Das SAP Systeme verarbeitet in seinen Modulen personenbezogene Daten. Deshalb ist u.a. das Bundesdatenschutzgesetz (BDSG) zu beachten. Da SAP als international eingesetzte Standardsoftware unter betriebswirtschaftlichen Aspekten strukturiert ist, kann ein Nutzer nicht zwingend davon ausgehen, dass für die Verarbeitung personenbezogener Daten, die Rechtsgrundlage im Sinne der deutschen bzw. europäischen Datenschutzgesetze gegeben ist.

So sind z.B. die von SAP ausgelieferten Standard-Profile oftmals so aufgebaut, dass die Berechtigungen über das erforderliche Maß hinausgehen. Aufgrund der Komplexität des Berechtigungskonzepts werden die angebotenen Standard-Profile oft von den Anwendern ungeprüft übernommen. Häufig werden auch mehr Daten mit SAP erhoben, als für die Erfüllung des verfolgten Zwecks notwendig oder die technisch organisatorischen Maßnahmen, die vom BDSG gefordert werden, sind nicht angemessen umgesetzt.

Der Datenschutzbeauftragte sollte daher bei der Einführung eines SAP-Systems frühzeitig in die Projektarbeit einbezogen werden, wobei die Projektverantwortung für die ordnungsgemäße Einführung von SAP weiterhin der Projektleitung obliegt.

Die Revision von SAP-Systemen wird von uns, gemeinsam mit Ihren SAP-Experten, durchgeführt. Unser Audit umfasst dabei auf Wunsch, sowohl das Basissystem als auch andere Module, beispielsweise HR/FI/CRM.

Zunächst wird durch uns die Dokumentation einer Vorabanalyse unterzogen. Die dabei gewonnenen Erkenntnisse sind Grundlage einer konzeptionellen Analyse der sicherheitskritischen und datenschutzrechtlichen Aspekte. Einer konzeptionellen Analyse schließt sich dann die Auswertung der SAP-Sicherheitsparameter sowie der vergebene sicherheitskritische Standard-Berechtigungen an. Im Folgenden wird das System einer Detailanalyse unterzogen. Dabei gilt es vor allem, Fehleinstellungen bei sicherheitskritischen Berechtigungen und Profilen oder der Nutzung von Datenfeldern zu erkennen.

Die festgestellten Schwachstellen werden gemeinsam mit den SAP-Administratoren bewertet. Hieraus werden wir Vorschläge für Maßnahmen zur Verbesserung unterbreiten. Die Ergebnisse werden in einem verständlichen Gutachten dokumentiert.