Leitfaden Datenschutz SAP ERP 6.0

Größe: px
Ab Seite anzeigen:

Download "Leitfaden Datenschutz SAP ERP 6.0"

Transkript

1 Deutschsprachige SAP Anwendergruppe Leitfaden Datenschutz SAP ERP 6.0 DSAG ARBEITSGRUPPE DATENSCHUTZ STAND 30. MAI 2008

2 DSAG Arbeitskreis Revision / Risikomanagement ERARBEITET IN DER ARBEITSGRUPPE DATENSCHUTZ LEITFADEN DATENSCHUTZ SAP ERP 6.0 STAND 30. MAI 2008 DSAG e. V. Deutschsprachige SAP-Anwendergruppe Seite 2

3 IN MEMORIAM THOMAS BARTHEL ( ) Seite 3

4 Einleitung Der vorliegende Leitfaden Datenschutz SAP ERP Release 6.0 soll Datenschutzbeauftragten der SAP- Anwender Anhaltspunkte für die Vorgehensweise bei der Umsetzung der Anforderungen der Datenschutzvorschriften bei Einsatz der SAP-Software geben. Der Leitfaden ist als Empfehlung gedacht, nicht aber als verbindliche Richtlinie oder Norm. Jegliche Verantwortung für Art, Umfang und Ergebnis der Umsetzung der Datenschutzvorschriften verbleibt somit bei der Leitung der verantwortlichen Stelle (Unternehmen / Behörde). Für das Studium dieses Leitfadens werden Grundkenntnisse der SAP-Systeme sowie Kenntnisse der handels- und steuerrechtlichen Grundlagen und des Bundesdatenschutzgesetzes (BDSG) vorausgesetzt. Der Leitfaden Datenschutz behandelt Fragestellungen, die bereits in den SAP-Sicherheitsleitfäden oder in anderen Prüfleitfäden des DSAG AK-Revision enthalten sind, insbesondere aus datenschutzrechtlicher Sicht. In dieser Version wird z. T. auch auf modulspezifische Besonderheiten, z. B. HCM, eingegangen. Mit SAP ERP wird die klassische ABAP-Welt (ABAP Stack) um die JAVA-Welt (JAVA Stack) ergänzt. Dieser Leitfaden umfasst den ABAP-Stack, die Version für den JAVA-Stack ist in Planung. SAP ERP ist als international eingesetzte Standardsoftware konzipiert. Der Leitfaden berücksichtigt die EU-Richtlinie 95 / 46 / EG und die deutsche Datenschutzgesetzgebung. Die Autoren sind Mitglieder der Arbeitsgruppe DATENSCHUTZ im DSAG Arbeitskreis Revision und stellen hiermit ihre Erfahrungen zur Verfügung. COPYRIGHT 2008 DSAG E.V. DIE AUTOREN: Herr T. Barthel Herr I. Carlberg Herr V. Lehnert Herr H. Miller Herr T. Müthlein Frau A. Otto Herr S. Pieper Herr K. Redling Herr A. Reschke Herr P. Schiefer Herr H.-J. Schwab Herr G. Siebert Herr G. Voogd FORBIT GmbH / CArO GmbH, Hamburg BIT e.v., Bochum SAP Deutschland AG & Co.KG, Walldorf Geberit Deutschland GmbH, Pfullendorf DMC Datenschutz Management & Consulting GmbH & Co.KG Frechen / GDD e.v. Bonn SAP Deutschland AG & Co.KG, Walldorf Deloitte & Touche GmbH, Frankfurt SAP Deutschland AG & Co.KG, Walldorf Rechtsanwaltskanzlei Reschke, Wiesbaden Bayer AG, Leverkusen SAP AG, Walldorf Forba Partnerschaft, Berlin FORBIT GmbH / CArO GmbH, Hamburg Seite 4

5 AN DER 1. / 2. AUFLAGE WIRKTEN AUSSERDEM MIT: Herr V. Ahrend Bosch Telecom GmbH, Frankfurt Herr R. Anhorn Robert Bosch GmbH, Stuttgart Frau C. Bonni Lausitzer Braunkohle AG, Senftenberg Herr W. Kilian RWE Energie Aktiengesellschaft, Essen Herr A. Lenz Rheinbraun AG, Köln Herr S. Dierschke BASF AG-Zok, Ludwigshafen Herr W. Geesmann KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf Herr R. Glagow PWC Deutsche Revision AG, Düsseldorf Herr F. Glaß PWC Deutsche Revision AG, Düsseldorf Herr T. Glauch KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf Herr J. Heck Brau und Brunnen AG, Dortmund Herr G. Hohnhorst KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf Herr W. Hornberger SAP AG, Walldorf Herr A. Kirk Ruhrgas AG, Essen Herr K. Lorenz Deutsche Bausparkasse Badenia AG, Karlsruhe Herr Dr. Pötschat BASF AG, Ludwigshafen Herr E. Schmidt Philip Morris GmbH, München Herr A. von der Stein RWE Systems AG, Dortmund Herr U. Ueberschar Mannesmann Arcor AG & Co., Eschborn / Köln Frau G. Zibulski SAP AG, Walldorf Die Verantwortung für den Inhalt tragen die Autoren. Die redaktionelle Bearbeitung und das Layout liegen bei der SAP AG und der DSAG. HINWEIS: Die vorliegende Publikation ist urheberrechtlich geschützt (Copyright). Alle Rechte liegen, soweit nicht ausdrücklich anders gekennzeichnet, bei: DEUTSCHSPRACHIGE SAP ANWENDERGRUPPE E.V. Altrottstraße 34 a Walldorf Deutschland Jedwede unerlaubte Verwendung ist nicht gestattet. Dies gilt insbesondere für die Vervielfältigung, Verbreitung, Übersetzung oder die Verwendung in elektronischen Systemen / digitalen Medien. Die Autoren des LEITFADEN DATENSCHUTZ sind für Kritik, Änderungs- und Ergänzungswünsche dankbar. Dies gilt sowohl für Vorschläge zur Vertiefung der einzelnen Kapitel als auch für die Nennung von Beispielen aus konkreten Prüfungserfahrungen. Um dem Leser das Antworten zu erleichtern, ist auf der folgenden Seite ein Formular eingefügt. 1 Z. B. HGB, AO, GDPdU, GoB / GoBS Seite 5 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

6 An die Autoren der Arbeitsgruppe Datenschutz DSAG-Geschäftsstelle Altrottstr. 34a Walldorf Fax: +49 (0) ABSENDER Name Funktion Abteilung Firma Anschrift Telefon Telefax ERGÄNZENDE INFORMATION(EN) ZUM LEITFADEN DATENSCHUTZ SAP ERP Ich möchte der Arbeitsgruppe zu folgendem Themenkreis Informationen geben (bitte ankreuzen): ( ) Kritische Tabellen / Customizing-Einstellungen ( ) Kritische Objekte ( ) Kritische SAP-Fakten ( ) Beispiele für konkrete Umsetzungsmaßnahmen und Prüfungshandlungen ICH BEZIEHE MICH AUF Leitfaden Datenschutz SAP ERP, Kapitel:... SAP ERP, Release:... MEINE INFORMATION LAUTET: ZUR WEITEREN ERLÄUTERUNG SIND ANLAGEN BEIGEFÜGT (BITTE ANKREUZEN): ( ) Ja ( ) Nein Seite 6

7 Gliederung 1 EINFÜHRUNGSPROZESS Anforderungen des BDSG an SAP ERP Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten Übermittlung von personenbezogenen Daten Abrufverfahren Besondere Zweckbindung Auftragsverarbeitung Unterrichtung des Betroffenen Rechte des Betroffenen Auskunft an jedermann Meldepflicht Verpflichtung der Mitarbeiter auf das Datengeheimnis Schulung Maßnahmen zur Datensicherheit Übersichten gem. 4e, 4g und 18 Abs. 2 (BDSG-Übersichten) Vorabkontrolle SAP Solution Manager als unterstützendes Tool im Einführungsprozess Mitwirken des Datenschutzbeauftragten bei der Einführung von SAP ERP Datenschutzbeauftragter Mitglied des SAP-Projektteams Information des Datenschutzbeauftragten zu den Meilensteinen Informationsmöglichkeiten für den Datenschutzbeauftragten SAP-Fakten Customizing und ASAP-Vorgehensmodell Berechtigungskonzept Change Transport System / Change Transport Organizer (CTS / CTO) Schnittstellenverarbeitung Datenübernahme PC-Verarbeitung Kommunikationsschnittstellen SAP-Automation Job-Auftragsverfahren und -Dokumentation 1.4 Risiken Nichteinschaltung des Datenschutzbeauftragten bzw. der Arbeitnehmervertreter Nichtbeachtung der SAP-Empfehlungen Nichtberücksichtigung bzw. verspätete Erstellung des Berechtigungskonzeptes Nicht ordnungsgemäße Anwendung eines Datenverarbeitungsprogramms Prüfungshandlungen im Rahmen der Einführung / Checkliste 24 2 AUFGABEN DES DATENSCHUTZBEAUFTRAGTEN Überwachung der ordnungsgemäßen Programmanwendung ( 4g Abs. 1 BDSG) Einbeziehung des DSB vor und während der Programmentwicklung und -anpassung Prüfung der Datenerhebung und Datennutzung auf Rechtmäßigkeit Auswertung der Protokollierung Prüfung der Verfahrensdokumentation Mitwirkung bei der Festlegung und Überprüfung des Berechtigungskonzeptes 31 Seite 7 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

8 Gliederung Mitwirkung bei der Festlegung des Betriebskonzeptes und der Betreiberorganisation Abfassung einer Datenschutzerklärung Überwachung des Korrektur- und Transportwesens unter SAP ERP Kontrollen im laufenden Betrieb Schulung der Anwender mit Verpflichtung auf das Datengeheimnis ( 4g und 5 BDSG) Personenkreis, der geschult und verpflichtet werden muss Inhalt der Anwenderschulungen Abbildung der Anwenderschulung im SAP Anwenderschulung über Infotypen Belehrungen oder Qualifizierungen Anwenderschulung über das Veranstaltungsmanagement Führen von Übersichten ( 4g Abs. 2 / 18 Abs. 2 BDSG) Informationen zur verantwortlichen Stelle Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien Empfänger oder Kategorien von Empfängern Regelfristen für Löschung Geplante Übermittlung in Drittstaaten Maßnahmen zur Gewährleistung der Sicherheit Zugriffsberechtigte Personen Beispiel Melderegister Systemunterstützung Auswertungen zur Tabellen- und Feldanalyse Techniken zum Auffinden personenbezogener Daten Prüfung der Zugriffsberechtigungen 60 3 RECHTE DER BETROFFENEN UND VON JEDERMANN Benachrichtigung und Auskunft Rechtliche Anforderungen SAP-Fakten Anforderungen an die Organisation des Datenschutzes Berichtigung, Löschung und Sperrung Rechtliche Anforderungen SAP-Fakten Anforderungen an die Organisation des Datenschutzes 67 4 UMSETZUNG DER ANFORDERUNGEN AUS 9 BDSG UND ANLAGE: TECHNISCH-ORGANISATORISCHE MASSNAHMEN Anforderungen Gesetzliche Anforderungen aus 9 BDSG SAP-Funktionalität zur Abdeckung der gesetzlichen Anforderungen SAP-Fakten, Risiken und Maßnahmen ABAP-Fakten, Risiken und Maßnahmen Identifizierung und Authentifizierung SAP-Fakten Risiken und zu ergreifende Maßnahmen 75 Seite 8

9 Standardbenutzer SAP* SAPCPIC DDIC EarlyWatch Batch User Risiken und zu ergreifende Maßnahmen Benutzerberechtigungskonzept: ausgewählte Berechtigungsobjekte Berechtigungsobjekte im HCM Berechtigungsobjekt P_ABAP Berechtigungsobjekt P_TCODE Berechtigungsobjekt S_TCODE Tabelle TSTCA Umwandlung von Reports in Transaktionen Berechtigungsobjekt S_TABU_DIS, S_TABU_CLI und S_TABU_LIN Berechtigungsobjekt S_TOOLS_EX Berechtigungsobjekt S_SCD Objekte zur Benutzer- und Berechtigungspflege (S_USER_xxx) Berechtigungsobjekt S_GUI und XXL-Listviewer Risiken und zu ergreifende Maßnahmen Benutzerberechtigungskonzept: ausgewählte Profile Profil SAP_ALL Profil SAP_NEW Profil P_BAS_ALL Sonstige S_xxx-Profile Rollen mit kritischen Berechtigungen Risiken und zu ergreifende Maßnahmen Besonderheiten bei der Berechtigungsprüfung Ausschaltung / Modifikation von Berechtigungsprüfungen Authority-Check bei ABAP-Programmen 86 (Standardprogramm oder Eigenentwicklungen) Berechtigungshauptschalter HR (Tabelle T77S0; GRPID AUTSW ) Report Berechtigungsgruppen Risiken und zu ergreifende Maßnahmen Benutzeradministration Konzeption der zentralen Benutzeradministration Konzeption der dezentralen Benutzeradministration Benutzeradministration mit dem Profilgenerator Veraltete Benutzeradministration mit Profilen Risiken und zu ergreifende Maßnahmen Änderungen am Produktivsystem Change and Transport System Tabellenprotokollierung / Customizing Systemänderbarkeit Protokolle 92 Seite 9 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

10 Gliederung Schutz der Tabelle T Risiken und zu ergreifende Maßnahmen Systemschnittstellen Batch-Input RFC, ALE, BAPI PC-Download ABAP-Listviewer Risiken und zu ergreifende Maßnahmen Auditing und Logging Security Audit Log System Log Transaktionsprotokollierung STAD (CCMS) Workflow-Protokollierung Report-Protokollierung im HCM Ad-Hoc-Query-Protokollierung zur Kontrolle der Zweckbindung Risiken und zu ergreifende Maßnahmen Komplexe Suchhilfe Zusammenfassung zentraler Risiken Zusammenfassung der Prüfungshandlungen AUFTRAGSDATENVERARBEITUNG UND KONZERNINTERNER DATENAUSTAUSCH Abgrenzungen beim Thema Outsourcing und Datenschutz Vertragsgestaltung zwischen Auftragnehmer und Auftraggeber Pflichten des Auftraggebers und Auftragnehmers Umfang der Datenverarbeitung / Weisungen Technische und organisatorische Maßnahmen Wahrung der Rechte der Betroffenen Datengeheimnis Kontrollen durch den Auftraggeber Datenschutzbeauftragter des Auftragnehmers Unterauftragnehmer Verarbeitung im Ausland Wartung und Pflege SAP-Fakten Ausgangssituation SAP-Administration SAP-spezifische Maßnahmen Systemadministration Change and Transport Organizer (CTO / CTS) Fernwartung und Services RFC und ALE Job-Abwicklung PC-Download Datenbank- und LAN-Umgebung 113 Seite 10

11 Mandantenübergreifende Funktionen SAP-Protokolle Risiken BESONDERE THEMEN Auditwerkzeuge: Audit Information System und Benutzerinformationssystem Audit Information System (AIS) Benutzerinformationssystem (SUIM) SOS-Report (Security Optimization Service) SAP GRC (Governance, Risk and Compliance) SAP GRC Access Control Risk Analysis and Remediation (vormals Compliance Calibrator) Enterprise Role Management (bisher bekannt als Virsa Role Expert) Superuser Privilege Management (bisher bekannt als Virsa FireFighter for SAP) Compliant User Provisioning (bisher bekannt als Virsa Access Enforcer) SAP GRC Process Control GLOSSAR 124 Seite 11 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

12 1 Einführungsprozess Die Voraussetzung für die Anwendung des Bundesdatenschutzgesetzes (BDSG) ist beim Einsatz von SAP ERP 2 erfüllt, da in allen Modulen personenbezogene Daten automatisiert verarbeitet werden (vgl. 1 BDSG in Verbindung mit 12 oder 27 BDSG). Deshalb sind das Bundesdatenschutzgesetz und andere Rechtsvorschriften zum Datenschutz, z. B. in einer Landesverwaltung das jeweilige Landesdatenschutzgesetz, zu beachten. Dieser Leitfaden gilt für den öffentlichen und den nicht öffentlichen Bereich. Auf die Besonderheiten der Landesdatenschutzgesetze wird in diesem Leitfaden nicht eingegangen. Da SAP ERP als international eingesetzte Standardsoftware unter betriebswirtschaftlichen Aspekten konzipiert ist, kann ein Anwender nicht ohne Weiteres davon ausgehen, dass für alle angebotenen Datenfelder die Rechtsgrundlagen im Sinne der deutschen Datenschutzvorschriften gegeben sind. Es ergibt sich damit die Notwendigkeit zu überprüfen, ob SAP ERP in der beim Anwender vorgesehenen Ausprägung den Anforderungen des Bundesdatenschutzgesetzes und ggf. anderer Vorschriften über den Datenschutz genügt. Der Datenschutzbeauftragte (DSB) sowie Betriebsrat / Personalrat sind daher in die Projektarbeit einzubeziehen, wobei die Projektverantwortung für die ordnungsgemäße Einführung von SAP ERP der Projektleitung obliegt. Auch wenn das BDSG den Anforderungen des harmonisierten Datenschutzrechts in der EU entspricht, sind die lokalen Besonderheiten der einzelnen EU-Mitgliedsstaaten zu beachten. 1.1 ANFORDERUNGEN DES BDSG AN SAP ERP Das BDSG spricht ein grundsätzliches Verbot der Erhebung, Verarbeitung und Nutzung personenbezogener Daten aus und erlaubt die Datenverarbeitung nur, wenn die im BDSG definierten Voraussetzungen erfüllt sind. Dieser Grundsatz führt dazu, dass mit der Einführung des SAP ERP überprüft werden muss, ob die Anforderungen des BDSG und anderer Rechtsvorschriften angemessen berücksichtigt wurden. Entsprechendes gilt auch für Änderungen im laufenden Betrieb ERHEBUNG, VERARBEITUNG ODER NUTZUNG VON PERSONENBEZOGENEN DATEN Grundsätzlich ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten gemäß 4 BDSG verboten, es sei denn, > das BDSG erlaubt bzw. verlangt die Verarbeitung oder > eine andere vorrangige Rechtsvorschrift erlaubt bzw. verlangt die Verarbeitung oder > es liegt eine schriftliche Einwilligung des Betroffenen vor. Die Zulässigkeitskriterien für die Erhebung, Verarbeitung oder Nutzung ergeben sich aus 4 BDSG in Verbindung mit 11 BDSG und > 13 und 14 BDSG für die öffentlichen Stellen > 28 bis 30 BDSG für nicht öffentliche Stellen. Die Beweislast für die Zulässigkeit trägt die verantwortliche Stelle. Der Grundsatz der Datenvermeidung und Datensparsamkeit gem. 3a BDSG mit dem Ziel, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen, ist zu beachten. > Die RECHTSGRUNDLAGEN für die Erhebung, Verarbeitung und Nutzung sind im BDSG differenziert gestaltet und müssen geprüft bzw. geschaffen werden (z. B. Einwilligung, Vertrag, Betriebsvereinbarung). > Die organisatorischen und technischen Maßnahmen zur Nutzung von SAP ERP sind so zu gestalten, dass NUR DIE ERFORDERLICHEN personenbezogenen Daten gespeichert werden. Dabei ist zu 2 Im Folgenden umfasst der Begriff SAP ERP im Sinne dieses Leitfadens auch die ABAP-Komponenten von SAP NetWeaver Seite 12

13 beachten, dass im Auslieferungszustand der Software technische Maßnahmen nur im geringen Umfang ausgeprägt sind. > Abhängig vom Zweck der Verarbeitung ist mit den Möglichkeiten des Berechtigungskonzeptes und anderer Sicherungsmaßnahmen sicherzustellen, dass die Daten nur IM RAHMEN DER ZULÄSSIGEN ZWECKE verarbeitet werden können. Für unterschiedliche Zwecke erhobene Daten müssen durch technisch-organisatorische Maßnahmen getrennt verarbeitet werden können. > Es dürfen nur die Daten vorgehalten werden, die zur Erfüllung der Aufgabenstellung erforderlich sind (VERBOT DER VORRATSDATENSPEICHERUNG). > Abhängig vom Zweck der Datenspeicherung (z. B. Abwicklung eines Vertrages) sind die benötigten DATENFELDER festzulegen und im Customizing einzustellen. > Zusätzlich ist die DAUER DER DATENSPEICHERUNG auf die erforderliche Zeit zu begrenzen, entsprechend festzulegen und für die Löschung der Daten zu sorgen (z. B. von Bewerberdaten oder Festlegung der Speicherungsdauer nach dem Vertragsende und anschließende Löschung) ÜBERMITTLUNG VON PERSONENBEZOGENEN DATEN Grundsätzlich ist die Übermittlung von personenbezogenen Daten verboten. Die Zulässigkeitskriterien für Übermittlungen ergeben sich aus 4b BDSG in Verbindung mit den 15, 16, 28, 29, 30 BDSG. Es ist sicherzustellen, dass die Zweckbindung der übermittelten Daten auch vom Empfänger eingehalten wird. Hierzu ist der Empfänger auf die Zweckbindung hinzuweisen. Daraus ergibt sich die Notwendigkeit, alle REGELMÄSSIGEN oder ANLASSBEZOGENEN Übermittlungen auf ihre Rechtmäßigkeit zu prüfen! ABRUFVERFAHREN Ein Abrufverfahren darf nur eingerichtet werden, wenn die Voraussetzungen des 10 BDSG erfüllt sind. > Sollen personenbezogene Daten von Dritten abgerufen werden können, sind zusätzliche Maßnahmen zur Sicherstellung der Rechtmäßigkeit des Abrufes und der Datensicherheit bei den beteiligten Stellen erforderlich. > Insbesondere muss die verantwortliche Stelle gewährleisten, dass mittels geeigneter Stichproben die Rechtmäßigkeit der Übermittlung personenbezogener Daten festgestellt werden kann BESONDERE ZWECKBINDUNG Werden zu Zwecken des Datenschutzes, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes personenbezogene Daten gespeichert (z. B. Logfile oder Accounting-Informationen), sieht das BDSG in 31 eine besondere Zweckbindung für diese Kontrollinformationen vor. > Es ist zu klären, welche Aufzeichnungen im SAP ERP hierzu gehören und welche Funktionen / Stellen diese Informationen benötigen und die Kontrollfunktionen ausüben AUFTRAGSVERARBEITUNG Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz gemäß 11 BDSG verantwortlich. 3 Der Regierungsentwurf vom September 2007 sieht in 29 eine Verschärfung der Regelung zur Stichprobenkontrolle vor Seite 13 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

14 1 Einführungsprozess > Der Auftragnehmer ist sorgfältig auszuwählen. > Dem Auftragnehmer sind vertragliche Auflagen zur Verwendung der Daten und zur Datensicherheit zu machen. > Der Auftraggeber muss sich von der Einhaltung der getroffenen Maßnahmen beim Auftragnehmer überzeugen. Die vorgenannten Ausführungen gelten auch für die Prüfung und Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen (Wartung und Prüfung ist Auftragsverarbeitung!), wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann UNTERRICHTUNG DES BETROFFENEN Der Betroffene ist über den Umgang mit seinen personenbezogenen Daten zu unterrichten. Hierauf kann nur dann verzichtet werden, wenn ihm die gesetzlich genannten Umstände bereits bekannt sind. Grundsätzlich soll die Information bei der Datenerhebung beim Betroffenen erfolgen, z. B. im Rahmen des Vertragsabschlusses. Erfolgt die Datenerhebung nicht beim Betroffenen, sondern bei einem Dritten, z. B. durch Ankauf von Adressen oder Übermittlung durch ein Konzernunternehmen, ist er unter den Voraussetzungen des 33 BDSG zu benachrichtigen, wenn > erstmalig personenbezogene Daten über ihn gespeichert bzw. übermittelt werden oder > von ihm bei öffentlichen Stellen Daten ohne seine Kenntnis gemäß 19a BDSG erhoben werden oder > bei nicht öffentlichen Stellen gemäß 33 BDSG erstmalig Daten über ihn gespeichert bzw. übermittelt werden. Falls demnach eine Benachrichtigung erforderlich wird, muss das Verfahren entsprechend festgelegt werden RECHTE DES BETROFFENEN Es dürfen nur zulässige und richtige personenbezogene Daten gespeichert werden. Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf der Basis einer automatisierten Verarbeitung getroffen werden 4. Die Datenspeicherung soll für den Betroffenen transparent sein. Deshalb hat der Betroffene ein Recht auf AUSKUNFT sowie auf BERICHTIGUNG, LÖSCHUNG, SPERRUNG und WIDERSPRUCH. Die Anforderungen des 6 BDSG in Verbindung mit 19, 20, 34, 35 BDSG sind zu beachten. > Die verantwortliche Stelle muss in der Lage sein, zur Auskunftserteilung alle personenbezogenen Daten des Betroffenen zuverlässig zu ermitteln! Diese Anforderung korrespondiert mit der Anforderung zur Führung einer Übersicht gemäß 4g Abs. 2 BDSG (Verfahrensverzeichnis). > Eine automatisierte Einzelfallentscheidung ist gem. 6a BDSG nur in bestimmten Ausnahmefällen zulässig. Werden diese Ausnahmefälle in Anspruch genommen, sind sie entsprechend zu dokumentieren 5. Die Voraussetzungen, unter denen Sperrungen erforderlich werden, sind zu definieren. Die Verwendung gesperrter Daten ist zu regeln AUSKUNFT AN JEDERMANN Gemäß 4g Abs. 2 Satz 2 BDSG hat der Datenschutzbeauftragte jedermann auf Antrag Einsicht in das Seite 14 4 Der Regierungsentwurf vom September 2007 sieht in 6a eine Ausweitung der Regelung vor 5 Der Regierungsentwurf vom September 2007 sieht zusätzliche Anforderungen in 28 für alle Scoring-Verfahren vor

15 Verfahrensverzeichnis zu gewähren. Ist kein Datenschutzbeauftragter bestellt, dann hat die Geschäftsleitung dies sicherzustellen MELDEPFLICHT Unter den Voraussetzungen des 4d BDSG sind automatisierte Verarbeitungen vor ihrer Inbetriebnahme der zuständigen Aufsichtsbehörde zu melden. > Die Meldepflicht entfällt gemäß 4d Abs. 2 BDSG, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat. Stattdessen sind diese Informationen dem Datenschutzbeauftragten zur Führung des Verfahrensverzeichnisses zur Verfügung zu stellen. > Sie entfällt auch gemäß 4d Abs. 3 BDSG, wenn personenbezogene Daten für eigene Zwecke erhoben, verarbeitet oder genutzt werden, hierbei höchstens NEUN Personen mit der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten beschäftigt UND entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient VERPFLICHTUNG DER MITARBEITER AUF DAS DATENGEHEIMNIS Das BDSG fordert, dass alle Personen, die mit personenbezogenen Daten umgehen, auf das Datengeheimnis gemäß 5 BDSG zu verpflichten sind. > Die Verpflichtung auf das Datengeheimnis ist pro Mitarbeiter zu dokumentieren. > Es ist sicherzustellen, dass beauftragte Firmen, die bei der Einführung von SAP ERP hinzugezogen werden, ihre Mitarbeiter auf das Datengeheimnis verpflichtet haben SCHULUNG Der Datenschutzbeauftragte hat die Mitarbeiter gemäß 4g Abs. 1 Nr. 2 BDSG mit dem BDSG sowie anderen Vorschriften über den Datenschutz und über innerbetriebliche Regelungen, die sich aus dem Gesetz ergeben, vertraut zu machen. > Der Datenschutzbeauftragte hat die Projektmitglieder und Anwender, die an der Einführung von SAP ERP beteiligt sind, mit den Anforderungen des BDSG vertraut zu machen. > Die durchgeführten Schulungen sind zu dokumentieren MASSNAHMEN ZUR DATENSICHERHEIT Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn angemessene technische und organisatorische Maßnahmen zur Datensicherheit getroffen wurden. Die Anforderungen der einzelnen Zielsetzungen ergeben sich aus 9 BDSG und Anlage. > Es sind angemessene Maßnahmen zur Datensicherheit zu treffen und mit dem Datenschutzbeauftragten abzustimmen. > Gegebenenfalls kann zur Verbesserung des Datenschutzes und der Datensicherheit das INSTALLIERTE System einem IT-Sicherheitsaudit unterworfen werden ÜBERSICHTEN GEM. 4E, 4G UND 18 ABS. 2 (BDSG-ÜBERSICHTEN) Die ÖFFENTLICHEN STELLEN entsprechend zweitem Abschnitt BDSG führen gemäß 18 BDSG Abs. 2 ein Verzeichnis der eingesetzten DATENVERARBEITUNGSANLAGEN und haben die Angaben gemäß 4e 6 Der Regierungsentwurf vom September 2007 sieht ein Audit-Gesetz vor, das durch VO konkretisiert werden muss. Hierin ist z. Zt. explizit der Bezug zur IT-Sicherheit ausgeschlossen Seite 15 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

16 1 Einführungsprozess BDSG sowie die Rechtsgrundlagen der Verarbeitung schriftlich festzulegen. Die verantwortlichen NICHT ÖFFENTLICHEN STELLEN entsprechend drittem Abschnitt BDSG haben dem Datenschutzbeauftragten gemäß 4g Abs. 2 BDSG eine Übersicht über die in 4e BDSG genannten Angaben sowie die zugriffsberechtigten Personen zur Verfügung zu stellen. > Die Wege und Möglichkeiten, mit denen die erforderlichen Übersichten erstellt werden können, sind festzulegen VORABKONTROLLE Unabhängig von der Verpflichtung der verantwortlichen Stelle, den Datenschutzbeauftragten bei der Verfahrenseinführung / -änderung zu beteiligen, sind Verfahren automatisierter Verarbeitung mit besonderen Risiken für die Rechte und Freiheiten der Betroffenen, insbesondere die Verarbeitung besonderer Daten und / oder Daten zur Leistungs- und Verhaltenskontrolle, gemäß 4d Abs. 5 BDSG unter den dort genannten Voraussetzungen vor Beginn der Verarbeitung einer datenschutzrechtlichen Prüfung zu unterwerfen. Zuständig für die Vorabkontrolle ist der Datenschutzbeauftragte. Eine schriftliche Dokumentation zur Vorabkontrolle ist zu empfehlen SAP SOLUTION MANAGER ALS UNTERSTÜTZENDES TOOL IM EINFÜHRUNGSPROZESS Der SAP Solution Manager ist die Service- und Supportplattform der SAP, die bei der Einführung und Implementierung von SAP-Projekten eine durchgängige Unterstützung bietet. Sofern der Solution Manager genutzt wird, sollte der Datenschutzverantwortliche auf die darin befindlichen Dokumente zur Beurteilung des Systems zurückgreifen 7. Alle Systeme Alle Geschäftsprozesse Alle Schulungsinformationen Die gesamte Dokumentation Sämtliche Testinformationen Alle Informationen zu Serviceplanung, Auslieferung und Follow-up Sämtliche Änderungsinformationen Alle Service-Level- Informationen SAP SOLUTION MANAGER Sämtliche Testinformationen Alle Kundenentwicklungen und funktionalen Erweiterungen Sämtliche Informationen zu Vorfällen und Problemen Sämtliche Überwachungsdaten 7 M. Schäfer, M. Melich: SAP Solution Manager. Galileo Press, Bonn 2006 Seite 16

17 1.2 MITWIRKEN DES DATENSCHUTZBEAUFTRAGTEN BEI DER EINFÜHRUNG VON SAP ERP Das BDSG verlangt in 4g Abs. 1 Nr. 1 BDSG die rechtzeitige Einschaltung des Datenschutzbeauftragten bei Vorhaben der automatisierten Verarbeitung personenbezogener Daten. Hierzu gehören auch die Einführung und der Releasewechsel von SAP ERP. > Wird SAP ERP in einem Unternehmen eingeführt, ist der Datenschutzbeauftragte frühzeitig zu beteiligen. > Der Datenschutzbeauftragte hat dabei zu überprüfen, ob das Customizing und die Implementierung des SAP ERP den Anforderungen des BDSG genügt. > Insbesondere dem Grundsatz der Datenvermeidung und Datensparsamkeit gemäß 3a BDSG kommt im Rahmen einer SAP ERP-Einführung große Bedeutung zu. Hier kann der Datenschutzbeauftragte ggf. direkten Einfluss auf die Gestaltung des Systems nehmen. > Bei einem Releasewechsel hat sich der Datenschutzbeauftragte auch von der datenschutzkonformen Durchführung des Wechsels zu überzeugen DATENSCHUTZBEAUFTRAGTER MITGLIED DES SAP-PROJEKTTEAMS Die sachgerechte Beratung der Projektleitung und -mitarbeiter und die Überprüfung der ordnungsgemäßen Anwendung (Customizing) durch den Datenschutzbeauftragten, die im 4g Abs. 1 Nr. 1 BDSG vorgesehen ist, können effektiv erreicht werden, wenn er Projektmitglied ist. Wird SAP ERP in einem Unternehmen eingeführt, ist der Datenschutzbeauftragte daher vom Projektbeginn an zu beteiligen INFORMATION DES DATENSCHUTZBEAUFTRAGTEN ZU DEN MEILENSTEINEN Es liegt in der Verantwortung des Datenschutzbeauftragten zu entscheiden, wann und wie er die ordnungsgemäße Anwendung von SAP ERP überprüft und welche Unterlagen er hierfür benötigt. Die Abstimmung, welche Unterlagen er benötigt und wann die Fragestellungen aus dem BDSG zu beantworten sind, lässt sich nur angemessen unter Berücksichtigung der Zielsetzungen und Projektentwicklung festlegen. Der Datenschutzbeauftragte sollte zu den Meilensteinen die erforderlichen Absprachen mit dem Projektteam zu den einzelnen Modulen treffen bzw. überprüfen, ob die getroffenen Festlegungen den Anforderungen des BDSG genügen. Die datenschutzrelevanten Projektschritte sind im ASAP-Vorgehensmodell definiert. Ein Beispiel: ASAP-Vorgehensmodell 2.6 Geschäftsprozessdefinition Anforderungen zu Geschäftsprozessen bestimmen Anforderungen zum Berichtswesen bestimmen und mit Datenschutzbeauftragtem abstimmen INFORMATIONSMÖGLICHKEITEN FÜR DEN DATENSCHUTZBEAUFTRAGTEN Der Datenschutzbeauftragte sollte sich einen angemessenen Kenntnisstand über folgende Elemente des SAP ERP-Systems aneignen: > Das Berechtigungskonzept und den Profilgenerator > Die Tabellenverwaltung > Die SAP-Programmiersprache ABAP und ABAP Query > ABAP Advanced Business Application Programming > Das SAP ABAP Dictionary Seite 17 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

18 1 Einführungsprozess Im ABAP Dictionary sind alle Datenfelder des SAP-Referenzmodells dokumentiert. Eine Übersicht über die Verwendung eines einzelnen Feldes in der SAP-Datenwelt erhalten Sie über die Funktion Verwendungsnachweis. > Verfahrensweise bei Extraktion und Auswertung von Daten aus SAP ERP mit Standardtools wie z. B. Microsoft Excel > Hilfsmittel zur Gestaltung von Bildschirmmasken (Screen & Menue Painter) Zur sachgerechten Beratung und Prüfung der ordnungsgemäßen Anwendung von SAP ERP benötigt der Datenschutzbeauftragte darüber hinaus Unterlagen und Informationen. Folgende Unterlagen sollten dem Datenschutzbeauftragten generell zur Verfügung stehen: > Komplette SAP ERP-Dokumentation (Doku-CD, Begleitbriefe, Release-Informationen mit Transaktion SO99, > Der SAP-Einführungsleitfaden und das ASAP-Vorgehensmodell > Der SAP-Prüfleitfaden Revision (z. Zt. Release 3.0D vom ): > Die SAP Sicherheitsleitfäden werden von SAP zur Verfügung gestellt. Bitte beachten Sie den SAP- Hinweis Verfügbarkeit des SAP Sicherheitsleitfadens > Die SAP-Hilfe (Dokumentations-CD) (http://www.sap.com/germany/aboutsap/shop/) > Zugriff auf den SAP Service Marketplace für die Hinweise und zusätzliche Informationen (http://service.sap.com) Der Datenschutzbeauftragte sollte sich alle Dokumente unter den Stichworten Datenschutz, Datensicherheit und Sicherheit ansehen. > IDES Schulungssystem (IDES Internet Demo and Evaluation System) > Audit Information System. Das Audit Information System (AIS) ist als Arbeitsmittel für den Auditor und den Datenschutzbeauftragten gedacht und wird im Kapitel 6.1 Audit Information System beschrieben. Es hat z. Zt. im System-Auditteil und Datenschutzteil einen Stand, der R/3 4.6c entspricht. Bitte beachten Sie den SAP-Hinweis 77503, Audit Information System (AIS). > SAP-Hinweis Sicherheit in SAP-Produkten > SAP-Hinweis Datenschutz und Sicherheit in SAP-Systemen 1.3 SAP-FAKTEN CUSTOMIZING UND ASAP-VORGEHENSMODELL Das Customizing wurde in eine Transaktion für die Projektverwaltung (SPRO_ADMIN) und in eine Transaktion für die Projektbearbeitung (SPRO) aufgeteilt. Das Customizing dient der unternehmensspezifischen Einstellung des SAP-Systems. Aufgrund der komplexen Tabellenstrukturen von SAP ERP stellt SAP systemseitig ein Vorgehensmodell und Einführungsleitfäden (Grundstrukturen zur Einführung) zur Verfügung. Diese sind auch Bestandteil der SAP-Online-Dokumentation. > Das ASAP-Vorgehensmodell bildet zum einen den methodischen Rahmen für den Einführungsund Releasewechselprozess, zum anderen ist es ein operatives Werkzeug zur Unterstützung in jeder Phase der Einführung. > Die Projektleitfäden für das SAP ERP Customizing als unternehmensspezifische Untermenge des Seite 18

19 Vorgehensmodells listen alle Aktivitäten für die Einführung des SAP-Systems auf und unterstützen die Steuerung und Dokumentation der Einführung. Die ordnungsmäßige SAP-Einführung hängt wesentlich von der sachgerechten Nutzung der SAP-Einführungsleitfäden (Implementation Guide IMG) ab. Das ASAP-Vorgehensmodell beinhaltet für den Datenschutzbeauftragten wesentliche Punkte, bei denen er projektspezifisch festlegen sollte, wie er in die Projektentwicklung einzubeziehen ist. Beispiele für die Einbeziehung des Datenschutzbeauftragten sind: > Datenschutzrelevante Geschäftsprozesse ermitteln und festlegen > Stammdaten festlegen > Berichtswesen festlegen > Informationsfluss personenbezogener Daten bei Anwendungsschnittstellen, insbesondere zu anderen Programmen, untersuchen > Informationsfluss der vorgesehenen Berichte und Auswertungen auf Datenschutzgesichtspunkte hin untersuchen > Datenschutzspezifische Freigabe zu Projektphasen (Meilensteinen) festlegen > Berechtigungskonzept unter Datenschutz- und Datensicherheitsgesichtspunkten beurteilen > Archivierungskonzept, insbesondere im Hinblick auf die Löschungsfristen, beurteilen (siehe Kapitel Regelfristen für Löschung) > Testkonzept beurteilen > Datenschutzspezifische Schulungsinhalte und -zeitpunkte festlegen > Dokumentationsinhalte hinsichtlich datenschutzrelevanter Fragen festlegen > Migration und Altdatenübernahme definieren > Programmanpassungen ermitteln und genehmigen Das SAP-Standard-Vorgehensmodell und allgemeine Hinweise hierzu finden Sie auf der Dokumentations-CD oder dem SAP Marketplace; Empfehlungen zu Beteiligungsthemen des Datenschutzbeauftragten entlang des ASAP-Vorgehensmodells stehen in Anlage 3. Die einzelnen Themen sollten bei der Planung einer Beteiligung des Datenschutzbeauftragten durchgegangen und für die Festlegung des eigenen Vorgehens verwendet werden. Der SAP ERP Customizing Einführungsleitfaden (Implementation Guide IMG) ist im System über den Menüpfad zu finden: Werkzeuge Customizing IMG Projektbearbeitung (SPRO); Schaltfläche SAP-Referenz-IMG Die Zuordnung der Customizing-Aktivitäten der modulbezogenen Einführungsleitfäden zum Vorgehensmodell ermitteln Sie durch die Zuschaltung der Anzeige. Gehen Sie folgendermaßen vor: 1 Rufen Sie die angelegten Projektleitfäden auf: Menüpfad: Werkzeuge Customizing IMG Projektbearbeitung durch Doppelklick auf das jeweilige Projekt und anschließendes Klicken auf die Schaltfläche,Projekt-IMG erhalten Sie den zugehörigen Projektleitfaden angezeigt. 2 Öffnen Sie die jeweiligen Customizing-Aktivitäten bis auf die Ebene der ausführbaren Funktionen. Seite 19 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

20 1 Einführungsprozess Suchen Sie sich die einschlägigen Aktivitäten aus den Leitfäden heraus, die Sie unter Datenschutzgesichtspunkten bearbeiten müssen, und identifizieren Sie die modulspezifischen Einstellungen. 3 Nehmen Sie Kontakt mit den modulbezogenen Projektgruppen auf und sprechen Sie Ihre Aktivitäten mit ihnen ab BERECHTIGUNGSKONZEPT Ein Zugriffsschutzsystem und die Möglichkeit zur Vergabe individueller Berechtigungen dient unter Datenschutzaspekten im Wesentlichen folgenden Zielen: > dem Schutz vertraulicher Daten vor unberechtigter Erhebung, Speicherung, Kenntnisnahme, Übermittlung und Nutzung, dem Schutz der Daten vor unberechtigter, auch versehentlicher Änderung oder Löschung > der Gewährleistung des zweckgebundenen Gebrauchs der Daten > der Nachvollziehbarkeit und Zweckgebundenheit des Zugriffs auf personenbezogene Daten SAP liefert einen Set von Standardrollen aus, die der Kunde als Vorlage benutzen und hinsichtlich der Zuständigkeiten und organisatorischen Ausprägungen an seine individuellen Bedürfnisse anpassen kann. Der Umfang dieser Rollen ist aus Funktionssicht definiert, die Rollen sind zwingend auf die Sicherheitsbedürfnisse (Funktionstrennung, kritische Berechtigungen) der Organisation anzupassen. Mit jeder Vorlage erhält man ein individuelles Benutzermenü. Die Rollenvorlagen sind integrativer Bestandteil der anwendungsübergreifenden Workplace und Enterprise Portal / Portal-Rollen. Dem Administrator steht eine erweiterte Funktionsauswahl in der Einstiegstransaktion SAP Easy Access zur Verfügung. Mit dieser erweiterten Funktionsauswahl ist es ihm möglich, einfach eine der vielen Benutzerrollen einem Benutzer zuzuweisen. Dieser Benutzer erhält bei der Anmeldung am System automatisch das für seine tägliche Arbeit typische Benutzermenü sowie die Berechtigungen, die er für diese Arbeit benötigt. Die hohe Flexibilität des SAP-Berechtigungs- und Benutzerverwaltungskonzepts kann daher bei unsachgemäßer Anwendung bereits im Rahmen der Einführungsphase zu erheblichen Verletzungen des Datenschutzes führen. Statt des weit gefassten Standards bei ausgelieferten Rollen und Profilen etc. muss daher unbedingt unternehmensspezifisch nach dem Prinzip der minimalen Berechtigung eingegrenzt und angepasst werden. Da die Ordnungsmäßigkeit des SAP ERP-Systems unmittelbar durch das Verfahren zur Vergabe von Berechtigungen beeinflusst wird, ist auch das Vergabeverfahren selbst als wesentlicher Bestandteil des Zugriffsschutzes anzusehen. Es muss daher organisatorisch definiert, revisionsfähig gestaltet sowie ausreichend getestet und spätestens zum Produktionsbeginn verfügbar sein. Schließlich muss darauf geachtet werden, dass Rollen und ggf. auch Aktivitätsgruppen, Berechtigungen und Profile im Testsystem neu angelegt, geändert oder gelöscht werden und anschließend mittels CTS / CTO (Change Transport System / Change Transport Organizer) über das Qualitätssicherungssystem in die Produktionsumgebung übernommen werden. Seite 20

Leitfaden Datenschutz SAP ERP 6.0

Leitfaden Datenschutz SAP ERP 6.0 Deutschsprachige SAP Anwendergruppe Leitfaden Datenschutz SAP ERP 6.0 DSAG ARBEITSGRUPPE DATENSCHUTZ STAND 20. SEPTEMBER 2009 DSAG Arbeitskreis Revision / Risikomanagement Erarbeitet in der Arbeitsgruppe

Mehr

Datenschutzleitfaden SAP

Datenschutzleitfaden SAP Georg Siebert forba Partnerschaft der Ingenieure und beratenden Betriebswirte Dominicusstr.3, 10823 Berlin www.forba.de 21. SAP-/ Neue Technologie-Konferenz, 21.- 23.10.2008 Datenschutzleitfaden SAP ERP

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Grundlagen Datenschutz

Grundlagen Datenschutz Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle)

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) Version 1.0 Ausgabedatum 20. März 2013 Status in Bearbeitung in Abstimmung

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

AUB e.v. Nürnberg Verfahrenmeldung nach 4e, 4g BDSG

AUB e.v. Nürnberg Verfahrenmeldung nach 4e, 4g BDSG Bemerkung: Betriebliche Datenschutzbeauftragte fragen nach wie vor an, wie das Verfahrensregister zu gestalten ist, was er nach 4g Abs. 2 resp. 4e Satz 1 BDSG zu führen und auszugsweise für jedermann zur

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

1. WANN BENÖTIGT EIN UNTERNEHMEN EINEN BETRIEBLICHEN DA- TENSCHUTZBEAUFTRAGTEN?

1. WANN BENÖTIGT EIN UNTERNEHMEN EINEN BETRIEBLICHEN DA- TENSCHUTZBEAUFTRAGTEN? MERKBLATT Fairplay DER BETRIEBLICHE DATENSCHUTZBEAUFTRAGTE Braucht mein Unternehmen einen Datenschutzbeauftragten? Wie bestelle ich einen Datenschutzbeauftragten? Welche Rechte und Pflichten hat der Datenschutzbeauftragte?

Mehr

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht Diplom-Informatiker Werner Hülsmann Konradigasse 24-78462-Konstanz Tel.:7531 / 365 90 5-4; FAX: -7 E-Mail: info@datenschutzconsulting.info

Mehr

Gründe für ein Verfahrensverzeichnis

Gründe für ein Verfahrensverzeichnis 1 Wozu ein Verfahrensverzeichnis? Die Frage, wieso überhaupt ein Verfahrensverzeichnis erstellt und gepflegt werden soll, werden nicht nur Sie sich stellen. Auch die sogenannte verantwortliche Stelle in

Mehr

Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG)

Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) I. Grundsätzliches zur Vorabkontrolle Vor dem Einsatz von Gemeinsamen Verfahren und Abrufverfahren ( 8 Abs. 1 LDSG)

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2007: BDSG (1) 1.1 Voraussetzungen zur automatisierten DV (1) Anmerkung: Automatisierte Datenverarbeitung = Erhebung, Verarbeitung oder Nutzung unter

Mehr

datenschutz carsten metz Bundesdatenschutzgesetz Haftungsrisiken vermeiden

datenschutz carsten metz Bundesdatenschutzgesetz Haftungsrisiken vermeiden Bundesgesetz Haftungsrisiken vermeiden Datenschutzrechtlinien von den Vereinten Nationen 1990 beschlossen Grundsätze, die einen Mindeststandard festlegen, der bei der nationalen Gesetzgebung berücksichtigt

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze Datenschutz IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg Petra Schulze Fachverband Motivation Daten werden zunehmend elektronisch gespeichert und übermittelt Daten können

Mehr

amtliche bekanntmachung

amtliche bekanntmachung Nr. 908 13. März 2012 amtliche bekanntmachung Dienstvereinbarung zum Identitätsmanagement der Ruhr-Universität Bochum (RUBiKS) vom 16. Januar 2012 Dienstvereinbarung zum Identitätsmanagement der Ruhr-Universität

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g Bundesdatenschutzgesetz (BDSG)

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g Bundesdatenschutzgesetz (BDSG) REGIERUNGSPRÄSIDIUM DARMSTADT Aufsichtsbehörde für den Datenschutz im nicht öffentlichen Bereich 64283 Darmstadt, Luisenplatz 2, Briefanschrift: 64278 Darmstadt Tel: 06151/12-85 71 Fax: 06151/12-5794 email:

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Vorabkontrolle gemäß 4d Abs. 5 BDSG - Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Firmeninformation zum Datenschutz

Firmeninformation zum Datenschutz BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Firmeninformation zum Datenschutz Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981)

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA Verantwortliche Stelle 1 Stand vom: 1. Bezeichnung des Verfahrens 2 2. Zweckbestimmung 3 und Rechtsgrundlage

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1. Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang

Mehr

Einführung in die Datenerfassung und in den Datenschutz

Einführung in die Datenerfassung und in den Datenschutz Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche

Mehr

Erstellung eines Verfahrensverzeichnisses aus QSEC

Erstellung eines Verfahrensverzeichnisses aus QSEC Erstellung eines Verfahrensverzeichnisses aus QSEC Im QSEC-Reporting-Modul steht ab der Version 4.2 ein neuer Bericht zur Verfügung. Es besteht nun die Möglichkeit, einen BDSG-konformen Datenschutzbericht

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Das interne Verfahrensverzeichnis Ein wichtiger Baustein der Datenschutz-Compliance

Das interne Verfahrensverzeichnis Ein wichtiger Baustein der Datenschutz-Compliance Das interne Verfahrensverzeichnis Ein wichtiger Baustein der Datenschutz-Compliance SSW Schneider Schiffer Weihermüller Rechtsanwältin Tanja Senftner it-sa 2013, Nürnberg, Lawyer meets IT, 08.10.2013 22.2.2013

Mehr

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN Stand: Juli 2007 Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Paluka Sobola & Partner Neupfarrplatz 10 93047

Mehr

Datenschutz-Unterweisung

Datenschutz-Unterweisung Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Rheinischer Unternehmertag 12. Juli 2011

Rheinischer Unternehmertag 12. Juli 2011 www.pwc.de Der notwendige Datenschutz nicht nur in Großunternehmen Rheinischer Unternehmertag 12. Juli 2011 Agenda 1. Gesellschaft und Politik messen dem Thema Datenschutz mehr Bedeutung zu 2. Datenschutz

Mehr

Datenschutz und Datensicherheit im Handwerksbetrieb

Datenschutz und Datensicherheit im Handwerksbetrieb N. HOZMANN BUCHVERLAG Werner Hülsmann Datenschutz und Datensicherheit im Handwerksbetrieb Inhaltsverzeichnis Vorwort 13 1 Datenschutz und Datensicherheit 15 1.1 Grundlagen und Grundsätze 15 1.1.1 Was ist

Mehr

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte RABER & COLL. Rechtsanwälte INFO-Post Gerhart-Hauptmann-Straße 6 99096 Erfurt Telefon: (0361) 43 05 63 7 E-Mail: recht@raberundcoll.de Telefax: (0361) 43 05 63 99 www.raberundcoll.de 6/2013 Die anlasslose

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

BDSG - Interpretation

BDSG - Interpretation BDSG - Interpretation Materialien zur EU-konformen Auslegung Christoph Klug Rechtsanwalt, Köln Gesellschaft für Datenschutz und Datensicherung e. V., Bonn 2. aktualisierte und erweiterte Auflage DATAKONTEXT-FACHVERLAG

Mehr

Der nächste Schritt: Kommunikation zwischen R/3 und externen Systemen Auswahl von SAP-Interfaces unter Qualitäts- und Performance-Aspekten

Der nächste Schritt: Kommunikation zwischen R/3 und externen Systemen Auswahl von SAP-Interfaces unter Qualitäts- und Performance-Aspekten Der nächste Schritt: Kommunikation zwischen R/3 und externen Systemen Auswahl von SAP-Interfaces unter Qualitäts- und Performance-Aspekten Autor: Stephan Fröhlich, Marko Fricke Orange Five GmbH Inhalt

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Das Datenschutzregister der Max-Planck-Gesellschaft

Das Datenschutzregister der Max-Planck-Gesellschaft Das Datenschutzregister der Max-Planck-Gesellschaft Dr. Wilfried Grieger wgriege@gwdg.de http://www.gwdg.de/~wgriege Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg, 37077

Mehr

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)...

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)... 2 Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7 1. Gesetzliche Verpflichtung... 7 2. Vertragliche Verpflichtungen... 7 3. Staatliche Sanktionsmöglichkeiten... 7 4. Schadensersatzansprüche...

Mehr

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Informationen zum Datenschutz im Maler- und Lackiererhandwerk Institut für Betriebsberatung des deutschen Maler- und Lackiererhandwerks Frankfurter Straße 14, 63500 Seligenstadt Telefon (06182) 2 52 08 * Fax 2 47 01 Maler-Lackierer-Institut@t-online.de www.malerinstitut.de

Mehr

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

Anlage zum Vertrag vom. Auftragsdatenverarbeitung Anlage zum Vertrag vom Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Dienstvertrag/Werkvertrag (Hauptvertrag)

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Verfahrensverzeichnis nach 6 HDSG

Verfahrensverzeichnis nach 6 HDSG Verfahrensverzeichnis nach 6 HDSG 1 neues Verfahren Änderung Das Verzeichnis ist zur Einsichtnahme bestimmt ( 6 Abs. 2 HDSG) Das Verzeichnis ist nur teilweise zur Einsichtnahme bestimmt Ausgenommen sind

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz und der IT-Sicherheit Lösungen des 9. Übungsblattes Praktischer Datenschutz 9.1 Gegensätze von Datenschutz und IT-Sicherheit Datenschutz: Grundsatz der Datensparsamkeit IT-Sicherheit: Datensicherung durch

Mehr

NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG

NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG Autoren: Daniela Weller (DIIR e.v.) In Zusammenarbeit mit Uwe Dieckmann (GDD e.v.) und Volker Hampel

Mehr

II. Zweckbestimmung der Datenerhebung, -verarbeitung oder nutzung

II. Zweckbestimmung der Datenerhebung, -verarbeitung oder nutzung Öffentliches Verfahrensverzeichnis der IMMAC Holding AG Das Bundesdatenschutzgesetz (BDSG) schreibt im 4g vor, dass der Beauftragte für den Datenschutz jedermann in geeigneter Weise die Angaben entsprechend

Mehr

Was Sie über Datenschutz wissen sollten!

Was Sie über Datenschutz wissen sollten! Was Sie über Datenschutz wissen sollten! Präsentation: 10.10.2014 1 Zu meiner Person: Lars Querbach Geschäftsführer Das LohnTEAM GmbH externer Datenschutzbeauftragter TÜV Datenschutz-Auditor TÜV Personalfachkaufmann

Mehr

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG lfd. Nr. neues Verfahren Änderung Das Verzeichnis ist zur Einsichtnahme bestimmt ( 15 Abs. 2 Satz 2 HDSG) Das Verzeichnis ist nur teilweise zur Einsichtnahme

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

26. November 2014, Frankfurt a.m.

26. November 2014, Frankfurt a.m. Datenschutz-Praxis Verfahrensverzeichnis und Vorabkontrolle Wann dürfen Verfahren zur automatisierten Verarbeitung personenbezogener Daten eingesetzt werden, wie werden sie gesetzeskonform dokumentiert?

Mehr

Prozessabläufe Datenschutzbeauftragten bestellen. P 001 Prozessablauf. 2 Mensch und Medien GmbH

Prozessabläufe Datenschutzbeauftragten bestellen. P 001 Prozessablauf. 2 Mensch und Medien GmbH V 2 Mensch und Medien GmbH 001 Beschreibung: Öffentliche und nichtöffentliche Stellen, die personenbezogene Daten erheben, speichern, verarbeiten oder nutzen, müssen unter bestimmten Umständen einen. Der

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2015: Mitarbeiterdatenschutz (4)

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2015: Mitarbeiterdatenschutz (4) und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2015: Mitarbeiterdatenschutz (4) 5.1 Intranet Aufgabe: Ein Unternehmen möchte im Intranet ein innerbetriebliches Mitteilungsforum einrichten. Über

Mehr

Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt

Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt Rechtliches und Technisches Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt - SQS -Testsuite für SAP HCM - der SQS Software Quality Systems AG, Stollwerckstraße

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Name : Hochschule für angewandte Wissenschaften München

Name : Hochschule für angewandte Wissenschaften München 1 Verantwortliche Stelle Name : Hochschule für angewandte Wissenschaften München Straße : Lothstraße 34 Postleitzahl : 80335 Ort : München Telefon* : 089 1265-1405 Telefax* : 089 1265-1949 Mail* : annette.hohmann@hm.edu

Mehr

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v.

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. binsec - binary security UG 13. Juni 2015 Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB

Mehr

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Matthias Herber Datenschutzbeauftragter der TU Dresden Kontakt: datenschutz@tu-dresden.de AK Verzeichnisdienste Duisburg,

Mehr

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG zwischen dem Auftraggeber (AG) und WVD Dialog Marketing GmbH onlinepost24 Heinrich-Lorenz-Straße 2-4 09120 Chemnitz -

Mehr

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Natascha Düren Forum Rot, it-sa 2013 Nürnberg, 10.10.2013 Besuchen Sie uns! it-sa 2013, Halle

Mehr

vertreten durch die Geschäftsführerin Frau Heidi Kemme und dem Geschäftsführer Herrn Egon Schwanzl

vertreten durch die Geschäftsführerin Frau Heidi Kemme und dem Geschäftsführer Herrn Egon Schwanzl Zusatzvertrag zur Auftragsdatenverarbeitung zwischen DAP GmbH Gärtnerweg 4-8 60322 Frankfurt am Main - nachfolgend DAP genannt - vertreten durch die Geschäftsführerin Frau Heidi Kemme und dem Geschäftsführer

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Erfahrungen mit der Einführung einer Human-Capitel-Management-Anwendung (HCM) im globalen Kontext

Erfahrungen mit der Einführung einer Human-Capitel-Management-Anwendung (HCM) im globalen Kontext Erfahrungen mit der Einführung einer Human-Capitel-Management-Anwendung (HCM) im globalen Kontext Hans Bergmann CEMEX Deutschland AG Abschluss einer Konzernbetriebsvereinbarung über die Einführung von

Mehr

Öffentliches Verfahrensverzeichnis der LivingData Gesellschaft für angewandte Informationstechnologien mbh Stand 12.03.2015

Öffentliches Verfahrensverzeichnis der LivingData Gesellschaft für angewandte Informationstechnologien mbh Stand 12.03.2015 Öffentliches Verfahrensverzeichnis der LivingData Gesellschaft für angewandte Informationstechnologien mbh Stand 12.03.2015 Der Schutz Ihrer Persönlichkeitsrechte und personenbezogener Daten bei der Erhebung,

Mehr

Die neue EU-Datenschutzgrundverordnung

Die neue EU-Datenschutzgrundverordnung Datenschutz und Datensicherheit in kleinen und mittelständischen Unternehmen Die neue EU-Datenschutzgrundverordnung Landshut 19.03.2013 Inhalt Hintergrund: Von der Datenschutz-Richtline zur Datenschutz-Verordnung

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

WILKEN CORPORATE GROUP. Öffentliches Verfahrensverzeichnis

WILKEN CORPORATE GROUP. Öffentliches Verfahrensverzeichnis WILKEN CORPORATE GROUP Öffentliches Verfahrensverzeichnis Inhaltsverzeichnis 1. Name der verantwortlichen Stelle und deren gesetzliche Vertreter... 3 2. Mit der Leitung der Datenverarbeitung beauftragte

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG) Datenschutz nach Bundesdatenschutzgesetz (BDSG) Herzlich Willkommen bei unserem Datenschutz-Seminar 1 Vorstellung Matthias A. Walter EDV-Sachverständiger (DESAG) Datenschutzbeauftragter (TÜV) 11 Jahre

Mehr

IT-Sicherheit und Datenschutz im Cloud Computing

IT-Sicherheit und Datenschutz im Cloud Computing Definition von bezeichnet das dynamische Bereitstellen von Ressourcen wie Rechenkapazitäten, Datenspeicher oder fertiger Programmpakete über Netze, insbesondere über das Internet. und dazu passende Geschäftsmodelle

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Rahmenvertrag. zwischen der

Rahmenvertrag. zwischen der Rahmenvertrag zwischen der Innung für Orthopädie-Technik NORD, Innung für Orthopädie-Technik Niedersachsen/Bremen, Landesinnung für Orthopädie-Technik Sachsen-Anhalt Bei Schuldts Stift 3, 20355 Hamburg

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht 16.3.2015 IHK Karlsruhe, Vermittlerrecht Praxiswissen auf Bundesverband Deutscher Versicherungskaufleute

Mehr

LEITFADEN DATENSCHUTZ

LEITFADEN DATENSCHUTZ In diesem Dokument wird aufgeführt, was bei dem Aufbau einer Datenschutzorganisation beachtet werden muss. Auch wird vermerkt, welche einmaligen und regelmäßigen Aufgaben durch den Datenschutzbeauftragten

Mehr

(1) Die Dienstvereinbarung gilt für die gesamte Leuphana Universität Lüneburg.

(1) Die Dienstvereinbarung gilt für die gesamte Leuphana Universität Lüneburg. Vereinbarung zur Einführung, Anwendung, Änderung oder Erweiterung des SAP R/3 Systems Modul HR an der Leuphana Universität Lüneburg zwischen der Leuphana Universität Lüneburg und dem Personalrat der Leuphana

Mehr

Seminar Datenschutz. Herzliche Einladung zum. Am 17. Juni 2014 in Kassel (10 17 Uhr) Sehr geehrte Damen und Herren, liebe Freunde,

Seminar Datenschutz. Herzliche Einladung zum. Am 17. Juni 2014 in Kassel (10 17 Uhr) Sehr geehrte Damen und Herren, liebe Freunde, Herzliche Einladung zum Seminar Datenschutz Am 17. Juni 2014 in Kassel (10 17 Uhr) Sehr geehrte Damen und Herren, liebe Freunde, Datenschutz sollte längst in allen Verbänden, Vereinen, Unternehmen, und

Mehr

Arbeitnehmerdatenschutz / Leistungs- und Verhaltenskontrollen

Arbeitnehmerdatenschutz / Leistungs- und Verhaltenskontrollen Arbeitnehmerdatenschutz / Leistungs- und Verhaltenskontrollen in Call Centern Harald Stelljes Mitarbeiter beim Landesbeauftragten für den Datenschutz Bremen Arndtstr. 1 27570 Bremerhaven Tel.: +49 (0471)

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Verpflichtung auf das Datengeheimnis Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax:

Mehr

Was ein Administrator über Datenschutz wissen muss

Was ein Administrator über Datenschutz wissen muss Was ein Administrator über Datenschutz wissen muss Berlin, 14.05.2014 Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV 1 "Jeder Mensch soll grundsätzlich selbst

Mehr