Human Capital Management Blogs by SAP
Get insider info on SAP SuccessFactors HCM suite for core HR and payroll, time and attendance, talent management, employee experience management, and more in this SAP blog.
cancel
Showing results for 
Search instead for 
Did you mean: 
RolandChristen
Advisor
Advisor

In unserem beruflichen Umfeld gibt es wohl aktuell zwei Themen die alle beschäftigen. Das eine ist künstliche Intelligenz. Das andere ist Datenschutz. Zum ersten Thema wird schon genug geschrieben, und es ist passt auch nicht so recht zu unserer Serie. Aber zum zweiten Thema würden wir Ihnen gerne Information geben.

Im dritten Teil unserer Serie mit Artikeln für das HR zeigen Ihnen mein Kollege @PatricAndre_CH und ich, mit wertvoller Unterstützung von unserem Kollegen Jens Roenker (HXM Technology Advisor, Data Protection Officer) auf, mit welchen Massnahmen SuccessFactors Ihnen hilft Ihre Daten zu schützen und die gesetzlichen Anforderungen zu erfüllen. Speziell gehen wir auch auf die Verschärfung des Schutzes von Personendaten ein, die mit der revidierten Verordnung zum Datenschutz seit September 2023 gültig sind.

 

Einführung

Im digitalen Zeitalter von heute ist die Datensicherheit ein wichtiges Anliegen für Unternehmen in verschiedenen Branchen. Da Unternehmen zunehmend auf cloudbasierte Lösungen wie SAP SuccessFactors setzen, um ihr Personalmanagement zu verwalten, wird es unerlässlich, Datenschutzgesetze und -vorschriften zu verstehen und einzuhalten, insbesondere in Ländern wie der Schweiz. Dieser Artikel soll die Datensicherheit in SAP SuccessFactors und die relevanten Datenschutzgesetze und -vorschriften in der Schweiz beleuchten.

Natürlich betrifft das Thema nicht nur SAP SuccessFactors, sondern alle Systeme von SAP (und auch alle anderen). SAP hat deshalb eine spezielle Homepage – das ‘SAP Trust Center’ - aufgebaut, in der Sie thematisch gegliedert alle Informationen und Dokumente dazu finden. Das ‘SAP Trust Center’ besteht aus den Bereichen:

Sicherheit für Daten, Anwendungen und Rechenzentren

Zertifizierungen und Compliance (Compliance Formulare, System and Organization Controls (SOC) und Ze...

Schutz von Daten und der Privatsphäre (z.B. Informationen zu Datenschutzvereinbarungen auf aller Wel...

SAP-Vereinbarungen (u.a. Cloud-Services, Datenverarbeitungsvereinbarung, Technisch-Organisatorische ...

SAP Cloud Service Status | Cloud Availability Center

SAP-Rechenzentrum | SAP Trust Center

Picture1.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Das SAP Trust Center

Eine zweite sehr gut Informationsquelle, vor allem für eher technische Informationen, ist die SAP Help-Seite: Data Protection and Privacy in SAP SuccessFactors | SAP Help Portal

 

Massnahmen zum Datenschutz und zur Sicherheit der Datenverarbeitung

SAP SuccessFactors ist eine umfassende cloudbasierte HCM-Lösung (Human Capital Management), mit der Unternehmen ihre HR-Prozesse optimieren können. Es umfasst verschiedene Module, darunter Employee Central, Talentmanagement, Performance Management und vieles mehr. Während SAP SuccessFactors robuste Sicherheitsfunktionen bietet, müssen Unternehmen auch zusätzliche Massnahmen implementieren, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherzustellen. Es liegt in ihrer Verantwortung, sicherzustellen, dass sie die erforderlichen Werkzeuge nutzen, um die Einhaltung der Vorschriften zu erleichtern, wie von ihrem internen Datenschutzbeauftragten gefordert.

1. Zugriffskontrollen: Die Implementierung starker Zugriffskontrollen ist entscheidend, um unberechtigten Zugriff auf sensible HR-Daten zu verhindern. Organisationen sollten strenge Benutzerauthentifizierungsmechanismen wie die Multifaktorauthentifizierung durchsetzen, um sicherzustellen, dass nur autorisiertes Personal auf das System zugreifen kann. SAP adressiert dieses Risiko (Zugriff auf Kundendaten durch SAP) mittels relevanter Basisprinzipien. Dazu gehört die Umsetzung des Need-to-Know Prinzips, des Least-Privileges Prinzips, sowie der Segregation of Duties.
Um Sicherzustellen, dass in SuccessFactors jeder Benutzer nur die Daten sieht und bearbeiten kann, dier er darf oder muss. steht ihnen ein umfangreiches Berechtigungsframework inklusive ‘Role-Bases-Permission (RBP)’ zur Verfügung. Unsere Experten haben für sie alle wichtigen Informationen zum Thema und zur Einführung der Berechtigungen in SAP SuccessFactors in einem eigenen (über sechzigseitigen) Dokument zusammengefasst. Hier der Link dazu: ALP - SAP SuccessFactors Permission Framework Strategy

2. Verschlüsselung: Das Verschlüsseln von ruhenden und während der Übertragung befindlichen Daten ist unerlässlich, um sie vor unberechtigtem Zugriff zu schützen. SAP SuccessFactors bietet Verschlüsselungsfunktionen, um Daten zu schützen, die in ihren Datenbanken und während der Übertragung zwischen dem System und Endbenutzern gespeichert sind.  SAP SuccessFactors verschlüsselt den Speicherort mittels AES 256-bit Technologie, im Standard werden die Schlüssel durch SAP FIPS 140-2 konform verwaltet.

‘Bring your own key’ (BYOK): Bisher war der ‘Schlüssel’ zur Datenverschlüsselung im Besitz von SAP. Seit kurzem bietet SAP nun den Kunden die Möglichkeit, den Key selber zu verwalten (das bedeutet aber auch, dass SAP keine Möglichkeit den Schüssel wieder herzustellen, wenn der Schlüssel ‘verloren’ geht). Für BYOK ist ein (kostenpflichtiges) Add-on mit dem Namen ‘SAP SuccessFactors HXM Suite, advanced encryption add-on’ notwendig. Diese neue Möglichkeit wird aktuell gestaffelt in die verschiedenen Datencenter ausgerollt. Aktuell (Stand Februar 2024) sind in Europa zwei Datencenter dafür eingerichtet: DC33 (Frankfurt, Deutschland) sowie DC57 (Eemshaven, Niederlande). Ebenfalls steht aktuell diese Möglichkeit noch nicht für alle SuccessFactors Module zur Verfügung: Recruiting Marketing und Recruiting Posting sowie SAP SuccessFactors Learning und SAP SuccessFactors Employee Central Payroll sind heute noch nicht unterstützt, sind aber auf der Roadmap für die Umsetzung (ein Datum ist noch nicht bekannt).

Advanced Data Encryption.png

Erweiterte Verschlüsselung für SAP SuccessFactors-Lösungen - Überblick

Weitere Informationen finden Sie hier Advanced Encryption | SAP Help Portal und hier SAP Data Custodian | Public Cloud

 

3. Regelmässige Updates und Patches: Um Schwachstellen zu beheben, die von Cyberkriminellen ausgenutzt werden können, ist es unerlässlich, dass alle Systeme mit den neuesten Sicherheitspatches und -Updates auf dem Laufenden zu halten. Für Kunden, die SAP SuccessFactors nutzen, werden die Patches durch SAP eingespielt.

4. Datensicherungen und Disaster Recovery: Die regelmässige Sicherung von HR-Daten und die Implementierung eines robusten Disaster-Recovery-Plans tragen dazu bei, die Geschäftskontinuität bei Datenverletzungen oder Systemausfällen sicherzustellen. Für Kunden, die SAP SuccessFactors Employee einsetzen, führt SAP die entsprechenden Aktivitäten durch.

Übrigens: Kennen Sie das ALP (Architecture Leading Practices) Dokument ‘Data Privacy & Retention Strategy’. In der ersten Hälfte des Dokuments finden Sie verständliche Erklärungen zur Datenhaltung und zum Datenschutz. In der zweiten Hälft viele Informationen und Tipps zu den Möglichkeiten die SAP SuccessFactors ihren Kunden zur Verfügung stellt, um Ihnen zu helfen, die entsprechende Gesetze und Verordnungen zu erfüllen.

Datenschutzgesetze und -vorschriften in der Schweiz

Die Schweiz verfügt über einen strengen Rechtsrahmen zum Schutz personenbezogener Daten, und Unternehmen. Diese müssen die folgenden wichtigen Vorschriften einhalten:

Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG)Das DSG, zusammen mit der Verordnung über den Datenschutz (Datenschutzverordnung, DSV) regelt die Erhebung, Verarbeitung und Nutzung personenbezogener Daten in der Schweiz. Erklärungen und Details zur Datenschutzverordnung finden Sie im ‘Erläuternden Bericht DSV’.

Das Gesetz und die entsprechenden Verordnungen gelten für ‘Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden’ (Art. 3 DSG).  Die beiden Dokumente enthalten Grundsätze für die Datenverarbeitung, einschliesslich Datenminimierung, Zweckbeschränkung und Datengenauigkeit. Organisationen müssen vor der Verarbeitung ihrer personenbezogenen Daten von Einzelpersonen eine Einwilligung nach Aufklärung einholen.

Das Schweizer Datenschutzgesetz ist sehr stark angelehnt an die europäische Datenschutz-Grundverordnung (DSGVO) (auch bekannt unter dem englischen Namen GDPR - General Data Protection Regulation): Obwohl die Schweiz kein Mitglied der Europäischen Union ist, gilt die DSGVO für Organisationen, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten. Wenn ein Unternehmen, das SAP SuccessFactors einsetzt, in der Schweiz und der EU tätig ist, muss es die Anforderungen der DSGVO erfüllen.

Neuste Revision der Datenschutzverordnung, gültig seit 1. September 2023

Aufgrund einer Evaluation des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG) und mit Blick auf die technologische Entwicklung und das weiterentwickelte EU-Recht beschloss der Bundesrat, das Bundesgesetz über den Datenschutz zu revidieren. Im Zusammenhang mit SAP SuccesFactors ist die wichtigste Änderung die Verschärfung der Schutzes von sogenannten ‘besonders schützenswerten Personendaten’. Artikel 5 des DSG definiert diese wie folgt:

  • Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
  • Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie
  • genetische Daten
  • biometrische Daten, die eine natürliche Person eindeutig identifizieren
  • Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen
  • Daten über Massnahmen der sozialen Hilfe

Im Prinzip bestand dieser Schutz schon vor der Anpassung des DSG und der Datenschutzverordnung. Geändert wurde aber vor allem, dass nun nicht nur Datenänderung, sondern auch jeglicher Lesezugriff (z.B. auch über Schnittstelle  und APIs) geschützt wird. Der zentrale Artikel dazu ist Artikel 4, Absatz 1 der Datenschutzverordnung in welchem es heisst:

Werden besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet oder wird ein Profiling mit hohem Risiko durchgeführt und können die präventiven Massnahmen den Datenschutz nicht gewährleisten, so müssen der private Verantwortliche und sein privater Auftragsbearbeiter zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten protokollieren. Eine Protokollierung muss insbesondere dann erfolgen, wenn sonst nachträglich nicht festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie beschafft oder bekanntgegeben wurden.

Wie versteht SAP diese Anforderungen

Der Artikel enthält eine ‘und’ Bedingung (im Artikel oben fett hervorgehoben). Durch unterschiedlichen SAP Standards (Product Standard Security & Data Protection / Cloud Compliance Cockpit, TOM’s (Technische und organisatorische Massnahmen) bieten wir grundsätzlich einen ausreichenden Datenschutz gem. des revidierten DSG bieten, so dass diese Und-Bedingung für die Nutzer unserer Cloud-Lösungen nicht zutrifft, und damit die im Artikel im Anschluss erwähnte Protokollierung entfallen kann.

Wichtig: Die Verantwortung zur Gewährleistung von präventiven Massnahmen liegt beim Kunden. Dieser überprüft, ob unsere TOMs hinreichend sind, um die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten zu gewährleisten. Mit Unterschrift auf dem Vertrag stimmen der Kunde zu, dass dem so ist. Darüber hinaus muss jeder Kunde begleitende Massnahmen anwenden, z.B. eine Clean-Desk-Policy. Auftraggeber (Kunde) und Serviceanbieter (SAP) müssen also gemeinsam sicherstellen, dass der Umgang mit personenbezogenen, also vertraulichen, Daten höchsten Standards genügt.

Link zu SAP Trust Center - Policies, Frameworks & TOMs: Policies, Frameworks & TOMs (sap.com)

Was sind TOM: TOM-Overview_EGI_Foundation.pdf

Log-Files (im Sinne einer Second Line of Defense)

Wir verstehen das Change/Read Log Tool in SuccessFactors als zusätzliche Möglichkeit im Bedarfsfall nachvollziehen zu können, welche Daten wie geändert worden sind, bzw. angezeigt oder ausgewertet wurden. SAP SuccessFactors verwendet derzeit eine in SAP SuccessFactors integrierte Lösung für die Audit-Log-Funktionalität: Read Audit, Change Audit und General Audit. Aktuell ist es nur möglich, den Report in SAP SuccessFactors für maximal 10 Personen und für einen maximalen Zeitraum von 30 Tagen zu starten.

Aufgrund geänderter Datenschutzverordnungen hat sich der Log-Bedarf verändert, das Tool entspricht so nicht mehr den Bedürfnissen vieler Kunden. Das für die SAP SuccessFactors Plattform verantwortliche Produktemanagement hat dies erkannt und deshalb entschieden ein neues Audit-Tool (BTP Audit Log Service (ALS)) zu entwickeln. Dieses wird die Audit-Daten für zwei Jahre (Default) bis maximal 3 Jahre aufbewahren. Die Aufbewahrungsdauer für das Änderungs-log und das Lese-log können in SuccessFactors eingestellt werden (siehe Screenshot). Es ist geplant, dass die neue Funktion mit Release 1H.2024 ausgeliefert wird. Die bisherigen Log-Daten in SuccessFactors werden anschliessend in den neuen BTB Audit Service migriert/transferiert. Der neue BTP ALS Service wird kostenlos sein und den Kunden über das Admin Center in SuccessFactors zur Verfügung gestellt werden. Die Kunden wurden am 4. Januar 2024 über den bevorstehenden Wechsel informiert.

New Audit Retention Tool 1.png

New Retention UI

Konfiguration der Aufbewahrungsfristen für den neuen Audit Service.png

Konfiguration der Aufbewahrungsfristen für den neuen Audit Service

Erste Informationen zum neuen Service und zur Migration wurden in der SAP SuccessFactors Community Anfangs Januar 2024 veröffentlich: DRTM Audit Data Purge Deprecation and Transition t... - SAP Community

Das neue Audit Data Retention Tool wurde im Release 1H.2024 ausgeliefert. Die Dokumentation zum neuen Tool finden Sie in der SAP Hilfe unter folgendem Link: Audit Data Retention Management | SAP Help Portal

Welche Daten stehen im Audit Log zur Verfügung?

Im Prinzip können alle Daten in das Audit-Log geschrieben. Der Kunde definiert und konfiguriert, welche dies sein sollen. Es gibt allerdings Einschränkungen:

  1. Instanzen: Neben dem zentralen (Bizx)SAP SuccessFactors-System verwendet die Lösung (aus historischen Gründen) teilweise zusätzliche separate Instanzen. Dies betrifft Learning, Recruiting Marketing, Recruiting Posting und Workforce Analytics. Das Audit-Log befindet sich im zentralen Bizx-System. Diese gilt auch für die erwähnten separaten Instanzen, sofern das System mit einem Bixz-System integriert ist (was in den meisten Fällen so sein sollten). Werden diese ‘Stand Alone’ (ohne Integration zu einem Bizx-System) betrieben, funktioniert das erwähnte Audit-Log also nicht. Je nach Modul haben dies Lösungen aber eigene Audit-Reports, oder es sind dort sowieso keine Personendaten gespeichert (beim Recruiting Posting und wahrscheinlich auch im Recruiting Marketing).
  2. Felder: Die List der besonders schützenswerten Personendaten ist sehr kurz (Sie finden sie am Anfang dieses Abschnitts). Jeder Kunde kann aber selber entscheiden, welche Felder er im Audit-Log (zusätzlich) protokollieren lassen möchte. Es dürfte klar sein, dass die Zeit für das Erstellen und Einlesen und die Grösse des Files immer grösser wird, je mehr Felder/Daten verarbeitet werden. Es gilt also das System mit Vernunft zu konfigurieren und nicht einfach alles zu protokollieren, sondern nur die Felder, die benötigt werden könnten.

    Systemtechnisch gibt es auch Einschränkungen, was die Informationen betrifft, welche im Audi-Log protokolliert werden können. Diese rund 40 Informationen sind in der SAP Help aufgeführt und erklärt: Important Notes About Change Audit for Personal Data | SAP Help Portal