SAP-Migration Compliance-Check: Prompt für DSGVO- und GoBD-Risikoanalyse

Der Standard-Support für SAP ECC endet Ende 2027 — und laut dem ISG-Report 2026 scheitern bereits heute 60% aller Migrationsprojekte an Budget- oder Zeitplanüberschreitungen. Wer jetzt ohne strukturierte Compliance-Prüfung in die S/4HANA-Migration geht, riskiert nicht nur DSGVO-Verstöße und GoBD-Nichtkonformität, sondern auch Sicherheitslücken wie die kritische Code-Injection CVE-2026-0491 (CVSS 9.1), die SAP erst im Januar 2026 gepatcht hat. Der folgende Prompt nimmt IT-Entscheidern die manuelle Risikoerfassung ab und liefert in einem einzigen Durchlauf eine strukturierte Risikoanalyse mit Maßnahmen und Zuständigkeiten.

ROLE: Du bist ein erfahrener SAP-Compliance-Berater mit Spezialisierung auf DSGVO, GoBD und IT-Sicherheitsrecht im deutschsprachigen DACH-Raum.

KONTEXT: Ein Unternehmen plant eine SAP ECC-zu-S/4HANA-Migration. Der Standard-Support für SAP ECC endet 2027. Das Unternehmen muss vor dem Projektstart eine strukturierte Compliance-Risikoanalyse durchführen, die regulatorische, datenschutzrechtliche und sicherheitstechnische Risiken systematisch erfasst.

AUFGABE: Analysiere die folgende SAP-Migrationskonstellation auf Compliance-Risiken und erstelle eine vollständige Risikomatrix. Berücksichtige dabei ausschließlich verifizierten regulatorischen Rahmen: DSGVO (insb. Art. 5, 17, 22, 25, 32, 35), GoBD (Revisionssicherheit, Aufbewahrungsfristen 6/10 Jahre), EU AI Act (sofern KI-gestützte Migrationswerkzeuge eingesetzt werden), sowie aktuelle SAP-Sicherheitspatches (CVE-Klassen Critical/High).

VARIABLEN (ersetze diese Platzhalter mit deinen Projektdaten):
- [UNTERNEHMEN]: z.B. "Mittelständischer Maschinenbauer, 500 Mitarbeiter, Standort München"
- [MIGRATIONSANSATZ]: z.B. "Brownfield" / "Greenfield" / "Bluefield"
- [DATENKATEGORIEN]: z.B. "Kundenstammdaten, Personalakten, Finanzbuchhaltung, Produktionsdaten"
- [EXTERNE_TOOLS]: z.B. "SAP Landscape Transformation, Kyano CrystalBridge" oder "keine"
- [CLOUD_ZIEL]: z.B. "RISE with SAP (AWS Frankfurt)" / "On-Premise" / "Hybrid"
- [GO_LIVE_DATUM]: z.B. "Q3 2026"

OUTPUT-FORMAT: Erstelle eine Markdown-Tabelle mit exakt diesen Spalten:
Risikobereich
Regulatorischer Bezug
Risikostufe (Hoch/Mittel/Niedrig)
Beschreibung
Abhilfemaßnahme
Verantwortlich
Deadline
Risikobereich-Kategorien (Pflicht, alle abdecken):
1. Datenmigration & Datenqualität (DSGVO Art. 5)
2. Datenlöschung & Recht auf Vergessenwerden (DSGVO Art. 17)
3. Aufbewahrung & Revisionssicherheit (GoBD §147 AO)
4. Technische Sicherheit (DSGVO Art. 32, CVE-Risiken)
5. Automatisierte Entscheidungen (DSGVO Art. 22, EU AI Act — nur wenn [EXTERNE_TOOLS] KI enthält)
6. Drittlandtransfer (DSGVO Kap. V — nur wenn [CLOUD_ZIEL] außerhalb EU)
7. Datenschutz-Folgenabschätzung (DSGVO Art. 35)
8. Lizenz- und Vertragscompliance (DSAG-Empfehlungen)

GUARDRAILS:
- Nenne ausschließlich anwendbare Regulierung. Erfinde keine CVE-Nummern.
- Wenn [CLOUD_ZIEL] = "On-Premise", entferne den Drittlandtransfer-Block.
- Verwende EUR-Beträge für Strafrahmen (DSGVO: bis 20 Mio. EUR / 4% Jahresumsatz).
- Keine allgemeinen Empfehlungen ohne konkreten Migrationsbezug.
- Schließe mit einem kurzen Prosa-Absatz "Nächste Schritte" (max. 5 Sätze), der eine DSFA-Empfehlung und den Hinweis auf den SAP Security Patch Day enthält.

Beispiel-Output (fiktiv, aber realistisch):

Unternehmen: Muster GmbH, Automobilzulieferer, 1.200 MA, Standort Stuttgart
Migration: Brownfield
Daten: Kundenstammdaten, Personalakten, Finanzbuchhaltung
Tools: SAP Landscape Transformation
Cloud: RISE with SAP (AWS Frankfurt)
Go-Live: Q4 2026

Risikobereich

Regulatorischer Bezug

Risikostufe

Beschreibung

Abhilfemaßnahme

Verantwortlich

DeadlineDatenmigration & Qualität

DSGVO Art. 5 Abs. 1(d)

Hoch

Altdaten aus ECC enthalten veraltete, nicht mehr zweckgebundene Kundendatensätze (>5 Jahre inaktiv). Risiko: Mitnahme unrechtmäßiger Datensätze in S/4HANA.

Data-Cleansing-Sprint vor Go-Live; Mapping-Protokoll aller migrierten Entitäten

Datenschutzbeauftragter + SAP-Projektleiter

6 Wochen vor Go-LiveTechnische Sicherheit

DSGVO Art. 32, CVE-2026-0491

Hoch

SAP Landscape Transformation (DMIS 2011_1_700) enthielt kritische Code-Injection-Lücke (CVSS 9.1). Patch verfügbar seit Januar 2026.

Patch-Status im Change Management dokumentieren; Penetrationstest nach Patch-Einspielen

IT-Sicherheitsbeauftragter

Vor MigrationsbeginnRevisionssicherheit

GoBD §147 AO, 10 Jahre Aufbewahrung

Mittel

Brownfield-Migration kann Archivierungsindex zwischen ECC und S/4HANA entkoppeln. Risiko: Revisionslücken bei Betriebsprüfung.

SAP ILM-Konfiguration vor Go-Live prüfen; zertifizierte Archivlösung (z.B. SAP-Standard-ILM) einsetzen

SAP Basis-Team + Steuerabteilung

4 Wochen vor Go-LiveDSFA

DSGVO Art. 35

Hoch

Systematische Verarbeitung von Personalakten im neuen S/4HANA HCM-Modul erfordert Datenschutz-Folgenabschätzung.

DSFA vor Go-Live beauftragen und dokumentieren

Datenschutzbeauftragter

8 Wochen vor Go-Live

Nächste Schritte: Angesichts der Verarbeitung von Personalakten in S/4HANA HCM ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verpflichtend — beauftrage diese spätestens 8 Wochen vor Go-Live. Stelle sicher, dass alle eingesetzten Migrationstools (insb. SAP Landscape Transformation) auf dem Stand des SAP Security Patch Day Januar 2026 sind. Der nächste SAP Patch Day sollte im Projektkalender verankert werden. Bei RISE with SAP über AWS Frankfurt ist kein Drittlandtransfer relevant, da die Verarbeitung innerhalb der EU erfolgt. Dokumentiere alle Maßnahmen DSGVO-konform im Verarbeitungsverzeichnis.

So verwendest du den Prompt

Kopiere den Prompt vollständig in ChatGPT oder Claude und ersetze die acht Variablen in den eckigen Klammern durch deine konkreten Projektdaten. Du brauchst keine technische SAP-Expertise — die Variablen sind bewusst so formuliert, dass sie aus einem Standard-Projektauftrag oder Kick-off-Dokument direkt entnommen werden können.

Drei Variablen bestimmen, welche Risikoblöcke der Prompt aktiviert oder deaktiviert:

• [EXTERNE_TOOLS]: Enthält dein Wert eine KI-gestützte Komponente (z.B. ein KI-basiertes Datenmigrationswerkzeug), ergänzt der Prompt automatisch den EU AI Act-Block mit Hinweisen zu Art. 22 DSGVO und den GPAI-Regeln, die seit August 2025 in Kraft sind.
• [CLOUD_ZIEL]: Nur bei Rechenzentren außerhalb der EU wird der Drittlandtransfer-Block (DSGVO Kapitel V) aktiviert. RISE with SAP auf AWS Frankfurt fällt nicht darunter.
• [MIGRATIONSANSATZ]: Brownfield-Projekte erzeugen spezifische GoBD-Risiken durch Archivindex-Entkoppelung, die bei Greenfield entfallen. Der Prompt berücksichtigt das intern.

Der Output ist direkt als Projekt-Anhang verwendbar — etwa als Basis für eine DSFA nach Art. 35 DSGVO oder als Vorlage für das interne Audit-Komitee.

Warum dieser Prompt funktioniert

Der Prompt kombiniert drei nachweislich effektive Techniken. Role Prompting versetzt das Modell in die Perspektive eines DACH-erfahrenen Compliance-Beraters — das reduziert generische Antworten und erhöht die regulatorische Präzision messbar, weil das Modell seinen Token-Wahrscheinlichkeitsraum auf Fachvokabular einengt.

Structured Output Prompting erzwingt durch das explizit vorgegebene Tabellenschema eine deterministische Ausgabestruktur. Ohne dieses Schema neigen große Sprachmodelle dazu, Risiken in Prosaform zu beschreiben — was für Entscheidungsträger schwer vergleichbar und priorisierbar ist. Die Tabelle erzwingt Kategorisierung, regulatorischen Bezug und Verantwortlichkeit in einem Durchlauf.

Conditional Guardrails — die "nur wenn"-Bedingungen in den Guardrail-Regeln — lösen ein klassisches Halluzinationsproblem: Ohne Einschränkung würde das Modell bei einem On-Premise-Projekt trotzdem Drittlandtransfer-Risiken generieren. Die bedingten Anweisungen verankern den Output in der tatsächlichen Projektstruktur und unterbinden regulatorisch irrelevante Risikofelder. Das Ergebnis ist eine Analyse, die auditfähig ist — nicht nur plausibel klingt.