung gegenüber Test- und Entwicklungs-
systemen erforderlich ist. Es wird empfohlen, den produktiven Applikations-
und Datenbankrechner ausschließlich der R/3-Anwendung zuzuordnen und aus
Sicht des Netzwerkes über ein eigenes Transportsystem zu verfügen.
Hinweis: Hierbei ist ein DS-gerechtes Entsorgungskonzept für Test- bzw. nicht
mehr benötigten Produktiv-Output (z.B. Papier, Datenträger) festzulegen.

2.1.9 Kontrollen im laufenden Betrieb

Zur Überwachungsaufgabe des DSB gehören sowohl regelmäßige als auch un-
angemeldete Kontrollen und Stichproben im Hinblick auf die Organisation des
Betriebsablaufes, die notwendigen Funktionstrennungen und die Handhabung
des Zugriffsberechtigungskonzeptes als auch die Auswertung der Logfiles.
Vergleiche hierzu auch die Bemerkungen zu den Zugriffsrechten des DSB, zum
Benutzermenü, zum Security Audit Log und zum Audit-Informationssystem in
Kapitel 6.1.1.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 33

2.2 6FKXOXQJ GHU $QZHQGHU PLW 9HUSIOLFKWXQJ DXI GDV

'DWHQJHKHLPQLV ††JXQG%'6* 

2.2.1 Personenkreis, der geschult und verpflichtet werden muss

Bei Aufnahme der Tätigkeit sind die bei der Erhebung, Verarbeitung und Nut-
zung personenbezogener Daten tätigen Personen zu schulen (§ 4g (1) Nr. 2
BDSG) und auf das Datengeheimnis zu verpflichten (§ 5 BDSG). Dabei han-
delt es sich im wesentlichen um folgenden Personenkreis:
• Mitarbeiter in allen Bereichen, in denen PCs im Einsatz sind
• Mitarbeiter in Rechenzentren / EDV-Mitarbeiter
• Mitarbeiter in Fachabteilungen mit personenbezogenen Daten, z.B.
− Personalabteilung, Lohn- und Gehaltsabrechnung, Zeitwirtschaft
− Verkauf, Marketing, Werbung
− Einkauf
− Controlling
− Boten
− Projektmitglieder
Zu verpflichten sind auch Teilzeitkräfte und Auszubildende / Praktikanten. Be-
triebsratsmitglieder fallen ebenfalls unter § 5 BDSG.
Mitarbeiter von Fremdfirmen, z.B. externe Berater, die Zugriff zu personenbe-
zogenen Daten haben, müssen auf das Datengeheimnis verpflichtet sein. Der
Datenschutzbeauftragte kann die Verpflichtung dieser Mitarbeiter nicht selbst
vornehmen, er sollte sich aber die Verpflichtung vertraglich zusichern lassen
und deren Einhaltung kontrollieren.

2.2.2 Inhalt der Anwenderschulungen

Der Anwender soll durch die Schulung mit den Vorschriften des BDSG und al-
len für die Fachaufgabe einschlägigen Datenschutzvorschriften vertraut ge-
macht werden. Die Anwenderschulung soll allgemeine Informationen zum Da-
tenschutzrecht und auf den jeweiligen Tätigkeitsbereich abgestimmte Hinweise
geben, insbesondere zu Datensicherheit und Ordnungsmäßigkeit (siehe auch
”Trainerleitfaden”, herausgegeben von der Gesellschaft für Datenschutz und
Datensicherheit). Ziel der Schulung ist es, den einzelnen für datenschutzgerech-
tes Verhalten am Arbeitsplatz zu befähigen.
Für Schulungszwecke können auch PC-gestützte Anwenderschulungen ver-
wendet werden, die die Schulung des Datenschutzbeauftragten nicht ersetzen,
sondern zur Vertiefung des Wissens beitragen sollten.
Nach erfolgter Schulung sind die Teilnehmer auf das Datengeheimnis schrift-
lich zu verpflichten. Diese Verpflichtungserklärung (Anlage 1) sollte Bestand-
teil der Personalakte werden. Empfehlenswert ist es, jedem Schulungsteilneh-
mer die entsprechenden Auszüge aus dem BDSG sowie ein Merkblatt zum
Umgang mit personenbezogenen Daten (Anlage 2) auszuhändigen.
Als praktische Hilfe kann der SAP-Hinweis 35493, Verpflichtung Datenschutz
und Geheimhaltung, dienen.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 34

2.2.3 Abbildung der Anwenderschulung im SAP

2.2.3.1 Anwenderschulung über Infotypen “Belehrungen” oder “Qualifizierun-


gen”


Für HR-Anwender besteht die Möglichkeit, die Anwenderschulung mit Ver-


pflichtung auf das Datengeheimnis im R/3-System im Personalstammsatz zu
hinterlegen.
Vom Datenschutzbeauftragten bzw. von der Personalabteilung kann die Schu-
lung zum Datenschutz folgendermaßen eingetragen werden:
Menüpfad:
3HUVRQDO ! 3HUVRQDOPDQDJHPHQW ! $GPLQLVWUDWLRQ ! 3HUVR

QDOVWDPP!3IOHJHQ (PA30).
Verwendet werden kann der Infotyp 0035 (Belehrungen) oder die Qualifizie-
rung im Profil einer Person in der Personalentwicklung (durch Aufruf Infotyp
0024; Achtung: hierzu muss im Customizing der Schalter PLOGI APPRA in
der Tabelle T77S0 auf 1 stehen).
Der Infotyp “Qualifizierungen” greift auf den Qualifikationskatalog zurück.
Darin muss dann im Rahmen des Customizing die Anwenderschulung aufge-
nommen werden.
Menüpfad:
3HUVRQDO ! 3HUVRQDOPDQDJHPHQW ! 3HUVRQDOHQWZLFNOXQJ !

(LQVWHOOXQJHQ ! ODXIHQGH (LQVWHOOXQJHQ ! 4XDOLILNDWLRQVNDWD

ORJEHDUEHLWHQ (OOQA)
Der Qualifikationskatalog hat eine Baumstruktur. Die Datenschutzschulung
kann z.B. unter dem Zweig “rechtliche Grundlagen” angelegt werden.

Mit dem Report 5+6758 erfolgt die Strukturauswertung des Qualifika-


tionskataloges.
Über den Report 5+;4$/,) (Qualifikation eines/mehrerer Teilnehmer) lässt
sich leicht auswerten, wer bereits verpflichtet ist und an welchen Schulungen er
teilgenommen hat. Der Report bietet auch die Möglichkeit, nach Organisati-
onseinheiten auszuwerten. Ein Vergleich zwischen Mitarbeitern einer Abtei-
lung (z.B. Personal-Abt., EDV-Abt. usw.) mit den verpflichteten Personen
zeigt die Differenzen auf. Ein besonderes Augenmerk ist auf Neueinstellungen
bzw. Umsetzungen von Mitarbeitern zu richten.
Empfehlung: Unternehmen, die nicht das Organisationsmanagement und die
Personalentwicklung einsetzen, sollten den Infotyp 0035 (Belehrungen) benut-
zen. Alle anderen können auch den oben beschriebenen Weg über die Qualifi-
zierungen im Profil einer Person verwenden.

2.2.3.2 Anwenderschulung über das Veranstaltungsmanagement

Für Anwender, die das Veranstaltungsmanagement nutzen, empfiehlt es sich,


die gesamte Organisation der Anwenderschulungen abzuwickeln. Über das
Veranstaltungsmanagement kann die Planung, Durchführung und Verwaltung
von Veranstaltungen organisiert werden. So können z.B. die Teilnehmer der
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 35

Schulung, Ort und Zeit, Referenten usw. geplant und abgerechnet werden. Nä-
heres siehe Kapitel 6.2.

2.3 )KUHQ YRQ hEHUVLFKWHQ † J $EV   †  $EV 

%'6* 

In der Phase des Customizings wird festgelegt, welche Daten erfasst und ge-
speichert werden sollen. In diesem Falle wirkt der DSB aktiv an der Umsetzung
datenschutzrechtlicher Anforderungen mit.

Für die effektive Wahrnehmung seiner Aufgaben benötigt der DSB nach den
§§ 4e und 4g Abs. 2 BDSG folgende Unterlagen:
†J$XIJDEHQGHV%HDXIWUDJWHQIUGHQ'DWHQVFKXW]

2) Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stel-
le eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über
zugriffsberechtigte Personen zur Verfügung zu stellen. Im Fall des § 4d Abs.
2 macht der Beauftragte für den Datenschutz die Angaben nach § 4e Nrn. 1
bis 8 auf Antrag jedermann in geeigneter Weise verfügbar. Im Fall des § 4d
Abs. 3 gilt Satz 2 entsprechend für die verantwortliche Stelle.


†H,QKDOWGHU0HOGHSIOLFKW

6RIHUQ 9HUIDKUHQ DXWRPDWLVLHUWHU 9HUDUEHLWXQJHQ PHOGHSIOLFKWLJ VLQG VLQG

IROJHQGH$QJDEHQ]XPDFKHQ

 1DPHRGHU)LUPDGHUYHUDQWZRUWOLFKHQ6WHOOH

 ,QKDEHU 9RUVWlQGH *HVFKlIWVIKUHU RGHU VRQVWLJH JHVHW]OLFKH RGHU

QDFK GHU 9HUIDVVXQJ GHV 8QWHUQHKPHQV EHUXIHQH /HLWHU XQG GLH PLW GHU

/HLWXQJGHU'DWHQYHUDUEHLWXQJEHDXIWUDJWHQ3HUVRQHQ

 $QVFKULIWGHUYHUDQWZRUWOLFKHQ6WHOOH

 =ZHFNEHVWLPPXQJHQGHU'DWHQHUKHEXQJYHUDUEHLWXQJRGHUQXW]XQJ

 HLQH%HVFKUHLEXQJGHUEHWURIIHQHQ3HUVRQHQJUXSSHQXQGGHUGLHVEH]J

OLFKHQ'DWHQRGHU'DWHQNDWHJRULHQ

6. Empfänger oder Kategorien von Empfängern, denen die Daten mitge-


teilt werden können
 5HJHOIULVWHQIUGLH/|VFKXQJGHU'DWHQ

 HLQHJHSODQWH'DWHQEHUPLWWOXQJLQ'ULWWVWDDWHQ

 HLQH DOOJHPHLQH %HVFKUHLEXQJ GLH HV HUP|JOLFKW YRUOlXILJ ]X EHXUWHL

OHQREGLH0D‰QDKPHQQDFK†]XU*HZlKUOHLVWXQJGHU 6LFKHUKHLW GHU

9HUDUEHLWXQJDQJHPHVVHQVLQG

Die öffentlichen Stellen haben nach § 18 Abs. 2 BDSG inhaltlich weitgehend


ähnliche Angaben zu machen, sind aber per Gesetzestext auf die schriftliche
Dokumentation verpflichtet.

†'XUFKIKUXQJGHV'DWHQVFKXW]HVLQGHU%XQGHVYHUZDOWXQJ

  'LH |IIHQWOLFKHQ 6WHOOHQ IKUHQ HLQ 9HU]HLFKQLV GHU HLQJHVHW]WHQ 'DWHQ


Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 36

YHUDUEHLWXQJVDQODJHQ )U LKUH DXWRPDWLVLHUWHQ 9HUDUEHLWXQJHQ KDEHQ VLH

GLH$QJDEHQQDFK†HVRZLHGLH5HFKWVJUXQGODJHGHU9HUDUEHLWXQJVFKULIW

OLFK IHVW]XOHJHQ %HL DOOJHPHLQHQ 9HUZDOWXQJV]ZHFNHQ GLHQHQGHQ DXWRPDWL

VLHUWHQ 9HUDUEHLWXQJHQ EHL ZHOFKHQ GDV $XVNXQIWVUHFKW GHV %HWURIIHQHQ

QLFKW QDFK †  $EV  RGHU  HLQJHVFKUlQNW ZLUG NDQQ KLHUYRQ DEJHVHKHQ

ZHUGHQ )U DXWRPDWLVLHUWH 9HUDUEHLWXQJHQ GLH LQ JOHLFKHU RGHU lKQOLFKHU

:HLVHPHKUIDFKJHIKUW ZHUGHQ N|QQHQ GLH )HVWOHJXQJHQ ]XVDPPHQJHIDVVW

ZHUGHQ

Wegen der weitgehend identischen Anforderungen im öffentlichen Bereich des


Bundes und nicht-öffentlichen Bereich orientieren sich die folgenden Ausfüh-
rungen an den Aufgaben des DSB nach § 4g BDSG.

9HUDQWZRUWOLFKNHLWHQ

Im neuen BDSG wurde die Aufgabenteilung zwischen der DV-Abteilung und


dem DSB der Realität angepasst: Die sSHLFKHUQGH6WHOOH wurde in vHUDQWZRUWOL
FKH 6WHOOH umbenannt. Des Weiteren hat der DSB nunmehr auf die Einhaltung

der Befolgung der Gesetze und Vorschriften zum Datenschutz KLQ]XZLUNHQ. Für
jeden Mitarbeiter, insbesondere aber für die Verantwortlichen der DV-Systeme
gilt:

'LH %HWUHLEHU GHU 6\VWHPH $QZHQGXQJV XQG 6\VWHPYHUDQWZRUWOLFKH  VLQG

IU GLH (LQKDOWXQJ GHU *HVHW]H XQG 9RUVFKULIWHQ ]XP 'DWHQVFKXW] XQG ]XU

'DWHQVLFKHUXQJ YHUDQWZRUWOLFK  'LH YHUDQWZRUWOLFKH 6WHOOH KDW XD 0D‰

QDKPHQ]XWUHIIHQGDVVGLH'DWHQ

 QXUUHFKWVPl‰LJXQG]ZHFNJHEXQGHQYHUDUEHLWHWZHUGHQ

 VDFKOLFKULFKWLJXQGDNWXHOOVLQG

 QLFKWOlQJHUDOVIUGHQ=ZHFNHUIRUGHUOLFKDXIEHZDKUWZHUGHQ

 YRUXQHUODXEWHP=XJULIIXQG0DQLSXODWLRQHQJHVFKW]WZHUGHQ

 QLFKWRKQH*HQHKPLJXQJDQ'ULWWHZHLWHUJHOHLWHWZHUGHQ

'HV :HLWHUHQ LVW MHGHU HLQ]HOQH GDIU YHUDQWZRUWOLFK GDVV GLH LKP DQYHU

WUDXWHQSHUVRQHQEH]RJHQHQ'DWHQQXULP5DKPHQVHLQHU$XIJDEHQVWHOOXQJ

YHUDUEHLWHWXQGJHQXW]WZHUGHQ

-HGHU 0LVVEUDXFK MHGH XQ]XOlVVLJH :HLWHUJDEH GLHVHU 'DWHQ LVW YHUERWHQ

XQGVWUDIEDU

Es bietet sich an, diese Klarstellung den Verantwortlichen mit der Aufforde-
rung zur Erstellung der Übersichten zukommen zu lassen.

)RUPGHU'RNXPHQWDWLRQ

Während der Inhalt der Übersichten in den §§ 4e und 4g BDSG detailliert be-
schrieben ist, wird zur Form der Dokumentation im Gesetzestext keine Aussa-
ge getroffen. Für das R/3-System ist eine Kombination von schriftlichen Über-
sichten (z.B. Aktenvermerken) und Verweisen auf die elektronische Dokumen-
tation (z.B. ABAP Dictionary) sinnvoll. Hierfür bietet sich an, die Dynamik des
SAP-Systems zu nutzen und sich die Details dann zu besorgen, wenn sie benö-
tigt werden.
Im Zentrum der Dokumentation stehen die Meldedaten nach § 4e BDSG, er-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 37

gänzt um die zugriffsberechtigten Personen.


Es muss zu folgenden Zwecken dem DSB von der verantwortlichen Stelle zur
Verfügung gestellt werden:
• Angaben zum Inhalt der 0HOGHSIOLFKWnach § 4e BDSG
• Auf Antrag muss der DSB die Angaben 1 bis 8 nach § 4g Abs. 2 BDSG
MHGHUPDQQ verfügbar machen.
• Die 9RUDENRQWUROOH ist bei besonderen Risiken nach Empfang der Ü-
bersichten vorzunehmen.
• Der DSB benötigt die Übersichten, um die RUGQXQJVJHPl‰H 9HUDUEHL
WXQJpersonenbezogener Daten nach § 4g Abs.1 BDSG zu überwachen.

• %HQDFKULFKWLJXQJ des Betroffenen nach den §§ 19a und 33 BDSG


• 8QWHUULFKWXQJder Betroffenen bei Erhebung nach § 4 Abs. 3 BDSG
• $XVNXQIW an Betroffene nach den §§ 19 und 34 BDSG

• $XVNQIWHJHJHQEHUGHU$XIVLFKWVEHK|UGH gemäß § 38 Abs.4 BDSG

Der Inhalt der Übersichten muss sich nach dem Verwendungszweck richten.
Aus diesem Grund wollen wir die Übersichten in ein |IIHQWOLFKHV 0HOGHUHJLV
WHU und ein EHWULHEVLQWHUQHV 9HUIDKUHQVYHU]HLFKQLV unterteilen, die verschie-

dene Funktionen erfüllen.

'DV|IIHQWOLFKH0HOGHUHJLVWHU

Das öffentliche Melderegister ist die Grundlage für eine Meldung an die Auf-
sichtsbehörde und die Auskunft an jedermann. Das öffentliche Melderegister
soll allgemeine gesellschaftliche Transparenz gewährleisten, den Betroffenen
im Vorfeld ihrer Auskunftsansprüche Orientierungswissen darüber geben, wer
welche Daten (ggf. auch über sie) speichert und die EU-Datenschutzrichtlinie
umsetzen.
Meldungen sollten kurz und verständlich sein, wie die Darstellung des
Landeszentrums für Datenschutz Schleswig-Holstein beispielhaft zeigt (vgl.
2.3.9).
Neben der im § 4e BDSG festgelegten Verpflichtung zur Meldung an das Re-
gister gehen zunehmend Betriebe dazu über, von sich aus die von ihnen verar-
beiteten Daten und deren Verwendungszwecke sowie die betroffenen Perso-
nengruppen durch eine entsprechende Datenschutzerklärung zu veröffentlichen
(vgl. OECD Privacy Statement Generator4).

Weil der Gesetzgeber offensichtlich mit dem öffentlichen Melderegister allge-


meine Transparenz intendiert, sollten die Betriebe die Überlegung ins Auge
fassen, das Melderegister z.B. im Internet zusammen mit einer Datenschutz-
erklärung, dem Haftungsausschluss und einem Impressum zu veröffentlichen.

'DVEHWULHEVLQWHUQH9HUIDKUHQVYHU]HLFKQLV

Das betriebsinterne Verfahrensverzeichnis dagegen dient dem Datenschutzbe-


auftragten darüber hinaus zur internen Prüfung, der Vorabkontrolle sowie der
Prüfung der Angemessenheit der Maßnahmen nach § 9 BDSG und ist Grundla-
ge zu speziellen Auskunftsanforderungen von betroffenen Personen. Speziell
bei sensiblen Daten nach § 3 Abs. 9 BDSG wie Angaben über Gesundheit ist
eine detailliertere Übersicht erforderlich.

4
siehe: http://ca3-hq.oecd.org/scripts/pwv3/pwhome.htm
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 38

In vielen Fällen muss dabei Detailwissen zur Person zur Verfügung gestellt
werden, wobei die einschlägigen SAP-Funktionalitäten (z.B. ABAP Dictionary,
AIS) zur Unterstützung herangezogen werden können.

'HWDLOOLHUXQJVJUDG

Die Informationen sind dem DSB als hEHUVLFKWHQ von der verantwortlichen
Stelle zur Verfügung zu stellen. Auch die Begriffe Personengruppen, Datenka-
tegorien und Kategorien von Empfängern lassen darauf schließen, dass detail-
lierte Beschreibungen in diesen Übersichten nicht notwendig sind. Da das öf-
fentliche Melderegister auch jedermann in geeigneter Weise verfügbar gemacht
werden muss, ist eine genaue Beschreibung von Einzeldaten, Personen oder
Empfängern für die Außendarstellung nicht angebracht. Schließlich zeigt der
Ausschluss der ergriffenen Sicherungsmaßnahmen nach Punkt 9 in § 4e BDSG,
dass die Offenbarung der Daten nicht zu einem Risiko für das verarbeitende
Unternehmen werden darf.
Die Übersichten müssen auf der anderen Seite für den DSB ein geeigneter An-
satz sein, um für verschiedene Zwecke eine Detailanalyse vornehmen zu kön-
nen:
• Bei der Vorabkontrolle benötigt ein gewissenhafter DSB in vielen Fällen
neben der Satzbeschreibung auch Einblick in die Einzelfelder z.B. bei
Speicherung von Gesundheits- oder Leistungsdaten.
• Bei Überwachung der datenschutzgerechten Verarbeitung muss der DSB
mit Unterstützung der Verantwortlichen und/oder auf Grundlage der
Dokumentation im Einzelfall bis auf Feldebene vordringen können.
• Die Benachrichtigung umfasst die Identität des Verarbeiters, die Zweck-
bestimmung, Kategorien von Empfängern und die Art der Daten.
• Die Betroffenen sind bei Erhebung über die Identität der verantwortli-
chen Stelle, die Zweckbestimmung der Erhebung und die Kategorien
von Empfängern zu unterrichten, wenn sie nicht bereits auf andere Wei-
se Kenntnis erlangt haben.
• Die Auskunft verlangt exakte Informationen über die zu einer Person ge-
speicherten Daten und deren Herkunft, die Empfänger und den Zweck
der Speicherung
• Zur Beurteilung der § 9-Maßnahmen zur Gewährleistung der Sicherheit
der Verarbeitung sind detaillierte Angaben über die gespeicherten Daten
erforderlich.
Aus dieser Zusammenstellung ist ersichtlich, dass auch Auskunft und Benach-
richtigung sich auf Punkte der Übersichten beziehen.

Zur Tabellen- oder Feldanalyse kann im R/3 das ABAP Dictionary genutzt
werden. Der Umgang mit Domänen, Tabellen, Reports und Verwendungs-
nachweisen erfordert vom DSB handwerkliches Geschick. Wegen der Vorab-
kontrolle muss man gegebenenfalls bis auf das sensitive Datum selbst herun-
terbrechen, z.B. Felder im Infotyp 0028, *HVXQGKHLWVGDWHQ, oder Infotyp 0077,
:HLWHUH 'DWHQ ]XU 3HUVRQ, mit ethnischer Herkunft, Konfessionsschlüssel oder

Veteran Status. Wir werden später zeigen, wie man zum Inhalt und zur Doku-
mentation von Feldern und Prüftabellen kommt.

Es ist zu beachten, dass nicht alle erforderlichen Angaben elektronisch im R/3-


System vorhanden sind. Der pauschale Verweis auf das ABAP Dictionary etwa
greift zu kurz, wenn nicht ergänzende schriftliche Unterlagen vorhanden sind.
So gibt es z.B. keine Kennzeichnung für Tabellen bzw. Datenfelder mit perso-
nenbezogenen Daten. Zweckbestimmung, Empfänger oder zugriffsberechtigte
Personen werden in der Regel auch nicht im Zusammenhang mit der Beschrei-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 39

bung von Daten oder Datenkategorien im R/3 dokumentiert.

2.3.1 Informationen zur verantwortlichen Stelle

Hier fassen wir die Punkte eins bis drei des öffentlichen Melderegisters zu-
sammen. Die Informationen über den Firmennamen, die Anschrift und die Ge-
schäftsleitung eignen sich am besten zu einer Internet-Darstellung in einer Art
Impressum.

2.3.2 Zweckbestimmungen der Datenerhebung, -verarbeitung oder -


nutzung

$QIRUGHUXQJ

§ 4e BDSG verlangt eine Angabe zu den Zweckbestimmungen der Datenerhe-


bung, -verarbeitung oder -nutzung.


$XVOHJXQJGHUJHVHW]OLFKHQ$QIRUGHUXQJLQ%H]XJDXI5

Auch wenn das BDSG davon ausgeht, dass die Rechtsgrundlage der Verarbei-
tung für alle Daten - d.h. für jedes einzelne Datenfeld - gegeben sein muss und
auch insofern vor der Verarbeitung geprüft werden muss, so kann daraus nicht
gefolgert werden, dass auch die Dokumentation feldbezogen zu erfolgen hat.
Die Frage, ob zusätzlich die Rechtsgrundlage direkt mit in die Übersicht aufzu-
nehmen ist, wird sehr unterschiedlich beantwortet.
Vom Hersteller des R/3-Systems kann der Anwenderbetrieb unserer Einschät-
zung nach keine allgemeingültigen Angaben zu den Rechtsgrundlagen erwar-
ten, da im Einzelfall verschiedene bereichsspezifische Gesetze, Tarifverträge,
Betriebsvereinbarungen, Einwilligungen oder im Falle des § 28 Abs. 1 Satz 1
BDSG die verschiedensten Vertragsverhältnisse in Frage kommen.
Die Angabe der Geschäftszwecke muss im Unternehmen aus Sicht der Fachab-
teilung definiert werden, z.B. Finanzbuchhaltung, Personalabrechnung,
Bewerberverwaltung, Reisekostenabrechnung.

2.3.3 Beschreibung der betroffenen Personengruppen und der


diesbezüglichen Daten oder Datenkategorien

$QIRUGHUXQJ

Alle betroffenen Personengruppen und deren Daten oder Datenkategorien sind


aufzuführen. Dabei ist von dem datenschutzrechtlichen Begriff der automati-
sierten Verarbeitung auszugehen und nicht von dem EDV-technischen Datei-
begriff. Die Beziehung zu den Bezeichnungen auf Datenbank- oder Betriebs-
systemebene sollte nachvollziehbar sein, muss aber nicht in die Übersicht mit
aufgenommen werden. Benutzerdaten sind auch aufzunehmen (siehe unten).

6$3)DNWHQ

SAP R/3 baut bei der Datenhaltung auf den Diensten relationaler Datenbank-
systeme auf. Über relationale Verknüpfungen von Tabellen können Daten auf
unterschiedlichen Ebenen aggregiert und zu neuen Aussagen verknüpft werden.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 40

Im Audit-Informationssystem findet sich bereits eine Dokumentationsmöglich-


keit für Daten/Tabellen bestimmter Personengruppen. In der R/3-Version 4.6
wird im AIS nach folgenden Personengruppen differenziert:
- Mitarbeiterdaten (HR-Daten)
- Bewerberdaten (HR-Daten)
- Lieferantendaten
- Kundendaten
- Partnerdaten
- Sachbearbeiterdaten
- Verkäufergruppendaten
- Patientendaten
- R/3-Benutzer (Stammdaten der Benutzerverwaltung)
Diese Benutzergruppen sind bereits in verschiedenen Report-Varianten zu-
sammengefasst und können direkt aus dem AIS-Menü verarbeitet werden:
Menüpfad:
,QIRV\VWHPH ! $XGLW ,QIR 6\VWHP ±! 6\VWHP $XGLW ! +XPDQ

5HVRXUFHV $XGLW  'DWHQVFKXW]DXGLW ! 'DWHLUHJLVWHU ]X SHUVR

QHQEH]RJHQHQ'DWHQ (SECR, Report RSCRDOMA)

Außerdem bietet das R/3-System weitere Funktionen für die Dokumenta-


tion/Beschreibung von Daten (z.B. im ABAP Dictionary), die im Abschnitt 2.4
detaillierter dargestellt werden.

$XVOHJXQJGHUJHVHW]OLFKHQ$QIRUGHUXQJLQ%H]XJDXI5

§ 4g BDSG in Verbindung mit § 4e Satz 5 BDSG verlangt von der verantwort-


lichen Stelle, dem Datenschutzbeauftragten u.a. eine Beschreibung der betrof-
fenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien
zur Verfügung zu stellen.
Es stellt sich die Frage, wie genau die Personengruppen und die diesbezügli-
chen Daten dokumentiert werden müssen. Das BDSG überlässt es der verant-
wortlichen Stelle, dass sowohl die Bildung von Datenkategorien als auch die
Auflistung einzelner Datenfelder möglich ist. Was nötig ist, muss im Einzelfall
entschieden werden und sollte davon abhängig gemacht werden, zu welchem
(Dokumentations-/Auskunfts-)Zweck die Angaben verwendet werden sollen
Allerdings erfordert Satz 9 in § 4 e BDSG eine Beschreibung, auf deren Grund-
lage eine Beurteilung von Sicherheitsmaßnahmen ermöglicht werden soll. Die-
se Beurteilung macht z.B. im HR eine Betrachtung der Daten bis auf die Ebene
des einzelnen Infotyps (bzw. der ABAP Dictionary-Tabelle) erforderlich.

Personenbezogene Daten werden in unterschiedlichen Zusammenhängen im


R/3-System gespeichert. Im Rahmen der Personalwirtschaft (HR) finden sich
Mitarbeiterdaten, Sachbearbeiter- bzw. Benutzerdaten werden in vielfachen
Anwendungszusammenhängen verwendet und auch Kunden-/Lieferanten-
Daten werden hinterlegt.
Im R/3-System können Daten über eine Person im Zusammenhang mit deren
verschiedenen „Rollen“ auftauchen, z.B. im Rahmen der Gehaltsabrechnung
oder als Buchhaltungssachbearbeiter.
Eine abschließende Bewertung des neuen Begriffs „Personengruppe“ kann hier
nicht geleistet werden, allerdings erscheint die bisher im Audit-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 41

Informationssystem getroffene Unterscheidung verschiedener Personengruppen


bzw. „Rollen“ durchaus geeignet, die entsprechenden Anforderungen des
BDSG zu erfüllen.

Die zu einer Personengruppe gehörigen Daten können im AIS unter der jewei-
ligen Rolle abgefragt werden, wobei eine Liste nicht leerer Tabellen mit Kenn-
zeichnung der abgefragten Domäne angezeigt wird. Im Zusammenhang mit den
Mitarbeiterdaten sind dies die entsprechenden Infotypen.

Der Begriff der Datenkategorie ist ebenfalls neu im BDSG. Bisher wurde eine
Kategorisierung von personenbezogenen Daten bereits in unterschiedlicher
Weise vorgeschlagen. Der Bundesbeauftragte für den Datenschutz (BfD) defi-
nierte sogenannte Datenschutzstufen, wobei die Daten nach Art der zu ergrei-
fenden Datensicherungs- bzw. Datenschutzmaßnahmen in A, B, C unterteilt
wurden (siehe 12. Tätigkeitsbericht des BfD, S. 114)

Die SAP schlägt z.B. für Mitarbeiterdaten eine Differenzierung in die folgen-
den Kategorien vor [Hornberger/Schneider, S. 228 ff)]:
1. mitarbeiterbezogene Daten zur geschäftlichen Kommunikation (elektroni-
sches Adressverzeichnis)
2. persönliche Geschäftsdaten (z.B. Stelle, Funktion, Qualifikationen)
3. Privatdaten (z.B. private Telefonnummer)
4. sensitive Daten (z.B. Gesundheitsdaten).

Die Kategorisierung von personenbezogenen Daten in verschiedene Stufen von


Sensitivität wird allerdings von einigen Datenschutzexperten als problematisch
angesehen. So spricht Daniel Christians in diesem Zusammenhang von einem
„Fremdkörper im BDSG. Nach deutschem Datenschutzverständnis gibt es kei-
ne Daten, die für sich genommen ‚besonders sensitiv‘ sind. Ausschlaggebend
ist immer der Zusammenhang, in dem das personenbezogene Datum steht.“
[Christians, S. 16]

Die Personalstammdaten (PA0*) unterscheiden sich i.d.R. hinsichtlich Zweck-


bestimmung, Zugriffsberechtigung und regelmäßigen Empfängern oder lassen
sich zumindest in Gruppen aufteilen. Die Infotypen im HR-Modul sind zudem
bereits überwiegend nach personalwirtschaftlich-fachlichen Kriterien (z.B. An-
schriften, Darlehen, DEÜV) strukturiert.

Daher spricht einiges dafür, die Tabellen des R/3-Systems weiterhin als Grund-
lage der Dokumentation zu wählen. Diese Vorgehensweise hat Vorteile, denn
die Prüfung, welche Tabellen sinnvollerweise zusammengefasst werden soll-
ten, entfällt, und die zusätzlichen Angaben der Übersichten nach § 4 BDSG
können den im System definierten Tabellen direkt zugeordnet werden. Auch
aus Praktikabilitätsgründen bietet sich diese einheitliche und systemnahe Do-
kumentation an, denn dabei kann auf einfache Weise auf die im System hinter-
legten Informationen zurückgegriffen werden.

Im R/3-Einführungsprojekt sollte zu Beginn der Customizing-Phase unter Ein-


beziehung des Datenschutzbeauftragten festgelegt werden, welche personenbe-
zogenen Daten zulässig sind. Hierbei sind insbesondere auch die Beteiligungs-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 42

rechte von Betriebs- und Personalräten zu beachten. In der Customizing-Phase


bietet es sich an, eine erste Version der Übersichten zu erstellen.

%HQXW]HUGDWHQ sind nach allgemeiner Meinung auch personenbezogene Daten


und daher in die Übersichten mit aufzunehmen. Dazu zählen
• Sachbearbeiterkennzeichen, z.B. im Rahmen des Moduls FI
• Protokolldaten, z.B. im Performance Monitoring
• Verwaltungsdaten, z.B. Berechtigungen der R/3-Benutzer
• Daten von Dritten, z.B. bestellender Sachbearbeiter eines Kunden

Personenbezogene Daten, die ausschließlich Zwecken der Datenschutzkontrol-


le, der Datensicherung oder der Sicherstellung eines ordnungsgemäßen Be-
triebs einer Datenverarbeitungsanlage dienen, unterliegen nach § 31 BDSG ei-
ner besonderen Zweckbindung, was insbesondere der Verstärkung des Schutzes
des Betroffenen dienen soll.

Bei Verwendung von 6DFKEHDUEHLWHUNHQQ]HLFKHQ ist nur die Tatsache der


Verarbeitung, nicht der Inhalt des verarbeiteten Datensatzes ein personenbezo-
genes Datum. Wenn z.B. ein Sachbearbeiter die Adresse eines Kunden eingibt
und dabei sein Sachbearbeiterkennzeichen (z.B. ein Namenskürzel) gespeichert
wird, so ist das personenbezogene Datum “Mitarbeiter A hat am 3. Februar den
Datensatz X ergänzt“. Die Adresse des Kunden ist kein personenbezogenes Da-
tum des Sachbearbeiters. Da nur die Tatsache der Verarbeitung (und nicht der
Inhalt der Datensätze) entscheidend ist, muss auch nur dies in den Übersichten
dokumentiert werden. Es sollte daher für das R/3-System ausreichen, alle Ta-
bellen, die Sachbearbeiterkennzeichen enthalten, aufzulisten und gemeinsam zu
dokumentieren.

Auch 3URWRNROOGDWHLHQ sind in die Übersichten aufzunehmen. Da es sich im


allgemeinen um Mitarbeiterdaten handelt, unterliegt die Verarbeitung dieser
Daten der Mitbestimmung nach § 87 Abs. 1 Satz 6 BetrVG bzw. § 75 Abs. 3
Satz 17 BPersVG.

2.3.4 Empfänger oder Kategorien von Empfängern

Grundsätzlich hat die verantwortliche Stelle die Empfänger im R/3-System zu


nennen. Empfänger ergeben sich aus Verträgen mit Mitarbeitern, Lieferanten
und Kunden (Bankverbindung) sowie aus gesetzlichen Grundlagen (Sozialver-
sicherung, Finanzamt, DEÜV usw.).
Informationen über theoretisch zu erreichende Empfänger im R/3 sind an vie-
len Stellen verteilt. Bankverbindungen sind z.B. im Bankenstamm (Tabelle
%1.$) hinterlegt (siehe auch SAP-Prüfleitfaden R/3, Kapitel Rechnungsprü-

fung und Zahlungslauf). Weiterhin findet man sie im Lieferantenstamm


(LFBK) oder im Modul HR im Infotyp 0009 (Bankverbindung, Tabelle
3$).

Im Einführungsprojekt sollten die erlaubten Schnittstellen mit dem DSB abge-


sprochen und in der Projektdokumentation festgehalten werden. Ob und wie
diese Empfänger erreicht werden, ist organisatorisch in einem Datenflussplan
festzuhalten.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 43

Welche Hilfen bietet SAP R/3 an, um die regelmäßigen Empfänger zu ermit-
teln? Welchen Überblick bietet SAP R/3 über Systeme und Komponenten an?

• Technische Verbindungen
Basis-Services (BC-SRV), Transaktion SM59 (RFC-Destination) und SM54
(CPIC-Destination)
• Verzeichnis der verfügbaren R/3-Systeme mit den entsprechenden Trans-
portschichten (SM31)
Tabelle 76<67
• Übersicht Mandanten
Tabelle 7
• Übersicht Buchungskreise
Tabelle 7
• Komponentenhierarchie (SB01 bzw. HIER)

• Repository-Infosystem (SE84)
Menüpfad:
:HUN]HXJH ! $%$3 :RUNEHQFK ! hEHUVLFKW ! ,QIRV\VWHP !

$%$3 'LFWLRQDU\ ! *UXQGREMHNWH ! 'DWHQEDQNWDEHOOH PLW

9HUZHQGXQJVQDFKZHLV !3URJUDPPHQ'\QSURV

• Data Browser (SE16)


Menüpfad:
:HUN]HXJH ! $%$3 :RUNEHQFK! hEHUVLFKW ! 'DWD %URZVHU

! 7DEHOOHQQDPH

• Object Navigator (SE80)


Menüpfad: 

:HUN]HXJH ! $%$3 :RUNEHQFK  ! hEHUVLFKW  ! 2EMHFW

1DYLJDWRU

%HLVSLHO: Wo wird das Datenfeld BANKA (Bankanschrift) verwendet?


Menüpfad:
:HUN]HXJH ! $%$3 :RUNEHQFK ! hEHUVLFKW ! ,QIRV\VWHP !

$%$3 'LFWLRQDU\ ! *UXQGREMHNWH ! 'DWHQHOHPHQW PLW 9HU

ZHQGXQJVQDFKZHLV ! 'DWHQHOHPHQWBANKA  ! 7DEHOOHQIHO


GHU(SE84) -> $Q]HLJHQ ! 7DEHOOHQ  ,QKDOW (Verzweigung
nach SE11)
Ergebnis: Datenelement BANKA in Tabellenfeldern (n Treffer)
z.B. in Tabelle PA0073 in Feld BANKA,
in Tabelle FDTL in Feld GBANK.
Über Verwendungsnachweis in Tabellen kommt man im Fall von Tabelle
FDTL auf die entsprechenden Reports, z.B. auf RFFDTL00 und das Coding:
GDWDEHJLQRILBSRVWHQRFFXUV ,QWHUQH7DEHOOHGHU(LQ]HOSRVWHQ

JEDQNOLNHIGWOJEDQN *HJHQNRQWLHUXQJ%DQN
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 44

2.3.5 Regelfristen für Löschung 5

Auch wenn die Löschfristen kein spezielles R/3_Thema sind, soll hier eine all-
gemeine Information für den DSB zur Diskussion mit den Fachabteilungen zu-
sammengestellt werden. Schließlich gehört es zu den Aufgaben des DSB, auf
die Einhaltung von Datenschutzvorschriften hinzuwirken.
Nach dem BDSG werden die Regelfristen für Löschungen erstmalig an zentra-
ler Stelle § 4e Abs. 7 BDSG für den öffentlichen und nicht-öffentlichen Be-
reich genannt.

- Als Löschung (§ 3 Abs. 4 BDSG) bezeichnet das BDSG das Unkenntlich-


machen gespeicherter personenbezogener Daten, womit allein das unwie-
derbringliche Tilgen der Daten ungeachtet der dabei verwendeten Verfahren
gemeint ist.

Öffentlicher Bereich

Das BDSG ist ein Auffanggesetz, d.h. spezielle Rechtsvorschriften sind vor-
rangig anzuwenden.
Erst wenn solche bereichsspezifischen vorrangigen Rechtsvorschriften keine
rechtlichen Regelungen beinhalten, kommt das BDSG zum Tragen. So gilt
nach § 20 BDSG
(2) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht-
automatisierten Dateien gespeichert sind, sind zu löschen, wenn
ihre Speicherung unzulässig ist oder
ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer
Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist.
(3) An die Stelle einer Löschung tritt eine Sperrung, soweit
1. einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewah-
rungsfristen entgegenstehen,
2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdi-
ge Interessen des Betroffenen beeinträchtigt würden, oder
3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur
mit unverhältnismäßig hohem Aufwand möglich ist.

Wie soeben festgestellt, gibt es im öffentlichen Bereich vorrangige bereichs-


spezifische normierte Löschungsfristen.
Beispiele:
%XQGHV]HQWUDOUHJLVWHU , bestehend aus
- 6WUDIUHJLVWHU, Eintragungen werden nach Ablauf von 5, 10 oder 15 Jahren
getilgt (§§ 43 ff. BZRG)
- *HZHUEH]HQWUDOUHJLVWHU, Eintragungen werden nach einer Frist von 3 oder
5 Jahren getilgt (§ 153 GewO)
- (U]LHKXQJVUHJLVWHU, Maßnahmen nach dem Jugendgerichtsgesetz, Anwen-
dungen nach dem Vormundschaftsgericht. Diese Eintragungen werden ent-

5
Diesem Abschnitt liegen folgende Quellen zugrunde: Abel, Bolten/Pulle, Bergmann/Möhrle/Herb
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 45

fernt, wenn der Betroffene das 24. Lebensjahr vollendet hat (§ 58 Abs. 1
BZRG).

Weiter sind z.B. genannt


- 9HUNHKUV]HQWUDOUHJLVWHU „Verkehrssünderkartei“ (§ 29 Abs. 1 StVG)
- 6FKXOGQHUYHU]HLFKQLV(§§ 915, 807, ZPO, § 284 AO, § 107 KO)
- 6R]LDOUHFKW (§ 304 SGB V, § 107 SGB XI, § 84 SGB X)
- gIIHQWOLFKH$UFKLYH (§ 2 Abs. 1, § 2 As. 7, 4 Abs. 1 BArchG)

Es kann an dieser Stelle nur exemplarisch angerissen werden, welche bereichs-


spezifischen Löschvorschriften existieren und welche Regelfristen für Lö-
schungen von personenbezogenen Daten es im öffentlichen Bereich gibt.

Allein im Bereich der sozialen Sicherung haben etwa die gesetzlichen Kran-
kenkassen Regelfristen für Löschungen zu beachten, die sich aus dem
- Sozialgesetzbuch (SGB)
- Sozialversicherungs-Rechnungsverordnung (SVRV) i. V mit GoB und GoD
- Allg. Verwaltungsvorschriften ü. d. Rechnungswesen i. d. Sozialversiche-
rung (SRVwV)
- Risikostruktur-Ausgleichsverordnung (RSAV)
ergeben.

Die Aufbewahrungsfristen variieren zwischen 2 und 10 Jahren.

Nach § 284 Abs. 1 Satz 4 und § 304 Abs. 1 SGB V vorgegebene Verpflichtung
zur Löschung bestimmter Daten geht der Löschfrist nach § 84 SGB X vor.

Nicht-öffentliche Regelungen

§ 35 Abs. 2 BDSG enthält eine ganze Reihe von Löschungsvorschriften. Dem-


nach sind personenbezogene Daten zu löschen, wenn
1. ihre Speicherung unzulässig ist
2. es sich um Daten über die rassische oder ethnische Herkunft, politische
Meinungen, religiöse oder philosophische Überzeugungen oder die Ge-
werkschaftszugehörigkeit, über Gesundheit oder das Sexualleben, strafba-
re Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit
von der verantwortlichen Stelle nicht bewiesen werden kann
3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die
Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist
4. sie geschäftsmäßig zum Zwecke der Übermittlung verarbeitet werden
und eine Prüfung jeweils am Ende des vierten Kalenderjahres begin-
nend mit ihrer erstmaligen Speicherung ergibt, dass eine längerwähren-
de Speicherung nicht erforderlich ist
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 46

Auf der anderen Seite gibt es eine ganze Reihe von Vorschriften, die Mindest-
aufbewahrungsfristen regeln. Wichtige Eckpunkte sind:

- Aufbewahrung nach Handels- und Steuerrecht (z. B. Buchführung,


Kundendaten, Personaldaten)
- Arbeits- und Sozialrecht, Berufsordnungen
- Aufbewahrungsvorschriften in der DV

+DQGHOVXQG6WHXHUUHFKW

- 10 Jahre (§ 257 Abs. 4 HGB, § 147 Abs. 3 AO)


- 6 Jahre (§ 257 Abs. 4 HGB, § 147 Abs. 3 AO)
Detaillierte Aufstellungen sind folgenden Internet-Adressen zu entnehmen:
- http://www.heilbronn.ihk.de/dokumente/aufbewahrung.htm
- http://www.d-i.de/verl.htm


$UEHLWVXQG6R]LDOUHFKW%HUXIVRUGQXQJHQ

Die Aufbewahrungsvorschriften erstrecken sich aufgrund gesetzlicher Vorga-


ben von
1 Jahr Arbeitszeitnachweis (§24 AZO)
2 Jahre Jugendarbeitsschutzunterlagen (§50 Abs. 2 Jugendarbeitsschutz-
gesetz),
Gesetzliche Krankenkassen (§ 304 SGB V)
3 Jahre Arbeitnehmerüberlassungsunterlagen (§ 19 2. DEVO, § 28 SGB
IV)
4 Jahre Künstlersozialabgabe (§ 28 Künstlersozialversicherungsgesetz)
5 Jahre Beförderungspapiere, Fahrtenbuch (§ 29 Güterkraftverkehrsge-
setz)
Handakten von Rechtsanwälten (§ 50 Abs. 2 BRAO)
6 Jahre betr. Alterversorgung (§ 11 Gesetz zur Verbesserung der betr.
Altersvers.)
Vermögenswirksame Leistungen (§ 3 VO z. Durchführung des
5. Vermögensbildungsgesetzes § 41 EstG und § 147 Abs. 4 AO)

10 Jahre Jugendarbeitsschutz-Unterlagen –Untersuchungsbogen- (§ 3


Abs. 3 VO über die ärztlichen Untersuchungen nach den Ju-
gendarbeitsschutzgesetz)
30 Jahre Sozialversicherung - Rechnungswesen – Jahresrechnung - (§ 33
Allgemeine Verwaltungsvorschrift über das Rechnungswesen in
der Sozialversicherung)
60 Jahre Schadstoffuntersuchungen (§ 4 Ziffer 6 Unfallverhütungsvor-
schriften)
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 47

Des Weiteren gibt es noch Aufbewahrungsvorschriften eingeteilt nach Katego-


rien und Bereichen:

- für die Dauer des Betreibens bzw. Nutzung der Anlagen


- für die Dauer der Amtszeit
- für die Dauer der Anlagennutzung
- bis zum Ausscheiden eines Arbeitnehmers
- bis zum Ablauf des auf die letzte Prüfung folgenden Kalenderjahres
- bis zum Ablauf des Kalenderjahres, das auf das Jahr der Anlegung von Lis-
ten erfolgt
- für die Dauer des Dienstverhältnisses bis Anfang eines jeden Jahres

$XIEHZDKUXQJVYRUVFKULIWHQLQGHU'DWHQYHUDUEHLWXQJ †%'6* PLW $Q

ODJH†$EV$2†$EV+*%

1 Jahr Job-Accounting, Netzwerkdaten, Systemnachrichten, Begleitpa-


piere und Protokolle über Datenträgertransport und –
Verwaltung, Konvertierungsprotokolle
3 Jahre Systemdateien (3 Generationen), Standardsoftware
6 Jahre Terminpläne, Schichtprotokolle, Arbeitsaufträge
10 Jahre Anwenderprogramme einschließlich aller Unterlagen über die
Übernahme in die Produktion; Systemnachrichten; Protokolle
über DV-Aktivitäten, soweit für die Nachvollziehbarkeit von
nachweispflichtigen Aufträgen erforderlich (Rechnungslegungs-
relevante Tabellen)

'DWHQDXVGHP6FKXOGQHUYHU]HLFKQLVEHLQLFKW|IIHQWOLFKHQ6WHOOHQ

Auskunfteien und die SCHUFA erhalten in der Regel von den Gerichten
unmittelbar Daten aus den Schuldnerverzeichnis (§ 915d Abs. 1, § 915e Abs. 1
Buchst. B ZPO). Die Empfänger von Daten aus dem Schuldnerverzeichnis
müssen die gesetzlichen Löschfristen einhalten (§ 915g Abs. 1 ZPO, § 15
SchuVVO – Schuldnerverzeichnisverordnung). Eine Eintragung im Schuldner-
verzeichnis wird nach Ablauf von 3 Jahres gelöscht. Für Schuldnerdaten, die
nach § 107 Abs. 2 KO – Konkursordnung aufgenommen wurden, gilt eine Lö-
schungsfrist von 5 Jahren.

Folgerungen
Im Datenschutzrecht besteht nach Ablauf der Aufbewahrungsvorschrift eine
Löschpflicht. Hierbei sind die Daten unwiderruflich zu entfernen, d.h. zu ver-
nichten. Ein reines Sperren des Zugriffspfads oder eine Archivierung wären
nach diesen Normen nicht erlaubt.
Bei relationalen Datenbanken, wie sie im R/3-System verwendet werden, hat
der Anwender jedoch keinen Einfluss auf die physikalische Speicherung. Lö-
schung bedeutet Sperrung aller weiteren Zugriffe, ohne dass die Daten unbe-
dingt zu 100% gelöscht werden. Theoretisch wären sie durch Datenbank-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 48

Spezialisten (Administration) wieder einsehbar. Eine Datenbank-


Reorganisation würde die Wahrscheinlichkeit erhöhen, dass die „gelöschten“
Daten physikalisch eliminiert werden.
Es empfiehlt sich, unerlaubt gespeicherte oder falsche bzw. angezweifelte Da-
ten als Datensatz unmittelbar zu löschen oder zu sperren. Daten, die nicht mehr
zur Erfüllung des Zweckes benötigt werden oder deren Aufbewahrungsvor-
schrift abgelaufen ist, sollten in periodischen Abständen gelöscht werden. An-
schließend sollte die Datenbank - soweit zeitlich und technisch möglich -
reorganisiert werden.
An Stelle einer Löschung kann ggf. eine Sperrung in Frage kommen, wenn we-
gen der besonderen Art der Speicherung eine Löschung nur mit unverhält-
nismäßig hohem Aufwand möglich ist.
Der DSB hat die Aufgabe, die verantwortliche Stelle auf die einschlägige Lite-
ratur der Aufbewahrungs- und Löschfristen hinzuweisen und entsprechende or-
ganisatorische Maßnamen einzufordern. Des Weiteren empfiehlt es sich, zu
den Löschfristen im betriebsinternen Verfahrensverzeichnis detaillierte Infor-
mationen zu verlangen. Ein Anspruch zur Löschung von Daten besteht nicht:
- bei gesetzlichen, vertragsmäßigen oder vertragsrechtlichen Aufbewahrungs-
vorschriften
- wenn ein Grund zur der Annahme besteht, dass durch eine Löschung
schutzwürdige Interessen des Betroffenen beeinträchtigt werden

2.3.6 Geplante Übermittlung in Drittstaaten

Dieser Punkt ergänzt die unter § 4e BDSG zu nennenden Empfänger um die


geplanten Übermittlungen an Drittstaaten. Hier sind insbesondere die Empfän-
ger in Staaten außerhalb der EU mit einem nicht EU-konformen Datenschutz-
standard aufzuführen. Der DSB muss sich hier insbesondere nach den §§ 4b
und 4c BDSG richten. Eine Übermittlung muss unterbleiben, wenn ein ange-
messenes Schutzniveau nicht vorhanden ist und somit die berechtigten Interes-
sen des Betroffenen zum Schutz seiner Daten nicht gewährleitstet werden kann.
Als Ausnahmen sind neben der Einwilligung und der Übermittlung zur Erfül-
lung eines Vertrages insbesondere Garantien aus Vertragsklauseln oder ver-
bindliche Unternehmensregelungen (Codes of Conduct) möglich. 6 Die EU-
Kommission selbst bietet Standardvertragsklauseln für spezielle Übermittlun-
gen von personenbezogenen Daten in unsichere Drittländer an. 7 Diese Stan-
dardvertragsklauseln sind eigenen Verträgen vorzuziehen, da letztere nicht nur
von der Aufsichtsbehörde zu genehmigen sind, sondern die erteilten Genehmi-
gungen nach Art 26 Abs. 3 EU-Richtlinie an die EU-Kommission und die an-
deren Mitgliedsländer mitzuteilen sind. Diese Gremien können ihrerseits Wi-
derspruch einlegen und die Kommission zu geeigneten Maßnahmen über ein
Ausschussverfahren drängen.
In den USA können einzelne Firmen durch eine Art Selbstzertifizierung
(Stichwort 6DIH +DUERU) ein angemessenes Schutzniveau nachweisen.8 Die ak-
tuelle Mitgliederliste wird im Internet veröffentlicht9.

6
Siehe Arbeitsunterlage: Übermittlungen personenbezogener Daten an Drittländer: Anwendung
von Artikel 25 und 26 der Datenschutzrichtlinie der EU (WP12) Link:
http://europa.eu.int/comm/internal_market/de/dataprot/wpdocs/wpdocs_98.htm
7
Siehe Link http://europa.eu.int/comm/internal_market/en/dataprot/news/clauses.htm
8
Zu dem Punkt hEHUPLWWOXQJDQ'ULWWOlQGHU hat SAP ausführlich Stellung genommen, siehe Kap.
6.6 in 6LFKHUKHLWXQG'DWHQVFKXW]PLW6$36\VWHPHQ
9
Link: http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe harbor list
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 49

Es empfiehlt sich, die Datenkategorien getrennt nach dem jeweiligen Drittland


und den jeweiligen Empfängern anzugeben.

2.3.7 Maßnahmen zur Gewährleistung der Sicherheit

Das BDSG fordert hier


HLQHDOOJHPHLQH%HVFKUHLEXQJGLHHVHUP|JOLFKWYRUOlXILJ]XEHXUWHLOHQRE

GLH 0D‰QDKPHQ QDFK †  ]XU *HZlKUOHLVWXQJ GHU 6LFKHUKHLW GHU 9HUDUEHL

WXQJDQJHPHVVHQVLQG

Die Beurteilung der Datensicherungsmaßnahmen hängt u.a. davon ab, welche


personenbezogenen Daten im Einzelnen verarbeitet werden. Für das betriebsin-
terne Verfahrensverzeichnis sind in diesem Zusammenhang detaillierte Anga-
ben erforderlich bzw. mit den SAP-Hilfsmitteln (vgl. Kap. 2.4) zu beschaffen.
Im Kapitel 4 widmen wir uns ausführlich den Anforderungen aus § 9 BDSG
nebst Anlage und den Umsetzungsmöglichkeiten im SAP R/3. Insbesondere
Authentifizierung, Benutzeradministration, Berechtigung und Autorisierung
werden hier ausführlich behandelt.

2.3.8 Zugriffsberechtigte Personen

Zugriffsberechtigungen auf Einzelpersonen bzw. Personengruppen werden über


Profile, bzw. Rollen vergeben und administriert. Die Profile, bzw. Rollen sind
mit Transaktionen verknüpft und erlauben bzw. verwehren über Berechti-
gungsobjekte das Lesen oder Ändern von betriebswirtschaftlichen oder techni-
schen Objekten.
Die im R/3-System definierten Profile bzw. Rollen können direkt Personen
oder Gruppen zugeordnet werden. Über die vergebenen Profile bzw. Rollen
können Zugriffsberechtigte kategorisiert werden.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 50

Beispiel aus SAP HR:

Verwaltungssachbearbeiter Arbeitgeberleistungen
Vergütungsmanagement
Organisationsmanagement
Fachvorgesetzter Arbeitgeberleistungen
für Vergütungsmanagement
Organisationsmanagement
Personaladministration
Personalkostenplanung
Beurteilungssystem
Personalentwicklung
Raum Reservierungen
Veranstaltungsmanagement
Sachbearbeiter Leistungslohn
Zeiterfassung
Einsatzplanung
Abrechnung

Hinsichtlich Zugriffsschutz und Berechtigungskonzept wird auf Kapitel 4 und


auf den SAP Prüfleitfaden R/3, Kapitel 2, Sicherheit und Zugriffsschutz, ver-
wiesen.
Die Verwendung des SAP Audit-Informationssystems und des ABAP Dictio-
nary werden im folgenden Kapitel 6\VWHPXQWHUVWW]XQJ gezeigt.

2.3.9 Beispiel Melderegister

Die Aufsichtsbehörden verlangen, die Meldepflicht auf jeden einzelnen Verar-


beitungsvorgang zu beziehen. In folgendem Beispiel für ein Melderegister sind
die Vorschläge des Landeszentrums für Datenschutz Schleswig-Holstein und
der Aufsichtsbehörden als Grundlagen enthalten.10
Wenn man Standardsoftware im Unternehmen einsetzt, sollte man auch auf
diese verweisen, da dort bestimmte Verfahrensbeschreibungen und Abläufe
allgemein zugänglich dokumentiert sind.

10
dto. und Zusammenstellung im GDD-Praktiker-Workshop „Das neue BDSG im Betrieb“ vom 1.3.2001, Re-
gister 4
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 51

gIIHQWOLFKHU7HLO


Name/Firma verantwortliche Stelle


Inhaber, Vorstände, Leiter DV
Anschrift der verantwortlichen Stelle
Zweckbestimmungen der Datener- P\6$3+5 : Personaladministration, Per-
hebung, -verarbeitung oder - sonalabrechnung, Organisationsmana-
nutzung gement, Zeitwirtschaft, Personalbeschaf-
fung, Personalbetreuung (Vergütung, Ar-
beitgeberleistungen, Altersvorsorge), stra-
tegische Personalplanung
P\6$3+HDOWKFDUH: Patientenmanage-

ment, Patientenabrechnung, klinische


Auftragsabwicklung (Partner), medizini-
sche Dokumentation
P\6$3(+ 6: Gesundheitsdienst, Ar-

beitschutz
P\6$3),: Pflege und Service für Kunden

und Lieferanten
P\6$3&50: Marketingplanung und

Kampagnenmanagement, Telemarketing,
Kontaktmanagement, Kundenservice In-
teraction Center, Internet Customer Self-
Service, Servicemanagement, Einsatzpla-
nung,
Betroffene Personengruppen und 3HUVRQHQ: Mitarbeiter, Bewerber, Kun-

diesbezügliche Datenkategorien den, Lieferanten, Versicherungsnehmer,


Patienten
'DWHQ: Mitarbeiter-, Bewerber-, Kunden-,

Lieferantendaten nach Standard mySAP


HR, mySAP FI und mySAP CRM;
Besondere Arten personenbezogener Da-
ten nach § 3 Abs.9 BDSG, zum Beispiel:
Patientendaten nach Standard mySAP
Healthcare;
betriebliche Gesundheits- bzw. Arbeits-
schutzdaten nach Standard SAP EH&S;
Daten zur Gewerkschaftszugehörigkeit,
ethnische Herkunft, Religionszugehörig-
keit, nach Standard mySAP HR
Empfänger oder Kategorien von Vertragspartner, Banken, Bausparkassen,
Empfängern Versicherungen, Finanzamt, Krankenkas-
sen, Versorgungsanstalten, Auftragsda-
tenverarbeiter
Regelfristen für die Löschung der Allgemein: Periodische Löschung nach
Daten Ablauf der gesetzlichen Aufbewahrungs-
fristen
Detailliert:
- unterschiedliche Löschfristen für einzel-
ne Datenarten
- Frist oder Zeitpunkt für die Überprüfung
der Erforderlichkeit der Datenbestände
Geplante Datenübermittlung in Datenkategorien unterteilt nach Drittstaa-
Drittstaaten ten und Empfängern
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 52

1LFKW|IIHQWOLFKHU7HLO

Allgemeine Beschreibung zur Beur- - Vorlage eines gesonderten


teilung der Angemessenheit der Sicherheitskonzepts
Schutzmaßnahmen nach § 9 BDSG - Vorgesehene Protokollauswertungen
- Systemumgebung: Systemsoftware (Be-
triebssystem, DB, Netzwerk), Anwen-
dungssoftware (SAP R/3 bis my-
SAP.com), Sicherungssoftware (Antivirus,
Firewall, Kryptographie, ...)

Technisch-organisatorische Maßnahmen
nach § 9 BDSG

.RQWUROOH 0D‰QDKPHQEHLVSLHOH

Zutritt Gesicherte Gebäude


und Räume
Zugang PC-Sperre, Kennwortre-
geln
Zugriff Rollen, Berechtigungen
Weitergabe Kryptographie, digitale
Signatur
Eingabe Protokollierung, Belege
Auftrag Vertragsregelungen,
Prüfung
Verfügbar- DB-Recovery, Siche-
keit rungskopien außer Haus
Trennung Systemtrennung,
Mandanten

2.4 6\VWHPXQWHUVWW]XQJ

Im R/3-System ist das ABAP Dictionary zur Verwaltung aller im System ver-
wendeter Daten vorgesehen. Das ABAP Dictionary gibt Auskunft über Tabel-
len, Domänen und Felder und kann als Verwendungsnachweis in Reports,
Dynpros oder weiteren Tabellen herangezogen werden.
In diesem Abschnitt wollen wir einen kurzen Einblick in Techniken zur Erstel-
lung einer Übersicht über Daten und Datenkategorien für die Verfahrensbe-
schreibung geben.
Hinweis: Zum besseren Verständnis der benutzten Transaktion lassen sich die-
se wie folgt in die Menüs einblenden:
Menüpfad:
=XVlW]H!(LQVWHOOXQJHQ!7HFKQLVFKH1DPHQDQ]HLJHQ

2.4.1 Auswertungen zur Tabellen- und Feldanalyse

Im Folgenden werden Hinweise gegeben, wie die verantwortliche Stelle dem


DSB mit SAP-technischen Mitteln Übersicht erstellen kann.
Die vorgefertigte Aufzählung aller Tabellen mit personenbezogenen Daten des
R/3-Standards kann nicht vollständig sein, da hier die kundenspezifischen Er-
weiterungen, Modifikationen oder Löschungen nicht berücksichtigt wären.
Mit Hilfe des ABAP Dictionary kann dynamisch eine Tabellenübersicht er-
zeugt werden, die den aktuellen Kundenstand wiedergibt.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 53

Im Einzelfall können Verwendungsnachweise von Domänen oder Datenele-


menten zu abhängigen Reports, Dynpros und Tabellen ermittelt werden.

*UREHUhEHUEOLFN

In einer Tabellenübersicht kann eine Kurzbeschreibung der Infotypen bzw. Ta-


bellen erstellt werden. Beispiele:
PA0* Personalstammdaten
HRP1* Personalplandaten
PA2* Zeitdaten
PB0* Stammdaten Bewerber
PB4* Bewerberdaten
PCL* HR-Clustertabellen
KN* Kundenstamm
LF* Lieferantenstamm
SADR* Adressverwaltung

Menüpfad:
:HUN]HXJH ! $%$3 :RUNEHQFK ! (QWZLFNOXQJ ! 'LFWLRQDU\

(SE11): Objektname PA0* als Datenbanktabelle: Anzeigen oder


Drucken

Mit Hilfe dieser Übersichten können über das ABAP Dictionary gezielt einzel-
ne Tabellen oder Felder bearbeitet werden.
Wir empfehlen, die Berechtigung über den Tabellenzugriff auf die
personalwirtschaftlichen Tabellen nur Sachbearbeitern mit detaillierten HR-
Kenntnissen zu erteilen.


'DWHQGHV3HUVRQDOZLUWVFKDIWVEHUHLFKV +5

Im HR werden die Daten als ,QIRW\SHQ und Infosubtypen verarbeitet. Die


Stammdaten belegen über 300 Tabellen (Infotypen) mit über 10.000 Feldern.
Für die Stammdaten sind die Tabellen PA0000 bis PA0999 reserviert, für die
Zeitdaten die Tabellen PA2000 bis PA2999.
Die HR-Plandaten liegen in den Tabellen HRP1000 bis HRP1999.
Eine ausführlichere Darstellung der einzelnen Tabellen erhält man über das
ABAP Dictionary (SE11 bzw. das Repository Infosystem (SE84).
Das Audit-Informationssystem bietet außerdem verschiedene Funktionen an,
die einen Überblick über die Infotypen geben. ,QIRW\SHQ XQG 6XEW\SHQ (Report
RPDSHOWI) listet die verwendeten Infotypen und Subtypen an.
Menüpfad:
,QIRV\VWHPH ! $XGLW ,QIR 6\VWHP ! 6\VWHP $XGLW ! +XPDQ

5HVRXUFHV $XGLW  'DWHQVFKXW] $XGLW ! 3HUVRQDODGPLQLVWUDWLRQ

!,QIRW\SHQ (SECR)
(Report RPDINF01) bietet zusätzlich
,QIRW\SHQ XQG 6XEW\SHQ PLW '%6WDWLVWLN

noch eine Datenbankstatistik der tatsächlich in der vorliegenden R/3-


Installation verwendeten Info- und Subtypen an. Außerdem dokumentiert ,QIR
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 54

(Report RPLINFC0) die für einen be-


W\ShEHUVLFKW IU HLQHQ 0LWDUEHLWHU

stimmten Mitarbeiter belegten Infotypen.


Menüpfad:
:LHREHQ!3HUVRQDODGPLQLVWUDWLRQ!3HUVRQDOGDWHQ

In der Personalplankomponente werden personenbezogene Daten über Infotyp


1001 mit einer Person verknüpft, wie z.B. Seminare, Qualifikationen, Karriere-
pfade, Vorsorgeuntersuchungen. Die einzelnen Verknüpfungsarten bzw. Sub-
typen sind in Tabelle T778V verzeichnet. Alle Verknüpfungsdaten werden
zentral in der Tabelle HRP1001 abgelegt.
Für einzelne Verknüpfungsarten (vgl. Tabelle T77AR) werden darüber hinaus
noch Zusatzdaten in Tabellen der Form HRPAD* (vgl. Tabelle T77AD) ge-
speichert.
Eine ausführliche Darstellung der einzelnen Tabellen (HRP1001, HRPAD*)
liefert neben dem ABAP Dictionary auch der Report 5+'',&.

%HQXW]HUGDWHQ %HQXW]HUYHUZDOWXQJ 

Welche Tabellen gibt es im SAP R/3, die Benutzerwerte speichern?

Tabellenname: US*
Domäne: XUBNAME Benutzername im Benutzerstamm


%HQXW]HUGDWHQ 6DFKEHDUEHLWHUNHQQ]HLFKHQ 

Domänen:
AENUS Username der letzten Änderung
AS4USER Autor der letzten Änderung
BNAME Benutzername
BUSAB Nummer des Buchhaltungs-Sachbearbeiter
DDUSER Dictionary: Letzter ändernder Benutzer
DWNAM Name des zuständigen Sachbearbeiters
RALDB_NAME Name des Erstellers/Änderers der Variante
SACHA Sachbearbeiter für Abrechnung,
Personal, Zeiterfassung
UNAME Benutzername
UBNAME Benutzernamen
USERNAME Benutzername (SAP-Benutzer)
USNAM Name des Benutzers
XUBNAME Benutzername im Benutzerstamm
XUSER Benutzername

%HQXW]HUGDWHQ 3URWRNROOGDWHQ 

Protokolldaten befinden sich u.a. im Accounting, Systemlog (SM21) und in


den Protokolldateien.
Die Accountingdaten werden über die Abrechnungsnummern im Benutzer-
stamm identifiziert. Die Auswertung des Accounting bzw. der Statistiksätze
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 55

wird in der Transaktion des Workload Monitors durchgeführt.


Menüpfad:
:HUN]HXJH ! $GPLQLVWUDWLRQ ! 0RQLWRU ! 3HUIRUPDQFH !

:RUNORDG!$QDO\VLV (ST03) oder 6WDWLVWLFUHFRUGV (STAT)

In der sequentiellen Systemlogdatei wird der Benutzername festgehalten:


Struktur: RSLGTYPE
Feldname: USER


2.4.2 Techniken zum Auffinden personenbezogener Daten

9DULDQWH%HL3URMHNWHLQIKUXQJ

In der Einführungsphase werden vom Projektteam mit dem Datenschutzbeauf-


tragten und dem Betriebs- bzw. Personalrat die zulässigen personenbezogenen
Daten festgelegt und deren Auswertungen überprüft.
Hierbei werden die entsprechenden Transaktionen, Dynpros und Reports analy-
siert.

Durch Sperren von Transaktionen und Reports sowie durch Dynprovariationen


im Customizing kann die Eingabe der nicht zulässigen personenbezogenen Da-
ten verhindert werden. Das hätte den Vorteil, dass Variante 2 nur noch für zu-
sätzliche Kontrollen benötigt würde.

Über die F1-Hilfe ist es möglich, aus den Dynpros das Dynprofeld zu ermitteln
mit den entsprechenden Namen von Tabelle, Feld, Datenelement und Domäne.
Das ABAP Dictionary ermöglicht mit diesen Informationen, Verwendungs-
nachweise in Programmen, Dynpros und Tabellen der Einzelfelder zu ermit-
teln. Sofern hierbei kein Tabellenname sondern ein Strukturname angezeigt
wird, ist die zugrundeliegenden Datenbanktabelle über den Verwendungs-
nachweis zum angezeigten Datenelement zu bestimmen.

Beispiel Transaktion PA30 mit Bankverbindung:

F1-Hilfe liefert unter technischer Info bei %DQNNRQWR:


Dynprofeld P0009-BANKN
Tabellenname P0009
Datenelement BANKN
Feldname BANKN

Menüpfad:
:HUN]HXJH ! $%$3 :RUNEHQFK ! hEHUVLFKW ! ,QIRV\VWHP!

mit Aus-
$%$3 'LFWLRQDU\ ! *UXQGREMHNWH ! 'DWHQHOHPHQWH

wahl BANKN !+LOIVPLWWHO!9HUZHQGXQJVQDFKZHLV!LQGL


UHNWH9HUZHQGXQJ (SE11)

Verweist z.B. auf Tabellen, Programme oder Dynpros.



Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 56

9DULDQWH,PDNWLYHQ6\VWHP

Tabellen mit Personenbezug sind im SAP-System nicht als solche bezeichnet,


können aber mit dem ABAP Dictionary über Domänen ermittelt werden.
Wichtige Domänen:

AFNAM Name des Anforderers


APLNO Bewerbernummer
APLNR Bewerbernummer
DISPO Disponent
EKGRP Einkäufergruppe
KUNNR Kundennummer
LIFNR Kontonummer des Lieferanten
NAME Name eines Partners
FALNR Fallnummer (im IS-H)
PATNR Patientennummer (im IS-H)
PERSNO Personalnummer
PERNR Bewerber bzw. Angehörige
VKGRP Verkäufergruppe

Folgende Domänen haben ebenfalls Namensbezug:

BDEUNAME Benutzer im DASS


CYFC_NAME Name des Erstellers/Änderers einer Ablaufsteuerung
DOKU_USER Benutzername
EDI_PARNR Partnernummer
GPART Geschäftspartner (Ärzte -> mySAP Healthcare)
HIER_USER Benutzername
I_PARNR Partner (Partnerpflege PM)
J_1BPARID Partneridentifikation (Kunde, Lieferant)
KUNDE Partnernummer (KUNNR, LIFNR,...)
NA_PARNR Partnernummer
QPRUEFER Name des Prüfers
SC_OWNER Benutzername (Terminkalender)
SPARTNR Partnernummer
SO_ADRNAM SAPoffice: Adressname eines Officebenutzers
SO_SADRNAM SAPoffice: abgekürzter Adressname
STAT_USER Statistik, Account
TDUSER TDIC User
UDUSER Autor
XUAUTH Berechtigungsname
XUNAME1 Name des Benutzers (Adresse)
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 57

Um mit Hilfe des Reports RSCRDOMA aus dem Audit-Informationssystem


ein firmenspezifisches Verfahrensregister zu erhalten, sind die oben genannten
personenidentifizierenden Domänen zu überprüfen und ggf. zu ergänzen.

'RNXPHQWDWLRQYRQ'DWHQIHOGHUQ

Im ABAP Dictionary stehen Funktionen zur Verfügung, um bis auf die


Einzelfelder von Tabellen verzweigen zu können:

• Anzeigen bzw. Drucken von Tabellen und Feldern (auch als Tabellenhand-
buch mit 566'2&7% druckbar)
Menüpfad:
:HUN]HXJH ! $%$3 :RUNEHQFK ! hEHUVLFKW ! ,QIRV\VWHP !

$%$3 'LFWLRQDU\ ! )HOGHU ! 6WUXNWXUIHOGHU (SE84) P000*


Drucken

• Verwendungsnachweis von Tabellen, Datenelementen und Domänen


Über das ABAP Dictionary können Informationen zu Tabellen, Strukturen,
Feldnamen, Datenelemente und Domänen, sowie deren Verwendung in Pro-
grammen, Dynpros und Tabellen ermittelt werden.

Menüpfad:
:HUN]HXJH ! $%$3 :RUNEHQFK ! (QWZLFNOXQJ ! 'LFWLRQDU\

mit Auswahl Domänen und Objektname 'PERSNO' für Perso-


nalnummer ! +LOIVPLWWHO !  9HUZHQGXQJVQDFKZHLV ! LQGL
UHNWH9HUZHQGXQJ (SE11): verweist z.B. auf DB-Tabellen, Pro-

gramme oder Dynpros.

2.4.3 Prüfung der Zugriffsberechtigungen

Das %HQXW]HU,QIRV\VWHP bietet eine maschinelle Unterstützung, um die


Zugriffsberechtigungen zu prüfen.
Das Benutzer-Infosystem ist als Reportingbaum über die Transaktion SUIM
aufrufbar .


Menüpfad:
:HUN]HXJH!$GPLQLVWUDWLRQ!%HQXW]HUSIOHJH!,QIRV\VWHP .

• Wer ist im System aktiv?


SM04 bzw. AL08 Benutzerliste
Anzeigen der aktiven Benutzer in einem definierten Mandanten bzw. im ge-
samten System.
• Welche Berechtigungen / Profile/Rollen haben Benutzer?
SUIM Berichtsbaum anzeigen (siehe oben)
 Menüpfad: 
,QIRV\VWHP ! %HQXW]HU -> %HQXW]HU QDFK $GUHVVGDWHQ ! /LVWH
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 58

HU]HXJHQ! * zeigt alle Benutzer an


Alternative Anzeige im AIS:
Menüpfad:
6\VWHP $XGLW ! %HQXW]HUYHUZDOWXQJ ! ,QIRV\VWHP %HQXW]HU

XQG%HUHFKWLJXQJHQ!%HQXW]HU!%HQXW]HUQDFK$GUHVVGDWHQ

* alle Benutzer
!/LVWHHU]HXJHQ!

• Welche Berechtigungswerte hat ein Benutzer?


wie oben, dann Doppelklick auf Name nach Öffnung der angezeigten Map-
pen.
• bQGHUXQJVEHOHJH für Benutzer, Profile und Berechtigungen sind direkt aus
dem SUIM-Berichtsbaum und dem AIS über die Schaltfläche bQGHUXQJV
EHOHJH aufrufbar (Reports RSUSR100, RSUSR101, RSUSR102).

Selektionen können auch über den Schalter %HQXW]HU QDFK NRPSOH[HQ 6HOHNWL
RQVNULWHULHQ für Berechtigungen, Profile und Benutzer erfolgen. Weiter können

über die Schaltfläche %HUHFKWLJXQJVREMHNWHQDFKNRPSOH[HQ6HOHNWLRQVNULWHULHQ


Abfragen zu Objekten und Feldern selektiert werden.

• Welche Tabellen gibt es im SAP R/3, die Benutzerwerte speichern?


SE16 Data Browser
Tabellenname: 865 Anzeige aller Tabellen mit aktuellen Benutzerdaten
Tabellenname: 86+ Anzeige aller Tabellen mit Benutzeränderungs-
belegen
Sowie die Tabellen UST* und USL*.

• Welche Reports (ABAP) gibt es für die Benutzerverwaltung?


 6$ ABAP Reporting
Menüpfad:
Programm RSUSR* (alle
6\VWHP ! 'LHQVWH ! 5HSRUWLQJ !

Programme  zur Benutzerauswertung) ! )6XFKKLOIH ! $XV


IKUHQ ! 3URJUDPPQDPHQ VHOHNWLHUHQ ! $XVZlKOHQ (= Aus-

führen)

Die wichtigsten Reports sind im Menü unter Benutzer-Infosystem und Berech-


tigungen aufgeführt:

Benutzer RSUSR002, RSUSR008, RSUSR009


Profile RSUSR020
Berechtigungsobjekte RSUSR030, RSUSR040
Berechtigungen RSUSR030
Aktivitätsgruppen RSUSR070
Transaktionen RSUSR010
Vergleiche RSUSR050
Verwendungsnachweise RSUSR060
Änderungsbelege RSUSR100, RSUSR101, RSUSR102
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 59

Weitere Reports:

RSUSR000 Aktive Benutzer


RSUSR001 Infosystem Berechtigungen
RSUSR003 In allen Mandanten die Kennwörter der
Standard-Benutzer prüfen
RSUSR004 Einschränkung auf bestimmte Einzelprofile und
Berechtigungsobjekte
RSUSR005 Liste der Benutzer mit kritischen Berechtigungen
RSUSR006 Liste der Benutzerstammsätze, die durch
Falschanmeldung gesperrt sind
RSUSR012 Suche Berechtigungen, Profile und Benutzer mit
bestimmten Werten
RSUSR200 Liste der Benutzer nach Anmeldedatum und
Kennwortänderung
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 60

3 Rechte der Betroffenen und von jedermann

(LQOHLWXQJ

Die Novellierung des BDSG hat bei den Rechten der Betroffenen und bei den
Rechten von jedermann zu einigen wichtigen Änderungen geführt, die zu be-
achten sind.

5HFKWHGHU%HWURIIHQHQ

Grundlage sind hier die Verpflichtung der verantwortlichen Stelle zur Benach-
richtigung der Betroffenen gem. § 33 BDSG und gem. § 6 Abs. 1 die unab-
dingbaren Rechte des Betroffenen auf Auskunft (§§ 19, 34 BDSG) und auf Be-
richtigung, Löschung oder Sperrung (§§ 20, 35 BDSG).
Die Wahrnehmung der Rechte durch einen Betroffenen aus den §§ 20 und 35
BDSG setzt dessen Benachrichtigung und/oder Information über die Angaben
gem. § 4e Satz 1 Nr. 1-8 BDSG oder eine Kenntnisnahme auf Grund anderer
Umstände voraus und erfüllt somit das Transparenzgebot aus dem Urteil des
Bundesverfassungsgerichtes vom 15. 12. 1983 zum Recht auf informationelle
Selbstbestimmung.

5HFKWHYRQMHGHUPDQQ

Eine weitere Umsetzung des Transparenzgebotes findet sich im § 38 Abs. 2


BDSG wieder. Danach kann das von der Aufsichtsbehörde geführte Register
nach § 4e Satz 1 Nr. 1-8 BDSG von jedem (Recht von jedermann) eingesehen
werden.
Das Recht von jedermann von der verantwortlichen Stelle etwas über die ge-
speicherten Daten zu erfahren, findet sich ferner im § 4g Abs. 2 Satz 2 und 3
BDSG wieder. Hier ist der Beauftragte für den Datenschutz zuständig – auf
Antrag – jedermann die Angaben gem. § 4e Satz 1 Nr. 1 – 8 BDSG in geeigne-
ter Weise verfügbar zu machen.
Zusammenfassend ist festzuhalten, dass das Informations- und Transparenzge-
bot von der verantwortlichen Stelle, dem Beauftragten für den Datenschutz und
der Aufsichtsbehörde zu gewährleisten ist.
Allerdings ist der Umfang und die konkrete Umsetzung dieser Rechte zwischen
dem Recht der Betroffenen und jedermann zu differenzieren.
Bei dem Recht der Betroffenen handelt es sich um ein detailliertes Informati-
ons- und Auskunftsrecht, welches die Inhalte jedes einzelnen Datums zu seiner
Person umfasst.
Beim Jedermannrecht ist in der Regel dem Informations- und Auskunftsrecht
genüge getan, wenn die Struktur der Dateien bzw. die Tatsache, das überhaupt
personenbezogene Daten erhoben, verarbeitet und genutzt werden, bekannt ge-
geben werden.
Ausdrücklich hingewiesen sei in diesem Zusammenhang darauf, dass im
BDSG eine vorsätzlich oder fahrlässig nicht erfolgte, nicht richtige oder nicht
vollständige Benachrichtigung des Betroffenen eine Ordnungswidrigkeit dar-
stellt. Diese kann mit einer Geldbuße bis zu DM 50.000,- geahndet werden.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 61

3.1 %HQDFKULFKWLJXQJXQG$XVNXQIW

3.1.1 SAP-Fakten

Es gibt im SAP-Standard keinen Report, der sozusagen auf Knopfdruck alle zu


einer Person gespeicherten Daten für die Auskunftserteilung oder zur Benach-
richtigung eines Betroffenen anzeigt oder ausdruckt.
Diese Aussage trifft auch für einzelne Module zu, in denen ein Betroffener in
seiner Rolle als Arbeitnehmer, als Kunde, Patient, Lieferant, Geschäftspartner
oder ähnliches gespeichert ist. Gleichwohl gibt es in einzelnen Modulen An-
zeige- und Druckmöglichkeiten, mit denen einzelne Aspekte eines Datensatzes
zu einer Person ausgegeben werden können.
Als wichtigstes Hilfsmittel im R/3-System bietet sich das Audit-
Informationssystem (AIS) an (vgl. hierzu Kap. 6.1.1), wobei die Funktionalitä-
ten im Rahmen der Übersichten (Menüpfad: $,6!!6\VWHP$XGLW!+XPDQ
5HVRXUFHV  'DWHQVFKXW]DXGLW  ! 'DWHLUHJLVWHU ]X SHUVRQHQEH]RJHQHQ 'DWHQ)

grundsätzliche Informationen über die verwendeten Tabellen/Domänen mit


Personenbezug liefern.
Für das Modul HR (Personalwirtschaft) steht die Funktion „Infotypübersicht
für einen Mitarbeiter“ zur Verfügung (Menüpfad: $,6 ! ! 6\VWHP $XGLW !
+XPDQ 5HVRXUFHV  'DWHQVFKXW]DXGLW ! 3HUVRQDODGPLQLVWUDWLRQ ! 3HUVRQDO

GDWHQ ), mit der alle für einen Mitarbeiter tatsächlich belegten Infotypen ange-
zeigt werden. Mit der entsprechenden Pflegetransaktion des HR (PA30) kön-
nen im zweiten Schritt die Daten der belegten Infotypen für eine Auskunftser-
teilung ausgedruckt werden.

3.1.2 Anforderungen an die Organisation des Datenschutzes

Da es keine universelle Unterstützung des SAP-Systems gibt, die es dem An-


wender erleichtert, den Anforderungen des BDSG in Bezug auf Auskunft und
Benachrichtigung nachzukommen, muss sich der Anwender einen Arbeitsplan
erstellen, in dem festgehalten wird, wie im konkreten Fall das Auskunftsersu-
chen eines Betroffenen mit den vorhandenen Mitteln befriedigt werden kann.
Ein systematisches Vorgehen bei der Organisation der technischen Umsetzung
von Auskunftsersuchen kann folgende Elemente enthalten:
• Eine rechtliche Prüfung, auf welche Rechtsgrundlage sich das Auskunftser-
suchen oder eine Benachrichtigung eines Betroffenen stützt, ob es sich um
eine auskunftsberechtigte Person handelt, ob eine Benachrichtigung oder
Auskunft ggf. nicht erforderlich ist usw.
• Bestimmung der Rolle, in der der Betroffene zur verantwortlichen Stelle
steht, um dadurch die zu untersuchenden Datenbereiche eingrenzen zu kön-
nen. Eventuell kann man einem Auskunftssuchenden Hilfsmittel anbieten,
um seine Daten “näher zu bezeichnen“, falls das für die Abwicklung der
Auskunftserteilung hilfreich sein sollte.
• Bestimmung der Module, die im Unternehmen in Einsatz sind und in denen
Daten des Betroffenen aufgrund seiner Rolle enthalten sein können.
• Extraktion der Daten aus dem System: Da es für diesen Schritt (mit Aus-
nahme der o.a. geschilderten Funktion für die Personalwirtschaft) keine spe-
ziellen Hilfsmittel gibt, muss man versuchen, ihn mit den vorhandenen
Möglichkeiten zu bewältigen. Mögliche Ansätze sind:
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 62

$%$3'LFWLRQDU\

Ein systematisches Vorgehen über das ABAP Dictionary kann z.B. folgende
Schritte umfassen:

1. Bestimmung der Domänen, die in diesem Fall auf personenidentifizie-


rende Daten verweisen (z.B. PERSNO im HR, PATNR und FALNR im
IS-H, USNAM bei Benutzerdaten) mit der Transaktion SE11.
2. Anschließend sind für alle beteiligten Domänen mittels der Transaktion
SE11 die betroffenen Tabellen nachzuweisen
3. Zu sämtlichen betroffenen Tabellen ist über das ABAP Dictionary (SE11
oder Data Browser SE16) eine Datenanzeige für alle der Auskunft unter-
liegenden Datenfelder aufzurufen. Enthält die Tabelle tatsächlich Daten
über den Betroffenen, dann sind die Daten per Hardcopy, per Download
in ein Textverarbeitungsprogramm oder per Ausdruck auszugeben.
4. Zur Aufbereitung der Auskunft in einer verständlichen Form sind Schlüs-
selfelder im Volltext auszugeben und unverständliche Datenfeldbezeich-
nungen im Klartext neben die technische Feldbezeichnung zu schreiben.
5. Schritt 3. und 4. sind für alle in Frage kommenden Tabellen zu wiederho-
len.

6RQVWLJH0|JOLFKNHLWHQ

Es sind noch weitere Möglichkeiten denkbar, die in Frage kommenden Tabel-


len zu bestimmen, z.B. über die Anwendungshierarchie (SE81) oder das Repo-
sitory Infosystem (SE84).

hEHUGLH$Q]HLJHWUDQVDNWLRQHQXQG$%$33URJUDPPHGHU)DFKPRGXOH

Es müssten alle einer jeweiligen Rolle zugehörigen (Anzeige-) Transaktionen


und Dynpros ermittelt und diese vollständig per Hardcopy dokumentiert wer-
den. Nicht zu beauskunftende Daten (z.B. Name des erfassenden Sachbearbei-
ters) sind aus den Ausdrucken ggf. zu entfernen, wenn die Hardcopies im Ori-
ginal weitergegeben werden sollen. Einschlägige Anzeigetransaktionen können
den bearbeitenden Sachbearbeitern auch im Benutzermenü zur Verfügung ge-
stellt werden. (Zur Einrichtung von Favoriten siehe die R/3 Dokumentation
bzw. Kapitel 6.1.2). Einschlägige Reports können durch die Ergänzung eines
vorhandenen oder die Hinzufügung eines neuen Reportbaumes (mit der Trans-
aktion SERP) dem Endbenutzer zur Verfügung gestellt werden.

hEHU5HSRUWV

Zu einzelnen Themen gibt es Reports oder Transaktionen, die einen Teil der
gespeicherten Daten ausgeben.
Beispiele aus dem HR:
• Personalstammblatt mit dem Report RPPSTM00
• Die Personalakte zeigt alle Stammdaten einer Person an.
Menüpfad:
3HUVRQDO!3HUVRQDOPDQDJHPHQW!$GPLQLVWUDWLRQ!3HUVR

QDOVWDPP!3HUVRQDODNWH PA10 
• Infotypübersicht für einen Mitarbeiter im AIS (siehe 3.1.1) oder mit dem
Report RPDINF01.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 63

Es werden aber nicht die gespeicherten Daten ausgegeben, sondern nur die Da-
tenstruktur, so dass man, je nach Anfrage des Betroffenen, ggf. nacharbeiten
muss.

hEHU4XHULHV

Sind entsprechende Sachgebiete eingerichtet, dann können die geforderten


Auskünfte auch mit ABAP Query erzeugt werden. Voraussetzung dafür ist je-
doch, dass die betroffenen Tabellen und Datenfelder bei der Erstellung ein-
schlägiger Sachgebiete ermittelt wurden.

)D]LW

• Alle aufgezeigten Möglichkeiten sind - außer im Modul HR - recht ar-


beitsaufwendig, so dass es sinnvoll ist, für häufiger auftretende Auskunfts-
ersuchen bzw. Benachrichtigungspflichten spezielle Reports programmie-
ren zu lassen.
• Zur Auskunft nach §34 BDSG gehören auch Zweck der Speicherungen und
Personen oder Stellen, an die die Daten übermittelt werden. Diese Angaben
können u.U. der Übersicht gemäß § 4 BDSG entnommen werden und müs-
sen der Auskunft beigefügt werden. Zuletzt ist der datenschutzgerechte
Versand der erstellten Dokumente zu organisieren.

3.2 %HULFKWLJXQJ/|VFKXQJXQG6SHUUXQJ

3.2.1 Rechtliche Anforderungen

Die verantwortliche Stelle hat gemäß §§ 20 bzw. 35 BDSG personenbezogene


Daten von Betroffenen zu berichtigen, wenn sie unrichtig sind. Ggf. sind Daten
zu löschen; zum Beispiel dann, wenn ihre Speicherung unzulässig ist. In gewis-
sen Fällen tritt an die Stelle einer Löschung die Sperrung der personenbezoge-
nen Daten. Im Zusammenhang mit der Berichtigung, Löschung und Sperrung
von Daten sind im Vorwege gewisse Fragen zu klären:

D  =XP,QKDOWGHU%HULFKWLJXQJ/|VFKXQJRGHU6SHUUXQJ

• Auf welche Daten / Tabellen bezieht sich der Berichtigungs-/Löschungs-


bzw. Sperrungsanspruch?
• Welches Verfahren ist bei Rücksicherungen/Sicherungskopien vorgesehen,
wenn gesperrte Daten betroffen sind?
• Sind die systemtechnischen Voraussetzungen für eine Löschung konform
mit den rechtlichen Anforderungen definiert (z.B. im HR-Modul durch die
geeignete Definition der Zeitbindung der Infotypen in der Tabelle T582A)?


E %HVRQGHUH$UWHQYRQ'DWHQ

• Wie soll/kann mit Protokolldaten verfahren werden?


• Welche Vorgehensweise ist bei Benutzerdaten angebracht?
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 64

• Wie wirksam sind Lösch- bzw. Sperrvermerke bei Daten mit Doppelbezug
(z.B. Infotyp 0021 Familie/Bezugsperson und 0118 Kindergeld)?

F  =XVDPPHQKDQJPLWDQGHUHQ5HFKWHQ 

• Wie wird Auskunft über gesperrte bzw. mit Löschvermerk versehene Daten
gegeben?

3.2.2 SAP-Fakten

Es gibt keine speziellen R/3-Funktionen - etwa Transaktionen oder Reports -,


die die Anforderungen der §§ 20 bzw. 35 BDSG gewährleisten.
Allerdings bietet das R/3-System hinsichtlich der Berichtigung von Daten in
den verschiedenen Anwendungsmodulen die Möglichkeit, mit den Standard-
Pflegetransaktionen unrichtige Daten zu korrigieren, soweit diese noch im On-
linezugriff sind. Im Rahmen der HR-Personalwirtschaft bietet sich hierfür z.B.
die Pflegetransaktion PA30an.
Auch die Löschung von Daten kann mit dieser Pflegetransaktion vorgenommen
werden, wobei darauf zu achten ist, dass eine tatsächliche Löschung erst mit
der physischen Reorganisation der Datenbank erfolgt (eventuell ist der kritisier-
te Dateninhalt noch in Protokollen vorhanden). Die unrichtigen Daten sind au-
ßerdem nach wie vor Bestandteil des Änderungsprotokolls RPUAUD00.
Explizite Funktionen zur Sperrung von Daten einzelner Personen sind im R/3-
System z.Zt. nicht vorhanden. So lassen sich etwa inkriminierte Daten eines
Betroffenen im HR-Modul nicht auf einfache Weise sperren, weil u.a. das ent-
sprechende Berechtigungsobjekt P_ORGIN die Zulässigkeit des Zugriffs ledig-
lich bis auf die Ebene des gesamten Infotyps, nicht aber bezogen auf das einzel-
ne Datenfeld prüft.

3.2.3 Anforderungen an die Organisation des Datenschutzes

Außer zu den unter 3.2.1. genannten Fragen sind Grundsatzfragen des Archi-
vierungskonzeptes einzubeziehen und organisatorische Vorkehrungen ggf. in
folgender Hinsicht zu treffen:

D 2UJDQLVDWLRQGHU6SHUUXQJ

Da eine Sperrung einzelner Daten zur Person als technische Funktion im R/3-
System explizit nicht vorgesehen ist, muss die verantwortliche Stelle ein adä-
quates organisatorisches Verfahren entwickeln. Übergangsweise könnte die
verantwortliche Stelle statt einer Sperrung von Daten ihre datenschutzgerechte
Dokumentation/Archivierung in Kombination mit einer vorübergehenden Lö-
schung vornehmen.

E )RUPGHU/|VFKXQJ 

• Wie erfolgt die Löschung aus dem aktuellen Datenbestand? (manuell?)

• Wie erfolgt die Löschung aus dem archivierten Datenbestand? (manuell?)


Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 65

F  $XIEHZDKUXQJVIULVWHQ (vgl. hierzu Abschnitt 2.3.5)


• Wer ist für die Festlegung der Aufbewahrungsfristen zuständig?
• (Wo) sind die Aufbewahrungsfristen und ihre Rahmenbedingungen im R/3-
System dokumentiert?
• Wie erfolgt die Löschung von Daten nach Ablauf formeller Aufbewahrungs-
fristen?


Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 66

4 Umsetzung der Anforderungen aus § 9


BDSG und Anlage: Technisch-
organisatorische Maßnahmen

4.1 $QIRUGHUXQJHQ

In diesem Abschnitt werden die technisch-organisatorischen Anforderungen an


die Verarbeitung personenbezogener Daten und deren Prüfungen behandelt.
Die Anforderungen sind allgemein, d.h. insbesondere auch bei der Verarbei-
tung außerhalb des Geltungsbereichs nationaler Gesetze, zu erfüllen.
Diese Vorschriften beziehen sich nicht alleine auf Produktivsysteme, sondern
auch auf vorgelagerte Systeme, soweit dort personenbezogene Daten zugreifbar
sind oder dort Einstellungen vorbereitet werden, die später in die Produktions-
umgebung transportiert werden.
Neu ist auf Grund der EU-Richtlinie 95/46/EG die Ausweitung der erforderli-
chen technisch-organisatorischen Maßnahmen auf solche, die einerseits Schutz
gegen die zufällige oder unrechtmäßige Zerstörung und den zufälligen Verlust
der Daten bieten (Ziffer 7: Verfügbarkeitskontrolle) und die andererseits die
Zweckbindung der Verarbeitung gewährleisten (Ziffer 8).

4.1.1 Gesetzliche Anforderungen aus § 9 BDSG

Das Bundesdatenschutzgesetz und, in vergleichbarer Form, die Landesdaten-


schutzgesetze, verlangen von der verantwortlichen Stelle zwingend, dass tech-
nisch-organisatorische Maßnahmen ergriffen werden, um sicherzustellen, dass
die Anforderungen des Datenschutzes gewährleistet werden können. Insbeson-
dere sind Maßnahmen zur Einhaltung der in der Anlage zum BDSG aufgeführ-
ten acht Anforderungen zu treffen.
Für die dort aufgeführten Anforderungen sind im Rahmen des SAP-
Einführungsprojektes aufeinander abgestimmte, geeignete und erforderliche
Maßnahmen auf der technischen und der organisatorischen Ebene zu identifi-
zieren und umzusetzen. Hierzu sind projektbezogen Risikoanalysen vorzuneh-
men sowie Maßnahmen zu implementieren, die sowohl auf der organisatori-
schen als auch auf der technischen Ebene greifen. Die Maßnahmen sollen
unzulässige und zweckwidrige Verarbeitung personenbezogener Daten verhin-
dern und - soweit erforderlich/möglich – auch Missbrauch nachträglich fest-
stellbar machen. Auf die einschlägigen Projektschritte, an die insbesondere im
Rahmen der Vorabkontrolle angeknüpft werden soll, ist im Kapitel 1 hingewie-
sen worden.
Die aufeinander abgestimmte Form der technischen und organisatorischen
Maßnahmen soll verhindern, dass technische Maßnahmen wirkungslos bleiben,
weil entsprechende organisatorische Maßnahmen fehlen. Beispielhaft für einen
solchen Fall kann die fehlende organisatorische Umsetzung der Möglichkeiten
des R/3-Berechtigungskonzeptes sein, die trotz der vielfältigen Schutzmöglich-
keiten keinen solchen bietet, etwa weil viele Anwender mit umfassenden Be-
rechtigungen ausgestattet wurden. Ebenso wirkungslos können vielfach organi-
satorische Maßnahmen sein, denen es an einer technischen Unterstützung fehlt.
Ein Beispiel hierfür ist der vergebliche Versuch der Sicherstellung einer
Zweckbindung, wenn ein Abfluss der personenbezogenen Daten aus R/3 mit-
tels Download nicht technisch unterbunden wird.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 67

4.1.2 SAP-Funktionalität zur Abdeckung der gesetzlichen


Anforderungen

Die nachfolgende Abbildung listet in der linken Spalte die acht Anforderungen
aus der Anlage zu § 9 BDSG auf und stellt in der mittleren Spalte ausgewählte
Ansatzpunkte zur Umsetzung der Anforderungen in R/3-System daneben. Es
folgen in der rechten Spalte Hinweise auf weiterführende Literatur zu diesem
Thema.

=LHOH GHU JHVHW]OLFKHQ $Q $QVDW]SXQNWH DXI 6HLWHQ :HLWHUIKUHQGH+LQZHLVH

IRUGHUXQJHQ  GHV6$356\VWHPV


 


Es ist – laut Anlage zu §9 BDSG


1.) den Unbefugten der Zutritt zu nicht einschlägig und deshalb
Datenverarbeitungsanlagen, mit keine Unterstützung seitens der
denen personenbezogene Daten SAP-Software
verarbeitet oder genutzt werden,
zu verwehren
=XWULWWVNRQWUROOH

2.) zu verhindern, dass Datenver- personenbezogenes Anmeldever-


SAP-Sicherheitsleitfaden R/3
arbeitungssysteme von Unbefug- fahren (problematisch bei mehre-
ten genutzt werden können ren Benutzern an einem Gerät;
dann müssen zusätzliche Hilfsmit-
=XJDQJVNRQWUROOH 
tel (wie Chipkarten und PC-
Sicherheitssysteme sicherstellen,
dass die Anwender ohne Be-
lastung zwischen ihren Anmel-
dungen wechseln können);
Auto-Logoff nach einer vorgege- SAP-Sicherheitsleitfaden R/3
benen Zeit; Bildschirmschoner
mit Kennwortschutz;
SAP-Sicherheitsleitfaden R/3
Single Sign-On Ergänzung und
Anschlussmöglichkeiten für
Chipkarten
3.) zu gewährleisten, dass die zur innerhalb des R/3 mit Hilfe eines
Systemdokumentation Handbuch
Benutzung eines Datenverarbei- angepassten Berechtigungskon-
BC, Leitfaden 'Authorizations
tungssystems Berechtigten aus- zeptes, welches den Anforderun-
Made Easy‘
schließlich auf die ihrer Zugriffs- gen von SAP, des Revisionsleitfa-
http://www.saplabs.com/auth
berechtigung unterliegenden Da- dens und des Datenschutzes ge-
ten zugreifen können, und dass recht wird;
Prüfleitfaden FI
personenbezogene Daten bei der
Verarbeitung, Nutzung und nach außerhalb des R/3 Systems: Ver-
der Speicherung nicht unbefugt schlüsselung im Netz, restriktive
gelesen, kopiert, verändert oder Vergabe von Berechtigungen auf
Sicherheitsleitfaden R/3
entfernt werden können SAP-Dateien und Tabellen auf
der Ebene der Datenbank und des
=XJULIIVNRQWUROOH 
Betriebssystems;
SAP-Hinweis 28777
Download;

Problem des ABAP-Listviewers:


Kopie ganzer Dateien ungeschützt
möglich.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 68

4.) zu JHZlKUOHLVWHQ, dass perso- innerhalb des R/3 mit dem Be- Systemdokumentation, 'Authori-
nenbezogene Daten bei der HOHNW rechtigungskonzept; zations Made Easy‘, Handbuch
URQLVFKHQ hEHUWUDJXQJ oder BC
während ihres Transports oder ih- außerhalb des R/3 Systems: Ver-
rer 6SHLFKHUXQJ DXI 'DWHQWUl schlüsselung im Netz Sicherheitsleitfaden R/3
JHU QLFKW XQEHIXJW JHOHVHQ NR (LAN/WAN) und auf sonstigen
SLHUW , verändert oder HQWIHUQW Datenträgern;
ZHUGHQ N|QQHQ XQG GDVV EHU

SUIW XQG IHVWJHVWHOOW ZHUGHQ zur Downloadfunktion und zum


NDQQ DQ ZHOFKH 6WHOOHQ HLQH XXL-Listviewer siehe Ziffer 3.
hEHUPLWWOXQJ SHUVRQHQEH]RJH Bei Internet-Anbindung: Firewall-
QHU 'DWHQ GXUFK (LQULFKWXQJHQ Konzept und SAP-Router;
]XU 'DWHQEHUWUDJXQJ YRUJHVH Systemdokumentation, Handbuch
KHQLVW Einstellungen der Berechtigun- BC, Sicherheitsleitfaden R/3
gen; der geforderte Nachweis
:HLWHUJDEHNRQWUROOH gem. § 10 Abs.4 BDSG wird ggf. Stichproben über Trace
nicht unterstützt.

5.) zu gewährleisten, dass nach- durchgängig in allen Modulen, Systemdokumentation, Handbuch


träglich überprüft und festgestellt bei allen SAP Objekten und bei BC und Sicherheitsleitfaden
werden kann, RE XQG YRQ ZHP allen Daten mit automatischer Er-
personenbezogene Daten in Da- fassung von Erfasser/Änderer,
tenverarbeitungssysteme eingege- Datum und Uhrzeit realisiert; in
ben, YHUlQGHUW RGHU HQWIHUQW den einzelnen Modulen stehen ne-
worden sind ben den Anzeigetransaktionen
z.T. zusätzliche Reports für die Funktionen zur Anzeige der Än-
(LQJDEHNRQWUROOH Anzeige von Änderungsbelegen derungsbelege in den jeweiligen
zur Verfügung; Fachfunktionen

ggf. Konfiguration der zu schrei- Empfehlungen Sicherheitsleitfa-


benden Änderungsbelege den
keine besondere Unterstützung vgl. Kapitel 5.2.2 und 5.2.6 dieses
6.) zu JHZlKUOHLVWHQ, dass perso-
vorgesehen Leitfadens
nenbezogene Daten, die im Auf-
trag verarbeitet werden, nur ent-
sprechend den Weisungen des
Auftraggebers verarbeitet werden
können

$XIWUDJVNRQWUROOH

  ]X JHZlKUOHLVWHQ GDVV SHU regelmäßige Datensicherung auf Systemdokumentation


VRQHQEH]RJHQH 'DWHQ JHJHQ ]X der Ebene der Datenbank;
IlOOLJH =HUVW|UXQJ RGHU 9HUOXVW

JHVFKW]WVLQG Datensicherungskonzept;
siehe die allgemeinen Empfeh-
9HUIJEDUNHLWVNRQWUROOH  an die Aufgaben angepasste Be- lungen des Sicherheitsleitfadens
rechtigungen; bzgl. Datensicherung

Protokollierung der wichtigsten


Datenänderungen;

angemessene Schulung der An-


wender
  ]X JHZlKUOHLVWHQ GDVV ]X Realisierung über Trennung vgl. R/3-Revisionsleitfaden und
XQWHUVFKLHGOLFKHQ =ZHFNHQ HU Dokumentation
• der Systeme
KREHQH 'DWHQ JHWUHQQW YHUDU
Empfehlungen des Sicherheits-
EHLWHWZHUGHQN|QQHQ • derMandanten
leitfadens
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 69

• innerhalb eines Mandanten leitfadens


durch entsprechende Einrich-
tung des Berechtigungskon-
zeptes, insbesondere hin-
sichtlich der Anzeige und
Auswertung der Daten

4.2 6$3)DNWHQ5LVLNHQXQG0D‰QDKPHQ

4.2.1 Identifizierung und Authentifizierung

4.2.1.1 SAP-Fakten
Bevor ein R/3-Benutzer auf die Informationen und Funktionen im R/3-System
zugreifen kann, muss er sich über das SAP-Logon mittels einer Benutzer-ID
und einem Kennwort anmelden. Durch die Eingabe dieser Daten identifiziert
sich der Anwender gegenüber dem R/3-System und das System kontrolliert, ob
der Benutzer berechtigt ist, mit dem System zu arbeiten. In Bezug auf das
Kennwort gelten hierbei, sofern keine Änderungen in der konkreten Installation
vorgenommen worden sind, die in den Startparametern getroffenen Einstellun-
gen. Diese bei der Installation gesetzten Parameterwerte sind für ein Testsys-
tem vorgesehen und müssen für das Produktivsystem neu eingestellt werden.
Für die Verwaltung der Parameter stehen die Transaktionen RZ10 (Verwaltung
von Instanzenprofilen) und RZ11 (Pflege von Profilparametern) zur Verfü-
gung.
Die für die Benutzeridentifizierung relevanten Parameter werden im folgenden
erläutert. Die ebenfalls angegebenen Empfehlungen beziehen sich auf einen
Grundschutz und Erfahrungswerte. Dabei ist zu beachten, dass die Parameter-
Werte in Abhängigkeit von der Sicherheitspolitik in jedem Unternehmen
durchaus unterschiedlich definiert werden können.
• Mindestlänge des Kennwortes
Der Parameter LOGIN/MIN_PASSWORD_LNG bestimmt die Mindestan-
zahl der Stellen, die das Kennwort besitzen muss.
Empfohlener Parameter-Wert: “6” (Die Mindestlänge beträgt 6 Stellen.)
• Verfallsdauer des Kennwortes
Der Parameter LOGIN/PASSWORD_EXPIRATION_TIME bestimmt das
Intervall für den Kennwortwechsel bei Dialoganmeldung und ITS-Services,
die die Flowlogic verwenden.
Empfohlener Parameter-Wert: “90” oder weniger (Nach maximal 90 Tagen
muss der Benutzer sein Kennwort ändern.)
• Verbotene Kennwörter
Über die genannten Einstellungen hinaus können in der Tabelle USR40
Kennwörter definiert werden, die von der Benutzung ausgeschlossen werden
(zum Beispiel Ausschluss von Trivialkennwörtern oder Tastaturkombinatio-
nen).
• Weitere Anmeldevarianten
Je nach Release gibt es neben der kennwortbasierten Anmeldung weitere
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 70

Anmeldevarianten, wie z.B.:


- Zertifikationsanmeldungen über den Browser und den Webserver
- SAP Anmeldeticket (z.B. bei Nutzung des SAP Workplace/Enterprise
Portals)
- NT-Domainanmeldung (NTLM)
- PAS (Plugable Authentication Services)

• Beenden der SAP-Sitzung


Der Parameter LOGIN/FAILS_TO_SESSION_END steuert, nach wie vie-
len Fehlversuchen der Anmeldung die SAP-Session beendet wird. Das au-
tomatische Beenden der Sitzung wird als ein fehlgeschlagener Anmeldever-
such registriert.
Empfohlener Parameter-Wert: “3” (Nach 3 Fehlversuchen wird die Sitzung
beendet.)
• Mögliche Anmeldeversuche
Der Parameter LOGIN/FAILS_TO_USER_LOCK steuert, nach wie vielen
Anmeldeversuchen der Benutzer gesperrt wird.
Empfohlener Parameter-Wert: “5” (Nach 5 Anmeldeversuchen wird der Be-
nutzer gesperrt.)
• Entsperrung um Mitternacht
Ist der Wert für den Parameter LOGIN/FAILED_USER_AUTO_UNLOCK
auf “1” gesetzt, so werden Benutzer, die aufgrund von Falschanmeldungen
gesperrt wurden, um Mitternacht entsperrt.
Empfohlener Parameter-Wert: “0” (Es erfolgt kein automatisches Entsperren
um Mitternacht.)
• Automatisches Abmelden bei Inaktivität
Der Parameter RDISP/GUI_AUTO_LOGOUT steuert, nach welcher Zeit-
spanne in Sekunden ein automatisches Abmelden erfolgt. Bei der automati-
schen Abmeldung eines Benutzers gehen nicht gespeicherte Daten verloren,
so dass das Risiko des Datenverlustes bei einem “harten” Abmelden besteht.
Empfohlener Parameter-Wert: “0” (Es erfolgt kein automatisches Abmelden
durch das R/3-System. Anstatt der SAP-seitigen automatischen Abmeldung
mit dem Risiko des Datenverlustes sollte ein SAP-fremder Bildschirmschutz
mit Kennwort normalerweise nach 15 Minuten aktiviert werden.)

Wie der Vorgang der Anmeldung am System durch Parameter gesteuert wird,
ist auch die Berechtigungsprüfung bei der Arbeit mit dem R/3-System von der
Einstellung in Profilparametern abhängig. Die nachfolgend aufgeführten emp-
fohlenen Einstellungen beziehen sich wiederum auf einen Grundschutz. Fol-
gende zentrale Parameter sind hier zu nennen:
• Ausschalten von Berechtigungsprüfungen
Durch den Parameter AUTH/NO_CHECK_IN_SOME_CASES können Be-
rechtigungsprüfungen unterdrückt werden. Die von SAP vorgeschlagene
Anzahl von Berechtigungsprüfungen kann mit Hilfe der Transaktion SU24
reduziert werden. Dies setzt voraus, dass der Parameter mit “Y” für das
Ausschalten von Berechtigungsprüfungen eingestellt ist. Bei Verwendung
des Profilgenerators wird der Wert „Y“ gefordert.
Empfohlener Parameter-Wert: “N” bzw. “Y“ bei Verwendung des Profilge-
nerators
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 71

(Berechtigungsprüfungen werden mit „N“ nicht ausgeschaltet. Bei der Ein-


stellung „Y“ sollte zur Wahrung des Zugriffsschutzes regelmäßig überwacht
werden, ob Berechtigungsprüfungen deaktiviert wurden. Hierzu kann die
Tabelle USOBX_C und das Vorgehen gemäß Kapitel 4.2.5.5 verwendet
werden.
• Berechtigungsprüfung bei RFC
Durch den Parameter AUTH/RFC_AUTHORITY_CHECK wird festgelegt,
ob Berechtigungsprüfungen bzgl. Remote Function Call (RFC) gegen das
Berechtigungsobjekt S_RFC erfolgen.
Empfohlener Parameter-Wert: “1” (Die Berechtigungsprüfung für RFC ist
aktiv.)
• Berechtigungsprüfung zu ABAP-Sprachelementen
Durch den Parameter AUTH/SYSTEM_ACCESS_CHECK_OFF können
automatische Berechtigungsprüfungen bei bestimmten ABAP-
Sprachelementen ausgeschaltet werden. Diese Sprachelemente sind z.B. Da-
teioperationen, Aufruf von Kernelfunktionen oder CPIC-Aufrufe.
Empfohlener Parameter-Wert: “0” (Die Berechtigungsprüfung zu ABAP-
Sprachelementen ist aktiv.)

4.2.1.2 Risiken und zu ergreifende Maßnahmen


Um dem Risiko der unzulässigen Zugriffe auf das R/3-System zu begegnen
und die grundsätzlichen Schutzmechanismen der im R/3-System zur Verfü-
gung gestellten Instrumente zum Berechtigungskonzepte zu aktivieren, sind
folgende Maßnahmen geeignet:
• Definition der Soll-Werte für die Profilparameter und der “verbotenen”
Kennwörter auf der Basis eines unternehmensindividuellen Sicherheitskon-
zeptes
• Anpassen der Werte zu den Profilparametern (Transaktionen RZ10,
RZ11)
• Pflege der Tabelle der “verbotenen” Kennwörter (Tabelle USR40)
• Regelmäßige Überwachung der Parametereinstellungen (Report RSPARAM
oder mit Hilfe des Audit Infosystems)
• Regelmäßige Überwachung der Tabelle der “verbotenen Kennwörter”
(Transaktion SE16 (Data Browser) für die Tabelle USR40)
Ergänzend oder alternativ sind - in Abhängigkeit von der gesamten IT-
Architektur, in die ein R/3-System eingebunden ist – weitere und auch externe
Sicherheitsprodukte empfehlenswert. Solche sind z.B. SNC (Secure Network
Communications) oder bei der Verwendung von Web-Frontends sogenannte
X.509 Client Certificates. Für SNC steht auf der Security Homepage (ALIAS
security auf dem Service Marktplatz) die Cryptographic Library zum
Download zur Verfügung.

4.2.2 Standardbenutzer

Es gibt im R/3-System insgesamt vier Standardbenutzer, deren Funktion im


Folgenden vorgestellt werden. Im Rahmen der zu ergreifenden organisato-
risch-technischen Maßnahmen sind diese Standardbenutzer besonders zu
schützen.

4.2.2.1 SAP*
Der Benutzer SAP* ist der von SAP fest codierte Initialuser und somit für die
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 72

Installationsphase mit allen Rechten ausgestattet. Nach erstmaliger Anmeldung


(Initialkennwort vgl. R/3-Sicherheitsleitfaden) im SAP-System muss ein neuer
Benutzer (eindeutige namentliche Zuordnung) mit umfassenden Berechtigun-
gen angelegt werden, der für die weiteren Administrationsaufgaben verantwort-
lich ist.
Auch wenn weiterführende Aktivitäten des Benutzers SAP* nicht erforderlich
sind, darf SAP* nicht gelöscht werden, da ansonsten, sofern keine weiteren
technischen Maßnahmen ergriffen werden, jeder andere Benutzer sich als
SAP* mit dem Standardkennwort anmelden kann. Bei dieser Anmeldung erhält
SAP* dann auch wieder die mit diesem Benutzerstammsatz verbundenen be-
sonderen Systemrechte.
Daher empfiehlt SAP, aus Sicherheitsgründen dem Benutzer SAP* alle Berech-
tigungen zu entziehen bzw. die Berechtigungen auf reine Anzeigefunktionalitä-
ten zurückzusetzen. Weiterhin sollte SAP* der Benutzergruppe "SUPER" zu-
geordnet werden, um zu verhindern, dass dieser User leichtfertig gelöscht wer-
den kann. SAP* kann nämlich physisch nicht gelöscht werden. Wenn jemand
z.B. über die SU01 SAP* löscht, erscheint dieser zwar nicht mehr in der Be-
nutzerliste, existiert aber trotzdem noch weiter im System.
Werden die vorgenannten Maßnahmen nicht ergriffen, kann eine Neuanmel-
dung über folgenden Parameter unterbunden werden:
LOGIN/NO_AUTOMATIC_USER_SAP* mit dem Wert „1“
(automatischer Benutzer SAP* ist deaktiviert)

4.2.2.2 SAPCPIC
Der Benutzer SAPCPIC ist ein eingerichteter Standarduser der SAP. Er kann
nicht zur Anmeldung im Dialog verwendet werden, erlaubt aber den Aufruf ei-
niger Programme und Funktionsbausteine im SAP R/3-System. Er wird nur in-
nerhalb des EarlyWatch-Service benötigt, um Performance-Daten zu sammeln,
externe Hintergrundprogramme zu starten und Werte für das Computer Center
Management System (CCMS) zurückzuliefern.
Als Schutzmaßnahme kann neben der Änderung des Standardkennworts auch
die Sperrung des Benutzers erwogen werden. Bei Durchführung dieser Maß-
nahmen sollte SAP-Hinweis 29276 beachtet werden.
Grundsätzlich sollten CPIC-Benutzer, auch wenn eine Anmeldung im Dialog
nicht möglich ist, über funktionsbezogenen Rollen/Profile verfügen.

4.2.2.3 DDIC
Neben SAP* ist der Benutzer DDIC durch SAP definiert. Der Benutzer DDIC
wird für die Pflege des ABAP-Dictionaries und der Softwarelogistik verwen-
det. Daher sind auch für diesen Benutzer weitreichende Systemrechte hinter-
legt, die über die in Benutzerprofilen definierten Rechte hinausgehen.
DDIC wird im Rahmen der Installation nur in den Mandanten 000 und 001 er-
stellt (Initialkennwort vgl. R/3-Sicherheitsleitfaden). Für andere Mandanten
muss der Benutzer DDIC, sofern erforderlich, angelegt werden.
Da es sich bei DDIC auch um einen Benutzer handelt, der Sonderrechte besitzt
und bei dem eine eindeutige personenbezogene Zuordnung i.d.R. erschwert ist,
unterliegt seine Nutzung auch besonderen Anforderungen hinsichtlich der
Nachvollziehbarkeit der durchgeführten Aktivitäten.
Auch für den Benutzer DDIC ist das Profil SAP_ALL aus Datenschutzsicht
nicht zulässig. Zur Ausübung der erforderlichen Aktivitäten (z.B. Starten und
Stoppen von Tasks im Rahmen des Systemmonitorings) sollten funktionsbezo-
gene Profile/Rollen erstellt werden. Weiterhin sind organisatorische Festlegun-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 73

gen zu treffen, über die eine personenbezogene Nutzung (Eindeutigkeit der


Verantwortung) sichergestellt werden kann.

4.2.2.4 EARLYWATCH
Der User EARLYWATCH ist der Dialogbenutzer für den Earlywatch-Service
im Mandanten 066. Er wird nur für den Performance Monitor benötigt.
Zum Schutz dieses Benutzers vor unberechtigtem Zugriff ist das Initialkenn-
wort zu ändern. Weiterhin sollten auch hier technische und organisatorische
Maßnahmen ergriffen werden, über die sichergestellt ist, dass ausschließlich
Funktionen ausgeführt werden, die für die Nutzung dieses Benutzers vorgese-
hen sind.

4.2.2.5 Risiken und zu ergreifende Maßnahmen


Um grundsätzlich dem Risiko der unzulässigen Zugriffe auf das R/3-System zu
begegnen, sind spezielle technische und organisatorische Maßnahmen zu er-
greifen, über die sichergestellt ist, dass eine unberechtigte Kenntnisnahme,
bzw. versehentliche/absichtliche Manipulation von Daten unterbunden wird.
Dies gilt auch und vor allem in Bezug auf Sonderbenutzer.
Folgende Maßnahmen sollten ergriffen werden:
• Erstellung funktionsbezogener Rollen/Profil für die o.g. Benutzer
• Sperrung von Benutzern, die im Tagesgeschäft nicht benötigt werden, bzw.
nicht aktiv sind
• Setzen der Systemparameter (vgl. z.B. Unterbindung der Anmeldung mit
dem Benutzer SAP*) zur Unterbindung unzulässiger Anmeldungen
• Regelmäßige Überwachung der Aktivitäten der vorgenannten Benutzer
• Festlegung/Erstellung von Verfahrensanweisungen zur Handhabung der
Sonderbenutzer zur Unterstützung der technischen Maßnahmen

4.2.3 Benutzerberechtigungskonzept: ausgewählte Berechtigungsobjekte

Im Folgenden werden wichtige Berechtigungsobjekte aus dem Modul HR und


der Basis behandelt. Die komplette Dokumentation der Berechtigungsobjekte
ist im Profilgenerator (PFCG) durch Doppelklick auf das Berechtigungsobjekt
zu erhalten, in älteren Systemen war sie nur bei den einzelnen Berechtigungs-
objekten in der Transaktion SU03 bzw. über das Audit-Informationssystem
(Transaktion SUIM) verfügbar.

4.2.3.1 Objekt P_ORGIN


Das Berechtigungsobjekt P_ORGIN (HR: Stammdaten) wird im Rahmen der
Berechtigungsprüfung für Personaldaten (Stamm- und Zeitdaten) verwendet.
Eine Prüfung findet grundsätzlich statt, wenn HR-Infotypen bearbeitet werden
sollen. Wesentlich ist hierbei die organisatorische Zuordnung des Mitarbeiter-
stammes, die Sicht auf Daten (Infotypen) und der Berechtigungslevel.
Das Objekt besteht aus folgenden Feldern:
AUTHC Berechtigungslevel
INFTY Infotyp
SUBTY Subtyp
PERSA Personalbereich
PERSG Mitarbeitergruppe
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 74

PERSK Mitarbeiterkreis
VDSK1 Organisationsschlüssel
Bei dem Feld “Berechtigungslevel” ist zu berücksichtigen, dass weitere Objek-
te (bspw. +5%HZHUEHU oder ),5HLVHSODQXQJ) zu Prüfzwecken herangezogen
werden (vgl. bzgl. weiteren Details SAP-Objektdokumentation).
Weiterhin sind hinsichtlich des Berechtigungslevels (vgl. bzgl. weiteren Details
SAP-Objektdokumentation) u.a. folgende Werte von Bedeutung:
R Lesen
W Schreiben
M Matchcode (Empfehlung: Man sollte nie nur W oder nur R vergeben;
sonst erhalten die Anwender keine Suchhilfe (früher Matchcodesuche)
und müssen immer direkt die Personalnummer eingeben.
S gesperrt schreiben, entsperren, sofern der letzte Änderer des Satzes
nicht der aktuelle Benutzer ist.
E gesperrt schreiben
D ändern des Sperrkennzeichens
Zusätzlich zum Berechtigungsobjekt P_ORGIN ist für die Stammdatenpflege
eine Berechtigung für die jeweilige Transaktion, z.B. PA30 (Personalstamm
pflegen), erforderlich.

4.2.3.2 Objekt P_ABAP


Für den Schutz des Zugriffs auf Reports sind in SAP zwei Objekte vorgesehen.
Zum einen das Objekt S_PROGRAM (ABAP:Programmablaufprüfung Ob-
jektklasse BC_C) und zum anderen das Objekt HR:Reporting P_ABAP.
Über das Objekt S_PROGRAM wird zunächst grundsätzlich gesteuert, ob und
auf welche Reports zugegriffen werden kann, sofern der Benutzer eine
Zugriffsberechtigung zu der Berechtigungsgruppe des Reports (siehe unten un-
ter Kapitel 4.2.5.4) besitzt. Über das Objekt P_ABAP wird gesteuert, auf wel-
che Weise die Objekte:
- HR:Stammdaten (P_ORGIN)
- HR:Stammdaten - erweiterte Prüfung – (P_ORGXX)
- strukturelle Berechtigungsprüfung in spezifischen Reports
zur Prüfung der Berechtigungen für HR-Infotypen verwendet werden. Durch
eine entsprechende Aussteuerung der Felder:
- REPID (Reportname)
- COARS (Vereinfachungsgrad der Berechtigungsprüfung)
können v.a. Infotypberechtigungen übersteuert, d.h. aus der Prüfung herausge-
nommen werden.
Hintergrund für die Erstellung dieses Objektes durch die SAP ist eine erhöhte
Verarbeitungsgeschwindigkeit durch die “Ausschaltung” von weiteren Berech-
tigungsprüfungen.
Grundsätzlich ist somit sicherzustellen, dass die Ausprägung dieses Objektes
kritisch hinterfragt wird, um sicherzustellen, dass keine unberechtigte Kennt-
nisnahme personenbezogener Daten über das Reporting erfolgen kann.

4.2.3.3 Objekt P_TCODE


Das Objekt P_TCODE stellt ein anwendungsspezifisches Berechtigungsobjekt
dar, das ein Vorläufer des Berechtigungsobjektes S_TCODE war. Über die
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 75

Ausprägung des Objektes P_TCODE (HR:Transaktionscode) kann der Zugriff


auf verschiedene HR-Transaktionen geschützt werden. Dabei ist zu beachten,
das dieses Objekt nicht bei jeder HR-Transaktion genutzt wird, so das zusätz-
lich das Objekt S_TCODE verwendet werden muss.
Als Anhaltspunkt, welche Transaktionen über die Ausprägung des Objektes
P_TCODE geschützt werden, können die Tabellen USOBT und USOBX ver-
wendet werden. Sie werden mit der Transaktion SE16 und der Angabe
„P_TCODE“ für das Objekt ausgewertet.

4.2.3.4 Objekt S_TCODE


Über das Objekt 6B7&2'( wird beim Aufruf von Transaktionen geprüft, ob
der Benutzer zur Ausführung der angewählten Funktion berechtigt ist. Zu die-
sem Objekt ist das Feld Transaktionscode (TCD) definiert.
Durch eine funktionsbezogene Ausprägung dieses Objektes ist es somit auf ei-
ner ersten Stufe möglich, Zugriffschutzmaßnahmen abzubilden. Sofern eine
differenzierte Ausprägung dieses Objektes nicht vorgenommen wird, werden
im weiteren Verlauf von Berechtigungsprüfungen die modul-, bzw. funktions-
spezifischen Objekte herangezogen.
Eine entsprechende Ausprägung aller miteinander korrespondierenden Objekte
ist demzufolge erforderlich, um sicherzustellen, dass die Anforderungen des
BDSG hinreichend abgedeckt sind.

4.2.3.5 Tabelle TSTCA


In der Tabelle TSTCA sind sämtliche Transaktionen mit zusätzlichen Prüfob-
jekten hinterlegt. Die Tabelle kann mit Hilfe der Transaktion SE16
ausgewertet werden.
Die Pflege der Tabelle unterliegt, da hier mandantenunabhängige Eintragungen
gepflegt werden, den Mechanismen des CTS/CTO (Change Transport Sys-
tem/Change Transport Organizer).
Zu beachten ist, dass eine Umgehung von Zugriffsberechtigungsprüfungen da-
durch erfolgen kann, dass die Berechtigungsprüfung ausgeschaltet wird ( durch
Entfernen des Prüfobjektes) -, in dem die Möglichkeiten der Anwendungsent-
wicklung (ABAP-Programmierung) genutzt werden.

4.2.3.6 Umwandlung von Reports in Transaktionen


SAP bietet die Möglichkeit, auf zwei verschiedene Arten Reports Transaktio-
nen zuzuordnen. Die erste wird automatisch durchgeführt, wenn der Report in
ein Bereichsmenü oder in das Menü einer Rolle eingegliedert wird. Allerdings
besteht zwischen dem Report und dem Transaktionsnamen keine sprechende
Verbindung, da SAP die Transaktionen laufend durchnummeriert (Aufbau
S_XXX_xxxxxxxx). Daher bietet sich die zweite Art an: Reports werden dabei
bei einer eigenerstellten Transaktion hinterlegt und durch den Aufruf dieser
Transaktion gestartet. Bei beiden Methoden ist zu beachten, dass der Benutzer
die Reports auch weiterhin über das “normale” Reporting starten kann, wenn er
Rechte für die Transaktionen wie SA38 oder SE38 besitzt. Das Starten ist
auch indirekt aus SE80 und SE84 und verschiedenen weiteren Transaktionen
möglich.
Aus datenschutzrechtlicher Sicht ist in diesem Zusammenhang
a) eine Konzeption zum Schutz der einzelnen Reports zu erarbeiten (Berech-
tigungskonzept S_PROGRAM, Verwaltungsreport RSCSAUTH) und
b) zu hinterfragen, ob und in wie weit über die dargestellten Möglichkeiten
ggf. Berechtigungsprüfungen unterlaufen werden können.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 76

4.2.3.7 Objekt S_TABU_DIS und S_TABU_CLI


Über das Objekt 6B7$%8B',6 ist der Zugriff auf die Tabellenpflege – mit
Standardtools wie SE16, SM30 u.a. - und über das Objekt 6B7$%8B&/, ist
der Zugriff auf die mandantenübergreifende Tabellenpflege gesteuert. Zusätz-
lich zu einer entsprechenden Ausprägung dieser genannten Objekte sind Trans-
aktionsberechtigungen zur Tabellenpflege (vgl. S_TCODE) erforderlich.
Das Objekt 6B7$%8B',6 besteht aus den Feldern $NWLYLWlW und %HUHFKWL
JXQJVJUXSSH. Über die Ausprägung des Feldes $NWLYLWlW kann die Art des

Zugriffs auf Tabellen (anzeigen oder ändern) gesteuert werden. Das Feld %H
UHFKWLJXQJVJUXSSH dient zur Einschränkung des Zugriffs auf bestimmte Tabel-

len.
Das Objekt 6B7$%8B&/, besteht aus dem Feld .HQQ]HLFKHQ IU PDQGDQWHQ
XQDEKlQJLJH3IOHJH.

Aus datenschutzrechtlicher Sicht ist darauf zu achten, dass zur Vermeidung ei-
nes unzulässigen Zugriffs auf personenbezogene Daten mittels der Tabellenan-
zeige SE16 auf eine restriktive Vergabe des Zugriffs auf Berechtigungsgrup-
pen solcher Tabellen (z.B. den Infotypen in den PA-Tabellen) geachtet wird.
Eine Zuordnung von Tabellen zu Berechtigungsgruppen kann über die
Transaktion SE16 und Angabe der Tabelle V_DDAT abgerufen werden.

4.2.3.8 Objekt S_TOOLS_EX


Über das Objekt S_TOOLS_EX (Objektklasse BC_A) können Berechtigungen
vergeben werden, die zur Anzeige fremder Statistikaufzeichnungen bei der
Nutzung von Monitoring-Tools dienen.
Dabei enthält dieses Objekt ein Feld (AUTH), über das Berechtigungsnamen
vergeben werden können. Durch den Eintrag S_TOOLS_EX_A wird der
Zugriff auf fremde Statistiken möglich.
Um zu verhindern, dass hier eine Leistungs- und Verhaltenskontrolle ermög-
licht wird, sollte dieser Zugriff nur äußerst restriktiv vergeben werden. Auswer-
tungen über Benutzerverhalten sind nur in begründeten und abgestimmten
Ausnahmefällen zulässig.
Die Mitbestimmungsrechte der Arbeitnehmervertretung sind bei der Vergabe
dieser Berechtigung besonders zu beachten.

4.2.3.9 Objekt S_SCD0


Das Berechtigungsobjekt S_SCD0 (Änderungsbelege, Objektklasse BC_Z) er-
möglicht den Zugriff auf Änderungsbelege und Änderungsbelegobjekte. Ände-
rungsbelege werden z.B. bei Stammdaten- und Benutzerstammsatzänderungen
erzeugt.
Änderungsbelege (Stammdaten) gehören zu den nach § 257 HGB aufbewah-
rungspflichtigen Unterlagen (Dauerbelege). Im SAP besteht die Möglichkeit
über die entsprechende Ausprägung des Objektes S_SCD0 (vgl. Benutzerbe-
rechtigungskonzept), Änderungsbelege und -objekte zu pflegen (= verändern)
bzw. zu löschen und somit direkten Einfluss auf die Protokollierung zu neh-
men.
Die Mitbestimmungsrechte der Arbeitnehmervertretung sind bei der Vergabe
der Berechtigung zum Anzeigen der Änderungsbelege besonders zu beachten.

4.2.3.10 Objekte zur Benutzer- und Berechtigungspflege (S_USER_xxx)


Die sechs verschiedenen Berechtigungsobjekte zur Benutzer- und Berechti-
gungspflege (vgl. im Einzelnen unter Kapitel 4.2.6.1) erlauben eine differen-
zierte Gestaltung des Prozesses der Benutzereinrichtung, -pflege usw. sowie
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 77

der Vergabe der gewünschten Berechtigungen an die Benutzer.


Unter datenschutzrechtlichen Gesichtspunkten ist besonders darauf zu achten,
dass deren Ausprägungen sorgfältig vorgenommen werden und ausschließlich
diejenigen Personen Zugriff bekommen, die hierzu autorisiert werden sollen.

4.2.3.11 Objekt S_GUI und XXL-Listviewer


SAP bietet die Möglichkeit, die unterschiedlichsten Auswertungen per Down-
load oder den XXL-Listviewer aus der ”gesicherten SAP-Umgebung” auf den
PC zu übertragen und dort ohne zusätzliche Kontrollen weiterzuverarbeiten.
Grundsätzlich sind alle Daten, die aufgrund der an den Benutzer vergebenen
Berechtigungen am Bildschirm angezeigt werden, auch auf den PC übertragbar.
Die Funktionen des XXL-Listviewers können derzeit nur eingeschränkt über
das Objekt6B2/(B&$// geschützt werden.
Zum Schutz des Downloadfunktionalität sieht SAP das Objekt 6B*8, vor. Zu
diesem Objekt ist derzeit das Feld “Aktivität” definiert. Der einzige mögliche
Wert ist “”. Er berechtigt dazu, alle Listen, die man am Bildschirm anzeigen
kann, als lokale Datei zu sichern. Es lassen sich über einen User-Exit weitere
Berechtigungsprüfungen (z.B. auf gestartete Reports oder Transaktionen) hin-
zufügen (vgl. SAP-Hinweis 28777).

4.2.3.12 Objekt S_SPO_DEV

Über das Objekt S_SPO_DEV können die Berechtigungen zum Drucken auf
namentlich vorgegebenen Druckern vergeben werden. Durch eine generische
Vergabe von Druckernamen kann auf diese Art und Weise z.B. festgelegt wer-
den, dass ein Benutzer des HR-Moduls ausschließlich auf Druckern der Perso-
nalabteilung drucken kann.

4.2.3.13 Risiken und zu ergreifende Maßnahmen


Um dem Risiko eines unberechtigten Zugriffs auf personenbezogen Datenbe-
stände vorzubeugen, ist es erforderlich, über die Ausprägung der vorgenannten
Objekte sicherzustellen, dass lediglich die Daten gelesen, bzw. gepflegt werden
können, die im Aufgabengebiet des entsprechenden Arbeitsplatzes liegen.
Beim Einsatz von HR ist somit über eine entsprechende Ausprägung des Be-
nutzerberechtigungskonzeptes sicherzustellen, dass der Zugriff auf die o.g. Ob-
jekte sowie alle anderen Objekte der Klasse Personalwesen restriktiv und unter
Funktionstrennungsgesichtspunkten erfolgt. Weiterhin sollte der Zugriff auf al-
le Infotypen äußerst restriktiv gehandhabt werden.
Somit ist insbesondere sicherzustellen, dass:
• technische und organisatorische Maßnahmen geschaffen werden, die den
ändernden und löschenden Zugriff auf Änderungsbelege verwehren. Hier
sind v.a. auch Zugriffsmöglichkeiten über Reports, z.B. RSCDOC99 zu
schützen
• der Download von Daten nur in zulässiger Weise erfolgt, d.h. es muss si-
chergestellt sein, dass über eine hinreichende Ausprägung des Berechti-
gungskonzeptes lediglich ein funktionsbezogener Zugriff auf Daten erfolgt 
• Zweckentfremdung der Daten über Download und/oder XXL-Listviewer
und anschließende Verarbeitung zu datenschutzrechtlich nicht zulässigen
Zwecken sowie unter unzulässigen Bedingungen (wie etwa mangelnder
Prüfbarkeit) ausgeschlossen wird
• Tabellenanzeige- und -pflegeberechtigungen über die Ausprägung des Fel-
des Berechtigungsklasse hinreichend eingeschränkt werden
• der Zugriff bzgl. Änderungsmöglichkeiten zu Transaktionen und Program-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 78

men äußerst restriktiv gehandhabt, bzw. durch organisatorische Regeln un-


terbunden wird (inkl. Erstellung einer Organisationsanweisung bzgl. der
Verfahrensdokumentation bei durchzuführenden Pflegemaßnahmen)
• das Löschen von Änderungsbelegen grundsätzlich im Produktivsystem
(Ausnahme Notfalluser) unterbunden wird, bzw. nur durch die vorgesehenen
Archvierungs- bzw. Reorganisationsprogramme durchgeführt wird
• eine restriktive Ausprägung des Feldes Berechtigungslevel im Hinblick auf
den Zugriff auf HR Infotypen erfolgt
• die Ausprägungen der Objekte P_TCODE und S_TCODE sinnvoll aufein-
ander abgestimmt sind
Sollte aufgrund der vorhandenen Personalstärke eine differenzierte, an Funk-
tionstrennungsgesichtspunkten orientierte Ausprägung verschiedener der vor-
genannten Objekte nicht realisierbar sein, empfiehlt es sich, über Organisati-
onsanweisungen die Nutzung von nachgelagerten Kontrollen festzulegen. De-
ren Einhaltung gilt es in regelmäßigen Abständen von einer neutralen Stelle zu
kontrollieren.

4.2.4 Benutzerberechtigungskonzept: ausgewählte Profile

Um die notwendigen Aufgaben in Bezug auf die Systemadministration durch-


führen zu können, sind sog. Systemadministratoren einzurichten. Diese verfü-
gen dabei naturgemäß über weitreichende Berechtigungen. SAP sieht hierzu im
Standard i.d.R. zur Nutzung im Testsystem die nachfolgenden Auslieferungs-
profile vor, die jedoch unbedingt den Anforderungen im Unternehmen entspre-
chend angepasst werden müssen.
In Notfällen, bzw. bei Put- oder Releasewechseln, muss ggf. temporär eine
Vergabe von umfassenden Rechten (Berechtigungen oder Profilen) erfolgen.
Dabei ist zu beachten, dass die Vergabe dieser Rechte durch eine andere Person
erfolgt (4-Augen-Prinzip) und eine Deaktivierung dieser Nutzer bzw. Berechti-
gungen außerhalb der erforderlichen Nutzungszeit gewährleistet ist.

4.2.4.1 Profil SAP_ALL


Mit diesem Profil sind nahezu uneingeschränkte Zugriffe auf das gesamte Sys-
tem (inkl. Anwendungen) möglich. Dies beinhaltet v.a. auch den Zugriff auf
die Werkzeuge der Anwendungsentwicklung. Somit kann bei der Nutzung ver-
schiedener in diesem Profil enthaltenen Berechtigungen die BDSG-konforme
Datenspeicherung und -verarbeitung genauso gefährdet werden wie die Ord-
nungsmäßigkeit der Buchführung.

4.2.4.2 Profil SAP_NEW


Über das Profil SAP_NEW werden Berechtigungen für neue Berechtigungsob-
jekte zu bereits vorhandenen Funktionen zur Verfügung gestellt. Dabei sind die
einzelnen Felder der im Profil SAP_NEW enthaltenen Objekte i.d.R. mit um-
fassenden Werten (*) ausgeprägt. SAP_NEW wird dabei jeweils releasebezo-
gen mit ausgeliefert.
Da die Ausprägung der in SAP_NEW enthaltenen Objekte ggf. in Verbindung
mit dem im Unternehmen implementierten Berechtigungskonzept zu uner-
wünschten Erweiterungen der Berechtigungen führt, sollten dieses Profil in ei-
nem produktiven SAP-System keinem Anwender zugeordnet werden.

4.2.4.3 Profil P_BAS_ALL


Auch für den Bereich HR werden seitens SAP Standardprofile für ein Testsys-
tem ausgeliefert. Über das Profil P_BAS_ALL (Alle Berechtigungen für Perso-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 79

nendaten) ist ein umfassender Zugriff auf personenbezogene Daten möglich.


Darüber hinaus können auch über die Funktionalitäten der allgemeinen Tabel-
lenanzeige Inhalte aus anderen Anwendungen angezeigt werden. Dieses Profil
sollte in Produktivsystemen nicht verwendet werden.

4.2.4.4 Sonstige S_xxx-Profile


Nachfolgend genannte Profile stellen auch lediglich Muster dar. Grundsätzlich
ist es erforderlich, die in diesen Profilen vorliegende Ausprägung der einzelnen
Objekte funktionsbezogen einzuschränken.
6B$6<67(0 Dieses Profil ist für den zentralen Systemverwalter vorge-
sehen. Hierüber werden alle Basis-Berechtigungen verge-
ben (ohne Module). In diesem Profil sind auch die Berech-
tigungen zur Benutzeradministration enthalten.
6B$$'0,1 Dieses für den Systemoperator vorgesehene Profil beinhal-
tet die Berechtigungen zur Anwendungsentwicklung, zur
Administration der Benutzergruppe SUPER und zur Pfle-
ge der Profile der Gruppe S:A.
6B$&86720,= Dieses Profil beinhaltet die Berechtigungen Customizing-
Einstellungen durchzuführen.
6B$'(9(/23 Dieses Profil ist für Anwendungsentwickler vorgesehen
und mit entsprechenden Programmierberechtigungen ver-
sehen.

4.2.4.5 Risiken und zu ergreifende Maßnahmen


Um dem Risiko der unzulässigen Zugriffe auf das R/3-System zu begegnen
und die grundsätzlichen Schutzmechanismen der im R/3-System zur Verfü-
gung gestellten Instrumente zum Berechtigungskonzepte zu aktivieren, sollten
die o.g. Profile grundsätzlich in einem Produktivsystem nicht vergeben werden.
Dies ist v.a. aufgrund folgender Sachverhalte erforderlich:
• Fehlende Prüfbarkeit und Nachvollziehbarkeit durch ggf. die Nutzung der
Replace-Funktion im Debugging oder dem Löschen von Änderungsbelegen
(Bestandteil der Berechtigungen u.a. in SAP_ALL)
• Verletzung der Datenschutzanforderungen durch ein nicht angepasstes
Berechtigungskonzept
• Umgehung des Zugriffschutzes des R/3-Systems mittels der Programmier-
möglichkeiten (insbesondere Umgehung des Authority Check)
• Veränderung des Systemzustandes, z.B.:
− Vergabe von Zugriffsberechtigungen an einen unberechtigten Benutzer
oder für unzulässige Programme
− Einrichtung nicht vereinbarter Dateien, Datenfelder oder Schlüssel
• Vertuschen von Verstößen durch Änderung der Systemparameter, z.B.
durch:
− Verfälschen der Protokolldateien z.B. durch zeitweiliges Ausschalten der
Tabellenprotokollierung. Dies erfordert aber Zugriff auf die Profilpara-
meter, die Tabellenaktivierungsberechtigung oder die Entwicklerberech-
tigung
− Umgehung von Zugriffsberechtigungsprüfung durch Ausschaltung der
Berechtigungsprüfung
Grundsätzlich ist es erforderlich, die von SAP ausgelieferten “Musterprofile”
funktionsbezogen an die Anforderungen des Unternehmens anzupassen um so
einen adäquaten und den unterschiedlichen rechtlichen Anforderungen entspre-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 80

chenden Zugriffschutz zu gewährleisten.


Ausnahme von der dargestellten Auforderung ist die Zulässigkeit der Vergabe
des Profils SAP_ALL an Notfall-User, deren Aktivitäten geeignet zu protokol-
lieren sind, z.B. unter Zuhilfenahme des Security Audit Log (SM19/SM20).

4.2.5 Besonderheiten bei der Berechtigungsprüfung

4.2.5.1 Ausschaltung von Berechtigungsprüfungen


Wie in Kapitel 4.2.1 (Identifizierung und Authentifizierung) dargestellt, kön-
nen Berechtigungsprüfungen transaktionsbezogen, bzw. global im R/3-System
– Transaktionen SU25, SU26 - ausgeschaltet werden (Ausnahme hiervon
sind die Module HR und BC.).

4.2.5.2 Authority Check bei Programmen (eigene und SAP)


Der Zugriffsschutz baut bei R/3-Systemen im wesentlichen auf maschinellen
Kontrollen auf, die in den Programmen hinterlegt sind. Dabei handelt es sich
um das sog. ABAP-Sprachelement “Authority Check”, welches im Coding der
Programme hinterlegt werden kann. Bei Ausführung eines Programms erfolgt
durch diesen Authority Check die Kontrolle, ob die Berechtigungen des aufru-
fenden Benutzers ausreichend sind. Im positiven Fall wird der Zugriff auf die
Informationen zugelassen; im negativen Fall ist das Programm so zu gestalten,
dass der Zugriff ausgeschlossen ist.
Ein zuverlässiger Zugriffsschutz kann nur sichergestellt werden, wenn die
Authority Checks sachgerecht im Coding der Programme hinterlegt sind. Dies
betrifft sowohl R/3-Standardprogramme als auch kundeneigene Reports.

4.2.5.3 Programmschalter HR (Tabelle T77S0)


Wie dargestellt, kommt dem Berechtigungsobjekt P_ORGIN (HR: Stammda-
ten) im Rahmen des Zugriffs auf personenbezogene Informationen eine beson-
dere Bedeutung zu. Ob dieses Berechtigungsobjekt und weitere HR-
Berechtigungsobjekte oder strukturelle Berechtigungen (Schalter PLOGI
AUTH ORGPD) systemseitig verprobt werden, ist von Customizing-
Einstellungen abhängig. Im Releasestand 4.6B erfolgt die Hinterlegung in der
Tabelle T77S0 (Systemtabelle). Dort wird über sog. Semantische Kürzel
festgelegt, ob die Berechtigungsobjekte überhaupt für Berechtigungsprüfungen
aktiv sind. Im Release 4.5 und niedriger werden analoge steuernde Daten in
dem Programm MPPAUTSW (Kunden-Include mit Schaltern zur
Berechtigungsprüfung) geführt.
Eine systematische Überprüfungsmethode für die vergebenen strukturellen Be-
rechtigungen mit dem Benutzer-Infosystem gibt es derzeit nicht. Hier muss die
Prüfung auf der Ebene der Einzelberechtigung des Benutzers erfolgen.

4.2.5.4 Report Berechtigungsgruppen


Der Zugriff auf sensible Reports kann neben der skizzierten Verwendung von
Authority-Checks über Transaktionscode-Zuordnungen oder Berechtigungs-
gruppen geschützt werden. Bei der Transaktionscode-Zuordnung ist sicherzu-
stellen, dass Benutzer Reports ausschließlich über eine eigens zugeordnete
Transaktion aufrufen können. Der allgemeine Aufruf über Transaktionen wie
SA38 (ABAP Reporting) ist in diesem Fall auszuschließen.
Alternativ kann ein Schutz über Berechtigungsgruppen realisiert werden. Dabei
sollte jeder relevante Report einer spezifischen Berechtigungsgruppe zugeord-
net werden. Nicht verwendete Reports sollten einer Berechtigungsgruppe ‚Ge-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 81

sperrt‘, allgemeinzugängliche einer Berechtigungsgruppe ‚Allgemein‘ zuge-


ordnet werden. Die Zuweisung kann über den Report RSCSAUTH vorgenom-
men werden. Korrespondierend sind im Berechtigungskonzept die Berechti-
gungen zu dem Objekt S_PROGRAM (ABAP: Programmablaufprüfungen) zu
definieren.

4.2.5.5 Risiken und zu ergreifende Maßnahmen


Das Ausschalten von Berechtigungsprüfungen ist mit erheblichen Risiken ver-
bunden, da im R/3-Standard vorgesehene Zugriffsschutzmechanismen dadurch
außer Kraft gesetzt werden können. Neben der Kontrolle des Parameters
AUTH/NO_CHECK_IN_SOME_CASES dient folgendes Vorgehen zur
Überwachung:
• Anzeigen der Tabelle USOBX_C (Checktabelle zu Tabelle USOBT_C) mit
Hilfe der Transaktion SE16 (Data Browser)
• Analyse, ob die Tabelle Einträge mit OKFLAG = N enthält. Die Berechti-
gungsprüfung zu entsprechenden Berechtigungsobjekten ist transaktionsbe-
zogen deaktiviert
In Bezug auf die Verwendung von Authority-Checks bilden folgende Maßnah-
men geeignete Ansatzpunkte zur Gewährleistung des Datenschutzes:
• Aufbau einer Entwicklungsrichtlinie bei der Programmierung von kunden-
eigenen ABAPs. In dieser Richtlinie sind z.B. die Verwendung von Authori-
ty-Checks, Berechtigungsgruppen für Reports sowie Test-, Freigabe- und
Dokumentationsanforderungen festzulegen.
• Für R/3-Standardprogramme sollten entsprechende SAP-Hinweise (SAP
Service System) beachtet werden, um bei bekannten Lücken bzw. notwendi-
gen Korrekturen die Authority-Checks in den Programmen ergänzen oder
korrigieren zu können.
In Bezug auf den HR-Programmschalter sind die Einstellungen für die aktiven
HR-Berechtigungsobjekte als Soll-Werte festzulegen. In regelmäßigen Abstän-
den sollten die im R/3-System vorgenommenen Ist-Einstellungen (Tabelle
T77S0 bzw. Programm MPPAUTSW) überwacht werden. Ferner sind Maß-
nahmen zu definieren, welche eine Pflege des Programmschalters durch unbe-
rechtigte Benutzer ausschließen.
Bezüglich der Report-Berechtigungsgruppen sollte im Rahmen des Berechti-
gungskonzeptes definiert werden, mit welchen Maßnahmen Reports vor unzu-
lässigem Zugriff geschützt werden. Werden hierzu Berechtigungsgruppen ver-
wendet, sind die Zuordnungen von Reports zu Berechtigungsgruppen perio-
disch zu überwachen. Insbesondere ist bei Releasewechseln zu beachten, dass
mit neuen R/3-Standardprogrammen auch deren Einstellung in Berechtigungs-
gruppen neu installiert wird.

4.2.6 Benutzeradministration

4.2.6.1 Konzeption der zentralen Benutzeradministration


Der R/3-Benutzer identifiziert sich gegenüber dem System, wie beschrieben,
durch seinen Benutzerstammsatz. In dem Benutzerstammsatz sind die Zugriffs-
rechte des Anwenders hinterlegt. Für diese Hinterlegung, die Pflege der
Zugriffsrechte im Benutzerstammsatz, bietet das R/3-System verschiedene or-
ganisatorische Alternativen, die im Folgenden beschrieben werden.
Bei der zentralen Benutzerpflege ist eine zentrale Stelle für die Pflege aller Be-
nutzerstammsätze zuständig. Die Rollen- oder Profilzuordnung kann zentral
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 82

oder auch dezentral – über das Customizing bis auf Objekt- und Feldebene ein-
stellbar – erfolgen.
Da die Benutzeradministration sowie die Administration der Zugriffsrechte si-
cherheitssensible Aktivitäten darstellen, besteht im R/3-System die Möglich-
keit, ein organisatorisches Mehr-Augen-Prinzip abzubilden.
Dabei spricht SAP die Empfehlung aus, einen Benutzeradministrator, einen
Rollenadministrator und einen Aktivierungsadministrator einzurichten, um
grundsätzlich eine Funktionstrennung zu gewährleisten.
Die Aufgaben des Benutzeradministrators beziehen sich auf die Anlage und
Pflege von Benutzerstammsätzen.
Der Rollenadministrator pflegt die Elemente des Berechtigungskonzeptes. Dies
sind je nach konzeptuellem Vorgehen Rollen, Profile bzw. Berechtigungen.
Der Aktivierungsadministrator ist für die Verwendbarkeit der Elemente des Be-
rechtigungskonzeptes zuständig. Auch hier sind die Aufgaben von dem
konzeptionellen Vorgehen abhängig. Sie bestehen in einer Aktivierung von
Berechtigungen bzw. Profilen, die der Rollenadministrator in der Pflegeversion
erstellt hat. Alternativ bestehen sie in der Durchführung des Benutzerabgleichs.
Dabei werden die Rollen mit den darin hinterlegten Profilen und Berechtigun-
gen den Benutzerstammsätzen zugeordnet.
Um diese Trennung der unterschiedlichen Administrationsaufgaben zu ermög-
lichen, hat SAP in der Objektklasse “Basis-Administration” die folgenden Be-
rechtigungsobjekte definiert:
• Benutzerstammpflege: Benutzergruppen (S_USER_GRP)
• Benutzerstammpflege: Berechtigungen (S_USER_AUT)
• Benutzerstammpflege: Berechtigungsprofil (S_USER_PRO)
• Berechtigungswesen: Prüfung für Rollen (S_USER_AGR)
• Berechtigungswesen: Transaktionen in Rollen (S_USER_TCD)
• Berechtigungswesen: Feldwerte in Rollen (S_USER_VAL)

4.2.6.2 Konzeption der dezentralen Benutzeradministration


Bei dieser Form der Administration können die Pflegeaufgaben auf mehrere
Stellen verteilt werden. Für welche Benutzerstammsätze ein Administrator zu-
ständig ist, kann über die Benutzergruppe gesteuert werden. Über korrespon-
dierende Berechtigungen zu dem Berechtigungsobjekt S_USER_GRP (Benut-
zerstammpflege: Benutzergruppen) besteht die Möglichkeit, die organisatori-
sche Zuständigkeit systemseitig abzubilden.

4.2.6.3 Konventionelle Benutzeradministration mit Profilen


Neben der Unterscheidung einer zentralen von der dezentralen Benutzerpflege
ist in einer weiteren Betrachtungsweise die Art zu differenzieren, wie ein Be-
nutzer seine Zugriffsrechte erhält. Bei der konventionellen Benutzerad-
ministration erfolgt die Zuweisung unmittelbar über Profile (Einzel- oder
Sammelprofile) im Benutzerstammsatz. Pflegt der Benutzeradministrator einen
Benutzerstammsatz, so ist die Änderung für den entsprechenden Anwender
unmittelbar bei seiner nächsten Anmeldung am R/3-System wirksam.

4.2.6.4 Benutzeradministration unter Nutzung des Profilgenerators


Neben Profilen können Zugriffsrechte in Rollen abgelegt werden. Rollen wer-
den im Benutzerstammsatz hinterlegt. Alternativ können umgekehrt auch die
Benutzerstammsätze den Rollen zugeordnet werden.
Im Gegensatz zu der konventionellen Benutzerpflege können zeitabhängige
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 83

Rollenzuordnungen erfasst werden (befristete Vergabe von Berechtigungen).


Der Abgleich kann aus der Benutzerpflege oder der Rollenpflege heraus gestar-
tet werden. Alternativ stehen die Transaktion PFUD (Abgleich Benutzerstamm-
satz) bzw. der Report RHAUTUPD_NEW (Abgleich Benutzerstammsatz) zur
Verfügung.

4.2.6.5 Risiken und zu ergreifende Maßnahmen


In Bezug auf die dargestellte Benutzeradministration liegt das Risiko in Zugrif-
fen auf das R/3-System durch unbefugte Benutzer sowie in unzulässigen bzw.
zu umfangreichen Zugriffsrechten der angelegten Benutzerstammsätze. Diesen
Risiken ist durch organisatorischen Maßnahmen, z.B. Mehr-Augen-Prinzip,
und deren technische Abbildung im R/3-System zu begegnen.
Hierzu stehen die im vorherigen Kapitel 4.2.6.1 dargestellten Berechtigungsob-
jekte zur Verfügung. Über die für die entsprechenden Administratoren notwen-
dige Ausprägung dieser Objekte kann eine im o.g. Sinne verstandene Funkti-
onstrennung abgebildet werden.
Da bei den R/3-Standardprofilen bzw. Standard-Rollen bezüglich des Daten-
schutzes Funktionstrennungsgesichtspunkte häufig unzureichend berücksichtigt
sind (vgl. u.a. S_A.SYSTEM oder SAP_BC_USER_ADMIN_AG), ist es er-
forderlich, unternehmensspezifisch eigene Elemente zu erstellen. Hierbei sind
die o.g. Objekte entsprechend den sich stellenden Anforderungen auszuprägen.
Sollte aufgrund der vorhandenen Personalstärke eine dreistufige Funktionstren-
nung (6-Augenprinzip) nicht realisierbar sein, empfiehlt es sich, zumindest eine
zweistufige Funktionsrennung zu implementieren (Benutzeradministration mit
Rollenzuordnung einerseits und Berechtigungsadministration mit Rollen- und
Aktivierungsadministration andererseits).
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 84

4.2.7 Änderungen am Produktivsystem

Änderungen, die im produktiven System vorgenommen werden, unterliegen zu


Nachweiszwecken der eingesetzten Verfahren Protokollierungsanforderungen.
Diese Anforderung ergibt sich aus § 238 HGB ff.
Zur Sicherstellung der Protokollierung von Änderungen sind verschiedene Sys-
temeinstellungen zu treffen oder grundsätzliche Schutzmechanismen zu akti-
vieren, die unerlaubte Änderungen von vornherein unterbinden.

4.2.7.1 Change and Transport System


Begriffsabgrenzung
CTO
Der Change and Transport Organizer (CTO) stellt Funktionen zur Erzeugung,
Dokumentation und Freigabe von Änderungsaufträgen im Rahmen des Custo-
mizings zur Verfügung.
TMS
Über das TMS wird u.a. die Organisation und der Transport von diesen Aufträ-
gen unterstützt.
Grundsätzlich sieht SAP im Rahmen der Anwendungsentwicklung und des
Customizings vor, dass drei voneinander unabhängige SAP-Systeme - Ent-
wicklungssystem, Qualitätssicherungssystem und Produktivsystem - ge-
nutzt werden sollen.
Daher sollten wegen
- Einhaltung der Sicherheit der Datenbestände
- Schutz vor unberechtigter Kenntnisnahme von personenbezogenen Daten
- Nachvollziehbarkeit der Systemänderung
Berechtigungen zur Anwendungsentwicklung und zum Customizing in einem
produktiven SAP-System nicht vergeben werden. Um für die drei o.g. Systeme
die Transportwege zu konfigurieren, sind Berechtigungen zur Administration
(Objekt S_CTS_ADMIN) erforderlich.
Änderungen sollten zunächst grundsätzlich im Entwicklungssystem erfolgen
und mit Hilfe des TMS in das Qualitätssicherungssystem transportiert wer-
den.
Nach Durchlaufen eines entsprechenden Test-, Abnahme-, und Freigabeverfah-
rens erfolgt wiederum über das TMS die Einstellung in die Produktionsumge-
bung.
Je nach Konfiguration und Datenbestand können vom Datenschutzrecht ge-
schützte personenbezogene Daten in allen Systemen vorkommen.
Über die bei der Nutzung des TMS erstellten Protokolle kann dabei die Nach-
vollziehbarkeit der vorgenommenen Einstellungen sichergestellt werden.
Auf umfangreiche Protokolle über durchgeführte Transporte, vorgenommene
Änderungen etc. kann aus den Transaktionen STMS oder SE03 heraus zuge-
griffen werden.

4.2.7.2 Tabellenprotokollierung / Customizing


Im Rahmen der Einführung von SAP sowie im laufenden Betrieb wird eine
Vielzahl von Tabellen den Anforderungen des Unternehmens entsprechend an-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 85

gepasst.
Da Änderungen an Tabellen in der Regel mit Programmänderungen gleichge-
setzt werden können, sind vorgenommene Änderungen ab Produktivstart zu
protokollieren. Die Tabellenänderungsprotokolle sind entsprechend den gesetz-
lich geforderten Aufbewahrungsfristen (10 Jahre) vorzuhalten.
Im Auslieferungsstandard sieht SAP die Protokollierung von Tabellenänderun-
gen aufgrund der notwendigen Customizing-Maßnahmen nicht vor.
Für das Testsystem ist der Parameter - rec/client - auf OFF gestellt. Diese
Einstellung muss zum Beginn der Customizing-Arbeiten im Entwicklungssys-
tem und nach Produktivstart im Produktivsystem durch Ändern des Standard-
profils (DEFAULT.PFL) dahingehend geändert werden, dass entweder alle
Tabellenänderungen im System protokolliert werden (ALL) oder zumindest
die des Auslieferungsmandanten (000) und des/der Produktivmandanten. Die
Einstellung ON ist nicht zulässig.
Wenn der Parameter UHFFOLHQW eingeschaltet ist, werden Änderungsprotokoll-
sätze für diejenigen Tabellen geschrieben, die bei den technischen Einstellun-
gen das entsprechende Kennzeichen gesetzt haben. Selbsterstellte 7DEHOOHQ
7 ;< RGHU = müssen vom Kunden somit als protokollierungspflichtig ge-

kennzeichnet werden.
Die Pflege des Protokollierungskennzeichens von Tabellen wird mit der Trans-
aktion SE13 durchgeführt.
Customizing-Einstellungen sollten i.d.R. nicht im Produktivsystem vorge-
nommen werden, um ein erforderliches Test-, Abnahme- und Freigabeverfah-
ren nicht zu unterlaufen und sicherzustellen, dass die vorgenommenen Einstel-
lungen anforderungsgerecht vorgenommen wurden.
Zu berücksichtigen ist in diesem Zusammenhang, dass bei der Nutzung des
TMS sicherzustellen ist, dass auch bei Transporten von Customizing-
Änderungen im Zielsystem eine Protokollierung erfolgt. Hierzu ist es erforder-
lich, in der Konfiguration den Parameter RECCLIENT = Parameter für die
Tabellenprotokollierung beim Import zu setzen (dieser Parameter ist von
Rec/client bzgl. der Tabellenprotokollierung im Produktivsystem zu unter-
scheiden).

4.2.7.3 Systemänderbarkeit
Über die Transaktion SE06 kann gesteuert werden, ob Objekte des Repository
und des mandantenunabhängigen Customizings änderbar sind.
Dabei können einzelne Objekte, wie z.B:
- Kundenentwicklungen
- SAP-Basiskomponenten
- Development Workbench
spezifisch geschützt werden. Über eine dieser Transaktion zugeordneten
Schaltfläche lassen sich entsprechende Änderungsprotokolle auswerten.
Über die in dieser Transaktion festgelegten Schutzmechanismen ergeben sich
keine Auswirkungen auf mandantenabhängige Customizing-Änderungen.
Diesbezüglich werden entsprechende Sicherheitsmechanismen über die Man-
dantensteuerung (vgl. Schutz der Tabelle T000) festgelegt.

4.2.7.4 Protokolle
Wenn in SAP Änderungen an Objekten/Tabellen vorgenommen werden, wird –
entsprechende Systemeinstellungen vorausgesetzt – ein Eintrag in einer Ände-
rungsprotokolldatei erzeugt. Dieser ist in dem Datei-/Datenbanksystem des
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 86

SAP-Systems abgelegt. Jede SAP-Installation besitzt ihre eigene Datenbank


und somit ein eigenes Datei-/Datenbanksystem. Ausnahmen gelten für Trans-
portprotokolle, da diese in einem gemeinsamen Transportverzeichnis abgelegt
werden.

4.2.7.5 Schutz der Tabelle T000


Über entsprechende Einstellungen der Tabelle T000 ist es möglich, Änderun-
gen am SAP-System grundsätzlich oder für bestimmte Teilbereiche zu unter-
binden. Um entsprechende Einstellungen anzuzeigen oder zu pflegen dient die
Transaktion SM30.Es können verschiedene Einstellungen bzgl.
- Änderungen für Transporte und mandantenabhängige Objekte
- Änderungen an mandantenübergreifenden Objekten
- Schutz bzgl. Mandantenkopier- und Vergleichstools
getroffen werden.
Grundsätzlich sollten die Einstellungen so gewählt werden, dass Änderungen
im Produktivsystem nicht möglich sind.
Sollte es erforderlich werden, das System hinsichtlich Änderungsmöglichkeiten
zu öffnen, ist sicherzustellen, dass keine unkontrollierten Änderungen vorge-
nommen werden – entsprechende Dokumentationsunterlagen sollten erstellt
werden – und das nach den vorgenommenen Einstellungen der Änderbarkeits-
status wieder zurückgesetzt wird.

4.2.7.6 Risiken und zu ergreifende Maßnahmen


Zur Sicherstellung der ordnungsmäßigen Programmanwendung und zum
Schutz vor unberechtigter Kenntnisnahme oder versehentlicher/absichtlicher
Manipulation von Daten ist sicherzustellen, dass über die getroffenen System-
einstellungen ein hinreichender Systemschutz vor Veränderungen gegeben ist
und erforderliche Änderungsprotokolle erstellt werden. In diesem Zusammen-
hang sollte sichergestellt werden, dass
• eindeutige und verbindliche Regelungen bzgl. der Pflege, der Kontrolle und
der Protokollierung von Tabellen getroffen werden, um sowohl die gesetzli-
chen Anforderungen erfüllen zu können als auch dem Risiko der bewussten
oder unbewussten Manipulation von Datenbeständen vorzubeugen sowie
den Anforderungen, die sich an den Schutz personenbezogener Daten stel-
len, gerecht zu werden
• die entsprechenden Systemparameter hinsichtlich des TMS, der Transaktion
SE06 und der Einstellungen bzgl. der Tabelle T000 getroffen sind
• die erzeugten Protokolle gemäß den gesetzlichen Aufbewahrungsfristen
vorgehalten und, sofern erforderlich, wieder lesbar gemacht werden können
Eine regelmäßige Kontrolle der getroffenen Einstellungen bzw. nachgelagerte
Kontrollen der erzeugten Änderungsbelege ist ebenfalls geboten.

4.2.8 Systemschnittstellen

Für die Kommunikation innerhalb eines R/3-Systems, dem Informationsaus-


tausch zwischen verschiedenen R/3-Systemen oder der Kommunikation zwi-
schen R/3- und Fremdsystemen stellt SAP verschiedene Schnittstellenmetho-
den zur Verfügung.

4.2.8.1 Batch-Input
Bei dem Batch-Input-Verfahren werden Daten in einer sogenannten Batch-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 87

Input-Mappe gespeichert. Die Übernahme der Daten erfolgt durch das Abspie-
len der Batch-Input-Mappe. Sie simuliert die Online-Eingabe von Trans-
aktionscodes und Daten und durchläuft beim Abspielen die entsprechenden Be-
rechtigungs- und Plausibilitätsprüfungen.

4.2.8.2 RFC, ALE, BAPI


Der Remote Function Call (RFC) dient der Kommunikation zwischen verteil-
ten Programmen in einer R/3-Systemlandschaft. Mit Hilfe von RFC können
Funktionsbausteine in einem fremden R/3-System aufgerufen werden und die
Ergebnisse an das aufrufende R/3-System zurückgegeben werden.

Die Technik von RFC bildet auch die Grundlage für weitere R/3-spezifische
Schnittstellenmethoden, wie Application Link Enabling (ALE) und Business
Application Program Interface (BAPI).

4.2.8.3 PC-Download
SAP bietet die Möglichkeit, die unterschiedlichsten Auswertungen per Down-
load aus der ”gesicherten SAP-Umgebung” auf den PC zu übertragen und dort
ohne zusätzliche Kontrollen weiterzuverarbeiten. Dabei bezieht sich der Down-
load z.B. auf jede Art von Listausgaben, die über Menü auf den PC über-tragen
werden kann.
Menüpfad:
6\VWHP!/LVWH!6LFKHUQ!/RNDOH'DWHL

Um dem Risiko der Übertragbarkeit von personenbezogenen Daten und einem


möglichen Missbrauch bei deren Weiterverarbeitung zu begegnen, stehen im
R/3-System verschiedene Berechtigungsobjekte zur Verfügung.

4.2.8.4 ABAP-Listviewer
Über den in vielen Programmen eingebauten ABAP-Listviewer können ange-
zeigte Daten ohne weitere Berechtigungsprüfung oder Protokollierung per
"Kopieren" und "Einfügen" in ein beliebiges anderes Programm übernommen
werden.

4.2.8.5 Risiken und zu ergreifende Maßnahmen


Nach jedem Datenexport in Fremdsysteme können innerhalb der SAP-
Umgebung Zweckbindung, Löschfristen und andere datenschutzrechtliche An-
forderungen nicht mehr gewährleistet werden.

Bei jeder Form der Schnittstellenverarbeitung liegen die Risiken vorrangig in


• der unvollständigen bzw. fehlerhaften Verarbeitung
• der Manipulation während der Datenübertragung bzw. des Programmablaufs
• der unzulässigen Einsichtnahme in personenbezogene Daten
• der unkontrollierten Weitergabe dieser Daten
Diesen Risiken ist durch geeignete Maßnahmen zu begegnen. Als organisatori-
sche Maßnahme sollten grundsätzlich alle Schnittstellendateien und die genutz-
ten Verfahren entsprechend den Anforderungen des BDSG dokumentiert wer-
den (§ 4g BDSG, Stichwort “Überwachung der ordnungsgemäßen Anwen-
dung”, § 4e BDSG, Stichwort “Beschreibung der Daten oder Datenkatego-
rien”).
An technischen Maßnahmen stehen im R/3-System verschiedene interne Kon-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 88

trollstufen zur Verfügung, bei denen eine ordnungsgemäße Einstellung, insbe-


sondere auch in dem Zusammenspiel der Kontrollen, vorzunehmen und regel-
mäßig zu überwachen ist. Als zentrale technische Maßnahmen sind folgende
Aspekte zu nennen:
• In Bezug auf das Batch-Input-Verfahren kann über das Berechtigungskon-
zept festgelegt werden, welche Benutzer Batch-Input-Mappen z.B. erstellen,
abspielen und löschen können. Die Zugriffe werden über Berechtigungen zu
dem Berechtigungsobjekt S_BDC_MONI (Batch-Input Berechtigungen) be-
stimmt.
• In Bezug auf die Remote-Function-Call-Technologie (RFC) sind die Sicher-
heitseinstellungen der RFC-Destinationen (Transaktion SM59 - RFC Desti-
nation) zu beachten. Deren Pflege wird über das Berechtigungsobjekt
S_ADMI_FCD (Systemberechtigungen) gesteuert. Ob bei RFC überhaupt
Berechtigungsprüfungen erfolgen, ist von der Einstellung des Profilparame-
ters auth/rfc_authority_check abhängig. Er kann z.B. mittels des Reports
RSPARAM überwacht werden. Aus Sicherheitsgründen ist die Aktivierung
der Berechtigungsprüfung für RFC unbedingt zu empfehlen. Ist die grund-
sätzliche Aktivierung eingestellt, so greifen die Zugriffsschutzkontrollen
durch das Berechtigungsobjekt S_RFC (Berechtigungsprüfung beim RFC-
Zugriff).
• In Bezug auf Application Link Enabling (ALE) sind das Verteilungsmodell
sowie die ALE-Berechtigungen zu pflegen. Um auf entsprechende Funktio-
nalitäten zugreifen zu können, kann das Menü SALE genutzt werden. Die
darin enthaltenen Transaktionen und Reports sind dann entsprechend zu
schützen.
• In Bezug auf den PC-Download steht für die Kontrolle zum generischen Lis-
ten-Download das Berechtigungsobjekt S_GUI (Berechtigung für GUI-
Aktivitäten) zur Verfügung. In den einzelnen Anwendungen mit personen-
bezogenen Daten ist der Schutz über anwendungsspezifische Berechti-
gungsobjekte zu beachten.
• In Bezug auf den ABAP-Listviewer können in kritischen Programmen die
entsprechenden Funktionsbausteine durch Programmänderung ausgebaut
werden.

4.2.9 Auditing und Logging

Es ist zu beachten, dass die Konfiguration und die Auswertung der nachfolgen-
den Protokolle mit dem Datenschutzbeauftragten abzustimmen ist und die Mit-
bestimmungsrechte der Arbeitnehmervertretungen beachtet werden.

4.2.9.1 Audit-Informationssystem
Das Audit-Informationssystem (AIS) ist als Unterstützung für Wirtschaftsprü-
fer, interne Revisoren, Systemprüfer und Datenschutzbeauftragte von der SAP
entwickelt worden. Über das AIS stellt SAP eine Sammlung von prüfungsrele-
vanten Reports zur Verfügung, die es der vorgenannten Personengruppe – ohne
spezifische Kenntnis der erforderlichen Reports – ermöglicht, umfangreiche
Auswertungen vorzunehmen.
Im Funktionsumfang des AIS wurden die Erkenntnisse und Anforderungen
eingebunden, die sich aus der Arbeit der unterschiedlichen Arbeitskreise (AK-
Revision, AK-Datenschutz) ergeben haben.
Ab dem Release 3.1i ist es möglich, das AIS kostenfrei nachzuinstallieren, und
seit Release 4.6 gehört es standardmäßig zum Lieferumfang. Zum Start des AIS
dient die Transaktion SECR. Über die dargestellte Ordnerstruktur besteht
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 89

Zugriff auf
- kaufmännisches Audit
- System Audit
Teilbereiche des System Audit stellen Checklisten gemäß dem R/3-
Sicherheitsleitfaden und Checklisten gemäß Datenschutzleitfaden dar.
Ab dem Release 4.6c plant die SAP eine Überarbeitung des AIS. Dabei wird
u.a. die Transaktion SECR durch entsprechende Rollen ersetzt.

4.2.9.2 Security Audit Log


Da eingerichtete Notfall-User i.d.R. mit dem Profil SAP_ALL ausgestattet
sind, ist es den rechtlichen Anforderungen entsprechend erforderlich, einen
Nachweis der ausgeführten Aktivitäten zu erbringen.
Um das Security Audit Log zu nutzen, ist eine entsprechende Parametrisierung
vorzunehmen.
Über die Transaktion SM19 kann instanzen-, mandanten-, und benutzerbezo-
gen festgelegt werden, welche Ereignisse protokolliert werden sollen. Auch die
Protokollierung von Downloads kann neuerdings vorgenommen werden. Die
möglichen Einstellungen sind der SAP-Dokumentation zu entnehmen.
Die Transaktion SM20 ermöglicht eine Auswertung der mit Hilfe des Logs er-
zeugten Protokolle.
Damit Protokolle aber überhaupt erzeugt werden, muss zu der o.g. Parametri-
sierung hinaus in den Profilparametern der Eintrag RSAU/ENABLE auf 1 ge-
setzt werden.
Aus Datenschutzsicht ist zu empfehlen, die mit weitgehenden Rechten einge-
richteten Notfallbenutzer namentlich einer Zwangsprotokollierung zu unterzie-
hen und allgemein die Nutzung des Downloads für alle Benutzer zu protokol-
lieren. Sicherheitsverletzende Ereignisse können im CCMS auf der Rechen-
zentrumskonsole als Alerts dargestellt werden.

4.2.9.3 System Log


Das SAP-System R/3 protokolliert weitgehend in Systemprotokollen (Syslog
auf Anwendungsebene) unterschiedliche Fehlersituationen, wie z.B.
- Anmeldeversuche, die zur Sperrung führen
- abgebrochene Verarbeitungen
- sonstige Probleme und Warnmeldungen
Das Syslog ist über die Transaktion SM21 aufrufbar.
Da das Syslog i.d.R. in kurzen Abständen gelöscht wird, ist es, sofern keine
Organisationsanweisungen bzgl. einer regelmäßigen Kontrolle der aufgeführten
Meldungen vorliegen, nur eingeschränkt anwendbar, um auffällige Systemakti-
vitäten bzw. durchgeführte Verstöße gegen unterschiedliche Bestimmungen zu
prüfen.
Wird das Syslog aufgerufen, kann man mit Hilfe der Suchfunktion v.a. über die
Spalte Tcod (Transaktionscode) nach auffälligen Aktivitäten bzw. Fehlern su-
chen. Hier sind aus datenschutzrechtlicher Sicht v.a. Transaktionen aus dem
Bereich 3$ und 3' zu nennen.

4.2.9.4 Transaktionsprotokollierung STAT (CCMS)


SAP bietet die Möglichkeit, alle ablaufenden Aktivitäten transaktions- und be-
nutzerabhängig für die jeweils im Einsatz befindlichen Anwendungsserver über
das &&06 (Computing Center Management System) zu protokollieren. Für
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 90

jeden Benutzer können statistische Daten auf täglicher, wöchentlicher und mo-
natlicher Basis erzeugt werden. (Transaktion STAT mit RSSTAT020 bzw.
STAD mit RSSTAT026)

4.2.9.5 Zur Anzeige der statistischen Daten bzgl. der Benutzer sind die SAP-Objekte
S_TOOLS_EX mit Feld AUTH Wert S_TOOLS_EX_A und S_ADMI_FCD mit
Feld S_ADMI_FCD Wert ST0R erforderlich. Die Nutzung dieser Funktionalität
und deren Vergabe ist aus Datenschutzgesichtspunkten heraus einer kritischen Be-
trachtung zu unterziehen. Monitoring von besonderen Ereignissen (z.B.
Workflow-Aktivitäten)
Weiterhin ist davon auszugehen, dass zukünftig verstärkt die sog. Workflow-
Komponente (als Teil des SAP-Basismoduls) genutzt wird. Diese stellt dabei
Werkzeuge zur automatischen Steuerung und Bearbeitung von anwendungs-
übergreifenden Abläufen bereit. Hierüber wird es möglich, alle Bearbeitungs-
schritte der einzelnen Benutzer automatisch zu protokollieren (z.B. mit SWU9,
SWI2, SWI5) (Zeit der Ausführung, Dauer etc.).
Wird die Workflow-Komponente genutzt, stehen somit Auswertungsmöglich-
keiten bzgl. des Benutzerverhaltens (z.B. Anzahl der bearbeiteten Vorgänge
etc.) zur Verfügung.

4.2.9.6 Report-Protokollierung im HR
Um nachgelagerte Kontrollen bzgl. des Starts von “kritische Reports” zu imp-
lementieren, besteht die Möglichkeit diese in die Tabelle T599R (V_T599R)
einzupflegen. Sofern über die vorgenommenen Einstellungen sichergestellt ist,
dass Protokolle erzeugt werden, kann eine Auswertung mit dem Report
RPUPROTD durchgeführt werden.
Aus Datenschutzsicht empfehlenswert ist mindestens eine Protokollierung der
Nutzung von flexiblen Auswertungen, wie den Reports RPLICO10 und
RPLMIT00, sowie die Nutzung der flexiblen Fehlzeitenauswertungen, die
RPTABSxx Reports.

4.2.9.7 Risiken und zu ergreifende Maßnahmen


Bei den vorgenannten Punkten ist zwischen Auswertungen zu unterscheiden,
die nachgelagerten Kontrollen im Sinne des Internen Kontroll Systems (IKS)
oder aktivitätsbezogene Kontrollen und damit Leistungs- und Verhaltenskon-
trollen ermöglichen.
Wird die Workflow-Komponente, z.T. das System Log oder das CCMS
(STAT) genutzt, stehen somit Auswertungsmöglichkeiten bzgl. des Benutzer-
verhaltens (z.B. Anzahl der bearbeiteten Vorgänge etc.) zur Verfügung. Die
Nutzung dieser Auswertungen kann über das Berechtigungskonzept gezielt
eingeschränkt werden. Diesbezüglich ist eine Prüfung der im jeweiligen Unter-
nehmen ausgeprägten Berechtigungen notwendig. Dazu bietet das AIS einen
Ansatzpunkt.
Die Nutzung des Security Audit Log halten wir zur Nachvollziehbarkeit der
von speziell eingerichteten Notfallusern durchgeführten Aktivitäten zwangsläu-
fig für geboten. Dieses Log stellt eine aktive Komponente eines umfassenden
Sicherheitsmanagements dar. Zu beachten ist in diesem Zusammenhang, dass
über die dargestellten technischen Maßnahmen hinausgehend organisatorische
Rahmenbedingungen geschaffen werden müssen, über die die Verwaltung und
die Zurücksetzung der Kennwörter der Notfalluser sowie die Archivierung und
Kontrolle der erzeugten Protokolle sichergestellt ist.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 91

4.2.10 Komplexe Suchhilfe

In den letzten Releaseständen wurden die Suchhilfen von SAP immer weiter
ausgebaut. In vielen Modulen, wie z.B. dem HR, stellen sie eigene Informati-
onssysteme dar. Die angebotenen Suchhilfen können über Customizingfunktio-
nen eingeschränkt werden. Die Definition der verwendeten Suchhilfen sollte im
Projekt unter Hinzuziehung des DSB und ggf. der Arbeitnehmervertretung er-
folgen.

4.2.11 Zusammenfassung zentraler Risiken

Nachfolgend werden als Übersicht die in der Praxis am häufigsten auftretende


Risiken dargestellt. Diese sind u.a.:
• Fehlende Prüfbarkeit und Nachvollziehbarkeit durch
− mangelnde Dokumentation der kundenspezifischen Anpassungen und
Ausprägung des SAP-Systems (Customizing, Tabellenpflege, Anwen-
dungsentwicklung etc.),
− vergessene Report-Berechtigungsgruppenpflege
− nachlässige Handhabung des Berechtigungskonzeptes
− nicht eingehaltene Empfehlungen (z.B. ausgeschaltetes Tabellenproto-
koll, zugelassene Programmierung im Produktivsystem, etc.)
• Umgehung des Zugriffschutzes des R/3-Systems mittels der Programmier-
möglichkeiten (insbesondere Umgehung des Authority-Checks)
• Umgehung des Zugriffschutzes des R/3-Systems mittels RFC-fähiger Funk-
tionsbausteine, die aus einem ungeschützten R/3-System oder von externen
Programmen heraus aufgerufen werden
• Zweckentfremdung der Daten über Download und/oder XXL-Listviewer
und anschließende Verarbeitung zu datenschutzrechtlich nicht zulässigen
Zwecken sowie unter unzulässigen Bedingungen (wie etwa mangelnder
Prüfbarkeit)
• Verletzung der Datenschutzanforderungen durch ein nicht angepasstes
Berechtigungskonzept
• Verletzung der Datenschutzanforderungen durch zusätzliche Auswertungs-
programme, z.B.:

− nicht vereinbarte Nutzung eines flexiblen Auswertungssystems, ABAP


Reports oder Queries, d.h. Verarbeitung von Daten ohne Rechtsgrundlage
− Ändern/Erweitern des Funktionsumfangs von ursprünglich genehmigten
Programmen / ABAPs/ Queries
− Zugriff der Programmierabteilung auf Echtdaten des Personalwesens
− die Programmierung eigener Auswertungen außerhalb eines datenschutz-
rechtlich genehmigten R/3-Anwendungspakets - über die in Kapitel 4.2
genannten Fakten hinaus - welche auf SAP Daten zugreifen können (z.B.
mittels eines C-Programms oder mit Datenbank-Tools, d.h. also auch un-
ter Umgehung der Empfehlungen des R/3 Sicherheitsleitfadens)
• Veränderung des Systemzustandes, z.B.:
− Vergabe von Zugriffsberechtigungen an einen unberechtigten Benutzer
oder für unzulässige Programme
− Einrichtung nicht vereinbarter Dateien, Datenfelder oder Schlüssel
− Aufbau unkontrollierter Schnittstellen der Personaldatenbanken zu ande-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 92

ren Systemen (z.B. Controlling)


− Unsachgemäße Festlegung des Produktivsystem (z.B. Status „Änderbar“)
• Missbrauch von Datenträgern, z.B.:
− Datenträger mit Personaldaten auf einer anderen SAP-Installation (z.B.
einem Servicerechenzentrum) oder auf anderen PCs auswerten
− Zweckentfremdung von Sicherheitskopien
• Vertuschen von Verstößen durch Änderung der Systemparameter, z.B.
durch:
− Verfälschen der Protokolldateien, z.B. durch zeitweiliges Ausschalten der
Tabellenprotokollierung. Dies erfordert aber Zugriff auf die Profilpara-
meter, die Tabellenaktivierungsberechtigung oder die Entwicklerberech-
tigung
− Umgehung von Zugriffsberechtigungsprüfung durch Ausschaltung der
Berechtigungsprüfung
• Umgehung von Zugriffsberechtigungsprüfung und Protokollie-
rungssystemen durch PC-Download und Auswertung außerhalb funktionie-
render Sicherheitsmechanismen.

4.3 =XVDPPHQIDVVXQJGHU3UIXQJVKDQGOXQJHQ

Neben den oben angesprochenen SAP-Themen sind im Folgenden weiterge-


hende Prüfungen genannt, die allgemeiner die Thematik der Datenschutzanfor-
derungen betreffen. Solche Anforderungen sind in der allgemeinen Literatur
(vgl. hierzu das Literaturverzeichnis im Anhang) nachzulesen.
Die Umsetzung der erforderlichen organisatorisch-technischen Maßnahmen zur
Gewährleistung der Anforderungen des Datenschutzes sowie die Prüfbarkeit
der Installation sind zwingende Zulässigkeitsvoraussetzungen bei der Verarbei-
tung personenbezogener Daten. Die Prüfung, welche organisatorisch-
technischen Maßnahmen jedoch erforderlich sind, muss individuell von jedem
Anwenderbetrieb für jede Verarbeitungsform und jeden Verarbeitungszweck
bei der Planung eines Systems geprüft werden (vgl. hierzu die Ausführungen
im Kapitel 1 dieses Leitfadens).
So vielfältig die nachfolgenden Fragen einer Prüfung auch erscheinen mögen,
es gibt einige Prüfungsfragen, die an dieser Stelle nicht aufgegriffen worden
sind. Hierzu zählt etwa die Prüfung des Prinzips der Datenvermeidung oder ei-
ne Prüfung der Zulässigkeit der Verarbeitung, z.B. der Übermittlung perso-
nenbezogener Daten ins Ausland. Solche Fragen sollten in der Regel im Rah-
men der Vorabkontrolle, also einer einmaligen Prüfung vor Inbetriebnahme ei-
nes betreffenden Systems erfolgen.

Zusammengefasst bedeutet dies: Was im Einzelfall erforderlich oder angemes-


sen ist, damit auch die Frage nach der Zulässigkeit bestimmter Verarbeitungs-
formen, ist in allen nachfolgend genannten Punkten von Fall zu Fall zu prüfen.

In den folgenden Checklisten sind die verschiedenen Prüfungsfelder aus diesem


Kapitel in drei Kategorien unterteilt, nämlich nach
• Anforderungen an die Prüfbarkeit vgl. Kapitel 4.3.1
• gegebenenfalls gesonderten technisch-organisatorischen Anforderungen aus
vorrangigen Rechtsvorschriften z.B. aus Betriebs- oder Dienstvereinbarun-
gen vgl. Kapitel 4.3.2
• Anforderungen der Datenschutzmaßnahmen gemäß § 9 BDSG und der An-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 93

lage vgl. Kapitel 4.3.3


Die Fragen wurden so beschrieben, dass sich der gelegentliche Benutzer am
System die gewünschten Einsichten in das System verschaffen kann. Hierbei
verweist die Darstellung häufiger auf das Audit-Informationssystem und seine
Funktionen. Aus diesem Grund wird empfohlen, sich die Dokumentation des
Systemaudits bei der Vorbereitung der Prüfungen ergänzend zur Hilfe zu neh-
men.

4.3.1 Anforderungen an die Prüfbarkeit

4.3.1.1 Hardware
Ist jeweils aktuell dokumentiert,

q auf welchen Rechnern welche SAP relevanten DV-Verfahren (die Daten von SAP R/3 bekommen oder an
R/3 abgeben, wie z.B. Zeiterfassungssysteme) ablaufen?

q auf welchen Rechnern die SAP R/3 Test-, Qualitätssicherungs- und Produktivsysteme laufen?

Stimmen diese Angaben mit dem SYSTEM>>STATUS und den Tabellen TSYST (Anzeige über SM31,
bzw. SE16) überein? / T000 und T001

q mit welchem Betriebssystem diese Rechner betrieben werden?

Vgl. SYSTEM>>STATUS in den verschiedenen Systemen.

q um welche Rechnersysteme es sich handelt (ob etwa Windows-, UNIX-, MVS-, AS/400-Rechner als Ser-
ver verwendet werden, welche Client-Rechner in Betrieb sind)?

q welche Netzwerkkomponenten (z.B. Router) eingesetzt werden?

q wer für die Aufrechterhaltung des Rechnerbetriebs zuständig ist?

Liegt eine aktuelle Netzübersicht in graphischer und/oder schriftlicher Form vor?

Liegt dafür eine aktuelle Konfigurationsübersicht und/oder eine Netzbeschreibung vor?


Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 94

4.3.1.2 Betriebssystem und systemnahe Software


Ist dokumentiert,

q Welche Betriebssysteme (mit Angabe der Versionsnummer) eingesetzt werden? Vgl. mit ".ys" im OK-
Code oder SYSTEM>>STATUS in den verschiedenen Systemen

q welche Datenbanksysteme oder Datenverwaltungssysteme (Angabe des Release-Standes) genutzt werden?


Vgl. mit SYSTEM>>STATUS in den verschiedenen Systemen.

q welches Netzwerkbetriebssystem gefahren wird?

q welche Netzwerkdienste in der Server-Domain aktiv sind und welche deaktiviert wurden?

q welche Router und Firewall-Systeme die SAP-Server Domain und das SAP-Netz von anderen Netzen
(insbesondere externen Netzen) abschotten?

Wird Netzwerkverschlüsselung eingesetzt und auf welchen Strecken? Wenn ja,

q zwischen Applikationsservern

q zwischen Applikationsservern und Clients

q zwischen Applikationsservern und Druckern

q welche Wartungszugänge, insbesondere für Fernwartung (Hard- oder Softwarewartung) vorgesehen sind?

Welche Zugriffrechte sind (für wen) auf der R/3-Datenbank eingerichtet?

Ist eine Datenbank-Query-Sprache auf der R/3-Datenbank im Einsatz?

Wenn ja, gefährden die Zwecke die Integrität und die Prüfbarkeit des R/3-Systems?

Wird diese Query-Sprache uneingeschränkt genutzt (z.B. auch für die Veränderung der Datenbasis)?

Hat jemand außer den Systemverwaltern Zugriff auf die SAP-Tabellen und die R/3-Datenbank von der Be-
triebssystemebene aus?

Prüfe die vergebenen Zugriffsrechte auf SAP-Objekte auf der Ebene der Betriebssysteme und des Netzwerkes
der betroffenen Server.

4.3.1.3 Programmiertechnik
Existieren verbindliche Programmrichtlinien?

Ist festgelegt,

1. welche Programmiersprachen außerhalb SAP verwendet werden und deren Programme auf SAP zugrei-
fen dürfen (z.B. SQL, JAVA...)?

2. welche Programmgeneratoren oder sonstige Software-Engineering-Werkzeuge im R/3 eingesetzt werden


(ABAP Query, Report Painter, etc.)?

In welchen Systemen/Mandanten darf/kann programmiert werden?

1. Überprüfe die Einstellungen der Mandanten zur Änderbarkeit und Aufzeichnungspflichtigkeit in den
Tabellen T000 der in Frage kommenden Systeme

2. Prüfe die vergebenen Berechtigungen für das Objekt S_DEVELOP Aktivität 01 (anlegen) und 02 (än-
dern) sowie PROG

In welchen Systemen/Mandanten dürfen/können Customizing-Einstellungen geändert werden?

1. Überprüfe die Einstellungen der Mandanten in den Tabellen T000 der in Frage kommenden Systeme.

2. Prüfe die vergebenen Berechtigungen für das Objekt S_TABU_DIS Aktivität 02; S_TABU_CLI „X“.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 95

Ist das Verfahren für die Änderung der Produktionsprogramme schriftlich festgelegt?

Wer hat welche Berechtigungen im Change and Transporting System (CTS) ? Analysiere die vergebenen Be-
rechtigungen zum Berechtigungsobjekt S_TRANSPRT mit dem Berechtigungsinformationssystem SUIM Be-
nutzer nach Berechtigungswert.

Gibt es Customizing-Aufträge und Programme ohne ausreichende Dokumentation und Bezeichnung?

Wird bei allen wesentlichen Änderungen und bei Releasewechsel auf die Vollständigkeit der Dokumentation
und die Revisionsfähigkeit geachtet?

Analysiere insbesondere mit dem CTS Informationssystem (Transaktion SE03) die transportierten eigenen
Objekte auf eine ausreichende und verständliche Dokumentation.

Werden geschützte personenbezogene Daten aus dem produktiven SAP-System in ein Open Information Wa-
rehouse zur allgemeinen Auswertung übertragen?

3URJUDPPWHVWXQG7HVWYRQ&XVWRPL]LQJ(LQVWHOOXQJHQ

Werden Testläufe mit eigens dafür erstellten Testdaten oder mit echten Daten durchgeführt?

Analysiere die Daten stichprobenartig (z.B. durch Aufruf der entsprechenden Stamm- und Bewegungsdaten in
den betroffenen Modulen) im Qualitätssicherungsmandanten im Konsolidierungssystem.

Ist sichergestellt, dass ein Testlauf mit echten Daten grundsätzlich nur in folgenden Fällen durchgeführt wird:

• im Rahmen der Zwecke und mit den Berechtigungen, die die Tester auch im echten System haben?
Analysiere die Berechtigungen im Testsystem mit SUIM.

• im Rahmen des 4-Augenprinzips, sofern über die Rolle der Testenden (Programmierer, Qualitätssicherer,
Fachabteilung) hinaus weitergehende Rechte auf die Daten vergeben werden (z.B. alle Rechte für den
Personalchef)?

• unter der Beteiligung der Fachabteilung, die Eigner der Daten ist?

Ist eine sichere Vernichtung des nicht anonymisierten Testmaterials mit Ausnahme der zu dokumentierenden
Testdaten gewährleistet?

Werden Testhilfen (etwa die SAP-eigenen Computer-Aided Test-Tools (CATT)) eingesetzt und von wem?

Analysiere die Benutzerstammsätze mit dem Berechtigungsinformationssystem SUIM

Ist festgelegt,

q welche Daten für den Programmtest und welche für den Abschlusstest in den der Produktion vorgelager-
ten Systemen und Mandanten verwendet werden dürfen? Prüfe die SOLL-Vorgaben (eines notwendigen
Testkonzeptes) auf Übereinstimmung mit den durchgeführten Transporten ins Konsolidierungs- oder Test-
system und deren Mandanten (Transaktion SE03 oder mit der AIS-Funktion Report RSWB0040).

q wer geeignete Testdaten zur Verfügung stellt?

q welche Anonymisierungsverfahren verwendet werden?

q ob anonymisierte Testdaten verwendet werden müssen?

q welche Stelle für die Formulierung des Programmier- und Änderungsauftrages zuständig ist?

Wird beim Programmtest und für die Programmpflege Fremdpersonal eingesetzt?


Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 96

Gibt es spezielle Vorgaben einzuhaltender Sicherheitsmaßnahmen (etwa zum Schutz der Dokumentation vor
Überschreiben bei Mandantenkopien)?

Untersuche insbesondere die Belieferungs- und Transportwege und die vergebenen Berechtigungen in den zu
Tests verwendeten Mandanten.

3URJUDPPGRNXPHQWDWLRQ

Wird die maschinell unterstützte Dokumentation bei der Entwicklung eigener Objekte genutzt?

Inspiziere mit der Transaktion SA38 (SPRINGE>>DOKUMENTATION) oder mit SE38 die Z- und Y-
Reports sowie mit der SE11 die Tabellendokumentation der Z- und Y-Tabellen.

Beschreibt die Dokumentation,

• welches Programm welche anderen Programme aufruft

• welche Tabellen verarbeitet werden

• welche Berechtigungsprüfungen vorgesehen sind

• welche zulässigen Eingabewerte es gibt

• aus welchen weiteren Komponenten das Objekt besteht?

Ist sichergestellt, dass durch restriktive Vergabe der Berechtigungen (Objekt S_TRANSPRT) und durch ent-
sprechende Einstellungen der Systeme und Mandanten alle Programmänderungen und Änderungen an
programmsteuernden Tabellen aufgezeichnet werden?

Ist durch entsprechende Rechtevergabe sichergestellt, dass die Dokumentation geschützt ist?

Welche Personen haben Entwicklerrechte (etwa S_CTS_DEVELO), wer Verwalterrechte (etwa das Profil
S_CTS_ALL) und wer Projektleiterrechte (z.B. das Profil S_CTS_PROJEC) bzw. vergleichbare Rechte? Un-
tersuche das Berechtigungsobjekt S_TRANSPRT mit SUIM.

Oder kann ggf. jede/r auf Grund von Generalberechtigungen (etwa SAP_ALL) alle Transporte freigeben und
durchführen?

Werden die Dateien des CTS auf Betriebssystemebene ausreichend geschützt?

Prüfe die Zugriffsberechtigungen zu den SAP-Transportdateien im Verzeichnis \usr\sap\trans auf Betriebssys-


temebene.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 97

Ist für jedes Programm eine Programmdokumentation erstellt worden, die zumindest folgende Teile enthalten
sollte?

• Anwendungsbereiche des Programms

• Programmgliederung und -beschreibung

• Prozessbeschreibungen (soweit erforderlich)

• Datenflussplan

• Beschreibung der Prüftabellen, bzw. des View-Aufbaus

• Beschreibung der Integrationsbeziehungen

• Dynpros, verwendete Formulare

• Programmliste der neuesten Fassung

• Protokoll des Abschlusstests und Unterzeichnung des Abnahmeprotokolls

• verwendete Testdaten

• Bedienungsanleitung für die Arbeitsvorbereitung und -nachbehandlung

Rufe dazu die Onlinedokumentation (SE38 ANZEIGE Dokumentation) auf, bzw. untersuche die Programm-
akten der selbstentwickelten Programme.

Gibt es ein Bedienungshandbuch, das alle für die Benutzung des angepassten R/3-Systems notwendigen
Hinweise enthält und die Bedeutung der geforderten Eingabedaten ausreichend erklärt?

Prüfe die Benutzer-, bzw. Anwender- und Schulungshandbücher.

Sind die Systeme (Tabelle TSYST) und Mandanten (Tabelle T000) und die Belieferungswege (Tabellen
TASYS), Konsolidierungswege (Tabelle TWSYS) sowie Transportschichten (Tabelle DEVL) ausreichend
dokumentiert und ist deren Einhaltung durch Systemeinstellungen (z.B. Systemänderbarkeit in T000)
gewährleistet?

Sind die RFC-Schnittstellen ausreichend dokumentiert und gesichert?

• Welche Berechtigungen sind für das Objekt S_RFC vergeben, und welche Benutzer haben diese Berech-
tigungen?

• Ist der Profilparameter auth/rfc_authority_check gleich 1 oder 2, sowie die Profilparamenter


snc/accept_insecure_r3int_rfc (Wert sollte ungleich 1 sein) und Profilparamenter snc/accept_insecure_rfc
(Wert sollte gleich 0 sein)? Prüfe mit dem Report RSPARAM.

• Analysiere das RFC-Protokoll mit Transaktion SM58 auf undokumentierte RFC-Aufrufe

Sind die ALE-Schnittstellen ausreichend dokumentiert und gesichert?

• Welche Berechtigungen sind für die Objekte S_ALE_* vergeben, und welche Benutzer haben diese Be-
rechtigungen?

• Sind alle ALE-Benutzer als CPIC-Benutzer deklariert?

Sind die Batch-Input-Schnittstellen ausreichend dokumentiert und gesichert?

Welche Batch-Input Benutzer sind für welche Aufgaben angelegt? Untersuche die Benutzerstämme mit
SUIM auf unbekannte Batch-Input Benutzer
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 98

)UHLJDEHYHUIDKUHQ

Ist zur Freigabe von neuen oder geänderten Funktionen zur Verarbeitung geschützter personenbezogener Da-
ten ein organisatorisches Verfahren entwickelt und durch entsprechende Zugriffsrechte im CTS abgesichert
worden? Sind die Belange der Datensicherung und des Datenschutzes dabei ausreichend berücksichtigt wor-
den? Prüfe, ob organisatorische Regelungen durch die entsprechende Vergabe der Berechtigungen zum Ob-
jekt S_TRANSPRT umgesetzt wurden.

Ist dokumentiert,

• wer für die datenschutzrechtliche Programmfreigabe, und hier insbesondere für die Prüfung der Rechts-
grundlagen, die notwendigen technisch-organisatorischen Maßnahmen (speziell Berechtigungsprüfungen)
und die Dokumentation, verantwortlich ist?

Prüfe dies gegen die Vergabe der Berechtigungen zum Objekt S_TRANSPRT.

• wer die Daten für den Programmablauf zur Verfügung stellt?

Wird ein Freigabeprotokoll angefertigt?

Prüfe die dokumentierenden Texte zu Aufträgen mit Transaktion SE03, Report RSWBOSSR.

Ist die Übernahme freigegebener Objekte in den Produktionsmandanten festgelegt?

Prüfe die Vergabe der Berechtigungen zum Objekt S_TRANSPRT: Wer kann entsprechende Transporte
durchführen?

Sind die Testroutinen und -abläufe für die Überprüfung der ordnungsgemäßen Verfahrensinstallation und des
fehlerfreien Programmablaufs ausreichend dokumentiert?

$QZHQGXQJVHQWZLFNOXQJ

Ist dokumentiert,

• welche Personen für die ABAP/Query/ad hoc query-Entwicklung zuständig sind?

• welche Personen für die Releasewechsel und Wartung des SAP-Verfahrens zuständig sind?

• welche Teile des Verfahrens mit eigenem Personal und welche im Auftrag von einem Softwarehaus
entwickelt wurden?

Ist ausreichend dokumentiert,

• seit wann sich die einzelnen SAP-Verfahren im Produktionseinsatz befinden?

• wann das Verfahren wesentliche Änderungen erfahren hat, wann neue Module, Funktionen und Anwen-
dungen hinzugekommen sind?

• wer für die Anordnung von Verfahrensänderungen zuständig ist?

• wie solche Änderungen im Regelfall und wie im Notfall abzulaufen haben?

Liegt eine Zusammenstellung und Kurzbeschreibung der zu unterschiedlichen Zeitpunkten eingesetzten SAP-
Verfahren vor?
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 99

%HQXW]HUVHUYLFH6\VWHPDGPLQLVWUDWLRQ

Ist festgelegt,

• wer für den Rechnerbetrieb verantwortlich ist (Systemverwaltung)?

• wer für die Verfahrensadministration verantwortlich ist?

Prüfe die Angaben gegen die Benutzerberechtigungen mit der Transaktion SUIM.

Werden die Aktionen der Systemverwaltung ausreichend protokolliert?

Ist festgelegt, wer wann dieses Protokoll zu welchen Zwecken auswerten soll/darf?

Prüfe die Verwendung und Auswertung der Protokolle.

Werden alle Verfahrensänderungen ausreichend (im CTS und durch Änderungsprotokolle) maschinell proto-
kolliert?

Prüfe insbesondere die Aufzeichnungspflichtigkeit in den betreffenden Mandanten (Tabelle T000) sowie die
Vollständigkeit der Protokollierung im CTS mit SE03.

Sind diese Protokolle ausreichend manipulationssicher aufbewahrt?

Prüfe die vergebenen Zugriffsrechte auf die Dateien des CTS, wer die Protokolle auf SAP- und auf Betriebs-
systemebene (SCD0 Aktion 06) archivieren und/oder löschen kann.

Ist außerhalb des R/3 Systems dokumentiert,

• welche Personen die Berechtigungsverwaltung (Angabe der Personen) einschließt?

• auf welche Daten der Benutzerservice Zugriff hat, bzw. wer einen Trace (Transaktion ST01) durchfüh-
ren kann?

• welche Daten bei solchen Zugriffen protokolliert werden?

Überprüfe diese Angaben mit der Transaktion SUIM.

Werden Störungen und Maßnahmen zu deren Behebung in einem Störungslogbuch außerhalb von SAP R/3
revisionsfähig (Datum, Uhrzeit) dokumentiert?

Ist der Ablauf der Benutzer- und Berechtigungsverwaltung (Einrichten, Kennwortvergabe, Rechtevergabe,
Löschen/Ändern bei Versetzung oder Ausscheiden) ausreichend dokumentiert und ausreichend zeitnah orga-
nisiert?

5HFKHQ]HQWUXPVEHWULHE

Ist die Systemkonsole in einem gesicherten Bereich untergebracht und gegen missbräuchliche Benutzung ge-
sichert?

Kann das Tagesdatum geändert werden?

Gibt es Zwangsprotokollierungen für alle Änderungen am DV-System und an den Systemprogrammen, auf
denen die SAP-Software läuft?

Wird das Systemverwalterkennwort für die betreffenden Systeme regelmäßig geändert und in geeigneter Wei-
se geheim gehalten?
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 100

Ist Accounting

• im SAP-System im Einsatz?

• außerhalb von SAP im Einsatz?

• Ist das Verfahren der Auswertung geregelt?

Gibt es ein RZ-Berichtswesen zur Kontrolle der festgestellten Sicherheitsverstöße?

Werden diese Berichte von der Revision und/oder dem Datenschutzbeauftragten regelmäßig ausgewertet?

Liegen Operatoranweisungen vor, wie auf Systemmeldungen zu reagieren ist (Bedienungsanleitung)?

Findet eine Schichtprotokollierung statt und gibt es Regelungen für

• Führung?

• Auswertung?

• Aufbewahrung?

Gibt es Aufbewahrungs- und Löschungsfristen für die RZ-Dokumentationen (Protokolle, Schichtpläne u.ä.)?

Liegen Dokumentationen für den Notfall vor?

Sind für etwaige Benutzung einer Ausweichanlage die Abläufe geklärt?

Ist die Vergabe von Benutzerberechtigungen für die etwaige Benutzung einer Ausweichanlage geregelt?

Sind im Rechnerraum in der Regel zwei Mitarbeiter je Schicht anwesend?

Gibt es in sensiblen Bereichen eine Funktionssteuerung?




4.3.1.4 Verfahrensanwendung

Prüfe zusätzlich die Maßnahmen zur Datensicherung gemäß §9 BDSG im Abschnitt 3 der
Checklisten.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 101

4.3.2 Prüfung spezieller Regelungen aus vorrangigen Rechtsvorschriften


(z.B. aus geltenden Betriebsvereinbarungen zu organisatorisch-
technischen Maßnahmen)

$QKDQJ]X%HQXW]HUEHUHFKWLJXQJHQ

Ist der Anhang aktuell geführt?

Wird der Anhang manuell oder mit Hilfe des Systems geführt?

Bei maschineller Erzeugung Kontrolle durch die entsprechende Funktion:

• mit dem Report RSUSR002 Übersicht über die Benutzer und die zugeordneten Profile

• mit dem Report RSUSR002 Auswertung für ein bestimmtes Objekt, wenn nur Benutzer mit Zugriff auf
bestimmte Berechtigungsobjekte gesucht werden

• mit dem Report RSUSR003 Prüfung der Standardbenutzer

• mit dem Report RSUSR008 und RSUSR009 Prüfung der Benutzer mit kritischen Berechtigungen.

Vergleiche - abhängig von der Form der Anlage - die Auflistung mit dem aktuellen Stand der Tabellen (mit-
tels SA38 und den entsprechenden RSUSR* ABAPs).

Vergleiche ggf. den SOLL- und den IST-Stand der Anhänge in Form von PC-Dateien im .dbf oder .xls For-
mat durch eine entsprechende MS Query SQL Abfrage.

Vergleiche auch die weitergehenden Prüfungen zum Zugriffsschutz unter der Rubrik 'Prüfung von Daten-
schutz- und Datensicherungsmaßnahmen gem. § 9 BDSG'.

4.3.3 Prüfung der Datenschutzmaßnahmen gemäß § 9 BDSG und der


Anlage

Bei der Prüfung der getroffenen technischen und organisatorischen Maßnahmen nach §9 BDSG
und seiner Anlage folgt die Darstellung der Systematik der Anlagennummerierung - auch wenn
dies im Einzelfall zur doppelten Nennung einzelner Prüfungspunkte führt. Es werden auch hier
wieder nur die Punkte weiter ausgeführt, die einen Bezug zu der SAP-Software haben. Hierbei fal-
len allen voran die Punkte “Zutrittskontrolle", “Auftragskontrolle" und “Verfügbarkeitskontrolle”
ins Auge, die Themenkomplexe ansprechen, die mit anderen technischen oder organisatorischen
Mitteln außerhalb des SAP-Systems gelöst werden müssen. Soweit es sinnvoll erschien, sind hier
auch für solche Fälle einige Prüfungen aufgenommen.

4.3.3.1 Ziffer 1: Zutrittskontrolle

Laut Ziffer 1 ist 'Unbefugten der Zutritt zu Datenverarbeitungssystemen, mit denen personen-
bezogene Daten verarbeitet oder genutzt werden, zu verwehren =XWULWWVNRQWUROOH

Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 102

Diese Anforderung ist innerhalb SAP R/3 nicht einschlägig.

4.3.3.2 Ziffer 2: Zugangskontrolle

Bei Ziffer 2 der Anlage zu §9 BDSG ist 'zu verhindern, dass Datenverarbeitungsanlagen durch
Unbefugte genutzt werden können =XJDQJVNRQWUROOH '

$XWKHQWLIL]LHUXQJ

Ist gewährleistet, dass jeder SAP-Benutzer über einen eigenen Benutzerstammsatz verfügt?

Prüfe stichprobenartig, ob alle Anwender in den betroffenen Abteilungen in der Liste der zugelassenen Be-
nutzer (Report RSUSR002) stehen.

Untersuche weiter mit RSUSR002 die Liste der Benutzer auf ggf. angelegte personenunabhängige Benutzer
(z.B. 'Lager' oder 'Personalsachbearbeiter' oder ähnliche)

• Existieren Vorgaben für sichere Kennwörter? Sind die verbotenen Kennwörter in der Tabelle USR40
ausreichend gepflegt?

• Existieren Mindestanforderungen an die Länge und den Aufbau von Kennwörtern (Empfehlung mind. 6
Zeichen)? Welche Einstellungen zur Mindestkennwortlänge gibt es? Untersuche mit RSPARAM die Pa-
rameter login/min_password_lng.

• Wird der Kennwortwechsel maschinell erzwungen? Welche Einstellungen zum Kennwortwechsel gibt
es? (Empfehlung 60 oder 90 Tage). Untersuche mit RSPARAM den Parameter log-
in/password_expiration_time.

• Erfolgt ein Abbruch der Verbindung nach einer bestimmten Anzahl von Fehlversuchen (3)? Untersuche
mit RSPARAM die Parameter login/fail_to_session_end und login/fail_to_user_lock.

• Ist das automatische Anlegen des Benutzers SAP* ausgeschaltet? Untersuche mit RSPARAM die Para-
meter login/no_automatic_user_sapstar (Wert sollte bei abgeschaltetem Benutzer 1 sein).

• Werden inaktive Benutzer automatisch abgemeldet? Untersuche mit RSPARAM die Parameter
rdisp/gui_auto_logout.

• Wurden die Standardbenutzer SAP*, DDIC, SAPCPIC und EARLYWATCH ausreichend geschützt? Ru-
fe mit RSUSR002 deren Benutzerstammsätze auf und analysiere die Ergebnisse von RSUSR003.

• Überprüfe mit dem Report RSUSR200 inaktive User mit Initialkennworten.

Erfolgt eine Authentifikation am Frontend-Rechner durch andere Mittel, z.B. Chipkarte, wenn der Rechner in
mehr oder weniger öffentlich zugänglichen Räumen steht?

Kann der Benutzer seinen Bildschirm, ohne sich abzumelden, über die Software verriegeln? Ist der Kenn-
wortschutz insbesondere an Arbeitsplätzen mit Publikumsverkehr auf der Ebene des PC-Betriebssystems ak-
tiviert?

Erfolgt eine Dunkelschaltung des Bildschirms bei längerer Inaktivität? Nach wie vielen Minuten?

Prüfe insbesondere öffentlich zugängliche Rechner.

Wird für die Gewährleistung der Datensicherheit auf den PCs eine spezielle Sicherheitssoftware eingesetzt?

Wird von der Verschlüsselung der SAP-Daten mittels Secure Store & Forward (SSF) Gebrauch gemacht und
in Bezug auf welche Daten?
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 103

Ist sichergestellt, dass geschützte Daten aus dem SAP R/3-System nicht per Download und/oder Mail auf un-
geschützte Systeme abfließen können?

Prüfe die vergebenen Berechtigungen zu dem Objekt S_GUI.

Prüfe den Zugang zu Programmen mit XXL-Listviewer-Funktionen.

Ist sichergestellt, dass zur Fernwartung (im Mandant 066) nur zugegriffen werden kann, wenn die Fernwar-
tung ausdrücklich angefordert wird?

Sind die eingerichteten Benutzerstammsätze für den Rest der Zeit gesperrt?

Wird während der Fernwartung die Protokollierung aktiviert (Transaktion SM19)?

Wird das Protokoll anschließend ausgewertet?

4.3.3.3 Ziffer 3: Zugriffskontrolle


Es ist 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berech-
tigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen kön-
nen, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speiche-
rung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können =XJULIIVNRQ
WUROOH 

=XJULIIVVFKXW]

Ist eine Zuordnung Benutzer/Funktionen/Befugnisse vorhanden?

Gibt es neben der Benutzerübersicht im RSUSR002 eine Tabelle, die auf aktuellem Stand Benutzer und Be-
rechtigungen ausweist?

Ist die Benutzergruppe im Berechtigungsstammsatz differenziert, d.h. abteilungsweise oder kostenstellenbe-


zogen gepflegt? Analysiere mit RSUSR002 >Anzeige aller Benutzer> 'Andere Sicht' die Benutzergruppen.

Sind die umfassenden Generalberechtigungen (wie SAP_ALL) auf besonders geschützte (und zwangsproto-
kollierte) Notfallbenutzer beschränkt?

Prüfe mit dem Berechtigungsinfosystem (Transaktion SUIM), wer das Sammelprofil SAP_ALL und wer ver-
gleichbar umfassende Berechtigungen besitzt.

Prüfe, ob die Zwangsprotokollierung für diese Benutzer in der Produktivumgebung eingeschaltet ist (mit
Transaktion SM19).

Untersuche ggf. die Protokolle in der Produktivumgebung auf verdächtige Nutzung der weitgehenden
Berechtigungen.

Sind die sensiblen Tabellen durch Tabellenberechtigungen ausreichend geschützt? Analysiere die Tabellen-
klassen in der Tabelle TDDAT für das Berechtigungsobjekt S_TABU_DIS.

Prüfe anschließend mit SUIM >> Benutzer nach Berechtigungswerten für S_TABU_DIS, welche Benutzer
auf diese Tabellenklassen Zugriff haben.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 104

Sind die sensiblen Programme durch Reportklassen ausreichend geschützt? Analysiere die zugeordneten Re-
portklassen mit dem Report RSCSAUTH für die zu schützenden Reports.

Sind alternativ für den Endbenutzer nur Reportbäume zugänglich? Analysiere, ob die Benutzung der Transak-
tion SA38 geschützt ist.

Sind alle zu schützenden Transaktionen entweder gesperrt (Ansicht mit dem Report RSAUDITC) oder mit ei-
ner Berechtigungsprüfung gegen das Objekt S_TCODE versehen? Analysiere die Tabelle TSTCA oder be-
nutze die Transaktion SE93.

Ist gegebenenfalls die Berechtigungsprüfung in kritischen Transaktionen vom Umfang verringert? Prüfe den
Parameter auth/no_check_in_some_cases. Hat er den Wert Y, prüfe, welche Prüfungen mit SU24 ausgeschal-
tet/verändert wurden.

Ist das 4-Augenprinzip bei der Pflege und Aktivierung von Berechtigungen und Profilen sowie bei der Benut-
zerpflege gewährleistet?

Prüfe die Organisation und die Einstellungen zu den Objekten S_USER_GRP (hier insbesondere: Wer kann
welche Benutzergruppen pflegen?), S_USER_PRO und S_USER_AUT.

Ist die Betriebssystemebene für die Anwender gesperrt?

Untersuche den Parameter rdisp/call_system mit dem Report RSPARAM. Wenn der Wert nicht 0 ist, kann
aus SAP heraus auf das Betriebssystem zugegriffen werden.

Besteht eine organisatorische Trennung zwischen Anwendungsentwicklung, Arbeitsvorbereitung und


-nachhandlung, Dateneingabe, Operating und Archivverwaltung? Analysiere insbesondere die Vergabe der
Berechtigungen zum Objekt S_TRANSPRT.

War der Programmschalter zur Nutzung der strukturellen Berechtigung jederzeit entsprechend der
Festlegungen eingestellt?

Prüfe die Nutzung des Programmschalters für strukturelle Berechtigungen im Modul HR in Tabelle T77S0.

Ist das Berechtigungskonzept vor der Inbetriebnahme ausreichend getestet worden?

%HGLHQHUREHUIOlFKH

Werden die Benutzer durch einen entsprechenden Eintrag im Benutzerstammsatz gezielt auf das für sie ein-
schlägige Untermenü durchgeschaltet? Rufe den Report RSUSR002 auf, erzeuge eine Liste aller in Frage
kommenden Benutzer, drücke zweimal den Knopf 'andere Sicht' und untersuche die Spalte 'Startmenü'.

Ist durch das Customizing gewährleistet, dass der Anwender nur Zugriff auf solche Daten hat, die er zur Er-
füllung seiner Aufgaben benötigt?

Prüfe die Masken (DYNPROs) im Zugriff einzelner Benutzer z.B. Mit PA20 in der Personalwirtschaft.

Prüfe die Customizing-Einstellungen zu dem Stichwort: "Anpassung der Oberflächen".

3URWRNROOLHUXQJ

Werden vom Betriebssystem die Benutzungsdaten protokolliert, so dass erkennbar ist, wer wann außerhalb
von SAP mit welchen Ressourcen wie auf welche SAP R/3-Daten zugegriffen hat?

Ist im Rahmen des Security-Log die Protokollierung des Downloads eingeschaltet?

Wird die Protokollierung des Downloads in der SM20 unter Datenschutzgesichtspunkten regelmäßig ausge-
wertet?
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 105

4.3.3.4 Ziffer 4: Weitergabekontrolle

Es ist 4. zu JHZlKUOHLVWHQ, dass personenbezogene Daten bei der HOHNWURQLVFKHQ hEHUWUD


JXQJ oder während ihres Transports oder ihrer 6SHLFKHUXQJ DXI 'DWHQWUlJHU QLFKW XQEH

IXJW JHOHVHQ NRSLHUW, verändert oder HQWIHUQW ZHUGHQ N|QQHQ XQG GDVV EHUSUIW XQG

IHVWJHVWHOOWZHUGHQNDQQDQZHOFKH6WHOOHQHLQHhEHUPLWWOXQJSHUVRQHQEH]RJHQHU'DWHQ

GXUFK(LQULFKWXQJHQ]XU'DWHQEHUWUDJXQJYRUJHVHKHQLVW :HLWHUJDEHNRQWUROOH .

=XJULIIVVFKXW]

Ist eine Zuordnung Benutzer/Funktionen/Befugnisse vorhanden?

Gibt es neben der Benutzerübersicht im RSUSR002 eine Tabelle, die auf aktuellem Stand Benutzer und Be-
rechtigungen ausweist?

Ist die Benutzergruppe im Berechtigungsstammsatz differenziert, d.h. abteilungsweise oder kostenstellenbe-


zogen gepflegt? Analysiere mit RSUSR002 >Anzeige aller Benutzer> 'Andere Sicht' die Benutzergruppen.

'DWHQEHUPLWWOXQJ

Wird eine Übersicht/Liste über diejenigen Stellen geführt, an die Datenübermittlungen programmgesteuert
stattfinden können?
Rufe das Audit-Info-System (Transaktion SECR) auf und prüfe dort die Punkte SYSTEM
AUDIT>>SYSTEM KONFIGURATION>>SYSTEM und >>KOMMUNIKATIONSARTEN R/3 für RFC,
CPIC und ALE Verbindungen.

Prüfe ggf. auch Zugriffsberechtigungen von Externen.

Gibt es eine aktuelle Dokumentation der für die selbsttätige Übermittlung einzusetzenden Programme gemäß
§10 Absatz 4 BDSG außerhalb von SAP R/3?

Erfolgt außerhalb von SAP R/3 eine revisionssichere Protokollierung der programmgesteuerten Übermittlun-
gen durch Aufzeichnung von

• übermittelnder Benutzer

• Empfänger

• Daten

• Datum

• Uhrzeit?

Erfolgt eine Verschlüsselung der Daten durch SNC auf den Übertragungsstrecken?

Wenn ja, zwischen welchen Instanzen (SAP GUI und Applikationsserver, Applikationsserver und Drucker,
etc.)?

2XWSXWPDQDJHPHQW

Ist dokumentiert, welche Ausgaben auf PCs umgelenkt werden können? Prüfe die Vergabe der Berechtigun-
gen zum Objekt S_GUI (Aktivität 61).
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 106

=XJULIIVVFKXW]

Erfolgt die Ausgabe der Druckerzeugnisse bei Personaldatenverarbeitung benutzerbezogen? Sind die Dru-
ckerberechtigungen abteilungs- bzw. benutzerbezogen eingerichtet, oder kann es passieren, dass Ausdrucke
versehentlich in ganz fremden Abteilungen/Standorten/Ländern gemacht werden?

Prüfe die Berechtigungen zum Objekt S_SPO_DEV und deren Vergabe.

4.3.3.5 Ziffer 5: Eingabekontrolle


Es ist 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, RE XQG
YRQ ZHP personenbezogene Daten in Datenverarbeitungssysteme eingegeben, YHUlQGHUW

RGHUHQWIHUQWworden sind (LQJDEHNRQWUROOH .

3URWRNROOHLQVWHOOXQJHQ

Welche Benutzer werden automatisch protokolliert?

Überprüfe die Einstellungen zu SM19, wenn der Parameter rsau/enable mit dem Report RSPARAM gleich 1
ist.

Ist die Protokollierung der Tabellenänderungen eingeschaltet? Prüfe den Parameter rec/client mit RSPARAM
sowie RECCLIENT der TP-Parameter.

Sind alle wichtigen Tabellenänderungen (vor allem System- und Schlüsseltabellen wie die Abwesenheits-
gründe T554*) protokollierungspflichtig?

Stelle alle in Frage kommenden Tabellen zusammen und prüfe die Einstellungen (Transaktion SCU3 oder
Anzeige der Tabelle DD09L)

Erfolgt eine revisionssichere Protokollierung der Eingabe in einer Protokolldatei für alle relevanten SAP-
Objekte durch Aufzeichnung von

• eingebendem Benutzer (Name)

• Datum und Uhrzeit der Erfassung

• erfassten Daten
Prüfe die eingestellten Änderungsbelege für alle in Frage kommenden Objekte mit Transaktion SCD0.

Besitzt niemand die Berechtigung zum Löschen der Änderungsbelege?

Prüfe mit dem Berechtigungsinformationssystem SUIM, bzw. dem Report RSUSR002, welcher Benutzer zu
dem Objekt S_SCD0 Aktivität 06 besitzt.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 107

3URWRNROODXVZHUWXQJHQ

Welche Protokollierung im SAP R/3-Verfahren wird von wem und zu welchen Zwecken genutzt?

• Ist das Security Audit Log aktiviert und wozu? Prüfe Transaktion SM19 und den Parameter rsau/enable
(Wert muss 1 sein) mit dem Report RSPARAM.

• Untersuche das Systemlog auf Falschanmeldungen (Transaktion SM21).

• Wird ggf. die Tagesstatistik (Transaktion STAT) genutzt? Vgl. den Parameter stat/level = 1.

• Welche Anwendungsprotokolle sind eingeschaltet? Vgl. die Konfiguration SLG0 für die SLG1.

• Wer kann die Protokollierung der Workflows (der Transaktionen SWI2 und SWI5) nutzen und zu wel-
chem Zweck?

• Für welche betriebswirtschaftlichen Objekte ist die Protokollierung eingeschaltet? (Transaktion SCD0)

• Tabellenprotokollierung (Transaktion SCU3)

• Untersuche die benutzer-, profil- und berechtigungsbezogenen Änderungsprotokolle (Transaktion SUIM)

4.3.3.6 Ziffer 6: Auftragskontrolle


Es ist 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden,
nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können $XIWUDJV
NRQWUROOH 

=XJULIIVVFKXW]

Ist eine Zuordnung Benutzer/Funktionen/Befugnisse beim Auftragnehmer vorhanden?

Gibt es neben der Benutzerübersicht im RSUSR002 eine Tabelle, die auf aktuellem Stand Benutzer und Be-
rechtigungen beim Auftragnehmer ausweist?

Ist die Benutzergruppe der Benutzer beim Auftragnehmer im Berechtigungsstammsatz differenziert, d.h. ab-
teilungsweise oder funktionsbezogen gepflegt? Analysiere mit RSUSR002 >Anzeige aller Benutzer> 'Andere
Sicht' die Benutzergruppen.

Sind die Berechtigungen der Auftragnehmer auf ein Minimum beschränkt?

Ist sichergestellt, dass ausreichende Kontrollen die Risiken weitgehender Berechtigungen beim Auftragneh-
mer abdecken?

4.3.3.7 Ziffer 7: Verfügbarkeitskontrolle


Es ist 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Ver-
lust geschützt sind (Verfügbarkeitskontrolle).


Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 108

=XJULIIVVFKXW]

Sind ausreichend regelmäßige Sicherungsläufe vorgesehen?

Ist auf der Ebene des Betriebssystems sichergestellt, dass keine versehentliche Löschung der SAP-Dateien
erfolgen kann? Sind die Zugriffsrechte auf Betriebssystemebene entsprechend der SAP-Empfehlungen re-
striktiv vergeben? Werden die vorhandenen Zugriffsrechte regelmäßig überprüft?

Ist auf der Ebene des Datenbanksystems sichergestellt, dass keine versehentliche Löschung der SAP-Dateien
erfolgen kann? Sind die Zugriffsrechte auf Datenbankebene entsprechend der SAP-Empfehlungen restriktiv
vergeben? Werden die vorhandenen Zugriffsrechte regelmäßig überprüft?

Ist der Zugang zu den archivierten Daten und Datenträgern ausreichend geschützt? Prüfen Sie die entspre-
chende Organisation.

Ist sichergestellt, dass die Datenverarbeitungsanlagen und die Datenträger ausreichend gegen Einwirkungen
von Feuer, Wasser, Stromausfall und -schwankungen geschützt sind?

Ist sichergestellt, dass die Datenträger ausreichend gegen Einwirkungen von Materialermüdung geschützt
sind? Prüfen Sie, ob es ausreichende Stichproben gibt.

4.3.3.8 Ziffer 8: Gewährleistung der Zweckbindung


Es ist 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verar-
beitet werden können.

=XJULIIVVFKXW]

Ist auf der Ebene des Zugriffsschutzes eine ausreichend strikte Zuordnung Benutzer/Funktionen/Befugnisse
zu zulässigen Zwecken vorhanden?

Prüfe für einzelne Benutzergruppen die Zugänglichkeit

• der Programmbibliothek

• weiterer Funktionalitäten wie ABAP Query und ad-hoc Query

• der Downloadfunktion und des XXL-Listviewers

• der Programmierwerkzeuge

• der Administrationsfunktionen

• des ABAP-Listviewers in Auswertungsprogrammen für personenbezogene Daten

• insbesondere der Protokolle und Änderungsbelege


Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 109

6RQVWLJH0D‰QDKPHQ

Ist auf der Ebene der einzelnen Systeme, Mandanten und Buchungskreise eine ausreichende Abschottung der
Benutzer/Funktionen/Befugnisse vorhanden?

Sind die verbleibenden Risiken durch entsprechende Schulung der Benutzer in den Fachabteilungen, der
Programmierung und der Systemverwaltung abgedeckt?

4.3.3.9 Sonstige Prüfungen


Der Einleitungssatz der Anlage zu § 9 BDSG fordert weiter, 'die innerbehördliche oder inner-
betriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Daten-
schutzes gerecht wird‘. Diese Anforderung sollte durch folgende Untersuchungen abgeprüft
werden:

$OOJHPHLQH5LFKWOLQLHQ

Existieren Richtlinien für die Datensicherheit (allgemein oder speziell für das DV-Verfahren) und sind diese auf
einem aktuellen Stand?

Werden diese Richtlinien allen Beteiligten in geeigneter Weise bekannt gemacht?

Gibt es Auswertungen nach Sicherheitsverstößen?

Welche Protokolle sind von wem?

Ist durch das Verfahren sichergestellt, dass Mängel an den technisch-organisatorischen Maßnahmen oder Da-
tenschutzverstöße umgehend an den betrieblichen Datenschutzbeauftragten weitergeleitet werden und mit
diesem zusammen Abhilfe geschaffen wird?

Wurde eine Risiko- und Schwachstellenanalyse durchgeführt?

=XJULIIVYHUZDOWXQJXQG3URWRNROODXVZHUWXQJHQ

Werden die Zugriffsberechtigungen eines ausscheidenden oder zu versetzenden Benutzers sofort gelöscht?
Gibt es ggf. einen automatisch ablaufenden Workflow zum Löschen eines Benutzers?

Ist die maschinelle Verwaltung und Pflege der Benutzerstammsätze, Berechtigungen, Profile und ggf. Rollen
ausreichend und zeitnah geregelt?

Prüfe das Berechtigungsrahmenkonzept und die organisatorische Abwicklung der Benutzeradministration


sowie die Pflege von Profilen, Berechtigungen und Rollen.

Wird dabei auf die Revisionsfähigkeit der Zugriffsberechtigungen geachtet?

Wird durch das interne Kontrollsystem regelmäßig die Einhaltung des Berechtigungskonzepts geprüft? Wie
häufig finden solche Untersuchungen statt?

Gibt es Sanktionen für erkannte Missbräuche und Missbrauchsversuche?

Wird die Protokollierung aller Versuche, sich vergeblich als Benutzer anzumelden (Report RSUSR006), re-
gelmäßig überprüft?
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 110

Ist die Weitergabe der Druckerausgaben an die Anwender geregelt, sofern diese keinen Arbeitsplatzdrucker
haben?

Sind die Berechtigungen, auf Drucker zuzugreifen, ausreichend beschränkt?

Ist das Sicherungsverfahren auf Datenbankebene schriftlich dokumentiert?

Wurde beachtet, dass die Sicherungsdateien zu schützen sind, etwa durch ein Kennwort oder Freigabedatum?

Werden die eingerichteten Schutzmaßnahmen regelmäßig einem eingehenden Test unterzogen, um festzustel-
len, ob sie noch den gewünschten Schutzzweck erfüllen?


Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 111

5 Auftragsdatenverarbeitung

5.1 $EJUHQ]XQJHQEHLP7KHPD2XWVRXUFLQJXQG

'DWHQVFKXW]

Grundsätzlich ist zwischen internem und externem Outsourcing zu unterschei-


den. Beim internen Outsourcing wird die Datenverarbeitung von einer rechtlich
unselbständigen Abteilung innerhalb der verantwortlichen Stelle übernommen.
Es liegt aus Sicht des BDSG also DV für eigene Zwecke vor. Beim externen
Outsourcing hingegen findet die Erhebung, Verarbeitung und Nutzung der per-
sonenbezogenen Daten des Betroffenen bei einer anderen rechtlich eigenstän-
digen Stelle statt. Es ist hier anhand des konkreten Einzelfalles zu untersuchen,
ob dies sich noch im Rahmen einer Auftragsdatenverarbeitung im Sinne des §
11 BDSG bewegt oder ob der Outsourcingnehmer die personenbezogenen Da-
ten des Betroffenen im Rahmen einer Übermittlung zur eigenständigen Erhe-
bung, Verarbeitung bzw. Nutzung (Funktionsübertragung) erhält.
Als Beispiele für die Auslagerung von DV-Dienstleistungen sind zu nennen:
n Auslagerung der System-/Netzwerkadministration und des Rechnerbetriebs
an ein anderes (Konzern-)Unternehmen im Rahmen eines Service Vertrages
n Auslagerung der Systemwartung und –pflege an ein anderes Unternehmen
n Auslagerung von Aufgaben der Systemadministration bzw. des Rechnerbe-
triebs an verschiedene Unternehmen
n Wahrnehmung von Aufgaben zur Erhebung personenbezogener Daten
durch externe Call Center
n Übertragung der Bereitstellung von E-Business-/Internet-Diensten an einen
Service Provider
Zur Abgrenzung der Begriffe Auftragsdatenverarbeitung und Funktionsüber-
tragung:
Die Auftragsdatenverarbeitung ist dadurch gekennzeichnet, dass Auftraggeber
und Auftragnehmer - und dies gilt auch für zwei Konzernunternehmen - von-
einander rechtlich unabhängige und selbständige Unternehmen sind. Es gilt
aber die Privilegierung, dass Auftraggeber und Auftragnehmer rechtlich ein-
heitlich als eine einzige verantwortliche Stelle gesehen werden (vgl. § 3 Abs. 8
BDSG). Dies resultiert daraus, dass der Auftragnehmer dem Auftraggeber le-
diglich in einer oder mehreren Phasen der Datenverarbeitung oder -nutzung
weisungsgebunden Unterstützung leistet. Datenverarbeitung oder -nutzung
werden hierbei lediglich in ihrer Hilfsfunktion für die Erfüllung der Aufgaben
und Geschäftszwecke der verantwortlichen Stelle ausgelagert.
Rechtlich anders behandelt werden soll der Fall, wenn der Auftragnehmer - im
Falle des Outsourcing als Outsourcingnehmer - mehr als nur diese ”Hilfs-
funktion” wahrnimmt. Dies ist dann der Fall, wenn dem Outsourcingnehmer
neben der Datenverarbeitung für den Outsourcinggeber weitere Aufgaben oder
Funktionen übertragen werden, z.B. die Personalabrechnung. Durch die zusätz-
liche Übertragung dieser Aufgaben und Funktionen ändert sich der Charakter
der datenschutzrechtlichen Rechtsbeziehung. Die in diesem Zusammenhang
übermittelten Daten dienen dann nicht mehr dem Geschäftszweck, diese im
Auftrag für den Outsourcinggeber gemäß seiner Weisungen zu verarbeiten,
sondern dazu, dass der Outsourcingnehmer eine bestimmte vertraglich geschul-
dete Leistung in eigener Verantwortlichkeit erarbeiten und erbringen möchte,
zu deren Erfüllung er die übermittelten Daten benötigt. In diesem Fall wird eine
ganze Aufgabe an den Outsourcingnehmer übertragen, die er eigenverantwort-
lich wahrnimmt. Es wird also der Auftrag zur Erbringung einer Leistung erteilt,
deren Bestandteil auch die Erhebung, Verarbeitung oder Nutzung personenbe-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 112

zogener Daten ist, die der Outsourcinggeber zur Verfügung stellt. Man spricht
hier von einer sogenannten Funktionsübertragung.
Wenn innerhalb eines Konzerns DV-Outsourcing betrieben wird, sind die an-
zuwendenden Rechtsvorschriften nicht anders zu interpretieren als bei einem
Outsourcing zwischen sonstigen fremden Unternehmen.

5.2 9HUWUDJVJHVWDOWXQJ]ZLVFKHQ$XIWUDJJHEHUXQG

$XIWUDJQHKPHU

Im Folgenden werden - aufgrund der vielfältigen Fragestellungen in diesem


Zusammenhang - ausgewählte, grundsätzliche Punkte, die bei Überlegungen
zur Vertragsgestaltung zwischen Auftraggeber und Auftragnehmer zu beachten
sind, behandelt. Ausführliches zu Vertragsgestaltungen aus datenschutzrechtli-
cher Sicht kann in Fachbüchern nachgelesen werden [Müthlein/Heck]. Diesem
Buch sind auch wesentliche Teile der in diesem Unterkapitel aufgeführten Tex-
te entnommen.

5.2.1 Pflichten des Auftraggebers und Auftragnehmers

Als ”Herr der Daten” ist der Auftraggeber für die Einhaltung der Vorschriften
des BDSG und der anderen Vorschriften über den Datenschutz verantwortlich.
Insbesondere ist er verantwortlich für die Zulässigkeit der Erhe-
bung/Verarbeitung/Nutzung der Daten, für die Wahrung der Rechte des Betrof-
fenen, für die Haftung ihm gegenüber und für die Einhaltung der datenschutz-
rechtlichen Kontrolle. Der Auftragnehmer ist unter Prüfung der Eignung der
angebotenen technischen und organisatorischen Maßnahmen sorgfältig auszu-
wählen (kaufmännische Sorgfaltspflicht). Zwingend ist die schriftliche Festle-
gung der Datenerhebung/-verarbeitung/-nutzung, der technischen und organisa-
torischen Maßnahmen und etwaiger Unterauftragsverhältnisse. Es ist zu regeln,
dass nur nach den Weisungen des Auftraggebers verfahren wird.
Der Auftraggeber hat die Pflicht, sich gemäß § 11 Abs. 1 BDSG von der Ein-
haltung der technischen und organisatorischen Maßnahmen beim Auftragneh-
mer zu überzeugen. Die Pflicht zur Überwachung erstreckt sich auf Betriebsab-
läufe, DV-Systeme und Räumlichkeiten und unterliegt der Verschwiegenheits-
verpflichtung bezüglich der erlangten Kenntnisse.
Hat der Auftragnehmer einen Datenschutzbeauftragten bestellt, so entfällt die
Meldepflicht gemäß § 4d BDSG unter Berücksichtigung weiterer Ausnahmen
(siehe dort). Er muss intern sicherstellen, dass die Datenerhebung, -
verarbeitung bzw. -nutzung nur nach den festgelegten Weisungen erfolgt und
die technischen und organisatorischen Maßnahmen (gemäß Anlage zu § 9
BDSG) eingehalten werden. Seine Mitarbeiter sind auf das Datengeheimnis zu
verpflichten, ein Datenschutzbeauftragter ist zu bestellen.

5.2.2 Umfang der Datenverarbeitung / Weisungen

Es ist zu vereinbaren, wie der Leistungsumfang sein soll, welche Datenbestän-


de (Art, Umfang) vom Auftragnehmer verwaltet und welche DV-Verfahren
darauf angewendet werden sollen. Da sich die konkrete Ausgestaltung des Auf-
tragsverhältnisses ändern kann, ist es sinnvoll, solche Vereinbarungen als An-
lage zum Vertrag festzulegen und um Weisungen zu ergänzen, z. B.:
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 113

• Ort, Zeitpunkte und ggf. Reihenfolge der Erhebung, Verarbeitung bzw. Nut-
zung
• Übertragung von Daten/Dateien via Datenleitung oder Satellit
• Angaben zur Datenverschlüsselung
• Art der Datenleitung (z.B. Internet, WAN o.a.)
• Berechtigung bzw. Pflicht zum Transport/Versand von Dateien, Magnetda-
tenträgern, Belegen oder Listen
• Sonderanforderungen an den Auftragnehmer (dazu berechtigte Personen des
Auftraggebers, Ansprechpartner beim Auftragnehmer)
• Festlegung der Zuständigkeit für die Archivierung und von Aufbewahrungs-
fristen (siehe auch Kapitel 2.3.5)

5.2.3 7HFKQLVFKHXQGRUJDQLVDWRULVFKH0D‰QDKPHQ

Die technischen und organisatorischen Maßnahmen gemäß Anlage zu § 9


BDSG sind zur Konkretisierung der Auswahlkriterien im schriftlichen Vertrag
zu fixieren. Dadurch wird die Transparenz der Erhebung, Verarbeitung bzw.
Nutzung erhöht und eine Kontrolle erleichtert. Eine solche Beschreibung dient
auch dem betrieblichen Datenschutzbeauftragten des Auftraggebers bei der
Wahrnehmung seiner Kontrollrechte im Rahmen der Auftragskontrolle nach
Nr. 6 der Anlage zu § 9 BDSG gegenüber dem Auftragnehmer. Außerdem ist
sie für den Auftraggeber im Falle der Beweisführung bei der Haftung gegen-
über dem Betroffenen hilfreich.
Die Maßnahmen sollten möglichst detailliert beschrieben werden, eine bloße
Wiederholung der Anlage zu § 9 BDSG reicht in keinem Fall aus. Es empfiehlt
sich, diese Maßnahmen in einer separaten Beschreibung zu dokumentieren, auf
die im Vertrag hingewiesen wird. Dies hat den Vorteil, dass bei Anpassungen
der Maßnahmen an den neusten technischen Standard nur die Anlage zum
Vertrag geändert werden muss.
Für Details wird auf gesonderte Kapitel des Datenschutzleitfadens verwiesen.

5.2.4 :DKUXQJGHU5HFKWHGHU%HWURIIHQHQ

Die Rechte des Betroffenen sind gegenüber dem Auftraggeber geltend zu ma-
chen. Das bedeutet für das Auftragsverhältnis, dass der Auftraggeber auch alle
notwendigen Informationen und Mittel zur Wahrung dieser Rechte auf Benach-
richtigung, Auskunft, Sperrung und Löschung durch den Auftragnehmer erhal-
ten muss. Es ist insoweit eine Unterstützungspflicht vorzusehen.

5.2.5 'DWHQJHKHLPQLV

Für die beim Auftragnehmer beschäftigten Personen gilt das Datengeheimnis


gemäß § 5 BDSG, sofern sie bei der Erhebung, Verarbeitung bzw. Nutzung
personenbezogener Daten in einer der Phasen der Datenverarbeitung (Speiche-
rung, Übermittlung, Veränderung, Löschung oder Sperrung) oder bei der Nut-
zung tätig sind. Insbesondere die gesetzliche Verpflichtung der sorgfältigen
Auswahl des Auftragnehmers erfordert es, diesen Punkt sowie zusätzlich die
Regelung über die Wahrung von Geschäftsgeheimnissen im Vertrag zu regeln.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 114

5.2.6 .RQWUROOHQGXUFKGHQ$XIWUDJJHEHU

Der Auftraggeber sollte sich zur Wahrnehmung seiner Kontrollpflichten ver-


traglich zusichern lassen, welche Kontrollen er beim Auftragnehmer durchfüh-
ren darf und mit welchem zeitlichen Vorlauf er solche Prüfungen anmelden
muss. Außerdem sollte er sich vertraglich ein besonderes Einsichtsrecht beim
Auftragnehmer durch eigene Mitarbeiter (z.B. betrieblicher Datenschutz-
beauftragter) oder beauftragte Dritte vorbehalten.

5.2.7 'DWHQVFKXW]EHDXIWUDJWHUGHV$XIWUDJQHKPHUV

Um sich eines kompetenten Ansprechpartners für Datenschutzfragen im Unter-


nehmen des Auftragnehmers versichern zu können und hiermit ein Mittel zu
haben, der Verantwortung als ”Herr der Daten” effektiv nachkommen zu kön-
nen, sollte sich der Auftraggeber den Datenschutzbeauftragten des Auftrag-
nehmers benennen lassen. Weiter sollte er sich über dessen Fachkunde und Zu-
verlässigkeit informieren und sich das Recht über die Information bei einem
Wechsel des Datenschutzbeauftragten des Auftragnehmers zusichern lassen.
Es kann auch festgelegt werden, in welchen Fällen der Auftragnehmer seinen
Datenschutzbeauftragten mit in den Ablauf einzubinden hat.

5.2.8 8QWHUDXIWUDJQHKPHU

Für einzelne Tätigkeitsbereiche der Erhebung, Verarbeitung bzw. Nutzung


kann es notwendig sein, Unterauftragnehmer einzuschalten (z. B. für den
Transport, die Vernichtung, die Erfassung oder Mikroverfilmung von Daten,
die Delegation von Arbeiten auf Ausweichrechenzentren in Fällen von Überka-
pazitäten oder Zusammenbrüchen). Auch hier sind die gleichen Voraussetzun-
gen zu beachten wie für das Vertragsverhältnis im Falle der Auftragsdaten-
verarbeitung. Im Vertrag zwischen Auftraggeber und Auftragnehmer sind die
Unterauftragsverhältnisse festzulegen, die entsprechenden Unterauftragnehmer
genau zu bezeichnen und ihre Verantwortlichkeiten gegenüber denen des Auf-
tragnehmers abzugrenzen.
Daneben sollte geregelt werden, ob dem Auftragnehmer grundsätzlich das
Recht zugesprochen werden soll, künftige Unterauftragsverhältnisse abzu-
schließen. Sollte dies bejaht werden, ist ein Verfahren zu bestimmen, das den
Bestimmungen des § 11 BDSG gerecht wird und der Einwilligung des Auf-
traggebers unterliegt. Dazu ist festzulegen, dass der Vertrag mit dem Unterauf-
tragnehmer nach entsprechender Zustimmung auch Vertragsinhalt des Vertra-
ges zwischen Auftraggeber und Auftragnehmer wird.

5.2.9 9HUDUEHLWXQJLP$XVODQG

Mit der Umsetzung der EU-Richtlinie sind die Anforderungen an die Datenver-
arbeitung im Ausland neu geregelt worden. Hinsichtlich des Auftragnehmers
wird keine Unterscheidung mehr getroffen zwischen einer Datenverarbeitung in
Deutschland oder in einem Staat innerhalb der EU. Bei der Nutzung eines Ser-
vice-Rechenzentrums in einem Drittland (also außerhalb der EU) ist aber wei-
terhin der Tatbestand der Datenübermittlung gegeben, die nur unter bestimmten
Voraussetzungen erlaubt ist. Hier einige Beispiele:
- Es ist zu prüfen, ob eine positive oder negative Entscheidung der EU-
Kommission in Bezug auf ein angemessenes Schutzniveau in diesem
Drittland existiert. In 2000 wurden beispielsweise die Schweiz und Un-
garn positiv bewertet, so dass eine Auftragsdatenverarbeitung in diesen
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 115

Ländern grundsätzlich erlaubt ist.


- Es sind Standard-Vertragsklauseln zugrunde zu legen. Siehe hierzu
http://europa.eu.int/eur-
lex/de/dat/2001/1_181/i_18120010704de00190031.pdf
- Durch individuelle Vertragsklauseln, genehmigt durch die Aufsichtsbe-
hörde, können ausreichende Garantien festgelegt werden.
- In § 4c BDSG sind Ausnahmen genannt, in denen Übermittlungen in
Drittländer auch dann zulässig sind, wenn ein angemessenes Daten-
schutz-Niveau nicht gewährleistet ist. Beispiele: Wenn der Betroffene
eingewilligt hat oder ein Vertrag mit dem Betroffenen vorliegt. Der
Hinweis auf die Zweckbindung ist auf jeden Fall zu geben.
In den USA können sich Unternehmen zur Beachtung der 6DIH +DUERU-
Erklärung verpflichten. Diese US-Firmen wollen durch Einhaltung dieser Vor-
schriften ein angemessenes Datenschutz-Niveau gewährleisten. Durch die neue
US-Regierung ist die Safe-Harbor-Erklärung jedoch in Frage gestellt.
Die neue Regelung in § 11 Abs. 2 BDSG besagt, dass der Auftraggeber sich
auch bei einem Auftragnehmer im Ausland von der Einhaltung der getroffenen
technischen und organisatorischen Maßnahmen zu überzeugen hat.

5.2.10 :DUWXQJXQG3IOHJH

Per definitionem gilt gemäß § 11 Absatz 5 BDSG die Erbringung von War-
tungsarbeiten oder von vergleichbaren Unterstützungsdienstleitungen als Auf-
tragsdatenverarbeitung im Sinne des Bundesdatenschutzgesetzes.
Die Wartung und Pflege von Systemen kann beispielweise folgende
Tätigkeiten beinhalten:
n Installation und Pflege von Netzwerken, Hardware und Software u.a. (Be-
triebssysteme, Middleware, Anwendungen)
n Parametrisieren von Software
n Programmentwicklungen/-anpassungen/-umstellungen
n Durchführung von Migrationen im Produktivsystem
Wartungsmaßnahmen können direkt vor Ort oder per Fernwartung durchge-
führt werden.
Im Hinblick auf den Schutz personenbezogener Daten gegenüber unautorisier-
ter Kenntnisnahme und/oder Weiterverwendung durch externe Systembetreu-
er/Wartungspersonal sind geeignete Sicherheitsmaßnahmen einzurichten:
n Art und Umfang der Wartung sind schriftlich zu vereinbaren.
n Das Wartungspersonal ist schriftlich zur Verschwiegenheit zu verpflichten
(“Datengeheimnis”). Dieses gilt auch für Fernwartungsarbeiten (“Remote
Access”).
n Personenbezogene Daten des Produktivsystems dürfen nicht auf andere
Systeme heruntergeladen werden.
n Bei Fernwartungsmaßnahmen via Remote Access ist das Prinzip der ge-
ringsten Rechtevergabe zu beachten. Zugriffe auf produktive Rechner-
system und Anwendungen sind im Einzelfall zu autorisieren.
n Entsprechende systemseitige Protokollierungen der durchgeführten War-
tungsmaßnahmen an Programmen und Datenbeständen sind vom System-
administrator unverzüglich und in zeitlicher Nähe zur Durchführung der
Wartung sachgerecht vorzunehmen.
n Personenbezogene Daten sind vor direkten Zugriffen des Wartungsperso-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 116

nals zu schützen (z.B. über separate Partitionen); soweit im Notfall Zugriffe


auf personenbezogene Daten notwendig werden, hat der Systemadministra-
tor geeignete Maßnahmen zur Überwachung der (Fern-)Wartungspersonals
zu veranlassen, letztlich bis hin zur persönlichen Anwesenheit.
Im Rahmen regelmäßiger, systematische Wartungszugriffe über Remote Ac-
cess, die häufig – wie im Fall SAP – dazu dienen, Systemumgebungen zu aktu-
alisieren, sind von der Systemadministration des Auftraggebers Zugriffsrechte
nur auf besondere Anfrage des Auftragnehmers zu erteilen.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 117

5.3 6$3)DNWHQ

5.3.1 $XVJDQJVVLWXDWLRQ

Die Verlagerung von DV-Funktionen an Dritte (sog. Auftragsdatenverarbeitung


i.S.d. § 11 BDSG) ist ein - auch und gerade beim Einsatz von SAP - häufig an-
zutreffender Sonderfall des BDSG. Im Sinne des BDSG werden Auftraggeber
und Auftragnehmer zusammen als verantwortliche Stelle betrachtet. Dabei ist
der Auftragnehmer gegenüber dem Auftraggeber weisungsgebunden. Umge-
kehrt hat der Auftragnehmer den Auftraggeber darauf aufmerksam zu machen,
wenn dessen Weisungen nicht mit den Anforderungen des BDSG im Einklang
stehen.
Bei SAP R/3 handelt es sich um ein mandantenfähiges System mit mandanten-
und buchungskreisübergreifenden Funktionen, mit dessen Hilfe sowohl kom-
plexe Konzernstrukturen als auch mehrere, von einander unabhängige Unter-
nehmen in einem SAP-System nebeneinander abgebildet werden.
Da das BDSG kein Konzernprivileg kennt, ist unter Datenschutzaspekten auch
innerhalb eines Mandanten das Augenmerk auf die sichere Datenverarbeitung
je Buchungskreis als kleinste bilanzierungsfähige bzw. rechtlich selbständige
Einheit zu legen.
Der Umfang der an den Auftragnehmer übertragenen DV-Aufgaben wird na-
turgemäß je nach Auftrag variieren. Beispielsweise kann der Auftraggeber zu-
sätzlich zum Rechnerbetrieb (Bereitstellung von SAP-Systemen) die unter-
nehmensspezifische Pflege der SAP-Anwendungen, des Basissystems und der
Betriebssystemkomponenten mehr oder weniger auf den Auftragnehmer verla-
gern.
Aufgrund der Tatsache, dass Dienstleistungsrechenzentren i.d.R. für verschie-
dene Auftraggeber tätig sind, hat der Auftragnehmer hinsichtlich der realisier-
ten Zugriffsschutzmechanismen besondere Sorgfalt walten zu lassen, um per-
sonenbezogene Daten unterschiedlicher Anwender zu trennen bzw. vertraulich
zu behandeln.

5.3.2 6$3$GPLQLVWUDWLRQ

SAP-spezifische Aufgaben, Zuständigkeiten und Verantwortlichkeiten (z.B.


SAP-Benutzer-, Berechtigungs-, Aktivierungsadministrator, SAP-
Systemadministrator etc.) sollten daher in einer Anlage zum Vertrag eindeutig
festgelegt werden. Die Berechtigungsobjekte
• %HQXW]HUVWDPPSIOHJH%HQXW]HUJUXSSHQ
• %HQXW]HUVWDPPSIOHJH%HUHFKWLJXQJ

• %HQXW]HUVWDPPSIOHJH%HUHFKWLJXQJVSURILO
sind entsprechend den Vereinbarungen bei Auftragnehmer bzw. Auftraggeber
einzurichten.

Analoges gilt für den Aufbau einer technischen sowie fachlichen


Betreiberorganisation.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 118

5.3.3 6$3VSH]LILVFKH0D‰QDKPHQ

Im Falle der Auftragsdatenverarbeitung kommt den technischen und organisa-


torischen Maßnahmen i.S.d. § 9 BDSG und deren SAP-spezifischen Ausprä-
gungen (vgl. Kapitel 4 Umsetzung der Anforderungen aus § 9 BDSG und An-
lage: Technisch-organisatorische Maßnahmen) besondere Bedeutung zu, da sie
u.U. voneinander getrennte Zuständigkeitsbereiche betreffen.
Besonders hervorzuheben sind die nachfolgenden Punkte:

5.3.3.1 Systemadministration
Es ist sorgfältig zu prüfen, in welchem Umfang umfassende bzw. weitreichen-
de Berechtigungen bzw. Rollen an Benutzer des oder der Auftraggeber verge-
ben werden, da auf diese Weise mandanten- und buchungskreisübergreifende
Funktionen wahrgenommen werden können.
Beispielsweise können u.U. personenbezogene Daten des Buchungskreises
"xxxx" Benutzern des Buchungskreises "yyyy" zugänglich sein.
Auf der anderen Seite ist sorgfältig zu prüfen, inwiefern Administratoren des
Auftragnehmers Zugriffsrechte auf personenbezogene Daten des Auftraggebers
erhalten.

6$3B$// Berechtigung Superuser


Es gibt keine SAP_ALL Rolle. Diese ist aber leicht herzustellen, indem man
eine neue Rolle anlegt und als hereinzukopierende Vorlage SAP_ALL aus-
wählt. Es gibt nur folgende auf die Anzeige beschränkte Rollen mit
SAP_ALL.
SAP_ALL_DISPLAY_AG
SAP_ALL_HR_ONLY_AG
SAP_ALL_RESTRICTED_AG

6B$6<67(0 Berechtigung zentraler Systemverwalter


SAP_BC_BASIS_ADMIN
Systemadministrator
SAP_BC_RRR_SAA_ADMIN
Systemadministrations-Assistent: Systemadminist
SAP_BC_RRR_SAA_ADMIN_CALLONLY
Systemadministrations-Assistent: Systemadministr
SAP_BC_RRR_SAA_APPL_ADMIN
Systemadministrations-Assistent: Anwendungsadmin
SAP_BC_RRR_SAA_PROJ_LEAD
Systemadministrations-Assistent: Projektleiter
SAP_BC_RRR_SAA_USER
Systemadministrations-Assistent: Projektmitglied
SAP_BC_TRANSPORT_ADMINISTRATOR
Administration im Change and Transport System
6B$$'0,1

Berechtigung System Operator


Siehe S_A.SYSTEM.
6B$&86720,=
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 119

Berechtigung Customizing
SAP_BC_CUS_CUSTOMIZER
6B$'(9(/23

Berechtigung Anwendungsentwickler
SAP_BC_DWB_ABAPDEVELOPER
ABAP Entwickler

5.3.3.2 Change and Transport Organizer (CTO/CTS)


Falls die SAP-Anwendungsentwicklung bzw. die Berechtigung zum Ändern
von Entwicklungsobjekten auf den Auftragnehmer verlagert wird, ist bei die-
sem sicherzustellen, dass Testdaten (häufig handelt es sich um Originaldaten
des Produktivsystems für Integrationstests) nur den jeweiligen rechtlich selb-
ständigen Einheiten (Buchungskreisen) als "Dateneigentümer" bzw. beauftrag-
ten Dritten zur Verfügung stehen.
Grundsätzlich dürfen zur Erhaltung der Sicherheit der Datenbestände, zum
Schutz vor unberechtigter Kenntnisnahme von personenbezogenen Daten und
zur Nachvollziehbarkeit der Buchführung die Berechtigung zur Anwendungs-
entwicklung in einem produktiven SAP-System nicht vergeben werden. Wenn
Notfall-User mit diesen Berechtigungen existieren, muss organisatorisch si-
chergestellt werden, dass alle Tätigkeiten dieser Benutzer inhaltlich dokumen-
tiert werden.

5.3.3.3 Early Watch bzw. Remote Access


Wartungs- und Pflegeaktivitäten via Datenleitung erfolgen bei SAP grundsätz-
lich über zwei Kanäle:
n Early Watch Service
n Remote Access Service
Da es sich auch bei einem Zugriff der SAP oder auch anderer Dienstleister im
Rahmen von Serviceleistungen um Auftragsdatenverarbeitung handelt, sollten
entsprechende Regelungen über Art, Umfang und Zulässigkeit der Pflegemaß-
nahmen getroffen werden.
Der User Earlywatch ist der Dialogbenutzer für den Earlywatch-Service im
Mandanten 066. Er wird nur für den Performance Monitor benötigt. I.d.R. wird
dies lediglich auf Anforderungen der entsprechenden Gesellschaft durchge-
führt. Grundsätzlich sollte dieser Benutzer nicht über das Profil SAP_ALL ver-
fügen, da ansonsten u. a. auch die Pflege von mandantenübergreifenden Tabelle
möglich ist. Somit sind auch hier aktivitätsbezogene Rollen zu erstellen.
Die o.g. Anforderungen bzgl. der vergebenen Rechte gelten auch entsprechend
bei Wartungs-, Pflege- und Supportmaßnahmen, die über Remote Access erfol-
gen.
Zum Schutz dieses Benutzers vor unberechtigtem Zugriff ist das Initial-
Kennwort zu ändern. Weiterhin sollten auch hier technische und organisatori-
sche Maßnahmen ergriffen werden, über die sichergestellt ist, dass ausschließ-
lich Funktionen ausgeführt werden, die für die Nutzung dieses Benutzers vor-
gesehen sind.
Zur Kontrolle der von der SAP durchgeführten Maßnahmen des Benutzers Ear-
lywatch kann bspw. das Security Audit Log genutzt werden. Weiterhin ist zu
empfehlen, dass dieser Benutzer nur gemäß einem beschriebenen Verfahren
temporär entsperrt wird.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 120

5.3.3.4 RFC und ALE


Der Remote Function Call (RFC) dient der Kommunikation zwischen verteil-
ten Programmen in einer R/3-Systemlandschaft. Mit Hilfe von RFC können
Funktionsbausteine in einem fremden R/3-System aufgerufen werden und die
Ergebnisse an das aufrufende R/3-System zurückgegeben werden.
Die Technik von RFC bildet auch die Grundlage für weitere R/3-spezifische
Schnittstellenmethoden wie Application Link Enabling (ALE) und Business
Application Programms Interface (BAPI).
Wenn externe Systeme angebunden werden oder eine Wartung/Pflege über
RFC erfolgt, sind die ausgeführten Funktionalitäten, da es sich hier ggf. wie-
derum um Datenverarbeitung im Auftrag durch fremde Dritte handelt,
n anforderungsgerecht zu definieren
n technische sowie organisatorische Maßnahmen zu ergreifen, über die si-
chergestellt wird, dass ein dem BDSG entsprechendes Datenschutzniveau
aufrecht erhalten wird.

5.3.3.5 Job-Abwicklung
Zwischen Auftraggeber und Auftragnehmer sind die Verantwortlichkeiten be-
züglich Job-Auftrag, Job-Durchführung und Job-Überwachung klar schriftlich
zu definieren (z.B. Personalabrechnungslauf, Mahnlauf). Diese Verfahrensan-
weisungen sollten sowohl den Fachabteilungen des Auftraggebers als auch den
EDV-Zuständigen des Auftragnehmers vorliegen.
Die im SAP-System generierten Job-Protokolle weisen nach, mit welchen Pa-
rametern ein Job gelaufen ist. Sie sind daher entsprechend zu schützen. I.d.R.
wird für die Aufbewahrung der Job-Protokolle der Auftragnehmer zuständig
sein.
Die handelsrechtlichen Aufbewahrungsfristen für die Job-Dokumentation
betragen mindestens 10 Jahre. Sie muss innerhalb dieses Zeitraums also auch
für den DSB verfügbar sein.
Die vertrauliche Handhabung der für die jeweiligen rechtlich selbständigen
Einheiten ausgedruckten Listen, die personenbezogenen Daten enthalten, ist
sicherzustellen (vgl. auch § 3 Absatz 2 BDSG)

5.3.3.6 PC-Download
Die Übertragung von SAP-Daten aus der "gesicherten SAP-Umgebung" per
PC-Download ist ab 4.0 über das Berechtigungsobjekt S_GUI zu schützen.
In Releases ab 3.0C kann über Download-Funktionsbausteine der Download
unterbunden bzw. protokolliert werden (siehe hierzu SAP-Hinweis 28777).
Auf einem PC hat der Benutzer die Möglichkeit durch Bildschirmabgriff (Cut
and Paste) Daten von der Anzeige zu kopieren. Hierfür müssen beim Auftrag-
nehmer geeignete organisatorische Rahmenbedingungen geschaffen werden,
die verhindern, dass personenbezogene Daten ohne Wissen des Auftraggebers
beim Auftragnehmer anderweitig nutzbar gemacht werden.

5.3.3.7 Datenbank- und LAN-Umgebung


Seitens der SAP werden im Sicherheitsleitfaden grundsätzliche Empfehlungen
zur Installation in Bezug auf die Datenbank und das Netzwerk gegeben.
Für die Auftragsdatenverarbeitung bedeutet dies, dass je Auftraggeber eigene
Mandanten oder Systeme eingesetzt werden.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 121

5.3.3.8 Mandantenübergreifende Funktionen


Beim Kopieren von Mandanten zwischen zwei Systemen mit den Transaktio-
nen SCC0 bzw. SCC2 ist vom Auftragnehmer entsprechende Sorgfalt anzu-
wenden. Gegebenenfalls sind entsprechende Weisungen von dem oder den
Auftraggebern einzuholen.
Dieses gilt selbstverständlich auch für die Transaktion SCC5 0DQGDQWHQ O|

VFKHQ.

5.3.3.9 SAP-Protokolle
Unter Datenschutz- und Haftungsaspekten hat der Auftragnehmer archivierte
SAP-Protokolle als Nachweis für die Ausführung der Datenverarbeitung i.S.d.
vertraglichen Vereinbarungen und möglichen Nachkontrollen aufzubewahren.
Die Auftragskontrolle kann Job-Protokolle, Terminpläne, Sonderarbeitennach-
weise, Customizing-Aufträge, Transportaufträge etc. umfassen.
Die Aufbewahrungsfristen könnten an die handels- und steuerrechtlichen Vor-
schriften anlehnt werden.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 122

5.4 5LVLNHQ

Werden personenbezogenen Daten im Auftrag durch eine andere datenverarbei-


tende Stelle verarbeitet oder genutzt, besteht die Gefahr, dass der Auftragneh-
mer der DV-Dienstleistung datenschutzrechtliche Anforderungen oder vertrag-
liche Vereinbarungen nicht hinreichend beachtet.
Letztlich ist jedoch die Unternehmensleitung des Auftraggebers gegenüber den
Betroffenen und den Aufsichtsbehörden verantwortlich.
Aufgrund dieses Sachverhalts resultiert die Verpflichtung des Auftraggebers,
sich von der sachgerechten Einhaltung der datenschutzrechtlichen und vertrag-
lichen Vorgaben zu überzeugen.
Gleichzeitig ist der Auftragnehmer verpflichtet, unter Beachtung des Daten-
schutzes die sorgfältige Handhabung personenbezogener Daten verschiedener
Auftraggeber (SAP-Anwender) zu gewährleisten und die unautorisierte Über-
mittlung solcher Daten zu verhindern.
Der Auftragnehmer ist insofern für die angemessene organisatorische Einbin-
dung der für die Verarbeitung personenbezogener Daten eingesetzten SAP-
Systeme in das eigene interne Kontrollsystem verantwortlich.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 123

6 Besondere Themen

6.1 $OOJHPHLQH7HFKQLNHQ

6.1.1 Audit-Informationssystem (AIS)

Das AIS ist ein Arbeitsmittel für den Auditor, Datenschutzbeauftragten und
DV-Revisor. Das AIS führt zu einer Verbesserung der Prüfungsqualität und ei-
ner Rationalisierung des Prüfungsablaufes.
Es ist eine Sammlung, Strukturierung und Voreinstellung von Prüfungsfunkti-
onen wie
- Prüfungshandlungen inklusive Dokumentation
- Prüfungsauswertungen
- Download von Prüfungsdaten

Der Datenschutzbeauftragte kann das AIS insbesondere nutzen für


- Datenschutzprüfungen (siehe Kapitel 2.1 und 4.3.1)
- Auskunftsersuchen (siehe Kapitel 3.1.1)
- das Erstellen von Übersichten (siehe Kapitel 2.3.3)

Das System ist weiterhin einsetzbar für


- Systemprüfungen
- das laufende Controlling
- Vorprüfungen
- die Erstellung des Jahresabschlusses
- und Abschlussprüfungen.

Weitere Information entnehmen Sie bitte der Dokumentation des Audit-


Informationssystems bzw. dem SAP-Hinweis 77503 ‘Auditor Arbeitsplatz’.

6.1.2 Favoritenliste

Der Datenschutzbeauftragte ist i.d.R. ein gelegentlicher Benutzer am R/3-


System. Er hat aber zur Erfüllung seiner Aufgaben eine Vielzahl von unter-
schiedlichen Systemfunktionen zu bedienen. Hierzu lässt sich als Gedächtnis-
stütze eine eigene Favoritenliste anlegen. Dort lassen sich - auch unter eigenen
Bezeichnungen - die überwiegend benötigten Transaktionen eintragen, z.B.
• die SE11und SE16 des ABAP Dictionaries
• die Auswertungen des Berechtigungswesens mittels SUIM
• die für die Erstellung einer Auskunft benötigten Funktionen
Dies gilt allerdings nur für Transaktionen. Bei Reports, Queries oder Tabellen-
anzeigen lassen sich jedoch die jeweiligen Bezeichnungen der Objekte in die
selbstgewählte Überschrift der allgemeinen Transaktionen SA38 SE16 oder
SQ00 mit aufnehmen. Z.B. bezeichnet man die Überschrift zu der Tabellenan-
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 124

zeige für die TSTCT-Tabelle (Anzeige der Transaktionen im System) auch mit:
Tabellenanzeige für die TSTCT-Transaktionsübersicht.
Das Anlegen der individuellen Favoritenliste ist in der R/3-Dokumentation be-
schrieben. Beispiele von Transaktionen, die in die individuelle Favoritenliste
eingetragen werden sollten, finden sich im Kapitel 1 des FI-Prüfleitfadens.

6.1.3 Reportingbaum

Ergebnisse von Reportläufen - wie etwa die eben erwähnte Transaktionsüber-


sicht - lassen sich an Stelle eines Ausdrucks oder eines Downloads auch in Re-
portingbäumen zwischenspeichern. Dies kann eine Technik zur Erfüllung der
notwendigen Dokumentationserfordernisse des Datenschutzes sein.
Zur Benutzung dieser Technik vergleiche den entsprechenden Abschnitt in der
R/3-Dokumentation, bzw. die angezeigten Hilfetexte bei der Ausführung dieser
Funktionen.

6.1.4 Reportvarianten

Für immer wiederkehrende Auswertungen lassen sich Reportvarianten anlegen


und abspeichern. Diese Varianten können im Bedarfsfall jederzeit aufgerufen
werden. Zur Vorgehensweise vgl. hierzu die SAP-Dokumentation.

6.2 $QZHQGHUVFKXOXQJEHUGDV9HUDQVWDOWXQJVPDQDJHPHQW

Prozesse im Veranstaltungsmanagement
• Veranstaltungsvorbereitung
• Veranstaltungsangebot
• Tagesgeschäft
• Wiederkehrende Arbeiten

Die 9HUDQVWDOWXQJVYRUEHUHLWXQJ beinhaltet das Anlegen und die Pflege der


Stammdaten.
Menüpfad:
Personal -> Veranstaltungsmanagement -> Einstellungen ->
laufende Einstellungen
Zu den Stammdaten gehören Kosten, Zeit, Ort, Veranstalter, Teilnehmer, Ver-
anstaltungsgruppe (Zusammenfassung von Veranstaltungstypen), Veranstal-
tungstyp (Veranstaltungen mit gleichen Eigenschaften) und Ressourcen.

Eine Voraussetzung für das Arbeiten mit dem Veranstaltungsmanagement ist


das Erstellen eines Veranstaltungsangebotes, d. h. das Planen und Anlegen
von Terminen. Ausgehend von Veranstaltungsgruppe und –typ werden konkre-
te Termine von Veranstaltungen mit oder ohne Ressourcen angelegt oder auf-
grund von vorliegenden Bedarfen geplant.

Menüpfad
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 125

Personal -> Veranstaltungsmanagement -> Veranstaltungen ->


Termine

Sobald ein solches Angebot erstellt ist, kann zum Tagesgeschäft übergegangen
werden. Das Tagesgeschäft umfasst alle Aktivitäten, die die Buchungsvorgänge
betreffen. Es können z. B. Teilnahmen auf Veranstaltungen gebucht werden
oder Stornierungen durchgeführt werden. Für jede Aktivität ist eine entspre-
chende Korrespondenz vorhanden. Das Tagesgeschäft kann wie folgt durchge-
führt werden:
Menüpfad
Personal -> Veranstaltungsmanagement -> Teilnahmen

Wiederkehrende Arbeiten, die immer wieder auftreten, sind das Fixieren,


Sperren und Entsperren, Absagen und Nachbereiten von Veranstaltungen. Die
Ab- und Verrechnung von Teilnahmen ist ebenfalls möglich.
Menüpfad:
Personal -> Veranstaltungsmanagement -> Veranstaltungen

Menüs im Veranstaltungsmanagement
Im Veranstaltungsmanagement sind verschiedene Menüs hinterlegt. Daten, die
in einem Menü angelegt werden, werden auch gleichzeitig in andere Menüs
übernommen.
Menüpfad:
3HUVRQDO ! 9HUDQVWDOWXQJVPDQDJHPHQW ! 9HUDQVWDOWXQJ !

9HUDQVWDOWXQJVPHQ (PSV2)
Im Veranstaltungsmenü werden Veranstaltungstermine angelegt und geändert
sowie Ressourcen verwaltet.

Menüpfad:
Personal -> Veranstaltungsmanagement -> Teilnahmen ->
Teilnahmemenü (PSV1)
Im Teilnahmemenü werden sämtliche Buchungsvorgänge und die
Korrespondenz erledigt.

Menüpfad:
Personal -> Veranstaltungsmanagement -> Infosystem -> Aus-
kunftsmenü (PSV3)
Im Auskunftsmenü können alle Standardauswertungen zu Veranstaltungen,
Teilnahmen und Ressourcen erstellt werden.

Menüpfad:
3HUVRQDO! 9HUDQVWDOWXQJVPDQDJHPHQW ! 5HVVRXUFHQ ! 5HV

VRXUFHQPHQ(PSVR)
Im Ressourcenmenü können alle Ressourcentypen und Ressourcen des
Veranstaltungsmanagements verwaltet werden.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 126

Menüpfad:
3HUVRQDO ! 9HUDQVWDOWXQJVPDQDJHPHQW ! :HUN]HXJH !

:HUN]HXJPHQ (PSVT)
Im Werkzeugmenü können Infotypen für mehrere Objekte gleichzeitig bearbei-
tet werden und die Objekte des Veranstaltungsmanagements übersetzt werden.

Menüpfad:
3HUVRQDO ! 9HUDQVWDOWXQJVPDQDJHPHQW ! (LQVWHOOXQJHQ !

ODXIHQGH(LQVWHOOXQJHQ!6WDPPGDWHQNDWDORJ(OOC3)
In der Übersicht der Veranstaltungshierarchie können Stammdaten angelegt
und geändert werden sowie Verknüpfungen zu bestehenden Objekten angelegt
werden.

Reports im Veranstaltungsmanagement
Reports im Veranstaltungsmanagement beginnen mit den Buchstaben RH. Für
die Tätigkeit des Datenschutzbeauftragten sind die folgenden Reports zu emp-
fehlen:
Der Report 5+;4$1) (Voraussetzungsabgleich) listet bei Angabe der Da-
tenschutz-Schulung unter Veranstaltungsauswahl alle geschulten Personen auf.
Über Optionen (ungleich Datenschutz-Schulung) lässt sich einstellen, dass die
Auswertung fürQLFKW geschulte Anwender erfolgt.
Weitere Reports zur Unterstützung des Datenschutzbeauftragten sind:
- RHBUCH00 (Buchungen pro Teilnehmer)
- RHABLAUF (Veranstaltungsablauf)
- RHKBED00 (Veranstaltungsbedarf)
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 127

7 Glossar

7.1 :LFKWLJH%HJULIIHGHV%'6*

3HUVRQHQEH]RJHQH'DWHQ

Einzelangaben über persönliche oder sachliche Verhältnisse einer Bestimmten


oder bestimmbaren natürlichen Person (Betroffener), wie Angaben zur
Religionszugehörigkeit, Gesundheit etc.

%HVRQGHUH$UWHQSHUVRQHQEH]RJHQHU'DWHQ

Angaben über die rassische und ethnische Herkunft, politische Meinungen, re-
ligiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit,
Gesundheit oder Sexualleben.

%HWURIIHQHU

Person, deren Daten verarbeitet bzw. genutzt werden.

$XWRPDWLVLHUWH9HUDUEHLWXQJ

Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz


von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht
automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut
ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden
kann.

1XW]HQ

Jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbei-


tung handelt.

9HUDQWZRUWOLFKH6WHOOH

Jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt,
verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Als
verantwortliche Stelle gilt ein Unternehmen/Behörde, nicht z.B. einzelne Ab-
teilungen.

'ULWWHU

Jede Person oder Stelle außerhalb der verantwortlichen Stelle. Für das Unter-
nehmen / die Behörde ist also auch jede Gruppengesellschaft Dritter im Sinne
des Gesetzes.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 128

7.2 6$3%HJULIIH

$%$3 (Advanced Business Application Programming)


Programmiersprache, die SAP zur Entwicklung von Anwendungsprogrammen
entwickelt hat.


$FFHOHUDWHG6$3 (ASAP)
Durchgängige, phasenorientierte Lösung der SAP zur effizienten und kontinu-
ierlichen Einführung von SAP R/3.

$%$35HSRUW

ABAP-Programm, das Daten aus Datenbanktabellen liest, auswertet und in man-


chen Fällen auch ändert. Jeder ABAP-Report hat den Programmtyp Ausführbares
Programm und ist oft mit einer bestimmten logischen Datenbank verbunden.


6$34XHU\

Werkzeug, das Benutzern ohne Kenntnis der ABAP-Programmiersprache die


Möglichkeit bietet, eigene Auswertungen zu definieren und auszuführen. In der
SAP Query werden nur Texte eingegeben und Felder und Optionen markiert, die
den Aufbau der Auswertungen bestimmen sollen. Die Listen können bei Bedarf
im WYSIWYG-Modus mit Drag & Drop und mit zur Verfügung stehenden Werk-
zeugleisten editiert werden.


$%$34XHU\

Werkzeug der ABAP Workbench, das Benutzern ohne Kenntnis der ABAP-
Programmiersprache die Möglichkeit bietet, eigene Auswertungen zu definieren
und auszuführen.

In der ABAP Query werden nur Texte eingegeben und Felder und Optionen mar-
kiert, die den Aufbau der Auswertungen bestimmen sollen. Die Felder werden
über Sachgebiete ausgewählt.


7UDQVDNWLRQ

Logisch abgeschlossener Vorgang im R/3-System. Aus Sicht des Benutzers


stellt eine Transaktion eine Einheit dar (z.B. das Erzeugen einer Liste bestimm-
ter Kunden, das Ändern der Anschrift eines Kunden, das Erstellen einer Flugre-
servierung für einen Kunden oder die Ausführung eines Programms).

Aus der Sicht der Dialogprogrammierung ist eine Transaktion ein komplexes
Objekt, das aus einem Modulpool und Dynpros besteht und mit einem Transak-
tionscode aufgerufen wird.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 129

'\QSUR (Dynamisches Programm)


Ein Dynpro besteht aus einem Bildschirmbild und der unterliegenden Ablauf-
logik.

%HUHFKWLJXQJ

Ermächtigung, eine bestimmte Aktion im SAP-System durchzuführen. Jede


Berechtigung bezieht sich auf ein Berechtigungsobjekt. Sie definiert einen
Wert oder mehrere Werte für jedes Berechtigungsfeld, das im
Berechtigungsobjekt enthalten ist. Berechtigungen werden in Profilen
zusammengefasst, die im Stammsatz des Benutzers eingetragen werden.

%HUHFKWLJXQJVREMHNW

Ermöglicht es, komplexe Berechtigungen zu definieren. Es umfasst bis zu 10


Berechtigungsfelder, die in einer UND-Verknüpfung geprüft werden. Dabei
wird ermittelt, ob ein Benutzer eine bestimmte Aktion ausführen darf. Um die
Berechtigungsprüfung erfolgreich zu durchlaufen, muss der Benutzer die Prü-
fung für jedes im Objekt enthaltene Feld bestehen.


2EMHNWNODVVH

Vorlage für Objekte in ABAP Objects. Klassen werden lokal in ABAP-


Programmen oder global mit dem Class Builder in der ABAP Workbench defi-
niert. Klassen werden durch Vererbung aus Oberklassen abgeleitet. Klassen
können auch Interfaces implementieren.


3URILOH

Berechtigungsprofile geben den Benutzern Zugriff auf das System. Sie enthal-
ten Berechtigungen, die durch den Namen eines Berechtigungsobjektes und den
Namen einer Berechtigung identifiziert werden. Wird ein Profil in einem Be-
nutzerstammsatz eingetragen, so sind einem Benutzer damit alle in diesem Pro-
fil enthaltenen Berechtigungen zugeordnet.


6DPPHOSURILOH

Von Berechtigungsprofilen abweichende Profile. Ein Sammelprofil weist dem


Benutzer alle enthaltenen Einzel- und Sammelprofile zu.


5ROOH IUKHU$NWLYLWlWVJUXSSH 

Auswahl von Transaktionen, Berichten und Internet-/Intranet-Links, die eine


bestimmte Gruppe von Anwendern für ihre tägliche Arbeit benötigt. Der SAP-
Standard enthält eine Vielzahl vordefinierter Benutzerrollen (Aktivitätsgrup-
pen). Diese können übernommen oder geändert werden.

6DPPHOUROOH
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 130

Zusammenstellung von Rollen. Benutzer, denen eine Sammelrolle zugeordnet


wird, werden beim Abgleich in die zugehörigen Rollen eingetragen. Aus den
Menüs der Rollen wird ein neues Menü aufgebaut. Dieses kann geändert wer-
den.


3URILOJHQHUDWRU

Werkzeug zur Erzeugung von Berechtigungsprofilen. Mit dem Profilgenerator


kann man auf der Grundlage der in einer Rolle enthaltenen Aktivitäten automa-
tisch ein Berechtigungsprofil erzeugen.


&KDQJH 7UDQVSRUW6\VWHP CTS 

Übertragung von R/3-Systemkomponenten von einem System in ein anderes.


Die zu transportierenden Komponenten sind in der Objektliste eines Transport-
auftrags aufgeführt.

Jeder Transport besteht aus einem Export- und einem Importprozess:


ΠDer Exportprozess liest die Objekte aus dem Quellsystem und legt sie
in Datendateien auf Betriebssystemebene ab.
ΠDer Importprozess liest die Objekte aus der Datendatei und schreibt sie
auf die Datenbank des Zielsystems.
Das System protokolliert alle Aktionen der Export- und Importprozesse.


9LHZ

Anwendungsabhängige Sicht auf verschiedene Tabellen im ABAP Dictionary.


Beim Anlegen einer Tabelle wird ein Schlüssel nach programmtechnischen Ge-
sichtspunkten vergeben. Die dort enthaltenen Felder könnten für die Lösung ir-
gendeiner Aufgabe überflüssig oder nicht ausreichend sein. In diesem Fall kann
ein View über mehrere Tabellen oder Teile von Tabellen angelegt werden.

$%$3/LVWYLHZHU (ALV)

Format von Drucklisten aus dem R/3-System.



Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 131

7.3 *UXQGEHJULIIHGHV'LFWLRQDU\

Die Begriffe sind Auszüge der R/3 Online-Dokumentation.

hEHUEOLFN*UXQGREMHNWH

Die zentrale Datenstruktur des Dictionary ist die Tabelle. Eine Tabelle besteht
aus einer Liste von Feldern. Jedes Tabellenfeld wird einem Datenelement zu-
geordnet, das die inhaltliche Bedeutung des Feldes beschreibt. Das Datenele-
ment ist wiederum einer Domäne zugeordnet, die die technischen Eigenschaf-
ten des Feldes bestimmt.
Datenelemente und Domänen sind eigenständige Objekte im Dictionary. Des-
halb kann ein Datenelement für mehrere Felder verschiedener Tabellen ver-
wendet werden. Eine Domäne kann in verschiedenen Datenelementen verwen-
det werden. Dies ermöglicht die Wiederverwendung von einmal definierten
Objekten sowie die automatische Konsistenthaltung von Feldern mit gleichen
inhaltlichen bzw. technischen Eigenschaften.

7DEHOOH

Im Dictionary können Tabellen in einer datenbankunabhängigen Weise defi-


niert werden. Hierzu werden die Felder der Tabelle mit ihren datenbankunab-
hängigen (externen) Datentypen und Längen definiert. Weiterhin können tabel-
lenspezifische Einstellungen, wie z.B. die Pufferung der Tabelle oder Indizes
zur Tabelle definiert werden.
Zu der im Dictionary abgelegten Tabellendefinition wird beim Aktivieren der
Tabelle eine physische Tabellendefinition auf der Datenbank angelegt. Dabei
wird die datenbankunabhängige Tabellendefinition aus dem Dictionary in eine
Definition der jeweiligen Datenbank übersetzt.

)HOGQDPHQ

Jedes Feld verweist auf ein Datenelement und damit auf eine Domäne, um de-
ren Eigenschaften zu übernehmen. Seine formalen Eigenschaften werden durch
die Domäne bestimmt, seine inhaltliche Funktion durch das ihm zugeordnete
Datenelement.
Da die Eigenschaften von Tabellenfeldern im Dictionary auf drei Ebenen ver-
teilt sind (Felder, Datenelemente und Domänen) und jeweils nur einem dieser
Objekte zugeordnet sind, muss jedes Feld sowohl auf ein Datenelement als
auch auf eine Domäne verweisen. Damit ist die Konsistenz von technisch und
fachlich gleichartigen Feldern über Tabellen hinweg gewährleistet.


'DWHQHOHPHQW

Ein Datenelement (semantische Domäne) beschreibt die Rolle eines Feldes in


einem betriebswirtschaftlichen Zusammenhang. Felder gleicher inhaltlicher
Bedeutung verweisen auf das gleiche Datenelement.

'RPlQH

Eine Domäne beschreibt die technischen Eigenschaften eines Tabellenfeldes.


Eine Domäne bestimmt einen Wertebereich, der die gültigen Datenwerte für
die Felder beschreibt, die sich auf diese Domäne beziehen.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 132

Verschiedene technisch gleichartige Felder werden durch eine Domäne zu-


sammengefasst. Felder, die (über die ihnen zugeordneten Datenelemente) auf
dieselbe Domäne verweisen, werden bei einer Änderung der Domäne gleichzei-
tig mitgeändert. Damit ist die Konsistenz dieser Felder sichergestellt.

6WUXNWXU

Im Dictionary kann auch der Aufbau der Daten, die bei Berechnungen inner-
halb von Programmen oder bei der Datenübergabe zwischen Programmen auf-
treten, global definiert werden. Dies geschieht durch die Definition einer Struk-
tur. Eine Struktur wird im Dictionary wie eine Tabelle definiert und kann dann
aus ABAP-Programmen heraus angesprochen werden. Eine Änderung der De-
finition der Struktur im Dictionary wird automatisch in allen Programmen
wirksam.

3RROWDEHOOHQ

Bei diesem Tabellentyp handelt es sich um logische Tabellen, die bei ihrer
Definition einem Tabellenpool zugeordnet werden müssen.
Pooltabellen können benutzt werden, um Steuerdaten (z.B. Dynprofolgen oder
Programmparameter) abzulegen. Mehrere Pooltabellen können in einem Tabel-
lenpool zusammengefasst werden. Die Daten dieser Pooltabellen werden dann
in einer gemeinsamen Tabelle auf der Datenbank gespeichert.

&OXVWHUWDEHOOHQ

Bei diesem Tabellentyp handelt es sich um logische Tabellen, die bei ihrer
Definition einem Tabellencluster zugeordnet werden müssen.
Clustertabellen können benutzt werden, um Steuerdaten (z. B. Dynprofolgen
oder Programmparameter) abzulegen. Weiterhin können temporäre Daten oder
fortlaufende Texte, wie zum Beispiel Dokumentation, in Clustertabellen
abgelegt werden.
Mehrere Clustertabellen können in einem Tabellencluster zusammengefasst
werden. Die Daten der Clustertabellen werden dann im gemeinsamen Tabel-
lencluster auf der Datenbank abgelegt.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 133

8 Literatur
Die nachfolgende Auflistung erhebt keinen Anspruch auf Vollständigkeit.


• $EHO Praxishandbuch Datenschutz. Interest Verlag, Augsburg




• %HUJPDQQ0|KUOH+HUE Datenschutzrecht Handkommentar. Richard


Boorberg Verlag, Stuttgart 1996


• Aufbewahrungsnormen und -fristen im Perso-


%ROWHQ 5DOSK 3XOWH 3HWHU

nalbereich, 1999, 4. überarbeitete Auflage

• &KULVWLDQV 'DQLHO Das neue Bundesdatenschutzgesetz: Die Änderungen


im Überblick. In: Datenschutz Nachrichten 4/2000


• 'DPPDQQ 8OULFKLQ6LPLWLV'DPPDQQ*HLJHU0DOOPDQQ:DO]

Kommentar zum Bundesdatenschutzgesetz. Nomos Verlagsanstalt, 1995

• '|UU (UZLQ6FKPLGW 'LHWPDU Neues Bundesdatenschutzgesetz, Hand-


kommentar, 3. Auflage. Datakontext-Verlag, Köln 1997

• *'' Datenschutz im Unternehmen: Arbeitshilfe für betriebliche Praxis.


Gesellschaft für Datenschutz und Datensicherung e.V., Bonn 1994, 4. Auf-
lage

• *HHVPDQQ *ODXFK +RKQKRUVW : SAP R/3 Datenschutz und Sicherheits-


management, Ottokar Schreiber Verlag, Hamburg 2000

• +RUQEHUJHU :HUQHU 6FKQHLGHU -UJHQ : Sicherheit und Datenschutz mit


SAP-Systemen. Galileo-Press, Bonn 2000

• 0WKOHLQ+HFN Outsourcing und Datenschutz. Datakontext-Verlag, Köln


1997, 2. Auflage

• .RFK +DQV'LHWULFK Der betriebliche Datenschutzbeauftragte. Datakon-

text-Verlag, Köln 1992, 3. Auflage,

• 6FKDIIODQG:LOWIDQJ Bundesdatenschutzgesetz (BDSG), Ergänzbarer


Kommentar nebst einschlägigen Rechtsvorschriften. Erich Schmidt Verlag,
Berlin 1997

• 6WULHEHFN8ZH%HUQG*ODXFK7KRPDV+RKQKRUVW*HRUJ.XPSI

-RKDQQHV6WHLQ5HLQHU SAP Handbuch Sicherheit und Prüfung,

IDW Verlag, Düsseldorf 2000


Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 134

• :LOO /LDQH SAP R/3 Systemadministration. Addison Wesley Longman

Verlag, Bonn 1998


Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 135

9 Anlagen
Anlage 1: Verpflichtung auf das Datengeheimnis

Anlage 2: Merkblatt für Mitarbeiter, die mit Daten natürlicher


Personen zu tun haben
Anlage 3: Beteiligung des Datenschutzbeauftragten am ASAP-
Vorgehensmodell (Release 4.5)
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 136

9.1 $QODJH

9.1.1 Verpflichtung auf das Datengeheimnis

Unternehmen/Behörde Datum
Datenschutzbeauftragter

9HUSIOLFKWXQJDXIGDV'DWHQJHKHLPQLV

Im Rahmen Ihrer Tätigkeit haben Sie auch mit Daten natürlicher Personen zu
tun.

Nach § 5 Bundesdatenschutzgesetz dürfen von Ihnen personenbezogene Daten


nur zu dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck
erhoben, verarbeitet oder genutzt werden. Ihre Verpflichtung auf dieses Daten-
geheimnis besteht auch nach Beendigung Ihrer Tätigkeit fort.

Bitte bestätigen Sie durch Ihre Unterschrift auf der Kopie dieses Briefes, dass
Sie von dieser Verpflichtung, von dem beiliegenden Auszug aus den §§ 1, 2, 3,
5, 9, 43, 44 des Bundesdatenschutzgesetzes und dem beiliegenden Merkblatt
Kenntnis genommen haben.

Kenntnis genommen:

.............................................................., den .........................20...........

..............................................................
Unterschrift

Anlage
Auszug aus BDSG
Merkblatt
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 137

9.2 $QODJH

9.2.1 Merkblatt Datenschutz

Unternehmen/Behörde Datum
Datenschutzbeauftragter

0 H U N E O D W W   IU 0LWDUEHLWHU GLH PLW 'DWHQ QDWUOLFKHU 3HUVRQHQ ]X

WXQKDEHQ

Dieses Merkblatt soll mit den wichtigsten Bestimmungen und Begriffen des
Bundesdatenschutzgesetzes (BDSG) vertraut machen. Darüber hinaus werden
einige Empfehlungen gegeben, wie Sie im Umgang mit personenbezogenen
Daten Verstöße gegen das BDSG vermeiden können.

In Zweifelsfällen sprechen Sie bitte Ihren Vorgesetzten an oder wenden sich an


den Datenschutzbeauftragten. Von ihm können Sie auch - falls gewünscht - ei-
ne Kopie des Gesetzestextes erhalten.


9RUDXVVHW]XQJ IU GLH =XOlVVLJNHLW GHU 9HUDUEHLWXQJ XQG 1XW]XQJ SHUVR

QHQEH]RJHQHU'DWHQ

Mit dem BDSG wird grundsätzlich die Verarbeitung und Nutzung personenbe-
zogener Daten untersagt, es sei denn, dieses Gesetz selbst oder andere Rechts-
vorschriften erlauben Sie oder der Betroffene, d. h. die Person, um deren Daten
es sich handelt, stimmt in freier Entscheidung - in schriftlicher Form - zu. Die
unerlaubte Verarbeitung und Nutzung von Daten natürlicher Personen ist unter
Strafe gestellt.
Für den Bereich der privaten Wirtschaft gilt das BDSG nur dann, wenn sie per-
sonenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen verarbei-
ten, nutzen oder dafür erheben. Erlaubt ist diese Verarbeitung oder Nutzung im
wesentlichen unter folgenden Voraussetzungen:
• Es liegt ein Vertragsverhältnis (z.B. Arbeitsvertrag) oder ein vertragsähnli-
ches Vertrauensverhältnis (z.B. bei Bewerbungen) mit dem Betroffenen
vor. Es dürfen jedoch nur die Daten verarbeitet werden, die der Zweckbe-
stimmung des Vertragsverhältnisses oder vertragsähnlichen Vertrauensver-
hältnisses dienen (bei einem arbeitsrechtlichen Vertragsverhältnis dürfen
z.B. keine Daten über Parteizugehörigkeit oder Hobbys gespeichert werden,
da sie für die Erfüllung des Vertrages nicht notwendig sind).
• Die Verarbeitung der Daten ist für die verantwortliche Stelle zur Wahrung
ihrer berechtigten Interessen erforderlich. Es darf jedoch kein Grund für die
Annahme bestehen, dass der Betroffene ein überwiegendes Interesse daran
hat, dass seine Daten nicht verarbeitet werden.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 138

• Für die verantwortliche Stelle ist die Verarbeitung zur Durchführung wis-
senschaftlicher Forschung erforderlich. Das wissenschaftliche Interesse
muss allerdings ein mögliches Gegeninteresse des Betroffenen erheblich
übersteigen und der Forschungszweck darf nicht auch auf andere Weise mit
angemessenem Aufwand erreicht werden können.

Über diese Tatbestände hinaus ist eine Übermittlung von personenbezogenen


Datenan eine Stelle außerhalb des Unternehmens/Behörde dann zulässig, wenn
ein Dritter ein berechtigtes Interesse an dieser Übermittlung hat (z.B. Ausglie-
derung eines ganzen Geschäftszweiges an eine andere Gruppengesellschaft mit
Übergabe aller Kundendaten), oder wenn ein öffentliches Interesse vorliegt
(z.B. Auskunftsersuchen von Behörden, für die allerdings meist eine spezielle
Rechtsgrundlage gegeben ist). Auch in diesen Fällen darf kein Grund für die
Annahme eines Gegeninteresses des Betroffenen vorliegen.
Der Empfänger von personenbezogenen Daten darf sie nur für den Zweck ver-
arbeiten oder nutzen, für den sie ihm von der verantwortlichen Stelle zur Ver-
fügung gestellt wurden.

0D‰QDKPHQ]XU*HZlKUOHLVWXQJGHV'DWHQVFKXW]HV

Jedes Unternehmen, das personenbezogene Daten verarbeitet, hat nach dem


BDSG die Pflicht, angemessene technische und organisatorische Maßnahmen
zu treffen, die den Schutz der Daten gewährleisten.
Grundsätzlich sind alle personenbezogenen Daten vor Verlust, Manipulation,
aber auch vor unbefugter Einsichtnahme (Vertraulichkeit) zu schützen, gleich,
ob sie innerhalb maschineller oder manueller Verfahren verarbeitet werden.
Speziell für die automatisierte Datenverarbeitung sind im BDSG in einem Ka-
talog die Anforderungen aufgelistet, die dem Ziel von Datensicherung dienen
(z.B. Zugangskontrolle, Benutzerkontrolle, Zugriffskontrolle, Transportkontrol-
le etc.).

Im Bereich der Zentralen Datenverarbeitung der Unternehmen/Behörden wur-


den umfangreiche Maßnahmen ergriffen, die den Forderungen des Gesetzes
Genüge tun.

Besondere Aufmerksamkeit erfordert der Einsatz von Personal-Computern bei


der Verarbeitung personenbezogener Daten, da die Möglichkeiten der Datensi-
cherung hier im allgemeinen geringer sind als bei großen EDV-Anlagen. Prin-
zipiell müssen jedoch auch in solchen Fällen - soweit der Aufwand in einem
angemessenen Verhältnis zum angestrebten Schutzzweck steht - die Forderun-
gen des Gesetzes erfüllt werden. Die Verantwortung dafür trägt der jeweilige
Benutzer.

Zu den Maßnahmen, die dem Datenschutz dienen, gehören auch die Verpflich-
tung aller mit personenbezogenen Daten befassten Mitarbeiter auf das Daten-
geheimnis und die Berufung eines Datenschutzbeauftragten, dem es obliegt, die
Einhaltung aller Bestimmungen des Gesetzes zu überwachen.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 139

(PSIHKOXQJHQ

Mitarbeiter, die mit personenbezogenen Daten zu tun haben, sollten folgende


Empfehlungen beachten:
• Nehmen Sie in Ihre Unterlagen keine Personendaten auf, die Sie zur Erfül-
lung der Ihnen übertragenen Aufgabe nicht benötigen.

• Sorgen Sie dafür, dass niemand, der dazu nicht berechtigt ist, Einblick in Ih-
re Unterlagen (z.B. Karteien, Akten) nehmen kann.
• Stellen Sie sicher, dass nicht mehr benötigte Unterlagen, soweit Sie sie nicht
selbst vernichten können, kontrolliert entsorgt werden.
• Bei Arbeiten mit PC oder Terminal: Verlassen Sie die Geräte nicht ohne
ordnungsgemäße Beendigung der Sitzung.

• Halten Sie Disketten mit personenbezogenen Daten unter Verschluss.


• Wenn Ihr PC auch anderen zugänglich ist: Stellen Sie sicher, dass auf dort
gespeicherte personenbezogene Daten nicht zugegriffen werden kann.
• Geben Sie aus Ihren Unterlagen nur eindeutig Berechtigten innerhalb des
Unternehmens/Behörde mündliche oder schriftliche Auskünfte.

• Geben Sie an Stellen außerhalb des Unternehmens keine mündlichen Aus-


künfte über Daten einzelner Personen, es sei denn, in Ihrer organisatorischen
Einheit bestehen besondere Anweisungen hierzu.
Schriftliche Mitteilungen mit Daten einzelner Personen an Stellen außerhalb
des Unternehmens sind grundsätzlich als offizielles Schreiben mit zwei Un-
terschriften vorzusehen. Handelt es sich um Mitarbeiterdaten, bearbeitet die
Personalabteilung diese Mitteilung und holt gegebenenfalls die zweite Un-
terschrift der zuständigen Einheit ein.
• Wenden Sie sich bei allen Auskunftsersuchen von Betroffenen, die über die
an Ihrem Arbeitsplatz üblichen Routineanfragen hinausgehen oder bei denen
erkennbar ist, dass es sich um ein Auskunftsersuchen handelt, das sich auf
das BDSG stützt, an Ihren Vorgesetzten oder an den Datenschutzbeauftrag-
ten. Sie werden veranlassen, dass die Auskunft dem Gesetz entsprechend
gegeben wird.
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 140

9.3 $QODJH

9.3.1 Empfehlungen zum ASAP-Vorgehensmodell

Zur Einführung von SAP R/3 hat SAP das Modell ASAP entwickelt. Dieses
Standard-Vorgehensmodell und allgemeine Hinweise hierzu finden Sie auf der
Dokumentations-CD. Empfehlungen der Arbeitsgruppe Datenschutz zu
Beteiligungsthemen des Datenschutzbeauftragten entlang des ASAP-
Vorgehensmodells finden Sie hier. Gehen Sie die Themen bei der Planung ei-
ner Beteiligung des Datenschutzbeauftragten durch und planen in diesem Rah-
men Ihr eigenes Vorgehen.

Beteiligung des Datenschutzbeauftragten am ASAP-


Vorgehensmodell (Release 4.5)

3KDVH3URMHNWYRUEHUHLWXQJ

1.1 - Projektplanung erstellen


 
     "!# $%& &'% (#)* (+*  -,/. -01'2 - 34 5 .&)6  7 & * %'% 98:(;.=< > 1?7.(+@   (; 

.... Diese Grundsätze sollten präzise und leicht verständlich


sein. Es ist zu prüfen, ob auf die geltenden Policies zum Datenschutz hingewiesen
werden soll. ......
 AB28:(;.=< >  (;?. C > % 5%  D7  %  E% F
  4G:(;?7. C$> % $% H2IJ KJ.> & *  9 *'L)* (+*  $ 
M   N ? -  C* 

Zweck .....
Erreichung von Zielwerten für Beteiligung und Unterstützung
Sicherheitslevel und Datenschutz
D!O.  P'% BQ* 5 (+ Q% * F#    Q*  ?7 (+ $C*  H%'% (/!J M   .@ *'L'% (RJ(SQ*   %& (+
1.1.4.2
(; (= 5 7- %Projektrollen
CLQ*  * 7 N zuordnen
M

Zweck .........
Change-Team-Mitglied
Revision
Datenschutz
Arbeitnehmervertretung
2. Beschreiben Sie die Projektrollen ....
Revisor
Zuständige für den Datenschutz
Arbeitnehmervertretung
1.1.5.1 - Arbeitsplan erstellen
1.1.6.2 - Schulungsplan überarbeiten
T- UK#V5  5W$ (#)6 2CL 5%&  '% 

1.2 - Projektabläufe
1.2.1.1. - Projektkommunikationsplan festlegen
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 141
D7 *'1L
Q* $ (+ Q% * F
7  Q*  ? (+ 5C* 7 L $Q  L& N
1.2.1.9 - Standards zur Qualitätssicherung bestimmen
Zweck .....
... im Einführungsprozess führen können. Ggf. sind die
festgelegten Standards mit der Revision und/oder den Zuständigen für den
Datenschutz abzustimmen.
1.2.2.9 - ABAP-Entwicklungsstandards festlegen

Klären Sie, ob in der Fachabteilung programmiert werden soll und ob ABAP Query ge-
nutzt werden soll. Schaffen Sie ggf. die datenschutzrechtlich erforderlichen Vorausset-
zungen (Zustimmung der Arbeitnehmervertretung, Schaffung weiterer datenschutzrecht-
lich erforderlicher Rechtsgrundlagen, Schulung der Mitarbeiter, Abnahme der erstellten
Programme)
5 5  5   5 * (  %C1R(+Q*  $C*   $  % C +G:(+C.*.L K
7  K?7 -  C* 


Zweck:
Zweck dieser Aufgabe ist es, Standards zur Arbeitsgestaltung, zur
Ergonomie und zum Datenschutz festzulegen.
Vorgehensweise
1. Ermitteln Sie, inwieweit die Einhaltung von Standards zur
Arbeitsgestaltung, zur Ergonomie und zum Datenschutz für
die Einführung notwendig sind. Klären Sie die Zuständigkeiten
für diese Aufgaben (Informatik, Fachabteilung).
2. Erstellen Sie ggf. einen Zeitplan für diese Aspekte. Wenden Sie
sich an die hierfür zuständigen Stellen in Ihrem Unternehmen
(z. B. Arbeitsschutz, Arbeitnehmervertretung, Datenschutz) und
legen Sie einen Zeitplan fest.
Ergebnis:
Entscheidung über die Entwicklung entsprechender Standards ist
getroffen
Rollen:
Projektleiter, Change-Team-Leiter, Arbeitnehmervertretung,
Zuständige für den Datenschutz
* P)*0$ 7 & P * % $ 7 F8:(;.2'2 > .'   ; N
1.2.3.1 - Erforderliche Systeme bestimmen (

 K34 5*' 5* 7 &  % $ 7 F8:(;.%'* > .'    ; N
1.2.3.2 - Mandantenstrategie festlegen (

1.3 - Projekt-Kickoff
D *  (/G: %Q* - : %C&'% 9#    Q*  ?7 (+ $C*  @ *'L'% (RJ(SQ*   %& ( M (; (; 
1.3.1.2
7%CN - Kickoff-Meeting durchführen

Zweck:
.... . Hierzu gehören Vertreter der Unternehmensleitung,
Mitglieder des Projektteams, Berater und ggf. weitere Mitarbeiter, z. B. Arbeitnehmerver-
treter und die Zuständigen für den Datenschutz.
1.4 - Planung der technischen Anforderungen
1.5 - Qualitätsprüfung Projektvorbereitung
D7   (/G: %Q -  2CL%*  $
 *' CLQ* 5 7    C  (O
(=,%,# N
1.5.1.2 - Projektvorbereitungsphase abnehmen
Ablauf:
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 142

1. ...
2. Holen Sie die Genehmigung und formale Abnahme ein, ggf. unter
Einbeziehung der nicht ständig am Projekt beteiligten
Gruppen (z. B. Arbeitnehmervertretung, Zuständige für den
Datenschutz)

3KDVH%XVLQHVV%OXHSULQW

2.1 - Projektmanagement Business Blueprint


2.2 - Organizational Change Management

 52G:(+>$ 5%* 7 R $I (S> %C L %?%'  * 7 (+ %& LQ* -%(;  Q* 
 

einfügen:
Chancen und Risiken aus Sicht der Arbeitnehmer abschätzen.
5LVLNREHXUWHLOXQJGHU8QWHUQHKPHQVOHLWXQJYHUYROOVWlQGLJHQ

Zweck
.... zu bearbeitenden Punkte (z. B. zum Datenschutz oder zu
Einbeziehung der Arbeitnehmervertretung) sowie besonders
kritische Elemente des umfassenden Umstrukturierungsprogramms.
  
 5 5 AB2!
   > .2I .(+> *., ? (#' :*  (+* 2&     %C&'2(;*? %(; 
 

Zweck
..... die für Aktionspläne verantwortlich zeichnen oder diese
kontrollieren, wie z. B. die Revision und der Datenschutzbeauftragte,
sind
aufgefordert am Workshop zu den Risiken in der Unternehmensführung
teilzunehmen.
  
 5 5 A$ P2!
 $ > .*I .(+>5$*.5, ? (#' R(+Q*  * %& ( M (; (; 5  % C +
7   !J M  $.@ *'1C2C*?$L % (; (; 5 7 (+&'2 ( :*  (+* 2

 
& %$  7 2C&'2 (;*? 2(; 

(evtl. Arbeitnehmervertretung am Projekt beteiligen oder


getrennter Workshop nur für diese Gruppe)
0HQWRUHQVWUDWHJLHHQWZLFNHOQ


 5 A A$ P2!
 $ > .*I .(+>5$*.5, ? (/
7  Q*  ? (+ 5C* 7 +!J M   .@ *'
 

 
 (= % ?7 ,:( ?7 (#'2 (=*? %(; 

Zweck
Zweck dieser Aufgabe ist es, Risikovermeidungsstrategien und
Aktionspläne - sowie die entsprechenden Verantwortlichkeiten - vorzustellen, um die
Einführungsrisiken, insbesondere aus Sicht des
Datenschutzes und des KontraG, zu minimieren.
Vorgehensweise (analog 4.2.2.4)
Ergebnis
Quantifizierung der Einführungsrisiken und Definition der vorgesehenen Aktionen und
Aufgabenverteilung zur Vorbeugung dieser Risiken
 

 5 5 U P

(S>5 $ C $ (/!


 $ > .Q* $ (=    %CL $9
   * % * 7I>  

Zweck
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 143

... die mit den vorgesehenen Umstrukturierungen und geänderten


Informationsflüssen einhergehen, zu bemessen, die potentiellen
Auswirkungen dieser Risiken auf die R/3-Einführung - auch aus
Sicht des Datenschutzes - aufzudecken..... .
 5T- U P2G:(SC* Q%2 $ P'2 (/!
   > .Q*  (; 7  %CL $1#   %: -$*  *  C%(+ (= 
 

Zweck
... angesprochen werden. Hierbei sollte auch auf die Aspekte zur
Sicherstellung des Datenschutzes eingegangen werden.
2.2.8.2 - Verfahren für den Wissenstransfer festlegen und einführen
Zweck
......... weitergeleitet werden, wobei dies ggf. mit den für den
Datenschutz zuständigen Stellen abzustimmen ist bzw. diese Stellen
in den Prozess einzubeziehen sind.
2.3 - Projektteamschulung Business Blueprint
2.3.1.1 - Schulungsplan überarbeiten
2.3.1.2 - Schulung vorbereiten

2.4 - Systemumgebung entwickeln


2.4.1 - Technisches Konzept entwerfen
2.4.1.5 - Änderungsauftragsverwaltung definieren
Die Ergebnisse sind - sowohl für den Normalbetrieb als auch für
Notfallpläne - mit der Revision und den für Datenschutz zuständigen Stellen abzustim-
men.
L  ?.1 5F!J M  $.@ *'W
7  Q*  ? (+ 5C* 7 
2.4.1.8 - Technisches Konzept abstimmen
Zweck
... des Lenkungsausschusses unter Einbeziehung der Revision und
des Datenschutzbeauftragten darüber zu erhalten, ... den Anforderungen dieser R/3-
Einführung und den gesetzlichen Bestimmungen zum Datenschutz entspricht
*'BRJQ2C%(; %5%C M .
 J (= 5  C %C &?
( /$ .L  %C
2.4.2.5 - Benutzerstammsätze für Projektteam erstellen
Q*    
- V 5Q   

 A A

  $   *'L)*0$  L 'L %  (+  .  .(+> *., '2(;*?  %(; 

 *' V $Q*   $,:(;.2 .>.   (=%C&  % $ 7 


2.4.4.5 - Funktionen der Systemadministration überprüfen

2.5 - Organisationsstruktur
2.6 - Geschäftsprozessdefinition
2.6.1.1 - Geschäftsprozess-Workshops planen
7T- U$R*?.(='% (=%C*  $ 
 -
 ?7 ,:(;. 5 -$ LQ* -  L& 

J. 2 5 &? (#' 


  $ ?  (=%C-,6 $ %C@ ' #
 %: 5.(+C2 5% $  . $ (/
 $> 5$.     

Zweck
........ und dem R/3-Referenzmodell - unter Berücksichtigung der
daraus ableitbaren Konsequenzen für die Qualifizierung und Datenschutzorganisation -
festzulegen.
L #    Q*  ?7 (+ $C*   5Q  L& H
2.6.3.3 - Anforderungen zum Berichtswesen bestimmen und
Zweck
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 144

....... Dennoch ist es wichtig, die Berichtsanforderungen vorher


zu definieren. Personenbezogene Auswertungen sollten bereits jetzt
mit dem Datenschutzbeauftragten und ggf. der Arbeitnehmervertretung
abgestimmt werden. Zu einem spätern Zeitpunkt ...
I C* &'% 
( :Q* (SL 7  %C M .B,/ (+.* %Q* .C* * F#   LL %#   2
2.6.3.4 - Erforderliche Schnittstellen bestimmen und
 -Q  %? (S 5C* 7 @ *'1C2C*?'% (R(+Q*  * %& ( M  (; (; 5  %CL $Q  L& H

Zweck
......... berücksichtigen. Bei personenbezogen Daten ist das
Konzept ggf. mit der Arbeitnehmervertretung und dem
Datenschutzbeauftragten abzustimmen.
 * 7 (/G: %Q*   %C&'2 (R(+Q*  * %& ( M (; (= 5 7%C
2.6.4.2 - Geschäftsprozessdefinition und -modelle optimieren

3ODQIU%HQXW]HUVFKXOXQJXQGGRNXPHQWDWLRQHUVWHOOHQ

Vorgehensweise
... dokumentiert sein. Dabei sollten auch datenschutzrechtliche
Aspekte unter Einbeziehung des Datenschutzbeauftragten
berücksichtigt werden.
2.7 - Qualitätsprüfung Business Blueprint

  P $   -5 # ,6(+ * 8:%  P'2 (;1RJ(SQ*   %& ( M (; (; $ 7 2C@ *' 
  -Q  %? (S 5C* 7 L 5Q2* %& 

Zweck
Zweck dieser Aufgabe ist es, die Abnahme durch die Projektleitung
und andere Stellen, z. B. Revision, Datenschutz und Arbeitnehmervertretung, zu er-
wirken.
Rollen
Projektleiter, Lenkungsausschuss, Revision, Datenschutz, Arbeitnehmervertretung
  U  5>$    $ ?%
  .   5*' C%>  ,:(  ? 


3KDVH5HDOLVLHUXQJ

3.1 - Projektmanagement Realisierung


U5T- 42!J M  I !O  5  $ (=%C&'2 (;*? %(; 

3.2 - Organizational Change Management vorantreiben


D 
3.2.2.5 - Meetings zum Risikomanagement mit Schlüsselgruppen durchführen
O !O M  $.H$R(+Q*  * %& ( M (; (= 5 7%C@ *' 
7  SN

Ablauf
2. ...dem Lenkungsausschuss, der Revision, der Arbeitnehmervertretung, dem Daten-
schutzbeauftragten und, falls erforderlich, ....
3.3 - Schulung des Projektteams, Realisierung
3.4 - Baseline-Konfiguration und -Abnahme
U5 A A UK23P 5 $  %C $ ( 
    RQ%% $%& M .(+Q* (;   

Laden Sie auch die ggf. nicht ständig im Projekt vertretenen Gruppen (Revision, Daten-
schutz und Arbeitnehmervertretung) ein.
3.4.5.1 - Baseline-Szenarien ausführen
Vorgehensweise
... für Ihre wichtigsten Geschäftsabläufe - auch unter
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 145

Berücksichtigung datenschutzrechtlicher Bestimmungen - festzulegen.


3.5 - Systemmanagement
3.5.3.2 - Tägliche Prüfvorgänge überprüfen

Stellen Sie darüber hinaus sicher, dass die Sicherheitsverletzungen regelmäßig überprüft
werden.
   
 

 
  "!#$
%
& 

Zweck
..... Legen Sie die Verfahren zur Qualitätssicherung, ggf. unter
Einbeziehung der Revision und der für den Datenschutz zuständigen Stellen, fest. ... .
&')(*#+-,. #$
#$,/0124365%
347"/,&89 :;<= >#$

Vorgehensweise
4. Stimmen Sie die Ergebnisse ggf. mit der Revision, der Arbeitnehmervertretung und
den für den Datenschutz zuständigen Stellen ab.

3.5.6.6 - R/3-System-Bedienerhandbuch erstellen

Vorgehensweise
Ablauf
1. ... zusammen, nehmen Sie ggf. Hinweise zum Datenschutz auf.

3.6 - Detailkonfiguration und -abnahme


#?@, >;07"
2AB , = !4 :C6$
!-
$, 
-
Vorgehensweise
Ablauf
3. Übersenden Sie den Teilnehmern die Handouts, die die von
Ihnen vorgestellten Szenarien beschreiben. Stellen Sie dabei die
Qualitätssicherung des Produktivsystems - auch unter Revisions- und
Datenschutzgesichtspunkten - vor. Die Teilnehmer ....
7 = ,E"<+-,. #$
7">CF + GH3 65%
3#7"/",9&$:;;7"#
3$JIK ,. # 7/" -LAM " . -7 0N7"#3;OK, ", $

10 ! D $
 ,&$ 
# D

3.6.5.2 - Detailkonfiguration prüfen und abnehmen


Zweck
...... einwandfrei funktionieren und den Bestimmungen zum
Datenschutz genügen.
Vorgehensweise
Ablauf
3A Fassen Sie die Ergebnisse zusammen und beschreiben Sie die
evtl. noch erforderlichen Nachbesserungsarbeiten.
3.7 - ABAP-Entwicklung vorbereiten und koordinieren
Zweck dieses Arbeitspaketes ist es, die ABAP- und ABAP-Query Entwicklung
vorzubereiten und zu koordinieren. Stellen Sie bei der Entwicklung
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 146

personenbezogener ABAP‘s und Sachgebieten mit personenbezogen Daten die Einbezie-


hung der Arbeitnehmervertretung und der für den Datenschutz zuständigen Stellen sicher.
3.7.1.1 - Benutzer-IDs für Entwicklung anlegen und registrieren

Überprüfen Sie, ob alle vorgesehenen Entwickler (Externe nicht vergessen) auf die Ein-
haltung der Datenschutzvorschriften verpflichtet sind. Tragen Sie dafür Sorge, dass vor
Aufnahme ihrer Tätigkeiten fehlende Verpflichtungen nachgeholt werden.
7"#3K
. #, >-7">">
7 42 
3.7.2.1 - Anwendungshierarchie, Entwicklungsklassen festlegen

3.8 - Entwicklung von Datenübernahmeprogrammen


3.9 - Entwicklung von Schnittstellenprogrammen für Anwendungen
3.9.1.1 - Detaillierte Definition der Schnittstellen ausarbeiten

Zweck
Einige der Schlüssel-Items, die Sie berücksichtigen müssen, sind
....
datenschutzrechtliche Bestimmungen,
Rechte der Arbeitnehmervertretung
4. Bestimmen Sie die auszutauschenden Daten
........ im Interface Advisor). Prüfen Sie bei
personenbezogenen Daten die Einhaltung der geltenden Bestimmungen zum
Datenschutz.
3.10 - Entwicklung von Systemerweiterungen
3.10.1.2 - Genehmigung prüfen

Zustimmung der Mitarbeitervertretung/Einbeziehung des Datenschutzbeauftragten bei der


Erstellung personenbezogener ABAPs und Sachgebiete für Queries sicherstellen.
3.11 - Entwicklung von Berichten
)((1)(1  H.$/!, #3#7"> 7"#3;OK.$# ">
7"-3= ># N
&$ 
 >>-
 - 7, : : 7">C3$
K
!- ,#$:C
$

7">C$, #=  
Zweck
.....entwickelt wird. Beachten Sie bei Berichten mit Personenangaben die Einbeziehung
des Datenschutzbeauftragten und ggf. der Arbeitnehmervertretung. Ein Bericht .....
Ablauf
2A Bei Berichtsanforderungen mit Personenangaben ist die betriebliche Notwendigkeit
und die Erfüllung der gesetzlichen Bestimmungen zum Datenschutz (Rechtsgrundla-
ge/Zweckbindung) und der Mitwirkungsrechte der Arbeitnehmervertretung
sicherzustellen.
7#3 3
  K
. #, >%7"> %
 7">
3.11.2.2 - Berichte testen und prüfen

3.12 - Entwicklung von Formularen


)($ )(1  I* #$: , >-7">N
&$

Ablauf
1. Prüfen Sie die definierten Formulare und ergänzen diese -
soweit notwendig um datenschutzrechtliche Hinweise.
.... erstellt wird.
3.13 - Erarbeitung des Berechtigungskonzepts
Ablauf
1. Stellen Sie Fragen
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 147

Welche Sicherheitsstufe ist für Ihre Daten erforderlich?


Welche datenschutzrechtlichen Anforderungen bestehen?
3. Machen Sie Ihr Sicherheitseinführungskonzept bekannt
............ Auswirkungen auf die Dateneigner zu prüfen.
Erläutern Sie den Einführungsrahmen und ggf. die rechtlichen Vorschriften des
Datenschutzes. Befragen Sie dann ...
'HWDLOOLHUWH'HILQLWLRQGHV%HUHFKWLJXQJVNRQ]HSWVDXVDUEHLWHQ

'DWHQVFKXW]$QIRUGHUXQJHQIRUPXOLHUHQ

3.13.1.1 - Berechtigungsstrategie des Unternehmens detaillieren

Nicht direkt fachabteilungsbezogene Rollen für den Revisor, die Wirtschaftprüfer, den für
den Datenschutz verantwortlichen Stellen und der Arbeitnehmervertretung definieren.

 ( )(1  B$
.$#, >-7"4>#  : ,   
      
 
  ! " # $&%'()' 
* +, .-
%' /02
 1 $3 $4  657'98' :7'0;<  # 06=>
 %?
0# 7 2" @%?# A "7
$&BC0 01 %'()'7/0 # %#+D. E? 0 F
Zweck
........ der Benutzer benötigt. Überprüfen sie bei
personenbezogene Daten, ggf. unter Einschaltung der zuständigen Stellen
(z. B. mit dem Datenschutzbeauftragten), abschließend die
Einhaltung der rechtlichen Bestimmungen. ...
B$
.$#, >-7>>4
7 2$ $
 #34 #$
 H5-;7"#3J !# = =  7.  7"#

3.13.2.1a -
AM "&$.$-70 2$/"  
festlegen
)(    K
. -, >-7">/"012 !#$:C 

Zweck
... verantwortlichen Dateneignern, der Revision und ggf. vom
Datenschutzbeauftragten und der Arbeitnehmervertretung, abnehmen
zu lassen.
Tips
... die Unternehmensauditoren, z.B. Revisioren und die für den
Datenschutz zuständigen Stellen, hinzuziehen. ..
3.14 - Archivierungsverfahren einrichten
F7"-3 3 " . -70
.$#= ,. #
 G6H".$-7">
, &  !- ".$#&$ G
3.14.1.1 - Archivierungsstrategie festlegen
Zweck
... wird sie reduziert. Hierbei sind sowohl die gesetzlichen
Aufbewahrungs- und Löschungsfristen (z. B. nach dem
Datenschutzgesetz) zu beachten.
3.15 - Abschließender Integrationstest
3.16 - Dokumentation und Schulungsunterlagen für Benutzer
)( ')(1)(*4AK/7:C # ", -&
34
7"4># C3$
B$-70$$
!#, : :C  >>#& % $$CF " $'J I

5%= C"
K %7 0
. %7"=7
 > 7"#3<)3/7"$
 = = $ G

3.16.2.2 - Benutzerdokumentation erstellen

Zweck
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 148

.... im R/3-System. Die Aufnahme von Hinweisen zur Einhaltung


der Bestimmungen zum Datenschutz (z. B. bei
Geschäftsprozessen mit personenbezogenen Daten) in diese
Dokumentation ist zu prüfen.

4XDOLWlWVSUIXQJ5HDOLVLHUXQJ

- 3UIXQJGHU$EOlXIHXQGGHU'\QSURVDQ+DQGGHU3URWRW\SHQ

- (YDOXWLRQGHU6RIWZDUH(UJRQRPLH

3KDVH3URGXNWLRQVYRUEHUHLWXQJ

4.1 - Projektmanagement und Produktionsvorbereitung


4.2 - Benutzerschulung
 )(* K -70
. -7"=7">C3#7"
. -"
 

Zweck
... durchzuführen. Dabei sollte auf die relevanten geltenden
Unternehmenspolicies zum Informationsschutz und die zu
beachtenden rechtlichen Bestimmungen, z. B. zum Datenschutz,
hingewiesen werden.
4.3 – Systemmanagement
  , -7#3 +#9& : 3: , , 
", <
 
/$-$ 347"
.$#
 CF 7"#

%, !-0 , -7"4>C3


2AM " . -70 -7"#3;OK , ",  #&
3
7">#$ GHF&$# : = $  )( G


AM " . -7 0N7"#3;OK, ", #&


3
7>#  =  M7
+ . -7"=7">
4.3.1.3 - Personal für die Systemadministration schulen
Zweck
... Benutzerverwaltung, Revisionsfähigkeit, Datenschutz sowie
Eskalationsprozeduren erstrecken.
4.4 - Detaillierte Planung für Cutover und Support
 $)( K = % AB 

 / 
>E>- !#, : :C
 "
>>-7"#&$
B$
.$/$,.$#, >-7"4>

3 "&$.$-70
. -= ,.$#
K
  /"

Ablauf
1. ....
.. über Organisation und Prozesse, insbesondere auch die
geltenden Unternehmenspolicies und rechtlichen Bestimmungen
zum Datenschutz.
4.5 - Cutover
4XDOLWlWVSUIXQJ3URGXNWLRQVYRUEHUHLWXQJ

.... Die abschließende Überprüfung aller technischen


Vorbereitungen einschließlich der getroffenen Maßnahmen zum Datenschutz
ist absolut erforderlich, ....
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 149

3KDVH*R/LYHXQG6XSSRUW

5.1 – Produktionssupport
)(1$  7 N/= E
$ 7"#3;5%
!= $:C =0H"$ ">4>#7"#
K ".$#7>

3 "&$.$-70
. -= ,.$#
K, : : 7">- 

5.2 - Beenden des Projekts


Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 150

10 Index
ABAP 17, 52, 54, 56, 57, 61, 62, 71, 90, 130, 131 § 5 BDSG 14, 112, 135
ABAP Dictionary 17, 27, 35, 37, 39, 42, 49, 51, 52, § 9 BDSG 29, 46, 48, 65, 66, 91, 100, 108, 111,
53, 54, 55, 56, 61, 129 112, 117
ABAP-Listviewer 86, 87, 129 §10 BDSG 104
Abrufverfahren 12 Benachrichtigung 12, 13, 24, 36, 37, 59, 60, 112
AcceleratedSAP 18, 127 Benutzeradministrator 81
Accounting 12, 46, 53, 54, 99 Benutzerverwaltung 29, 39, 53, 57, 147
Administration 26, 29, 30, 33, 47, 54, 56, 61, 78, 81, Berechtigungen 19, 20, 21, 23, 25, 26, 28, 29, 30, 41,
83, 116, 117 51, 56, 57, 58, 65, 66, 67, 71, 73, 75, 76, 77, 78, 79,
AIS 6LHKH · Audit - Informationssystem 80, 81, 82, 83, 87, 89, 93, 94, 95, 96, 97, 100, 102,
Aktivierungsadministrator 81, 116 103, 104, 105, 106, 108, 109, 117, 118, 128, 142,
Aktivitätsgruppe 128 146
ALE 22, 86, 87, 96, 104, 119 Berechtigungsgruppe 73, 75, 80
Anwenderschulung 32, 33, 123 Berechtigungskonzept 11, 17, 18, 19, 21, 23, 28, 29,
Arbeitnehmervertretung 23, 75, 90, 139, 140, 141, 49, 65, 66, 67, 74, 76, 77, 78, 80, 81, 87, 89, 90,
143, 144, 145, 146 103, 146
ASAP-Vorgehensmodell 16 Berechtigungsobjekte 48, 57, 58, 72, 76, 77, 79, 80,
Audit 17, 25, 26, 28, 31, 39, 52, 57, 60, 79, 87, 88, 81, 82, 86, 87, 100, 116
104, 118 Berechtigungsprüfung 69, 70, 73, 74, 75, 76, 79, 80,
Audit-Informationssystem 17, 26, 28, 31, 39, 40, 52, 87, 95, 97
56, 60, 87, 92, 122 Berechtigungsrahmenkonzept 28, 108
Auditor Arbeitsplatz 17, 122 Betriebskonzept 30
Auditor Datenschutz 26 Betriebsvereinbarung 11, 24
Aufbewahrungsfristen 43, 44, 50, 64, 84, 85, 112, 119, BetrVG 41
120 Bildschirmmasken 17
Aufbewahrungsvorschriften 45, 46, 47 BPersVG 41
Auftragsdatenverarbeitung 110, 113, 114, 116, 117, Bundesdatenschutzgesetzes 10
118, 119 CATT 94
Auftragskontrolle 67, 100, 106, 112, 120 CCMS 28, 71, 88, 89
Auftragsverarbeitung 12 Checkliste 24, 88, 91, 99, 143
Auskunft 13, 24, 28, 36, 37, 59, 60, 61, 62, 63, 112, Codes of Conduct 47
122, 138 CTO 20, 74, 83, 118
Authentifizierung 48, 68, 79, 101 CTS 20, 24, 74, 83, 94, 95, 97, 98, 118, 129
Autoren 7, 8 Customizing 9, 11, 16, 18, 19, 22, 23, 26, 28, 33, 34,
BAPI 21, 86, 119 40, 54, 78, 79, 81, 83, 84, 90, 93, 94, 103, 118, 120
Batch-Input 21, 22, 23, 85, 87, 96 Datenerhebung 27
Batch-Input-Verfahren 21 Datenfelder 10, 11, 17, 25, 37, 56, 61, 62, 78, 90
BDSG 7, 10, 11, 12, 13, 14, 16, 21, 23, 24, 27, 32, 38, Datengeheimnis 14, 25, 32, 33, 111, 112, 114, 134,
39, 60, 62, 110, 111, 112, 117, 132, 135, 136, 137, 135, 137
138 Datenkategorien 34, 37, 38, 39, 48, 50, 51, 86
§ 11 BDSG 12, 110, 113, 116 Datennutzung 27
§ 11 DSG 111 Datenschutzbeauftragte 7, 10, 14, 16, 17, 18, 23, 24,
§ 18 BDSG 34 25, 26, 27, 32, 40, 54, 111, 112, 113, 135, 136, 137,
§ 20 BDSG 43 138
§ 28 BDSG 38 Datenschutzerklärung 31, 36
§ 3 BDSG 43, 110, 119 Datenschutzkontrolle 41
§ 31 BDSG 25 Datensicherheit 12, 14, 17, 25, 32, 101, 108
§ 33 BDSG 13, 59 Datenübernahme 21
§ 35 BDSG 44, 62 Datenvermeidung und Datensparsamkeit 11, 16, 27
§ 38 BDSG 13, 36, 59 Dauer der Datenspeicherung 11, 25
§ 3a BDSG 11, 16, 27 DDIC 29, 71, 101
§ 4 BDSG 11 DEÜV 41
§ 4c BDSG 114 Dokumentation 18, 20, 22, 23, 24, 29, 34, 35, 37, 38,
§ 4d BDSG 13, 111 40, 50, 56, 61, 63, 67, 72, 83, 88, 90, 92, 94, 95, 96,
§ 4e BDSG 14, 21, 34, 35, 36, 37, 38, 39, 43, 47, 97, 104, 119, 122, 123, 130, 131, 147
59, 86 Dokumentations-CD 17
§ 4g BDSG 16, 27, 35, 39, 86 Download 17, 21, 23, 61, 65, 66, 70, 76, 86, 87, 90,
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 151

91, 102, 119, 122 Protokolldatei 25, 41, 53, 91


Drittstaaten 34, 47, 48, 50, 113 Protokolle 27, 46, 83, 84, 85, 87, 88, 89, 98, 99, 102,
Dynprovariationen 54 107, 108, 119, 120
Earlywatch 72, 118 Protokollierung 28, 75, 91
Einführung 16 Prüfleitfaden Revision 17, 20, 21
Einführungsleitfaden 17 Qualitätssicherungssystem 20, 83
Einführungsprozess 10 Queries 17, 62, 90, 122, 145
Eingabekontrolle 67, 105 R3trans 24
Einwilligung 11, 13, 24, 47, 113 Rechenzentrumsbetrieb 98
Empfänger 22, 24, 28, 34, 37, 41, 42, 46, 47, 50, 104, Rechte des Betroffenen 13, 59, 111, 112
137 Rechtsgrundlagen 10, 11, 24, 38
Entwicklungssystem 83, 84 Referenzmodell 17
Erhebung, Verarbeitung oder Nutzung 110 Report
HGB 75 MPPAUTSW 79
Identifizierung 68, 79 RHAUTUPD_NEW 82
IDES 17 RHDDIC00 53
Informationelle Selbstbestimmung 59 RHSTRU00 33
Infotyp 33, 40, 52, 60, 62, 72, 73, 75, 76, 77, 125 RHXQALIF 33
0009 41 RPDINF01 52
0021 63 RPDSHOWI 52
0024 33 RPLICO10 89
0028 37 RPLMIT00 89
0035 33 RPPSTM00 61
0077 37 RPUAUD00 63
0118 63 RSCRDOMA 39, 56
1001 53 RSCSAUTH 74, 80, 103
Initialkennwort 71, 72, 101 RSPARAM 70, 87, 96, 101, 103, 105, 106
jedermann 13, 34, 36, 37, 59 RSSDOCTB 56
Job 22, 119 RSSTAT020 89
Job-Auftragsverfahren 22 RSSTAT026 89
Kennwort 58, 68, 69, 70, 71, 89, 101, 109, 118 RSTBHIST 28
Kennwortregeln 51 RSTBPROT 28
Kennwortschutz 66, 101 RSUSR000 58
KontraG 141 RSUSR001 58
Kontrollen 29, 30, 31, 54, 76, 77, 79, 85, 86, 87, 89, RSUSR002 57, 100, 101, 102, 103, 104, 105, 106
106, 113 RSUSR003 58, 100, 101
Korrektur- und Transportwesen 20, 22, 31 RSUSR004 58
Logging 25, 31, 87 RSUSR005 58
Löschfristen 43, 46, 47, 50, 86 RSUSR006 58, 108
Löschung 11, 13, 20, 24, 34, 43, 44, 46, 47, 50, 59, RSUSR008 57, 100
62, 63, 64, 107, 112 RSUSR009 57, 100
Maßnahmen zur Datensicherheit 14, 21 RSUSR010 57
Meldepflicht 13, 34, 36, 49, 111 RSUSR012 58
Melderegister 36 RSUSR020 57
Merkblatt 32, 134, 135, 136 RSUSR030 57
Missbrauch 35, 65, 86, 91 RSUSR040 57
Notfall-User 29, 30, 79, 88, 118 RSUSR050 57
OECD Privacy Statement Generator 31 RSUSR060 58
öffentlichen Bereich 10, 35, 43 RSUSR070 57
öffentlicher Bereich 44 RSUSR100 58
Ordnungsmäßigkeit 20 RSUSR101 58
Outsourcing 110, 111, 132 RSUSR102 58
Personengruppen 24, 34, 36, 37, 38, 39, 40, 48, 50 RSUSR500 58
Produktivsystem 21, 22, 29, 31, 65, 68, 77, 78, 83, 84, RSWB0040 94
85, 90, 92, 114 Repository 27, 42, 52, 61, 84
Profil 20, 48, 56, 57, 58, 71, 72, 77, 78, 81, 100, 108, Revision 7, 17, 26, 87, 99, 139, 140, 141, 142, 143,
128 144, 146
Profilgenerator 17, 23, 69, 70, 72, 81, 129 RFC 21, 22, 25, 42, 70, 86, 87, 90, 96, 104, 119
Profilparameter 68, 69, 70, 88 Risiken 14, 22, 23, 24, 27, 36, 68, 70, 72, 76, 78, 80,
Projektleitung 10, 16, 24, 27 82, 85, 86, 89, 90, 106, 108, 121, 141, 142
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 152

Risiko 22, 23, 24, 37, 69, 70, 72, 76, 78, 82, 85, 108 T77AD 53
Rolle 20, 23, 26, 29, 39, 40, 48, 51, 56, 71, 72, 81, 82, T77AR 53
88, 108, 117, 118, 128, 129, 140, 143, 146 T77S0 33, 79, 80, 103
Rollenadministrator 81 TASYS 24, 96
Rollenkonzept 30 TDDAT 102
Sachbearbeiter 41, 61 TSTCA 74, 103
Sachbearbeiterkennzeichen 41, 53 TSTCT 123
Safe Harbor 114 TSYST 42, 92, 96
Safe Harbor 47 TWSYS 24, 96
SAP Easy Access 20 US* 53
SAP-Hinweis USH* 57
28777 76 USR* 57
SAP Service System 17, 80 USR40 68, 70, 101
SAP-Automation 22 V_T599R 25, 89
SAPCPIC 29, 71, 101 Tabellen- und Feldanalyse 51
SAP-Fakten 9, 18, 22, 38, 60, 63, 68, 116 Tabellenverwaltung 17
SAPGUI 25 technisch-organisatorische Maßnahmen 11, 65, 97,
SAP-Hinweis 108
115224 28 Teledienstedatenschutzgesetz 31
23611 18 TMS 83, 84, 85
28777 66, 119 tp 24
29276 71 Transaktion 18, 21, 27, 28, 42, 51, 54, 56, 61, 69, 70,
30724 18 72, 73, 74, 75, 79, 80, 82, 84, 85, 87, 88, 89, 94, 95,
35493 32 97, 98, 102, 103, 104, 120, 127, 128
39267 17 AL08 56
39769 17 HIER 42
77503 17, 122 LSMW 21
SAP-Logon 68 OOQA 33
Schulung 14, 17, 19, 24, 32 PA10 61
Security Audit Log 28, 31, 79, 88, 89, 106, 118 PA30 26, 33, 54, 60, 63, 73
Sicherheitsleitfaden 17, 21, 23, 25, 27, 30, 31, 67, 71, PFCG 26, 72
90, 119 PFUD 82
SNC 25, 70, 104 RZ10 68, 70
Sperrung 13, 24, 43, 46, 47, 59, 62, 63, 71, 72, 88, RZ11 68, 70
112 SA38 26, 57, 74, 79, 95, 100, 103, 122
Suchhilfe 57, 73, 90 SCC0 120
Syslog 28, 88 SCC2 120
Tabelle SCC5 120
BNKA 41 SCD0 28, 75, 98, 105, 106
DEVL 24, 96 SCU3 28, 105, 106
HRP1* 52 SE03 83, 94, 97, 98
HRP1000 bis HRP1999 52 SE06 84, 85
HRP1001 53 SE11 26, 42, 52, 54, 56, 61, 95, 122
HRPAD* 53 SE13 84
KN* 52 SE16 42, 57, 61, 70, 74, 75, 80, 92, 122
LF* 52 SE38 26, 74, 95, 96
LFBK 41 SE80 26, 42, 74
P000* 56 SE81 42, 61
PA0* 40, 52 SE84 27, 42, 52, 56, 61, 74
PA0000 bis PA0999 52 SE93 103
PA0009 41 SECR 39, 52, 87, 88, 104
PA2* 52 SERP 61
PA2000 bis PA2999 52 SLG0 28
PB4* 52 SLG1 28
PCL* 52 SM04 56
SADR* 52 SM19 26, 79, 88, 102, 105, 106
T000 42, 84, 85, 92, 93, 96, 98 SM20 79, 88, 103
T001 42, 92 SM21 26, 28, 53, 88, 106
T599R 89 SM30 75, 85
T778V 53 SM31 42
Leitfaden Datenschutz Release Stand Autor Seite
für SAP-R/3 4.6 28.09.2001 AG Datenschutz 153

SM54 42 Verfahrensverzeichnis 13, 36, 47, 48


SM58 96 Verfügbarkeitskontrolle 65, 67, 100, 106
SM59 26, 42, 87 Verpflichtung auf das Datengeheimnis 14, 24, 27, 32,
SPRO 18 135
SQ00 122 Verschlüsselung 66, 67, 101, 104
ST01 98 Vertragsklauseln 47, 114
ST03 54 Vertragsverhältnis 113, 136
STAD 89 Vertragsverhältnisse 38
STAT 28, 54, 55, 88, 89, 106 Verwendungsnachweis 56
STMS 83 Vorabkontrolle 14, 15, 24, 26, 27, 36, 37, 65, 91
SU03 72 Vorgehensmodell 17, 18, 19, 23, 139
SU24 69, 103 Vorratsdatenspeicherung 11
SUIM 26, 56, 57, 72, 94, 95, 96, 98, 102, 105, 106, Wartung 12, 28, 97, 114, 118, 119
122 WBOT 24
SWI2 28, 89, 106 Weitergabekontrolle 67, 104
SWI5 28, 89, 106 XXL-Listviewer 67, 76, 90, 102, 107
SWU9 89 zentralen Benutzerpflege 81
Übermittlung 12, 20, 21, 44, 47, 67, 91, 104, 110, 112, Zugangskontrolle 66, 101, 137
121, 137, 143 Zugriffsberechtigte 48
Übersichten 14, 34, 35, 36, 37, 41, 52, 60, 122 Zugriffsberechtigung 28, 48, 56, 78, 90, 95, 104, 108
Überwachung 27, 28, 31, 37, 70, 72, 80, 86, 111, 115, Zugriffskontrolle 66, 102, 137
119 Zugriffsschutz 29, 49, 79, 100, 102, 104, 106, 107
Unternehmensregelungen 47 zulässige Zwecke 11, 90
verantwortliche Stelle 11, 12, 13, 34, 35, 41, 43, 47, Zulässigkeitskriterien 11
50, 51, 62, 63, 110, 116, 126, 136, 137 Zutrittskontrolle 66, 100
Verantwortliche Stelle 126 Zweckbestimmung 34, 38, 50
Verarbeitung oder Nutzung 11, 136 Zweckbindung 12, 25, 28, 29, 41, 65, 86, 107, 114,
Verbot der Vorratsdatenspeicherung 11 145
Verfahrensdokumentation 28

Das könnte Ihnen auch gefallen