Fehler vermeiden

Sieben Datenschutzregeln für SAP-Systeme

21.03.2013
Von Stefan Staub und Rolf Schlagintweit

2. Datenverarbeitung im Auftrag

Für Datenschützer ist die "Datenverarbeitung im Auftrag" eine der wichtigsten aktuellen Herausforderungen: Wie stellen Unternehmen sicher, dass ihre von Dritten gehosteten Daten sicher sind? Für die gesetzlich geforderte Überprüfung der organisatorisch-technischen Maßnahmen des Dienstleisters gibt es verschiedene Methoden, die bis hin zur persönlichen Überprüfung vor Ort gehen. Nun handelt es sich bei SAP-Installationen aber häufig um länderübergreifend eingesetzte Lösungen. Im Selbstverständnis von Konzernen spielen nationale Grenzen bei der Zusammenarbeit mit den Landesgesellschaften und Niederlassungen keine Rolle.

Rechtlich sieht das aber anders aus. Wenn ein SAP-System mit personenbezogenen Daten physisch in Manila oder den USA installiert ist, stellt das zunächst einmal einen Verstoß gegen deutsches und EU-Recht dar, denn es gilt: Die Daten müssen innerhalb des Europäischen Wirtschaftsraums bleiben. Doch selbst innerhalb der Europäischen Union ist jede Landesgesellschaft und jede GmbH aus rechtlicher Sicht ein eigenes Unternehmen. Greift es auf Daten zu, ist das erst einmal eine Datenübermittlung, deren Zulässigkeit geprüft werden muss. Das heißt: Wenn verschiedene Gesellschaften innerhalb eines Konzerns gemeinsam eine SAP-Installation betreiben und nutzen, sind vertragliche Regelungen zur Nutzung der Daten notwendig. Der Datenschutzbeauftragte kann helfen, diese Verträge zu erstellen. Solange die Daten in der EU bleiben, ist der Datenschutz dann vorbildlich umgesetzt, wenn die sogenannten EU-Standardvertragsklauseln in Verbindung mit den 2009 verschärften deutschen Regelungen zur Auftragsdatenverarbeitung zwischen den Niederlassungen gelten. Die Bedingungen für die Auftragsdatenverarbeitung in Drittländern, also außerhalb der EU, sind strenger. Internationale Konzerne können zur Vereinfachung des konzerninternen Datentransfers Binding Corporate Rules erarbeiten und diese von der EU genehmigen lassen. Je nach Unternehmensphilosophie und Unabhängigkeit der Einzelunternehmen kann aber auch der Betrieb mehrerer SAP-Systeme die bessere Alternative sein.