Datenschutz in SAP Business One wird mit zahlreichen Funktionen unterstützt und kommt allen aktuellen Anforderungen der DSGVO nach.
Seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung, kurz DSGVO, in allen Ländern der Europäischen Union und des Europäischen Wirtschaftsraums in Kraft und muss von allen Unternehmen beachtet werden. Die DSGVO ist zwar als EU-Verordnung grundsätzlich in jedem EU-Mitgliedstaat unmittelbar anwendbar, jedoch sind zahlreiche Öffnungsklauseln enthalten, die dem nationalen Gesetzgeber gewisse Spielräume lassen. Die Datenschutzgrundverordnung bietet damit Einzelpersonen die Kontrolle und den Schutz ihrer personenbezogenen Daten. Personenbezogene Daten sind alle Daten, die eine einzelne natürliche Person identifizieren oder die man zur Identifizierung verwenden kann.
Denn im Allgemeinen dürfen keine personenbezogenen Daten ohne Zweck und ausdrückliche Zustimmung gespeichert werden. Insgesamt kann dabei gesagt werden, dass sich die Anforderungen an die gesetzeskonforme Verarbeitung und Behandlung von personenbezogenen Daten in den folgenden Bereichen erhöhen:
- Bereitstellung von Berichten bzw. Funktionen, mit denen Personen über ihre gespeicherten persönlichen Daten informiert werden können.
- Löschung der persönlichen Daten, sogenanntes »Recht auf Vergessenwerden«
- Aufzeichnung bei Änderungen von persönlichen Daten
- Aufzeichnung bei Lesezugriff auf sensible persönliche Daten
Aktivierung der DSGVO-Tools in SAP Business One
Um die von SAP Business One bereitgestellten Funktionen zum Datenschutz nutzen zu können, muss man einerseits über die allgemeine Berechtigung für die Nutzung der Datenschutzwerkzeuge verfügen und andererseits die Verwaltung des Schutzes personenbezogener Daten aktivieren. Doch ist im Standard von SAP Business One ist die DSGVO bereits für alle EU-Länder aktiviert. Eine Deaktivierung andererseits ist nur möglich, bevor eine natürliche Person bestimmt oder eine Löschung oder Sperrung personenbezogener Daten ausgeführt wurde.
Nach der Aktivierung des Schutzes personenbezogener Daten stehen folgende Funktionen zur Verfügung:
- Verwaltung personenbezogener Daten
- Assistent für die Verwaltung personenbezogener Daten
- Zugriffsprotokoll für sensible personenbezogene Daten
Definition der personenbezogenen Daten
Nachdem die Aktivierung des DSGVO-Moduls abgeschlossen ist, kann man sich der detaillierten Definition der Daten zuwenden, die die als personenbezogen gelten.
Die Verwaltung personenbezogener Daten mit den SAP Business One Datenschutzwerkzeugen fängt dabei mit der Datenkategorisierung an. Daten, die als personenbezogen oder sensibel eingestuft sind, werden in andere Prozesse für personenbezogene Daten einbezogen. So muss man verschiedene Datentypen ordnungsgemäß klassifizieren, damit man die Funktionen zum Schutz der personenbezogenen Daten effektiv nutzen kann. Allerdings kann man nicht alle Daten, als personenbezogene Daten klassifizieren.
Personenbezogen oder sensible Daten
Nur solche Daten, die im Fenster Verwaltung personenbezogener Daten dargestellt sind, kann man als solche klassifizieren. Daten man in SAP Business One als personenbezogen, nicht personenbezogen oder in besonderen Fällen als sensibel personenbezogen einstufen. Beispiele für Felder, die zu sensible personenbezogene Daten gehören können, sind Bankkonten, Reisepassnummer sowie benutzerdefinierte Felder (UDF), wenn diese mit personenbezogenen Datenobjekten verbunden sind.
Felder, die als sensibel, personenbezogen klassifiziert sind, verschlüsselt SAP Business One automatisch und der Zugriff wird über Berechtigungen eingeschränkt und protokolliert. Durch das Ändern der Klassifizierung von sensiblen zu personenbezogenen oder nicht personenbezogenen Daten hebt man die Verschlüsselung sowie die Zugriffsbeschränkungen wieder auf.
Assistent für die Verwaltung personenbezogener Daten
Der Assistent für die Verwaltung personenbezogener Daten in SAP Business One bietet als nächster Schritt sechs verschiedene Optionen zur Verwaltung personenbezogener Daten
- Natürliche Personen ermitteln
- Ermittlung natürlicher Personen rückgängig machen
- Bericht zu personenbezogenen Daten
- Bereinigung personenbezogener Daten
- Sperren personenbezogener Daten
- Entsperren personenbezogener Daten
Man kann jedoch nicht alle persönlichen Daten vom Assistenten zum Datenschutz in SAP Business One verwalten. So müssen stattdessen z. B. bei den folgenden Objekten die persönlichen Daten manuell verwaltet und entfernt werden:
- Arbeitszeitblätter, deren Typ auf Sonstige gestellt ist
- in Kampagnen enthaltene Zielgruppen
- Bemerkungen in den Stammdaten der Geschäftspartner
- Inhalt in Aktivitäten
Natürliche Personen in SAP Business One
Natürliche Personen kann man im Sinne des Datenschutzes in SAP Business One über den Assistenten bestimmen und identifizieren. Man kann dabei mithilfe einer Assistentenfunktion bestimmen, welche Daten als natürliche Personen zu klassifizieren sind und welche nicht. Als persönlich werden solche Daten beschrieben, die man zu Identifizierung einer natürlichen Person nutzen kann. Nachdem man die “natürliche Personen” ermittelt hat, kann man entsprechenden persönlichen Daten verwalten sowie andere Funktionen des Assistenten ausführen. Mit der Option Ermittlung „natürlicher Person rückgängig machen“ kann man jedoch die Identifizierung bzw. Klassifizierung einer natürlichen Person wieder zurücknehmen.
Bericht zu personenbezogenen Daten
Der Bericht über personenbezogene Daten bietet eine Abruffunktion, mit der man betroffene Personen über die über sie gespeicherten personenbezogenen Daten informieren kann. In der Regel haben natürliche Personen das Recht, einen Bericht über alle gespeicherten Informationen über sie selbst anzufordern. Zum Erzeugen eines Berichts zu personenbezogenen Daten speichert das Programm diese in einem temporären Ordner auf Ihrem Computer. Nach Abschluss der Generierung löscht SAP Business One den Bericht automatisch inklusive der entsprechenden Benachrichtigung.
Bereinigung personenbezogener Daten
Gemäß verschiedensten länderspezifischen Vorschriften darf die Speicherung von personenbezogenem Daten nur für bestimmte Zwecke oder Prozesse erfolgen. Sobald der Zweck nicht mehr gegeben oder der Prozess abgeschlossen ist, sollte man ferner die Löschung der persönlichen Daten durchführen. Ferner können auch natürliche Personen die Löschung ihrer persönlichen Daten beantragen. Mithilfe des Assistenten kann man die Bereinigung personenbezogener Daten durchführen beziehungsweise aus SAP Business One löschen.
Sperren personenbezogener Daten
Sollten man gemäß einer Aufbewahrungsfrist für personenbezogene Daten zur Aufbewahrung verpflichtet sein, kann man den Datenzugriff sperren. Nach einer Sperrung der personenbezogenen Daten bleiben die Daten zwar im System erhalten, ein Zugriff kann jedoch nur mittels Entsperrung erfolgen. Durch das Sperren personenbezogener Daten ausgewählter natürlicher Personen verschlüsselt SAP Business One die Datenbankeinträge. Ferner anonymisiert die Anwendung die entsprechenden Daten auf der Benutzeroberfläche. Persönliche Daten kann man nur über einen Assistenten wieder entsperren. Durch das Entsperren der persönlichen Daten entschlüsselt SAP Business One die Datenbankeinträge und macht die Daten auf der Benutzeroberfläche wieder verfügbar.
Protokolle zum Datenschutz in SAP Business One
Das Zugriffsprotokoll für sensible personenbezogene Daten bietet einen Überblick, wer in SAP Business One auf sensible personenbezogene Daten zugegriffen hat. Das Zugriffsprotokoll stell dabei den Zugriff auf personenbezogene Daten detailliert dar. Auch der Zugriff auf sensible Daten über DI-API oder den Zahlungsassistenten zeichnet das Zugriffsprotokoll auf. Bei Verwendung von sensiblen Daten im Zuge einer Abfrage oder beim Export einer Tabelle werden die sensiblen Daten verschlüsselt, und daher wird kein Zugriff protokolliert.