Skip to Content

Sicherheit und Datenschutz

  • Sicherheit und Datenschutz gehören zu den wesentlichen Aspekten der SAP.
  • Wir verfolgen während des gesamten Softwareentwicklungsprozesses eine ganzheitliche Sicherheitsstrategie.
  • Unsere weltweit gültigen Richtlinien für den Datenschutz gehen über den Schutz der Daten von Mitarbeitern, Kunden, Interessenten und Partnern hinaus.


Wir ermöglichen unseren Kunden einfachere Abläufe, indem wir ihnen helfen, Komplexität abzubauen. Gleichzeitig erwarten sie von uns jedoch Lösungen, mit denen sie Gefahren in Bezug auf On-Premise-Softwareumgebungen oder die Nutzung von Cloud-Lösungen und mobilen Diensten wirksam begegnen können. Für uns stellt das Vertrauen, das unsere Kunden unserem Unternehmen entgegenbringen, ein wichtiges Element unseres Erfolges dar. Dieses Vertrauen fußt auf der hohen Qualität und Sicherheit unseres gesamten Produkt- und Serviceportfolios sowie auf der sicheren und zuverlässigen Bereitstellung unserer Cloud-Lösungen. Um unsere Kunden, Geschäftspartner und auch unser eigenes Unternehmen zu schützen, verfolgen wir deshalb eine ganzheitlich ausgerichtete Strategie.

Umfassende Sicherheitsverfahren

Sicherheit ist seit jeher ein sehr wichtiges Thema für unser Unternehmen wie auch für unsere Kunden. Wir haben deshalb Sicherheitsmechanismen in unseren Softwareentwicklungszyklus integriert, mit denen wir während des gesamten Entwicklungsprozesses eine ganzheitliche Sicherheitsstrategie verfolgen.

Diese Strategie setzen wir durch folgende Maßnahmen um:

  • durch ein umfassendes Team aus weltweiten Sicherheitsexperten, die unsere Entwicklungsabteilungen anleiten und beraten, wie bereits ab der Produktplanung ein Höchstmaß an Sicherheit gewährleistet werden kann;
  • durch direkt in die SAP-Produkte integrierte Sicherheitsfunktionen;
  • durch verbindliche Sicherheitsschulungen für Softwareentwickler;
  • durch sorgfältiges Testen und Validieren unserer Produkte, Softwarekorrekturen und Services vor deren Auslieferung;
  • durch einen speziellen Security-Response-Prozess, der es uns ermöglicht, bei Bekanntwerden eines Sicherheitsproblems schnellstmöglich zu reagieren;
  • durch sicherheitsbezogene Serviceangebote unserer Service- und Supportorganisation;
  • durch ein auf das Thema Sicherheit spezialisiertes Beratungsteam;
  • durch ein großes Partnernetz, das sich auf Sicherheitslösungen spezialisiert hat;
  • durch eine Forschungsorganisation mit Schwerpunkt Sicherheit;
  • durch den Bereich SAP Corporate Security, der für die Sicherheit der Rechenzentren von SAP und der SAP-Entwicklungsorganisation verantwortlich ist.

Sicherheit von Cloud-Lösungen

Durch unser Cloud-Angebot stehen unsere zentralen Unternehmensanwendungen nunmehr Unternehmen aller Größenordnungen zur Verfügung. In der Cloud kommt es in besonderem Maße auf höchste Sicherheit und umfassenden Datenschutz sowie die Einhaltung entsprechender Vorschriften an. Das Vertrauen, das unsere Kunden in unsere Sicherheitsverfahren und Datenschutzmaßnahmen setzen, ist für uns ein wichtiger Wettbewerbsvorteil im Cloud-Geschäft. Die Bereitstellung unserer Cloud-Lösungen erfüllt im Hinblick auf Verfügbarkeit, Sicherheit und Datenschutz höchste internationale Standards. Die SAP richtet derzeit neue Rechenzentren ein und konsolidiert bestehende Einrichtungen, um die Nachfrage der Kunden nach unseren Cloud-Lösungen zu decken und ihren Wünschen nach lokalen und regionalen Standorten nachzukommen. Wir verfolgen dabei die Strategie, sowohl eigene als auch gemeinsame Rechenzentren mit anderen Anbietern zu betreiben. In beiden Fällen stellen wir ähnlich hohe Anforderungen an Sicherheit und Datenschutz. In unseren Rechenzentren und unseren weltweiten Abläufen befolgen wir die EU-Datenschutzverordnung, die sehr strenge Regelungen zum Schutz personenbezogener Daten enthält. Bei der Umsetzung dieser Bestimmungen berücksichtigen wir bei Bedarf auch lokale Anforderungen.

Zugleich müssen alle SAP-Rechenzentren unternehmensweit einheitliche Standards im Hinblick auf physische, technische und operative Sicherheitsmaßnahmen erfüllen. Mit diesen Standards setzen wir mitunter die höchsten Anforderungen innerhalb der IT-Branche. Durch verschiedene Maßnahmen stellen wir außerdem sicher, dass Mitarbeiter ausschließlich nach dem „Need to know“-Prinzip und nur mit den entsprechenden Berechtigungen Zugriff auf Informationen haben. Ein Kennzeichnungssystem für alle Informationen gewährleistet, dass vertrauliche Informationen geschützt und vor der Übertragung den jeweiligen Standards entsprechend verschlüsselt werden. Des Weiteren führen wir täglich, wöchentlich und monatlich vollständige und inkrementelle Datensicherungen durch. Infolge dieser Maßnahmen erfüllen die Cloud-Lösungen der SAP hohe Standards und sind in vielen Bereichen zertifiziert. Unter anderem wurden der Rechenzentrumsbetrieb, die Softwareprozesse, das Kontinuitätsmanagement aller Geschäftsprozesse (Business Continuity) und das interne Kontrollsystem nach SOC 1 Typ II, SOC 2 Typ II, ISO 27001, ISO 22301 und BS 10012 zertifiziert.

Sicherheit von mobilen Lösungen

Damit unsere Kunden den vielfältigen Herausforderungen des mobilen Unternehmens erfolgreich begegnen können, bietet unser Portfolio SAP Mobile Secure zuverlässige Lösungen für die Verwaltung mobiler Endgeräte, Anwendungen und Inhalte. Mithilfe dieser Lösungen können sie Daten, Anwendungen und Inhalte sperren und damit strengsten Sicherheitsanforderungen entsprechen sowie einen guten Schutz bei Verlust oder Diebstahl eines Geräts gewährleisten. Die Lösungen ermöglichen die Verwaltung und sichere Bereitstellung mobiler Geräte in Unternehmen aller Größen. Gleichzeitig erhöhen sie die Bedienerfreundlichkeit und beseitigen Sicherheitslücken.

Strenge Richtlinien für den Datenschutz

Da immer mehr personenbezogene Daten in IT-Systemen gespeichert werden, erhöht sich auch die Zahl derer, die Zugriff auf diese Daten bekommen könnten. Deshalb ist Datenschutz für uns eine zunehmend wichtige Aufgabe. Wir haben weltweit gültige Richtlinien für den Datenschutz definiert. Diese Richtlinien dienen nicht nur dem Schutz der Daten von Mitarbeiterinnen und Mitarbeitern, Kunden, Interessenten und Partnern, sondern aller Personen, deren Daten durch SAP-Systeme und im Rahmen der geschäftlichen Aktivitäten der SAP oder ihrer Kunden verarbeitet werden. Datenschutz hat oberste Priorität für unseren Vorstand, und alle Konzerngesellschaften der SAP müssen die internen Richtlinien und die jeweils geltenden gesetzlichen Datenschutzbestimmungen befolgen.

Hinsichtlich der Anforderungen an den Datenschutz werden durch die bevorstehende Reform des europäischen Datenschutzrechts erhebliche Änderungen erwartet. Zudem ist die SAP von den Folgen der Entscheidung des Europäischen Gerichtshofs (EuGH) betroffen, derzufolge das Safe-Harbor-Abkommen ungültig ist. Demnach ist die Übertragung von personenbezogenen Daten aus der Europäischen Union (EU) in die USA unter Berufung auf die Safe-Harbor-Bestimmungen nicht mehr zulässig.

Zudem ist die SAP infolge von Grundsatzentscheidungen des EuGH zum Thema Datenschutz und der amtlichen Erklärungen der europäischen Datenschutzbehörden gefordert, ihre weltweiten Geschäftspraktiken sorgfältig zu überprüfen. Insbesondere hat der EuGH am 6. Oktober 2015 entschieden, dass sich europäische Unternehmen bei der Übertragung von personenbezogenen Daten an Datenverarbeiter in den USA nicht länger auf das Safe-Harbor-Abkommen berufen dürfen. Zwar hat die SAP die Safe-Harbor-Bestimmungen nur in geringem Umfang angewendet, doch haben die Datenschutzbehörden auch die Gesetzmäßigkeit anderer Übertragungsmethoden aus denselben Gründen in Frage gestellt, aus denen der EuGH das Safe-Harbor-Abkommen für ungültig erklärt hat. Hierzu gehören unter anderem die von der SAP verwendeten Standardvertragsklauseln. Die Datenschutzbehörden haben angekündigt, bereits ab Ende Januar 2016 gegen europäische Unternehmen vorzugehen, die zu diesem Zeitpunkt weiterhin personenbezogene Daten nach dem von den Behörden für unzulässig erklärten Verfahren in die USA übertragen (oder US-Unternehmen Zugriff auf Systeme mit personenbezogenen Daten in der EU gewähren). Ein solches Vorgehen gegen die SAP oder gegen SAP-Kunden aufgrund von Dienstleistungen und Produkten, die die SAP mithilfe von in den USA ansässigen Unternehmen und/oder Lieferanten bereitstellt, könnte Bußgelder, Haftungsansprüche und den Verlust von Kunden nach sich ziehen, unser Ansehen schädigen sowie negative Auswirkungen auf unsere Geschäftstätigkeit, unsere Finanz- und Ertragslage und unsere Cashflows haben.

Darüber hinaus bietet die SAP ihren Kunden bereits heute die Möglichkeit, ihre personenbezogenen Daten ausschließlich in der Europäischen Union/im Europäischen Wirtschaftsraum und in der Schweiz zu speichern und zu verarbeiten. Der EU Access Service der SAP ist für On-Premise-Systeme und eine wachsende Zahl von Cloud-Lösungen verfügbar.

Im Jahr 2015 kam es bei der SAP weder zu wesentlichen Zwischenfällen hinsichtlich Datenschutzverstößen oder Datenverlusten bei Kundendaten noch zu Zwischenfällen, die gemäß deutschem Bundesdatenschutzgesetz meldungspflichtig gewesen wären.

    Back to top