DSGVO: Artikel 32 und die SAP-Vorgabe zum Schwachstellenmanagement

Von:

7. Mai 2026

Die Datenschutz-Grundverordnung (DSGVO) stellt strenge Datenschutzanforderungen an globale Unternehmen. In diesem Rahmen schreibt Artikel 32 der DSGVO ausdrücklich die „Sicherheit der Verarbeitung“ vor. Für Unternehmen, die SAP einsetzen – das häufig als zentraler Speicherort für hochsensible Mitarbeiter- und Kundendaten dient –, erfordert die Einhaltung dieses Artikels einen Wechsel von der bloßen Dokumentation von Richtlinien hin zu einem aktiven, technischen Schwachstellenmanagement. Die Einhaltung der DSGVO-Anforderungen für SAP erfordert einen strukturierten Ansatz zur Identifizierung und Minderung von Risiken auf Anwendungsebene, bevor diese zu katastrophalen Datenverletzungen führen.

Artikel 32 der DSGVO in SAP-Umgebungen verstehen

Artikel 32 der DSGVO schreibt vor, dass Organisationen technische und organisatorische Maßnahmen umsetzen müssen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, was zwingend ein kontinuierliches Schwachstellenmanagement für SAP-Systeme, in denen personenbezogene Daten gespeichert sind.

Artikel 32 legt ausdrücklich fest, dass Organisationen in der Lage sein müssen, die fortwährende Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit der Verarbeitungssysteme zu gewährleisten. Im Kontext der umfassenderen SAP-Compliance-Landschaft bedeutet dies, dass einfache Netzwerk-Firewalls nicht ausreichen. Security Operations Center müssen die SAP-Anwendungsschicht aktiv auf fehlende Sicherheitspatches, unbefugte Konfigurationsänderungen und aktive Exploit-Versuche überwachen. Die Verordnung schreibt einen Prozess zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit technischer Maßnahmen vor und macht damit das Schwachstellenmanagement zu einer gesetzlichen Verpflichtung.

Das finanzielle Risiko durch die Ausnutzung von SAP-Sicherheitslücken

Das Versäumnis, bekannte SAP-Sicherheitslücken zu beheben, verstößt gegen Artikel 32 der DSGVO und setzt Unternehmen einem Höchstbetrag Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Laut dem IBM-Bericht „Cost of a Data Breach Report 2025“ verursachen Datenpannen weltweit durchschnittlich Kosten in Höhe von 4,4 Millionen US-Dollar. Wenn ein Unternehmen aufgrund einer nicht gepatchten SAP-Sicherheitslücke einen Datenverstoß erleidet, werten die Aufsichtsbehörden dies als direktes Versäumnis, die in Artikel 32 geforderten Sicherheitsmaßnahmen nach dem „neuesten Stand der Technik“ umzusetzen. Abgesehen von direkten Bußgeldern durch die Aufsichtsbehörden führen kompromittierte SAP-Systeme zu erheblichen Betriebsausfällen, Diebstahl geistigen Eigentums und irreversiblen Imageschäden. Der Schutz regulierter personenbezogener Daten erfordert die Integration proaktiver technischer Validierung direkt in die übergreifende SAP-GRC-Strategie.

So stellen Sie die Einhaltung von Artikel 32 der DSGVO in SAP sicher

Um die Einhaltung von Artikel 32 der DSGVO in SAP sicherzustellen, müssen Sicherheitsadministratoren automatisierte Plattformen für das Schwachstellenmanagement einsetzen, die assess und fehlende Patches kontinuierlich assess .

Voraussetzungen:

Administratorzugriff auf die betreffende SAP-Landschaft, eine vollständige Bestandsaufnahme der Systeme, die DSGVO-relevante Daten verarbeiten, sowie eine automatisierte platform zur Schwachstellenanalyse.

  • Schritt 1: Erfassen Sie die regulatorische Landschaft: Ermitteln Sie alle SAP-Produktionssysteme, Datenbanken und verbundenen cloud , die personenbezogene Daten von Personen mit Wohnsitz in der Europäischen Union verarbeiten oder speichern.
  • Schritt 2: Einsatz von Tools zur kontinuierlichen Überprüfung: Integrieren Sie eine automatisierte Lösung für das Schwachstellenmanagement, wie beispielsweise Onapsis Assess, um die erfasste Infrastruktur kontinuierlich auf fehlende SAP-Sicherheitshinweise, Fehlkonfigurationen und unberechtigte Zugriffsrechte zu überprüfen.
  • Schritt 3: Priorisierung der Risiken nach geschäftlichen Auswirkungen: Filtern Sie die Ergebnisse des Schwachstellen-Scans nach Schweregrad (CVSS-Werte) und der Exposition des Systems gegenüber regulierten Daten, um sicherzustellen, dass die Sicherheitsteams die Schwachstellen mit dem höchsten Risiko zuerst beheben.

Überprüfung:

Erstellen Sie einen automatisierten Compliance-Bericht, in dem die Behebung der identifizierten Schwachstellen detailliert beschrieben und bestätigt wird, dass die baseline den Anforderungen von Artikel 32 baseline entspricht. Automatisierte Berichtsanwendungen wie Onapsis Comply erleichtern diesen Prozess, indem sie technische Scan-Daten mithilfe vorkonfigurierter packs in offizielle, prüferkonforme Dokumentation umwandeln.

Automatisierung von DSGVO-Audits durch kontinuierliche Compliance

Durch die Automatisierung von DSGVO-Audits werden regelmäßige manuelle control durch eine kontinuierliche Überwachung der Compliance ersetzt, um den Nachweis technischer Datenschutzmaßnahmen in Echtzeit zu erbringen.

Die Durchführung manueller Prüfungen in weitläufigen SAP-Landschaften nimmt Tausende von Stunden in Anspruch und liefert lediglich eine statische Momentaufnahme der Systemsicherheit. Ähnlich wie die strengen finanziellen Kontrollen, die für die SAP-SOX-Konformität erforderlich sind, verlangt die DSGVO eine strenge, kontinuierliche technische Überprüfung der Datenschutzmechanismen.

Um eine automatisierte Compliance zu erreichen, setzen Unternehmen Plattformen zur kontinuierlichen Überwachung ein. Durch die Automatisierung von SAP-Compliance-Prüfungen wandeln Sicherheitsteams komplexe technische Telemetriedaten automatisch in strukturierte, prüfungsreife Nachweise um. Dieser Ansatz ordnet Rohdaten zu Sicherheitslücken nahtlos bestimmten Anforderungen der DSGVO und den Kontrollen des NIST Cybersecurity Framework zu und stellt so sicher, dass das Unternehmen jederzeit prüfungsbereit ist.

Die Platform vorkonfigurierte, mitgelieferte Comply speziell für SOX – IT-Grundkontrollen, die Datenschutz-Grundverordnung (DSGVO), NIST 800-53 und NIST 800.171. Diese Richtlinien automatisieren den Auditprozess, um sicherzustellen, dass Ihre Systeme den Vorschriften entsprechen, und liefern die erforderlichen Nachweise für die Berichterstattung zur Einhaltung gesetzlicher Vorschriften.

Häufig gestellte Fragen (FAQ)

Was schreibt Artikel 32 der DSGVO für SAP-Systeme vor? 

Artikel 32 der DSGVO verpflichtet Organisationen dazu, technische und organisatorische Maßnahmen zu ergreifen, um die fortwährende Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit von SAP-Systemen, die personenbezogene Daten verarbeiten, zu gewährleisten. Diese Vorschrift erfordert insbesondere ein robustes, kontinuierliches Schwachstellenmanagement und die regelmäßige Installation von Patches.

Wie wirken sich ungepatchte SAP-Sicherheitslücken auf die Einhaltung der DSGVO aus? 

Nicht behobene SAP-Sicherheitslücken verstoßen unmittelbar gegen die Vorgabe der DSGVO, Sicherheitsmaßnahmen zu ergreifen, die dem organisatorischen Risiko angemessen sind. Wenn Angreifer eine bekannte, nicht behobene Sicherheitslücke ausnutzen, um auf personenbezogene Daten zuzugreifen, stufen die Aufsichtsbehörden den Vorfall als Verstoß gegen die technischen Compliance-Anforderungen ein, was hohe Geldstrafen nach sich zieht.

Wie weisen Unternehmen die Einhaltung der DSGVO für SAP nach?

Unternehmen weisen die Einhaltung der DSGVO für SAP nach, indem sie automatisierte Plattformen nutzen, um Echtzeitberichte zu erstellen, die Systemkonfigurationen, installierte Sicherheitspatches und aktive Benutzerzugriffskontrollen detailliert auflisten. Diese kontinuierliche Telemetrie ersetzt manuelle Screenshots und belegt gegenüber den Prüfern die Wirksamkeit der getroffenen technischen Maßnahmen.

Welche Instrumente helfen Unternehmen dabei, die Anforderungen von Artikel 32 der DSGVO zu erfüllen? 

Zu den Tools, die Unternehmen dabei unterstützen, die Anforderungen von Artikel 32 der DSGVO zu erfüllen, gehören Lösungen für das automatisierte Schwachstellenmanagement und die kontinuierliche Erkennung von Bedrohungen. Sicherheitsteams nutzen Plattformen wie „Onapsis Assess, um fehlende Patches zu identifizieren, und „Onapsis Defend, um unbefugte Datenzugriffe kontinuierlich zu überwachen, und erfüllen damit direkt die Anforderung der Verordnung nach einer fortlaufenden Sicherheitsbewertung.

Stichworte, ,
Über den Autor

Scott Winter

Scott Winter ist ein versierter Produktmanagement-Experte mit umfassender Erfahrung in der Entwicklung von Produktstrategien und Innovationen. Mit dem Schwerpunkt auf der Ausrichtung der Produktentwicklung an Kundenbedürfnissen und Markttrends hat Scott erfolgreich funktionsübergreifende Teams geleitet, um wirkungsvolle Lösungen zu entwickeln. Seine Fachkenntnisse umfassen Produktlebenszyklusmanagement, strategische Planung und Markteinführungsstrategien, was ihn zu einem wichtigen Faktor für das Unternehmenswachstum und den Produkterfolg macht. Bekannt für seinen kundenorientierten Ansatz, versteht es Scott meisterhaft, komplexe Herausforderungen in Innovationschancen zu verwandeln.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen