Dienstvereinbarung (DV) zur Einführung, Anwendung, Änderung oder Erweiterung des SAP R/3 Systems Modul HR. zwischen der

Transkript

1 Der PERSONALRAT Dienstvereinbarung (DV) zur Einführung, Anwendung, Änderung oder Erweiterung des SAP R/3 Systems Modul HR zwischen der Stiftung Universität Hildesheim ( Stiftung ) und dem Personalrat der Stiftung Universität Hildesheim ( Personalrat ) Zur Gewährleistung der schutzwürdigen Belange der Beschäftigten schließen die Stiftung Universität Hildesheim und der Personalrat gemäß 78 in Verbindung mit 67 Abs. 1 Nr. 2 NPersVG folgende Dienstvereinbarung: 1 Gegenstand und Geltungsbereich Diese Dienstvereinbarung regelt die Einführung, Anwendung, Änderung oder Erweiterung des SAP R/3 Systems, Modul HR in der jeweiligen Version für die Stiftung Universität Hildesheim. Sie gilt für alle Beschäftigten der Stiftung Universität Hildesheim. 2 Verfahrenszweck Das Modul HR dient ausschließlich den Zwecken der Personalverwaltung und Stellenbewirtschaftung. Durch seinen Einsatz soll die Wirtschaftlichkeit (Effizienz) und Wirksamkeit (Effektivität) bei der Durchführung personalrechtlicher und wirtschaftlicher Maßnahmen verbessert werden. Gleichzeitig sollen die Abläufe intern überprüfbar ausgestaltet sein. 3 Umfang des Systems (Software, Datenkatalog, Datenverbleib, Berichtswesen, Schnittstellen, Datenaustausch) (1) Software Es werden ausschließlich die SAP-Komponenten Personaladministration und Organisationsmanagement genutzt sowie zur Weiterverarbeitung die Programme MS Word und Excel. (vgl. Anlage 3) Die Nutzung von Word und Excel darf nur hilfsweise erfolgen. Nur insoweit SAP die benötigten Funktionen nicht oder weniger gut leistet, dürfen Word und Excel benutzt werden. In 1

2 Word und Excel dürfen Personaldaten nur gemäß Anlage 6 (Datenschutzkonzept) gespeichert werden. Der Aufbau einer größeren Personaldatenhaltung parallel zu SAP ist grundsätzlich nicht zulässig. Dasselbe gilt für die Einbringung von Personaldaten in ein anderes Datenbanksystem außerhalb von SAP. Ausnahmen (Datentransfer) regeln Anlagen 2 und 3. (2) Datenkatalog, Datenverbleib In Anlage 1b sind alle verwendeten personenbezogenen Daten (Info- und Subtypen, verwendete Felder) komplett dokumentiert. Bei der Verarbeitung dieser Daten sind die gesetzlichen Vorgaben für die Speicherung und Löschung sowie das Datenschutzkonzept (Anlage 6) zu beachten. (3) Berichtswesen 1 Die Vornahme von Berichten unterliegt der Mitwirkung des Personalrats. Hierzu wird folgendes vereinbart: a) Zulässigkeit Zulässig sind generell die in Anlage 2 als zulässig aufgeführten Berichte. Für dort (noch) nicht enthaltene Berichtstypen gelten: Gesetzlich vorgeschriebene Berichte: Diese gelten zunächst als vom Personalrat genehmigt; den gesetzlich vorgeschriebenen gleichgestellt sind Berichte, die vom MWK angefordert werden. Anonymisierte interne Berichte: Interne Berichte anonymisierter Art gelten ebenfalls als vorab genehmigt. Nicht anonymisierte interne Berichte: Interne Berichte mit Namensangaben sind gleichfalls vorab zulässig, sofern sie nicht den Info-Bereich Abwesenheiten betreffen und nicht in der Anlage 2 aufgeführt sind. Sonstige Berichte: Alle sonstigen Berichte bedürfen der vorherigen Einschaltung des Personalrats. Dieser kann den jeweils gewünschten Berichtstyp ablehnen oder ihn pauschal resp. nur für den vorliegenden Einzelfall genehmigen, wenn der Bericht oder die generelle Freigabe Datenschutzrechte oder das Verbot einer Leistungs- und Verhaltenskontrolle verletzt. Die Dienststelle dokumentiert vorab vorgenommene, neue Berichtstypen unverzüglich wie unter Punkt b unten vorgesehen. Der Personalrat kann seine Zustimmung zu allen vorab vorgenommenen Berichten wieder zurückziehen, wenn er wichtige Gesichtspunkte des Datenschutzes oder des Verbots einer Leistungs- und Verhaltenskontrolle verletzt sieht. Diese Berichtstypen dürfen später nicht mehr vorab vorgenommen werden. Testphase: Während einer Testphase von einem Jahr ab Produktivstart SAP HR kann die Dienststelle sämtliche anstehenden Berichte ohne Vorab-Beteiligung durch den Personalrat ausführen - es sei denn es handelt sich um nicht anonymisierte Abfragen im Info-Bereich Abwesenheiten oder um andere Berichte, die der Personalrat bereits als zustimmungsbedürftig deklariert hat, und nicht in der Anlage 2 aufgeführt sind. 1 Unter dem Begriff Bericht werden in diesem Text sämtliche Auswertungen, Abfragen, Queries, Reports und Statistiken im SAP-Modul HR wie auch in nachgelagert benutzten Systemen verstanden. 2

3 b) Dokumentation Zu unterscheiden sind die Dokumentation der verwendbaren Berichtsarten und die laufend zu erstellende chronologische Berichtsvornahmeliste: Anlage 2 (Berichtswesen): Diese enthält alle gemeldeten Abfragen, Berichte, Statistiken und sonstigen Auswertungen, und zwar sowohl die pauschal genehmigten als auch die, die jeweils nur nach vorheriger Zustimmung des Personalrats einzelfallmäßig erfolgen dürfen. Sie sind bei ihrer erstmaligen Beantragung durch die Dienststelle ausreichend zu dokumentieren: Berichtstyp, Inhalt (= alle enthaltenen Kategorien), Zweck, Auftraggeber, Rechtsgrundlage, Empfänger. Nach der Prüfung durch den Personalrat werden sie in die Anlage 2 aufgenommen, wobei zwischen pauschal genehmigt und zustimmungsbedürftig zu unterscheiden ist. Chronologische Berichtsliste: Die Vornahme sämtlicher Berichte ist solange und insoweit zu dokumentieren, als nicht der Personalrat für bestimmte Berichtstypen darauf ausdrücklich verzichtet hat. Hierzu wird eine Protokollliste erstellt mit den Angaben Vornahme-Datum, Berichtstyp, Empfänger, Weitergabeart (Print, , Datenträger). Dokumentiert oder protokolliert werden grundsätzlich alle genannten Berichte, unabhängig davon, ob die zugrunde liegenden Prozesse in SAP oder in nachgelagerten Programmen durchgeführt wurden. Die Übernahme einzelner Datensätze nach MS Word muss weder dokumentiert noch protokolliert werden. Während der Testphase kann der Personalrat zu Anlage 2 sowie zur chronologischen Berichtsliste Informationen anfordern. Nach Ablauf der Testphase wird zwischen den Vertragsparteien geprüft, ob und in welcher Form die chronologische Berichtsliste weiterhin erforderlich ist. Anlage 2, neu gemeldete Berichtstypen und die chronologische Berichtsliste werden dem Personalrat in einem SAP-Berichtsordner zugänglich gemacht. (4) Datenaustausch, Datenverknüpfung, Datenweitergabe Ein Datenaustausch findet nur mit den in der Anlage 3 genannten DV-Systemen, einschließlich SAP R/3-Modulen und -Stellen, statt, wobei jeweils der Verarbeitungszweck und die übertragenen/verarbeiteten Datenkategorien anzugeben sind. Die in diesem System gespeicherten Daten werden grundsätzlich nicht mit Daten aus anderen DV-Systemen verknüpft. Eine darüber hinausgehende Verknüpfung ist nicht zulässig. Die Datenweitergabe in jeder denkbaren Form (Dateien, Ausdrucke usw.) ist nur in dem hier beschriebenen Umfang und unter den nachfolgend festgelegten Bedingungen zulässig: Personenbezogene Ausdrucke des gesamten Datenumfangs erfolgen nur mit Zustimmung der Beschäftigten. Die abfragende Person und die Datenquelle werden auf dem Ausdruck dokumentiert. Das Erfordernis der Zustimmung gilt nicht für die Ausdrucke zur Unterrichtung der Beschäftigten. Soweit dies für die ordnungsgemäße Aufgabenerledigung zwingend erforderlich ist, sind Ausdrucke der vereinbarten Auswertungen erlaubt (z.b. Personalbogen, Bewerbersynopsen). Datenübermittlungen außerhalb der vereinbaren Schnittstellen sind unzulässig. 3

4 4 Recht der Beschäftigten (1) Das Recht der Beschäftigten auf informationelle Selbstbestimmung wird strikt gewahrt. Mit der Einführung von SAP R/3 HR erhält jede(r) Beschäftigte(r) eine Auflistung aller zu seiner Person gespeicherten Personaldaten gemäß Personalblatt gemäß den Vorgaben des 16 NDSG. Bei Neueinstellungen erfolgt dies mit Aushändigung des Arbeitsvertrages (sofern technisch nicht möglich, kann vorab eine mündliche Belehrung erfolgen über Art und Umfang der gespeicherten Daten; diese Belehrung ist aktenkundig zu machen). Jeder Beschäftigte hat darüber hinaus die Möglichkeit, sich jederzeit über die zu seiner Person gespeicherten Daten zu informieren. (2) Die Beschäftigten können Berichtigungen der gespeicherten Daten verlangen, wenn sich ihre Unrichtigkeit erweist. Die Berichtigungen sind unverzüglich vorzunehmen. Über die Datenberichtigungen sind die betroffenen Beschäftigten zu informieren. (3) Die Daten werden gelöscht, wenn ihre Speicherung nicht mehr erforderlich ist und Rechtsvorschriften nicht entgegenstehen. Gesetzliche Löschfristen werden eingehalten. Schutzrechte nach dem NDSG und anderen Rechtsvorschriften bleiben unberührt. 5 Leistungs- und Verhaltenskontrolle (1) Eine Leistungs- und Verhaltenskontrolle für einzelne Beschäftigte oder für Gruppen von Beschäftigten findet grundsätzlich nicht statt. - Insofern darf auch der Inhalt der Dateien, die aus Gründen der Datensicherheit erstellt werden, nicht als Hilfsmittel zur individuellen Leistungs- und Verhaltenskontrolle verwandt werden (vgl. 101 Abs. 6 NBG und 10 Abs. 4 NDSG). (2) Nicht unter dieses Verbot fallen: a) Abfragen, denen der Personalrat im Einzelfall ausdrücklich und im voraus zugestimmt hat sowie b) Abfragen im Info-Bereich Abwesenheiten, die zur routinemäßigen Arbeit der Dienststelle gehören und in Anlage 2 dokumentiert sind. c) Abfragen, die der Personalrat nach Maßgabe des 60 NPersVG angefordert hat. 6 Zugriffsberechtigung und Berechtigungskonzept (1) Der Zugriff auf die personenbezogenen bzw. personenbeziehbaren Daten wird auf die Mitarbeiter/innen und Personalverantwortlichen begrenzt, die sie im Rahmen ihrer Aufgabenstellung benötigen. Die entsprechenden Rollen, Profile und Berechtigungen ergeben sich aus dem Berechtigungskonzept der Anlage 4. Für diesen Kreis von Personen wird eine Dienstanweisung erstellt, die den Bestimmungen des Datenschutzes wie auch denen der vorliegenden Dienstvereinbarung entspricht. Diese Mitarbeiter/innen werden bedarfsweise, in der Regel aber jährlich, fachlich fortgebildet. (2) Durch die strikte Trennung von Systemprogrammpflege, -betreuung und Anwendungsbetreuung wird sichergestellt, dass die vorhandenen Programme, Auswertungsmöglichkeiten und Zugriffsberechtigungen vom Anwender nicht verändert werden können und dass keine neuen Programme, Auswertungsmöglichkeiten und Zugriffsberechtigungen vom Anwender installiert werden können. 4

5 (3) Mitarbeiter/innen, die zur Systembetreuung und Programmpflege Berechtigungen benötigen, werden eigens auf die Verantwortlichkeit zum datenschutzrechtlich einwandfreien Umgang mit den personenbezogenen Daten verpflichtet. Für diesen Kreis von Personen wird eine Dienstanweisung erstellt. 7 Rechte des Personalrats (1) Der Personalrat hat das Recht, jederzeit die Einhaltung dieser Dienstvereinbarung nachzuprüfen. Dies beinhaltet insbesondere die Erteilung von Auskünften sowie die Demonstration von Infotypen, Transaktionen und Reports, die an dem Arbeitsplatz im Zugriff sind, sowie die Anzeige bzw. der Ausdruck aller Funktionen, die Auskunft über den Systemzustand geben. Der Personalrat kann auch die Protokolldateien unter Hinzuziehen von externen Sachverständigen nach Maßgabe des 30 Abs. 4 Satz 2 NPersVG im Einvernehmen mit der Dienststelle prüfen (2) Der Personalrat hat nach Maßgabe des 60 NPersVG das Recht auf vereinbarte eigene Auswertungen zur Unterstützung seiner Arbeit. (3) Er hat darüber hinaus das Recht, an Fortbildungen, Schulungen und Einweisungen teilzunehmen, soweit diese Kenntnisse vermitteln, die für die Beurteilung des Systems notwendig sind. 8 Jährliche Rechenschaft (1) Die Dienststelle sorgt für eine regelmäßige, mindestens jährliche Überprüfung des DV- Systems gem. 9. Sie reicht den schriftlichen Prüfbericht des Datenschutzbeauftragten an den Personalrat weiter. Dieser Bericht sollte mindestens folgende Themen behandeln oder beinhalten a) den technischen Status der mit der Arbeit befassten PCs hinsichtlich notwendiger, aktualisierter Sicherheitsvorkehrungen b) die erfolgten DS-Schulung der mit SAP betrauten Mitarbeiter, c) die aktuelle Liste der berechtigten Mitarbeiter und benutzten PCs. (2) Die Dienststelle gibt dem Personalrat außerdem einen Überblick über die im betreffenden Zeitraum erstellten Berichte. Hierzu kann die Protokollliste gemäß 3, Abs. 3, Punkt b verwendet werden. 9 Datenschutz und Datensicherheit (1) Der Datenschutzbeauftragte der Stiftung Universität Hildesheim überwacht die Einhaltung der Vorschriften des Niedersächsischen Datenschutzgesetzes und anderer Rechtsvorschriften über den Datenschutz. (2) Personenbezogene bzw. personenbeziehbare Daten dürfen nur in dem Umfang erhoben und verarbeitet werden, als es für den Zweck der Arbeits- bzw. Dienstverhältnisse unbedingt erforderlich ist. (3) Die Stiftung Universität Hildesheim gewährleistet die personenbezogenen bzw. personenbeziehbaren Daten der Beschäftigten gegen Missbrauch zu sichern. Dazu gehört mindestens die Erfüllung der in 7 NDSG bzw. 101 ff. NBG genannten Anforderungen sowie die Realisierung aller von SAP R/3 und der Netzwerktechnik zur Verfügung gestellten Datenschutz- und Datensicherungsmaßnahmen. 5

6 (4) Missbräuchlich ist die Verarbeitung von personenbezogenen Daten der Beschäftigten dann, wenn sie gegen ihre Zweckbindung, Rechtsvorschriften oder gegen diese Dienstvereinbarung verstößt. Informationen, die unter Verletzung der hier getroffenen Vereinbarung gewonnen wurden, dürfen arbeits- und dienstrechtlich nicht genutzt werden. 10 Schlussbestimmungen (1) Diese Dienstvereinbarung tritt am Tage der Unterzeichnung in Kraft. Sie ist mit einer Frist von drei Monaten kündbar. Nach Eingang der Kündigung verpflichten sich die Stiftungsuniversität Hildesheim und der Personalrat unverzüglich Verhandlungen über eine neue Dienstvereinbarung aufzunehmen. (2) Diese Dienstvereinbarung soll nachwirken. Der Personalrat kann einzelne sensible Auswertungen sowie einzelne Formen der Datenspeicherung (außerhalb von SAP) von der Nachwirkung ausnehmen. (3) Die Anlagen sind Bestandteil dieser Dienstvereinbarung. (4) Sollten sich einzelne Regelungen dieser Dienstvereinbarung als nichtig erweisen, bleiben die übrigen Bestimmungen der Dienstvereinbarung davon unberührt. (5) Die einvernehmliche Änderung dieser Dienstvereinbarung ist jederzeit möglich. (6) Im Übrigen gilt die Rahmendienstvereinbarung SAP R/3. Hildesheim, den Hildesheim, den Präsident Vorsitzende - Stiftung Universität Hildesheim - des Personalrates 6