DSGVO & SAP: Datenschutz in SAP-Systemen umsetzen

Die Datenschutz-Grundverordnung (DSGVO) stellt Unternehmen mit SAP-Systemen vor besondere Herausforderungen: Personenbezogene Daten sind über zahlreiche Module, Tabellen und Customizing-Einstellungen verteilt. Ein systematischer Ansatz ist erforderlich, um die gesetzlichen Anforderungen zu erfüllen, ohne den Betrieb zu gefährden.

Personenbezogene Daten in SAP identifizieren

Der erste Schritt ist die Bestandsaufnahme: Wo befinden sich personenbezogene Daten im SAP-System? Die wichtigsten Bereiche: HR-Stammdaten (Infotypen 0001–0999 und Custom-Infotypen), Kreditoren- und Debitorenstammdaten (LFA1, KNA1), Benutzer-Stammdaten (USR02, USR21), Geschäftspartner (BUT000), Bewerberdaten und Custom-Tabellen mit Personenbezug. Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) mit allen Tabellen und Feldern, die personenbezogene Daten enthalten.

Löschkonzept mit SAP ILM

Die DSGVO verlangt die Löschung personenbezogener Daten, wenn der Verarbeitungszweck entfällt und keine Aufbewahrungspflichten entgegenstehen. SAP Information Lifecycle Management (ILM) unterstützt diesen Prozess: Definieren Sie Aufbewahrungsregeln pro Datenobjekt, berücksichtigen Sie gesetzliche Aufbewahrungsfristen (HGB, AO), nutzen Sie die ILM-Retention-Management-Funktionen für automatisierte Prüfung und Löschung und dokumentieren Sie den Löschprozess für die Rechenschaftspflicht.

Wichtig: Technische Löschung vs. Sperrung. Wenn eine sofortige Löschung nicht möglich ist (z.B. wegen laufender Aufbewahrungsfristen), muss der Datensatz gesperrt werden, sodass nur noch berechtigte Zugriffe möglich sind.

Betroffenenrechte umsetzen

Die DSGVO gewährt Betroffenen umfangreiche Rechte: Auskunftsrecht (Art. 15), Recht auf Berichtigung (Art. 16), Recht auf Löschung (Art. 17), Recht auf Einschränkung der Verarbeitung (Art. 18) und Recht auf Datenübertragbarkeit (Art. 20). In SAP bedeutet das: Sie müssen in der Lage sein, alle zu einer Person gespeicherten Daten zu identifizieren und auszugeben. SAP bietet mit dem Data Privacy Integration (DPI) Framework eine technische Grundlage für die Umsetzung dieser Rechte.

Protokollierung und Nachvollziehbarkeit

Die DSGVO fordert die Nachvollziehbarkeit von Datenzugriffen. Konfigurieren Sie das Security Audit Log für Zugriffe auf Tabellen mit personenbezogenen Daten. Nutzen Sie Read Access Logging (RAL) für die Protokollierung von Lesezugriffen auf sensible Daten – ein Feature, das SAP speziell für DSGVO-Anforderungen entwickelt hat. RAL zeichnet auf, wer wann welche personenbezogenen Daten aufgerufen hat.

Datenschutz bei Systemkopien und Tests

Ein oft übersehener Aspekt: Bei Systemkopien werden Produktivdaten in Nicht-Produktivsysteme übertragen. Hier greift die DSGVO ebenfalls. Maßnahmen: Datenmaskierung nach jeder Systemkopie durchführen, Zugriff auf Nicht-Produktivsysteme einschränken und dokumentieren, synthetische Testdaten statt Produktivdaten verwenden, wo möglich. Dokumentieren Sie Ihren Prozess – Auditoren und Datenschutzbeauftragte fragen gezielt nach.

Grenzüberschreitender Datentransfer

Wenn Ihre SAP-Landschaft Systeme in verschiedenen Ländern umfasst oder Cloud-Services außerhalb der EU nutzt, müssen Sie den grenzüberschreitenden Datentransfer absichern. Standardvertragsklauseln (SCC) mit SAP und Sub-Processoren abschließen, Transfer Impact Assessments durchführen und technische Maßnahmen wie Verschlüsselung und Pseudonymisierung implementieren.

Fazit

DSGVO-Compliance in SAP ist ein Querschnittsthema, das Basis, Berechtigungen, Entwicklung und Fachbereiche gleichermaßen betrifft. Starten Sie mit der Dateninventarisierung und dem Löschkonzept – das sind die Grundlagen. Tools wie SAP ILM und DPI erleichtern die Umsetzung, ersetzen aber nicht die inhaltliche Auseinandersetzung mit den Anforderungen.

Jetzt anfragen →

Weitere Artikel

Brauchen Sie Unterstützung bei diesem Thema?

Wir helfen Ihnen bei der Umsetzung – von der Analyse bis zum Go-Live.

Jetzt anfragen

← Alle Artikel