SAP AG é Neurottstr. 16 é D Walldorf Änderungen und Ergänzungen vorbehalten 5 H O H D V H 6 W D Q G 6 H S W H P E H U
|
|
- Erich Stein
- vor 8 Jahren
- Abrufe
Transkript
1 $UEHLWVNUHLV5HYLVLRQ $UEHLWVJUXSSH'DWHQVFKXW] /HLWIDGHQ'DWHQVFKXW] I U6$35 5 H O H D V H 6 W D Q G 6 H S W H P E H U % H V W H O O 1 U ) D [ 1 U K W W S Z Z Z V D S F R P J H U P D Q \ D E R X W V D S U H Y L V K W W S Z Z Z V D S G H U H Y L V SAP AG é Neurottstr. 16 é D Walldorf Änderungen und Ergänzungen vorbehalten
2 für SAP-R/ AG Datenschutz 2 Leitfaden Datenschutz für SAP-R/3 (LQOHLWXQJ (LQI KUXQJVSUR]HVV 1.1 $QIRUGHUXQJHQGHV%'6*DQ6$ Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten Übermittlung von personenbezogenen Daten Abrufverfahren Besondere Zweckbindung Auftragsverarbeitung Benachrichtigung des Betroffenen Rechte des Betroffenen Auskunft an jedermann Meldepflicht Verpflichtung der Mitarbeiter auf das Datengeheimnis Schulung Maßnahmen zur Datensicherheit Übersichten gem. 4e, 4g und 18 Abs. 2 (BDSG-Übersichten) Vorabkontrolle LWZLUNHQGHV'DWHQVFKXW]EHDXIWUDJWHQEHLGHU(LQI KUXQJYRQ6$ Datenschutzbeauftragter - Mitglied des SAP-Projektteams Information des Datenschutzbeauftragten zu den Meilensteinen Informationsmöglichkeiten für den Datenschutzbeauftragten $3)DNWHQ Customizing und ASAP-Vorgehensmodell Berechtigungskonzept Change Transport System/Change Transport Organizer (CTS/CTO) Schnittstellenverarbeitung Job-Auftrags-Verfahren - und Dokumentation LVLNHQ Nichteinschaltung des Datenschutzbeauftragten bzw. der Arbeitnehmervertreter Nichtbeachtung der SAP-Empfehlungen Nichtberücksichtigung bzw. verspätete Erstellung des Berechtigungskonzeptes Nicht ordnungsgemäße Anwendung eines Datenverarbeitungsprogramms U IXQJVKDQGOXQJHQLP5DKPHQGHU(LQI KUXQJ&KHFNOLVWH $XIJDEHQGHV'DWHQVFKXW]EHDXIWUDJWHQ 2.1 hehuzdfkxqjghurugqxqjvjhpl HQ3URJUDPPDQZHQGXQJ J$EV%'6* Einbeziehung des DSB vor und während der Programmentwicklung- und - anpassung Prüfung der Datenerhebung und Datennutzung auf Rechtmäßigkeit Auswertung der Protokollierung Prüfung der Verfahrensdokumentation Mitwirkung bei der Festlegung und Überprüfung des Berechtigungskonzeptes Mitwirkung bei der Festlegung des Betriebskonzeptes und der Betreiberorganisation Abfassung einer Datenschutzerklärung Überwachung des Korrektur- und Transportwesens unter SAP R/ Kontrollen im laufenden Betrieb FKXOXQJGHU$QZHQGHUPLW9HUSIOLFKWXQJDXIGDV'DWHQJHKHLPQLV JXQG
3 für SAP-R/ AG Datenschutz 3 %'6* Personenkreis, der geschult und verpflichtet werden muss Inhalt der Anwenderschulungen Abbildung der Anwenderschulung im SAP ) KUHQYRQhEHUVLFKWHQ J$EV $EV%'6* Informationen zur verantwortlichen Stelle Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien Empfänger oder Kategorien von Empfängern Regelfristen für Löschung Geplante Übermittlung in Drittstaaten Maßnahmen zur Gewährleistung der Sicherheit Zugriffsberechtigte Personen Beispiel Melderegister \VWHPXQWHUVW W]XQJ Auswertungen zur Tabellen- und Feldanalyse Techniken zum Auffinden personenbezogener Daten Prüfung der Zugriffsberechtigungen HFKWHGHU%HWURIIHQHQXQGYRQMHGHUPDQQ 3.1 %HQDFKULFKWLJXQJXQG$XVNXQIW SAP-Fakten Anforderungen an die Organisation des Datenschutzes %HULFKWLJXQJ/ VFKXQJXQG6SHUUXQJ Rechtliche Anforderungen SAP-Fakten Anforderungen an die Organisation des Datenschutzes PVHW]XQJGHU$QIRUGHUXQJHQDXV %'6*XQG$QODJH7HFKQLVFK RUJDQLVDWRULVFKH0D QDKPHQ 4.1 $QIRUGHUXQJHQ Gesetzliche Anforderungen aus 9 BDSG SAP-Funktionalität zur Abdeckung der gesetzlichen Anforderungen $3)DNWHQ5LVLNHQXQG0D QDKPHQ Identifizierung und Authentifizierung Standardbenutzer Benutzerberechtigungskonzept: ausgewählte Berechtigungsobjekte Benutzerberechtigungskonzept: ausgewählte Profile Besonderheiten bei der Berechtigungsprüfung Benutzeradministration Änderungen am Produktivsystem Systemschnittstellen Auditing und Logging Komplexe Suchhilfe Zusammenfassung zentraler Risiken =XVDPPHQIDVVXQJGHU3U IXQJVKDQGOXQJHQ Anforderungen an die Prüfbarkeit URJUDPPWHVWXQG7HVWYRQ&XVWRPL]LQJ(LQVWHOOXQJHQ 3URJUDPPGRNXPHQWDWLRQ )UHLJDEHYHUIDKUHQ $QZHQGXQJVHQWZLFNOXQJ %HQXW]HUVHUYLFH6\VWHPDGPLQLVWUDWLRQ
4 für SAP-R/ AG Datenschutz 4 5HFKHQ]HQWUXPVEHWULHE Prüfung spezieller Regelungen aus vorrangigen Rechtsvorschriften (z.b. aus geltenden Betriebsvereinbarungen zu organisatorisch-technischen Maßnahmen) $QKDQJ]X%HQXW]HUEHUHFKWLJXQJHQ Prüfung der Datenschutzmaßnahmen gemäß 9 BDSG und der Anlage $XWKHQWLIL]LHUXQJ =XJULIIVVFKXW] %HGLHQHUREHUIOlFKH 3URWRNROOLHUXQJ =XJULIIVVFKXW] 'DWHQ EHUPLWWOXQJ 2XWSXWPDQDJHPHQW 3URWRNROOHLQVWHOOXQJHQ 3URWRNROODXVZHUWXQJHQ =XJULIIVVFKXW] =XJULIIVVFKXW] =XJULIIVVFKXW] 6RQVWLJH0D QDKPHQ $OOJHPHLQH5LFKWOLQLHQ =XJULIIVYHUZDOWXQJXQG3URWRNROODXVZHUWXQJHQ $XIWUDJVGDWHQYHUDUEHLWXQJ 5.1 $EJUHQ]XQJHQEHLP7KHPD2XWVRXUFLQJXQG'DWHQVFKXW] 5.2 9HUWUDJVJHVWDOWXQJ]ZLVFKHQ$XIWUDJJHEHUXQG$XIWUDJQHKPHU Pflichten des Auftraggebers und Auftragnehmers Umfang der Datenverarbeitung / Weisungen Technische und organisatorische Maßnahmen Wahrung der Rechte der Betroffenen Datengeheimnis Kontrollen durch den Auftraggeber Datenschutzbeauftragter des Auftragnehmers Unterauftragnehmer Verarbeitung im Ausland Wartung und Pflege $3)DNWHQ Ausgangssituation SAP-Administration SAP-spezifische Maßnahmen LVLNHQ %HVRQGHUH7KHPHQ 6.1 $OOJHPHLQH7HFKQLNHQ Audit-Informationssystem (AIS) Favoritenliste Reportingbaum Reportvarianten $QZHQGHUVFKXOXQJ EHUGDV9HUDQVWDOWXQJVPDQDJHPHQW
5 für SAP-R/ AG Datenschutz 5 *ORVVDU 7.1 :LFKWLJH%HJULIIHGHV%'6* 7.2 6$3%HJULIIH 7.3 *UXQGEHJULIIHGHV'LFWLRQDU\ /LWHUDWXU $QODJHQ 9.1 $QODJH Verpflichtung auf das Datengeheimnis $QODJH Merkblatt Datenschutz $QODJH Empfehlungen zum ASAP-Vorgehensmodell ,QGH[
6 für SAP-R/ AG Datenschutz 6 =XVDPPHQIDVVXQJGHUbQGHUXQJHQXQG1DFKWUlJH (UVWH$XIODJH 5HOHDVH =ZHLWH$XIODJH 5HOHDVH
7 für SAP-R/ AG Datenschutz 7 Einleitung Der vorliegende Leitfaden Datenschutz zum 5HOHDVHVWDQG im SAP- Systemumfeld 5 soll Datenschutzbeauftragten der SAP-Anwender Anhaltspunkte für die Vorgehensweise bei der Umsetzung der Anforderungen der Datenschutzvorschriften bei Einsatz der SAP-Software geben. Der Leitfaden ist als "Empfehlung" gedacht, nicht aber als "Verbindliche Richtlinie" oder "Norm". Jegliche Verantwortung für Art, Umfang und Ergebnis der Umsetzung der Datenschutzvorschriften verbleibt somit beim Datenschutzbeauftragten und der Firma. Für das Studium dieses Leitfadens werden Grundkenntnisse der SAP-Systeme sowie Kenntnisse der GoB "Grundsätze ordnungsmäßiger Buchführung" und des BDSG Bundesdatenschutzgesetz vorausgesetzt. Der Leitfaden Datenschutz behandelt Fragestellungen, die bereits im R/3-Sicherheitsleitfaden oder in anderen Prüfleitfäden des AK-Revision enthalten sind, insbesondere aus datenschutzrechtlicher Sicht. In dieser Version wird nicht auf modulspezifische Besonderheiten, z.b. HR oder mysap Healthcare, eingegangen. SAP R/3 ist als international eingesetzte Standardsoftware konzipiert. Der Leitfaden berücksichtigt zur Zeit die EU Richtlinie 95/46/EG und insbesondere die deutsche Datenschutzgesetzgebung. Die Autoren sind Mitglieder der Arbeitsgruppe DATENSCHUTZ im Arbeitskreis Revision und stellen hiermit ihre Erfahrungen zur Verfügung. Copyright 2001 der Autoren: Herr R. Anhorn Herr T. Barthel Frau C. Bonni Herr I. Carlberg Herr S. Dierschke Herr W. Geesmann Herr R. Glagow Herr F. Glaß Herr T. Glauch Herr J. Heck Herr G. Hohnhorst Herr W. Hornberger Herr A. Kirk Herr K. Lorenz Herr P. Schiefer Herr E. Schmidt Herr A. von der Stein Herr G. Voogd Frau G. Zibulski Robert Bosch GmbH, Stuttgart FORBIT e.v./caro GmbH, Hamburg Lausitzer Braunkohle AG, Senftenberg BIT e.v., Bochum BASF AG-Zok, Ludwigshafen KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf PWC Deutsche Revision AG, Düsseldorf PWC Deutsche Revision AG, Düsseldorf KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf Brau und Brunnen AG, Dortmund KPMG Deutsche Treuhand-Gesellschaft, Düsseldorf SAP AG, Walldorf Ruhrgas AG, Essen Deutsche Bausparkasse Badenia AG, Karlsruhe Bayer AG, Leverkusen Philip Morris GmbH, München RWE Systems AG, Dortmund FORBIT e.v./caro GmbH, Hamburg SAP AG, Walldorf
8 für SAP-R/ AG Datenschutz 8 An der 1. Auflage wirkten außerdem mit: Herr V. Ahrend Herr W. Kilian Herr A. Lenz Herr Dr. Pötschat Herr U. Ueberschar Bosch Telecom GmbH, Frankfurt RWE Energie Aktiengesellschaft, Essen Rheinbraun AG, Köln BASF AG; Ludwigshafen Mannesmann Arcor AG & Co., Eschborn / Köln Die Verantwortung für den Inhalt tragen die Autoren. Die redaktionelle Bearbeitung liegt bei der SAP AG, Walldorf. +LQZHLV: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechts ist ohne Zustimmung der Urheber unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Autoren des Leitfaden Datenschutz sind für Kritik, Änderungs- und Ergänzungswünsche dankbar. Dies gilt sowohl für Vorschläge zur Vertiefung der einzelnen Kapitel als auch für die Nennung von Beispielen aus konkreten Prüfungserfahrungen. 8P GHP /HVHU GDV $QWZRUWHQ ]X HUOHLFKWHUQ LVW DXI GHU IROJHQGHQ 6HLWH HLQ)RUPXODUHLQJHI JW
9 für SAP-R/ AG Datenschutz 9 An den Sprecher der Arbeitsgruppe Datenschutz z. Hd. Herrn T. Barthel c/o. FORBIT/CArO )$; Eimsbüttelerstr. 18 D Hamburg barthel@forbit.de Absender: Name:... Funktion:... Abteilung:... Firma:... Anschrift: Telefon:... Fax:... Betr.: Ergänzende Information(en) zum Leitfaden Datenschutz für SAP- R/3 Ich möchte der Arbeitsgruppe zu folgendem Themenkreis Informationen geben (bitte ankreuzen): Ich beziehe mich auf Meine Information lautet: ( ) Kritische Tabellen/Customizing-Einstellungen ( ) Kritische Objekte ( ) Kritische SAP-Fakten ( ) Beispiele für konkrete Umsetzungsmaßnahmen und Prüfungshandlungen SAP-Leitfaden Datenschutz R/3, Kapitel:... SAP-R/3-System, Release: Zur weiteren Erläuterung sind Anlagen beigefügt (bitte ankreuzen): ( ) Ja ( ) Nein
10 für SAP-R/ AG Datenschutz Einführungsprozess Die Voraussetzung für die Anwendung des Bundesdatenschutzgesetzes (BDSG) ist beim Einsatz von SAP R/3 erfüllt, da in allen Modulen personenbezogene Daten automatisiert verarbeitet werden (vgl. 1 BDSG in Verbindung mit 12 oder 27 BDSG). Deshalb sind das Bundesdatenschutzgesetz und andere vorrangige Rechtsvorschriften, z.b. das jeweilige Landesdatenschutzgesetz zu beachten. Dieser Leitfaden gilt für den öffentlichen und den nicht-öffentlichen Bereich. Auf die Besonderheiten der Landesdatenschutzgesetze wird in diesem Leitfaden nicht eingegangen. Da SAP R/3 als international eingesetzte Standardsoftware unter betriebswirtschaftlichen Aspekten konzipiert ist, kann ein Anwender nicht ohne weiteres davon ausgehen, dass für alle angebotenen Datenfelder die Rechtsgrundlagen im Sinne der deutschen Datenschutzgesetze gegeben sind. Es ergibt sich damit die Notwendigkeit zu überprüfen, ob SAP R/3 in der beim Anwender vorgesehenen Ausprägung den Anforderungen des Bundesdatenschutzgesetzes und ggf. anderer Vorschriften über den Datenschutz genügt. Der Datenschutzbeauftragte sowie Betriebsrat/Personalrat sind daher in die Projektarbeit einzubeziehen, wobei die Projektverantwortung für die ordnungsgemäße Einführung von SAP R/3 der Projektleitung obliegt.
11 für SAP-R/ AG Datenschutz $QIRUGHUXQJHQGHV%'6*DQ6$35 Das BDSG spricht ein grundsätzliches Verbot der Verarbeitung und Nutzung personenbezogener Daten aus und erlaubt die Datenverarbeitung nur, wenn die im BDSG definierten Voraussetzungen erfüllt sind. Dieser Grundsatz führt dazu, dass mit der Einführung des SAP R/3 überprüft werden muss, ob die Anforderungen des BDSG und anderer vorrangiger Rechtsvorschriften angemessen berücksichtigt wurden Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten Grundsätzlich ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten gemäß 4 BDSG verboten, es sei denn, das BDSG erlaubt bzw. verlangt die Verarbeitung oder eine andere vorrangige Rechtsvorschrift erlaubt bzw. verlangt die Verarbeitung oder es liegt eine schriftliche Einwilligung des Betroffenen vor. Die Zulässigkeitskriterien für die Erhebung, Verarbeitung oder Nutzung ergeben sich aus 4 BDSG in Verbindung mit 11 BDSG und 13 und 14 BDSG für die öffentlichen Stellen 28 bis 30 BDSG für nicht-öffentliche Stellen. Die Beweislast für die Zulässigkeit trägt die verantwortliche Stelle. Der Grundsatz der Datenvermeidung und Datensparsamkeit gem. 3a BDSG mit dem Ziel, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen, ist zu beachten. Die 5HFKWVJUXQGODJHQ für die Erhebung, Verarbeitung und Nutzung sind im BDSG differenziert gestaltet und müssen geprüft bzw. geschaffen werden (z.b. Einwilligung, Vertrag, Betriebsvereinbarung). Die organisatorischen und technischen Maßnahmen zur Nutzung von SAP R/3 sind so zu gestalten, dass QXU GLH HUIRUGHUOLFKHQ personenbezogenen Daten gespeichert werden. Abhängig vom Zweck der Verarbeitung ist mit den Möglichkeiten des Berechtigungskonzeptes und anderer Sicherungsmaßnahmen sicherzustellen, dass die Daten nur LP 5DKPHQ GHU ]XOlVVLJHQ =ZHFNH verarbeitet werden können. Für unterschiedliche Zwecke erhobene Daten müssen durch technisch-organisatorische Maßnahmen getrennt verarbeitet werden können. Es dürfen nur die Daten vorgehalten werden, die zur Erfüllung der Aufgabenstellung erforderlich sind (9HUERWGHU9RUUDWVGDWHQVSHLFKHUXQJ). Abhängig vom Zweck der Datenspeicherung (z.b. Abwicklung eines Vertrages) sind die benötigten 'DWHQIHOGHU festzulegen und im Customizing einzustellen. Zusätzlich ist die 'DXHU GHU 'DWHQVSHLFKHUXQJ auf die erforderliche Zeit zu begrenzen, entsprechend festzulegen und für die Löschung der Daten zu sorgen (z.b. von Bewerberdaten oder Festlegung der Speicherungsdauer nach dem Vertragsende und anschließende Löschung).
12 für SAP-R/ AG Datenschutz Übermittlung von personenbezogenen Daten Grundsätzlich ist die Übermittlung von personenbezogenen Daten verboten. Die Zulässigkeitskriterien für Übermittlungen ergeben sich aus 4 b BDSG in Verbindung mit den 15, 16, 28, 29, 30 BDSG. Daraus ergibt sich die Notwendigkeit, alle UHJHOPl LJHQ oder DQODVVEH]RJH QHQ Übermittlungen auf ihre Rechtmäßigkeit zu prüfen! Abrufverfahren Ein Abrufverfahren darf nur eingerichtet werden, wenn die Voraussetzungen des 10 BDSG erfüllt sind. Sollen personenbezogene Daten von Dritten abgerufen werden können, sind zusätzliche Maßnahmen zur Sicherstellung der 5HFKWPl LJNHLW GHV $EUX IHV und der 'DWHQVLFKHUKHLW bei den beteiligten Stellen erforderlich. Insbesondere muss die verantwortliche Stelle gewährleisten, dass mittels geeigneter Stichproben die Übermittlung personenbezogener Daten festgestellt werden kann Besondere Zweckbindung Werden zu Zwecken des Datenschutzes, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes personenbezogene Daten gespeichert (z.b. Logfile oder Accounting-Informationen), verlangt das BDSG in 31 eine besondere Zweckbindung für diese Kontrollinformationen. Es ist zu klären, welche Aufzeichnungen im R/3 hierzu gehören und welche Funktionen / Stellen diese Informationen benötigen und die Kontrollfunktionen ausüben Auftragsverarbeitung Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz gemäß 11 BDSG verantwortlich. Der Auftragnehmer ist sorgfältig auszuwählen. Dem Auftragnehmer sind vertragliche Auflagen zur Verwendung der Daten und zur Datensicherheit zu machen. Der Auftraggeber muss sich von der Einhaltung der getroffenen Maßnahmen beim Auftragnehmer überzeugen. Die vorgenannten Ausführungen gelten auch für die Prüfung und Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen (Wartung und Prüfung ist Auftragsverarbeitung!), wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann Benachrichtigung des Betroffenen Der Betroffene ist unter den Voraussetzungen des 33 BDSG zu benachrichtigen, wenn erstmalig personenbezogene Daten über ihn gespeichert bzw. übermittelt
13 für SAP-R/ AG Datenschutz 13 werden oder von ihm bei öffentlichen Stellen Daten ohne seine Kenntnis gemäß 19a BDSG erhoben werden oder bei nicht-öffentlichen Stellen gemäß 33 BDSG erstmalig Daten über ihn gespeichert bzw. übermittelt werden. Falls demnach eine Benachrichtigung erforderlich wird, muss das Verfahren entsprechend festgelegt werden Rechte des Betroffenen Es dürfen nur zulässige und richtige personenbezogene Daten gespeichert werden. Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf der Basis einer automatisierten Verarbeitung getroffen werden. Die Datenspeicherung soll für den Betroffenen transparent sein. Deshalb hat der Betroffene ein Recht auf $XVNXQIW sowie auf %HULFKWLJXQJ, / VFKXQJ, 6SHUUXQJ und :LGHUVSUXFK. Die Anforderungen des 6 BDSG in Verbindung mit 19, 20, 34, 35 BDSG sind zu beachten. Die verantwortliche Stelle muss in der Lage sein, zur Auskunfterteilung alle personenbezogenen Daten des Betroffenen zuverlässig zu ermitteln! Diese Anforderung korrespondiert mit der Anforderung zur Führung einer Übersicht gemäß 4g Abs. 2 BDSG (Verfahrensverzeichnis). Eine automatisierte Einzelfallentscheidung ist gem. 6a BDSG nur in bestimmten Ausnahmefällen zulässig. Werden diese Ausnahmefälle in Anspruch genommen, sind sie entsprechend zu dokumentieren. Die Voraussetzungen, unter denen Sperrungen erforderlich werden, sind zu definieren. Die Verwendung gesperrter Daten ist zu regeln Auskunft an jedermann Gemäß 4g Abs. 2 Satz 2 BDSG hat der Datenschutzbeauftragte jedermann Auskunft über die gespeicherten Datenarten zu geben. Ist kein Datenschutzbeauftragter bestellt, dann kann sich jeder gem. 38 Abs. 2 Satz 2 BDSG die Einsicht in die gespeicherten Datenarten bei der jeweiligen Aufsichtsbehörde beschaffen Meldepflicht Unter den Voraussetzungen des 4d BDSG müssen automatisierte Verarbeitungen vor ihrer Inbetriebnahme gemeldet werden. Die Meldepflicht entfällt gemäß 4d Abs. 2 BDSG, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat. Sie entfällt auch gemäß 4 d Abs. 3 BDSG, wenn personenbezogene Daten für eigene Zwecke erhoben, verarbeitet oder genutzt werden, hierbei höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten beschäftigt UND entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient.
14 für SAP-R/ AG Datenschutz Verpflichtung der Mitarbeiter auf das Datengeheimnis Das BDSG fordert, dass alle Personen, die mit personenbezogenen Daten umgehen, auf das Datengeheimnis gemäß 5 BDSG zu verpflichten sind. Die Verpflichtung auf das Datengeheimnis ist pro Mitarbeiter zu dokumentieren. Es ist sicherzustellen, dass beauftragte Firmen, die bei der Einführung von SAP R/3 hinzugezogen werden, ihre Mitarbeiter auf das Datengeheimnis verpflichtet haben Schulung Der Datenschutzbeauftragte hat die Mitarbeiter gemäß 4g Abs. 1 Nr. 2 BDSG mit dem BDSG sowie anderen Vorschriften über den Datenschutz und über innerbetrieblichen Regelungen, die sich aus dem Gesetz ergeben, vertraut zu machen. Der Datenschutzbeauftragte hat die Projektmitglieder und Anwender, die an der Einführung von SAP R/3 beteiligt sind, mit den Anforderungen des BDSG vertraut zu machen. Die durchgeführten Schulungen sind zu dokumentieren Maßnahmen zur Datensicherheit Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn angemessene technische und organisatorische Maßnahmen zur Datensicherheit getroffen wurden. Die Anforderungen der einzelnen Zielsetzungen ergeben sich aus 9 BDSG und Anlage. Es sind angemessene Maßnahmen zur Datensicherheit zu treffen und mit dem Datenschutzbeauftragten abzustimmen. Gegebenenfalls kann zur Verbesserung des Datenschutzes und der Datensicherheit das LQVWDOOLHUWH 6\VWHP einem Datenschutzaudit unterworfen werden Übersichten gem. 4e, 4g und 18 Abs. 2 (BDSG-Übersichten) Die IIHQWOLFKHQ6WHOOHQentsprechend zweitem Abschnitt BDSG führen gemäß 18 BDSG Abs. 2 ein Verzeichnis der eingesetzten 'DWHQYHUDUEHLWXQJVDQOD JHQ und haben die Angaben gemäß 4e BDSG sowie die Rechtsgrundlagen der Verarbeitung schriftlich festzulegen. Die verantwortlichen QLFKW IIHQWOLFKHQ 6WHOOHQ entsprechend drittem Abschnitt BDSG haben dem Datenschutzbeauftragten gemäß 4e Abs. 2 BDSG eine Übersicht über die in 4e BDSG genannten Angaben sowie die zugriffsberechtigten Personen zur Verfügung zu stellen. Die Wege und Möglichkeiten, mit denen die erforderlichen Übersichten erstellt werden können, sind festzulegen Vorabkontrolle Verfahren automatisierter Verarbeitung mit besonderen Risiken für die Rechte und Freiheiten der Betroffenen, insbesondere die Verarbeitung besonderer Daten und/oder Daten zur Leistungs- und Verhaltenskontrolle, sind gemäß 4d
15 für SAP-R/ AG Datenschutz 15 Abs. 5 BDSG unter den dort genannten Voraussetzungen vor Beginn der Verarbeitung einer datenschutzrechtlichen Prüfung zu unterwerfen. Zuständig für die Vorabkontrolle ist der Datenschutzbeauftragte.
16 für SAP-R/ AG Datenschutz LWZLUNHQ GHV 'DWHQVFKXW]EHDXIWUDJWHQ EHL GHU (LQI KUXQJYRQ6$35 Das BDSG verlangt in 4g Abs. 1 Nr. 1 BDSG die rechtzeitige Einschaltung des Datenschutzbeauftragten bei Vorhaben der automatisierten Verarbeitung personenbezogener Daten. Hierzu gehört auch die Einführung und der Releasewechsel von SAP R/3. Wird SAP R/3 in einem Unternehmen eingeführt, ist der Datenschutzbeauftragte frühzeitig in die Einführung von SAP R/3 einzuschalten. Der Datenschutzbeauftragte hat dabei zu überprüfen, ob das Customizing und die Implementierung des SAP R/3 den Anforderungen des BDSG genügt. Insbesondere dem Grundsatz der Datenvermeidung und Datensparsamkeit gemäß 3a BDSG kommt im Rahmen einer SAP R/3-Einführung große Bedeutung zu. Hier kann der Datenschutzbeauftragte ggf. direkten Einfluss auf die Gestaltung des SAP-Systems nehmen. Bei einem Releasewechsel hat sich der Datenschutzbeauftragte auch von der ordnungsgemäßen Durchführung des Wechsels zu überzeugen Datenschutzbeauftragter - Mitglied des SAP-Projektteams Die sachgerechte Beratung der Projektleitung und -mitarbeiter und die Überprüfung der ordnungsgemäßen Anwendung (Customizing) durch den Datenschutzbeauftragten, die im 4g Abs. 1 Nr. 1 BDSG vorgesehen ist, können effektiv erreicht werden, wenn er Projektmitglied ist. Wird SAP R/3 in einem Unternehmen eingeführt, ist der Datenschutzbeauftragte daher vom Projektbeginn an zu beteiligen Information des Datenschutzbeauftragten zu den Meilensteinen Es liegt in der Verantwortung des Datenschutzbeauftragten zu entscheiden, wann und wie er die ordnungsgemäße Anwendung von SAP R/3 überprüft und welche Unterlagen er hierfür benötigt. Die Abstimmung, welche Unterlagen er benötigt und wann die Fragestellungen aus dem BDSG zu beantworten sind, lässt sich nur angemessen unter Berücksichtigung der Zielsetzungen und Projektentwicklung festlegen. Der Datenschutzbeauftragte sollte zu den Meilensteinen die erforderlichen Absprachen mit dem Projektteam zu den einzelnen Modulen treffen bzw. überprüfen, ob die getroffenen Festlegungen den Anforderungen des BDSG genügen. Die datenschutzrelevanten Projektschritte sind im ASAP-Vorgehensmodell definiert. Ein Beispiel: ASAP-Vorgehensmodell Geschäftsprozessdefinition Anforderungen zu Geschäftsprozessen bestimmen Anforderungen zum Berichtswesen bestimmen und mit Datenschutzbeauftragten abstimmen
17 für SAP-R/ AG Datenschutz 17 schutzbeauftragten abstimmen Informationsmöglichkeiten für den Datenschutzbeauftragten Der Datenschutzbeauftragte sollte sich einen angemessenen Kenntnisstand über folgende Elemente des R/3-Systems aneignen: Das Berechtigungskonzept und den Profilgenerator Die Tabellenverwaltung Die SAP-Programmiersprache ABAP und ABAP Query ABAP - Advanced Business Application Programming Das SAP ABAP Dictionary Im ABAP Dictionary sind alle Datenfelder des SAP-Referenzmodells dokumentiert. Eine Übersicht über die Verwendung eines einzelnen Feldes in der SAP-Datenwelt erhalten Sie über die Funktion 9HUZHQGXQJVQDFKZHLV. Verfahrensweise bei Extraktion und Auswertung von Daten aus R/3 mit Standardtools wie z.b. Microsoft Excel. Hilfsmittel zur Gestaltung von Bildschirmmasken (Screen & Menue Painter) Zur sachgerechten Beratung und Prüfung der ordnungsgemäßen Anwendung von SAP R/3 benötigt der Datenschutzbeauftragte darüber hinaus Unterlagen und Informationen. Folgende Unterlagen sollten dem Datenschutzbeauftragten generell zur Verfügung stehen: Der SAP-Einführungsleitfaden und das ASAP-Vorgehensmodell Der SAP-Prüfleitfaden Revision Bestell-Nr , bei SAP AG, (z.z. Release 3.0D vom ): Der SAP-Sicherheitsleitfaden wird von SAP für R/3 zur Verfügung gestellt. Bitte beachten Sie den SAP-Hinweis Verfügbarkeit Sicherheitsleitfaden R/3 Die SAP-Hilfe (Dokumentations-CD) Zugriff auf das SAP Service System im SAPNet für die Hinweise, Zugriff auf den SAP-Service für zusätzliche Informationen ( und auf den SAP-Service Marketplace ( ). Der Datenschutzbeauftragte sollte sich alle Dokumente unter den Stichworten "Datenschutz, "Datensicherheit" und Sicherheit ansehen. IDES Schulungssystem (IDES - International Demo and Education System) R/3 Authorization Made Easy (siehe SAP-Hinweis 39769) (für Release 4.0B Bestell-Nr , Für Release 4.6 zum Download unter: Audit-Informationssystem. Das Audit-Informationssystem (AIS) ist ein Arbeitsmittel für den Auditor und den Datenschutzbeauftragten und wird im Kapitel 6.1 Audit- Informationssystem beschrieben. Bitte beachten Sie den SAP-Hinweis AIS.
18 für SAP-R/ AG Datenschutz 18 SAP-Hinweis Sicherheit in SAP-Produkten SAP-Hinweis Datenschutz und Sicherheit im R/3 Release-Informationen (Doku-CD, Begleitbriefe, Transaktion 62, $3)DNWHQ Customizing und ASAP-Vorgehensmodell Das Vorgehensmodell wurde zugunsten von AcceleratedSAP abgelöst. Das Unternehmens-IMG als reduzierter SAP-IMG ist weggefallen. Das Customizing wurde in eine Transaktion für Projektverwaltung (6352B$'0,1) und in eine Transaktion für die Projektbearbeitung (6352) aufgeteilt. Das Customizing dient der unternehmensspezifischen Einstellung des SAP- Systems. Aufgrund der komplexen Tabellenstrukturen von R/3 stellt SAP systemseitig ein Vorgehensmodell und Einführungsleitfäden (Grundstrukturen zur Einführung) zur Verfügung. Diese sind auch Bestandteil der SAP-Online- Dokumentation. Das R/3-Vorgehensmodell bildet zum einen den methodischen Rahmen für den Einführungs- und Releasewechselprozess, zum anderen ist es ein operatives Werkzeug zur Unterstützung in jeder Phase der Einführung. Die Projektleitfäden für das R/3-Customizing als unternehmensspezifische Untermenge des Vorgehensmodells listen alle Aktivitäten für die Einführung des SAP-Systems auf und unterstützen die Steuerung und Dokumentation der Einführung. Die ordnungsmäßige SAP-Einführung hängt wesentlich von der sachgerechten Nutzung der SAP-Einführungsleitfäden (IMG) ab. Das ASAP-Vorgehensmodell beinhaltet für den Datenschutzbeauftragten wesentliche Punkte, bei denen er projektspezifisch festlegen sollte, wie er in die Projektentwicklung einzubeziehen ist. Beispiele für die Einbeziehung des Datenschutzbeauftragten sind: Datenschutzrelevante Geschäftsprozesse ermitteln und festlegen Stammdaten festlegen Berichtswesen festlegen Informationsfluss personenbezogener Daten bei Anwendungsschnittstellen, insbesondere zu anderen Programmen, untersuchen Informationsfluss der vorgesehenen Berichte und Auswertungen auf Datenschutzgesichtspunkte hin untersuchen Datenschutzspezifische Freigabe zu Projektphasen (Meilensteinen) festlegen Berechtigungskonzept unter Datenschutz- und Datensicherheitsgesichtspunkten beurteilen Archivierungskonzept, insbesondere im Hinblick auf die Löschungsfristen, beurteilen Testkonzept beurteilen
19 für SAP-R/ AG Datenschutz 19 Datenschutzspezifische Schulungsinhalte und -zeitpunkte festlegen Dokumentationsinhalte hinsichtlich datenschutzrelevanter Fragen festlegen Migration und Altdatenübernahme definieren Programmanpassungen ermitteln und genehmigen Das SAP-Standard-Vorgehensmodell und allgemeine Hinweise hierzu finden Sie auf der Dokumentations-CD. Empfehlungen der Arbeitsgruppe Datenschutz zu Beteiligungsthemen des Datenschutzbeauftragten entlang des ASAP- Vorgehensmodells finden Sie in Anlage 3. Gehen Sie die Themen bei der Planung einer Beteiligung des Datenschutzbeauftragten durch und planen in diesem Rahmen Ihr eigenes Vorgehen. Den R/3 Customizing Einführungsleitfaden finden über die Hilfe-Funktion Menüpfad: bzw. im System Menüpfad: +LOIH!6$3%LEOLRWKHN!,0* :HUN]HXJH! $FFHOHUDWHG6$3! &XVWRPL]LQJ! 3URMHNWEHDUEHLWXQJ!6$35HIHUHQ],0*(SPRO) Die Zuordnung der Customizing-Aktivitäten der modulbezogenen Einführungsleitfäden zum Vorgehensmodell ermitteln Sie durch die Zuschaltung der Anzeige. Gehen Sie folgendermaßen vor: 1. Rufen Sie die angelegten Projektleitfäden auf: Menüpfad: :HUN]HXJH!$FFHOHUDWHG6$3!&XVWRPL]LQJ durch Doppelklick auf das jeweilige Projekt erhalten Sie den zugehörigen Projektleitfaden angezeigt. 2. Reißen Sie die jeweiligen Customizing-Aktivitäten bis auf die Ebene der ausführbaren Funktionen auf. 3. Den Bezug der Aktivitäten zum Vorgehensmodell erhalten Sie wie folgt angezeigt: Menüpfad:,QIRUPDWLRQ!7LWHOXQG,0*,QIR!=XRUGQXQJ9RUJPRG Suchen Sie sich die einschlägigen Aktivitäten aus den Leitfäden heraus, die Sie unter Datenschutzgesichtspunkten bearbeiten müssen und identifizieren Sie die modulspezifischen Einstellungen. 4. Nehmen Sie Kontakt mit den modulbezogenen Projektgruppen auf und sprechen Sie Ihre Aktivitäten mit ihnen ab Berechtigungskonzept Ein Zugriffsschutzsystem und die Möglichkeit zur Vergabe individueller Berechtigungen dient unter Datenschutzaspekten im wesentlichen folgenden Zie-
20 für SAP-R/ AG Datenschutz 20 len: dem Schutz vertraulicher Daten vor unberechtigter Erhebung, Speicherung, Kenntnisnahme, Übermittlung und Nutzung, dem Schutz der Daten vor unberechtigter, auch versehentlicher Änderung oder Löschung der Gewährleistung des zweckgebundenen Gebrauchs der Daten der Nachvollziehbarkeit und Zweckgebundenheit des Zugriffs auf personenbezogene Daten Mit Release 4.6C liefert SAP ein Set von Rollenvorlagen aus, die der Kunde als Vorlage benutzen und hinsichtlich der Zuständigkeiten und organisatorischen Ausprägungen an seine individuellen Bedürfnisse anpassen sollte. Mit jeder Vorlage erhält man ein individuelles Benutzermenü. Die Rollenvorlagen sind integrativer Bestandteil der anwendungsübergreifenden mysap.com Workplace und Enterprise Portal/Portal-Rollen. Dem Administrator steht eine erweiterte Funktionsauswahl in der Einstiegstransaktion SAP Easy Access zur Verfügung. Mit dieser erweiterten Funktionsauswahl ist es ihm möglich, einfach eine der vielen Benutzerrollen einem Benutzer zuzuweisen. Dieser Benutzer erhält bei der Anmeldung am System automatisch das für seine tägliche Arbeit typische Benutzermenü sowie die Berechtigungen, die er für diese Arbeit benötigt. Die hohe Flexibilität des SAP-Berechtigungs- und Benutzerverwaltungskonzepts kann daher bei unsachgemäßer Anwendung bereits im Rahmen der Einführungsphase zu erheblichen Verletzungen des Datenschutzes führen. Statt des weitgefassten Standards bei ausgelieferten Rollen und Profilen etc. muss daher unbedingt unternehmensspezifisch nach dem Prinzip der minimalen Berechtigung eingegrenzt und angepasst werden. Da die Ordnungsmäßigkeit des SAP-Systems unmittelbar durch das Verfahren zur Vergabe von Berechtigungen beeinflusst wird, ist auch das Vergabeverfahren selbst als wesentlicher Bestandteil des Zugriffsschutzes anzusehen. Es muss daher organisatorisch definiert revisionsfähig gestaltet sowie ausreichend getestet und spätestens zum Produktionsbeginn verfügbar sein. Schließlich muss darauf geachtet werden, dass Rollen und ggf. auch Aktivitätsgruppen, Berechtigungen und Profile im Testsystem neu angelegt, geändert oder gelöscht werden und anschließend mittels CTS/CTO (Change Transport System/Change Transport Organizer) über das Qualitätssicherungssystem in die Produktionsumgebung übernommen werden Change Transport System/Change Transport Organizer (CTS/CTO) SAP empfiehlt, in einem produktiven System grundsätzlich keine Änderungen vorzunehmen bzw. zuzulassen. Alle Änderungen sind daher aus der Test- oder Qualitätssicherungsumgebung mit dem sog. Korrektur- und Transportwesen 1 in das produktive System zu übernehmen. Das gesicherte Korrektur- und Transportwesen ist somit wesentlicher Bestandteil eines sicheren und ordnungsgemäßen SAP-Systems. Unter Datenschutzaspekten stehen dabei folgende Zielsetzungen im Vordergrund: die Registrierung und Dokumentation einschließlich der geordneten Übergabe der Systementwicklungsumgebungsobjekte (EUO) zwischen den unterschiedlichen SAP-Systemen oder unterschiedlichen Mandanten innerhalb eines SAP-Systems 1 siehe hierzu Kapitel 3 Prüfleitfaden Revision
21 für SAP-R/ AG Datenschutz 21 die Sicherstellung, dass ausschließlich genehmigte Systemänderungen vorgenommen und entsprechend nachvollziehbar dokumentiert werden Aus den vorgenannten Zielen und aus der Tatsache, dass EUO in der Regel systemweite Gültigkeit besitzen, ist zwingend erforderlich, dass mindestens zwei physisch getrennte SAP-Systeme implementiert werden müssen (Test- und Produktivsystem).wenn personenbezogene Daten aus der Produktivumgebung (z.b. für Massentests) in der Testumgebung verwendet werden, sind diese dort nach Möglichkeit entweder zu anonymisieren oder zu pseudonymisieren. Hierzu kann man sich ggf. geeignete Anonymisierungs-Tools von Drittanbietern beschaffen. Sollte dies nicht möglich sein, sind auch für das Testsystem und die Testumgebung angemessene Maßnahmen zur Datensicherheit zu ergreifen (z.b. zeitliche Begrenzung der Berechtigungen im Testsystem). Das Berechtigungskonzept sollte auch auf das Testsystem angewendet werden Schnittstellenverarbeitung Datenübernahme Ab Rel. 4.5 bevorzugt SAP die LSMW (Legacy System Migration Workbench) als Datenübernahmeverfahren. Dieses Tool ist speziell für die Altdatenübernahme konzipiert worden und bedient sich der BAPI- oder Batch-Input- Schnittstelle (siehe auch Transaktion LSMW). Da die Konvertierung aus dem Alt- bzw. Vorsystem mit Programmen außerhalb des SAP-Umfeldes erfolgt, ist die ordnungsgemäße Umsetzung der Daten (d. h. die Datenkonsistenz) durch geeignete organisatorische Maßnahmen sicherzustellen, um möglichen Manipulationen vorzubeugen. Für die Datenübernahme wurde früher in SAP das Batch-Input-Verfahren 2 herangezogen. Hierbei wird durch ein Schnittstellenprogramm eine sog. Batch- Input-Mappe erzeugt, die dabei die Online-Eingabe von Transaktionscodes und Daten simuliert und beim Abspielen die entsprechenden Berechtigungs- und Plausibilitätsprüfungen durchläuft. Neben dem Batch-Input-Verfahren bestehen weitere Möglichkeiten der Datenübernahme, z.b. Remote Function Call (RFC), Internet-Schnittstellen oder PC- Upload und Download 3. Diese werden i.d.r. für Datenübernahmen im lfd. Betrieb (aus vor- oder nachgelagerten Systemen) eingesetzt. Alle Schnittstellen sind im Falle der Übermittlung entsprechend dem 4e BDSG zu dokumentieren PC-Verarbeitung Up-/Download in der Anwendung (vgl. hierzu u.a. Kapitel ) Kommunikationsschnittstellen Die datenorientierte Schnittstelle Remote Function Call (5)&) ermöglicht SAP- und Nicht-SAP-Anwendungen, SAP-Funktionsbausteine über Rechnergrenzen aufzurufen. Business Application Programming Interfaces (%$3,V) sind von externen Programmen aufrufbare und direkt ausführbare Methodenaufrufe von Business- 2 siehe hierzu ergänzende Hinweise in Kapitel 6 Prüfleitfaden Revision 3 siehe hierzu ergänzende Hinweise im Sicherheitsleitfaden
22 für SAP-R/ AG Datenschutz 22 Objekten. Diese geschäftsprozessorientierten Standardschnittstellen sind auf eine Dialogkommunikation ausgerichtet. Sie ermöglichen die Ergänzung des R/3- Kernsystems um Anwendungen, die speziell im,qwhuqhw und,qwudqhw entwickelt werden. BAPIs werden R/3-intern als Funktionsbausteine realisiert, die über RFC aufrufbar sind. Application Link Enabling ($/() ermöglicht die Verteilung von Daten des R/3-Systems. Über Musterlösungen wird beschrieben, wie ein Unternehmen seine geographische Datenverarbeitung organisieren und durchführen kann. Mit $/(:HE lassen sich verteilte Geschäftsprozesse über das Netz quasi zum Geschäftspartner verlagern. Im Rahmen von ALE werden BAPIs für die Integration verteilter Geschäftsprozesse eingesetzt SAP-Automation Mit dieser Schnittstelle lassen sich alternative Oberflächen statt dem SAP GUI einsetzen. Neben der Kommunikationssicherheit ist zu prüfen, ob über diese Schnittstellen personenbezogene Daten ausgetauscht bzw. übermittelt werden und wer die regelmäßigen Empfänger sind Job-Auftrags-Verfahren - und Dokumentation Beim Job-Auftragsverfahren steht unter Datenschutzaspekten der Schutz und die Integrität der Unternehmensdaten und der personenbezogenen Daten im Vordergrund. Da im R/3 viele Jobs von der Fachabteilung generiert und gestartet werden können, ist i.d.r. eine entsprechende Verfahrensdokumentation im Anwendungshandbuch der jeweiligen Fachabteilung ausreichend. Jobs, die ein Operating benötigen und deshalb nicht ausschließlich im Aktionsbereich der Fachabteilung durchgeführt werden, müssen besonders beachtet werden. Insbesondere bei diesen Jobs darf keine Ausführung ohne schriftlichen Auftrag erfolgen. Auftraggeber ist i.d.r. die Fachabteilung. Bei Jobs, die vom SAP-System generiert werden, wird die Dokumentation automatisch mit generiert. Beim von Anwender selbst generierten Jobs (z.b. Batch-Input-Mappen) muss auch die Dokumentation durch den Anwender selbst erfolgen. Diese Dokumentation sollte nach einem einheitlichen Schema erfolgen. Jobs werden nicht über das Korrektur- und Transportwesen vom Test- ins Produktivsystem übergeben. Sie werden im Produktivsystem neu erstellt. Eine Jobbibliothek gibt es bisher nicht LVLNHQ Bei der Einführung von SAP R/3-Systemen bzw. -Projekten bestehen aufgrund der oben geschilderten SAP-Fakten auch unter Datenschutzaspekten besondere Risiken. Neben dem Risiko der unsachgemäßen SAP-Einführung durch Fehler beim Customizing und der Benutzung bzw. Handhabung des Korrektur- und Transportwesens ergeben sich auch aus Fehlern bei der Erstellung eines Zugriffsbe-
23 für SAP-R/ AG Datenschutz 23 rechtigungskonzepts negative Folgewirkungen für die vorzusehenden technischen und organisatorischen Maßnahmen Nichteinschaltung des Datenschutzbeauftragten bzw. der Arbeitnehmervertreter Werden der Datenschutzbeauftragte und - soweit vorhanden - die Mitbestimmungsorgane (Arbeitnehmervertretung) nicht rechtzeitig sowohl bei der Einführung als auch bei allen nachfolgenden Änderungen eingeschaltet, besteht das Risiko, dass datenschutzrechtliche Anforderungen (u.a. unzulässige Datenspeicherung und -übermittlung) und Mitbestimmungsrechte bei der Projektarbeit nicht hinreichend beachtet werden Nichtbeachtung der SAP-Empfehlungen Die Nichtbeachtung der SAP-Empfehlungen, insbesondere des SAP R/3- Sicherheitsleitfadens kann eine unsachgemäße und nicht ordnungsgemäße Systemeinführung zur Folge haben. Hier bestehen insbesondere folgende Risiken: Zugriffsmöglichkeiten auf Betriebssystem-, Datenbank- und Netzwerkebene unsachgemäßes Abweichen beim Customizing vom Vorgehensmodell bzw. den Implementation Guides unzureichende Dokumentation und Erläuterungen der Customizing- Einstellungen unzureichende Schnittstellendokumentation (Batch-Input, PC-Download, ggf. Systemerweiterungen, Archivierungssysteme) Nichtberücksichtigung bzw. verspätete Erstellung des Berechtigungskonzeptes Während der Einführungsphase des R/3 sowie neuer Komponenten ist ein betriebswirtschaftliches Berechtigungskonzept zu erstellen. Dies dient als Grundlage u.a. für den Aufbau von Rollen, mit denen manuell oder mittels des Profilgenerators dann die benutzerspezifischen Berechtigungsprofile erstellt werden. Das R/3-Berechtigungskonzept muss konsequent und konsistent eingesetzt werden. Der jeweils aktuelle Stand der zugelassenen Benutzer und deren Zugriffsrechte ist zu dokumentieren. Beim Customizing müssen u.a. SAP- Vorgaben (z.b. Rechte, Startparameter etc.) einschränkend geändert werden. Bei einem unzureichenden bzw. zu spät eingesetztem Berechtigungskonzept besteht die Gefahr, dass den Benutzern zu weitreichende Berechtigungen vergeben werden Nicht ordnungsgemäße Anwendung eines Datenverarbeitungsprogramms Die Voraussetzung für den ordnungsgemäßen Einsatz von SAP R/3 ist u.a. die Beachtung der Auflagen des BDSG. Konkret sind bei der Einführung eines R/3-Systems unter Datenschutzaspekten folgende Risiken möglich. Unzulässige bzw. leichtfertige Handhabung von personenbezogenen Originaldaten im Testsystem
24 für SAP-R/ AG Datenschutz 24 naldaten im Testsystem Fehlende Verpflichtung auf das Datengeheimnis bzw. unzureichende Sensibilisierung/Schulung der Projektmitglieder/Anwender Unzureichende Dokumentation der personenbezogenen Daten, um den Rechten der Betroffenen (Auskunft, Berichtigung, Sperrung und Löschung) und der Verpflichtung zur Benachrichtigung nachzukommen Nichtbeachtung des 4-Augen-Prinzips im Rahmen des CTS. Unzureichende Festlegung der Transportschichten (Integrations-, Konsolidierungs- bzw. Belieferungssysteme) in den Tabellen TWSYS, DEVL und TASYS innerhalb des CTS Unzureichende Absicherung des Transportprogramms (tp, bzw. R3trans) sowie unzureichende Aufbewahrung des Transportprotokolls Ggf. fehlende Historienführung bei der Übertragung von Programmen bzw. Tabellen in die Produktivumgebung Wird das CTS nicht oder falsch eingesetzt, können nicht autorisierte Programme/Objekte zur unzulässigen Nutzung oder Verarbeitung personenbezogener Daten führen Die Einschränkung der vorgenannten Risiken dient auch dazu, das Risiko der Unternehmensleitung (Straftaten, Ordnungswidrigkeiten und Schadenersatz im Sinne des BDSG 7, 8, 43, 44) zu reduzieren.
25 für SAP-R/ AG Datenschutz U IXQJVKDQGOXQJHQ LP 5DKPHQ GHU (LQI KUXQJ &KHFNOLVWH Zur Hilfestellung für den Datenschutzbeauftragten und die Projektmitarbeiter ist die nachfolgende Checkliste (ohne Anspruch auf Vollständigkeit!) erstellt worden. Wesentliche Fragestellungen sind aufgenommen worden. Es wird jedoch empfohlen, diese Checkliste projektbezogen zu überarbeiten. Folgende Fragen sind pro SAP-Modul bzw. Teilmodul von der Projektleitung zu beantworten: 1. Welche Aufgabenstellungen soll das SAP-Modul abdecken? 2. Über welche Personengruppen (z.b. Bewerber, Mitarbeiter, Angehörige von Mitarbeitern, Debitoren, Kreditoren, Fremdfirmenmitarbeiter etc.) sollen Daten gespeichert werden? 3. Welche Geschäftsprozesse sind betroffen? 4. Werden durch die Ausgestaltung der Projektorganisation datenschutzrechtliche Aspekte des SAP-Projektes rechtzeitig berücksichtigt? 5. Ist dem DSB rechtzeitig die Übersicht zur Vorabkontrolle vorgelegt worden? 6. Ist der Datenschutzbeauftragte in die Projektarbeit angemessen eingebunden? 7. Welche personenbezogenen Daten sollen gespeichert werden? 8. Welche personenbezogenen Daten sollen an externe Empfänger aus welchem Grund (regelmäßig, anlassbezogen) übermittelt werden? Liegt bei Empfängern außerhalb der EU ein angemessenes Datenschutzniveau vor? 9. Liegen die Rechtsgrundlagen zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten (z.b. Vertrag, Einwilligung, Dienst- /Betriebsvereinbarung) vor? 10. Soll die Möglichkeit eines automatisierten Abrufes von personenbezogenen Daten realisiert werden? - Wenn ja: Wie sollen die Anforderungen zur Sicherstellung des rechtmäßigen Abrufes und der Datensicherheit realisiert werden? 11. Werden automatisierte Einzelfallentscheidungen vorgenommen? - Wenn ja: Sind die Voraussetzungen des 6a Abs. 2 BDSG gegeben? 12. Welche Schnittstellen bestehen zu anderen DV-Anwendungen? 13. Welche Logfiles sind vorgesehen, und wie sollen sie verwendet werden? (Report-Protokolldatei in HR, Tabelle V_T599R und Erstellung des Security Audit Logs). 14. Wie soll die Zweckbindung gemäß 31 BDSG eingehalten werden? 15. Welche Dauer der Datenspeicherung ist für die einzelnen Datengruppen unter Berücksichtigung der jeweiligen Rechtsgrundlage vorgesehen? - Welches Löschungskonzept soll realisiert werden? 16. Besteht die Notwendigkeit, Personen zu benachrichtigen? - Wenn ja: Wie und mit welchen Formulierungen soll der Betroffene benachrichtigt werden? 17. Wie ist das Sicherheitskonzept gestaltet? - Sind die Berechtigungen nach dem Prinzip der geringsten Berechtigung
26 für SAP-R/ AG Datenschutz 26 vergeben? - Ist der Sicherheitsleitfaden abgearbeitet worden? - Werden personenbezogene Daten verschlüsselt übertragen (dies ist für die SAPGUI- und die SAPLPD-Verbindung mit SNC möglich; RFC- Verbindungen können gesichert werden) und ggf. verschlüsselt gespeichert (dies ist eine Funktion der Datenbank, nicht des R/3)? 18. Auf welchen Rechnern und an welchen Standorten soll SAP R/3 installiert werden? - Welches DV-Netz soll genutzt werden? - Werden beim Einsatz von Internet/Intranet-Techniken entspr. Firewall- Systeme eingesetzt? 19. Werden alle eingesetzten DV-Systeme von SAP dokumentiert? - Wenn ja: Welche organisatorischen Lösungen sind vorgesehen, um dem Datenschutzbeauftragten eine Übersicht zur Verfügung zu stellen? 20. Mit welchen Mitteln soll dem Datenschutzbeauftragten eine Übersicht über die Art der gespeicherten Daten zur Verfügung gestellt werden? - Welche organisatorischen Lösungen sind vorgesehen? 21. Sind alle neu hinzugefügten Tabellen, Domänen, Datenfelder und Reports entsprechend dokumentiert und ausreichend geschützt? 22. Sind alle Personen, die Zugriff auf personenbezogene Daten erlangen können, auf das Datengeheimnis verpflichtet? 23. Wird der Datenschutzbeauftragte bei System-Upgrades bzw. Releasewechseln zeitnah eingeschaltet? 24. Gibt es in Referenztabellen für Auswahlfelder unzulässige Inhalte, die Personen zugeordnet werden können?
27 für SAP-R/ AG Datenschutz 27 2 Aufgaben des Datenschutzbeauftragten Da der DSB in der Regel kein SAP-Spezialist ist, wird er mit unterschiedlichen Mitarbeitern des Unternehmens zusammenarbeiten. Er wird sich im Rahmen seiner Tätigkeit sowohl mit Anwendern der Fachabteilungen als auch mit DV- Mitarbeitern austauschen. Ebenso ist eine Kooperation mit anderen Organisationseinheiten des Unternehmens (z.b. interne Revision) zur Bearbeitung einzelner Themenfelder denkbar. Um die Vorabkontrolle, die Begleitung des Customizing und die erforderlichen Prüfungshandlungen möglichst umfassend durchführen zu können, ist eine ausreichende Ausbildung des Datenschutzbeauftragten in der Nutzung der relevanten SAP R/3-Funktionen notwendig. In R/3 werden verschiedene Auditor-Rollen ausgeliefert: 5ROOH %HVFKUHLEXQJ SAP_CA_AUDITOR_APPL SAP_CA_AUDITOR_APPL_ADMIN SAP_CA_AUDITOR_DS SAP_CA_AUDITOR_HR SAP_CA_AUDITOR_SYSTEM Auditor SAP-Anwendungen (außer HR) Audit Administration Auditor Datenschutz Auditor HR Auditor System SAP_CA_AUDITOR_SYSTEM_DISPLAY Auditor System Anzeige, Hinweis Die Rollen sind wie folgt zu finden: Menüpfad: :HUN]HXJH! $GPLQLVWUDWLRQ! %HQXW]HUSIOHJH! 5ROOHQ (PFCG) Die Rolle $XGLWRU 'DWHQVFKXW] umfasst Basis-Berechtigungen zur Administration, Entwicklungsumgebung und zentrale Funktionen. Folgende Transaktionen sind u.a. vorgesehen: AL08, PA10 PA30, PFCG, RZ01 RZ12, SA38, SARG, SCAT, SE11, SE38, SE80, SM18, SM19, SM21, SM31, SM37, SM59, SU01 SU98, SUIM Die SAP-Rollen sind sehr umfassend definiert. Wir empfehlen den Anwenderfirmen daher die umfassende Rolle $XGLWRU 'DWHQVFKXW] wie folgt unternehmensspezifisch anzupassen: Der Datenschutzbeauftragte sollte grundsätzlich über eine Grundrolle für Datenschutzbeauftragte verfügen. Diese umfasst die für eine Datenschutzsystemprüfung erforderlichen umfassenden Leserechte im Audit-Informationssystem (vgl. Kapitel 6) sowie den direkten Aufruf der entsprechenden Transaktionen und Reports, allerdings keinen Zugriff auf Mitarbeiterdaten. Darüber hinaus kann dem Datenschutzbeauftragten für Echtdatenprüfungen eine zweite auf die individuellen Zuständigkeiten geschaffene Rolle zugeteilt werden. Letztere ist ggf. zeitlich befristet zu erteilen.
Datenschutz und Schule
Datenschutz und Schule - erste Impulse zum Themenbereich - Referent: Ingo Nebe Staatliches Schulamt Nordthüringen, Bahnhofstraße 18, 37339 Leinefelde-Worbis www.schulamt-nordthueringen.de Datenschutz und
MehrII 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team
Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des
MehrErläuterungen zum Abschluss der Datenschutzvereinbarung
Erläuterungen zum Abschluss der Datenschutzvereinbarung Bei der Nutzung von 365FarmNet erfolgt die Datenverarbeitung durch die365farmnet GmbH im Auftrag und nach Weisung des Kunden. Die die365farmnet GmbH
MehrBayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken
in der Regierung von Mittelfranken 2 Wesentliche Elemente des Datenschutzes im Unternehmen 3 Teil A Datenschutz im Unternehmen Teil A Allgemeines zum Datenschutz 4 I. Schutz der personenbezogenen Daten
MehrTabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
MehrHaftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten
Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten Joachim Frost, Berater für Datenschutz Stellung des Datenschutzbeauftragten -Berater der Geschäftsleitung -weisungsfrei in Fachfragen -nur
MehrDatenschutz. Öffentliches Verfahrensverzeichnis der Indanet GmbH nach 4e Bundesdatenschutz (BDSG)
Datenschutz. Öffentliches Verfahrensverzeichnis der Indanet GmbH nach 4e Bundesdatenschutz (BDSG) Inhalt Öffentliches Verfahrensverzeichnis... 3 1.1 Angaben zu der Verantwortlichen Stelle ( 4e Satz 1 Nrn.
MehrInformationen zum Datenschutz im Maler- und Lackiererhandwerk
Institut für Betriebsberatung des deutschen Maler- und Lackiererhandwerks Frankfurter Straße 14, 63500 Seligenstadt Telefon (06182) 2 52 08 * Fax 2 47 01 Maler-Lackierer-Institut@t-online.de www.malerinstitut.de
MehrWS C2: Leistungs- und Verhaltenskontrolle mit SAP auf die Spur kommen
WS C2: Leistungs- und Verhaltenskontrolle mit SAP auf die Spur kommen Referenten: Katharina Just-Hahn (TBS NRW), Reinhard Bechmann (TBS Berlin-Brandenburg) Leistung und Verhalten Messen erlaubt?! Fragen
MehrSecorvo. Partner und Unterstützer
Partner und Unterstützer Datenschutz Anspruch und Wirklichkeit im Unternehmen Karlsruher IT-Sicherheitsinitiative, 31.03.2004 Dirk Fox fox@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße
MehrVereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat
Vereinbarung über elektronische Schließanlagen und Zutrittskontrollsysteme bei den XXXXXX XXXXXXXXXXXXXX zwischen dem Vorstand und dem Betriebs/Personalrat Präambel Zwischen dem Vorstand und der Arbeitnehmervertretung
Mehr17.11.2011. Datenschutz (Info-Veranstaltung f. Administratoren) 17.11.2011 H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?
17.11.2011 H. Löbner Der Datenschutzbeauftragte Volkszählungsurteil Grundsatzentscheidung des Bundesverfassungsgerichts (1983) Schutz des Grundrechts auf informationelle Selbstbestimmung als fachspezifische
MehrNutzung dieser Internetseite
Nutzung dieser Internetseite Wenn Sie unseren Internetauftritt besuchen, dann erheben wir nur statistische Daten über unsere Besucher. In einer statistischen Zusammenfassung erfahren wir lediglich, welcher
MehrDQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main
DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main Achtung! Auftragsdatenverarbeitung Datenschutz-Kurzcheck
MehrErstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am 13.01.2016
Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz Seminar am 13.01.2016 Prof. Dr. Stephan König, Robin Ziert, Anke Hirte, 13.01.2016 Die Datenschutzbeauftragten der
MehrBetriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000
Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000 Version November 2013 1. Anwendungsbereich Dieses Dokument regelt die Überlassung von Daten zum Zweck der Verarbeitung als Dienstleistung
MehrÖffentliches Verfahrensverzeichnis der. ProfitBricks GmbH
Öffentliches Verfahrensverzeichnis der Dokumenten-Informationen: Version: 1.1 Stand: 08.09.2014 Autor: Öffentliches Verfahrensverzeichnis der Seite 1 Öffentliches Verfahrensverzeichnis der Gemäß 4g Abs.
MehrAnlage zur Auftragsdatenverarbeitung
Anlage zur Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung
MehrSicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen. www.ddv.de www.ddv.de
Sicherheit, Transparenz und Datenschutz Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen Setzen Sie auf Nummer Sicher Die Qualitätssiegel des DDV Die Adressdienstleister in den drei DDV-
MehrDatenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015
Datenschutz Praktische Datenschutz-Maßnahmen in der WfbM Werkstätten:Messe 2015 Referentin: Dipl.-Math. Ilse Römer, Datenschutzauditorin (TÜV) Qualitätsmanagementbeauftragte (TÜV) Herzlich Willkommen Datenschutz
MehrÜberblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung
Archivierung & Löschung von Unternehmensdaten 1 Überblick Zugriffskontrolle Protokollierung Archivierung Löschung 2 Zugriffskontrolle 14 Z 5 DSG verlangt:..die Zugriffsberechtigung auf Daten und Programme
MehrWerner Hornberger Jürgen Schneider Sicherheit und Datenschutz mit SAP-Systemen. Maßnahmen für die betriebliche Praxis.
Werner Hornberger Jürgen Schneider Sicherheit und Datenschutz mit SAP-Systemen Maßnahmen für die betriebliche Praxis Galileo Press Inhalt Vorwort 11 Teil 1: Sicherheit 1 Sicherheit im Unternehmen 17 1.1
MehrVerfahrensverzeichnis
Verfahrensverzeichnis Beschreibung des einzelnen Verfahrens nach 8 DSG NRW Lfd. Nr.: (wird vom DSB vergeben) Neues Verfahren / Erstmeldung Wesentliche Änderung (wird vom DSB ausgefüllt) Das Verfahren ist
MehrDienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden
Dienstleistungen Externer Datenschutz Beschreibung der Leistungen, die von strauss esolutions erbracht werden Markus Strauss 14.11.2011 1 Dienstleistungen Externer Datenschutz Inhalt 1. Einleitung... 2
MehrZentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen
Anlage 1 Zur Vereinbarung zur Übertragung der Verantwortung für die Gewährleistung der Ordnungsmäßigkeit des automatisierten Verfahrens Koordination Personaldienste Kommunal (KoPers-Kommunal) Stand: November
MehrBeratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz
Beratungskonzept für die Datenschutz-Betreuung durch einen externen Beauftragten für den Datenschutz Die nachstehenden Informationen sollen Geschäftsführern und anderen Führungskräften von Unternehmen
MehrSCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.
SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV. DER DATENSCHUTZMANAGER IST DIE ALL-IN-ONE-LÖSUNG FÜR EINE EFFEKTIVE DATENSCHUTZ ORGANISATION. IN EINER ZENTRALEN PLATTFORM HABEN WIR ALLE FUNKTIONEN
Mehr10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.
M erkblatt Vorabkontrolle 1 Einleitung Öffentliche Organe des Kantons Zürich müssen Projekte und Vorhaben dem Datenschutzbeauftragten zur Prüfung unterbreiten, wenn diese Datenbearbeitungen beinhalten,
MehrDatenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund
Muster (Ausschnitt) Datenschutzkonzept Informationsverbund.. Dokumentinformationen BSI-Konformität und gesetzliche Grundlagen Bausteine Gesetzliche Grundlagen verantwortlich für den Inhalt Name Telefon
MehrErstellung eines Verfahrensverzeichnisses aus QSEC
Erstellung eines Verfahrensverzeichnisses aus QSEC Im QSEC-Reporting-Modul steht ab der Version 4.2 ein neuer Bericht zur Verfügung. Es besteht nun die Möglichkeit, einen BDSG-konformen Datenschutzbericht
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit 9.1 Vergleich Sicherheitsziele & Aufgabe: Kontrollbereiche Ordnen Sie die im BDSG genannten Kontrollbereiche
MehrSeite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort
Anlage 1 Erstes Anschreiben an den/die Beschäftigte/ -n Frau/Herrn Vorname Name Straße PLZ Ort Betriebliches Eingliederungsmanagement (BEM) Sehr geehrte(r) Frau/Herr, wir möchten Sie über Hintergrunde
MehrLeitfaden. zur Einführung neuer Studiengänge
Leitfaden zur Einführung neuer Studiengänge Entstehung des Leitfadens Einführung neuer Studiengänge Die Grundlagen des Leitfadens wurden auf der Basis des bisherigen Verfahrens in einer Workshopreihe des
MehrEinwilligungserklärung
Einwilligungserklärung für (Name der Person) zur Erfassung und Speicherung persönlicher Daten und Bilder sowie die Veröffentlichung von Bildern und Texten im Internet und in Druckmedien gegenüber der Leitung
MehrWebseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen
Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen Die vorliegende Dokumentation umfasst eine kleine Auswahl von Webseiten, bei denen automatisch (ohne Benutzer vorab zu informieren oder
MehrOtto Martin Maschinenbau GmbH & Co. KG Öffentliches Verfahrensverzeichnis, gemäß 4e BDSG
Otto Martin Maschinenbau GmbH & Co. KG Öffentliches Verfahrensverzeichnis, gemäß 4e BDSG 27 August 2014 Verfasst von: Kilian Bauer Otto Martin Maschinenbau GmbH & Co. KG Öffentliches Verfahrensverzeichnis,
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrIst Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers
Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers Ist Excel das richtige Tool für FMEA? Einleitung Wenn in einem Unternehmen FMEA eingeführt wird, fangen die meisten sofort damit an,
MehrRahmenbetriebsvereinbarung. Einsatz der Informationstechnik
Einsatz der Informationstechnik RBV IT vom 01.12.2007 Blatt 2 1 Gegenstand 1- Die regelt die Beteiligung (Information, Beratung und Mitwirkung, Mitbestimmung) des Betriebsrats bei der Planung, Einführung
MehrDatenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH
Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH Basis der Vereinbarung Folgende Datenschutz & Geheimhaltungsvereinbarung (NDA) ist gültig für alle mit der FLUXS GmbH (nachfolgend FLUXS
Mehr- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),
2. Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und eventuellen Angaben zu Ihrer Religionszugehörigkeit sowie Schweigepflichtentbindungserklärung Die Regelungen des Versicherungsvertragsgesetzes,
MehrÖffentliches Verfahrensverzeichnis
Öffentliches Verfahrensverzeichnis Fahrschule Holst Winsener Straße 16 21077 Hamburg Öffentliches Verfahrensverzeichnis nach 4e und 4g Bundesdatenschutzgesetz (BDSG) Das BDSG schreibt im 4 g vor, dass
MehrHilfedatei der Oden$-Börse Stand Juni 2014
Hilfedatei der Oden$-Börse Stand Juni 2014 Inhalt 1. Einleitung... 2 2. Die Anmeldung... 2 2.1 Die Erstregistrierung... 3 2.2 Die Mitgliedsnummer anfordern... 4 3. Die Funktionen für Nutzer... 5 3.1 Arbeiten
MehrDas digitale Klassenund Notizbuch
Das digitale Klassenund Notizbuch Datenschutzrechtliche Rahmenbedingungen Tel.: 0431/9881207 Fax: 0431/9881223 Email:ULD21@datenschutzzentrum.de www.datenschutz.de 30 Abs. 2 SchulG Die Daten der Schulverwaltung
MehrDatenschutzerklärung:
Generelle Funktionsweise Beim HRF Lizenzprüfungsverfahren werden die von HRF vergebenen Registriernummern zusammen mit verschiedenen Firmen- und Standortinformationen vom Kunden über den HRF Webserver
MehrNewsletter: Februar 2016
1 ASR GmbH www.asr-security.de Newsletter: Februar 2016 Neue behördliche Vorgaben für Onlineschulungen Seit dem 01. Februar 2016 gelten neue behördliche Anforderungen an Online- Luftsicherheitsschulungen.
MehrBrands Consulting D A T E N S C H U T Z & B E R A T U N G
Datenschutzauditor (Datenschutzaudit) Autor & Herausgeber: Brands Consulting Bernhard Brands Brückenstr. 3 D- 56412 Niedererbach Telefon: + (0) 6485-6 92 90 70 Telefax: +49 (0) 6485-6 92 91 12 E- Mail:
MehrErlaubnisscheine bei der Instandhaltung
Erlaubnisscheine bei der Instandhaltung Werner Weiß BASF SE Standort Ludwigshafen 22.09.2010 Werner Weiß, BASF SE 1 BASF SE Standort Ludwigshafen Stammwerk Fläche ca 10 km² Mitarbeiter ~ 32 500 Kontraktorenmitarbeiter
MehrInformations- und Kommunikationsinstitut der Landeshauptstadt Saarbrücken. Upload- / Download-Arbeitsbereich
Informations- und Kommunikationsinstitut der Landeshauptstadt Saarbrücken Upload- / Download-Arbeitsbereich Stand: 27.11.2013 Eine immer wieder gestellte Frage ist die, wie man große Dateien austauschen
MehrKirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )
IT-Gesetz EKvW ITG 858 Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG ) Vom 17. November 2006 (KABl. 2006 S. 292) Inhaltsübersicht 1 1
MehrSchnelleinstieg BENUTZER
Schnelleinstieg BENUTZER Bereich: BENUTZER - Info für Anwender Nr. 0600 Inhaltsverzeichnis 1. Zweck der Anwendung 2. Einrichten zum Start 3. Navigation 4. Arbeitsablauf 5. Weitere Funktionen 6. Hilfe 2
MehrKirchlicher Datenschutz
Kirchlicher Datenschutz Religionsgemeinschaften können in ihrem Zuständigkeitsbereich ihre Angelegenheit frei von staatlicher Aufsicht selbst regeln. Dieses verfassungsrechtlich verbriefte Recht umfasst
MehrDatenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht
Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht Diplom-Informatiker Werner Hülsmann Konradigasse 24-78462-Konstanz Tel.:7531 / 365 90 5-4; FAX: -7 E-Mail: info@datenschutzconsulting.info
Mehrfür gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten www.wdr.de
Rundfunkgebühren für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten www.wdr.de 1. Rechtsgrundlage Personenbezogene Daten von Rundfunkteilnehmerinnen und Rundfunkteilnehmern z. B. Namen
MehrSEPA-Umstellungsanleitung Profi cash
In dieser Anleitung möchten wir Ihnen die wesentlichen Schritte zur automatisierten Umstellung Ihrer in Profi cash hinterlegten nationalen Zahlungsaufträge in SEPA Aufträge beschreiben. Fällige Zahlungsverkehrsjobs
MehrHANDBUCH PHOENIX II - DOKUMENTENVERWALTUNG
it4sport GmbH HANDBUCH PHOENIX II - DOKUMENTENVERWALTUNG Stand 10.07.2014 Version 2.0 1. INHALTSVERZEICHNIS 2. Abbildungsverzeichnis... 3 3. Dokumentenumfang... 4 4. Dokumente anzeigen... 5 4.1 Dokumente
MehrAnmeldung für ein Ehrenamt in der Flüchtlingsbetreuung
Bitte zurücksenden an: Stadtverwaltung Eschborn Fachbereich 4 Arbeitskreis Flüchtlinge Rathausplatz 36 65760 Eschborn Anmeldung für ein Ehrenamt in der Flüchtlingsbetreuung Name Vorname geboren am Straße,
MehrWAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT
WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer
MehrWelche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?
Sehr geehrte Damen und Herren, liebe Eltern, Sie möchten Ihr Kind mit der Online-Anwendung kita finder+ in einer Kindertageseinrichtung oder einem Tagesheim anmelden. Hier erhalten Sie die wichtigsten
MehrIMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.
IMMANUEL DIAKONIE Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist. Sehr geehrte Damen und Herren, der Datenschutz ist uns in der Immanuel Diakonie wichtig! Patienten, Bewohner
MehrSteuerberater haben einen Datenschutzbeauftragten zu bestellen! - Verbände informieren
Steuerberater haben einen Datenschutzbeauftragten zu bestellen! - Verbände informieren Grundsätzlich ist jeder Steuerberater zur Bestellung eines Datenschutzbeauftragten verpflichtet, es sei denn, er beschäftigt
MehrKursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten
Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten In dieser fünftägigen Ausbildungsreihe werden vertiefte Kenntnisse zum Datenschutzrecht vermittelt. Es werden alle Kenntnisse
MehrCheckliste zur Erfüllung der Informationspflichten bei Datenerhebung
Checkliste 2006 Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung Nach 4 Abs. 3 BDSG Bitte lesen Sie vorab die Ausführungen zu dem Thema Datenschutz/Datenerhebung. So kommen Sie durch
Mehr1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.
Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang
MehrBenutzerhandbuch - Elterliche Kontrolle
Benutzerhandbuch - Elterliche Kontrolle Verzeichnis Was ist die mymaga-startseite? 1. erste Anmeldung - Administrator 2. schnittstelle 2.1 Administrator - Hautbildschirm 2.2 Administrator - rechtes Menü
MehrNutzung von Kundendaten
Nutzung von Kundendaten Datenschutzrechtliche Möglichkeiten und Grenzen Novellierung des BDSG 2009 / 2010 Rechtsanwalt: David Conrad 1 Datenschutz? Geschützt sind nur personenbezogene Daten Datenschutz
Mehrvom 22. Oktober 2015 Telefonnummer Faxnummer E-Mail-Adresse Telefonnummer Faxnummer E-Mail-Adresse
Allgemeine Angaben Antragsteller Stadt Antrag auf Gewährung einer Zuwendung zur Förderung von Beratungsleistungen nach 3.3 der Richtlinie zur Förderung des Breitbandausbaus in der Bundesrepublik Deutschland
MehrSCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.
SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV. DER DATENSCHUTZMANAGER IST DIE ALL-IN-ONE-LÖSUNG FÜR EINE EFFEKTIVE DATENSCHUTZ ORGANISATION. IN EINER ZENTRALEN PLATTFORM HABEN WIR ALLE FUNKTIONEN
MehrM e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen
Stand: Januar 2016 M e r k b l a t t Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen Sie haben Interesse an aktuellen Meldungen aus dem Arbeits-, Gesellschafts-, Wettbewerbsund
Mehrvom 15. Januar 1991 (ABl. 1991 S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis
Verordnung zum Schutz von Patientendaten DSVO KH-Pfalz 50.02 Verordnung der Evangelischen Kirche der Pfalz (Protestantische Landeskirche) zum Schutz von Patientendaten in kirchlichen Krankenhäusern (DSVO
MehrDatenschutz im Jobcenter. Ihre Rechte als Antragsteller
Datenschutz im Jobcenter Ihre Rechte als Antragsteller Wieso braucht das Jobcenter Ihre persönlichen Daten? Arbeitsuchende erhalten Leistungen, wie zum Beispiel Geldleistungen, die ihren Unterhalt sichern
MehrAber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg
Ohne Dienstleister geht es nicht? Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg Referent Tim Hoffmann Wirtschaftswissenschaften an der Universität-GH Essen
MehrHinweise, Checkliste und Ablauf zur Vorabkontrolle nach 7 Abs. 6 Hessisches Datenschutzgesetz
Derr Hessische Datenschutzbeauftragte Hinweise, Checkliste und Ablauf zur Vorabkontrolle nach 7 Abs. 6 Hessisches Datenschutzgesetz Grundsätzliches zur Vorabkontrolle Vor dem Einsatz oder der wesentlichen
MehrBericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012
Bericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012 TIWAG-Netz AG Bert-Köllensperger-Straße 7 6065 Thaur FN 216507v Seite 1 Inhaltsverzeichnis
MehrGrundsätze zur Ausgestaltung von Qualitätsmanagementsystemen. im gesundheitlichen Verbraucherschutz formuliert.
Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen im gesundheitlichen Verbraucherschutz 1 Vorwort Die in der Verordnung (EG) Nr. 882/2004 des Europäischen Parlaments und des Rates über amtliche
MehrVersion: System: DFBnet Lizenz 5.20
Version: System: DFBnet Lizenz 5.20 Speicherpfad/Dokument: 141121_FGM DFBnet Lizenz 5.20.docx Erstellt: Letzte Änderung: Geprüft: Freigabe: Datum: 21.11.2014 28.11.2014 28.11.2014 28.11.2014 Version: V1.0
MehrDiese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung
Datenschutzbestimmung 1. Verantwortliche Stelle Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Pieskower Straße
MehrWas sagt der Anwalt: Rechtliche Aspekte im BEM
Was sagt der Anwalt: Rechtliche Aspekte im BEM Peter Gerhardt Rechtsanwalt und Fachanwalt für Arbeitsrecht Frankfurt am Main Gesetzliche Grundlagen des BEM seit 2004 in 84 Abs. 2 SGB IX geregelt. bei allen
MehrMustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März 2013 -
DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März 2013 - Seite 2 Der Landesbeauftragte für den Datenschutz Baden-Württemberg Königstraße 10a
MehrSynchronisations- Assistent
TimePunch Synchronisations- Assistent Benutzerhandbuch Gerhard Stephan Softwareentwicklung -und Vertrieb 25.08.2011 Dokumenten Information: Dokumenten-Name Benutzerhandbuch, Synchronisations-Assistent
Mehr104 WebUntis -Dokumentation
104 WebUntis -Dokumentation 4.1.9.2 Das elektronische Klassenbuch im Betrieb Lehrer Aufruf Melden Sie sich mit Ihrem Benutzernamen und Ihrem Passwort am System an. Unter den aktuellen Tagesmeldungen erscheint
MehrVereinbarung Auftrag gemäß 11 BDSG
Vereinbarung Auftrag gemäß 11 BDSG Schuster & Walther Schwabacher Str. 3 D-90439 Nürnberg Folgende allgemeinen Regelungen gelten bezüglich der Verarbeitung von Daten zwischen den jeweiligen Auftraggebern
MehrSo geht s Schritt-für-Schritt-Anleitung
So geht s Schritt-für-Schritt-Anleitung Software WISO Mein Verein Thema Fällige Rechnungen erzeugen und Verbuchung der Zahlungen (Beitragslauf) Version/Datum V 15.00.06.100 Zuerst sind die Voraussetzungen
MehrMaschinenrichtlinie 2006/42/EG 150 Fragen und Antworten zum Selbststudium
QUALITY-APPS Applikationen für das Qualitätsmanagement Maschinenrichtlinie 2006/42/EG 150 Fragen und Antworten zum Selbststudium Autor: Prof. Dr. Jürgen P. Bläsing Die Maschinenrichtlinie 2006/42/EG ist
Mehr[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL
[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL Was bedeutet Customer Service by KCS.net? Mit der Einführung von Microsoft Dynamics AX ist der erste wichtige Schritt für viele Unternehmen abgeschlossen.
MehrBitte führen Sie vor der Umstellung eine Datensicherung Ihrer Profi cash-bestandsdaten durch.
SEPA-Umstellungsanleitung für Profi cash Diese Anleitung beschreibt die wesentlichen Schritte zur automatisierten Umstellung Ihrer in Profi cash hinterlegten nationalen Zahlungsaufträge in SEPA-Aufträge.
MehrAnleitung zu htp Mail Business htp WebMail Teamfunktionen
Sehr geehrter Kunde, sehr geehrte Kundin, mit dem E-Mail Produkt htp Mail Business stehen Ihnen eine Vielzahl von Funktionen für eine professionelle Kommunikation innerhalb und außerhalb Ihres Unternehmens
Mehr24. Februar 2014, Bonn 27. August 2014, Berlin
Datenschutz-Praxis Verfahrensverzeichnis und Vorabkontrolle Wann dürfen Verfahren zur automatisierten Verarbeitung personenbezogener Daten eingesetzt werden, wie werden sie gesetzeskonform dokumentiert?
MehrGrundsätze für die Überprüfung der besonderen Sachkunde von Sachverständigen
Hrsg. Institut für Sachverständigenwesen e.v. Seite 1/5 Grundsätze für die Überprüfung der besonderen Sachkunde von Sachverständigen Grundsätze.doc Erstmals: 01/2000 Stand: 01/2000 Rev.: 0 Hrsg. Institut
MehrPOCKET POWER. Qualitätsmanagement. in der Pflege. 2. Auflage
POCKET POWER Qualitätsmanagement in der Pflege 2. Auflage Datenschutz (BDSG) 19 sonals sind dabei die häufigste Übertragungsquelle von Krankheitserregern. Die Mitarbeiter sollten daher gut geschult sein,
MehrKurzgutachten. Zeitpunkt der Prüfung 20.12.2006 bis 13.12.2007
Kurzgutachten Zeitpunkt der Prüfung 20.12.2006 bis 13.12.2007 Adresse des Antragstellers GfOP Neumann & Partner mbh Zum Weiher 25-27 14552 Wildenbruch Adresse der Sachverständigen Rechtsanwalt Stephan
MehrVerordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)
Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197) I. Zu 3 a KDO (Meldung von Verfahren automatisierter Verarbeitung) (1) Sofern Verfahren
Mehr24. Februar 2014, Bonn
Datenschutz-Praxis Verfahrensverzeichnis und Vorabkontrolle Wann dürfen Verfahren zur automatisierten Verarbeitung personenbezogener Daten eingesetzt werden, wie werden sie gesetzeskonform dokumentiert?
MehrBewerbung. Datum/Unterschrift. 16515 Oranienburg. Hiermit bewerbe ich mich bei Ihnen für eine Einstellung in den Vorbereitungsdienst zum
Name: Vorname(n): PLZ/Ort/Straße/Nr.: E-Mail - Adresse: Telefonnummer: Fachhochschule der Polizei des Landes Brandenburg Personal/Auswahl Bernauer Str. 146 16515 Oranienburg Bewerbung Hiermit bewerbe ich
MehrDatenschutz beim Smart Metering Eine Herausforderung für die Wohnungsunternehmen?
Berliner Energietage 2012 Datenschutz beim Smart Metering Eine Herausforderung für die Wohnungsunternehmen? Diplom-Informatiker Hanns-Wilhelm Heibey Leiter des Bereichs Informatik beim und Stellvertreter
MehrElektrische Anlagen und Betriebsmittel
Berufsgenossenschaftliche Vorschrift für Sicherheit und Gesundheit bei der Arbeit DGUV Vorschrift (vorherige BGV A3) Unfallverhütungsvorschrift Elektrische Anlagen und Betriebsmittel vom 01. April 1979,
MehrKurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH
Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH Technischer Datenschutz Thorsten Sagorski Campus Duisburg LG 110 Behördlich bestellte Datenschutzbeauftragte Herr Tuguntke Leiter des Justitiariats
MehrDatenübernahme und Datensicherheit
Datenübernahme und Datensicherheit Gerade bei Investment- und Versicherungsmaklern werden viele sensible Daten versendet. Die herkömmlichen Versandwege per Post und E-Mail bieten nur wenig Sicherheit.
MehrMatrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version 1.0.0. 23. September 2015 - 1 -
Matrix42 Use Case - Sicherung und Rücksicherung persönlicher Version 1.0.0 23. September 2015-1 - Inhaltsverzeichnis 1 Einleitung 3 1.1 Beschreibung 3 1.2 Vorbereitung 3 1.3 Ziel 3 2 Use Case 4-2 - 1 Einleitung
Mehr