Viele Unternehmen sind seit Einführung der EU-Datenschutzgrundverordnung im Mai 2018 mit der Einführung und Umsetzung von Datenschutzprojekten im SAP verpflichtet. Die Implementierung von technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten erfolgt dabei nicht einmalig, sondern ist als kontinuierlicher Prozess anzusehen. Das Ziel der Hausarbeit befasst sich daher mit der Erarbeitung von Grundlagen der Auditierung und Zusammenfassung rechtlicher Grundlagen, zur Prüfung von Datenschutzprojekten im SAP.
Im ersten Teil der Hausarbeit liegt der Fokus auf der Auditierung. Hierbei wird näher auf Definitionen und Auditarten sowie relevante Normen eingegangen. Zusätzlich erfolgt die Darstellung und Beschreibung einer typischen Auditdurchführung nach ISO Norm 19011. Im weiteren Verlauf werden datenschutzrechtliche Grundlagen zur Verarbeitung personenbezogenen Daten vorgestellt und wie technische und organisatorische Maßnahmen zu prüfen sind.
Der Hauptteil dieser Arbeit beschäftigt sich mit der Erarbeitung eines Vorgehens zur Prüfung von Datenschutzprojekten im SAP. Da Unternehmen einer regelmäßigen Nachweispflicht unterlegen sind, um die Sicherheit der Verarbeitung zu garantieren, kann dieser Kontrollprozess als Grundlage für eine Prüfung dienen. Die Prüfung umgesetzter Maßnahmen ist in den darauf olgenden Kapiteln dargestellt. (Datenschutz- Grundverordnung 2020, Art.5)
Inhaltsverzeichnis
1 Einleitung und Zielsetzung
2 Grundlagen der Auditierung
2.1 Auditdefinitionen und -arten
2.2 Planung und Durchführung eines Audits
3 Datenschutzrechtliche Grundlagen
3.1 Verarbeitung personenbezogener Daten
3.2 Auditieren und Prüfen von Maßnahmen
4 Auditierung von Datenschutzprojekten im SAP
4.1 Nachweispflicht als Vorgehensmodell
4.2 Prüfung Technische und organisatorische Maßnahmen
4.3 Prüfung der Sperr- und Löschroutinen
5 Ergebnis
Zielsetzung & Themen der Arbeit
Die vorliegende Arbeit befasst sich mit der Erarbeitung von Grundlagen für die Auditierung von Datenschutzprojekten im SAP-Umfeld. Ziel ist es, ein systematisches Vorgehen zur Prüfung von technischen und organisatorischen Maßnahmen darzustellen, um die Einhaltung regulatorischer Anforderungen und die Sicherheit der Datenverarbeitung kontinuierlich nachzuweisen.
- Grundlagen und Normen der Auditierung (ISO 19011)
- Datenschutzrechtliche Vorgaben (DSGVO) bei der Verarbeitung personenbezogener Daten
- Methoden zur Prüfung und Bewertung technischer und organisatorischer Maßnahmen
- Anwendung des Nachweisprinzips in SAP-Systemen
- Implementierung und Auditierung von Sperr- und Löschroutinen mittels SAP ILM
Auszug aus dem Buch
3.2 Auditieren und Prüfen von Maßnahmen
Die DSGVO beschreibt in Art. 40 Verhaltensregeln, deren Ausarbeitung von den Mitgliedsstaaten und Aufsichtsbehörden zu fördern sind. Sie sollen den "... besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen ...". (Datenschutz-Grundverordnung 2020, Art.40, Abs.1)
In Artikel 40 h) wird dies präzisiert, denn es geht hierbei um technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten während der gesamten Verarbeitung, die in den Artikeln 24, 25 und 32 genauer beschrieben sind. Diese liefern explizite Informationen und Anforderungen für einen kontinuierlichen Prozess zur Prüfung und Beurteilung der Effektivität der Maßnahmen. Die Artikel gelten daher als rechtliche Grundlage zur Auditierung von Datenschutzprojekten.
Art.25, Abs.1 und 2 der EU-DSGVO beschreibt ausdrücklich die Anforderungen für eine datenschutzfreundliche Voreinstellung (engl. "Data protection by design and by default"(Datenschutz-Grundverordnung 2020, Art.25)) des Verantwortlichen. So trifft der Verantwortliche unter Beachtung des aktuellen Stands der Technik adäquate technische und organisatorische Maßnahmen, die gewährleisten, nur personenbezogene Daten mit einem eindeutigen Verwendungszweck verarbeitet werden.(Datenschutz-Grundverordnung 2020, Art.25, Abs.1-2) Ferner gelten diese Maßnahmen "für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit."(Datenschutz-Grundverordnung 2020, Art.25, Abs.2) Die umgesetzten Maßnahmen sind durch den Verantwortlichen regelmäßig zu prüfen und aktualisieren. Dies schließt auf einen zu etablierenden Prozess zur regelmäßigen Auditierung der Maßnahmen.(Datenschutz-Grundverordnung 2020, Art.25, Abs.1-2)
Zusammenfassung der Kapitel
1 Einleitung und Zielsetzung: Einführung in die Relevanz von Datenschutzprojekten im SAP-Kontext und Definition des Ziels der Arbeit, Grundlagen für deren Auditierung zu erarbeiten.
2 Grundlagen der Auditierung: Darstellung der Begrifflichkeiten und Arten von Audits sowie der normativen Vorgaben zur Durchführung einer systematischen Prüfung.
3 Datenschutzrechtliche Grundlagen: Erläuterung der rechtlichen Rahmenbedingungen der DSGVO, insbesondere in Bezug auf den Lebenszyklus personenbezogener Daten und Anforderungen an Schutzmaßnahmen.
4 Auditierung von Datenschutzprojekten im SAP: Untersuchung eines Vorgehensmodells zur Prüfung der Sicherheit im SAP-System anhand des Nachweisprinzips und der technischen Maßnahmen im Bereich Sperr- und Löschroutinen.
5 Ergebnis: Synthese der erarbeiteten Grundlagen und Bestätigung, dass die Nachweispflicht als Basis für einen strukturierten Auditierungsprozess in SAP-Projekten dient.
Schlüsselwörter
Datenschutz, Auditierung, SAP, DSGVO, Nachweispflicht, SAP ILM, Personenbezogene Daten, IT-Architekturen, ISO 19011, Compliance, Archivierung, Löschroutinen, Datensicherheit, Managementsysteme, Risikobewertung
Häufig gestellte Fragen
Was ist das grundlegende Thema dieser Arbeit?
Die Arbeit behandelt die Durchführung und methodische Planung von Audits für Datenschutzprojekte innerhalb von SAP-Systemumgebungen unter Berücksichtigung der EU-DSGVO.
Welche zentralen Themenfelder werden abgedeckt?
Die Schwerpunkte liegen auf der Audit-Methodik nach ISO-Normen, den rechtlichen Anforderungen der DSGVO sowie der praktischen Umsetzung und Prüfung technischer Maßnahmen wie dem SAP Information Lifecycle Management (ILM).
Was ist das primäre Ziel der Forschungsarbeit?
Das Hauptziel ist die Erarbeitung von Grundlagen und Vorgehensmodellen, die Unternehmen dabei unterstützen, die Sicherheit der Datenverarbeitung im SAP-System kontinuierlich zu prüfen und nachzuweisen.
Welche wissenschaftliche Methode kommt zum Einsatz?
Die Arbeit nutzt eine theoretische Analyse von Normen (ISO 19011), Gesetzen (DSGVO, BDSG) und Fachliteratur, um ein Vorgehensmodell für Auditierungsprozesse abzuleiten.
Welche Themen bilden den Hauptteil der Arbeit?
Im Hauptteil liegt der Fokus auf der Nachweispflicht, der Prüfung technischer und organisatorischer Maßnahmen (TOM) sowie der spezifischen Kontrolle von Sperr- und Löschroutinen im SAP.
Durch welche Schlüsselwörter lässt sich die Arbeit charakterisieren?
Zu den wichtigsten Begriffen gehören Datenschutz, Auditierung, SAP, DSGVO, Nachweispflicht, SAP ILM und Compliance.
Wie unterscheidet sich der SAP-Datenlebenszyklus nach SAP ILM?
SAP ILM unterscheidet zwischen Stammdaten und Bewegungsdaten. Während Stammdaten mit Sperrkennzeichen im System verbleiben, werden Belege zur Einschränkung der Verarbeitung oft in externe Archivsysteme verschoben.
Welche Rolle spielt das Berechtigungskonzept bei der Auditierung?
Ein dokumentiertes Berechtigungskonzept ist essenziell, da es den Zugriff auf gesperrte Daten auf einen begrenzten Personenkreis beschränkt und damit die Integrität der Sperr- und Löschprozesse gewährleistet.
- Arbeit zitieren
- Adrian Drexler (Autor:in), 2021, Auditierung von Datenschutzprojekten im SAP, München, GRIN Verlag, https://www.hausarbeiten.de/document/1344328
