ebook img

Leitfaden Datenschutz SAP ERP 6.0 PDF

159 Pages·2009·3.77 MB·German
by  
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Leitfaden Datenschutz SAP ERP 6.0

Leitfaden Datenschutz SAP ERP 6.0 Deutschsprachige SAP® Anwendergruppe DSAG ARBEITSGRUPPE DATENSCHUTZ STAND 20. SEPTEMBER 2009 DSAG Arbeitskreis Revision / Risikomanagement ErarbEitEt in dEr arbEitsgruppE datEnschutz LEitfadEn datEnschutz sap Erp 6.0 stand 20. sEptEmbEr 2009 dsag e. V. deutschsprachige sap-anwendergruppe 2 e eit S in mEmoriam thomas barthEL (1950 – 2007) e 3 eit S Einleitung der vorliegende Leitfaden datenschutz sap Erp release 6.0 soll datenschutzbeauftragten der sap- anwender anhaltspunkte für die Vorgehensweise bei der umsetzung der anforderungen der datenschutz- vorschriften bei Einsatz der sap-software geben. der Leitfaden ist als „Empfehlung“ gedacht, nicht aber als „verbindliche richtlinie“ oder „norm“. Jegliche Verantwortung für art, umfang und Ergebnis der umsetzung der datenschutzvorschriften verbleibt somit bei der Leitung der verantwortlichen stelle (unternehmen / behörde). für das studium dieses Leitfadens werden grundkenntnisse der sap-systeme sowie Kenntnisse der handels- und steuerrechtlichen grundlagen und des bundesdatenschutzgesetzes (bdsg) vorausgesetzt. der Leitfaden datenschutz behandelt fragestellungen, die bereits in den sap-sicherheitsleitfäden oder in anderen prüfleitfäden des dsag aK-revision enthalten sind, insbesondere aus datenschutzrechtlicher sicht. in dieser Version wird z. t. auch auf modulspezifische besonderheiten, z. b. hcm, eingegangen. mit sap Erp wird die klassische abap-Welt (abap stack) um die JaVa-Welt (JaVa stack) ergänzt. dieser Leitfaden umfasst den abap-stack, die Version für den JaVa-stack ist in planung. sap Erp ist als international eingesetzte standardsoftware konzipiert. der Leitfaden berücksichtigt die Eu-richtlinie 95 / 46 / Eg und die deutsche datenschutzgesetzgebung. die autoren sind mitglieder der arbeitsgruppe datEnschutz im dsag arbeitskreis revision und stellen hiermit ihre Erfahrungen zur Verfügung. © copyright 2008 dsag E.V. diE autorEn: herr t. barthel † forbit gmbh / caro gmbh, hamburg herr i. carlberg bit e.V., bochum herr V. Lehnert sap deutschland ag & co.Kg, Walldorf herr h. miller geberit deutschland gmbh, pfullendorf herr t. müthlein dmc datenschutz management & consulting gmbh & co.Kg frechen / gdd e.V. bonn frau a. otto sap deutschland ag & co.Kg, Walldorf herr s. pieper deloitte & touche gmbh, frankfurt herr K. redling sap deutschland ag & co.Kg, Walldorf herr a. reschke rechtsanwaltskanzlei reschke, Wiesbaden herr p. schiefer bayer ag, Leverkusen herr h.-J. schwab sap ag, Walldorf herr g. siebert forba partnerschaft, berlin herr g. Voogd forbit gmbh / caro gmbh, hamburg 4 e eit S e. V. g a s d an dEr 1. / 2. aufLagE WirKtEn aussErdEm mit: © herr V. ahrend bosch telecom gmbh, frankfurt 09, 0 2 herr r. anhorn robert bosch gmbh, stuttgart r E frau c. bonni Lausitzer braunkohle ag, senftenberg mb herr W. Kilian rWE Energie aktiengesellschaft, Essen tE p herr a. Lenz rheinbraun ag, Köln sE herr s. dierschke basf ag-zok, Ludwigshafen 20. d herr W. geesmann Kpmg deutsche treuhand-gesellschaft, düsseldorf n a herr r. glagow pWc deutsche revision ag, düsseldorf st 0 herr f. glaß pWc deutsche revision ag, düsseldorf 6. p herr t. glauch Kpmg deutsche treuhand-gesellschaft, düsseldorf Er herr J. heck brau und brunnen ag, dortmund ap s herr g. hohnhorst Kpmg deutsche treuhand-gesellschaft, düsseldorf r Ü herr W. hornberger sap ag, Walldorf z f t herr a. Kirk ruhrgas ag, Essen u h herr K. Lorenz deutsche bausparkasse badenia ag, Karlsruhe sc n herr dr. pötschat basf ag, Ludwigshafen atE herr E. schmidt philip morris gmbh, münchen d n herr a. von der stein rWE systems ag, dortmund dE a herr u. ueberschar mannesmann arcor ag & co., Eschborn / Köln f t frau g. zibulski sap ag, Walldorf LEi die Verantwortung für den inhalt tragen die autoren. die redaktionelle bearbeitung und das Layout liegen bei der sap ag und der dsag. hinWEis: die vorliegende publikation ist urheberrechtlich geschützt (copyright). alle rechte liegen, soweit nicht ausdrücklich anders gekennzeichnet, bei: dEutschsprachigE sap® anWEndErgruppE E.V. altrottstraße 34 a 69190 Walldorf deutschland Jedwede unerlaubte Verwendung ist nicht gestattet. dies gilt insbesondere für die Vervielfältigung, Verbreitung, Übersetzung oder die Verwendung in elektronischen systemen / digitalen medien. die autoren des Leitfaden datenschutz sind für Kritik, Änderungs- und Ergänzungswünsche dankbar. dies gilt sowohl für Vorschläge zur Vertiefung der einzelnen Kapitel als auch für die nennung von beispielen aus konkreten prüfungserfahrungen. um dem Leser das antworten zu erleichtern, ist auf der folgenden seite ein formular eingefügt. 1 z. b. hgb, ao, gdpdu, gob / gobs e 5 eit S an die autoren der fax: +49 (0) 62 27 – 358 09 59 arbeitsgruppe datenschutz dsag-geschäftsstelle altrottstr. 34a 69190 Walldorf E-mail: [email protected] absEndEr name funktion abteilung firma anschrift telefon telefax ErgÄnzEndE information(En) zum LEitfadEn datEnschutz sap Erp ich möchte der arbeitsgruppe zu folgendem themenkreis informationen geben (bitte ankreuzen): ( ) Kritische tabellen / customizing-Einstellungen ( ) Kritische objekte ( ) Kritische sap-fakten ( ) beispiele für konkrete umsetzungsmaßnahmen und prüfungshandlungen ich bEziEhE mich auf Leitfaden datenschutz sap Erp, Kapitel:..................................................................................................................... sap Erp, release:........................................................................................................................................................... mEinE information LautEt: ............................................................................................................................................................................................ ............................................................................................................................................................................................ ............................................................................................................................................................................................ ............................................................................................................................................................................................ ............................................................................................................................................................................................ ............................................................................................................................................................................................ ............................................................................................................................................................................................ ............................................................................................................................................................................................ zur WEitErEn ErLÄutErung sind anLagEn bEigEfÜgt (bittE anKrEuzEn): ( ) Ja ( ) nein 6 e eit S Gliederung e. V. g a s d 1 EinfÜhrungsprozEss 12 © 1.1 anforderungen des bdsg an sap Erp 12 09, 0 2 1.1.1 Erhebung, Verarbeitung oder nutzung von personenbezogenen daten 12 r E 1.1.2 Übermittlung von personenbezogenen daten 13 mb 1.1.3 abrufverfahren 13 tE p 1.1.4 besondere zweckbindung 13 sE 1.1.5 auftragsverarbeitung 13 20. d 1.1.6 unterrichtung des betroffenen 14 n a 1.1.7 rechte des betroffenen 14 st 0 1.1.8 auskunft an jedermann 14 6. p 1.1.9 meldepflicht 15 Er 1.1.10 Verpflichtung der mitarbeiter auf das datengeheimnis 15 ap s 1.1.11 schulung 15 r Ü 1.1.12 maßnahmen zur datensicherheit 15 z f t 1.1.13 Übersichten gem. §§ 4e, 4g und §18 abs. 2 (bdsg-Übersichten) 15 u h 1.1.14 Vorabkontrolle 16 sc n 1.1.15 sap solution manager als unterstützendes tool im Einführungsprozess 16 atE 1.2 mitwirken des datenschutzbeauftragten bei der Einführung von sap Erp 17 d n 1.2.1 datenschutzbeauftragter – mitglied des sap-projektteams 17 dE a 1.2.2 information des datenschutzbeauftragten zu den „meilensteinen“ 17 f t 1.2.3 informationsmöglichkeiten für den datenschutzbeauftragten 17 LEi 1.3 sap-fakten 18 1.3.1 customizing und asap-Vorgehensmodell 18 1.3.2 berechtigungskonzept 20 1.3.3 change transport system / change transport organizer (cts / cto) 21 1.3.4 schnittstellenverarbeitung 22 1.3.4.1 datenübernahme 22 1.3.4.2 pc-Verarbeitung 22 1.3.4.3 Kommunikationsschnittstellen 22 1.3.4.4 sap-automation 22 1.3.5 Job-auftragsverfahren und -dokumentation 1.4 risiken 22 1.4.1 nichteinschaltung des datenschutzbeauftragten bzw. der arbeitnehmervertreter 23 1.4.2 nichtbeachtung der sap-Empfehlungen 23 1.4.3 nichtberücksichtigung bzw. verspätete Erstellung des berechtigungskonzeptes 23 1.4.4 nicht ordnungsgemäße anwendung eines datenverarbeitungsprogramms 23 1.5 prüfungshandlungen im rahmen der Einführung / checkliste 24 2 aufgabEn dEs datEnschutzbEauftragtEn 26 2.1 Überwachung der ordnungsgemäßen programmanwendung (§ 4g abs. 1 bdsg) 27 2.1.1 Einbeziehung des dsb vor und während der programmentwicklung und -anpassung 28 2.1.2 prüfung der datenerhebung und datennutzung auf rechtmäßigkeit 28 2.1.3 auswertung der protokollierung 28 2.1.4 prüfung der Verfahrensdokumentation 28 2.1.5 mitwirkung bei der festlegung und Überprüfung des berechtigungskonzeptes 29 e 7 eit S Gliederung 2.1.6 mitwirkung bei der festlegung des betriebskonzeptes und der betreiberorganisation 30 2.1.7 abfassung einer datenschutzerklärung 31 2.1.8 Überwachung des Korrektur- und transportwesens unter sap Erp 32 2.1.9 Kontrollen im laufenden betrieb 32 2.2 schulung der anwender mit Verpflichtung auf das datengeheimnis (§§ 4g und 5 bdsg) 32 2.2.1 personenkreis, der geschult und verpflichtet werden muss 32 2.2.2 inhalt der anwenderschulungen 33 2.2.3 abbildung der anwenderschulung im sap 33 2.2.3.1 anwenderschulung über infotypen „belehrungen“ oder „Qualifizierungen“ 33 2.2.3.2 anwenderschulung über das Veranstaltungsmanagement 34 2.3 führen von Übersichten (§ 4g abs. 2 / §18 abs. 2 bdsg) 34 2.3.1 informationen zur verantwortlichen stelle 38 2.3.2 zweckbestimmungen der datenerhebung, -verarbeitung oder -nutzung 38 2.3.3 beschreibung der betroffenen personengruppen und der diesbezüglichen daten oder datenkategorien 38 2.3.4 Empfänger oder Kategorien von Empfängern 40 2.3.5 regelfristen für Löschung 42 2.3.6 geplante Übermittlung in drittstaaten 48 2.3.7 maßnahmen zur gewährleistung der sicherheit 49 2.3.8 zugriffsberechtigte personen 49 2.3.9 beispiel melderegister 50 2.4 systemunterstützung 52 2.4.1 auswertungen zur tabellen- und feldanalyse 53 2.4.2 techniken zum auffinden personenbezogener daten 55 2.4.3 prüfung der zugriffsberechtigungen 57 3 rEchtE dEr bEtroffEnEn und Von JEdErmann 60 3.1 benachrichtigung und auskunft 60 3.1.1 rechtliche anforderungen 60 3.1.2 sap-fakten 61 3.1.3 anforderungen an die organisation des datenschutzes 61 3.2 berichtigung, Löschung und sperrung 63 3.2.1 rechtliche anforderungen 63 3.2.2 sap-fakten 64 3.2.3 anforderungen an die organisation des datenschutzes 64 4 umsEtzung dEr anfordErungEn aus § 9 bdsg und anLagE: tEchnisch-organisatorischE massnahmEn 66 4.1 anforderungen 66 4.1.1 gesetzliche anforderungen aus § 9 bdsg 66 4.1.2 sap-funktionalität zur abdeckung der gesetzlichen anforderungen 66 4.2 sap-fakten, risiken und maßnahmen 70 4.2.1 abap-fakten, risiken und maßnahmen 71 4.2.1.1 identifizierung und authentifizierung 71 4.2.1.1.1 sap-fakten 71 4.2.1.1.2 risiken und zu ergreifende maßnahmen 74 8 e eit S e. V. g a s d 4.2.1.2 standardbenutzer 74 © 4.2.1.2.1 sap* 74 09, 0 2 4.2.1.2.2 sapcpic 75 r E 4.2.1.2.3 ddic 75 mb 4.2.1.2.4 EarlyWatch 75 tE p 4.2.1.2.5 batch user 76 sE 4.2.1.2.6 risiken und zu ergreifende maßnahmen 76 20. d 4.2.1.3 benutzerberechtigungskonzept: ausgewählte berechtigungsobjekte 76 n a 4.2.1.3.1 berechtigungsobjekte im hcm 76 st 0 4.2.1.3.2 berechtigungsobjekt p_abap 77 6. p 4.2.1.3.3 berechtigungsobjekt p_tcodE 78 Er 4.2.1.3.4 berechtigungsobjekt s_tcodE 78 ap s 4.2.1.3.5 tabelle tstca 78 r Ü 4.2.1.3.6 umwandlung von reports in transaktionen 79 z f t 4.2.1.3.7 berechtigungsobjekt s_tabu_dis, s_tabu_cLi und s_tabu_Lin 79 u h 4.2.1.3.8 berechtigungsobjekt s_tooLs_EX 80 sc n 4.2.1.3.9 berechtigungsobjekt s_scd0 80 atE 4.2.1.3.10 objekte zur benutzer- und berechtigungspflege (s_usEr_xxx) 80 d n 4.2.1.3.11 berechtigungsobjekt s_gui und XXL-Listviewer 81 dE a 4.2.1.3.12 risiken und zu ergreifende maßnahmen 81 f t 4.2.1.4 benutzerberechtigungskonzept: ausgewählte profile 82 LEi 4.2.1.4.1 profil sap_aLL 82 4.2.1.4.2 profil sap_nEW 82 4.2.1.4.3 profil p_bas_aLL 82 4.2.1.4.4 sonstige s_xxx-profile 83 4.2.1.4.5 rollen mit kritischen berechtigungen 83 4.2.1.4.6 risiken und zu ergreifende maßnahmen 83 4.2.1.5 besonderheiten bei der berechtigungsprüfung 84 4.2.1.5.1 ausschaltung / modifikation von berechtigungsprüfungen 84 4.2.1.5.2 authority-check bei abap-programmen (standardprogramm oder Eigenentwicklungen) 85 4.2.1.5.3 berechtigungshauptschalter hr (tabelle t77s0; grpid „autsW“) 85 4.2.1.5.4 report berechtigungsgruppen 86 4.2.1.5.5 risiken und zu ergreifende maßnahmen 86 4.2.1.6 benutzeradministration 87 4.2.1.6.1 Konzeption der zentralen benutzeradministration 87 4.2.1.6.2 Konzeption der dezentralen benutzeradministration 88 4.2.1.6.3 benutzeradministration mit dem profilgenerator 88 4.2.1.6.4 Veraltete benutzeradministration mit profilen 88 4.2.1.6.5 risiken und zu ergreifende maßnahmen 88 4.2.1.7 Änderungen am produktivsystem 89 4.2.1.7.1 change and transport system 89 4.2.1.7.2 tabellenprotokollierung / customizing 89 4.2.1.7.3 systemänderbarkeit 90 4.2.1.7.4 protokolle 90 9 e eit S Gliederung 4.2.1.7.5 schutz der tabelle t000 91 4.2.1.7.6 risiken und zu ergreifende maßnahmen 91 4.2.1.8 systemschnittstellen 91 4.2.1.8.1 batch-input 91 4.2.1.8.2 rfc, aLE, bapi 92 4.2.1.8.3 pc-download 92 4.2.1.8.4 abap-Listviewer 92 4.2.1.8.5 risiken und zu ergreifende maßnahmen 92 4.2.1.9 auditing und Logging 93 4.2.1.9.1 security audit Log 93 4.2.1.9.2 system Log 95 4.2.1.9.3 transaktionsprotokollierung stad (ccms) 95 4.2.1.9.4 Workflow-protokollierung 95 4.2.1.9.5 report-protokollierung im hcm 95 4.2.1.9.6 ad-hoc-Query-protokollierung zur Kontrolle der zweckbindung 96 4.2.1.9.7 risiken und zu ergreifende maßnahmen 96 4.2.1.10 Komplexe suchhilfe 97 4.2.1.11 zusammenfassung zentraler risiken 97 4.3 zusammenfassung der prüfungshandlungen 98 5 auftragsdatEnVErarbEitung und KonzErnintErnEr datEnaustausch 100 5.1 abgrenzungen beim thema outsourcing und datenschutz 100 5.2 Vertragsgestaltung zwischen auftragnehmer und auftraggeber 101 5.2.1 pflichten des auftraggebers und auftragnehmers 101 5.2.2 umfang der datenverarbeitung / Weisungen 102 5.2.3 technische und organisatorische maßnahmen 102 5.2.4 Wahrung der rechte der betroffenen 103 5.2.5 datengeheimnis 103 5.2.6 Kontrollen durch den auftraggeber 103 5.2.7 datenschutzbeauftragter des auftragnehmers 103 5.2.8 unterauftragnehmer 104 5.2.9 Verarbeitung im ausland 104 5.2.10 Wartung und pflege 105 5.3 sap-fakten 106 5.3.1 ausgangssituation 106 5.3.2 sap-administration 107 5.3.3 sap-spezifische maßnahmen 107 5.3.3.1 systemadministration 107 5.3.3.2 change and transport organizer (cto / cts) 107 5.3.3.3 fernwartung und services 108 5.3.3.4 rfc und aLE 108 5.3.3.5 Job-abwicklung 108 5.3.3.6 pc-download 109 5.3.3.7 datenbank- und Lan-umgebung 109 0 e 1 eit S

Description:
mit sap Erp wird die klassische abap-Welt (abap stack) um die JaVa-Welt (JaVa stack) ergänzt. dieser dmc datenschutz management & consulting.
See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.