Datenschutzleitfaden SAP



Ähnliche Dokumente
Datenschutz im E-Commerce

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Einführung in die Datenerfassung und in den Datenschutz

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Datenschutz und Schule

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

SAP SharePoint Integration. e1 Business Solutions GmbH

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Erstellung eines Verfahrensverzeichnisses aus QSEC

Integration von Enterprise Content Management im SAP NetWeaver Portal

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Closed-loop STADTWERKE MAINZ AG. 17. SAP - Konferenz, 17. November Quelle: CRM für die Versorgungswirtschaft, Die Integration von mysap CRM

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

ÖFFENTLICHES VERFAHRENSVERZEICHNIS FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN IM BEREICH DER KUNDENSYSTEME

Datenschutz beim Smart Metering Eine Herausforderung für die Wohnungsunternehmen?

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Monitoring und Datenschutz

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Grundkurs SAP ERP. Geschäftsprozessorientierte Einführung mit durchgehendem Fallbeispiel. Kapitel / 1. Auflage

Verfahrensverzeichnis gemäß 4g Abs. 2 BDSG

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Grundlagen des Datenschutzes und der IT-Sicherheit

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Peter Körner Adobe Systems Berlin, 3. Juni 2005

Datenschutz. Öffentliches Verfahrensverzeichnis der Indanet GmbH nach 4e Bundesdatenschutz (BDSG)

Big Data, Amtliche Statistik und der Datenschutz

Öffentliches Verfahrensverzeichnis gemäß 4 e Bundesdatenschutzgesetz (BDSG)

Facebook und Datenschutz Geht das überhaupt?

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG

IT-Compliance und Datenschutz. 16. März 2007

Arbeitnehmerdatenschutz / Leistungs- und Verhaltenskontrollen

Das System für Ihr Mitarbeitergespräche

Öffentliches Verfahrensverzeichnis

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

IMI datenschutzgerecht nutzen!

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datenschutz-Unterweisung

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Was sagt der Anwalt: Rechtliche Aspekte im BEM

DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN

Datenschutz im Spendenwesen

Vernichtung von Datenträgern mit personenbezogenen Daten

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA

1. bvh-datenschutztag 2013

WS C2: Leistungs- und Verhaltenskontrolle mit SAP auf die Spur kommen

Datenschutzbeauftragte

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Hinweise zum Erstellen eines Verfahrensverzeichnisses

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Öffentliches Verfahrensverzeichnis der Vater Unternehmensgruppe nach 4e Bundesdatenschutzgesetz (BDSG)

3. Verbraucherdialog Mobile Payment

Prüfkatalog zur Datenschutzverträglichkeit von sog. Mitarbeiterbefragungen (MAB) für Beschäftigte im öffentlichen Dienst in Niedersachsen

Windows Server 2008 (R2): Anwendungsplattform

Von Stefan Lang und Ralf Wondratschek

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli

Jörg Datenschutz in der BRD. Jörg. Einführung. Datenschutz. heute. Zusammenfassung. Praxis. Denitionen Verarbeitungsphasen

Das digitale Klassenund Notizbuch

Verfahrensverzeichnis für Jedermann

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Datenschutz eine Einführung. Malte Schunke

Öffentliches Verfahrensverzeichnis der. ProfitBricks GmbH

D i e n s t e D r i t t e r a u f We b s i t e s

Drei Fragen zum Datenschutz im. Nico Reiners

Profiling im Lichte der Datenschutz-Grundverordnung

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Festpreispaket. Testautomatisierung in der Abrechnung in SAP HCM

Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März

IHK-Netzwerksitzung am 05. April 2011 Rechtliche Themen der Gesundheitswirtschaft. Themenschwerpunkt: Arbeitsrecht

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten

Aufbewahrung von erweiterten Führungszeugnissen. Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Erfahrungen mit der Einführung einer Human-Capitel-Management-Anwendung (HCM) im globalen Kontext

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Normatives Dokument ICELT D 1006:2015 ICELT-Datenschutzrichtlinie

Vorlesung Enterprise Resource Planning, WS 04/05, Universität Mannheim Übungsblatt

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Sommerakademie Arbeitnehmer Freiwild der Überwachung? Mitarbeiteraußendarstellung: Vom Namensschild zur Internetpräsentation

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten

Verwendung des IDS Backup Systems unter Windows 2000

Database Exchange Manager. Infinqa IT Solutions GmbH, Berlin Stralauer Allee Berlin Tel.:+49(0) Fax.:+49(0)

Business Application Framework für SharePoint Der Kern aller PSC-Lösungen

Datenschutz. Verfahrensverzeichnis nach 4g i.v.m. 18 und 4e BDSG

Google Analytics - Kostenloser Service mit Risiken? RA Dr. Jan K. Köcher Syndikus DFN-CERT Services GmbH koecher@dfn-cert.de

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH

Dieser Handlungsbedarf wird organisatorisch durch das Aufsetzen konkreter (Teil-)Projekte wahrgenommen

GDD-Erfa-Kreis Berlin

Transkript:

Georg Siebert forba Partnerschaft der Ingenieure und beratenden Betriebswirte Dominicusstr.3, 10823 Berlin www.forba.de 21. SAP-/ Neue Technologie-Konferenz, 21.- 23.10.2008

Datenschutzleitfaden SAP ERP 6.0 ( Stand 30. Mai 2008 ) Autorenteam der AG Datenschutz im AG Revision der DSAG e.v. Kostenloser Bezug: http://www.dsag.de/fileadmin/media/leitfaeden/080909_datenschutz-leitfaden.pdf Druckformat: Bitte beim Ausdrucken im Druck-Pop-Up bei Seitenanpassung: 'In Druckbereich anpassen' auswählen!). Weitere Leitfäden zum Datenschutz stehen unter www.sap.de/revis bereit.

Inhalt Einleitung 1. Einführungsprozess 2. Aufgaben des Datenschutzbeauftragten 3. Rechte der Betroffenen und von jedermann 4. Umsetzung der Anforderungen aus 9 BDSG und Anlage: Technisch-organisatorische Maßnahmen 5. Auftragsdatenverarbeitung und konzerninterner Datenaustausch 6. Besondere Themen

Generelle Struktur: -Beschreibung der Anforderungen -SAP-Fakten -Risiken -Maßnahmen -Prüfungsmöglichkeiten Der Datenschutzleitfaden hat Empfehlungscharakter

Beispiel PNP Datenmodell: Personalstamm, Stammdaten für Abrechnung, Bewerberdaten, Zeitwirtschaftsdaten, kundeneigene Stammdaten zu einer Person. 1. Infotypen ( ITY) [ Karteikarte ] 2. Subtypen ( STY) [ Unter-Karteikarte ] 3. Datenfelder ( Feld) 4. Wertevorrat für die Datenfelder ( Feldwert) Personalaufgaben: Personaladministration, Abrechnung, Zeitwirtschaft, Bewerber, ( Personalentwicklung: Weiterbildung, Skill- /Kompetenzen-Management, Karriere- und Nachfolgeplanung ).

Familienstand Ledig Verh verw gesch konkub

1.1.1 ERHEBUNG, VERARBEITUNG ODER NUTZUNG VON PERSONENBEZOGENEN DATEN Grundsätzlich ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten gemäß 4 BDSG verboten, es sei denn, > das BDSG erlaubt bzw. verlangt die Verarbeitung oder > eine andere vorrangige Rechtsvorschrift erlaubt bzw. verlangt die Verarbeitung oder > es liegt eine schriftliche Einwilligung des Betroffenen vor. Die Zulässigkeitskriterien für die Erhebung, Verarbeitung oder Nutzung ergeben sich aus 4 BDSG in Verbindung mit 11 BDSG und > 13 und 14 BDSG für die öffentlichen Stellen > 28 bis 30 BDSG für nicht öffentliche Stellen. Die Beweislast für die Zulässigkeit trägt die verantwortliche Stelle

Der Grundsatz der Datenvermeidung und Datensparsamkeit gem. 3a BDSG mit dem Ziel, keine oder wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen, ist zu beachten. > Die RECHTSGRUNDLAGEN für die Erhebung, Verarbeitung und Nutzung sind im BDSG differenziert gestaltet und müssen geprüft bzw. geschaffen werden (z. B. Einwilligung, Vertrag, Betriebsvereinbarung). > Die organisatorischen und technischen Maßnahmen zur Nutzung von SAP ERP sind so zu gestalten, dass NUR DIE ERFORDERLICHEN personenbezogenen Daten gespeichert werden. Dabei ist zu beachten, dass im Auslieferungszustand der Software technische Maßnahmen nur im geringen Umfang ausgeprägt sind.

> Abhängig vom Zweck der Verarbeitung ist mit den Möglichkeiten des Berechtigungskonzeptes und anderer Sicherungsmaßnahmen sicherzustellen, dass die Daten nur IM RAHMEN DER ZULÄSSIGEN ZWECKE verarbeitet werden können. Für unterschiedliche Zwecke erhobene Daten müssen durch technisch-organisatorische Maßnahmen getrennt verarbeitet werden können. > Es dürfen nur die Daten vorgehalten werden, die zur Erfüllung der Aufgabenstellung erforderlich sind (VERBOT DER VORRATSDATENSPEICHERUNG). > Abhängig vom Zweck der Datenspeicherung (z. B. Abwicklung eines Vertrages) sind die benötigten DATENFELDER festzulegen und im Customizing einzustellen. > Zusätzlich ist die DAUER DER DATENSPEICHERUNG auf die erforderliche Zeit zu begrenzen, entsprechend festzulegen und für die Löschung der Daten zu sorgen (z. B. von Bewerberdaten oder Festlegung der Speicherungsdauer nach dem Vertragsende und anschließende Löschung)

Eine Orientierung zum hardware-technischen, Softwaretechnischen und organisatorischen Aufbau erarbeiten. System, Verbund, ( Landschaft, Usage-Typ (Anwendungs-Spezialisierung)) SBX_Sandbox DEV_Development QAS_Quality Assourance PRD_Produktion Anwendung / Usage: ERP_Enterprise Ressouce_Planung Rechnungswesen / Finance Logistik Personalwesen / HCM_ Human_Capital_Management BI_Business_Intelligence ( BW_ Bus SEM_Strategic_Enterprise_Management PORTAL KM_Knowledge_Management SCM_ PI_Process_Integration? System Landscape Directory: TCD: SMSY aus dem SM(Solution Manager)

Netweaver_ neue Ebene der Nutzungs-Infrastruktur: SAP NetWeaver PEOPLE INTEGRATION Multichannel access mysap Business Suite CRM ERP SRM Composite application framework Portal Collaboration INFORMATION INTEGRATION Bus. intelligence Knowledge mgmt. Master data mgmt. PROCESS INTEGRATION Integration broker Business process mgmt. APPLICATION PLATFORM J2EE ABAP DB and OS abstraction Life-cycle mgmt. SAP NetWeaver BW EP XI MI MDM SAP Web Application Server J2EE ABAP

Übersicht zu Systemen, Funktionen, pbd, Dateieignern und Datenschutzbeauftragten System, Version Mandant ( Nutzung / logisches System ) Buchungskreis (Instandhaltungs-)Werk Personalbereich, -teilbereich typische pbd ( Business-Objekte), Berechtiugngsobjekte Zwecke ( Schutzstufe - Aufbewahrungspflichten) Archivierungsobjekt Prozessverantwortlicher Dateieigner( verantwortlich) Datenschutzbeauftragter führendes System für die folgende Daten: Empfänger der Verteilung ( logisches System).

Das BDSG kennt kein Konzernprivileg Verantwortliche Stelle für den Datenschutz ( Rechtsgrundlage, Zugriff, Dauer, Auskunft ) ist die Konzerngesellschaft, mit der der Mitarbeiter den Arbeitsvertrag abgeschlossen hat. Bei Datenverarbeitung in einer anderen Konzerngesellschaft gelten die Regelungen der Auftragsdatenverarbeitung. Das Datentrennungsgebot ( Mandant, separate Rollen ) bleibt bestehen. Es kann Konzerngesellschaftsübergreifende Berechtigungen nur im Ausnahmefall geben.

8 mögliche Themen für das Forum: 1. HR-Infotypen: HCM-Personalstamm Datenmodell PNP und seine Reduzierung. 2. Analyse des PNP-Datenmodells mit dem Tool Z_RPDINF01_002. 3. Analyse der Zugriffsrechte auf Infotypen / Subtypen mit sensiblen Inhalten. 4. zeitliche Tiefe der Speicherung für unterschiedliche Zweckbindung, operative Arbeit. 5. HR-Reports: Auswertungen / Protokollierung, / Protokolle 6. Protokolle bei der Ausführung von Reports und von Querys und AdHocQuerys. 7. SOS-Report ( Security Optimization Service ) von SAP zur regelmäßigen Abfrage der System-Sicherheitseinstellungen und Darstellung in Ampelformat im SAP-SM ( Solution Manager ). 8. Suchen von Tabellen mit personenbezogenen Daten und Suche der Programme / Funktionen, die diese Tabellen verwenden. Weiteres:

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback