Personenbezogene, personenbeziehbare und vertrauliche Daten werden in zapAudit pseudonymisiert. Was das im Einzelnen bedeutet lesen Sie in diesem Artikel.
Kurzbeschreibung zum Datenschutz in zap Audit:
zapAudit ist eine Software für Revisoren und Abschlussprüfer, die SAP-bezogene Daten- und Prozessprüfungen vom Datenabzug bis zum Report automatisiert. Folgenden Prozesse werden dafür analysiert:
- Einkauf
- Verkauf
- Finanzbuchhaltung
- Anlagenbuchhaltung
- Zugriffsberechtigungen
- inkl. Funktionstrennungskonflikte
Inhalt und Umfang der auszuwertenden Daten:
In zapAudit wird immer ein einziger Buchungskreis und ein einzelnes Geschäftsjahr als Untersuchungsgegenstand festgelegt. Die Prüfung der Daten und Prozesse erfolgt über sogenannte Indikatoren ("Prüfungsfragestellungen"). Diese verfolgen dabei immer eines der folgenden Prüfungsziele:
- Ordnungsmäßigkeit
- Wirtschaftlichkeit
- Prozessstandardisierung
- Zugriffssicherheit.
Der Datenumfang bestimmt sich durch die Indikatoren und die dafür benötigten Daten. zapAudit arbeitet nach dem Prinzip der Datensparsamkeit und lädt ausschließlich die notwendigen Daten für die Prüfung des spezifizierten Buchungskreises und des definierten Geschäftsjahres aus dem SAP herunter und speichert diese in eine verschlüsselte Datenbank. Diese Datenbank befindet sich auf der von Ihnen definierten Hardware. Die Firma zapliance hat zu keiner Zeit Zugriff auf die Daten.
Sind personenbezogene und/oder -beziehbare Daten betroffen?
Nein - der Datenumfang sowie die zu pseudonymisierenden Daten sind in zapAudit vordefiniert ("Privacy by Design"). Sämtliche personenbezogene und/oder -beziehbare Daten werden standardmäßig pseudonymisiert. Der Auftraggeber ist verantwortlich, den Datenumfang inkl. der zur Pseudonymisierung markierten Datenfelder zu prüfen und im Vorfeld des Datenabzugs in zapAudit zu verifizieren. Die von zapAudit verwendete Datenbank enthält im vordefinierten Zustand zu keinem Zeitpunkt unverschlüsselte personenbezogene oder -beziehbare Daten.
Was ist Pseudonymisierung?
Ziel der Pseudonymisierung ist die vertrauliche Behandlung von z.B. personenbezogenen Daten durch Verschlüsselung. Über eine Konfigurationsdatei (XML-Datei) ist standardmäßig festgelegt, welche Felder verschlüsselt werden. Die Daten werden anhand eines öffentlichen Schlüssels verschlüsselt und können nur mittels des privaten Schlüssels theoretisch entschlüsselt werden. Eine Entschlüsselung ist in zapAudit technisch nicht möglich.
Wie erfolgt die Pseudonymisierung in zapAudit technisch?
Vor der Speicherung der SAP Daten in der zapAudit Datenbank pseudonymisiert die Software auf Basis des vom Auftraggeber generierten „öffentlichen Schlüssels“ des asymmetrischen Schlüsselpaars vollautomatisch alle Spalten, die in der Prüfungsvorbereitung als personenbezogen, personenbeziehbar oder vertraulich definiert sind.
Der „private Schlüssel“ ist nur dem Auftraggeber bekannt. Für die Erstellung eines Schlüsselpaares, bestehend aus dem privaten und öffentlichen Schlüssel kann z.B. die Software PGP4Win (Kleopatra) verwendet werden. Die Verantwortung der sicheren Verwahrung obliegt vollständig dem Auftraggeber. Nach der Erstellung besteht in zapAudit die Möglichkeit den öffentlichen Schlüssel für die Verschlüsselung / Pseudonymisierung hochzuladen.
Mit diesem Schlüssel werden alle Datenfelder gemäß Konfigurationsdatei verschlüsselt und erst dann auf dem Speichermedium abgelegt. Lediglich der Inhaber des zugehörigen privaten Schlüssels hat in diesem Fall Zugriff auf den Schlüssel. Die Entschlüsselung pseudonymisierter Daten ist in zapAudit technisch nicht möglich.
Können aus Ergebnissen in zapAudit Verhaltens- und/oder Leistungskontrollen erfolgen?
Eine Leistungskontrolle ist nicht das Ziel von zapAudit. Die Indikatoren haben ausschließlich die Prüfungsziele Ordnungsmäßigkeit, Wirtschaftlichkeit, Prozessstandardisierung und Zugriffssicherheit. Mit den Ergebnissen in zapAudit ist anhand der Indikatoren keine direkte Verhaltens- und/oder oder Leistungskontrolle möglich.
Gibt es eine Exportfunktion?
Die Ergebnisse in zapAudit können nach Excel exportiert werden. Pseudonymisierte Daten in zapAudit sind und bleiben auch im Export pseudonymisiert.
Gibt es in zapAudit ein Rollen- bzw. Berechtigungskonzept?
Ein Rollen-/Berechtigungskonzept ist in die Anwendung integriert.