SBphotos - stock.adobe.com

So unterstützt SAP bei der Umsetzung gesetzlicher Vorgaben

SAP unterstützt Anwender bei der Umsetzung gesetzlicher Regelungen und Richtlinien in seinen Softwaresystemen. Der Beitrag zeigt, welche Anwendungen und Tools es hierfür bietet.

SAP unterstützt Unternehmen dabei, die verschiedenen Richtlinien, Gesetze und Regelungen einzuhalten. SAP-Systeme bieten Unternehmen umfangreiche Funktionen, um die Einhaltung von Richtlinien, Gesetze und Regelwerke zu gewährleisten. Diese decken Bereiche wie Datenschutz, IT-Sicherheit, branchenspezifische Vorschriften sowie interne Richtlinien und Prozesse ab.

EU-Datenschutz-Grundverordnung (EU-DSGVO)

SAP-Systeme unterstützen die Umsetzung der EU-DSGVO durch verschiedene Funktionen und Anwendungen. Beispielsweise ermöglicht SAP Information Lifecycle Management (ILM) Datenminimierung und -löschung. Diese Funktionalität erlaubt es Unternehmen, Daten automatisch nach bestimmten Regeln zu löschen, sobald sie für die ursprünglichen Zwecke nicht mehr erforderlich sind.

Zur Unterstützung der Betroffenenrechte stellt SAP Tools zur Verfügung, mit denen Unternehmen Anfragen auf Auskunft und Löschung personenbezogener Daten effizient verwalten können. SAP ILM stellt spezifische Funktionen zur Verfügung, um Auskunftsanfragen zu bearbeiten sowie personenbezogene Daten zu löschen oder zu anonymisieren.

Personenbezogene Daten in SAP-Systemen
Abbildung 1: Personenbezogene Daten fallen in SAP-Systemen an verschiedenen Stellen an.

Privacy by Design und Privacy by Default werden in SAP-Systemen durch die Integration von Datenschutzmechanismen in die Systemarchitektur und durch datenschutzfreundliche Voreinstellungen gewährleistet. Mit lassen sich Daten bereits bei der Datenerfassung anonymisieren und pseudonomisieren. Zudem sorgen standardmäßige Sicherheitseinstellungen dafür, dass nur notwendige Daten erfasst und verarbeitet werden, und der Zugriff auf sensible Daten eingeschränkt bleibt.

IT-Sicherheitsgesetz und IT-Grundschutz des BSI

SAP-Systeme unterstützen die Einhaltung des IT-Sicherheitsgesetzes und des BSI-Grundschutzes durch umfangreiche Sicherheitsmaßnahmen. Die Sicherheitsüberwachungsfunktionen von SAP gestatten eine kontinuierliche Überwachung und Analyse von sicherheitsrelevanten Ereignissen. Diese Funktionen unterstützen Unternehmen, potenzielle Bedrohungen frühzeitig zu erkennen und geeignete Gegenmaßnahmen zu ergreifen.

Wie SAP bei der Umsetzung von Gesetzen unterstützt
Abbildung 2: SAP unterstützt mit internen Funktionen bei der Umsetzung zahlreicher Richtlinien.

Für das Incident-Management hält SAP spezifische Tools zur Erkennung und Meldung von Sicherheitsvorfällen bereit. Diese Tools unterstützen Unternehmen dabei, Sicherheitsvorfälle zu identifizieren und den gesetzlichen Meldepflichten nachzukommen. SAP Enterprise Threat Detection (ETD) ist eine Lösung, die zur Überwachung und Analyse von sicherheitsrelevanten Datenströmen dient und dabei unterstützt, Angriffe zu erkennen und zu analysieren. SAP ETD ist ein Tool, das Unternehmen dabei hilft, Bedrohungen in Echtzeit zu erkennen und auf Sicherheitsvorfälle schnell und effizient zu reagieren. Durch die Integration in die bestehende SAP-Landschaft ermöglicht ETD eine umfassende Überwachung und Analyse sicherheitsrelevanter Datenströme.

SAP ETD überwacht kontinuierlich Benutzeraktivitäten und Transaktionen, um verdächtige Verhaltensmuster und Anomalien zu identifizieren. Beispielsweise kann ETD ungewöhnliche Login-Muster erkennen, wie wiederholte fehlgeschlagene Anmeldeversuche oder Logins zu untypischen Zeiten, die auf einen Brute-Force-Angriff hinweisen.

Zudem erlaubt ETD die Korrelation von Ereignissen aus verschiedenen Systemen und Anwendungen, um komplexe Angriffsmuster zu erkennen, die ansonsten unbemerkt bleiben. Ein weiteres Beispiel ist die Überwachung von Datenabflüssen, bei denen ETD ungewöhnlich hohe Datenübertragungen identifizieren kann, die auf einen möglichen Datenexfiltrationsversuch hindeuten. Durch diese proaktiven Maßnahmen können Unternehmen Sicherheitsvorfälle frühzeitig erkennen und Gegenmaßnahmen ergreifen, um Schäden zu minimieren und die Integrität ihrer Systeme zu gewährleisten.

Buchungen in SAP
Abbildung 3: Buchungen in SAP enthalten Informationen, die geschützt werden müssen.

Der IT-Grundschutz des BSI bietet umfassende Standards und Empfehlungen zur IT-Sicherheit. SAP stellt spezifische Profile und Anpassungen zur Verfügung, die den Grundschutzstandards des BSI entsprechen. Diese Profile unterstützen Unternehmen, die Sicherheitsanforderungen des BSI-Grundschutzes systematisch umzusetzen und ihre SAP-Umgebungen entsprechend abzusichern.

Branchenspezifische Regelungen

Im Gesundheitswesen müssen SAP-Systeme zum Beispiel die Datenschutzrichtlinien für Gesundheitsdaten einhalten. SAP for Healthcare bietet spezialisierte Funktionen, die den sicheren Umgang mit sensiblen Patientendaten unterstützen. Diese erlauben die sichere Speicherung und Verarbeitung von Gesundheitsdaten sowie die Einhaltung der gesetzlichen Datenschutzanforderungen.

Im Finanzsektor unterliegen Unternehmen den Anforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). SAP Financial Services Network/Multi-Bank Connectivity und SAP Bank Analyzer (FS-BA) sind Beispiele für Lösungen, die den spezifischen Compliance-Anforderungen der Finanzbranche entsprechen. Diese Lösungen unterstützen die Einhaltung regulatorischer Anforderungen durch Sicherheits- und Überwachungsfunktionen sowie Reporting- und Dokumentationsmöglichkeiten.

Handelsgesetzbuch (HGB) und Abgabenordnung (AO)

SAP-Systeme stellt umfassende Funktionen zur Archivierung und Aufbewahrung von Geschäftsdaten gemäß den Anforderungen des Handelsgesetzbuches (HGB) und der Abgabenordnung (AO) zur Verfügung. SAP ArchiveLink und SAP Information Lifecycle Management sind Lösungen, die die rechtskonforme Archivierung von Dokumenten und Geschäftsdaten gestatten. Diese Tools unterstützen die gesetzlich vorgeschriebenen Aufbewahrungsfristen und gewährleisten die Revisionssicherheit der archivierten Daten.

Zur Einhaltung der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form (GoBD) bietet SAP spezifische Funktionen, die bei der Umsetzung unterstützen. Dazu gehören die revisionssichere Speicherung von Belegen, die Sicherstellung der Unveränderbarkeit von Daten sowie umfassende Dokumentations- und Prüfprotokolle.

Durch die Integration von ArchiveLink können elektronische Dokumente, wie Rechnungen und Verträge, automatisch erfasst und in ein externes Archivsystem überführt werden. Diese Dokumente sind dann manipulationssicher gespeichert und können jederzeit abgerufen werden. Unternehmen, die SAP verwenden, können eingehende und ausgehende Rechnungen automatisch digital erfassen, indem sie diese mit den entsprechenden Geschäftsvorfällen im SAP-System verknüpfen. SAP ArchiveLink stellt sicher, dass diese Rechnungen revisionssicher und gemäß den gesetzlichen Aufbewahrungsfristen gespeichert werden. Im Falle einer Betriebsprüfung durch die Finanzbehörden können die archivierten Rechnungen vollständig bereitgestellt werden, was den Prüfungsprozess erleichtert.

SAP ILM unterstützt Unternehmen dabei, GoBD-konform zu agieren, indem es sicherstellt, dass Daten und Dokumente nach ihrer Archivierung nicht mehr verändert werden können. ILM ermöglicht auch die Definition und Verwaltung von Aufbewahrungsregeln, die sicherstellen, dass Daten nur so lange gespeichert werden, wie gesetzlich vorgeschrieben, und anschließend automatisch gelöscht werden. Ein weiteres Beispiel betrifft die Verwaltung von Buchungsbelegen. Mit SAP ILM können Unternehmen Regeln festlegen, die die gesetzlich vorgeschriebenen Aufbewahrungsfristen für verschiedene Arten von Buchungsbelegen definieren. Nach Ablauf der Aufbewahrungsfrist werden die Belege automatisch gelöscht, was die Datenmenge reduziert und gleichzeitig die Einhaltung der gesetzlichen Anforderungen sicherstellt.

SAP Document and Reporting Compliance (DRC)

Ein spezifisches Tool zur Einhaltung der HGB- und AO-Vorschriften ist SAP Document and Reporting Compliance (DRC). Diese Funktion gestattet es Unternehmen, verschiedene steuerliche und rechtliche Berichtsanforderungen zu erfüllen, einschließlich der Erstellung und Einreichung von Steuerberichten. Ein Beispiel ist die Nutzung von SAP DRC für die automatische Erstellung und Einreichung von Umsatzsteuervoranmeldungen in Deutschland. Diese Lösung integriert sich in die bestehenden SAP-Finanzprozesse und erlaubt es, Umsatzsteuerdaten aus den Buchungssystemen zu extrahieren, in die erforderlichen Formate zu konvertieren und direkt an die Finanzbehörden zu übermitteln. Dies reduziert den manuellen Aufwand und minimiert das Risiko von Fehlern bei der Steuerberichterstattung.

Ein weiteres Tool ist SAP Audit Management. Dieses Tool unterstützt interne und externe Audits durch die Bereitstellung von Funktionen zur Planung, Durchführung und Dokumentation von Audits. Ein Beispiel für den Einsatz von SAP Audit Management ist die Durchführung von regelmäßigen internen Audits zur Überprüfung der Einhaltung von Aufbewahrungsfristen für Geschäftsdokumente. Das Tool ermöglicht die Erstellung von Auditplänen, die Zuweisung von Aufgaben an Auditoren und die Nachverfolgung von Auditfeststellungen. Durch die automatische Protokollierung und Berichterstellung können Unternehmen sicherstellen, dass alle Compliance-Anforderungen systematisch überwacht und erfüllt werden.

Zusätzlich bietet SAP Business Integrity Screening (BIS) Funktionen zur Prävention und Aufdeckung von betrügerischen Aktivitäten. Ein praxisnahes Beispiel ist die Verwendung von BIS zur Überprüfung von Geschäftspartnern und Transaktionen auf Anomalien und verdächtige Muster. Durch die Integration von BIS in die Finanz- und Beschaffungsprozesse können Unternehmen potenziellen Betrug frühzeitig erkennen und geeignete Maßnahmen ergreifen, um finanzielle Verluste und rechtliche Risiken zu minimieren.

Dokumentation und Nachvollziehbarkeit

Eine weitere Anforderung des HGB und der AO ist die umfassende Dokumentation und Nachvollziehbarkeit aller Geschäftsvorfälle. SAP bietet mit seinem Audit Information System (AIS) eine Lösung, die Unternehmen bei der lückenlosen Dokumentation und Nachverfolgbarkeit von Geschäftsprozessen unterstützt. Mit AIS lassen sich alle relevanten Daten erfassen und detaillierte Prüfprotokolle erstellen, die die Einhaltung der gesetzlichen Anforderungen belegen.

Ein Beispiel ist die Nachvollziehbarkeit von Änderungen an Geschäftsdaten. AIS erfasst detaillierte Informationen über alle Änderungen, die an den Daten vorgenommen wurden, einschließlich Zeitstempel und Benutzerinformationen. Dies gewährleistet, dass alle Änderungen rückverfolgbar sind und im Falle einer Prüfung durch die Finanzbehörden oder interne Audits vollständig dokumentiert sind.

Für das Risikomanagement und die Notfallplanung stellen SAP Risk Management und SAP Business Continuity Management spezifische Funktionen zur Verfügung. Diese Tools unterstützen Unternehmen bei der Identifizierung und Bewertung von Risiken sowie bei der Entwicklung und Implementierung von Notfallplänen. SAP Governance, Risk and Compliance (GRC) unterstützt wiederum dabei, Compliance-Richtlinien zu implementieren und zu überwachen.

Erfahren Sie mehr über Datenverwaltung