Alle HR-Mitarbeitenden und die HR Business Partner konnten über eine „längere Zeit“ auf die Gehaltsdaten und Personalakten der gesamten globalen SAP-Belegschaft zugreifen. Diese Information lag der Wirtschaftswoche aus dem Umfeld des SAP-Betriebsrats vor. Auf Nachfrage bestätigt uns dies das Unternehmen. SAP beschäftigt weltweit über 100.000 Mitarbeitende. Laut Wirtschaftswoche-Bericht soll eine dreistellige Anzahl an HR-Beschäftigten Zugriff gehabt haben.
Die Personalakte umfasst alle Informationen, die zur Abrechnung und Durchführung des Arbeitsverhältnisses benötigt werden. Daten, die fast alle hochvertraulich sind, wie Bewertungen, Arbeitszeugnisse und gegebenenfalls Abmahnungen. Einsicht dürfen nur direkt zuständige Personen im Unternehmen haben. „Der Kreis der zugangsberechtigten Personen ist möglichst klein zu halten“, sagte uns Fachanwalt Lorenz Mitterer in einem Interview über die Personalakte. Wie grundsätzlich im Datenschutz gilt auch hier das Prinzip der Datensparsamkeit: So viel wie nötig, so wenig wie möglich. Das gilt nicht nur für die Speicherung von Daten, sondern kann auch auf die Notwendigkeit der Einsicht von Daten übertragen werden.
Veränderte Organisationstruktur bei SAP
Die Wirtschaftswoche zitiert einen Insider, der die Ursache in den aufgesetzten Zugriffsberechtigungen sieht. Diese würden nach einer kürzlichen Neuorganisation die Organisationsstruktur nicht mehr abbilden. Wäre dies der Fall, läge hier ein Verstoß gegen die DSGVO vor. Sie schreibt vor, dass Unternehmen durch technische und organisatorische Maßnahmen sicherstellen müssen, dass Unbefugte nicht auf sensible Daten zugreifen können. In der IT wird dies „Need-to-Know“-Prinzip genannt (siehe Kasten). Insbesondere die HR Business Partner, die gar nichts mit der Lohnabrechnung zu tun haben und in der Regel nur für bestimmte Fachbereiche zuständig sind, sollten nicht alle Personalakten einsehen können.
Info
Das Need-to-Know Prinzip
Auch Erforderlichkeitsprinzip genannt, bezeichnet bei der Datensicherheit ein Sicherheitsziel für sensible Daten. Es verbietet den Zugriff, wenn die zugreifende Person die Informationen nicht für die Erfüllung einer konkreten Aufgabe braucht. Technisch umgesetzt werden kann es durch verschiedene Modelle der Zugriffskontrolle.
DAC (Discretionary Access Control): Die benutzerbestimmbare Zugriffskontrolle. Die Zugriffsrechte werden hier pro Benutzer festgelegt. Diese können sie unter Einschränkungen selbst verwalten, beispielsweise innerhalb eines Admin-Teams. Jede Rolle beinhaltet vom Unternehmen bestimmten Zugriffsrechten, die User mit der Rolle erhalten.
RBAC (Role Based Access Controll): Zugriffsrollen werden automatisch über Faktoren wie Standort oder Rollen im Unternehmen eingeteilt.
Mandatory Access Control (MAC): Zugriffskontrolle basierend auf Regeln, die eine zentrale Instanz (Administrator) festlegt. Jede Berechtigung muss dabei einzeln zugewiesen werden.
Attribute Based Access Control (ABAC): Bei der attributsbasierten Zugriffskontrolle werden User mit verschiedenen Attributen belegt. Anhand dieser bewertet ein Policy Engine die Zulassung des Zugriffsversuchs.
Quelle: tenfold-security.com
Die Personalwirtschaft fragte bei SAP direkt nach: „Wir bestätigen, dass wir aktuell das Berechtigungsmanagement für bestimmte Anwender in der Personalorganisation überprüfen“, sagte uns ein Sprecher des Unternehmens. Inwiefern die Zugriffsrechte auch tatsächlich missbraucht wurden, ist nicht klar. „Uns liegen keine Anhaltspunkte für eine missbräuchliche Datennutzung vor. Wir haben notwendige Anpassungen umgehend vorgenommen, um einer Datenschutzverletzung entgegenzuwirken. Wir nehmen mögliche Datenschutzvorfälle sehr ernst und sind sowohl mit der zuständigen Datenschutzbehörde als auch mit unseren Sozialpartnern im Austausch.“
Angela Heider-Willms verantwortet die Berichterstattung zu den Themen Transformation, Change Management und Leadership. Zudem beschäftigt sie sich mit dem Thema Diversity.
