Sowohl Datenschutzbeauftragte als auch Betriebsräte haben die Aufgabe zu überprüfen, ob der SAP-Einsatz tatsächlich den Datenschutzvorschriften aus Gesetzen und Betriebsvereinbarungen entspricht. Doch wie macht man das in der Praxis? In welche „Winkel“ des großen SAP-Systems muss man schauen, um die kritischen Stellen zu finden? Welche SAP-Funktionen kann man dafür nutzen? Und welche Systemberechtigungen braucht man, um diese Revisionsfunktionen auch wirklich starten zu können?
Nachdem FORBIT-Mitarbeiter zahlreiche Systemprüfungen vorgenommen haben, können wir methodische und technische Hilfen anbieten.
Vorgehensplan für die SAP-Datenschutzrevision
FORBIT hat ein Revisionskonzept ausgearbeitet, nach dem man eine Systemüberprüfung vorbereiten, durchführen und dokumentieren kann. Es enthält Prüfschritte, Prüffragen, Prüfinstrumente und ein Schema für den Prüfbericht. Zur Anwendung dieser Instrumente bieten wir regelmäßig Seminare an. Selbstverständlich unterstützen wir Datenschutzbeauftragte und Arbeitnehmervertreter auch bei Systemrevisionen im Betrieb.
Berechtigungsrollen zum Download
Mit dem Audit-Informationssystem liefert SAP eine Reihe von Standardrollen für Revisionszwecke aus. Diese sind jedoch für eine reine Datenschutzprüfung zum Teil zu weitgehend und enthalten insbesondere kritische Änderungsberechtigungen.
FORBIT-Rolle für SAP-Prüfungen
FORBIT hat eine neue Rolle entwickelt,
- die nur die wesentlichen Transaktionen und Berechtigung enthält, die für Systemprüfungen durch Betriebsrat oder Datenschutzbeauftragten erforderlich sind,
- keine Änderungen im System zulässt, also auf reine Anzeigefunktionen beschränkt ist und
- keinen Zugriff auf personenbezogene Daten erlaubt, mit Ausnahme von Benutzerdaten.
Die Rolle wurde für den aktuellen Releasestand (6.0) entwickelt. Sie enthält u.a. Funktionen zu
- Allgemeinen Systemprüfungen (Mandanten, System, Parameter, Systemänderbarkeit, Schnittstellen)
- Entwicklung/Customizing (ABAP Programme, Transaktionen, Erweiterungskonzept)
- Tabellen (Inhalte, Berechtigung, Protokollierung)
- Security Audit Log
- Benutzer und Berechtigungen
- HR-Personalwirtschaft (benutzte Infotypen, Protokollierung Reportstarts)
- „Dateiregister zu personenbezogenen Daten“
Dabei wurden Funktionen, die nur mit sehr speziellem technischen Wissen sinnvoll genutzt werden können, weggelassen.
Dokumentation zur FORBIT-Prüfrolle
Die Rolle kann hier im SAP-Format heruntergeladen und per Upload ins SAP -System übernommen werden:
Z_AUDITOR_BR_DSB_BASIS Version 1.2
Diplomarbeit Anna Otto:
Die Frage nach angemessenen Rollen für SAP-Datenschutzprüfungen wurde im Fachbereich Informatik der Universität Hamburg in einer Diplomarbeit behandelt. Dabei sind sechs neue Rollen entstanden, die als Grundlage für die Prüfberechtigungen von Datenschutzbeauftragten, Betriebs- und Personalräten dienen können. Diese Rollen sind wie im SAP-Standard in Menü- und Berechtigungsrollen aufgeteilt.
Z_AUDITOR_DSB_DIS erlaubt nur das Anzeigen von Daten, im Wesentlichen Systemparameter, Benutzer und Berechtigungsdaten und Protokolle. Kein Zugriff auf personenbezogene Daten aus SAP HCM.
Z_AUDITOR_DSB_HR_DIS gewährt auch Lesezugriff auf personenbezogene HCM-Daten.
Z_AUDITOR_DSB_ALL ergänzt Berechtigungen für Funktionen, die zwar für die Datenschutzprüfung interessant, derzeit aber nur mit Änderungsberechtigungen ausführbar sind.
Diplomarbeit: Anna Otto, Entwicklung von Datenschutzrollen für das Audit Information System im SAP ERP, 2007.
Vollständige Fassung (.pdf – 25 MB) – Kurzfassung (.pdf – 5 MB)
Die Rollen können hier im SAP-Format heruntergeladen und per Upload ins SAP -System übernommen werden:
Datenschutzrollen für das AIS im SAP ERP – Im Zusammenhang mit der Diplomarbeit von Anna Otto erstellt. Für SAP ERP ECC 5.0