DSGVO in SAP: Was ist das und wie schützt man sensible personenbezogene Daten?

Von:

25. März 2026

Wenn Unternehmen ihre Cybersicherheitslage bewerten, konzentrieren sie sich häufig auf Perimeter-Sicherheitsmaßnahmen und cloud . Die sensibelsten Daten eines Unternehmens, darunter Mitarbeiterdaten, Kundendaten und Finanzdaten, befinden sich jedoch in der Regel tief in der SAP-Landschaft.

Da SAP als zentraler Speicherort für diese personenbezogenen Daten (PII) fungiert, steht es im Mittelpunkt von Datenschutzprüfungen. Lassen Sie uns genau erläutern, was die Einhaltung der DSGVO im SAP-Kontext bedeutet und wie moderne Sicherheitsteams über grundlegende Zugriffskontrollen hinausgehen, um sensible Daten wirklich zu schützen.

Was bedeutet DSGVO-Konformität in SAP?

Die Datenschutz-Grundverordnung (DSGVO) ist ein umfassendes Datenschutzgesetz, das den Schutz der personenbezogenen Daten der Bürger der Europäischen Union gewährleisten soll. Ein zentraler Grundsatz der DSGVO ist die Verpflichtung, personenbezogene Daten „von vornherein und standardmäßig“ zu schützen.

In einer SAP-Umgebung bedeutet die Einhaltung der DSGVO, den Aufsichtsbehörden nachzuweisen, dass Sie über technische und organisatorische Maßnahmen verfügen, um sensible Daten vor unbefugtem Zugriff, versehentlicher Offenlegung und externen Sicherheitsverletzungen zu schützen. Während Ihre übergreifende SAP-GRC-Strategie ein breites Spektrum an Unternehmensrisiken abdeckt, erfordert der Umgang mit dem Datenschutz einen eigenständigen Ansatz. Vergleicht man wichtige Compliance-Rahmenwerke wie SOX, DSGVO und NIST, so ist die europäische Datenschutzverordnung einzigartig, da die Strafen bei Verstößen direkt vom weltweiten Umsatz abhängen, wodurch eine einzige SAP-Sicherheitslücke zu einer massiven finanziellen Belastung werden kann.

Die zentrale Herausforderung: Der blinde Fleck in Artikel 32

Wenn SAP-Teams über die DSGVO nachdenken, konzentrieren sie sich in der Regel auf Datenmaskierung, das Recht auf Vergessenwerden und grundlegende Benutzerberechtigungen. Dabei übersehen sie jedoch regelmäßig einen entscheidenden Bestandteil der Verordnung, nämlich Artikel 32.

Artikel 32 der DSGVO („Sicherheit der Verarbeitung“) schreibt gesetzlich vor, dass Organisationen technische Maßnahmen ergreifen müssen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Das bedeutet: Wenn in Ihrem SAP-System wichtige Sicherheitspatches fehlen oder Fehlkonfigurationen vorliegen, die es einem Angreifer ermöglichen, Berechtigungen vollständig zu umgehen, verstoßen Sie direkt gegen die DSGVO. Selbst perfekt definierte Benutzerzugriffsrollen sind nutzlos, wenn die zugrunde liegende Anwendung anfällig für einen Exploit ist, der es einem Angreifer ermöglicht, die gesamte Datenbank zu kopieren.

So schützen Sie sensible personenbezogene Daten in Ihrer SAP-Landschaft

Um eine echte DSGVO-Konformität zu erreichen, ist ein mehrschichtiger Sicherheitsansatz für Ihre SAP-Architektur erforderlich. Um die Anforderungen der Aufsichtsbehörden zu erfüllen und personenbezogene Daten zu schützen, müssen sich Unternehmen auf drei wesentliche Säulen konzentrieren.

1. Rollebasierte Control RBAC) durchsetzen

Der grundlegende Schritt zum Schutz personenbezogener Daten ist die Einrichtung Control strengen rollenbasierten Control RBAC). Benutzer sollten nur über die für die Erfüllung ihrer Aufgaben unbedingt erforderlichen Zugriffsrechte verfügen. So sollte beispielsweise ein gewöhnlicher Finanzanalyst nicht berechtigt sein, HR-Transaktionscodes (wie PA30) auszuführen, die sensible Mitarbeiterdaten anzeigen. Die Implementierung eines robusten SAP-Zugriffsrisikomanagements stellt sicher, dass interne Mitarbeiter keine Daten einsehen oder exportieren können, für die sie keine Berechtigung haben.

2. Sicheren benutzerdefinierten ABAP-Code

Die meisten SAP-Umgebungen sind stark angepasst. Entwickler erstellen regelmäßig benutzerdefinierte ABAP-Berichte und -Programme, um spezifische Geschäftsprozesse zu unterstützen. Wenn diese benutzerdefinierten Programme jedoch nicht sicher programmiert sind, können sie versehentlich personenbezogene Daten offenlegen oder das System für Injektionsangriffe anfällig machen. Unternehmen müssen ihren benutzerdefinierten Code überprüfen, um sicherzustellen, dass Entwickler Eingaben ordnungsgemäß bereinigen und bei Abfragen von Datenbanken, die personenbezogene Daten enthalten, die standardmäßigen SAP-Berechtigungsprüfungen nicht umgehen.

3. Priorisieren Sie das Schwachstellenmanagement

Um Artikel 32 der DSGVO zu erfüllen, müssen Sicherheitsteams Schwachstellen innerhalb der SAP-Anwendungsschicht kontinuierlich identifizieren und beheben. Dazu gehören die umgehende Anwendung kritischer SAP-Sicherheitshinweise, die Deaktivierung veralteter und unsicherer Dienste sowie die Absicherung von Systemparametern. Ein vollständig gepatchtes und abgesichertes System verhindert, dass externe Angreifer bekannte Schwachstellen ausnutzen, um Kunden- oder Mitarbeiterdaten zu stehlen.

Der Übergang von der manuellen zur automatisierten DSGVO-Konformität

Die herkömmliche Einhaltung der DSGVO in SAP stützt sich häufig auf regelmäßige manuelle Audits. Sicherheitsteams ziehen Stichproben von Benutzerrollen und Systemkonfigurationen heran, um nachzuweisen, dass die Daten geschützt sind. Dies erfüllt zwar grundlegende Dokumentationsanforderungen, führt jedoch zwischen den Auditzyklen zu erheblichen Lücken in der Transparenz.

Um einen kontinuierlichen Schutz zu gewährleisten, automatisieren Unternehmen ihre SAP-Compliance-Prüfungen. Durch die Umstellung auf Continuous Control (CCM) können Teams ihre Systeme rund um die Uhr programmgesteuert anhand der DSGVO-Vorgaben überprüfen.

Speziell entwickelte Lösungen automatisieren diesen Prozess, indem sie das technische Scannen von der Compliance-Berichterstattung trennen. So Platform beispielsweise die Platform einen zweistufigen Ansatz zum Schutz personenbezogener Daten. Zunächst bewertet Onapsis Assess die SAP-Umgebung, um fehlende Sicherheitspatches, anfälligen benutzerdefinierten Code und falsch konfigurierte Zugriffskontrollen zu identifizieren. Zweitens fungiert das Comply „Onapsis Comply als automatisierte Berichts-Engine. Es nimmt die von Assess gesammelten technischen Daten auf Assess organisiert sie in strukturierten Dokumenten, die direkt den Anforderungen von Artikel 32 der DSGVO zugeordnet sind.

Dieser objektive, automatisierte Ansatz ermöglicht es Compliance-Teams und Datenschutzbeauftragten, problemlos auf Echtzeit-Dashboards zuzugreifen, anstatt sich auf veraltete manuelle Berichte zu verlassen. Für Unternehmen, die ihre Datenschutz-Workflows modernisieren möchten, ist die Prüfung, wie eine automatisierte SAP-Compliance erreicht werden kann, der effektivste Weg, um sensible Informationen zu schützen.

Häufig gestellte Fragen zur SAP-DSGVO-Konformität

Inwiefern gilt die DSGVO für SAP-Systeme? 

Die DSGVO gilt für alle SAP-Systeme, die personenbezogene Daten von EU-Bürgern speichern, verarbeiten oder übermitteln. Dies hat erhebliche Auswirkungen auf SAP-Module in den Bereichen Personalwesen (HCM), Kundenbeziehungsmanagement (CRM) sowie auf Finanzunterlagen, die personenbezogene Daten von Lieferanten oder Kunden enthalten.

Was bedeutet Artikel 32 der DSGVO im Zusammenhang mit SAP? 

Artikel 32 der DSGVO verpflichtet Organisationen dazu, geeignete technische Sicherheitsmaßnahmen zum Schutz personenbezogener Daten zu ergreifen. Im SAP-Kontext bedeutet dies, dass Sie Schwachstellen aktiv verwalten, Sicherheitspatches installieren und Systemkonfigurationen absichern müssen, um unbefugten Zugriff oder Datenverletzungen zu verhindern.

Warum stellt benutzerdefinierter ABAP-Code ein Risiko für die Einhaltung der DSGVO dar?

 Benutzerdefinierter ABAP-Code wird von internen Entwicklern oder Dritten geschrieben und wird oft nicht ausreichend auf Sicherheit geprüft. Wenn ein benutzerdefiniertes Programm keine ordnungsgemäßen Berechtigungsprüfungen (mithilfe der Anweisung AUTHORITY-CHECK) enthält, könnte jeder Benutzer, der das Programm ausführt, Zugriff auf geschützte personenbezogene Daten erhalten, was zu einem Verstoß gegen die Compliance-Vorschriften führen würde.

Reichen die Zugriffskontrollen von SAP allein aus, um die Einhaltung der DSGVO zu gewährleisten? 

Nein. Control rollenbasierte Control RBAC) ist zwar unerlässlich, um den internen Zugriff auf Daten zu beschränken, schützt das System jedoch nicht vor technischen Angriffen. Wenn ein Hacker eine nicht gepatchte Sicherheitslücke ausnutzt, um die Anwendungsebene vollständig zu umgehen, können Ihre Zugriffskontrollen ihn nicht daran hindern, Daten zu stehlen.

Wie kann ich DSGVO-Audits in SAP automatisieren? 

Sie können DSGVO-Audits automatisieren, indem Sie Tools Control kontinuierlichen Control (CCM) wie Onapsis Assess Comply einsetzen. Diese Tools überprüfen Ihre SAP-Landschaft kontinuierlich auf Schwachstellen und Fehlkonfigurationen und ordnen die technischen Ergebnisse automatisch bestimmten DSGVO-Anforderungen zu, um einen Echtzeit-Nachweis der Compliance zu liefern.

Stichwörter, ,
Über den Autor
Pablo Müller, Technischer Produktmanager bei Onapsis

Pablo Müller

Technischer Produktmanager

Pablo Müller ist Technical Product Manager bei Onapsis und auf die Entwicklung von Lösungen für SAP GRC (Governance, Risk und Compliance) sowie die Sicherheit geschäftskritischer Anwendungen spezialisiert. Als einer der Hauptakteure unserer Vordenkerrolle im Bereich GRC und Compliance liegt seine Expertise darin, die neuesten Erkenntnisse aus der SAP-Sicherheitsforschung und aktuelle Branchentrends in Produkt-Roadmaps umzusetzen, die den Kundenbedürfnissen entsprechen. Pablo arbeitet eng mit den Onapsis Research Labs zusammen, Onapsis Research Labs neue Sicherheitsprüfungen zu definieren und sicherzustellen, dass die GRC-Lösungen von Onapsis die erforderliche Transparenz und Kontrollmöglichkeiten für auditfähige SAP-Systeme und kontinuierliche Compliance bieten. Durch seine Arbeit hat er sich als vertrauenswürdige Stimme etabliert, die die Lücke zwischen technischen Sicherheitsanforderungen und den Vorgaben der Unternehmensrevision schließt.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen