workshop 2 datenschutz und...
TRANSCRIPT
114.02.2008 / lh+hkk SAP2008 / Workshop 2
Workshop 2
Datenschutz und SAP
Workshop 2a: Lorenz Hinrichs, TBS Niedersachsen gGmbHJochen Brandt, Brandtschutz Hamburg
Workshop 2b: Horst Kübeck, gibs Berlin mbHFriedhelm Michalke, TIB Hamburg
214.02.2008 / lh+hkk SAP2008 / Workshop 2
Datenschutz im Sinne des BDSGbedeutet Persönlichkeitsschutz
Bei der Datenverarbeitung mit SAPist das BDSG einzuhalten:
Welche personenbezogenen Datenwerden warum vom Betriebgespeichert?
Wer darf warum auf diese Datenzugreifen oder sie ändern?
3
Schutz in SAP durch Berechtigungstechnik
BenutzerBenutzer
BenutzerstammsatzBenutzerstammsatz
SammelprofilSammelprofil
SammelprofilSammelprofil
ProfilProfil FelderFelder
BerechtigungBerechtigung
SammelprofilSammelprofilSammelprofilSammelprofil
SammelprofilSammelprofilSammelprofilSammelprofil
ProfilProfilProfilProfil
ProfilProfil
WerteWerte
BerechtigungBerechtigung
BerechtigungsobjektBerechtigungsobjekt
BerechtigungBerechtigung
BerechtigungsobjektBerechtigungsobjektBerechtigungsobjektBerechtigungsobjekt
BerechtigungsobjektBerechtigungsobjekt
Rolle / SammelrollenRolle / Sammelrollen
4
Berechtigungsprüfung in SAP beim Programmaufruf
ProgrammaufrufProgrammaufruf
BenutzerstammBenutzerstammUser: XXXUser: XXX
Berechtigung 1Berechtigung 1......
Berechtigung 2Berechtigung 2............
ProgrammProgramm --------------------
DataData --------------------
ModuleModule ----------------
BerechtigungsprBerechtigungsprüüfungfung
ReturncodeReturncode
BenutzerBenutzerXXXXXX
514.02.2008 / lh+hkk SAP2008 / Workshop 2
SAP kennt keine Regeln, welchePersonendaten angelegt werden dürfen
Das Einhalten der Regelungen desBDSG ist dem Kunden überlassen
Belegschaftsvertretungen müssenhier Einfluss nehmen!
SAP ermöglicht nur einen gewissentechnischen Schutz vor unbefugtenZugriffen und deren Überprüfung
614.02.2008 / lh+hkk SAP2008 / Workshop 2
SAP legt nicht automatisch diegeforderten Verzeichnisse an
Das BDSG verlangt in §4e,g zwingend dieErstellung von Verzeichnissen.
Diese geben auch für den BR / PRAuskunft über die Verarbeitung vonBelegschaftsdaten.
Zu SAP müssen diese ohne SAP-Hilfenvom Betrieb selbst erstellt werden.
714.02.2008 / lh+hkk SAP2008 / Workshop 2
Verfahrensverzeichnis nach §4e BDSG
1. Name oder Firma der verantwortlichen Stelle,
2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche odernach der Verfassung des Unternehmens berufene Leiter und die mit derLeitung der Datenverarbeitung beauftragten Personen,
3. Anschrift der verantwortlichen Stelle,
4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
5. eine Beschreibung der Kategorien der betroffenen Personengruppenund der diesbezüglichen Daten oder Datenkategorien,
6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteiltwerden können,
7. Regelfristen für die Löschung der Daten,
8. eine geplante Datenübermittlung in Drittstaaten,
9. eine allgemeine Beschreibung, die es ermöglichst, vorläufig zubeurteilen, ob die Maßnahmen nach § 9 BDSG zur Gewährleistung derSicherheit der Verarbeitung angemessen sind.
Unterschriften Geschäftsführung, Datenschutzbeauftragter, Betriebsrat?
814.02.2008 / lh+hkk SAP2008 / Workshop 2
Datenschutz, insbesonderegrenzüberschreitender
Datentransfer
Workshop 2
914.02.2008 / lh+hkk SAP2008 / Workshop 2
Datenverarbeitung imAuftrag
1014.02.2008 / lh+hkk SAP2008 / Workshop 2
Datenverarbeitung im Auftrag
Vorgaben durch § 11 BDSG:
Auftraggeber ist für die Einhaltung des BDSGund anderer Rechtsvorschriften für denDatenschutz verantwortlich
Recht auf Schadenersatz ist gegenüber demAuftraggeber geltend zu machen
Sorgfältige Auswahl des Auftragnehmers unterbesonderer Berücksichtigung der von ihmgetroffenen technischen und organisatorischenMaßnahmen
1114.02.2008 / lh+hkk SAP2008 / Workshop 2
Datenverarbeitung im Auftrag
Vorgaben durch § 11 BDSG:
Auftragserteilung hat schriftlich zu erfolgen– Festlegung der technischen und organisatorischen
Maßnahmen– Festlegung von eventuellen Subunternehmern/-
auftragnehmern
Auftraggeber hat sich von der Einhaltung der techn.und organ. Maßnahmen beim Auftragnehmer zuüberzeugen
Erhebung, Verarbeitung und Nutzung derpersonenbezogenen Daten darf sich nur im Rahmender Auftragserteilung bewegen
Auftragnehmer hat Auftraggeber auf Verstöße gegendas BDSG hinzuweisen
1214.02.2008 / lh+hkk SAP2008 / Workshop 2
Datenverarbeitung im Auftrag
Arten von Auftragsdatenverarbeitung:
Lohn-/Gehaltsabrechnung
Datenerfassung
Befragungen/Umfragen
Archivierungen
Löschung von Datenträgern
postalische und/oder elektronische Mailings
Administration und Wartung der IT
Programmierung und Customizing
1314.02.2008 / lh+hkk SAP2008 / Workshop 2
Datenverarbeitung im Auftrag
Spezialfall: Datenverarbeitung im Auftraginnerhalb eines Konzerns.
Kein Konzerprivileg im Datenschutz
Die Daten der einzelnen Konzernteile sind striktzu trennen.
Eine gemeinsame DV würde das Prinzip des§ 11 BDSG verletzen.
Die gemeinsame Verarbeitung von Daten mussauf einer anderen Rechtsgrundlage beruhen.
1414.02.2008 / lh+hkk SAP2008 / Workshop 2
Datenübermittlung insAusland
1514.02.2008 / lh+hkk SAP2008 / Workshop 2
§ 4b BDSG: Übermittlungpersonenbezogener Daten ins Ausland
Innerhalb der Mitgliedstaaten der EU sieht dasBDSG „freien Datenverkehr“ vor
Folge ist, das die Bewertung des Datenverkehrsvon Hannover nach Berlin identisch zu werten istwie der von Hannover nach Paris
Datentransfer in Drittländer, die sich außerhalbder EU befinden, ist nur dann zulässig, wenn dasDrittland ein angemessenes Datenschutzniveaugewährleistet
1614.02.2008 / lh+hkk SAP2008 / Workshop 2
Angemessenheit des Datenschutzniveauswird unter Berücksichtigung der Umständebeurteilt
Dazu herangezogen werden u.a.:– Art der Daten
– Dauer der geplanten Verarbeitung
– Herkunfts- und Empfängerland
– Für den Empfänger geltende Rechtsnormen undSicherheitsmaßnahmen
Die Verantwortung für die Übermittlung trägt dieübermittelnde Stelle
Der Empfänger ist darauf hinzuweisen, dasDaten Zweckgebunden zu verarbeiten sind
§ 4b BDSG: Übermittlungpersonenbezogener Daten ins Ausland
1714.02.2008 / lh+hkk SAP2008 / Workshop 2
Anwendungsbereich
Grundsätzlich gilt der freie Datenverkehrinnerhalb der EU/EWR-Staaten
Bei Übertragung in Drittstaaten ist darauf zuachten, ob eine positive Feststellung bzgl. desSchutzniveaus des Empfängerlandes vorliegt– Wenn negativ: kommt einer der Ausnahmetatbestände
nach § 4c in Betracht
• Ebenfalls negativ: Feststellung, ob beim Empfängerim Drittland ein angemessenes Schutzniveauvorliegt
PROBLEMATISCH ist dabei IMMER dieÜbertragung von Mitarbeiterdaten
1814.02.2008 / lh+hkk SAP2008 / Workshop 2
§ 4c BDSG: Ausnahmen (1)
Safe-Harbour-Principles
Hierbei handelt es sich um Datenschutzgrundsätze,denen sich US-Unternehmen freiwillig unterwerfenkönnen, wenn sie Daten aus der EU erhalten.Bei den angeschlossenen Unternehmen wird dasVorliegen eines angemessenen Schutzniveausvorausgesetzt.Die Prinzipien des Safe-Harbour gleichen denen derEU-Datenschutz-Richtlinie. Die angeschlossenenUnternehmen werden regelmäßig dahingehendüberprüft, ob sie das Schutzniveau einhalten undgewährleisten.
www.export.gov/safeharbor
1914.02.2008 / lh+hkk SAP2008 / Workshop 2
§ 4c BDSG: Ausnahmen (2)
EU-Standardvertragsklauseln
Da die Feststellung über das Herstelleneines angemessenen Datenschutzniveausin einem Drittland sich schwerverwirklichen lassen kann, hat die EU-Kommission Standardvertragsklauselnverabschiedet.
Eine weitere Prüfung durch dieAufsichtsbehörde kann entfallen; Vertragist jedoch vorzulegen (§ 38 BDSG)
2014.02.2008 / lh+hkk SAP2008 / Workshop 2
Inhalt der EU-Klausel
Normativer Teil– Begriffsbestimmung– Pflichten der beteiligten Parteien– Haftung; Rechte Dritter– Schlichtungsverfahren und Gerichtsstand– Zusammenarbeit mit Kontrollstellen– Beendigung des Vertrages
Anhänge– Festlegungen (etwa Datenimporteur und
Datenexporteur)– Regelungen zum technischen und
organisatorischen Datenschutz)
2114.02.2008 / lh+hkk SAP2008 / Workshop 2
§ 4c BDSG: Ausnahmen (3)
Code of Conduct
Hierbei handelt es sich um verbindlicheUnternehmensregelungen, die innerhalb einesKonzerns abgeschlossen werden können. ZweiStandardwerke sind durch den „Düsseldorfer Kreis“bereits abgestimmt worden.
Gegenstand sind auch hier einzelne Übermittlungenbzw. bestimmte Arten von Übermittlungen, dieinternational im Konzern mit Schutzgarantien für dieBeteiligten zu vereinbaren sind.
www.datenschutz-berlin.de/jahresbe/02/anl/anlagenband2002.pdf
2214.02.2008 / lh+hkk SAP2008 / Workshop 2
Aber …
… der Rückgriff aufStandardvertragsklauseln führt nichtdazu, dass das BetrVG außer Kraftgesetzt wird.
2314.02.2008 / lh+hkk SAP2008 / Workshop 2
Zulässigkeitskriterien
Nach BDSG zwei Schritte:– Übermittlung muss zulässig sein
– Voraussetzungen einer Übermittlung ins Auslandmüssen gegeben sein
Sonderfall BetriebsvereinbarungGilt nicht für das Ausland; kann jedoch den „Fluss“ derMitarbeiterdaten reglementieren.
GenehmigungGemäß § 4c Abs. 2 BDSG kann die AufsichtsbehördeDatentransfer genehmigen. Voraussetzung ist auch hierdas Vorliegen von Schutzgarantien.
2414.02.2008 / lh+hkk SAP2008 / Workshop 2
Umgang mit Arbeitnehmerdaten
- Beispiele -
2514.02.2008 / lh+hkk SAP2008 / Workshop 2
Die Beispiele
National1. Zentralisierung von Aufgaben im deutschen
Konzern2. Auslagerung von Verwaltungsaufgaben an ein
externes Unternehmen
International3. Weltweiter Datenaustausch innerhalb eines
Konzerns4. Leistungskontrolle in einem Drittland5. Buchhaltung in Indien6. Vertrieb in Prag7. Skill-Management in der Karibik
2614.02.2008 / lh+hkk SAP2008 / Workshop 2
1. Zentralisierung von Aufgaben imdeutschen Konzern
Aufgaben wie etwa Gehaltsbuchhaltungsind/werden in vielen deutschenKonzernunternehmen zentralisiert
Teilweise gibt es hierfür keine explizitenDatenschutzregelungen
Entsprechendes gilt für zentrale undunternehmensübergreifende Skill-Management- und Wissensmanagement-Systeme
2714.02.2008 / lh+hkk SAP2008 / Workshop 2
2. Auslagerung von Verwaltungsaufgabenan ein externes Unternehmen
Übertragungen von Leistungen anexterne Dienstleister sind inDeutschland häufig
Beispiele:– Reisekostenabrechnung
– IT-Management
– Buchhaltung
– …
2814.02.2008 / lh+hkk SAP2008 / Workshop 2
3. Weltweiter Datenaustausch innerhalbeines Konzerns
Ein US-Konzern, derDienstleistungen im IT-Bereichanbietet, will alle weltweitoperierenden Konzerntöchter perVertrag in die Lage versetzen,vorhandene personenbezogeneDaten weltweit wechselseitig zuverarbeiten.
2914.02.2008 / lh+hkk SAP2008 / Workshop 2
4. Leistungskontrolle in einem Drittland
Ein deutscher Konzern wickelt DV-Prozesse mitSAP über einen zentralen Server in den USA ab.Betrieben wird dieser von einer dort ansässigenTochter
Demnächst sollen Auswertungen zu denindividuellen Leistungen der Mitarbeiter von derUS-Tochter durchgeführt werden
Im Konzern werden keine nennenswertendatenschutzrechtlichen Probleme gesehen, weileine Reihe von deutschen Mitarbeitern derVerarbeitung zugestimmt haben
3014.02.2008 / lh+hkk SAP2008 / Workshop 2
5. Buchhaltung in Indien
Eine deutsche Tochter einesausländischen Unternehmens wickelt diegesamte Buchhaltung in Indien über einindisches Unternehmen ab
Das indische Unternehmen garantiert denDatenschutz, spezielle Regelungen sindnicht fixiert worden
Weder die Kunden in Deutschland nochdie betroffenen Arbeitnehmer sind überden Datentransfer informiert worden
3114.02.2008 / lh+hkk SAP2008 / Workshop 2
6. Vertrieb in Prag vs. Goa
Ein deutscher Konzern strukturiert derzeit seineweltweiten Aktivitäten neu. In diesem Rahmen werdenbeispielsweise Kundenservice, Vertrieb sowie dieBuchhaltung ausgelagert (Offshoring)
Soweit direkte Kontakte in deutscher Spracheerforderlich sind, erfolgt eine Verlagerung nach Prag
Soweit keine direkten Kontakte nach Deutschlanderforderlich sind oder wenn diese in englischer Spracheerfolgen können, erfolgt die Verlagerung nach Indien
Im Bereich des Datenschutzes werden keine Problemegesehen. Der US-Anbieter des Offshoring versichert,dass alle nationalen Vorgaben berücksichtigt werden
3214.02.2008 / lh+hkk SAP2008 / Workshop 2
7. Skill-Management in der Karibik
Das zentrale Skill-Management-System in einemKonzern wird nunmehr von einer Tochterdurchgeführt, angesiedelt auf einer Karibik-Insel
Manager wie Mitarbeiter sollen in den nächstenMonaten umfassende Profildaten in einelektronisches System eingeben
Das System soll u.a. die berufliche Weiterentwicklungder Arbeitnehmer fördern
Datenschutzrechtliche Probleme sind bisher imManagement der deutschen Konzerntochter nichtgesehen bzw. diskutiert worden
3314.02.2008 / lh+hkk SAP2008 / Workshop 2
Anforderungen an ein Datenschutzmanagement
Die Anforderung an ein Datenschutzmanagementkönnen unter Umständen sehr hoch sein. Sollteneinzelne Anforderungen nicht eingehalten werdenkann dies Konsequenzen für die gesamteDatenverarbeitung haben.
So verurteilte das Landgericht Gießen eine Behördezur Löschung einer kompletten Skilldatenbank, daein fehlendes Verfahrensverzeichnis und eine nichtdurchgeführte Vorabkontrolle dazu führe, dass diepersonenbezogenen Daten in diesem System nichtsicher seinen.
3414.02.2008 / lh+hkk SAP2008 / Workshop 2
der Unternehmensberatungen fürArbeitnehmervertretungen
Berlin Berlin Hannover Hamburg
Wir beraten Betriebs- und Personalräte
Gemeinsames Seminarprogramm