Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt



Ähnliche Dokumente
Rechtliches und Technisches Rezertifizierungsgutachten

Technisches und rechtliches Rezertifizierungs-Gutachten

Kurzgutachten. Zeitpunkt der Prüfung bis

Gutachten zur Re-Zertifizierung des IT-Produkts Dokumentenprüfer ALDO L Check 4U3, Hardware Release 01 / Software im Auftrag der 4U GmbH

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Technisches und rechtliches Rezertifizierungs-Gutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt KOMMBOSS Version 2.

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

im Auftrag der Sachsen DV Betriebs- und Servicegesellschaft mbh

Maintenance & Re-Zertifizierung

Der Schutz von Patientendaten

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

How to do? Projekte - Zeiterfassung

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Befragung zur Wahrnehmung von Datenschutzrechten durch Verbraucher

GPP Projekte gemeinsam zum Erfolg führen

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

D i e n s t e D r i t t e r a u f We b s i t e s

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Nutzung dieser Internetseite

Agile Vorgehensmodelle in der Softwareentwicklung: Scrum

Das digitale Klassenund Notizbuch

white sheep GmbH Unternehmensberatung Schnittstellen Framework

Muster für den Antrag auf Durchführung eines Gütestellenverfahrens

Microsoft Update Windows Update

Durchführung von Mindestlohnkontrollen. Stephan Slopinski Oldenburg / Hannover im November 2014

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

Spezifikation für Coaching Funktion in OpenOLAT

Erfahrungen mit dem Datenschutzaudit in Schleswig-Holstein

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Einführung in die Datenerfassung und in den Datenschutz

Medienwechsel in StarMoney 8.0 und StarMoney Business 5.0

Lizenzierung von StarMoney 8.0 bzw. StarMoney Business 5.0 durchführen

Konfiguration einer Sparkassen-Chipkarte in StarMoney

Datensicherung EBV für Mehrplatz Installationen

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Die integrierte Zeiterfassung. Das innovative Softwarekonzept

Kirchlicher Datenschutz

An die Gläubiger der ALPHA Events UG

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

UMSTELLUNG AUF DAS SEPA-ZAHLUNGSWESEN

Datenschutz und Schule

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Studie über Umfassendes Qualitätsmanagement ( TQM ) und Verbindung zum EFQM Excellence Modell

ÖFFENTLICHES VERFAHRENSVERZEICHNIS FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN IM BEREICH DER KUNDENSYSTEME

ACHTUNG: Voraussetzungen für die Nutzung der Funktion s-exposé sind:

Erstellen einer in OWA (Outlook Web App)

Schul-IT und Datenschutz

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

DER BESSER INFORMIERTE GEWINNT!

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle)

Lizenzierung von StarMoney 9.0 bzw. StarMoney Business 6.0 durchführen

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

Erstellung eines Verfahrensverzeichnisses aus QSEC

bizsoft Rechner (Server) Wechsel

GRAF-SYTECO. Handbuch. Zeichensatzgenerator für AT-Geräte. Erstellt: November SYsteme TEchnischer COmmunikation

Um ein solches Dokument zu erzeugen, muss eine Serienbriefvorlage in Word erstellt werden, das auf die von BüroWARE erstellte Datei zugreift.

Installation von Malwarebytes

Datenschutzfreundliches Projektmanagement Sven Thomsen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Sie werden sehen, dass Sie für uns nur noch den direkten PDF-Export benötigen. Warum?

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Festpreispaket. Testautomatisierung in der Abrechnung in SAP HCM

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Personal- und Kundendaten Datenschutz in Werbeagenturen

Datenschutzvereinbarung

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

So nutzen Sie VOICEMEETING. Vereinbaren Sie mit allen Konferenzteilnehmern den genauen Zeitpunkt, zu dem die Konferenz stattfinden soll.

Lizenzen auschecken. Was ist zu tun?

Task: Nmap Skripte ausführen

Datenschutz im E-Commerce

Personal- und Kundendaten Datenschutz bei Energieversorgern

1. Einleitung Abfrage des COON-Benutzernamens Ändern des Initial-Passwortes Anmelden an der COON-Plattform...

Hinweise zu. Teilenummern-Ersetzungen

- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),

Datenübernahme von HKO 5.9 zur. Advolux Kanzleisoftware

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Anwendungsbeschreibung für das MTS.Web OF (Frontend für Allokationsdaten)

Facebook und Datenschutz Geht das überhaupt?

Einsatz von Software zur Quellen-Telekommunikationsüberwachung 74. Sitzung des Innen- und Rechtsausschusses am 26. Oktober 2011, TOP 2

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

RECHT AKTUELL. GKS-Rechtsanwalt Florian Hupperts informiert über aktuelle Probleme aus dem Beamten- und Disziplinarrecht

2. Konfiguration der Adobe Software für die Überprüfung von digitalen Unterschriften

Lavid-F.I.S. Ablaufbeschreibung für. Arbeitszeiterfassung. Lavid-F.I.S.

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Transkript:

Rechtliches und Technisches Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt - SQS -Testsuite für SAP HCM - der SQS Software Quality Systems AG, Stollwerckstraße 11, 51149 Köln Andreas Bethke Dipl. Inf. (FH) Beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannter Sachverständiger für IT-Produkte (technisch) erstellt von: Stephan Hansen-Oest Rechtsanwalt Beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannter Sachverständiger für IT-Produkte (rechtlich) Papenbergallee 34 25548 Kellinghusen email ab@datenschutzkontor.de Neustadt 56 24939 Flensburg email sh@datenschutzkontor.de Stand: April 2008

Inhaltsverzeichnis A. Einleitung...3 B. Zeitpunkt der Prüfung...3 C. Detaillierte Bezeichnung des Begutachtungsgegenstandes...3 D. Zweck und Einsatzbereich des Begutachtungsgegenstandes...4 E. Tools, die zur Herstellung des IT-Produktes verwendet wurden...4 F. Primärdaten...5 G. Sekundärdaten...5 H. Datenschutzrechtliche Bewertung...5 I. Zusammenfassung...6-2 -

1 A. Einleitung Das IT-Produkt SQS-Testsuite für SAP HCM (nachfolgend: SQS-Testsuite) der SQS Software Quality Systems AG (nachfolgend: SQS AG) ist bereits im Jahr 2003 vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) für das Gütesiegel für IT-Produkte des Landes Schleswig-Holstein zertifiziert worden. 2 Im Zuge einer geplanten Rezertifizierung ist das IT-Produkt des Antragstellers in Augenschein genommen und einer rechtlichen und technischen Begutachtung unterzogen worden. Ausgangspunkt und Grundlage der Begutachtung im Rahmen der Rezertifizierung war das Gutachten des Erst-Sachverständigen (T-Systems GEI GmbH, Business Unit ITC Security, Stefan Morkovsky, Rabinstraße 8, 53111 Bonn) vom 05.03.2003 (Version 1.1). Soweit die unterzeichnenden Sachverständigen für erforderlich gehalten haben, sind ergänzende Hinweise zu einzelnen Punktes des Anforderungskataloges gemacht worden; ansonsten sind im Rahmen der Rezertifizierung nur die Änderungen an dem Verfahren aufgezeigt und geprüft worden. 3 Wesentliche Änderungen des Verfahrens sind seit der Erstzertifizierung nicht vorgenommen worden. Das Verfahren ist lediglich an die jeweils aktuelle SAP-Software angepasst worden, ferner sind die eingesetzten systematischen Testmethoden weiter optimiert worden. Die Änderungen haben keinerlei datenschutzrechtliche Relevanz. 4 Dem Gutachten wird der Anforderungskatalog in der Version 1.2 zu Grunde gelegt. 5 B. Zeitpunkt der Prüfung Die Prüfung des Verfahrens fand von 07.04.08 bis 11.04.08 statt. 6 C. Detaillierte Bezeichnung des Begutachtungsgegenstandes Diesbezüglich wird weitestgehend auf das Erstgutachten verwiesen. 7 Bezüglich der Bezeichnung des Produktes ist darauf hinzuweisen, dass die SAP AG seit kurzem SAP HR in SAP HCM (Human Capital Management) umbenannt hat. Daher soll auch das Produkt der SQS AG entsprechend in der im Gutachten genannten Form verwen- - 3 -

det werden. In der Produktbeschreibung des Herstellers wird noch die Bezeichnung SAP HR verwendet. Das ist für die datenschutzrechtliche Prüfung jedoch nicht entscheidend gewesen, da die Umbenennung von SAP HR in SAP HCM keinerlei Relevanz auf die inhaltliche Prüfung hatte. 8 Die SQS-Teststuite für SAP HCM wird vom Hersteller zwar als Beratungsprodukt bezeichnet. Es handelt sich jedoch um ein Verfahren in Form einer Beratung bzw. um standardisierter Methoden, die mittels Softwareunterstützung durch die SQS AG bei öffentlichen oder nichtöffentlichen Stellen eingesetzt werden, um Tests mit automatisch generierten Testdaten durchzuführen, um Test an Produktivsystemen mit Echtdaten oder Test in Test- oder Entwicklungssystemen mit Echtdaten zu vermeiden. 9 D. Zweck und Einsatzbereich des Begutachtungsgegenstandes Diesbezüglich wird auf das Erstgutachten verwiesen. 10 E. Tools, die zur Herstellung des IT-Produktes verwendet wurden Das Verfahren basiert im Wesentlichen darauf, dass über die SAP-Funktionalität ecatt Skripte generiert werden, mit denen Tests bzw. Testfälle automatisiert erzeugt werden können. Z.B. wird so die Eingabe von Daten in SAP simuliert, Prozesse (z.b. Abrechnung Lohn/Gehalt) initiiert etc. Die Erzeugung der ecatts ist zwar abhängig von der jeweiligen SAP-Installation und -Konfiguration der verantwortlichen Stelle, sie erfolgt aber nach einer systematischen Methode. Die Durchführung der Tests erfolgt dann automatisiert. 11 Die Tests können innerhalb von SAP mit Bordmitteln erfolgen (SAP Testworkbench oder SAP Solution Manager) oder durch Nutzung der Software SQS-Test/Professional Version 8, mit der eine höhere Transparenz und übersichtlichere Ergebnisprotokolle erreicht werden können. Die Software SQS-Test/Professional ist nicht Gegenstand der Zertifizierung. Die Gutachter haben die Software jedoch in Köln beim Hersteller in Augenschein nehmen können. Es bestehen keine Bedenken gegen einen datenschutzkonformen Einsatz der Software. Die Software muss zudem stets individuell an die IT- Umgebung/SAP-Umgebung der verantwortlichen Stelle angepasst werden. Die Anpassung erfolgt durch den Hersteller. - 4 -

12 F. Primärdaten Primärdaten, die datenschutzrelevant wären, fallen beim Einsatz des Verfahrens nicht an. Die Primärdaten wären hier die Testdaten in SAP HCM. Diese werden jedoch automatisch generiert und enthalten sog. Dummy-Daten (z.b. Anton Tester, Max Mustermann, Anja Test etc.), die keinen Bezug zu konkreten Personen haben. 13 G. Sekundärdaten Bei dem Einsatz des Verfahrens SQS-Testsuite für SAP HR fallen - abhängig von der jeweiligen Konfiguration des SAP-Systems der verantwortlichen Stelle - Sekundärdaten an. Dabei handelt es sich, worauf in der Produktbeschreibung des Herstellers richtig hingewiesen wird, um Daten, die sich aus der ecatt-protokollierung in SAP ergeben. Dort kann ggf. protokolliert, werden, welcher Benutzer, zu welchem Zeitpunkt, mit welchen Testdaten, welche Tests (SAP-Transaktionen) durchgeführt hat. Ob und in welchem Umfang diese Daten gespeichert werden, obliegt der jeweiligen verantwortlichen Stelle. 14 Die SQS AG wirkt beim Einsatz des Verfahrens darauf hin, dass die Usernamen für Tester so gewählt werden, dass nicht schon aus dem Usernamen ein unmittelbarer Personenbezug für Dritte herstellbar ist (z.b. statt Benutzername=Nachname, Benutzername=TestuserX). 15 Bei der Nutzung der Software SQS-Test/Professional können ebenfalls Sekundärdaten in Testprotokollen in gleicher Weise anfallen. Die Software kann jedoch sehr individuell und nach Kundenwünschen konfiguriert werden. So kann die automatsierte Löschung von Protokollen nach Tagen eingestellt werden etc. Dies wird jedoch nach Maßgabe des Kunden und seinen Maßstäben an eine Vorabkontrolle und nach Vorgaben der Revision individuell konfiguriert. 16 H. Datenschutzrechtliche Bewertung In dem Verfahren selbst steht die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nicht im Vordergrund. Es fallen lediglich Daten im Rahmen der Dokumentation und Kontrolle von Tests beiläufig in Form von Sekundärdaten an. 17 Das Verfahren selbst kann als Datenschutz-Verfahren bezeichnet werden. Es ist ein ideales Mittel, um die gesetzlichen Vorgaben an eine Vorabkontrolle einzuhalten. - 5 -

18 Beim Einsatz von SAP HCM werden auch sog. sensitive Daten verarbeitet. Vor dem Einspielen neuer SAP-Versionen (Upgrades, Patches etc.) oder Vornahme neuer Konfigurationen muss nach 9 LDSG-SH (bzw. 4d Abs. 5 BDSG) eine Vorabkontrolle stattfinden. Bei einer Vorabkontrolle muss sowohl die Rechtmäßigkeit der Datenverarbeitung als auch die Ordnungsmäßigkeit der Datenverarbeitung (Datensicherheit) festgestellt werden. Die Vorabkontrolle obliegt der verantwortlichen Stelle (dort: dem Datenschutzbeauftragten). 19 Während die Prüfung der Rechtmäßigkeit der Datenverarbeitung nicht Gegenstand des Verfahrens ist, ist das Verfahren jedoch geeignet, um die Prüfung der Ordnungsmäßigkeit der Datenverarbeitung zu unterstützen. Die Prüfung der Ordnungsmäßigkeit der Datenverarbeitung setzt bei öffentlichen Stellen des Landes Schleswig-Holstein voraus (für Vorabkontrollen nach dem BDSG gelten jedoch ähnliche Maßstäbe), dass die in automatisierten Verfahren eingesetzten Programme vor der Aufnahme der Verarbeitung personenbezogener Daten zu testen sind ( 7 Abs. 1 Satz 1 DSVO). Ferner sind die Testmaßnahmen und Ergebnisse sowie die bei den Tests eingesetzten informationstechnischen Geräte und Programme zu protokollieren ( 7 Abs. 1 Satz 2 DSVO). 20 Diese Anforderungen setzt das Verfahren vollständig um. Die Bewertung des Verfahrens kann bezüglich der Umsetzung der Anforderung an die Durchführung einer Vorabkontrolle als vorbildlich bewertet werden. 21 I. Zusammenfassung Das Verfahren SQS-Testsuite für SAP HCM genügt den datenschutzrechtlichen Anforderungen in vollem Umfang. Das Verfahren gewährleistet die Einhaltung eines wesentlichen Bestandteils des Datenschutzes bzw. der Datensicherheit: nämlich das umfassende Testen von automatisierten Verfahren, mit denen (sensitive) personenbezogene Daten verarbeitet werden sollen, mit nicht-personenbezogenen Testdaten im Vorwege. 22 Das Anfallen von Sekundärdaten ist dabei datenschutzrechtlich sogar erwünscht, da anderenfalls die Vorgaben an die Dokumentation der Vorabkontrolle i.s.d. 7 Abs. 1 DSVO nicht eingehalten werden könnten. - 6 -

Hiermit bestätige ich, dass das oben genannte IT-Produkt den Rechtsvorschriften über den Datenschutz und die Datensicherheit entspricht. Flensburg, den 11.04.2008 Kellinghusen, den 11.04.2008 Stephan Hansen-Oest Rechtsanwalt Beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannter Sachverständiger für IT-Produkte (rechtlich) Andreas Bethke Dipl. Informatiker (FH) Beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannter Sachverständiger für IT-Produkte (technisch) - 7 -

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback