Organisation: TH Köln

Autor/en: F.-J. Feithen / M. Lüghausen / B. Schmitz

Besitzer/in: Referat Personal

Dokument: 5_5_V0.13

Status: Endfassung

Stand: 08.04.2016

Version: V0.13

Datenschutzkonzept

Einführung SAP HCM Personalmanagement

an der TH Köln

2 von 13

Inhaltsverzeichnis

Ausgangssituation 3

2 Ziel des Datenschutzkonzeptes 3

3 Spezielle rechtliche Rahmenbedingungen für die Datenverarbeitung bei Dienst- und

Arbeitsverhältnissen für Beamte und Tarifbeschäftigte 4

4 Allgemeine datenschutzrechtliche Anforderungen 5

5 System- und Datensicherheit an der TH Köln 7

6 SAP Komponenten 7

7 Schnittstellen | Datenaustausch 8

8 SAP Rollen und Berechtigungen 10

9 SAP Reporting 11

10 Archivierung/Löschkonzept 11

11 Datenverarbeitung im Auftrag/Externe Remote-Zugriffe bei Bedarf 11

12 Schulung und Information 12

13 Organisatorische Maßnahmen zur Einhaltung der Regelungen | Verantwortlichkeiten 12

14 Rechtsgrundlagen/Zulässigkeit 12

15 Erforderlichkeit/Zweck 13

16 Datenschutzrechtliche Beurteilung 12

Abbildungsverzeichnis 13

Anlagen 13

3 von 13

Datenschutzkonzept

1 Ausgangssituation

Die TH Köln hat zum 01.01.2010 eine Integrierte Verbundrechnung (IVR) auf Basis SAP ERP 6.0 einge-

führt. Die bereits eingeführte SAP-Software ist ein Hochschulreferenzmodell. Seit 02.01.2014 erfolgt die

Personalverwaltung über SAP HCM. SAP HCM wurde in die Systemumgebung integriert und über ALE-

Szenarien mit dem Finanzwesen verbunden. Die Schnittstelle HIS SVA – SAP FI wurde damit abgelöst.

Die Zeiterfassung erfolgt nicht mehr über NovaTime, sondern wurde über eine Standardschnittstelle an

SAP angebunden. SelfServices und Workflows (z.B. Urlaubsantrag, Freizeitausgleich) wurden über den

NWBC von SAP realisiert. Hierbei wurden Mitarbeiter- und Manager-SelfServices betrachtet.

Dieses Datenschutzkonzept baut auf der Rahmen-Dienstvereinbarung vom 23.01.2014 auf, die für den

Einsatz von SAP abgeschlossen wurde. Allgemeine Aspekte zum Datenschutz wurden hier bereits in Kapi-

tel 9 benannt.

2 Ziel des Datenschutzkonzeptes

Datenschutz bedeutet die Durchführung geeigneter Maßnahmen zur Einhaltung von Datenschutzrichtlinien

und gesetzlichen Bestimmungen zum Schutz des Einzelnen vor Missbrauch seiner persönlichen Daten.

Das Datenschutzkonzept hat zum Ziel, in einer zusammenfassenden Dokumentation die datenschutzrecht-

lichen Aspekte im Hinblick auf die konkrete Umsetzung/Implementierung an der TH Köln darzustellen.

Der Schutzbereich dieses Datenschutzkonzeptes umfasst sowohl die tariflich Beschäftigten, die Beamtin-

nen und Beamten, als auch die sonstigen an der TH Köln mit SAP-Software arbeitenden Personen bzw.

solche, deren Personaldaten in einer SAP-Anwendung der TH Köln verarbeitet werden.

Es kann in einem nächsten Schritt auch als Grundlage für datenschutzrechtliche Prüfungen durch den

Datenschutzbeauftragten genutzt werden. Bei diesen Prüfungen werden dann die an der TH Köln einge-

setzten SAP-Module an den Datenschutzanforderungen gemessen. Aus technischer bzw. allgemeiner

SAP-Sicht gibt es auf dem Service Marketplace den SAP Security Guide (Datenschutzleitfaden):

http://www.dsag.de/fileadmin/media/Leitfaeden/090924_Datenschutzleitfaden_Erweiterung.pdf

Eine Vorabkontrolle bzw. Freigabe von DV-Verfahren kann jedoch nur auf das konkret installierte und kon-

figurierte Verfahren erfolgen. Die SAP-Module sowie der Betrieb der Software werden vor dem Hintergrund

der

Systeminfrastruktur der TH Köln mit Blick auf die datenschutzrechtlichen Anforderungen in diesem Kon-

zept zunächst kurz erläutert. Neben fachlichen Themen wie Rollen/Berechtigungen und Reporting enthält

es daher u.a. auch Aussagen zu den installierten technischen Sicherheitsvorkehrungen in datenschutz-

rechtlicher Sicht, zur Datensicherheit, zum Zugriffsschutz sowie zu den Schnittstellen.

Das Datenschutzkonzept enthält keine Verfahrensbeschreibung zu den jeweiligen Komponenten und Aus-

sagen zur detaillierten Funktionsweise der Module.

Das Datenschutzkonzept wird den Personalräten von der Dienststelle nach entsprechender Freigabe

durch den Datenschutzbeauftragten zur Abstimmung vorgelegt. Es wird als Anlage 4 in die Rahmen-

Dienstvereinbarung aufgenommen.

4 von 13

3 Spezielle rechtliche Rahmenbedingungen für die Datenverarbeitung bei Dienst- und Arbeitsverhältnissen für Beamte und Tarifbeschäftigte

Gesetzliche Regelungen für den Umgang mit personenbezogenen Daten bei Dienst- und Arbeitsverhält-

nissen ergeben sich aus Spezialgesetzen (insbesondere BeamtStG und LBG NRW) sowie dem Daten-

schutzgesetz NRW und ergänzend dem BDSG. Hinzu kommen Regelungen aus Tarifverträgen (insbeson-

dere TV-L NRW) sowie aus den bereits geschlossenen Dienstvereinbarungen.

Beispielhaft werden genannt:

§ 90 LBG NRW

„§ 90 Verarbeitung und Übermittlung von Personalaktendaten

(1) Personalaktendaten dürfen in Dateien nur für Zwecke der Personalverwaltung oder der Perso-nalwirtschaft verarbeitet und genutzt werden. Ihre Übermittlung ist nur nach Maßgabe des § 88 zulässig. Ein automatisierter Datenabruf durch andere Behörden ist unzulässig, soweit durch be-sondere Rechtsvorschrift nichts anderes bestimmt ist.

(2) Personalaktendaten im Sinne des § 85 dürfen automatisiert nur im Rahmen ihrer Zweckbestim-mung und nur von den übrigen Personaldateien technisch und organisatorisch getrennt verarbei-tet und genutzt werden.

(3) Von den Unterlagen über medizinische oder psychologische Untersuchungen und Tests dürfen im Rahmen der Personalverwaltung nur die Ergebnisse automatisiert verarbeitet oder genutzt werden, soweit sie die Eignung betreffen und ihre Verarbeitung oder Nutzung dem Schutz des Beamten dient.

(4) Beamtenrechtliche Entscheidungen dürfen nicht ausschließlich auf Informationen und Erkennt-nisse gestützt werden, die unmittelbar durch automatisierte Verarbeitung personenbezogener Da-ten gewonnen werden.

(5) Bei erstmaliger Speicherung ist dem Betroffenen die Art der über ihn gemäß Absatz 1 gespei-cherten Daten mitzuteilen, bei wesentlichen Änderungen ist er zu benachrichtigen. Ferner sind die Verarbeitungs- und Nutzungsformen automatisierter Personalverwaltungsverfahren zu doku-mentieren und einschließlich des jeweiligen Verwendungszweckes sowie der regelmäßigen Emp-fänger und des Inhalts automatisierter Datenübermittlung allgemein bekanntzugeben.“

Verwaltungsvorschrift (VV) zu § 90 LBG NRW (Verwaltungsvorschriften zur Ausfüh-rung des Beamtenstatusgesetzes (BeamtStG) und des Landesbeamtengesetzes (LBG NRW), VV d. Innenministeriums - 24-42.01.04-03.02-101 - v. 10.11. 2009 - Quelle: https://recht.nrw.de/lmi/owa/br_bes_text?anw_nr=1&gld_nr=2&ugl_nr=2030&bes_id=13219&val=13219&ver=7&sg=0&aufgehoben=N&menu=1:

„7 Verarbeitung und Übermittlung von Personalaktendaten (§ 90 LBG NRW)

7.1 § 90 LBG NRW ermächtigt zur Verarbeitung (§ 3 Absatz 2 des Datenschutzgesetzes Nordrhein-Westfalen) von Personalaktendaten in Dateien. Die Systeme sind so auszulegen, dass unerlaub-te Weiterverarbeitung über den freigegebenen Umfang hinaus und unerlaubter Datenimport/-export verhindert werden. Bei Betrieb der Personalverwaltungssysteme im Netz ist durch zusätz-liche Sicherungsmaßnahmen (Abschottung) zu gewährleisten, dass unerlaubte Ausspähungen nicht erfolgen können. Bei zentraler Speicherung der Personalaktendaten auf Servern sind Maß-nahmen zur Funktionsbeschränkung der Systemadministration vorzusehen. Datenübermittlungen sind nur verschlüsselt oder mit gleichwertigen Sicherheitsmaßnahmen zulässig. Archivierte Da-tenträger mit Personalaktendaten sind sicher aufzubewahren.

7.2 Als Mitteilung der Art der Dateien bei erstmaliger Speicherung ist die generelle Beschreibung der gespeicherten Informationen (z.B. Name, Vorname, Personalnummer) ausreichend.

7.3 Wesentliche Änderung ist die Erweiterung oder Verringerung des Umfangs oder der inhaltlichen Ausprägung der gespeicherten Daten.

5 von 13

Personalverwaltungsverfahren sind in Bezug auf den gespeicherten Datenumfang, mögliche Ver-knüpfungen sowie den Funktionsumfang verbindlich und abschließend zu dokumentieren und freizugeben.“

§ 29 DSG NRW

„§ 29 Datenverarbeitung bei Dienst- und Arbeitsverhältnissen

(1) Daten von Bewerbern und Beschäftigten dürfen nur verarbeitet werden, wenn dies zur Einge-hung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvor-schrift, ein Tarifvertrag oder eine Dienstvereinbarung dies vorsieht. Abweichend von § 16 Abs. 1 ist eine Übermittlung der Daten von Beschäftigten an Personen und Stellen außerhalb des öffent-lichen Bereichs nur zulässig, wenn der Empfänger ein rechtliches Interesse darlegt, der Dienst-verkehr es erfordert oder die betroffene Person eingewilligt hat. Die Datenübermittlung an einen künftigen Dienstherrn oder Arbeitgeber ist nur mit Einwilligung der betroffenen Person zulässig.

(2) Die beamtenrechtlichen Vorschriften über die Führung von Personalakten (§ 50 Beamtenstatus-gesetz, §§ 84 - 92 des Landesbeamtengesetzes für das Land Nordrhein-Westfalen) sind für alle nicht beamteten Beschäftigten einer öffentlichen Stelle entsprechend anzuwenden, soweit nicht die Besonderheiten des Tarif- und Arbeitsrechts hinsichtlich der Aufnahme und Entfernung von bestimmten Vorgängen und Vermerken eine abweichende Behandlung erfordern.

(3) Die Weiterverarbeitung der bei ärztlichen oder psychologischen Untersuchungen und Tests zum Zwecke der Eingehung eines Dienst- oder Arbeitsverhältnisses erhobenen Daten ist nur mit schriftlicher Einwilligung der betroffenen Person zulässig. Die Einstellungsbehörde darf vom un-tersuchenden Arzt in der Regel nur die Übermittlung des Ergebnisses der Eignungsuntersuchung und dabei festgestellter Risikofaktoren verlangen.

(4) Personenbezogene Daten, die vor der Eingehung eines Dienst- oder Arbeitsverhältnisses erho-ben wurden, sind unverzüglich zu löschen, sobald feststeht, dass ein Dienst- oder Arbeitsverhält-nis nicht zustande kommt, es sei denn, dass die betroffene Person in die weitere Speicherung eingewilligt hat. Nach Beendigung eines Dienst- oder Arbeitsverhältnisses sind personenbezoge-ne Daten zu löschen, wenn diese Daten nicht mehr benötigt werden, es sei denn, dass Rechts-vorschriften entgegenstehen; § 19 Abs. 3 Satz 2 und 3 sowie Abs. 4 finden Anwendung.

(5) Die Ergebnisse medizinischer oder psychologischer Untersuchungen und Tests der Beschäftig-ten dürfen automatisiert nur verarbeitet werden, wenn dies dem Schutz der Beschäftigten dient.

(6) Soweit Daten der Beschäftigten im Rahmen der Durchführung der technischen und organisatori-schen Maßnahmen nach § 10 gespeichert werden, dürfen sie nicht zu Zwecken der Verhaltens- oder Leistungskontrolle genutzt werden.

(7) Beurteilungen dürfen nicht allein auf Informationen gestützt werden, die unmittelbar durch auto-matisierte Datenverarbeitung gewonnen werden.“

4 Allgemeine datenschutzrechtliche Anforderungen

Allgemein muss zudem die Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisions-

fähigkeit und Transparenz gewährleistet sein.

Dazu gibt § 10 DSG NRW vor:

„§ 10 Technische und organisatorische Maßnahmen

(1) Die Ausführung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz ist durch technische und organisatorische Maßnahmen sicherzustellen.

(2) Dabei sind Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass

1. nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit),

6 von 13

2. personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integri-tät),

3. personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),

4. jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität),

5. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit),

6. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz).

(3) Die zu treffenden technischen und organisatorischen Maßnahmen sind auf der Grundlage eines zu doku-mentierenden Sicherheitskonzepts zu ermitteln, zu dessen Bestandteilen die Vorabkontrolle hinsichtlich möglicher Gefahren für das in § 1 geschützte Recht auf informationelle Selbstbestimmung gehört, die vor der Entscheidung über den Einsatz oder einer wesentlichen Änderung eines automatisierten Verfahrens durchzuführen ist. Das Verfahren darf nur eingesetzt werden, wenn diese Gefahren nicht bestehen oder durch Maßnahmen nach den Absätzen 1 und 2 verhindert werden können. Das Ergebnis der Vorabkontrol-le ist aufzuzeichnen. Die Wirksamkeit der Maßnahmen ist unter Berücksichtigung sich verändernder Rah-menbedingungen und Entwicklungen der Technik zu überprüfen. Die sich daraus ergebenden notwendigen Anpassungen sind zeitnah umzusetzen.

(4) Der Landesrechnungshof kann von der zu prüfenden Stelle verlangen, dass für ein konkretes Prüfungsver-fahren die notwendigen Maßnahmen nach den Absätzen 1 bis 3 zeitnah geschaffen werden.“

5 System- und Datensicherheit an der TH Köln

Um diesen Anforderungen Rechnung zu tragen, wurden an der TH Köln u.a. folgende Maßnahmen umge-

setzt und Regelungen getroffen:

Erstellung eines Verzeichnisses der verarbeiteten personenbezogenen Daten

Hierbei wird auf die Anlage 1 (HCM Infotypen) verwiesen. In HCM werden die Daten als Infotypen

verarbeitet. Die Personalstammdaten und Zeitdaten sind in den Tabellen PAxxxx des Produk-

tivsystems abgelegt. Eine Tabelle PAxxxx enthält neben systemspezifischen Einträgen wie z. B.

Schlüssel nur die Daten des jeweiligen Infotyps xxxx.

Gewährleistung von Vertraulichkeit (§ 10 Abs. 2 Nr. 1 DSG NRW) durch u.a.

o Zutrittskontrolle durch technische Maßnahmen in gesicherten Räumen, Einbau von Sicher-heitsschlössern

o Benutzerkontrolle durch Passwortregelung zur Legitimation und durch automatische Bild-schirmsperrung

o Zugriffskontrolle durch Vergabe unterschiedlicher Berechtigungen und differenzierter Zugriffs-möglichkeiten auf einzelne Felder und Infotypen

o Weitergabekontrolle o Vertragliche Verpflichtung externer Dienstleister auf die Geheimhaltung vertraulicher Daten

(Muster Anlage 2 Datenschutzerklärung).

Gewährleistung von Integrität (§ 10 Abs. 2 Nr. 2 DSG NRW) durch u.a.

o Vermeidung unbefugter oder zufälliger Datenverarbeitung durch Sperre des Zugriffs auf Be-triebs-systeme und/oder Verschlüsselung der Daten

o Regelmäßige Kontrolle der Unversehrtheit und Aktualität

Gewährleistung von Verfügbarkeit (§ 10 Abs. 2 Nr. 3 DSG NRW) durch u.a.

o Klare und übersichtliche Ordnung des Datenbestandes

7 von 13

o Vergabe von Zugriffsbefugnissen im erforderlichen Umfang (unter Abwägung gegenüber dem Gebot der Vertraulichkeit) (siehe auch Kap. 11)

Gewährleistung von Authentizität (§ 10 Abs. 2 Nr. 4 DSG NRW) durch u.a.

o Dokumentation der Ursprungsdaten und ihrer Herkunft o Nachvollziehbarkeit der Verarbeitungsschritte

Gewährleistung von Revisionsfähigkeit (§ 10 Abs. 2 Nr. 5 DSG NRW) durch u.a.

o Festlegung klarer Zuständigkeiten und Verantwortlichkeiten o Protokollierung der Eingabe und weiteren Verarbeitung der Daten o Aufbewahrung der Protokolldaten

Gewährleistung von Transparenz (§ 10 Abs. 2 Nr. 6 DSG NRW) durch u.a.

o Vollständige, übersichtliche und jederzeit nachprüfbare Dokumentation aller wesentlichen Da-tenverarbeitungsvorgänge

o Protokollierung in SAP

6 SAP Komponenten

Es wurden die folgenden HCM-Module an der TH Köln zum 02.01.2014 eingeführt:

Organisationsmanagement (OM)

Personaladministration/-abrechnung (PA/PY)

Personalzeitwirtschaft (PT)

Self Services der Personalzeitwirtschaft (ESS/MSS)

Personalkostenplanung (PKP)

Obligo Prozessor (OP)

Eine Kurzbeschreibung der HCM-Module ist der Anlage 3 zu entnehmen.

8 von 13

7 Schnittstellen | Datenaustausch

Zunächst wird an dieser Stelle die Systemlandschaft der TH Köln dargestellt, da diese für weitere Ausfüh-

rungen zu den Schnittstellen und dem Datenaustausch eine wichtige Grundlage darstellt.

SAP Systemlandschaft (SAP und verbundene Fremdsysteme)

Abbildung 1: SAP Systemlandschaft

Die beiden SAP-Systeme ERP und HCM werden auf getrennten Servern betrieben. Dies hat zum einen

den Vorteil, dass im Falle von Updates auf einem System nicht auch das andere System für die Sachbear-

beiter gesperrt werden muss. Zum anderen bringt dies Vorteile bei der Steuerung der Rol-

len/Berechtigungen. Auch unter Daten-sicherheitsgesichtspunkten ist eine solche Trennung vorzugswür-

dig.

Die Tatsache der getrennten Server erfordert jedoch, dass zwischen ERP und HCM der Datenaustausch

über eine sog. ALE-Schnittstelle gewährleistet ist. Dies ist Grundlage für eine funktionierende Integration

zwischen HCM und dem Rechnungswesen (FI). ALE ist eine Technologie zum Aufbau und Betrieb von

verteilten Anwendungen. Dadurch werden systemübergreifende Geschäftsprozesse ermöglicht.

Maßgeblich für die sternförmige Verteilung der Stammdaten in die anderen Systeme ist das FI-

Produktivsystem (P01). Die Buchungsdaten (aus Personal-Istkosten-Einspielungen) werden über ALE ins

Rechnungswesen übergeleitet.

Die Systemlandschaft der TH Köln ist auch der Rahmendienstvereinbarung zu SAP ERP als Anlage beige-

fügt.

9 von 13

SAP HCM Schnittstellen (Übersicht)

Abbildung 2: Übersicht der SAP HCM Schnittstellen

Datenflüsse erfolgen über die folgenden Schnittstellen:

Schnittstelle IDIK Gehaltsdaten (Istkosten) von LBV an TH Köln

o Diese Schnittstelle umfasst das Einlesen der IDIK-Datensätze, mit dem das LBV die

Stammdaten und Abrechnungsergebnisse des dort abgerechneten Personals der TH Köln

übermittelt. Die Daten werden in SAP HCM weiterverarbeitet und anschließend die Ab-

rechnungsergebnisse in das Rechnungswesen übergeleitet und verbucht.

Schnittstelle Änderungsdienst von TH Köln zum LBV (geplant)

o Die Konzeption bezieht sich nur auf Entgelte (Tarifbeschäftigte und SHK/WHK; nicht Be-

soldung).

o Die Pflege erfolgt in den Infotypen der Personaladministration.

o Ein Zeitplan für eine Umsetzung der Schnittstelle durch das LBV liegt bisher nicht vor.

Schnittstelle zwischen HCM und Identity Management (IDM) (bidirektionale Schnittstelle)

Das IDM ist ein zentrales System zur Verwaltung von Benutzerkennungen. So ist ein besserer

Überblick möglich, welcher Nutzer wo mit welchen Rechten zugreifen kann.

o SAP HCM zum IDM: Übertragung von Stammdaten(-Änderungen)

(Personalstamm- und Organisationsdaten; Näheres siehe Fachkonzept Schnittstelle IDM

V1.4)

o IDM zu HCM | Import von Stammdaten (Mail und CampusID) in das HCM

10 von 13

Aus dem IDM heraus werden in SAP den Personalstämmen die jeweiligen Nutzer zuge-

ordnet.

o IDM zu HCM | Aufbau von Benutzerdaten für ESS/MSS im HCM

In HCM werden die Nutzer mit den dazugehörigen Rollensets angelegt.

Schnittstelle zu Zeiterfassungsterminals/ZE-Software Dexicon

o Im Rahmen der FLAZ an den Terminals gestempelte Zeiten werden über Nacht von den

Terminals nach SAP HCM übertragen.

o In Dexicon erfolgt keine Vorhaltung von Daten.

ALE-Schnittstelle (Integration ins Rechnungswesen)

o Wie oben bereits erwähnt, erfordert die Tatsache der getrennten Server (ERP und HCM),

dass zwischen den beiden Systemen der Datenaustausch über eine sog. ALE-

Schnittstelle gewährleistet ist. Über ALE erfolgt die Verteilung der Kontierungsinformatio-

nen (Kostenstellen, PSP-Elemente, Fonds etc.). Die Abrechnungsergebnisse der LBV-

Gehaltsdaten werden über die ALE ins Rechnungswesen übergeleitet. Dort werden sie

weiterverarbeitet und verbucht.

o Der Obligo Prozessor überwacht die Mittelverwendung.

8 SAP Rollen und Berechtigungen

Die Vergabe von Berechtigungen für SAP Anwendungen erfolgt aufgrund eines schriftlichen An-

forderungs- und Genehmigungsverfahrens und ist wie folgt vereinbart und festgelegt:

Für die Vergabe von Berechtigungen innerhalb des SAP-Systems legen modulbezogen die für das

jeweilige SAP-Modul zuständigen Referatsleitungen fest, welche referatsinternen Vorgesetzten für

welche Beschäftigtenfunktion innerhalb des Referates, die für die Nutzung des SAP-Systems er-

forderlich ist, die entsprechenden Berechtigungen freigeben. Dies wird in einer Organisationsver-

einbarung zwischen dem jeweiligen Hochschulreferat und der SAP-Basis (Campus IT) festgehal-

ten und dient als Grundlage für entsprechende Anträge auf Einrichtung von Berechtigungen durch

das jeweilige Fachreferat.

Die Beantragung einer Berechtigung kann hierbei sowohl auf dem E-Mail-Wege als auch auf dem

Weg einer schriftlichen Beantragung per Brief durch den hierzu in der Organisationsvereinbarung

festgelegten Vorgesetzten bzw. sonstigen Beschäftigten mit entsprechender Zuständigkeit an die

Campus IT gestellt werden. Die SAP-Basis / Campus IT generiert aus den Anforderungen für das

Produktivsystem sodann ein entsprechendes Ticket. Sobald die Berechtigung erstellt und die be-

antragte Berechtigung dem einzelnen Beschäftigten / User zugewiesen ist, wird aus dem Ticket-

system heraus eine Bestätigungsmail an den Antragsteller versendet. Diese Mail wird zu Doku-

mentationszwecken - auch gegenüber Wirtschaftsprüfern- in der SAP-Basis abgelegt. Damit ist ei-

ne Nachprüfung sämtlicher vergebenen Berechtigungen je Fachmodul nachweisbar und überprüf-

bar.

Dieses Verfahren ist auch als Anlage 5 der Rahmendienstvereinbarung zu SAP ERP beigefügt.

Zu Rollen und Berechtigungen wurden die Vereinbarungen in mehreren Dokumenten zusammen-

gefasst (siehe Anlagen 4 bis 6).

Hierin werden die berechtigten Transaktionen, Infotypen (HCM) und Reports je Rolle benannt.

11 von 13

Die Berechtigungen werden an externe und interne Personen regelmäßig mandantenspezifisch

vergeben. Im HCM Testsystem wird unterschieden zwischen HQ1.Mdt100, der reine (Phantasie-

)Testdaten enthält, und dem HQ1.Mdt120, in dem mit Echtdaten aus dem Produktivsystem getes-

tet wird. Für HQ1.120 wurde nur ein eingeschränkter Personenkreis berechtigt. Für den Produk-

tivmandanten HP1.Mdt100 wurde den einzelnen Personalsachbearbeitern gemäß ihrer Aufgaben

eine entsprechend zugeschnittene Rolle zugewiesen.

Notfall-User: Hierzu wurden im Fachkonzept Rollen und Berechtigungen vom 26.07.2012 entspre-

chende Festlegungen getroffen (Kap. 4.10), die auch so umgesetzt wurden. Auszug:

Ein Notfall liegt vor, wenn ein direktes und sofortiges Eingreifen im Produktivsystem erfordern.

Beispiele für Notfälle: Das Produktionssystem wird instabil und droht „abzustürzen“, die Datenkon-

sistenz ist gefährdet oder wichtige Geschäftsprozesse können nicht mehr ausgeführt werden, oder

zu falschen Ergebnissen führen. Das Passwort wird in einem verschlossenen Umschlag in einem

Safe gelagert. Der Notfallbenutzer darf nur von einem definierten Personenkreis genutzt werden.

Die Aktionen des Notfallbenutzers sind zu protokollieren. (Nähere Ausführungen sind dem o.g.

Kapitel 4.10 des Fachkonzeptes Rollen und Berechtigungen vom 26.07.2012 zu entnehmen.)

9 SAP Reporting

Die Nutzung von ad-hoc-Queries und die Einrichtung und Nutzung des Excel-Downloads mit Bezug zu

personenbezogenen Daten ist nur im Rahmen der zugewiesenen Rollen und Berechtigungen zulässig:

Ad-hoc queries können durch alle Sachbearbeiterinnen und Sachbearbeiter konfiguriert werden;

jedoch jeweils nur zu den Infotypen und Daten, zu den sie ihre jeweilige Rollenzuordnung berech-

tigt.

Excel Download zu personenbezogenen Daten: Die Möglichkeit des lokalen Speicherns von Daten

in Form von Excel-Downloads ist nur ausgewählten Anwendern und in besonderen Ausnahmefäl-

len erlaubt. Dies wird über die Berechtigungen gesteuert.

Alle Auswertungen sind über eine eigene Transaktion aufzurufen, um diese bei der Definition der Rollen

und Berechtigungen administrieren zu können.

10 Archivierung/Löschkonzept

An der TH Köln findet derzeit keine Löschung statt. Dementsprechend existiert noch kein Löschkonzept. In

einem noch zu erstellenden Löschkonzept werden die gesetzlichen und sonstigen Vorgaben zur Archivie-

rung und Löschung von Personaldaten berücksichtigt werden. Derzeit werden alle Daten für unbestimmte

Zeit archiviert.

11 Datenverarbeitung im Auftrag/Externe Remote-Zugriffe bei Bedarf

Externe Berater erhalten gemäß Erfordernis des Einzelfalles und nach schriftlicher Genehmigung durch

die Referatsleitung Personal einen zum Zwecke der Vertragserfüllung und zeitlich beschränkt Zugriff auf

das Produktivsystem (HP1 Mdt100). Vor einem solchen Zugriff wird eine Teleservicevereinbarung (Muster

Anlage 7) abgeschlossen. Bei einer darüber hinausgehenden Datenverarbeitung im Auftrag ist ebenfalls

gesondert eine Vereinbarung zur Auftragsdatenverarbeitung abzuschließen, welche die genauen Inhalte

und Zwecke eines solchen Auftrags einschließlich erteilter Weisungen des Auftraggebers festlegt.

12 von 13

12 Schulung und Information

Die Mitarbeiter werden in SAP-Schulungen über die Datenschutzvereinbarungen informiert.

Bei Bedarf führt der Datenschutzbeauftragte separate Schulungen durch und steht für Rückfragen zur

Verfügung.

13 Organisatorische Maßnahmen zur Einhaltung der Regelungen | Verantwortlichkeiten

- Jeder Mitarbeiter, insbesondere jeder Vorgesetzte muss mit den datenschutzrechtlichen Bestim-

mungen und den Bestimmungen einschlägiger Dienstvereinbarungen vertraut sein. Dies ist bei der

Planung der Qualifizierung der Mitarbeiter zu berücksichtigen.

- Berechtigungen werden entsprechend der betrieblichen Aufgaben der Beschäftigten vergeben und

sind auf das zur jeweiligen fachbezogenen Aufgabenerfüllung erforderliche Maß zu beschränken.

- Die Weitergabe der Zugangsdaten (Account) und der damit verbundenen Berechtigungen ist ver-

boten.

- Die Zuständigkeit für die Systemverwaltung ist personell und organisatorisch in der CampusIT an-

gesiedelt.

- Änderungen/Erweiterungen im SAP-System (z.B. neues Modul) werden den Personalräten frühzei-

tig zur Information vorgelegt (gemäß Rahmendienstvereinbarung).

Die Verantwortlichkeit für die Einhaltung der Regelungen liegt im Hinblick auf die fachinhaltliche Sys-

temanwendung bei der Referatsleitung HR 9, im Hinblick auf die Basis-Systembetreuung bei der Campus

IT und im Hinblick Einhaltung der datenschutzrechtlichen Vorgaben bei der Referatsleitung HR 9 und der

Campus IT gemeinschaftlich mit dem behördlichen Datenschutzbeauftragten der TH Köln.

Diesen Verantwortlichen obliegt gleichsam die Verantwortung für die laufende Prüfung und Verbesserung

der Sicherheitsregelungen sowie ggf. die Anpassung und Modifizierung der hier als Anlage genommenen

Erklärungs- und Vertragsmuster (betrifft Anlagen 2 und 7).

14 Rechtsgrundlagen/Zulässigkeit/Zweck

Rechtliche Grundlagen für die Datenverarbeitung in SAP-HCM:

§ 90 LBG NRW und§ 29 DSG NRW sowie – bei Drittmittelprojekten - § 71 Abs. 1 Satz 5 HG NRW

die mit den Personalräten der TH Köln geschlossene Rahmendienstvereinbarung über die Einfüh-

rung, den Einsatz und die Erweiterung von SAP ERP vom Januar 2014

die mit den Personalräten der Fachhochschule Köln noch zu schließende Einzeldienstvereinba-

rung zum Einsatz von SAP HCM

15 Datenschutzrechtliche Beurteilung

Aufgaben des Datenschutzbeauftragten nach § 32 a DSG NRW, u. a.

- Unterstützung bei der Sicherstellung des Datenschutzes

- Überwachung der Einhaltung des Datenschutzes

- Freigabe des Systems aus datenschutzrechtlicher Sicht

13 von 13

Abbildungsverzeichnis

Abbildung 1: SAP Systemlandschaft 8

Abbildung 2: Übersicht der SAP HCM Schnittstellen 9

Anlagen

1) Anlage 1: Auflistung der in SAP HCM verwendeten Infotypen

2) Anlage 2: Muster Datenschutzerklärung für externe Dienstleister

3) Anlage 3: Kurzbeschreibung der HCM-Module

4) Anlage 4: Rollen- und Berechtigungen: Inhalte der Rollen

5) Anlage 5: Rollen- und Berechtigungen: Zuordnung Transaktionscodes zu Rollen

6) Anlage 6: Rollen- und Berechtigungen: Kontextsensitive Berechtigungen

7) Anlage 7: Muster Teleservicevereinbarung