Leitfaden Datenschutz SAP ERP 6.0

Größe: px
Ab Seite anzeigen:

Download "Leitfaden Datenschutz SAP ERP 6.0"

Transkript

1 Deutschsprachige SAP Anwendergruppe Leitfaden Datenschutz SAP ERP 6.0 DSAG ARBEITSGRUPPE DATENSCHUTZ STAND 30. MAI 2008

2 DSAG Arbeitskreis Revision / Risikomanagement ERARBEITET IN DER ARBEITSGRUPPE DATENSCHUTZ LEITFADEN DATENSCHUTZ SAP ERP 6.0 STAND 30. MAI 2008 DSAG e. V. Deutschsprachige SAP-Anwendergruppe Seite 2

3 IN MEMORIAM THOMAS BARTHEL ( ) Seite 3

4 Einleitung Der vorliegende Leitfaden Datenschutz SAP ERP Release 6.0 soll Datenschutzbeauftragten der SAP- Anwender Anhaltspunkte für die Vorgehensweise bei der Umsetzung der Anforderungen der Datenschutzvorschriften bei Einsatz der SAP-Software geben. Der Leitfaden ist als Empfehlung gedacht, nicht aber als verbindliche Richtlinie oder Norm. Jegliche Verantwortung für Art, Umfang und Ergebnis der Umsetzung der Datenschutzvorschriften verbleibt somit bei der Leitung der verantwortlichen Stelle (Unternehmen / Behörde). Für das Studium dieses Leitfadens werden Grundkenntnisse der SAP-Systeme sowie Kenntnisse der handels- und steuerrechtlichen Grundlagen und des Bundesdatenschutzgesetzes (BDSG) vorausgesetzt. Der Leitfaden Datenschutz behandelt Fragestellungen, die bereits in den SAP-Sicherheitsleitfäden oder in anderen Prüfleitfäden des DSAG AK-Revision enthalten sind, insbesondere aus datenschutzrechtlicher Sicht. In dieser Version wird z. T. auch auf modulspezifische Besonderheiten, z. B. HCM, eingegangen. Mit SAP ERP wird die klassische ABAP-Welt (ABAP Stack) um die JAVA-Welt (JAVA Stack) ergänzt. Dieser Leitfaden umfasst den ABAP-Stack, die Version für den JAVA-Stack ist in Planung. SAP ERP ist als international eingesetzte Standardsoftware konzipiert. Der Leitfaden berücksichtigt die EU-Richtlinie 95 / 46 / EG und die deutsche Datenschutzgesetzgebung. Die Autoren sind Mitglieder der Arbeitsgruppe DATENSCHUTZ im DSAG Arbeitskreis Revision und stellen hiermit ihre Erfahrungen zur Verfügung. COPYRIGHT 2008 DSAG E.V. DIE AUTOREN: Herr T. Barthel Herr I. Carlberg Herr V. Lehnert Herr H. Miller Herr T. Müthlein Frau A. Otto Herr S. Pieper Herr K. Redling Herr A. Reschke Herr P. Schiefer Herr H.-J. Schwab Herr G. Siebert Herr G. Voogd FORBIT GmbH / CArO GmbH, Hamburg BIT e.v., Bochum SAP Deutschland AG & Co.KG, Walldorf Geberit Deutschland GmbH, Pfullendorf DMC Datenschutz Management & Consulting GmbH & Co.KG Frechen / GDD e.v. Bonn SAP Deutschland AG & Co.KG, Walldorf Deloitte & Touche GmbH, Frankfurt SAP Deutschland AG & Co.KG, Walldorf Rechtsanwaltskanzlei Reschke, Wiesbaden Bayer AG, Leverkusen SAP AG, Walldorf Forba Partnerschaft, Berlin FORBIT GmbH / CArO GmbH, Hamburg Seite 4

5 AN DER 1. / 2. AUFLAGE WIRKTEN AUSSERDEM MIT: Herr V. Ahrend Bosch Telecom GmbH, Frankfurt Herr R. Anhorn Robert Bosch GmbH, Stuttgart Frau C. Bonni Lausitzer Braunkohle AG, Senftenberg Herr W. Kilian RWE Energie Aktiengesellschaft, Essen Herr A. Lenz Rheinbraun AG, Köln Herr S. Dierschke BASF AG-Zok, Ludwigshafen Herr W. Geesmann KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf Herr R. Glagow PWC Deutsche Revision AG, Düsseldorf Herr F. Glaß PWC Deutsche Revision AG, Düsseldorf Herr T. Glauch KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf Herr J. Heck Brau und Brunnen AG, Dortmund Herr G. Hohnhorst KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf Herr W. Hornberger SAP AG, Walldorf Herr A. Kirk Ruhrgas AG, Essen Herr K. Lorenz Deutsche Bausparkasse Badenia AG, Karlsruhe Herr Dr. Pötschat BASF AG, Ludwigshafen Herr E. Schmidt Philip Morris GmbH, München Herr A. von der Stein RWE Systems AG, Dortmund Herr U. Ueberschar Mannesmann Arcor AG & Co., Eschborn / Köln Frau G. Zibulski SAP AG, Walldorf Die Verantwortung für den Inhalt tragen die Autoren. Die redaktionelle Bearbeitung und das Layout liegen bei der SAP AG und der DSAG. HINWEIS: Die vorliegende Publikation ist urheberrechtlich geschützt (Copyright). Alle Rechte liegen, soweit nicht ausdrücklich anders gekennzeichnet, bei: DEUTSCHSPRACHIGE SAP ANWENDERGRUPPE E.V. Altrottstraße 34 a Walldorf Deutschland Jedwede unerlaubte Verwendung ist nicht gestattet. Dies gilt insbesondere für die Vervielfältigung, Verbreitung, Übersetzung oder die Verwendung in elektronischen Systemen / digitalen Medien. Die Autoren des LEITFADEN DATENSCHUTZ sind für Kritik, Änderungs- und Ergänzungswünsche dankbar. Dies gilt sowohl für Vorschläge zur Vertiefung der einzelnen Kapitel als auch für die Nennung von Beispielen aus konkreten Prüfungserfahrungen. Um dem Leser das Antworten zu erleichtern, ist auf der folgenden Seite ein Formular eingefügt. 1 Z. B. HGB, AO, GDPdU, GoB / GoBS Seite 5 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

6 An die Autoren der Arbeitsgruppe Datenschutz DSAG-Geschäftsstelle Altrottstr. 34a Walldorf Fax: +49 (0) ABSENDER Name Funktion Abteilung Firma Anschrift Telefon Telefax ERGÄNZENDE INFORMATION(EN) ZUM LEITFADEN DATENSCHUTZ SAP ERP Ich möchte der Arbeitsgruppe zu folgendem Themenkreis Informationen geben (bitte ankreuzen): ( ) Kritische Tabellen / Customizing-Einstellungen ( ) Kritische Objekte ( ) Kritische SAP-Fakten ( ) Beispiele für konkrete Umsetzungsmaßnahmen und Prüfungshandlungen ICH BEZIEHE MICH AUF Leitfaden Datenschutz SAP ERP, Kapitel:... SAP ERP, Release:... MEINE INFORMATION LAUTET: ZUR WEITEREN ERLÄUTERUNG SIND ANLAGEN BEIGEFÜGT (BITTE ANKREUZEN): ( ) Ja ( ) Nein Seite 6

7 Gliederung 1 EINFÜHRUNGSPROZESS Anforderungen des BDSG an SAP ERP Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten Übermittlung von personenbezogenen Daten Abrufverfahren Besondere Zweckbindung Auftragsverarbeitung Unterrichtung des Betroffenen Rechte des Betroffenen Auskunft an jedermann Meldepflicht Verpflichtung der Mitarbeiter auf das Datengeheimnis Schulung Maßnahmen zur Datensicherheit Übersichten gem. 4e, 4g und 18 Abs. 2 (BDSG-Übersichten) Vorabkontrolle SAP Solution Manager als unterstützendes Tool im Einführungsprozess Mitwirken des Datenschutzbeauftragten bei der Einführung von SAP ERP Datenschutzbeauftragter Mitglied des SAP-Projektteams Information des Datenschutzbeauftragten zu den Meilensteinen Informationsmöglichkeiten für den Datenschutzbeauftragten SAP-Fakten Customizing und ASAP-Vorgehensmodell Berechtigungskonzept Change Transport System / Change Transport Organizer (CTS / CTO) Schnittstellenverarbeitung Datenübernahme PC-Verarbeitung Kommunikationsschnittstellen SAP-Automation Job-Auftragsverfahren und -Dokumentation 1.4 Risiken Nichteinschaltung des Datenschutzbeauftragten bzw. der Arbeitnehmervertreter Nichtbeachtung der SAP-Empfehlungen Nichtberücksichtigung bzw. verspätete Erstellung des Berechtigungskonzeptes Nicht ordnungsgemäße Anwendung eines Datenverarbeitungsprogramms Prüfungshandlungen im Rahmen der Einführung / Checkliste 24 2 AUFGABEN DES DATENSCHUTZBEAUFTRAGTEN Überwachung der ordnungsgemäßen Programmanwendung ( 4g Abs. 1 BDSG) Einbeziehung des DSB vor und während der Programmentwicklung und -anpassung Prüfung der Datenerhebung und Datennutzung auf Rechtmäßigkeit Auswertung der Protokollierung Prüfung der Verfahrensdokumentation Mitwirkung bei der Festlegung und Überprüfung des Berechtigungskonzeptes 31 Seite 7 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

8 Gliederung Mitwirkung bei der Festlegung des Betriebskonzeptes und der Betreiberorganisation Abfassung einer Datenschutzerklärung Überwachung des Korrektur- und Transportwesens unter SAP ERP Kontrollen im laufenden Betrieb Schulung der Anwender mit Verpflichtung auf das Datengeheimnis ( 4g und 5 BDSG) Personenkreis, der geschult und verpflichtet werden muss Inhalt der Anwenderschulungen Abbildung der Anwenderschulung im SAP Anwenderschulung über Infotypen Belehrungen oder Qualifizierungen Anwenderschulung über das Veranstaltungsmanagement Führen von Übersichten ( 4g Abs. 2 / 18 Abs. 2 BDSG) Informationen zur verantwortlichen Stelle Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien Empfänger oder Kategorien von Empfängern Regelfristen für Löschung Geplante Übermittlung in Drittstaaten Maßnahmen zur Gewährleistung der Sicherheit Zugriffsberechtigte Personen Beispiel Melderegister Systemunterstützung Auswertungen zur Tabellen- und Feldanalyse Techniken zum Auffinden personenbezogener Daten Prüfung der Zugriffsberechtigungen 60 3 RECHTE DER BETROFFENEN UND VON JEDERMANN Benachrichtigung und Auskunft Rechtliche Anforderungen SAP-Fakten Anforderungen an die Organisation des Datenschutzes Berichtigung, Löschung und Sperrung Rechtliche Anforderungen SAP-Fakten Anforderungen an die Organisation des Datenschutzes 67 4 UMSETZUNG DER ANFORDERUNGEN AUS 9 BDSG UND ANLAGE: TECHNISCH-ORGANISATORISCHE MASSNAHMEN Anforderungen Gesetzliche Anforderungen aus 9 BDSG SAP-Funktionalität zur Abdeckung der gesetzlichen Anforderungen SAP-Fakten, Risiken und Maßnahmen ABAP-Fakten, Risiken und Maßnahmen Identifizierung und Authentifizierung SAP-Fakten Risiken und zu ergreifende Maßnahmen 75 Seite 8

9 Standardbenutzer SAP* SAPCPIC DDIC EarlyWatch Batch User Risiken und zu ergreifende Maßnahmen Benutzerberechtigungskonzept: ausgewählte Berechtigungsobjekte Berechtigungsobjekte im HCM Berechtigungsobjekt P_ABAP Berechtigungsobjekt P_TCODE Berechtigungsobjekt S_TCODE Tabelle TSTCA Umwandlung von Reports in Transaktionen Berechtigungsobjekt S_TABU_DIS, S_TABU_CLI und S_TABU_LIN Berechtigungsobjekt S_TOOLS_EX Berechtigungsobjekt S_SCD Objekte zur Benutzer- und Berechtigungspflege (S_USER_xxx) Berechtigungsobjekt S_GUI und XXL-Listviewer Risiken und zu ergreifende Maßnahmen Benutzerberechtigungskonzept: ausgewählte Profile Profil SAP_ALL Profil SAP_NEW Profil P_BAS_ALL Sonstige S_xxx-Profile Rollen mit kritischen Berechtigungen Risiken und zu ergreifende Maßnahmen Besonderheiten bei der Berechtigungsprüfung Ausschaltung / Modifikation von Berechtigungsprüfungen Authority-Check bei ABAP-Programmen 86 (Standardprogramm oder Eigenentwicklungen) Berechtigungshauptschalter HR (Tabelle T77S0; GRPID AUTSW ) Report Berechtigungsgruppen Risiken und zu ergreifende Maßnahmen Benutzeradministration Konzeption der zentralen Benutzeradministration Konzeption der dezentralen Benutzeradministration Benutzeradministration mit dem Profilgenerator Veraltete Benutzeradministration mit Profilen Risiken und zu ergreifende Maßnahmen Änderungen am Produktivsystem Change and Transport System Tabellenprotokollierung / Customizing Systemänderbarkeit Protokolle 92 Seite 9 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

10 Gliederung Schutz der Tabelle T Risiken und zu ergreifende Maßnahmen Systemschnittstellen Batch-Input RFC, ALE, BAPI PC-Download ABAP-Listviewer Risiken und zu ergreifende Maßnahmen Auditing und Logging Security Audit Log System Log Transaktionsprotokollierung STAD (CCMS) Workflow-Protokollierung Report-Protokollierung im HCM Ad-Hoc-Query-Protokollierung zur Kontrolle der Zweckbindung Risiken und zu ergreifende Maßnahmen Komplexe Suchhilfe Zusammenfassung zentraler Risiken Zusammenfassung der Prüfungshandlungen AUFTRAGSDATENVERARBEITUNG UND KONZERNINTERNER DATENAUSTAUSCH Abgrenzungen beim Thema Outsourcing und Datenschutz Vertragsgestaltung zwischen Auftragnehmer und Auftraggeber Pflichten des Auftraggebers und Auftragnehmers Umfang der Datenverarbeitung / Weisungen Technische und organisatorische Maßnahmen Wahrung der Rechte der Betroffenen Datengeheimnis Kontrollen durch den Auftraggeber Datenschutzbeauftragter des Auftragnehmers Unterauftragnehmer Verarbeitung im Ausland Wartung und Pflege SAP-Fakten Ausgangssituation SAP-Administration SAP-spezifische Maßnahmen Systemadministration Change and Transport Organizer (CTO / CTS) Fernwartung und Services RFC und ALE Job-Abwicklung PC-Download Datenbank- und LAN-Umgebung 113 Seite 10

11 Mandantenübergreifende Funktionen SAP-Protokolle Risiken BESONDERE THEMEN Auditwerkzeuge: Audit Information System und Benutzerinformationssystem Audit Information System (AIS) Benutzerinformationssystem (SUIM) SOS-Report (Security Optimization Service) SAP GRC (Governance, Risk and Compliance) SAP GRC Access Control Risk Analysis and Remediation (vormals Compliance Calibrator) Enterprise Role Management (bisher bekannt als Virsa Role Expert) Superuser Privilege Management (bisher bekannt als Virsa FireFighter for SAP) Compliant User Provisioning (bisher bekannt als Virsa Access Enforcer) SAP GRC Process Control GLOSSAR 124 Seite 11 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

12 1 Einführungsprozess Die Voraussetzung für die Anwendung des Bundesdatenschutzgesetzes (BDSG) ist beim Einsatz von SAP ERP 2 erfüllt, da in allen Modulen personenbezogene Daten automatisiert verarbeitet werden (vgl. 1 BDSG in Verbindung mit 12 oder 27 BDSG). Deshalb sind das Bundesdatenschutzgesetz und andere Rechtsvorschriften zum Datenschutz, z. B. in einer Landesverwaltung das jeweilige Landesdatenschutzgesetz, zu beachten. Dieser Leitfaden gilt für den öffentlichen und den nicht öffentlichen Bereich. Auf die Besonderheiten der Landesdatenschutzgesetze wird in diesem Leitfaden nicht eingegangen. Da SAP ERP als international eingesetzte Standardsoftware unter betriebswirtschaftlichen Aspekten konzipiert ist, kann ein Anwender nicht ohne Weiteres davon ausgehen, dass für alle angebotenen Datenfelder die Rechtsgrundlagen im Sinne der deutschen Datenschutzvorschriften gegeben sind. Es ergibt sich damit die Notwendigkeit zu überprüfen, ob SAP ERP in der beim Anwender vorgesehenen Ausprägung den Anforderungen des Bundesdatenschutzgesetzes und ggf. anderer Vorschriften über den Datenschutz genügt. Der Datenschutzbeauftragte (DSB) sowie Betriebsrat / Personalrat sind daher in die Projektarbeit einzubeziehen, wobei die Projektverantwortung für die ordnungsgemäße Einführung von SAP ERP der Projektleitung obliegt. Auch wenn das BDSG den Anforderungen des harmonisierten Datenschutzrechts in der EU entspricht, sind die lokalen Besonderheiten der einzelnen EU-Mitgliedsstaaten zu beachten. 1.1 ANFORDERUNGEN DES BDSG AN SAP ERP Das BDSG spricht ein grundsätzliches Verbot der Erhebung, Verarbeitung und Nutzung personenbezogener Daten aus und erlaubt die Datenverarbeitung nur, wenn die im BDSG definierten Voraussetzungen erfüllt sind. Dieser Grundsatz führt dazu, dass mit der Einführung des SAP ERP überprüft werden muss, ob die Anforderungen des BDSG und anderer Rechtsvorschriften angemessen berücksichtigt wurden. Entsprechendes gilt auch für Änderungen im laufenden Betrieb ERHEBUNG, VERARBEITUNG ODER NUTZUNG VON PERSONENBEZOGENEN DATEN Grundsätzlich ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten gemäß 4 BDSG verboten, es sei denn, > das BDSG erlaubt bzw. verlangt die Verarbeitung oder > eine andere vorrangige Rechtsvorschrift erlaubt bzw. verlangt die Verarbeitung oder > es liegt eine schriftliche Einwilligung des Betroffenen vor. Die Zulässigkeitskriterien für die Erhebung, Verarbeitung oder Nutzung ergeben sich aus 4 BDSG in Verbindung mit 11 BDSG und > 13 und 14 BDSG für die öffentlichen Stellen > 28 bis 30 BDSG für nicht öffentliche Stellen. Die Beweislast für die Zulässigkeit trägt die verantwortliche Stelle. Der Grundsatz der Datenvermeidung und Datensparsamkeit gem. 3a BDSG mit dem Ziel, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen, ist zu beachten. > Die RECHTSGRUNDLAGEN für die Erhebung, Verarbeitung und Nutzung sind im BDSG differenziert gestaltet und müssen geprüft bzw. geschaffen werden (z. B. Einwilligung, Vertrag, Betriebsvereinbarung). > Die organisatorischen und technischen Maßnahmen zur Nutzung von SAP ERP sind so zu gestalten, dass NUR DIE ERFORDERLICHEN personenbezogenen Daten gespeichert werden. Dabei ist zu 2 Im Folgenden umfasst der Begriff SAP ERP im Sinne dieses Leitfadens auch die ABAP-Komponenten von SAP NetWeaver Seite 12

13 beachten, dass im Auslieferungszustand der Software technische Maßnahmen nur im geringen Umfang ausgeprägt sind. > Abhängig vom Zweck der Verarbeitung ist mit den Möglichkeiten des Berechtigungskonzeptes und anderer Sicherungsmaßnahmen sicherzustellen, dass die Daten nur IM RAHMEN DER ZULÄSSIGEN ZWECKE verarbeitet werden können. Für unterschiedliche Zwecke erhobene Daten müssen durch technisch-organisatorische Maßnahmen getrennt verarbeitet werden können. > Es dürfen nur die Daten vorgehalten werden, die zur Erfüllung der Aufgabenstellung erforderlich sind (VERBOT DER VORRATSDATENSPEICHERUNG). > Abhängig vom Zweck der Datenspeicherung (z. B. Abwicklung eines Vertrages) sind die benötigten DATENFELDER festzulegen und im Customizing einzustellen. > Zusätzlich ist die DAUER DER DATENSPEICHERUNG auf die erforderliche Zeit zu begrenzen, entsprechend festzulegen und für die Löschung der Daten zu sorgen (z. B. von Bewerberdaten oder Festlegung der Speicherungsdauer nach dem Vertragsende und anschließende Löschung) ÜBERMITTLUNG VON PERSONENBEZOGENEN DATEN Grundsätzlich ist die Übermittlung von personenbezogenen Daten verboten. Die Zulässigkeitskriterien für Übermittlungen ergeben sich aus 4b BDSG in Verbindung mit den 15, 16, 28, 29, 30 BDSG. Es ist sicherzustellen, dass die Zweckbindung der übermittelten Daten auch vom Empfänger eingehalten wird. Hierzu ist der Empfänger auf die Zweckbindung hinzuweisen. Daraus ergibt sich die Notwendigkeit, alle REGELMÄSSIGEN oder ANLASSBEZOGENEN Übermittlungen auf ihre Rechtmäßigkeit zu prüfen! ABRUFVERFAHREN Ein Abrufverfahren darf nur eingerichtet werden, wenn die Voraussetzungen des 10 BDSG erfüllt sind. > Sollen personenbezogene Daten von Dritten abgerufen werden können, sind zusätzliche Maßnahmen zur Sicherstellung der Rechtmäßigkeit des Abrufes und der Datensicherheit bei den beteiligten Stellen erforderlich. > Insbesondere muss die verantwortliche Stelle gewährleisten, dass mittels geeigneter Stichproben die Rechtmäßigkeit der Übermittlung personenbezogener Daten festgestellt werden kann BESONDERE ZWECKBINDUNG Werden zu Zwecken des Datenschutzes, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes personenbezogene Daten gespeichert (z. B. Logfile oder Accounting-Informationen), sieht das BDSG in 31 eine besondere Zweckbindung für diese Kontrollinformationen vor. > Es ist zu klären, welche Aufzeichnungen im SAP ERP hierzu gehören und welche Funktionen / Stellen diese Informationen benötigen und die Kontrollfunktionen ausüben AUFTRAGSVERARBEITUNG Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz gemäß 11 BDSG verantwortlich. 3 Der Regierungsentwurf vom September 2007 sieht in 29 eine Verschärfung der Regelung zur Stichprobenkontrolle vor Seite 13 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

14 1 Einführungsprozess > Der Auftragnehmer ist sorgfältig auszuwählen. > Dem Auftragnehmer sind vertragliche Auflagen zur Verwendung der Daten und zur Datensicherheit zu machen. > Der Auftraggeber muss sich von der Einhaltung der getroffenen Maßnahmen beim Auftragnehmer überzeugen. Die vorgenannten Ausführungen gelten auch für die Prüfung und Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen (Wartung und Prüfung ist Auftragsverarbeitung!), wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann UNTERRICHTUNG DES BETROFFENEN Der Betroffene ist über den Umgang mit seinen personenbezogenen Daten zu unterrichten. Hierauf kann nur dann verzichtet werden, wenn ihm die gesetzlich genannten Umstände bereits bekannt sind. Grundsätzlich soll die Information bei der Datenerhebung beim Betroffenen erfolgen, z. B. im Rahmen des Vertragsabschlusses. Erfolgt die Datenerhebung nicht beim Betroffenen, sondern bei einem Dritten, z. B. durch Ankauf von Adressen oder Übermittlung durch ein Konzernunternehmen, ist er unter den Voraussetzungen des 33 BDSG zu benachrichtigen, wenn > erstmalig personenbezogene Daten über ihn gespeichert bzw. übermittelt werden oder > von ihm bei öffentlichen Stellen Daten ohne seine Kenntnis gemäß 19a BDSG erhoben werden oder > bei nicht öffentlichen Stellen gemäß 33 BDSG erstmalig Daten über ihn gespeichert bzw. übermittelt werden. Falls demnach eine Benachrichtigung erforderlich wird, muss das Verfahren entsprechend festgelegt werden RECHTE DES BETROFFENEN Es dürfen nur zulässige und richtige personenbezogene Daten gespeichert werden. Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf der Basis einer automatisierten Verarbeitung getroffen werden 4. Die Datenspeicherung soll für den Betroffenen transparent sein. Deshalb hat der Betroffene ein Recht auf AUSKUNFT sowie auf BERICHTIGUNG, LÖSCHUNG, SPERRUNG und WIDERSPRUCH. Die Anforderungen des 6 BDSG in Verbindung mit 19, 20, 34, 35 BDSG sind zu beachten. > Die verantwortliche Stelle muss in der Lage sein, zur Auskunftserteilung alle personenbezogenen Daten des Betroffenen zuverlässig zu ermitteln! Diese Anforderung korrespondiert mit der Anforderung zur Führung einer Übersicht gemäß 4g Abs. 2 BDSG (Verfahrensverzeichnis). > Eine automatisierte Einzelfallentscheidung ist gem. 6a BDSG nur in bestimmten Ausnahmefällen zulässig. Werden diese Ausnahmefälle in Anspruch genommen, sind sie entsprechend zu dokumentieren 5. Die Voraussetzungen, unter denen Sperrungen erforderlich werden, sind zu definieren. Die Verwendung gesperrter Daten ist zu regeln AUSKUNFT AN JEDERMANN Gemäß 4g Abs. 2 Satz 2 BDSG hat der Datenschutzbeauftragte jedermann auf Antrag Einsicht in das Seite 14 4 Der Regierungsentwurf vom September 2007 sieht in 6a eine Ausweitung der Regelung vor 5 Der Regierungsentwurf vom September 2007 sieht zusätzliche Anforderungen in 28 für alle Scoring-Verfahren vor

15 Verfahrensverzeichnis zu gewähren. Ist kein Datenschutzbeauftragter bestellt, dann hat die Geschäftsleitung dies sicherzustellen MELDEPFLICHT Unter den Voraussetzungen des 4d BDSG sind automatisierte Verarbeitungen vor ihrer Inbetriebnahme der zuständigen Aufsichtsbehörde zu melden. > Die Meldepflicht entfällt gemäß 4d Abs. 2 BDSG, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat. Stattdessen sind diese Informationen dem Datenschutzbeauftragten zur Führung des Verfahrensverzeichnisses zur Verfügung zu stellen. > Sie entfällt auch gemäß 4d Abs. 3 BDSG, wenn personenbezogene Daten für eigene Zwecke erhoben, verarbeitet oder genutzt werden, hierbei höchstens NEUN Personen mit der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten beschäftigt UND entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient VERPFLICHTUNG DER MITARBEITER AUF DAS DATENGEHEIMNIS Das BDSG fordert, dass alle Personen, die mit personenbezogenen Daten umgehen, auf das Datengeheimnis gemäß 5 BDSG zu verpflichten sind. > Die Verpflichtung auf das Datengeheimnis ist pro Mitarbeiter zu dokumentieren. > Es ist sicherzustellen, dass beauftragte Firmen, die bei der Einführung von SAP ERP hinzugezogen werden, ihre Mitarbeiter auf das Datengeheimnis verpflichtet haben SCHULUNG Der Datenschutzbeauftragte hat die Mitarbeiter gemäß 4g Abs. 1 Nr. 2 BDSG mit dem BDSG sowie anderen Vorschriften über den Datenschutz und über innerbetriebliche Regelungen, die sich aus dem Gesetz ergeben, vertraut zu machen. > Der Datenschutzbeauftragte hat die Projektmitglieder und Anwender, die an der Einführung von SAP ERP beteiligt sind, mit den Anforderungen des BDSG vertraut zu machen. > Die durchgeführten Schulungen sind zu dokumentieren MASSNAHMEN ZUR DATENSICHERHEIT Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn angemessene technische und organisatorische Maßnahmen zur Datensicherheit getroffen wurden. Die Anforderungen der einzelnen Zielsetzungen ergeben sich aus 9 BDSG und Anlage. > Es sind angemessene Maßnahmen zur Datensicherheit zu treffen und mit dem Datenschutzbeauftragten abzustimmen. > Gegebenenfalls kann zur Verbesserung des Datenschutzes und der Datensicherheit das INSTALLIERTE System einem IT-Sicherheitsaudit unterworfen werden ÜBERSICHTEN GEM. 4E, 4G UND 18 ABS. 2 (BDSG-ÜBERSICHTEN) Die ÖFFENTLICHEN STELLEN entsprechend zweitem Abschnitt BDSG führen gemäß 18 BDSG Abs. 2 ein Verzeichnis der eingesetzten DATENVERARBEITUNGSANLAGEN und haben die Angaben gemäß 4e 6 Der Regierungsentwurf vom September 2007 sieht ein Audit-Gesetz vor, das durch VO konkretisiert werden muss. Hierin ist z. Zt. explizit der Bezug zur IT-Sicherheit ausgeschlossen Seite 15 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

16 1 Einführungsprozess BDSG sowie die Rechtsgrundlagen der Verarbeitung schriftlich festzulegen. Die verantwortlichen NICHT ÖFFENTLICHEN STELLEN entsprechend drittem Abschnitt BDSG haben dem Datenschutzbeauftragten gemäß 4g Abs. 2 BDSG eine Übersicht über die in 4e BDSG genannten Angaben sowie die zugriffsberechtigten Personen zur Verfügung zu stellen. > Die Wege und Möglichkeiten, mit denen die erforderlichen Übersichten erstellt werden können, sind festzulegen VORABKONTROLLE Unabhängig von der Verpflichtung der verantwortlichen Stelle, den Datenschutzbeauftragten bei der Verfahrenseinführung / -änderung zu beteiligen, sind Verfahren automatisierter Verarbeitung mit besonderen Risiken für die Rechte und Freiheiten der Betroffenen, insbesondere die Verarbeitung besonderer Daten und / oder Daten zur Leistungs- und Verhaltenskontrolle, gemäß 4d Abs. 5 BDSG unter den dort genannten Voraussetzungen vor Beginn der Verarbeitung einer datenschutzrechtlichen Prüfung zu unterwerfen. Zuständig für die Vorabkontrolle ist der Datenschutzbeauftragte. Eine schriftliche Dokumentation zur Vorabkontrolle ist zu empfehlen SAP SOLUTION MANAGER ALS UNTERSTÜTZENDES TOOL IM EINFÜHRUNGSPROZESS Der SAP Solution Manager ist die Service- und Supportplattform der SAP, die bei der Einführung und Implementierung von SAP-Projekten eine durchgängige Unterstützung bietet. Sofern der Solution Manager genutzt wird, sollte der Datenschutzverantwortliche auf die darin befindlichen Dokumente zur Beurteilung des Systems zurückgreifen 7. Alle Systeme Alle Geschäftsprozesse Alle Schulungsinformationen Die gesamte Dokumentation Sämtliche Testinformationen Alle Informationen zu Serviceplanung, Auslieferung und Follow-up Sämtliche Änderungsinformationen Alle Service-Level- Informationen SAP SOLUTION MANAGER Sämtliche Testinformationen Alle Kundenentwicklungen und funktionalen Erweiterungen Sämtliche Informationen zu Vorfällen und Problemen Sämtliche Überwachungsdaten 7 M. Schäfer, M. Melich: SAP Solution Manager. Galileo Press, Bonn 2006 Seite 16

17 1.2 MITWIRKEN DES DATENSCHUTZBEAUFTRAGTEN BEI DER EINFÜHRUNG VON SAP ERP Das BDSG verlangt in 4g Abs. 1 Nr. 1 BDSG die rechtzeitige Einschaltung des Datenschutzbeauftragten bei Vorhaben der automatisierten Verarbeitung personenbezogener Daten. Hierzu gehören auch die Einführung und der Releasewechsel von SAP ERP. > Wird SAP ERP in einem Unternehmen eingeführt, ist der Datenschutzbeauftragte frühzeitig zu beteiligen. > Der Datenschutzbeauftragte hat dabei zu überprüfen, ob das Customizing und die Implementierung des SAP ERP den Anforderungen des BDSG genügt. > Insbesondere dem Grundsatz der Datenvermeidung und Datensparsamkeit gemäß 3a BDSG kommt im Rahmen einer SAP ERP-Einführung große Bedeutung zu. Hier kann der Datenschutzbeauftragte ggf. direkten Einfluss auf die Gestaltung des Systems nehmen. > Bei einem Releasewechsel hat sich der Datenschutzbeauftragte auch von der datenschutzkonformen Durchführung des Wechsels zu überzeugen DATENSCHUTZBEAUFTRAGTER MITGLIED DES SAP-PROJEKTTEAMS Die sachgerechte Beratung der Projektleitung und -mitarbeiter und die Überprüfung der ordnungsgemäßen Anwendung (Customizing) durch den Datenschutzbeauftragten, die im 4g Abs. 1 Nr. 1 BDSG vorgesehen ist, können effektiv erreicht werden, wenn er Projektmitglied ist. Wird SAP ERP in einem Unternehmen eingeführt, ist der Datenschutzbeauftragte daher vom Projektbeginn an zu beteiligen INFORMATION DES DATENSCHUTZBEAUFTRAGTEN ZU DEN MEILENSTEINEN Es liegt in der Verantwortung des Datenschutzbeauftragten zu entscheiden, wann und wie er die ordnungsgemäße Anwendung von SAP ERP überprüft und welche Unterlagen er hierfür benötigt. Die Abstimmung, welche Unterlagen er benötigt und wann die Fragestellungen aus dem BDSG zu beantworten sind, lässt sich nur angemessen unter Berücksichtigung der Zielsetzungen und Projektentwicklung festlegen. Der Datenschutzbeauftragte sollte zu den Meilensteinen die erforderlichen Absprachen mit dem Projektteam zu den einzelnen Modulen treffen bzw. überprüfen, ob die getroffenen Festlegungen den Anforderungen des BDSG genügen. Die datenschutzrelevanten Projektschritte sind im ASAP-Vorgehensmodell definiert. Ein Beispiel: ASAP-Vorgehensmodell 2.6 Geschäftsprozessdefinition Anforderungen zu Geschäftsprozessen bestimmen Anforderungen zum Berichtswesen bestimmen und mit Datenschutzbeauftragtem abstimmen INFORMATIONSMÖGLICHKEITEN FÜR DEN DATENSCHUTZBEAUFTRAGTEN Der Datenschutzbeauftragte sollte sich einen angemessenen Kenntnisstand über folgende Elemente des SAP ERP-Systems aneignen: > Das Berechtigungskonzept und den Profilgenerator > Die Tabellenverwaltung > Die SAP-Programmiersprache ABAP und ABAP Query > ABAP Advanced Business Application Programming > Das SAP ABAP Dictionary Seite 17 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

18 1 Einführungsprozess Im ABAP Dictionary sind alle Datenfelder des SAP-Referenzmodells dokumentiert. Eine Übersicht über die Verwendung eines einzelnen Feldes in der SAP-Datenwelt erhalten Sie über die Funktion Verwendungsnachweis. > Verfahrensweise bei Extraktion und Auswertung von Daten aus SAP ERP mit Standardtools wie z. B. Microsoft Excel > Hilfsmittel zur Gestaltung von Bildschirmmasken (Screen & Menue Painter) Zur sachgerechten Beratung und Prüfung der ordnungsgemäßen Anwendung von SAP ERP benötigt der Datenschutzbeauftragte darüber hinaus Unterlagen und Informationen. Folgende Unterlagen sollten dem Datenschutzbeauftragten generell zur Verfügung stehen: > Komplette SAP ERP-Dokumentation (Doku-CD, Begleitbriefe, Release-Informationen mit Transaktion SO99, > Der SAP-Einführungsleitfaden und das ASAP-Vorgehensmodell > Der SAP-Prüfleitfaden Revision (z. Zt. Release 3.0D vom ): > Die SAP Sicherheitsleitfäden werden von SAP zur Verfügung gestellt. Bitte beachten Sie den SAP- Hinweis Verfügbarkeit des SAP Sicherheitsleitfadens > Die SAP-Hilfe (Dokumentations-CD) (http://www.sap.com/germany/aboutsap/shop/) > Zugriff auf den SAP Service Marketplace für die Hinweise und zusätzliche Informationen (http://service.sap.com) Der Datenschutzbeauftragte sollte sich alle Dokumente unter den Stichworten Datenschutz, Datensicherheit und Sicherheit ansehen. > IDES Schulungssystem (IDES Internet Demo and Evaluation System) > Audit Information System. Das Audit Information System (AIS) ist als Arbeitsmittel für den Auditor und den Datenschutzbeauftragten gedacht und wird im Kapitel 6.1 Audit Information System beschrieben. Es hat z. Zt. im System-Auditteil und Datenschutzteil einen Stand, der R/3 4.6c entspricht. Bitte beachten Sie den SAP-Hinweis 77503, Audit Information System (AIS). > SAP-Hinweis Sicherheit in SAP-Produkten > SAP-Hinweis Datenschutz und Sicherheit in SAP-Systemen 1.3 SAP-FAKTEN CUSTOMIZING UND ASAP-VORGEHENSMODELL Das Customizing wurde in eine Transaktion für die Projektverwaltung (SPRO_ADMIN) und in eine Transaktion für die Projektbearbeitung (SPRO) aufgeteilt. Das Customizing dient der unternehmensspezifischen Einstellung des SAP-Systems. Aufgrund der komplexen Tabellenstrukturen von SAP ERP stellt SAP systemseitig ein Vorgehensmodell und Einführungsleitfäden (Grundstrukturen zur Einführung) zur Verfügung. Diese sind auch Bestandteil der SAP-Online-Dokumentation. > Das ASAP-Vorgehensmodell bildet zum einen den methodischen Rahmen für den Einführungsund Releasewechselprozess, zum anderen ist es ein operatives Werkzeug zur Unterstützung in jeder Phase der Einführung. > Die Projektleitfäden für das SAP ERP Customizing als unternehmensspezifische Untermenge des Seite 18

19 Vorgehensmodells listen alle Aktivitäten für die Einführung des SAP-Systems auf und unterstützen die Steuerung und Dokumentation der Einführung. Die ordnungsmäßige SAP-Einführung hängt wesentlich von der sachgerechten Nutzung der SAP-Einführungsleitfäden (Implementation Guide IMG) ab. Das ASAP-Vorgehensmodell beinhaltet für den Datenschutzbeauftragten wesentliche Punkte, bei denen er projektspezifisch festlegen sollte, wie er in die Projektentwicklung einzubeziehen ist. Beispiele für die Einbeziehung des Datenschutzbeauftragten sind: > Datenschutzrelevante Geschäftsprozesse ermitteln und festlegen > Stammdaten festlegen > Berichtswesen festlegen > Informationsfluss personenbezogener Daten bei Anwendungsschnittstellen, insbesondere zu anderen Programmen, untersuchen > Informationsfluss der vorgesehenen Berichte und Auswertungen auf Datenschutzgesichtspunkte hin untersuchen > Datenschutzspezifische Freigabe zu Projektphasen (Meilensteinen) festlegen > Berechtigungskonzept unter Datenschutz- und Datensicherheitsgesichtspunkten beurteilen > Archivierungskonzept, insbesondere im Hinblick auf die Löschungsfristen, beurteilen (siehe Kapitel Regelfristen für Löschung) > Testkonzept beurteilen > Datenschutzspezifische Schulungsinhalte und -zeitpunkte festlegen > Dokumentationsinhalte hinsichtlich datenschutzrelevanter Fragen festlegen > Migration und Altdatenübernahme definieren > Programmanpassungen ermitteln und genehmigen Das SAP-Standard-Vorgehensmodell und allgemeine Hinweise hierzu finden Sie auf der Dokumentations-CD oder dem SAP Marketplace; Empfehlungen zu Beteiligungsthemen des Datenschutzbeauftragten entlang des ASAP-Vorgehensmodells stehen in Anlage 3. Die einzelnen Themen sollten bei der Planung einer Beteiligung des Datenschutzbeauftragten durchgegangen und für die Festlegung des eigenen Vorgehens verwendet werden. Der SAP ERP Customizing Einführungsleitfaden (Implementation Guide IMG) ist im System über den Menüpfad zu finden: Werkzeuge Customizing IMG Projektbearbeitung (SPRO); Schaltfläche SAP-Referenz-IMG Die Zuordnung der Customizing-Aktivitäten der modulbezogenen Einführungsleitfäden zum Vorgehensmodell ermitteln Sie durch die Zuschaltung der Anzeige. Gehen Sie folgendermaßen vor: 1 Rufen Sie die angelegten Projektleitfäden auf: Menüpfad: Werkzeuge Customizing IMG Projektbearbeitung durch Doppelklick auf das jeweilige Projekt und anschließendes Klicken auf die Schaltfläche,Projekt-IMG erhalten Sie den zugehörigen Projektleitfaden angezeigt. 2 Öffnen Sie die jeweiligen Customizing-Aktivitäten bis auf die Ebene der ausführbaren Funktionen. Seite 19 LEITFADEN DATENSCHUTZ FÜR SAP ERP 6.0 STAND , DSAG e. V.

20 1 Einführungsprozess Suchen Sie sich die einschlägigen Aktivitäten aus den Leitfäden heraus, die Sie unter Datenschutzgesichtspunkten bearbeiten müssen, und identifizieren Sie die modulspezifischen Einstellungen. 3 Nehmen Sie Kontakt mit den modulbezogenen Projektgruppen auf und sprechen Sie Ihre Aktivitäten mit ihnen ab BERECHTIGUNGSKONZEPT Ein Zugriffsschutzsystem und die Möglichkeit zur Vergabe individueller Berechtigungen dient unter Datenschutzaspekten im Wesentlichen folgenden Zielen: > dem Schutz vertraulicher Daten vor unberechtigter Erhebung, Speicherung, Kenntnisnahme, Übermittlung und Nutzung, dem Schutz der Daten vor unberechtigter, auch versehentlicher Änderung oder Löschung > der Gewährleistung des zweckgebundenen Gebrauchs der Daten > der Nachvollziehbarkeit und Zweckgebundenheit des Zugriffs auf personenbezogene Daten SAP liefert einen Set von Standardrollen aus, die der Kunde als Vorlage benutzen und hinsichtlich der Zuständigkeiten und organisatorischen Ausprägungen an seine individuellen Bedürfnisse anpassen kann. Der Umfang dieser Rollen ist aus Funktionssicht definiert, die Rollen sind zwingend auf die Sicherheitsbedürfnisse (Funktionstrennung, kritische Berechtigungen) der Organisation anzupassen. Mit jeder Vorlage erhält man ein individuelles Benutzermenü. Die Rollenvorlagen sind integrativer Bestandteil der anwendungsübergreifenden Workplace und Enterprise Portal / Portal-Rollen. Dem Administrator steht eine erweiterte Funktionsauswahl in der Einstiegstransaktion SAP Easy Access zur Verfügung. Mit dieser erweiterten Funktionsauswahl ist es ihm möglich, einfach eine der vielen Benutzerrollen einem Benutzer zuzuweisen. Dieser Benutzer erhält bei der Anmeldung am System automatisch das für seine tägliche Arbeit typische Benutzermenü sowie die Berechtigungen, die er für diese Arbeit benötigt. Die hohe Flexibilität des SAP-Berechtigungs- und Benutzerverwaltungskonzepts kann daher bei unsachgemäßer Anwendung bereits im Rahmen der Einführungsphase zu erheblichen Verletzungen des Datenschutzes führen. Statt des weit gefassten Standards bei ausgelieferten Rollen und Profilen etc. muss daher unbedingt unternehmensspezifisch nach dem Prinzip der minimalen Berechtigung eingegrenzt und angepasst werden. Da die Ordnungsmäßigkeit des SAP ERP-Systems unmittelbar durch das Verfahren zur Vergabe von Berechtigungen beeinflusst wird, ist auch das Vergabeverfahren selbst als wesentlicher Bestandteil des Zugriffsschutzes anzusehen. Es muss daher organisatorisch definiert, revisionsfähig gestaltet sowie ausreichend getestet und spätestens zum Produktionsbeginn verfügbar sein. Schließlich muss darauf geachtet werden, dass Rollen und ggf. auch Aktivitätsgruppen, Berechtigungen und Profile im Testsystem neu angelegt, geändert oder gelöscht werden und anschließend mittels CTS / CTO (Change Transport System / Change Transport Organizer) über das Qualitätssicherungssystem in die Produktionsumgebung übernommen werden. Seite 20

Leitfaden Datenschutz SAP ERP 6.0

Leitfaden Datenschutz SAP ERP 6.0 Deutschsprachige SAP Anwendergruppe Leitfaden Datenschutz SAP ERP 6.0 DSAG ARBEITSGRUPPE DATENSCHUTZ STAND 20. SEPTEMBER 2009 DSAG Arbeitskreis Revision / Risikomanagement Erarbeitet in der Arbeitsgruppe

Mehr

Datenschutzleitfaden SAP

Datenschutzleitfaden SAP Georg Siebert forba Partnerschaft der Ingenieure und beratenden Betriebswirte Dominicusstr.3, 10823 Berlin www.forba.de 21. SAP-/ Neue Technologie-Konferenz, 21.- 23.10.2008 Datenschutzleitfaden SAP ERP

Mehr

SAP AG é Neurottstr. 16 é D-69190 Walldorf Änderungen und Ergänzungen vorbehalten 5 H O H D V H 6 W D Q G 6 H S W H P E H U

SAP AG é Neurottstr. 16 é D-69190 Walldorf Änderungen und Ergänzungen vorbehalten 5 H O H D V H 6 W D Q G 6 H S W H P E H U $UEHLWVNUHLV5HYLVLRQ $UEHLWVJUXSSH'DWHQVFKXW] /HLWIDGHQ'DWHQVFKXW] I U6$35 5 H O H D V H 6 W D Q G 6 H S W H P E H U % H V W H O O 1 U ) D [ 1 U K W W S Z Z Z V D S F R P J H U P D Q \ D E R X W V D S

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main Achtung! Auftragsdatenverarbeitung Datenschutz-Kurzcheck

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. (Aus den»fliegenden Blättern«, humoristisch-satirische Zeitschrift, die von 1844-1944 in München erschien) 1 8.2.1.Der

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR Der Datenschutzbeauftragte im medizinischen Unternehmen Datenschutzbeauftragter als Berufsbezeichnung Der Begriff Datenschutzbeauftragter stellt eine Berufsbezeichnung dar. Anlässlich der beantragten registergerichtlichen

Mehr

Werner Hornberger Jürgen Schneider Sicherheit und Datenschutz mit SAP-Systemen. Maßnahmen für die betriebliche Praxis.

Werner Hornberger Jürgen Schneider Sicherheit und Datenschutz mit SAP-Systemen. Maßnahmen für die betriebliche Praxis. Werner Hornberger Jürgen Schneider Sicherheit und Datenschutz mit SAP-Systemen Maßnahmen für die betriebliche Praxis Galileo Press Inhalt Vorwort 11 Teil 1: Sicherheit 1 Sicherheit im Unternehmen 17 1.1

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes

Mehr

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n)

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n) Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n) Vertrag über Dienstleistungen einer/eines externen Datenschutzbeauftragten nach 4f Bundesdatenschutzgesetz -"BDSG"- zwischen vertreten

Mehr

Grundlagen Datenschutz

Grundlagen Datenschutz Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de

Mehr

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht Diplom-Informatiker Werner Hülsmann Konradigasse 24-78462-Konstanz Tel.:7531 / 365 90 5-4; FAX: -7 E-Mail: info@datenschutzconsulting.info

Mehr

Gründe für ein Verfahrensverzeichnis

Gründe für ein Verfahrensverzeichnis 1 Wozu ein Verfahrensverzeichnis? Die Frage, wieso überhaupt ein Verfahrensverzeichnis erstellt und gepflegt werden soll, werden nicht nur Sie sich stellen. Auch die sogenannte verantwortliche Stelle in

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Secorvo. Partner und Unterstützer

Secorvo. Partner und Unterstützer Partner und Unterstützer Datenschutz Anspruch und Wirklichkeit im Unternehmen Karlsruher IT-Sicherheitsinitiative, 31.03.2004 Dirk Fox fox@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße

Mehr

Verfahrensverzeichnis für Jedermann. gem. 4g Abs. 2 Satz 2 BDSG

Verfahrensverzeichnis für Jedermann. gem. 4g Abs. 2 Satz 2 BDSG Verfahrensverzeichnis für Jedermann Angaben zur verantwortlichen Stelle ( 4e Satz 1 Nr. 1-3 BDSG) 1. Name oder Firma der verantwortlichen Stelle ACI-EDV-Systemhaus GmbH Dresden 2.1. Leiter der verantwortlichen

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA Verantwortliche Stelle 1 Stand vom: 1. Bezeichnung des Verfahrens 2 2. Zweckbestimmung 3 und Rechtsgrundlage

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen

Mehr

Erfahrungen mit der Einführung einer Human-Capitel-Management-Anwendung (HCM) im globalen Kontext

Erfahrungen mit der Einführung einer Human-Capitel-Management-Anwendung (HCM) im globalen Kontext Erfahrungen mit der Einführung einer Human-Capitel-Management-Anwendung (HCM) im globalen Kontext Hans Bergmann CEMEX Deutschland AG Abschluss einer Konzernbetriebsvereinbarung über die Einführung von

Mehr

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle)

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) Version 1.0 Ausgabedatum 20. März 2013 Status in Bearbeitung in Abstimmung

Mehr

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser Surfen am Arbeitsplatz Ein Datenschutz-Wegweiser Inhalt Allgemeine Fragen zur Wahrung der Privatsphäre 4 Grundsätzliche Anforderungen 6 Allgemeines 6 Dienstliche Nutzung 7 Private Nutzung 8 Protokollierung

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz Beratungskonzept für die Datenschutz-Betreuung durch einen externen Beauftragten für den Datenschutz Die nachstehenden Informationen sollen Geschäftsführern und anderen Führungskräften von Unternehmen

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2007: BDSG (1) 1.1 Voraussetzungen zur automatisierten DV (1) Anmerkung: Automatisierte Datenverarbeitung = Erhebung, Verarbeitung oder Nutzung unter

Mehr

Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG

Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG Version 1.0 Ausgabedatum 20. März 2013 Status in Bearbeitung in Abstimmung freigegeben Kontakt Angelika

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215

Mehr

Datenschutz. Öffentliches Verfahrensverzeichnis der Indanet GmbH nach 4e Bundesdatenschutz (BDSG)

Datenschutz. Öffentliches Verfahrensverzeichnis der Indanet GmbH nach 4e Bundesdatenschutz (BDSG) Datenschutz. Öffentliches Verfahrensverzeichnis der Indanet GmbH nach 4e Bundesdatenschutz (BDSG) Inhalt Öffentliches Verfahrensverzeichnis... 3 1.1 Angaben zu der Verantwortlichen Stelle ( 4e Satz 1 Nrn.

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Firmeninformation zum Datenschutz

Firmeninformation zum Datenschutz BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Firmeninformation zum Datenschutz Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981)

Mehr

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich -

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Baden-Württemberg INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Datenschutzrechtliche Hinweise zum Einsatz von Webanalysediensten wie z. B. Google Analytics 1 -

Mehr

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Natascha Düren Forum Rot, it-sa 2013 Nürnberg, 10.10.2013 Besuchen Sie uns! it-sa 2013, Halle

Mehr

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Erläuterungen zum Abschluss der Datenschutzvereinbarung Erläuterungen zum Abschluss der Datenschutzvereinbarung Bei der Nutzung von 365FarmNet erfolgt die Datenverarbeitung durch die365farmnet GmbH im Auftrag und nach Weisung des Kunden. Die die365farmnet GmbH

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Matthias Herber Datenschutzbeauftragter der TU Dresden Kontakt: datenschutz@tu-dresden.de AK Verzeichnisdienste Duisburg,

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Vorabkontrolle gemäß 4d Abs. 5 BDSG - Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Öffentliches Verfahrensverzeichnis nach Bundesdatenschutzgesetz (BDSG)

Öffentliches Verfahrensverzeichnis nach Bundesdatenschutzgesetz (BDSG) 1 von 5 Seiten nach Bundesdatenschutzgesetz (BDSG) Das BDSG schreibt im 4g vor, dass der Beauftragte für den Datenschutz jedermann in geeigneter Weise die folgenden Angaben entsprechend 4e verfügbar zu

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Verfahrensverzeichnis gemäß 4g Abs. 2 BDSG

Verfahrensverzeichnis gemäß 4g Abs. 2 BDSG Verfahrensverzeichnis gemäß 4g Abs. 2 BDSG 1. Firma der verantwortlichen Stelle ( 4g Abs. 2, 4e S. 1 Ziff. 1 BDSG) GMFS Versicherungsmakler GmbH 2. Geschäftsleitung des Unternehmens und mit der Leitung

Mehr

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010 Lutz Grammann Datenschutz für Administratoren St. Pius-Stift Cloppenburg 13. Oktober 2010 06. Oktober 2010 Datenschutz für Administratoren 1 Erwartungen an Administratoren Mitwirkung bei der Gestaltung

Mehr

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v.

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. binsec - binary security UG 13. Juni 2015 Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Anlage zur Auftragsdatenverarbeitung

Anlage zur Auftragsdatenverarbeitung Anlage zur Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung

Mehr

AUB e.v. Nürnberg Verfahrenmeldung nach 4e, 4g BDSG

AUB e.v. Nürnberg Verfahrenmeldung nach 4e, 4g BDSG Bemerkung: Betriebliche Datenschutzbeauftragte fragen nach wie vor an, wie das Verfahrensregister zu gestalten ist, was er nach 4g Abs. 2 resp. 4e Satz 1 BDSG zu führen und auszugsweise für jedermann zur

Mehr

1. WANN BENÖTIGT EIN UNTERNEHMEN EINEN BETRIEBLICHEN DA- TENSCHUTZBEAUFTRAGTEN?

1. WANN BENÖTIGT EIN UNTERNEHMEN EINEN BETRIEBLICHEN DA- TENSCHUTZBEAUFTRAGTEN? MERKBLATT Fairplay DER BETRIEBLICHE DATENSCHUTZBEAUFTRAGTE Braucht mein Unternehmen einen Datenschutzbeauftragten? Wie bestelle ich einen Datenschutzbeauftragten? Welche Rechte und Pflichten hat der Datenschutzbeauftragte?

Mehr

Datenschutz und Datensicherheit im Handwerksbetrieb

Datenschutz und Datensicherheit im Handwerksbetrieb N. HOZMANN BUCHVERLAG Werner Hülsmann Datenschutz und Datensicherheit im Handwerksbetrieb Inhaltsverzeichnis Vorwort 13 1 Datenschutz und Datensicherheit 15 1.1 Grundlagen und Grundsätze 15 1.1.1 Was ist

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG)

Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) I. Grundsätzliches zur Vorabkontrolle Vor dem Einsatz von Gemeinsamen Verfahren und Abrufverfahren ( 8 Abs. 1 LDSG)

Mehr

Das neue Datenschutzgesetz 2009 - Konsequenzen für den betrieblichen Datenschutz

Das neue Datenschutzgesetz 2009 - Konsequenzen für den betrieblichen Datenschutz Das neue Datenschutzgesetz 2009 - Konsequenzen für den betrieblichen Datenschutz Eine Veranstaltung der IHK Regensburg am 27.10.2009 Referentin: Sabine Sobola, Rechtsanwältin, Lehrbeauftragte für IT-Recht

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Einführung in die Datenerfassung und in den Datenschutz

Einführung in die Datenerfassung und in den Datenschutz Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche

Mehr

ISACA After Hours Seminar vom 29.3.2009

ISACA After Hours Seminar vom 29.3.2009 SAP -Systeme und Unternehmensdaten wie sicher sind sie wirklich? Thomas Tiede IBS Schreiber GmbH Geschäftsführer 1 Agenda 1 Sensible Unternehmensdaten Wo und wie werden sie gespeichert? 2 Unterschätzte

Mehr

Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung. Präambel

Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung. Präambel Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung Präambel Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Risikomanagement und CheckAud for SAP Systems

Risikomanagement und CheckAud for SAP Systems Risikomanagement und CheckAud for SAP Systems IBS Schreiber GmbH Olaf Sauer Zirkusweg 1 20359 Hamburg Tel.: 040 696985-15 Email: info@ibs-schreiber.de 1 Vorstellung Die IBS Schreiber GmbH stellt sich vor:

Mehr

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken in der Regierung von Mittelfranken 2 Wesentliche Elemente des Datenschutzes im Unternehmen 3 Teil A Datenschutz im Unternehmen Teil A Allgemeines zum Datenschutz 4 I. Schutz der personenbezogenen Daten

Mehr

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)...

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)... 2 Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7 1. Gesetzliche Verpflichtung... 7 2. Vertragliche Verpflichtungen... 7 3. Staatliche Sanktionsmöglichkeiten... 7 4. Schadensersatzansprüche...

Mehr

Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt

Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt Rechtliches und Technisches Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt - SQS -Testsuite für SAP HCM - der SQS Software Quality Systems AG, Stollwerckstraße

Mehr

Der nächste Schritt: Kommunikation zwischen R/3 und externen Systemen Auswahl von SAP-Interfaces unter Qualitäts- und Performance-Aspekten

Der nächste Schritt: Kommunikation zwischen R/3 und externen Systemen Auswahl von SAP-Interfaces unter Qualitäts- und Performance-Aspekten Der nächste Schritt: Kommunikation zwischen R/3 und externen Systemen Auswahl von SAP-Interfaces unter Qualitäts- und Performance-Aspekten Autor: Stephan Fröhlich, Marko Fricke Orange Five GmbH Inhalt

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g Bundesdatenschutzgesetz (BDSG)

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g Bundesdatenschutzgesetz (BDSG) REGIERUNGSPRÄSIDIUM DARMSTADT Aufsichtsbehörde für den Datenschutz im nicht öffentlichen Bereich 64283 Darmstadt, Luisenplatz 2, Briefanschrift: 64278 Darmstadt Tel: 06151/12-85 71 Fax: 06151/12-5794 email:

Mehr

Vereinbarung Auftrag gemäß 11 BDSG

Vereinbarung Auftrag gemäß 11 BDSG Vereinbarung Auftrag gemäß 11 BDSG Schuster & Walther Schwabacher Str. 3 D-90439 Nürnberg Folgende allgemeinen Regelungen gelten bezüglich der Verarbeitung von Daten zwischen den jeweiligen Auftraggebern

Mehr

Öffentliches Verfahrensverzeichnis der. ProfitBricks GmbH

Öffentliches Verfahrensverzeichnis der. ProfitBricks GmbH Öffentliches Verfahrensverzeichnis der Dokumenten-Informationen: Version: 1.1 Stand: 08.09.2014 Autor: Öffentliches Verfahrensverzeichnis der Seite 1 Öffentliches Verfahrensverzeichnis der Gemäß 4g Abs.

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) Mustermann GmbH Musterstr. 123 12345 Musterstadt Sehr geehrte(r) Frau/Herr, aufgrund Ihrer Aufgabenstellung in unserem Unternehmen gilt

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Das Datenschutzregister der Max-Planck-Gesellschaft

Das Datenschutzregister der Max-Planck-Gesellschaft Das Datenschutzregister der Max-Planck-Gesellschaft Dr. Wilfried Grieger wgriege@gwdg.de http://www.gwdg.de/~wgriege Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg, 37077

Mehr

Öffentliches Verfahrensverzeichnis

Öffentliches Verfahrensverzeichnis 2011 Öffentliches Verfahrensverzeichnis Stand: 01.03.2011 Öffentliches Verfahrensverzeichnis Stand: 01.03.2011 Der Schutz Ihrer persönlichen Daten und Ihrer Privatsphäre ist uns sehr wichtig. Deshalb ist

Mehr

Datenschutz-Unterweisung

Datenschutz-Unterweisung Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art

Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art 1 2 3 Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art Nervensystem der Gesellschaft entwickelt. Neben vielen

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Erstellung eines Verfahrensverzeichnisses aus QSEC

Erstellung eines Verfahrensverzeichnisses aus QSEC Erstellung eines Verfahrensverzeichnisses aus QSEC Im QSEC-Reporting-Modul steht ab der Version 4.2 ein neuer Bericht zur Verfügung. Es besteht nun die Möglichkeit, einen BDSG-konformen Datenschutzbericht

Mehr

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten Joachim Frost, Berater für Datenschutz Stellung des Datenschutzbeauftragten -Berater der Geschäftsleitung -weisungsfrei in Fachfragen -nur

Mehr

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1. Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang

Mehr

datenschutz carsten metz Bundesdatenschutzgesetz Haftungsrisiken vermeiden

datenschutz carsten metz Bundesdatenschutzgesetz Haftungsrisiken vermeiden Bundesgesetz Haftungsrisiken vermeiden Datenschutzrechtlinien von den Vereinten Nationen 1990 beschlossen Grundsätze, die einen Mindeststandard festlegen, der bei der nationalen Gesetzgebung berücksichtigt

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Steuerberater haben einen Datenschutzbeauftragten zu bestellen! - Verbände informieren

Steuerberater haben einen Datenschutzbeauftragten zu bestellen! - Verbände informieren Steuerberater haben einen Datenschutzbeauftragten zu bestellen! - Verbände informieren Grundsätzlich ist jeder Steuerberater zur Bestellung eines Datenschutzbeauftragten verpflichtet, es sei denn, er beschäftigt

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Öffentliches Verfahrensverzeichnis

Öffentliches Verfahrensverzeichnis Öffentliches Verfahrensverzeichnis Fahrschule Fries Preetzer Chaussee 128 24146 Kiel Erstellt durch: IT.DS Beratung Schierheisterberg 2b 21244 Rosengarten www.itdsb.de Rosengarten, den 10.07.2015 Öffentliches

Mehr

BDSG - Interpretation

BDSG - Interpretation BDSG - Interpretation Materialien zur EU-konformen Auslegung Christoph Klug Rechtsanwalt, Köln Gesellschaft für Datenschutz und Datensicherung e. V., Bonn 2. aktualisierte und erweiterte Auflage DATAKONTEXT-FACHVERLAG

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr