Workshop 2 Datenschutz und...

114.02.2008 / lh+hkk SAP2008 / Workshop 2

Workshop 2

Datenschutz und SAP

Workshop 2a: Lorenz Hinrichs, TBS Niedersachsen gGmbHJochen Brandt, Brandtschutz Hamburg

Workshop 2b: Horst Kübeck, gibs Berlin mbHFriedhelm Michalke, TIB Hamburg


Datenschutz im Sinne des BDSGbedeutet Persönlichkeitsschutz

Bei der Datenverarbeitung mit SAPist das BDSG einzuhalten:

Welche personenbezogenen Datenwerden warum vom Betriebgespeichert?

Wer darf warum auf diese Datenzugreifen oder sie ändern?

3

Schutz in SAP durch Berechtigungstechnik

BenutzerBenutzer

BenutzerstammsatzBenutzerstammsatz

SammelprofilSammelprofil

SammelprofilSammelprofil

ProfilProfil FelderFelder

BerechtigungBerechtigung

SammelprofilSammelprofilSammelprofilSammelprofil

SammelprofilSammelprofilSammelprofilSammelprofil

ProfilProfilProfilProfil

ProfilProfil

WerteWerte


BerechtigungsobjektBerechtigungsobjekt


BerechtigungsobjektBerechtigungsobjektBerechtigungsobjektBerechtigungsobjekt

BerechtigungsobjektBerechtigungsobjekt

Rolle / SammelrollenRolle / Sammelrollen

4

Berechtigungsprüfung in SAP beim Programmaufruf

ProgrammaufrufProgrammaufruf

BenutzerstammBenutzerstammUser: XXXUser: XXX

Berechtigung 1Berechtigung 1......

Berechtigung 2Berechtigung 2............

ProgrammProgramm --------------------

DataData --------------------

ModuleModule ----------------

BerechtigungsprBerechtigungsprüüfungfung

ReturncodeReturncode

BenutzerBenutzerXXXXXX


SAP kennt keine Regeln, welchePersonendaten angelegt werden dürfen

Das Einhalten der Regelungen desBDSG ist dem Kunden überlassen

Belegschaftsvertretungen müssenhier Einfluss nehmen!

SAP ermöglicht nur einen gewissentechnischen Schutz vor unbefugtenZugriffen und deren Überprüfung


SAP legt nicht automatisch diegeforderten Verzeichnisse an

Das BDSG verlangt in §4e,g zwingend dieErstellung von Verzeichnissen.

Diese geben auch für den BR / PRAuskunft über die Verarbeitung vonBelegschaftsdaten.

Zu SAP müssen diese ohne SAP-Hilfenvom Betrieb selbst erstellt werden.


Verfahrensverzeichnis nach §4e BDSG

1. Name oder Firma der verantwortlichen Stelle,

2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche odernach der Verfassung des Unternehmens berufene Leiter und die mit derLeitung der Datenverarbeitung beauftragten Personen,

3. Anschrift der verantwortlichen Stelle,

4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,

5. eine Beschreibung der Kategorien der betroffenen Personengruppenund der diesbezüglichen Daten oder Datenkategorien,

6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteiltwerden können,

7. Regelfristen für die Löschung der Daten,

8. eine geplante Datenübermittlung in Drittstaaten,

9. eine allgemeine Beschreibung, die es ermöglichst, vorläufig zubeurteilen, ob die Maßnahmen nach § 9 BDSG zur Gewährleistung derSicherheit der Verarbeitung angemessen sind.

Unterschriften Geschäftsführung, Datenschutzbeauftragter, Betriebsrat?


Datenschutz, insbesonderegrenzüberschreitender

Datentransfer

Workshop 2


Datenverarbeitung imAuftrag


Datenverarbeitung im Auftrag

Vorgaben durch § 11 BDSG:

Auftraggeber ist für die Einhaltung des BDSGund anderer Rechtsvorschriften für denDatenschutz verantwortlich

Recht auf Schadenersatz ist gegenüber demAuftraggeber geltend zu machen

Sorgfältige Auswahl des Auftragnehmers unterbesonderer Berücksichtigung der von ihmgetroffenen technischen und organisatorischenMaßnahmen



Vorgaben durch § 11 BDSG:

Auftragserteilung hat schriftlich zu erfolgen– Festlegung der technischen und organisatorischen

Maßnahmen– Festlegung von eventuellen Subunternehmern/-

auftragnehmern

Auftraggeber hat sich von der Einhaltung der techn.und organ. Maßnahmen beim Auftragnehmer zuüberzeugen

Erhebung, Verarbeitung und Nutzung derpersonenbezogenen Daten darf sich nur im Rahmender Auftragserteilung bewegen

Auftragnehmer hat Auftraggeber auf Verstöße gegendas BDSG hinzuweisen



Arten von Auftragsdatenverarbeitung:

Lohn-/Gehaltsabrechnung

Datenerfassung

Befragungen/Umfragen

Archivierungen

Löschung von Datenträgern

postalische und/oder elektronische Mailings

Administration und Wartung der IT

Programmierung und Customizing



Spezialfall: Datenverarbeitung im Auftraginnerhalb eines Konzerns.

Kein Konzerprivileg im Datenschutz

Die Daten der einzelnen Konzernteile sind striktzu trennen.

Eine gemeinsame DV würde das Prinzip des§ 11 BDSG verletzen.

Die gemeinsame Verarbeitung von Daten mussauf einer anderen Rechtsgrundlage beruhen.


Datenübermittlung insAusland


§ 4b BDSG: Übermittlungpersonenbezogener Daten ins Ausland

Innerhalb der Mitgliedstaaten der EU sieht dasBDSG „freien Datenverkehr“ vor

Folge ist, das die Bewertung des Datenverkehrsvon Hannover nach Berlin identisch zu werten istwie der von Hannover nach Paris

Datentransfer in Drittländer, die sich außerhalbder EU befinden, ist nur dann zulässig, wenn dasDrittland ein angemessenes Datenschutzniveaugewährleistet


Angemessenheit des Datenschutzniveauswird unter Berücksichtigung der Umständebeurteilt

Dazu herangezogen werden u.a.:– Art der Daten

– Dauer der geplanten Verarbeitung

– Herkunfts- und Empfängerland

– Für den Empfänger geltende Rechtsnormen undSicherheitsmaßnahmen

Die Verantwortung für die Übermittlung trägt dieübermittelnde Stelle

Der Empfänger ist darauf hinzuweisen, dasDaten Zweckgebunden zu verarbeiten sind

§ 4b BDSG: Übermittlungpersonenbezogener Daten ins Ausland


Anwendungsbereich

Grundsätzlich gilt der freie Datenverkehrinnerhalb der EU/EWR-Staaten

Bei Übertragung in Drittstaaten ist darauf zuachten, ob eine positive Feststellung bzgl. desSchutzniveaus des Empfängerlandes vorliegt– Wenn negativ: kommt einer der Ausnahmetatbestände

nach § 4c in Betracht

• Ebenfalls negativ: Feststellung, ob beim Empfängerim Drittland ein angemessenes Schutzniveauvorliegt

PROBLEMATISCH ist dabei IMMER dieÜbertragung von Mitarbeiterdaten


§ 4c BDSG: Ausnahmen (1)

Safe-Harbour-Principles

Hierbei handelt es sich um Datenschutzgrundsätze,denen sich US-Unternehmen freiwillig unterwerfenkönnen, wenn sie Daten aus der EU erhalten.Bei den angeschlossenen Unternehmen wird dasVorliegen eines angemessenen Schutzniveausvorausgesetzt.Die Prinzipien des Safe-Harbour gleichen denen derEU-Datenschutz-Richtlinie. Die angeschlossenenUnternehmen werden regelmäßig dahingehendüberprüft, ob sie das Schutzniveau einhalten undgewährleisten.

www.export.gov/safeharbor



EU-Standardvertragsklauseln

Da die Feststellung über das Herstelleneines angemessenen Datenschutzniveausin einem Drittland sich schwerverwirklichen lassen kann, hat die EU-Kommission Standardvertragsklauselnverabschiedet.

Eine weitere Prüfung durch dieAufsichtsbehörde kann entfallen; Vertragist jedoch vorzulegen (§ 38 BDSG)


Inhalt der EU-Klausel

Normativer Teil– Begriffsbestimmung– Pflichten der beteiligten Parteien– Haftung; Rechte Dritter– Schlichtungsverfahren und Gerichtsstand– Zusammenarbeit mit Kontrollstellen– Beendigung des Vertrages

Anhänge– Festlegungen (etwa Datenimporteur und

Datenexporteur)– Regelungen zum technischen und

organisatorischen Datenschutz)



Code of Conduct

Hierbei handelt es sich um verbindlicheUnternehmensregelungen, die innerhalb einesKonzerns abgeschlossen werden können. ZweiStandardwerke sind durch den „Düsseldorfer Kreis“bereits abgestimmt worden.

Gegenstand sind auch hier einzelne Übermittlungenbzw. bestimmte Arten von Übermittlungen, dieinternational im Konzern mit Schutzgarantien für dieBeteiligten zu vereinbaren sind.

www.datenschutz-berlin.de/jahresbe/02/anl/anlagenband2002.pdf


Aber …

… der Rückgriff aufStandardvertragsklauseln führt nichtdazu, dass das BetrVG außer Kraftgesetzt wird.


Zulässigkeitskriterien

Nach BDSG zwei Schritte:– Übermittlung muss zulässig sein

– Voraussetzungen einer Übermittlung ins Auslandmüssen gegeben sein

Sonderfall BetriebsvereinbarungGilt nicht für das Ausland; kann jedoch den „Fluss“ derMitarbeiterdaten reglementieren.

GenehmigungGemäß § 4c Abs. 2 BDSG kann die AufsichtsbehördeDatentransfer genehmigen. Voraussetzung ist auch hierdas Vorliegen von Schutzgarantien.


Umgang mit Arbeitnehmerdaten

- Beispiele -


Die Beispiele

National1. Zentralisierung von Aufgaben im deutschen

Konzern2. Auslagerung von Verwaltungsaufgaben an ein

externes Unternehmen

International3. Weltweiter Datenaustausch innerhalb eines

Konzerns4. Leistungskontrolle in einem Drittland5. Buchhaltung in Indien6. Vertrieb in Prag7. Skill-Management in der Karibik


1. Zentralisierung von Aufgaben imdeutschen Konzern

Aufgaben wie etwa Gehaltsbuchhaltungsind/werden in vielen deutschenKonzernunternehmen zentralisiert

Teilweise gibt es hierfür keine explizitenDatenschutzregelungen

Entsprechendes gilt für zentrale undunternehmensübergreifende Skill-Management- und Wissensmanagement-Systeme


2. Auslagerung von Verwaltungsaufgabenan ein externes Unternehmen

Übertragungen von Leistungen anexterne Dienstleister sind inDeutschland häufig

Beispiele:– Reisekostenabrechnung

– IT-Management

– Buchhaltung

– …


3. Weltweiter Datenaustausch innerhalbeines Konzerns

Ein US-Konzern, derDienstleistungen im IT-Bereichanbietet, will alle weltweitoperierenden Konzerntöchter perVertrag in die Lage versetzen,vorhandene personenbezogeneDaten weltweit wechselseitig zuverarbeiten.


4. Leistungskontrolle in einem Drittland

Ein deutscher Konzern wickelt DV-Prozesse mitSAP über einen zentralen Server in den USA ab.Betrieben wird dieser von einer dort ansässigenTochter

Demnächst sollen Auswertungen zu denindividuellen Leistungen der Mitarbeiter von derUS-Tochter durchgeführt werden

Im Konzern werden keine nennenswertendatenschutzrechtlichen Probleme gesehen, weileine Reihe von deutschen Mitarbeitern derVerarbeitung zugestimmt haben


5. Buchhaltung in Indien

Eine deutsche Tochter einesausländischen Unternehmens wickelt diegesamte Buchhaltung in Indien über einindisches Unternehmen ab

Das indische Unternehmen garantiert denDatenschutz, spezielle Regelungen sindnicht fixiert worden

Weder die Kunden in Deutschland nochdie betroffenen Arbeitnehmer sind überden Datentransfer informiert worden


6. Vertrieb in Prag vs. Goa

Ein deutscher Konzern strukturiert derzeit seineweltweiten Aktivitäten neu. In diesem Rahmen werdenbeispielsweise Kundenservice, Vertrieb sowie dieBuchhaltung ausgelagert (Offshoring)

Soweit direkte Kontakte in deutscher Spracheerforderlich sind, erfolgt eine Verlagerung nach Prag

Soweit keine direkten Kontakte nach Deutschlanderforderlich sind oder wenn diese in englischer Spracheerfolgen können, erfolgt die Verlagerung nach Indien

Im Bereich des Datenschutzes werden keine Problemegesehen. Der US-Anbieter des Offshoring versichert,dass alle nationalen Vorgaben berücksichtigt werden


7. Skill-Management in der Karibik

Das zentrale Skill-Management-System in einemKonzern wird nunmehr von einer Tochterdurchgeführt, angesiedelt auf einer Karibik-Insel

Manager wie Mitarbeiter sollen in den nächstenMonaten umfassende Profildaten in einelektronisches System eingeben

Das System soll u.a. die berufliche Weiterentwicklungder Arbeitnehmer fördern

Datenschutzrechtliche Probleme sind bisher imManagement der deutschen Konzerntochter nichtgesehen bzw. diskutiert worden


Anforderungen an ein Datenschutzmanagement

Die Anforderung an ein Datenschutzmanagementkönnen unter Umständen sehr hoch sein. Sollteneinzelne Anforderungen nicht eingehalten werdenkann dies Konsequenzen für die gesamteDatenverarbeitung haben.

So verurteilte das Landgericht Gießen eine Behördezur Löschung einer kompletten Skilldatenbank, daein fehlendes Verfahrensverzeichnis und eine nichtdurchgeführte Vorabkontrolle dazu führe, dass diepersonenbezogenen Daten in diesem System nichtsicher seinen.


der Unternehmensberatungen fürArbeitnehmervertretungen

Berlin Berlin Hannover Hamburg

Wir beraten Betriebs- und Personalräte

Gemeinsames Seminarprogramm

Workshop 2 Datenschutz und...

Documents

Transcript of Workshop 2 Datenschutz und...