Die DSGVO-Anforderungen erfüllen

So unterstützen SAP und die SAP-Ariba-Lösungen Ihr Unternehmen bei der Einhaltung der DSGVO-Richtlinien

I. Einführung

Die europäische Datenschutz-Grundverordnung (DSGVO) ist im Mai 2016 in Kraft getreten. Ab dem 25. Mai 2018 findet sie in allen EU-Mitgliedsstaaten und im europäischen Wirtschaftsraum Anwendung. Auch wenn mit der DSGVO keine grundlegend neuen Konzepte eingeführt werden, steigen die Compliance-Anforderungen an die für die Daten verantwortlichen Personen und Auftragsverarbeiter bezüglich der Verwaltung personenbezogener Daten.

Als Unternehmen hat sich die SAP verpflichtet, die DSGVO-Anforderungen fristgerecht einzuhalten. SAP verfolgt im Rahmen allgemeiner Produktstandards einen konsequenten Datenschutzansatz, der nun erweitert wird, um den neuen Anforderungen der DSGVO Rechnung zu tragen.

Wir haben eine Zusammenfassung der Änderungen, die durch die DSGVO eingeführt wurden, die Auswirkungen dieser Änderungen und die Art und Weise, wie die SAP-Produkte den Kunden bei der Umsetzung der DSGVO-Anforderungen helfen können, erstellt.

Als Teil von SAP verfolgen wir einen proaktiven Ansatz, der unseren Kunden bei der Einhaltung der Vorschriften der DSGVO helfen soll. Im zweiten Teil dieser Website werden die spezifischen Funktionen der SAP-Ariba-Lösungen und die entsprechende Unterstützung beschrieben.

Die auf dieser Website publizierten Informationen dienen lediglich der allgemeinen Orientierung und stellen keine Rechtsberatung von SAP dar. Die Verantwortung für die Umsetzung geeigneter Maßnahmen zur Einhaltung der DSGVO liegt bei den Kunden als Verantwortlichen im Sinne der DSGVO. SAP übernimmt keine Haftung für Maßnahmen, die als Reaktion auf diese Ausführungen ergriffen werden. Keine der Ausführungen darf daher als Ersatz für eine Rechts- oder Fachberatung genutzt werden.

II. Ziele

Ziel der DSGVO ist die europaweite Vereinheitlichung der Datenschutzanforderungen in einer einzigen EU-Datenschutzverordnung. Sie richtet sich an juristische Personen des öffentlichen und privaten Rechts, die entweder als Verantwortliche oder Auftragsverarbeiter tätig sind. Das neue Gesetz zielt darauf ab, die Rechte und Freiheiten natürlicher Personen zu schützen, das Vertrauen der betroffenen Personen in Organisationen, die ihre personenbezogenen Daten speichern oder verarbeiten, zu festigen und den EU-Binnenmarkt zu stärken. Zu diesem Zweck umfasst die DSGVO ein einheitliches Regelwerk für die Verarbeitung personenbezogener Daten in der EU. Der Grad der EU-weiten Vereinheitlichung, den die DSGVO erreichen kann, ist jedoch insofern begrenzt, als die Verordnung sogenannte Öffnungsklauseln enthält, die es den EU-Mitgliedstaaten ermöglichen, länderspezifische Gesetze und Anforderungen für bestimmte Datenverarbeitungsaktivitäten festzulegen. Durch diese Öffnungsklauseln kann es daher zu zusätzlichen Vorschriften und Pflichten für Verantwortliche und Auftragsverarbeiter kommen, nicht jedoch zu einer Änderung der Grundverordnung.

III. Sachlicher Anwendungsbereich

Die DSGVO besitzt einen breiten sachlichen Anwendungsbereich, der die Verarbeitung personenbezogener Daten mit automatisierten Mitteln und in anderer strukturierter Form umfasst, einschließlich Daten, die in einem Dateisystem gespeichert werden sollen. Diese Eingrenzung wird in einem Passus der DSGVO deutlich, der besagt, dass sie keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher, privater oder familiärer Tätigkeiten findet.

IV. Räumlicher Anwendungsbereich

Die DSGVO hat auch einen breiten räumlichen Anwendungsbereich und gilt für alle Tätigkeiten eines Verantwortlichen oder Auftragsverarbeiters in der EU, die die Verarbeitung personenbezogener Daten umfassen. Hierbei ist es unerheblich, ob der Verantwortliche oder Auftragsverarbeiter in der EU niedergelassen ist, denn die DSGVO findet ebenfalls Anwendung für Verantwortliche oder Auftragsverarbeiter außerhalb der EU, wenn die Datenverarbeitung im Zusammenhang damit steht, betroffenen in der EU niedergelassenen Personen Waren oder Dienstleistungen anzubieten oder das Verhalten betroffener in der EU niedergelassener Personen zu beobachten.

V. Wichtige Bestimmungen

Die DSGVO führt mehrere neue gesetzliche Anforderungen ein, die die Arbeit von Verantwortlichen oder Auftragsverarbeitern maßgeblich beeinflussen können. Daher muss jeder Verantwortliche oder Auftragsverarbeiter prüfen, welche DSGVO-Vorschriften für ihn gelten und wie er sie entsprechend umsetzen kann.

Grundsätze

In Übereinstimmung mit den allgemeinen Verarbeitungsgrundsätzen schreibt die DSGVO vor, dass die Verarbeitung personenbezogener Daten rechtmäßig, verhältnismäßig, transparent, angemessen, präzise, sicher, vertraulich, zeitlich befristet und zweckgebunden sowie verantwortungsbewusst und rechenschaftspflichtig durchgeführt werden muss. Dies impliziert auch, dass angemessene Sicherheitsvorkehrungen – einschließlich technischer und organisatorischer Maßnahmen – getroffen werden müssen, um Integrität und Vertraulichkeit zu gewährleisten.

Personenbezogene Daten

In der DSGVO ist explizit definiert, was mit personenbezogenen Daten gemeint ist. Entsprechend der Definition sind es alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. In Artikel 4, Nr. 1 der DSGVO heißt es: „Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“ Dazu gehören auch Metadaten und andere Daten wie IP-Adressen, Cookies oder andere Kennungen sowie Kombinationen dieser Daten, die einer Person zugeordnet werden können. Der bestehende DSGVO-Katalog spezieller Kategorien personenbezogener Daten wurde um genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person und Daten zu strafrechtlichen Verurteilungen und Straftaten erweitert.

Rechtmäßigkeit

Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn ein Kriterium der in der DSGVO festgelegten Genehmigungskriterien erfüllt ist. Wenn keine direkte gesetzliche Erlaubnis vorliegt, benötigen Unternehmen die Einwilligung der Person, deren Daten verarbeitet werden sollen. Diese Einwilligung muss alle Datenerhebungs- und -verarbeitungszwecke der Unternehmen und ein jederzeitiges Widerrufsrecht der Einwilligung beinhalten. Eine pauschale Einwilligung oder allgemein gehaltene Einwilligung für die Verarbeitung personenbezogener Daten zu nicht näher bestimmten Zwecken ist nicht gültig.

Rechenschaftspflicht

Mit der DSGVO soll die Rechenschaftspflicht derjenigen, die personenbezogene Daten verarbeiten, verstärkt und die Transparenz der verarbeiteten Daten erhöht werden. Trotz der inhaltlichen und strukturellen Ähnlichkeit mit der aktuellen EU-Verordnung enthält die DSGVO einige Passagen, die die Umsetzung der Anforderungen massiv forcieren. Die Strafen für Verstöße sind bemerkenswert hoch und schließen Bußgelder in Höhe von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Mio. EUR ein, je nachdem, was höher ist. Diese potenziellen Strafen, Schadenersatzforderungen und andere rechtliche Haftungsrisiken sollen die Unternehmen dazu veranlassen, ihre internen Strukturen und Prozesse zur Einhaltung der Verordnung zu verbessern.

Datenschutz per Design und als Standard

Nach den Bestimmungen der DSGVO muss Datenschutz bereits per Design und standardmäßig sowohl in den Systemen als auch in den Prozessen integriert sein. Unternehmen sind verpflichtet sicherzustellen, dass die Verarbeitung personenbezogener Daten zu einem bestimmten Zweck erfolgt, und sie müssen nachweisen, dass Datenschutz im Mittelpunkt ihres IT-Konzepts und Lösungsdesigns steht.

Technische und organisatorische Sicherheit

Unternehmen sind auch dazu verpflichtet, alle notwendigen technischen und organisatorischen Maßnahmen zu ergreifen, um ein dem Risiko der Verarbeitung angemessenes Sicherheitsniveau für die betroffenen Personen zu gewährleisten. Damit diese geforderte Angemessenheit besser ermittelt werden kann, ist es notwendig, die interne IT- und Prozesslandschaft des Unternehmens zu analysieren, um Datenflüsse zu identifizieren und abzubilden, die personenbezogene Daten beinhalten.

Rechte der betroffenen Person

Gemäß dem Konzept, dass betroffene Personen wissen und jederzeit erkennen können sollten, welche personenbezogenen Daten von wem, zu welchem Zweck und über welchen Zeitraum verarbeitet werden, müssen Verantwortliche bestimmte allgemeine und spezifische Informationen aktiv zur Verfügung stellen; dies entspricht den überarbeiteten Konzepten der Datenübertragbarkeit der DSGVO und dem Auskunftsrecht, Widerspruchsrecht oder dem Recht auf Vergessenwerden der betroffenen Person. Unternehmen, die an der Verarbeitung personenbezogener Daten beteiligt sind, benötigen daher zuverlässige interne Prozesse mit definierten Rollen.

Daten-Governance

Unternehmen sind gefordert, eine Vielzahl systemischer Maßnahmen zu ergreifen, die das Risiko von Verstößen reduzieren. Als Verantwortliche sind unsere Kunden verpflichtet, betroffenen Personen und Aufsichtsbehörden nachzuweisen, dass sie die entsprechenden Vorschriften einhalten, und SAP als Auftragsverarbeiter hat diese Darlegungspflicht gegenüber den Kunden. Die Komplexität nimmt zu, wenn jeder Verarbeitungszweck personenbezogener Daten dokumentiert werden muss und es erforderlich ist, dass alle betroffenen Personen ihre Einwilligung für jeden Anwendungsbereich der Datenverarbeitung geben. Die entsprechenden Maßnahmen müssen in die vorhandenen IT-Infrastrukturen integriert werden. Abhängig vom Ergebnis der Datenschutz-Risikobeurteilung eines Unternehmens tragen Maßnahmen wie die Ernennung eines eigenen Datenschutzbeauftragten, die Durchführung von Datenschutz-Folgenabschätzungen und die Einführung regelmäßiger Prüfverfahren zur Gewährleistung der Einhaltung der Vorschriften bei.

Benachrichtigung bei Verletzungen

Dies gilt, wenn etwas misslingt, also die internen organisatorischen Maßnahmen eine Datenschutzverletzung nicht verhindern konnten oder personenbezogene Daten zu einem nicht rechtmäßigen Zweck verarbeitet wurden. Im Fall einer Datenschutzverletzung müssen die Verantwortlichen die Aufsichtsbehörde und die betroffenen Personen innerhalb von 72 Stunden ab Feststellung der Situation informieren. Die Auftragsverarbeiter müssen die Verantwortlichen unverzüglich benachrichtigen, sobald sie Kenntnis von einer Datenschutzverletzung erhalten haben.

VI. Die Rolle von SAP-Ariba-Lösungen und -Services

Unsere Lösungen beinhalten zahlreiche Funktionen, die Kunden bei der Einhaltung der DSGVO-Vorschriften helfen:

  • Die SAP-Ariba-Lösungen unterstützen Kunden bei der Verwaltung und dem Schutz ihrer Mitarbeiter- und Lieferantendaten, einschließlich Datenzugriff und -sichtbarkeit, sodass sich die Kundenmitarbeiter in den Abteilungen Beschaffung und Logistik auf ihre eigentliche Arbeit konzentrieren können.

  • Mit SAP-Ariba-Lösungen können Kunden ihre wichtige Zusammenarbeit mit ihren Lieferanten ausbauen und schützen, indem sie alle Prozesse von der Beschaffung bis zur Finanzierung steuern.

  • Wir unterstützen Kunden bei der Erfüllung der Anforderungen von Rechenschaftspflicht, Sicherheit und Datenschutz.

DSGVO-Rollen und -Definitionen im Rahmen der SAP-Ariba-Services

Verantwortlicher: In Artikel 4(7) der DSGVO heißt es: „,Verantwortlicher‘ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“ (Hervorhebung hinzugefügt).

Im Allgemeinen ist der Verantwortliche für alle erfassten personenbezogenen Daten zuständig und muss sicherstellen, dass die Rechte der betroffenen Person und die rechtlichen Verpflichtungen des Verantwortlichen auch vom Auftragsverarbeiter erfüllt werden.

  • Wenn Kunden SAP-Ariba-Lösungen einsetzen, sind sie die Verantwortlichen. Ariba handelt als Auftragsverarbeiter im Rahmen des Vertrags (zum Beispiel Datenschutzvereinbarung oder Leistungsbeschreibung) und im Namen des Kunden.

  • Lieferanten im Ariba Network sind die Verantwortlichen, da sie für die eingegebenen personenbezogenen Daten, zum Beispiel im Rahmen einer Selbstregistrierung, die volle Verantwortung tragen.

Auftragsverarbeiter: In Artikel 4(8) der DSGVO heißt es: „,Auftragsverarbeiter‘ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Hervorhebung hinzugefügt).

Im Allgemeinen bezieht sich dies auf eine Datenverarbeitung gemäß den Anweisungen des Verantwortlichen im Rahmen eines Vertrags.

  • Ariba als Lösungsanbieter ist der Auftragsverarbeiter für Kunden und Lieferanten, die die Datenverantwortlichen sind.

SAP-Ariba-Lösungen und personenbezogene Daten

  • Kategorien personenbezogener Daten: SAP-Ariba-Lösungen verarbeiten nur einfache Kontaktinformationen von Einzelpersonen als Benutzer oder Geschäftskontakt. Zu diesen Informationen zählen E-Mail-Adresse, Personalnummer, Mitarbeitername, Geschäftstelefonnummer und Postanschrift.

  • Spezielle Kategorien personenbezogener Daten: Unsere Datenschutzerklärung verbietet die Nutzung von SAP-Ariba-Lösungen zur Verarbeitung spezieller Kategorien personenbezogener Daten.

  • Grenzüberschreitende Datenübertragung: Wir haben Datenübertragungsvereinbarungen mit Unternehmen und Unterauftragnehmern, die mit SAP bzw. Ariba verbunden sind. Diese Vereinbarungen erfüllen die EU-Anforderungen für die Übermittlung personenbezogener Daten. Sie basieren auf den Standardvertragsklauseln der EU, die den DSGVO-Vorschriften entsprechen, um ein angemessenes Datenschutzniveau für Datenübertragungen in Drittländer außerhalb der EU sicherzustellen.

  • Verschlüsselung: Personenbezogene Daten werden auf Speicherebene verschlüsselt. Auch die gesamte externe Kommunikation wird verschlüsselt und entsprechende Sicherheitsrichtlinien sind implementiert.

So unterstützen wir Kunden als Auftragsverarbeiter

  • Wir implementieren geeignete technische und organisatorische Maßnahmen in Bezug auf Rechenschaftspflicht und Technologien, indem Aufzeichnungen über die Verarbeitungstätigkeiten geführt werden, Datenschutz-Folgenabschätzungen durchgeführt werden und Datenschutz per Design und standardmäßig in den Produktlebenszyklen integriert wird. 

  • Ariba folgt dem einheitlichen Ansatz von SAP für alle Cloud-Lösungen durch die Einhaltung der Datenverarbeitungsvereinbarung. Diese enthält die Standardvertragsklauseln, geht aber mit Zusicherungen zum Schutz der Daten für Kunden über diese hinaus.

  • Unsere Mitarbeiter sind verpflichtet, jährlich eine Schulung zum Thema Datenschutz und Sicherheitsbewusstsein zu absolvieren, in der grundlegende Datenschutzvorschriften und Sicherheitsthemen behandelt werden.

  • Die SAP versteht es als ihre Aufgabe, bei Kunden ein Verständnis dafür zu schaffen, wie SAP-Ariba-Lösungen die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten schützen, indem SAP proaktiv Informationen über Zertifizierungen und Bescheinigungen, Datenverarbeitungsvereinbarungen, Verfügbarkeit von Echtzeit-Cloud-Lösungen usw. im SAP Cloud Trust Center veröffentlicht.

Funktionen der SAP-Ariba-Lösungen unterstützen DSGVO-Vorbereitungen

  • Einwilligung: SAP-Ariba-Lösungen erfassen die Einwilligung der Anwender und die Anerkennung von Datenschutzhinweisen, bevor sie eine Nutzung durch einen neuen Anwender zulassen. Hierin werden zum Beispiel der Zweck der Verarbeitung und die Kategorien der personenbezogenen Daten, die verarbeitet werden, genannt. Darüber hinaus prüfen wir integrierte Einwilligungsmechanismen, zum Beispiel von Kunden konfigurierbare Datenschutzerklärungen. Die Lösungen bieten zusätzlich den Widerspruch per Selfservice, sodass Empfänger unerwünschter Benachrichtigungen sich abmelden beziehungsweise deren Erhalt, zum Beispiel E-Mails, einfach widersprechen können.

  • Recht auf Vergessenwerden: Bei Lösungen auf Käuferseite ist der Kundenadministrator für das Benutzer- und Rollenmanagement verantwortlich. Wir arbeiten auch an Funktionen zur Löschung, Aufbewahrung und Anonymisierung personenbezogener Daten. In jedem Fall werden allgemeine Kundendaten nach Beendigung des Vertragsverhältnisses gelöscht.

  • Recht auf Berichtigung: Benutzer von SAP-Ariba-Lösungen können ihre personenbezogenen Daten jederzeit im Benutzerprofil im System bearbeiten und korrigieren.

  • Transparenz: SAP-Ariba-Lösungen bieten Einblick in die personenbezogenen Daten und Standardeinstellungen eines Benutzers. Wir überprüfen auch Administratorfunktionen für den Export von Benutzerdaten in einem Standardformat und eine Übersicht über Änderungsprotokolle.

  • Berechtigungs- und Offenlegungskontrolle: Mit SAP-Ariba-Lösungen können Kunden Berechtigungen, Authentifizierungsprozesse und den rollenbasierten Zugriff von Mitarbeitern, Vertragspartnern und Dritten verwalten. Detaillierte Ticketing- und Workflow-Funktionen helfen neuen Lösungsadministratoren bei der Anpassung des Benutzerzugriffs an geänderte Rollen und bei der Verwaltung inaktiver Nutzer.

  • Datenschutz per Design und als Standard: Die Entwicklung von SAP-Ariba-Lösungen befolgt die standardisierten Sicherheitsanforderungen für Produkte von SAP. In der Designphase werden zusätzliche Datenschutzprinzipien angewendet, zum Beispiel die eingeschränkte Erfassung personenbezogener Daten. Für die Standardeinstellungen gelten maximale Einschränkungen, zum Beispiel:

  • Löschung personenbezogener Daten bei Beendigung des Vertragsverhältnisses und auf Anforderung

  • Einwilligung in die Datenschutzerklärung (anpassbar)

  • Anmeldung auf Feldebene und Zugriff auf Protokolle

  • Sichtbarkeit, Bearbeitung und Portabilität der Daten

  • Anpassbare Aufbewahrungszeit und eingeschränkte Verarbeitung

  • Anmeldung/Abmeldung und Protokollierung per Selfservice

  • Datenzugriffs-, Authentifizierungs-, Autorisierungs- und Verschlüsselungsmechanismen nach Industriestandard

SAP-Ariba-Services unterstützen die Vorbereitungen auf DSGVO

  • Benachrichtigung bei Datenschutzverletzungen: Datenschutzverletzungen müssen unverzüglich und ohne schuldhafte Verzögerungen gemeldet werden. Unsere Services helfen Ihnen, diese Verpflichtung zu erfüllen. Dafür bieten wir einen durchgängigen Prozess von der Erkennung der Verletzung bis zur Benachrichtigung des Kunden.

  • Rechte der betroffenen Person: Die SAP-Ariba-Services unterstützen Kunden in Datenschutzfragen und bieten Hilfe bei der Auskunftspflicht gegenüber Personen, die ihre Rechte ausüben. Ebenso helfen sie bei der Erfüllung der Sicherheitsanforderungen für personenbezogene Daten.

  • Transparenz: Die SAP-Ariba-Services unterstützen Kunden bei der Erfüllung ihrer Verpflichtung zur Dokumentation der Verarbeitungstätigkeiten. Die angebotene Komponente entspricht allen DSGVO-Anforderungen an Auftragsverarbeiter. Darüber hinaus führen wir Datenschutz-Folgenabschätzungen für neue Produkte/Dienstleistungen (Innovationen) sowie für die regelmäßigen Produkt-/Dienstleistungsänderungen im Rahmen des Release-Zyklus durch.

  • Rechenschaftspflicht: Wir bieten Sicherheit durch kontinuierlich erfolgende Maßnahmen im Bereich Rechenschaftspflicht. Dazu zählen regelmäßige Zertifizierungen, Risikobewertungen und Sicherheitsprüfungen von Anwendungen, Netzwerken und IT-Infrastrukturen, dokumentierte Sicherheitsprogramme und -richtlinien sowie regelmäßige Sicherheitsschulungen.

  • Einhaltung von Vorschriften durch Unterauftragsverarbeiter: Wir gewährleisten die kontinuierliche Einhaltung von Vorschriften durch Unterauftragsverarbeiter, indem Verträge mit Unterauftragsverarbeitern auf Sicherheit geprüft und Sicherheitsrisiken auf Basis unternehmensweiter SAP-Standardeinkaufsprozesse bewertet werden. Hierzu zählen auch Datenschutzvereinbarungen, die den Schutz personenbezogener Daten regeln. Für Kunden ist eine Liste der zugelassenen Unterauftragsverarbeiter verfügbar, die regelmäßig aktualisiert wird.

VII. Weitere Informationen

Weitere Informationen zur DSGVO erhalten Sie im SAP Cloud Trust Center, in den Dokumenten zum Thema DSGVO auf der Website der Europäischen Kommission und im Handbuch zum europäischen Datenschutzgesetz.

Bei speziellen Fragen zu Ihrem Kundenkonto und bestehenden Vereinbarungen und Verträgen wenden Sie sich bitte an Ihren Ansprechpartner auf unserer Seite.

PDF-Version dieser Informationen herunterladen