Fehler vermeiden

Sieben Datenschutzregeln für SAP-Systeme

21.03.2013
Von Stefan Staub und Rolf Schlagintweit

5. Reale Daten im Q-System

Die meisten Unternehmen betreiben in der Regel drei SAP-Systeme: ein Entwicklungssystem, ein Produktivsystem und ein Qualitätssicherungssystem ("Q-System"), anhand dessen die Funktionsweise des Produktivsystems geprüft wird. Ein Q-System erfüllt seinen Zweck umso besser, je mehr die enthaltenen Daten denen im Produktivsystem ähneln. Deshalb ist es gängige Praxis, die kompletten Produktivdaten zu kopieren und als Testdaten zu verwenden. Dies stellt jedoch einen Missbrauch dar, unter Umständen sogar einen eklatanten Eingriff in die Persönlichkeitsrechte. Im Q-System haben meist Berater und Entwickler - das können hunderte Personen sein - volle Zugriffsrechte. Für jeden dieser Mitarbeiter wäre es ein Leichtes, die Daten auf einen USB-Stick zu kopieren und beispielsweise Mitarbeiterdaten einem Headhunter oder Vertragsdaten einem Wettbewerber zu verkaufen.

Es ist daher wichtig, alle Daten zu anonymisieren, die sich leicht zuordnen lassen, also unter anderem Name, Geburtsdatum und Adresse. Zusätzlich ist es sinnvoll, das Prinzip der Datensparsamkeit anzuwenden und nur die wirklich nötigen Informationen in das Q-System zu überspielen. Die Daten sollten vorher nach dem Zufallsprinzip ausgewählt werden. Dies schränkt den potenziellen Missbrauch zusätzlich ein. Hier gilt wieder die Zweckbindung: Beschäftigte geben ihre Daten dem Unternehmen zur Abwicklung des Beschäftigungsverhältnisses, nicht jedoch, um damit IT-Systeme zu testen.