datenschutzkonzept - · pdf filesap hcm wurde in die systemumgebung integriert und über...
Post on 05-Feb-2018
217 Views
Preview:
TRANSCRIPT
Organisation: TH Köln
Autor/en: F.-J. Feithen / M. Lüghausen / B. Schmitz
Besitzer/in: Referat Personal
Dokument: 5_5_V0.13
Status: Endfassung
Stand: 08.04.2016
Version: V0.13
Datenschutzkonzept
Einführung SAP HCM Personalmanagement
an der TH Köln
2 von 13
Inhaltsverzeichnis
Ausgangssituation 3
2 Ziel des Datenschutzkonzeptes 3
3 Spezielle rechtliche Rahmenbedingungen für die Datenverarbeitung bei Dienst- und
Arbeitsverhältnissen für Beamte und Tarifbeschäftigte 4
4 Allgemeine datenschutzrechtliche Anforderungen 5
5 System- und Datensicherheit an der TH Köln 7
6 SAP Komponenten 7
7 Schnittstellen | Datenaustausch 8
8 SAP Rollen und Berechtigungen 10
9 SAP Reporting 11
10 Archivierung/Löschkonzept 11
11 Datenverarbeitung im Auftrag/Externe Remote-Zugriffe bei Bedarf 11
12 Schulung und Information 12
13 Organisatorische Maßnahmen zur Einhaltung der Regelungen | Verantwortlichkeiten 12
14 Rechtsgrundlagen/Zulässigkeit 12
15 Erforderlichkeit/Zweck 13
16 Datenschutzrechtliche Beurteilung 12
Abbildungsverzeichnis 13
Anlagen 13
3 von 13
Datenschutzkonzept
1 Ausgangssituation
Die TH Köln hat zum 01.01.2010 eine Integrierte Verbundrechnung (IVR) auf Basis SAP ERP 6.0 einge-
führt. Die bereits eingeführte SAP-Software ist ein Hochschulreferenzmodell. Seit 02.01.2014 erfolgt die
Personalverwaltung über SAP HCM. SAP HCM wurde in die Systemumgebung integriert und über ALE-
Szenarien mit dem Finanzwesen verbunden. Die Schnittstelle HIS SVA – SAP FI wurde damit abgelöst.
Die Zeiterfassung erfolgt nicht mehr über NovaTime, sondern wurde über eine Standardschnittstelle an
SAP angebunden. SelfServices und Workflows (z.B. Urlaubsantrag, Freizeitausgleich) wurden über den
NWBC von SAP realisiert. Hierbei wurden Mitarbeiter- und Manager-SelfServices betrachtet.
Dieses Datenschutzkonzept baut auf der Rahmen-Dienstvereinbarung vom 23.01.2014 auf, die für den
Einsatz von SAP abgeschlossen wurde. Allgemeine Aspekte zum Datenschutz wurden hier bereits in Kapi-
tel 9 benannt.
2 Ziel des Datenschutzkonzeptes
Datenschutz bedeutet die Durchführung geeigneter Maßnahmen zur Einhaltung von Datenschutzrichtlinien
und gesetzlichen Bestimmungen zum Schutz des Einzelnen vor Missbrauch seiner persönlichen Daten.
Das Datenschutzkonzept hat zum Ziel, in einer zusammenfassenden Dokumentation die datenschutzrecht-
lichen Aspekte im Hinblick auf die konkrete Umsetzung/Implementierung an der TH Köln darzustellen.
Der Schutzbereich dieses Datenschutzkonzeptes umfasst sowohl die tariflich Beschäftigten, die Beamtin-
nen und Beamten, als auch die sonstigen an der TH Köln mit SAP-Software arbeitenden Personen bzw.
solche, deren Personaldaten in einer SAP-Anwendung der TH Köln verarbeitet werden.
Es kann in einem nächsten Schritt auch als Grundlage für datenschutzrechtliche Prüfungen durch den
Datenschutzbeauftragten genutzt werden. Bei diesen Prüfungen werden dann die an der TH Köln einge-
setzten SAP-Module an den Datenschutzanforderungen gemessen. Aus technischer bzw. allgemeiner
SAP-Sicht gibt es auf dem Service Marketplace den SAP Security Guide (Datenschutzleitfaden):
http://www.dsag.de/fileadmin/media/Leitfaeden/090924_Datenschutzleitfaden_Erweiterung.pdf
Eine Vorabkontrolle bzw. Freigabe von DV-Verfahren kann jedoch nur auf das konkret installierte und kon-
figurierte Verfahren erfolgen. Die SAP-Module sowie der Betrieb der Software werden vor dem Hintergrund
der
Systeminfrastruktur der TH Köln mit Blick auf die datenschutzrechtlichen Anforderungen in diesem Kon-
zept zunächst kurz erläutert. Neben fachlichen Themen wie Rollen/Berechtigungen und Reporting enthält
es daher u.a. auch Aussagen zu den installierten technischen Sicherheitsvorkehrungen in datenschutz-
rechtlicher Sicht, zur Datensicherheit, zum Zugriffsschutz sowie zu den Schnittstellen.
Das Datenschutzkonzept enthält keine Verfahrensbeschreibung zu den jeweiligen Komponenten und Aus-
sagen zur detaillierten Funktionsweise der Module.
Das Datenschutzkonzept wird den Personalräten von der Dienststelle nach entsprechender Freigabe
durch den Datenschutzbeauftragten zur Abstimmung vorgelegt. Es wird als Anlage 4 in die Rahmen-
Dienstvereinbarung aufgenommen.
4 von 13
3 Spezielle rechtliche Rahmenbedingungen für die Datenverarbeitung bei Dienst- und Arbeitsverhältnissen für Beamte und Tarifbeschäftigte
Gesetzliche Regelungen für den Umgang mit personenbezogenen Daten bei Dienst- und Arbeitsverhält-
nissen ergeben sich aus Spezialgesetzen (insbesondere BeamtStG und LBG NRW) sowie dem Daten-
schutzgesetz NRW und ergänzend dem BDSG. Hinzu kommen Regelungen aus Tarifverträgen (insbeson-
dere TV-L NRW) sowie aus den bereits geschlossenen Dienstvereinbarungen.
Beispielhaft werden genannt:
§ 90 LBG NRW
„§ 90 Verarbeitung und Übermittlung von Personalaktendaten
(1) Personalaktendaten dürfen in Dateien nur für Zwecke der Personalverwaltung oder der Perso-nalwirtschaft verarbeitet und genutzt werden. Ihre Übermittlung ist nur nach Maßgabe des § 88 zulässig. Ein automatisierter Datenabruf durch andere Behörden ist unzulässig, soweit durch be-sondere Rechtsvorschrift nichts anderes bestimmt ist.
(2) Personalaktendaten im Sinne des § 85 dürfen automatisiert nur im Rahmen ihrer Zweckbestim-mung und nur von den übrigen Personaldateien technisch und organisatorisch getrennt verarbei-tet und genutzt werden.
(3) Von den Unterlagen über medizinische oder psychologische Untersuchungen und Tests dürfen im Rahmen der Personalverwaltung nur die Ergebnisse automatisiert verarbeitet oder genutzt werden, soweit sie die Eignung betreffen und ihre Verarbeitung oder Nutzung dem Schutz des Beamten dient.
(4) Beamtenrechtliche Entscheidungen dürfen nicht ausschließlich auf Informationen und Erkennt-nisse gestützt werden, die unmittelbar durch automatisierte Verarbeitung personenbezogener Da-ten gewonnen werden.
(5) Bei erstmaliger Speicherung ist dem Betroffenen die Art der über ihn gemäß Absatz 1 gespei-cherten Daten mitzuteilen, bei wesentlichen Änderungen ist er zu benachrichtigen. Ferner sind die Verarbeitungs- und Nutzungsformen automatisierter Personalverwaltungsverfahren zu doku-mentieren und einschließlich des jeweiligen Verwendungszweckes sowie der regelmäßigen Emp-fänger und des Inhalts automatisierter Datenübermittlung allgemein bekanntzugeben.“
Verwaltungsvorschrift (VV) zu § 90 LBG NRW (Verwaltungsvorschriften zur Ausfüh-rung des Beamtenstatusgesetzes (BeamtStG) und des Landesbeamtengesetzes (LBG NRW), VV d. Innenministeriums - 24-42.01.04-03.02-101 - v. 10.11. 2009 - Quelle: https://recht.nrw.de/lmi/owa/br_bes_text?anw_nr=1&gld_nr=2&ugl_nr=2030&bes_id=13219&val=13219&ver=7&sg=0&aufgehoben=N&menu=1:
„7 Verarbeitung und Übermittlung von Personalaktendaten (§ 90 LBG NRW)
7.1 § 90 LBG NRW ermächtigt zur Verarbeitung (§ 3 Absatz 2 des Datenschutzgesetzes Nordrhein-Westfalen) von Personalaktendaten in Dateien. Die Systeme sind so auszulegen, dass unerlaub-te Weiterverarbeitung über den freigegebenen Umfang hinaus und unerlaubter Datenimport/-export verhindert werden. Bei Betrieb der Personalverwaltungssysteme im Netz ist durch zusätz-liche Sicherungsmaßnahmen (Abschottung) zu gewährleisten, dass unerlaubte Ausspähungen nicht erfolgen können. Bei zentraler Speicherung der Personalaktendaten auf Servern sind Maß-nahmen zur Funktionsbeschränkung der Systemadministration vorzusehen. Datenübermittlungen sind nur verschlüsselt oder mit gleichwertigen Sicherheitsmaßnahmen zulässig. Archivierte Da-tenträger mit Personalaktendaten sind sicher aufzubewahren.
7.2 Als Mitteilung der Art der Dateien bei erstmaliger Speicherung ist die generelle Beschreibung der gespeicherten Informationen (z.B. Name, Vorname, Personalnummer) ausreichend.
7.3 Wesentliche Änderung ist die Erweiterung oder Verringerung des Umfangs oder der inhaltlichen Ausprägung der gespeicherten Daten.
5 von 13
Personalverwaltungsverfahren sind in Bezug auf den gespeicherten Datenumfang, mögliche Ver-knüpfungen sowie den Funktionsumfang verbindlich und abschließend zu dokumentieren und freizugeben.“
§ 29 DSG NRW
„§ 29 Datenverarbeitung bei Dienst- und Arbeitsverhältnissen
(1) Daten von Bewerbern und Beschäftigten dürfen nur verarbeitet werden, wenn dies zur Einge-hung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvor-schrift, ein Tarifvertrag oder eine Dienstvereinbarung dies vorsieht. Abweichend von § 16 Abs. 1 ist eine Übermittlung der Daten von Beschäftigten an Personen und Stellen außerhalb des öffent-lichen Bereichs nur zulässig, wenn der Empfänger ein rechtliches Interesse darlegt, der Dienst-verkehr es erfordert oder die betroffene Person eingewilligt hat. Die Datenübermittlung an einen künftigen Dienstherrn oder Arbeitgeber ist nur mit Einwilligung der betroffenen Person zulässig.
(2) Die beamtenrechtlichen Vorschriften über die Führung von Personalakten (§ 50 Beamtenstatus-gesetz, §§ 84 - 92 des Landesbeamtengesetzes für das Land Nordrhein-Westfalen) sind für alle nicht beamteten Beschäftigten einer öffentlichen Stelle entsprechend anzuwenden, soweit nicht die Besonderheiten des Tarif- und Arbeitsrechts hinsichtlich der Aufnahme und Entfernung von bestimmten Vorgängen und Vermerken eine abweichende Behandlung erfordern.
(3) Die Weiterverarbeitung der bei ärztlichen oder psychologischen Untersuchungen und Tests zum Zwecke der Eingehung eines Dienst- oder Arbeitsverhältnisses erhobenen Daten ist nur mit schriftlicher Einwilligung der betroffenen Person zulässig. Die Einstellungsbehörde darf vom un-tersuchenden Arzt in der Regel nur die Übermittlung des Ergebnisses der Eignungsuntersuchung und dabei festgestellter Risikofaktoren verlangen.
(4) Personenbezogene Daten, die vor der Eingehung eines Dienst- oder Arbeitsverhältnisses erho-ben wurden, sind unverzüglich zu löschen, sobald feststeht, dass ein Dienst- oder Arbeitsverhält-nis nicht zustande kommt, es sei denn, dass die betroffene Person in die weitere Speicherung eingewilligt hat. Nach Beendigung eines Dienst- oder Arbeitsverhältnisses sind personenbezoge-ne Daten zu löschen, wenn diese Daten nicht mehr benötigt werden, es sei denn, dass Rechts-vorschriften entgegenstehen; § 19 Abs. 3 Satz 2 und 3 sowie Abs. 4 finden Anwendung.
(5) Die Ergebnisse medizinischer oder psychologischer Untersuchungen und Tests der Beschäftig-ten dürfen automatisiert nur verarbeitet werden, wenn dies dem Schutz der Beschäftigten dient.
(6) Soweit Daten der Beschäftigten im Rahmen der Durchführung der technischen und organisatori-schen Maßnahmen nach § 10 gespeichert werden, dürfen sie nicht zu Zwecken der Verhaltens- oder Leistungskontrolle genutzt werden.
(7) Beurteilungen dürfen nicht allein auf Informationen gestützt werden, die unmittelbar durch auto-matisierte Datenverarbeitung gewonnen werden.“
4 Allgemeine datenschutzrechtliche Anforderungen
Allgemein muss zudem die Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisions-
fähigkeit und Transparenz gewährleistet sein.
Dazu gibt § 10 DSG NRW vor:
„§ 10 Technische und organisatorische Maßnahmen
(1) Die Ausführung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz ist durch technische und organisatorische Maßnahmen sicherzustellen.
(2) Dabei sind Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass
1. nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit),
6 von 13
2. personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integri-tät),
3. personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),
4. jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität),
5. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit),
6. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz).
(3) Die zu treffenden technischen und organisatorischen Maßnahmen sind auf der Grundlage eines zu doku-mentierenden Sicherheitskonzepts zu ermitteln, zu dessen Bestandteilen die Vorabkontrolle hinsichtlich möglicher Gefahren für das in § 1 geschützte Recht auf informationelle Selbstbestimmung gehört, die vor der Entscheidung über den Einsatz oder einer wesentlichen Änderung eines automatisierten Verfahrens durchzuführen ist. Das Verfahren darf nur eingesetzt werden, wenn diese Gefahren nicht bestehen oder durch Maßnahmen nach den Absätzen 1 und 2 verhindert werden können. Das Ergebnis der Vorabkontrol-le ist aufzuzeichnen. Die Wirksamkeit der Maßnahmen ist unter Berücksichtigung sich verändernder Rah-menbedingungen und Entwicklungen der Technik zu überprüfen. Die sich daraus ergebenden notwendigen Anpassungen sind zeitnah umzusetzen.
(4) Der Landesrechnungshof kann von der zu prüfenden Stelle verlangen, dass für ein konkretes Prüfungsver-fahren die notwendigen Maßnahmen nach den Absätzen 1 bis 3 zeitnah geschaffen werden.“
5 System- und Datensicherheit an der TH Köln
Um diesen Anforderungen Rechnung zu tragen, wurden an der TH Köln u.a. folgende Maßnahmen umge-
setzt und Regelungen getroffen:
Erstellung eines Verzeichnisses der verarbeiteten personenbezogenen Daten
Hierbei wird auf die Anlage 1 (HCM Infotypen) verwiesen. In HCM werden die Daten als Infotypen
verarbeitet. Die Personalstammdaten und Zeitdaten sind in den Tabellen PAxxxx des Produk-
tivsystems abgelegt. Eine Tabelle PAxxxx enthält neben systemspezifischen Einträgen wie z. B.
Schlüssel nur die Daten des jeweiligen Infotyps xxxx.
Gewährleistung von Vertraulichkeit (§ 10 Abs. 2 Nr. 1 DSG NRW) durch u.a.
o Zutrittskontrolle durch technische Maßnahmen in gesicherten Räumen, Einbau von Sicher-heitsschlössern
o Benutzerkontrolle durch Passwortregelung zur Legitimation und durch automatische Bild-schirmsperrung
o Zugriffskontrolle durch Vergabe unterschiedlicher Berechtigungen und differenzierter Zugriffs-möglichkeiten auf einzelne Felder und Infotypen
o Weitergabekontrolle o Vertragliche Verpflichtung externer Dienstleister auf die Geheimhaltung vertraulicher Daten
(Muster Anlage 2 Datenschutzerklärung).
Gewährleistung von Integrität (§ 10 Abs. 2 Nr. 2 DSG NRW) durch u.a.
o Vermeidung unbefugter oder zufälliger Datenverarbeitung durch Sperre des Zugriffs auf Be-triebs-systeme und/oder Verschlüsselung der Daten
o Regelmäßige Kontrolle der Unversehrtheit und Aktualität
Gewährleistung von Verfügbarkeit (§ 10 Abs. 2 Nr. 3 DSG NRW) durch u.a.
o Klare und übersichtliche Ordnung des Datenbestandes
7 von 13
o Vergabe von Zugriffsbefugnissen im erforderlichen Umfang (unter Abwägung gegenüber dem Gebot der Vertraulichkeit) (siehe auch Kap. 11)
Gewährleistung von Authentizität (§ 10 Abs. 2 Nr. 4 DSG NRW) durch u.a.
o Dokumentation der Ursprungsdaten und ihrer Herkunft o Nachvollziehbarkeit der Verarbeitungsschritte
Gewährleistung von Revisionsfähigkeit (§ 10 Abs. 2 Nr. 5 DSG NRW) durch u.a.
o Festlegung klarer Zuständigkeiten und Verantwortlichkeiten o Protokollierung der Eingabe und weiteren Verarbeitung der Daten o Aufbewahrung der Protokolldaten
Gewährleistung von Transparenz (§ 10 Abs. 2 Nr. 6 DSG NRW) durch u.a.
o Vollständige, übersichtliche und jederzeit nachprüfbare Dokumentation aller wesentlichen Da-tenverarbeitungsvorgänge
o Protokollierung in SAP
6 SAP Komponenten
Es wurden die folgenden HCM-Module an der TH Köln zum 02.01.2014 eingeführt:
Organisationsmanagement (OM)
Personaladministration/-abrechnung (PA/PY)
Personalzeitwirtschaft (PT)
Self Services der Personalzeitwirtschaft (ESS/MSS)
Personalkostenplanung (PKP)
Obligo Prozessor (OP)
Eine Kurzbeschreibung der HCM-Module ist der Anlage 3 zu entnehmen.
8 von 13
7 Schnittstellen | Datenaustausch
Zunächst wird an dieser Stelle die Systemlandschaft der TH Köln dargestellt, da diese für weitere Ausfüh-
rungen zu den Schnittstellen und dem Datenaustausch eine wichtige Grundlage darstellt.
SAP Systemlandschaft (SAP und verbundene Fremdsysteme)
Abbildung 1: SAP Systemlandschaft
Die beiden SAP-Systeme ERP und HCM werden auf getrennten Servern betrieben. Dies hat zum einen
den Vorteil, dass im Falle von Updates auf einem System nicht auch das andere System für die Sachbear-
beiter gesperrt werden muss. Zum anderen bringt dies Vorteile bei der Steuerung der Rol-
len/Berechtigungen. Auch unter Daten-sicherheitsgesichtspunkten ist eine solche Trennung vorzugswür-
dig.
Die Tatsache der getrennten Server erfordert jedoch, dass zwischen ERP und HCM der Datenaustausch
über eine sog. ALE-Schnittstelle gewährleistet ist. Dies ist Grundlage für eine funktionierende Integration
zwischen HCM und dem Rechnungswesen (FI). ALE ist eine Technologie zum Aufbau und Betrieb von
verteilten Anwendungen. Dadurch werden systemübergreifende Geschäftsprozesse ermöglicht.
Maßgeblich für die sternförmige Verteilung der Stammdaten in die anderen Systeme ist das FI-
Produktivsystem (P01). Die Buchungsdaten (aus Personal-Istkosten-Einspielungen) werden über ALE ins
Rechnungswesen übergeleitet.
Die Systemlandschaft der TH Köln ist auch der Rahmendienstvereinbarung zu SAP ERP als Anlage beige-
fügt.
9 von 13
SAP HCM Schnittstellen (Übersicht)
Abbildung 2: Übersicht der SAP HCM Schnittstellen
Datenflüsse erfolgen über die folgenden Schnittstellen:
Schnittstelle IDIK Gehaltsdaten (Istkosten) von LBV an TH Köln
o Diese Schnittstelle umfasst das Einlesen der IDIK-Datensätze, mit dem das LBV die
Stammdaten und Abrechnungsergebnisse des dort abgerechneten Personals der TH Köln
übermittelt. Die Daten werden in SAP HCM weiterverarbeitet und anschließend die Ab-
rechnungsergebnisse in das Rechnungswesen übergeleitet und verbucht.
Schnittstelle Änderungsdienst von TH Köln zum LBV (geplant)
o Die Konzeption bezieht sich nur auf Entgelte (Tarifbeschäftigte und SHK/WHK; nicht Be-
soldung).
o Die Pflege erfolgt in den Infotypen der Personaladministration.
o Ein Zeitplan für eine Umsetzung der Schnittstelle durch das LBV liegt bisher nicht vor.
Schnittstelle zwischen HCM und Identity Management (IDM) (bidirektionale Schnittstelle)
Das IDM ist ein zentrales System zur Verwaltung von Benutzerkennungen. So ist ein besserer
Überblick möglich, welcher Nutzer wo mit welchen Rechten zugreifen kann.
o SAP HCM zum IDM: Übertragung von Stammdaten(-Änderungen)
(Personalstamm- und Organisationsdaten; Näheres siehe Fachkonzept Schnittstelle IDM
V1.4)
o IDM zu HCM | Import von Stammdaten (Mail und CampusID) in das HCM
10 von 13
Aus dem IDM heraus werden in SAP den Personalstämmen die jeweiligen Nutzer zuge-
ordnet.
o IDM zu HCM | Aufbau von Benutzerdaten für ESS/MSS im HCM
In HCM werden die Nutzer mit den dazugehörigen Rollensets angelegt.
Schnittstelle zu Zeiterfassungsterminals/ZE-Software Dexicon
o Im Rahmen der FLAZ an den Terminals gestempelte Zeiten werden über Nacht von den
Terminals nach SAP HCM übertragen.
o In Dexicon erfolgt keine Vorhaltung von Daten.
ALE-Schnittstelle (Integration ins Rechnungswesen)
o Wie oben bereits erwähnt, erfordert die Tatsache der getrennten Server (ERP und HCM),
dass zwischen den beiden Systemen der Datenaustausch über eine sog. ALE-
Schnittstelle gewährleistet ist. Über ALE erfolgt die Verteilung der Kontierungsinformatio-
nen (Kostenstellen, PSP-Elemente, Fonds etc.). Die Abrechnungsergebnisse der LBV-
Gehaltsdaten werden über die ALE ins Rechnungswesen übergeleitet. Dort werden sie
weiterverarbeitet und verbucht.
o Der Obligo Prozessor überwacht die Mittelverwendung.
8 SAP Rollen und Berechtigungen
Die Vergabe von Berechtigungen für SAP Anwendungen erfolgt aufgrund eines schriftlichen An-
forderungs- und Genehmigungsverfahrens und ist wie folgt vereinbart und festgelegt:
Für die Vergabe von Berechtigungen innerhalb des SAP-Systems legen modulbezogen die für das
jeweilige SAP-Modul zuständigen Referatsleitungen fest, welche referatsinternen Vorgesetzten für
welche Beschäftigtenfunktion innerhalb des Referates, die für die Nutzung des SAP-Systems er-
forderlich ist, die entsprechenden Berechtigungen freigeben. Dies wird in einer Organisationsver-
einbarung zwischen dem jeweiligen Hochschulreferat und der SAP-Basis (Campus IT) festgehal-
ten und dient als Grundlage für entsprechende Anträge auf Einrichtung von Berechtigungen durch
das jeweilige Fachreferat.
Die Beantragung einer Berechtigung kann hierbei sowohl auf dem E-Mail-Wege als auch auf dem
Weg einer schriftlichen Beantragung per Brief durch den hierzu in der Organisationsvereinbarung
festgelegten Vorgesetzten bzw. sonstigen Beschäftigten mit entsprechender Zuständigkeit an die
Campus IT gestellt werden. Die SAP-Basis / Campus IT generiert aus den Anforderungen für das
Produktivsystem sodann ein entsprechendes Ticket. Sobald die Berechtigung erstellt und die be-
antragte Berechtigung dem einzelnen Beschäftigten / User zugewiesen ist, wird aus dem Ticket-
system heraus eine Bestätigungsmail an den Antragsteller versendet. Diese Mail wird zu Doku-
mentationszwecken - auch gegenüber Wirtschaftsprüfern- in der SAP-Basis abgelegt. Damit ist ei-
ne Nachprüfung sämtlicher vergebenen Berechtigungen je Fachmodul nachweisbar und überprüf-
bar.
Dieses Verfahren ist auch als Anlage 5 der Rahmendienstvereinbarung zu SAP ERP beigefügt.
Zu Rollen und Berechtigungen wurden die Vereinbarungen in mehreren Dokumenten zusammen-
gefasst (siehe Anlagen 4 bis 6).
Hierin werden die berechtigten Transaktionen, Infotypen (HCM) und Reports je Rolle benannt.
11 von 13
Die Berechtigungen werden an externe und interne Personen regelmäßig mandantenspezifisch
vergeben. Im HCM Testsystem wird unterschieden zwischen HQ1.Mdt100, der reine (Phantasie-
)Testdaten enthält, und dem HQ1.Mdt120, in dem mit Echtdaten aus dem Produktivsystem getes-
tet wird. Für HQ1.120 wurde nur ein eingeschränkter Personenkreis berechtigt. Für den Produk-
tivmandanten HP1.Mdt100 wurde den einzelnen Personalsachbearbeitern gemäß ihrer Aufgaben
eine entsprechend zugeschnittene Rolle zugewiesen.
Notfall-User: Hierzu wurden im Fachkonzept Rollen und Berechtigungen vom 26.07.2012 entspre-
chende Festlegungen getroffen (Kap. 4.10), die auch so umgesetzt wurden. Auszug:
Ein Notfall liegt vor, wenn ein direktes und sofortiges Eingreifen im Produktivsystem erfordern.
Beispiele für Notfälle: Das Produktionssystem wird instabil und droht „abzustürzen“, die Datenkon-
sistenz ist gefährdet oder wichtige Geschäftsprozesse können nicht mehr ausgeführt werden, oder
zu falschen Ergebnissen führen. Das Passwort wird in einem verschlossenen Umschlag in einem
Safe gelagert. Der Notfallbenutzer darf nur von einem definierten Personenkreis genutzt werden.
Die Aktionen des Notfallbenutzers sind zu protokollieren. (Nähere Ausführungen sind dem o.g.
Kapitel 4.10 des Fachkonzeptes Rollen und Berechtigungen vom 26.07.2012 zu entnehmen.)
9 SAP Reporting
Die Nutzung von ad-hoc-Queries und die Einrichtung und Nutzung des Excel-Downloads mit Bezug zu
personenbezogenen Daten ist nur im Rahmen der zugewiesenen Rollen und Berechtigungen zulässig:
Ad-hoc queries können durch alle Sachbearbeiterinnen und Sachbearbeiter konfiguriert werden;
jedoch jeweils nur zu den Infotypen und Daten, zu den sie ihre jeweilige Rollenzuordnung berech-
tigt.
Excel Download zu personenbezogenen Daten: Die Möglichkeit des lokalen Speicherns von Daten
in Form von Excel-Downloads ist nur ausgewählten Anwendern und in besonderen Ausnahmefäl-
len erlaubt. Dies wird über die Berechtigungen gesteuert.
Alle Auswertungen sind über eine eigene Transaktion aufzurufen, um diese bei der Definition der Rollen
und Berechtigungen administrieren zu können.
10 Archivierung/Löschkonzept
An der TH Köln findet derzeit keine Löschung statt. Dementsprechend existiert noch kein Löschkonzept. In
einem noch zu erstellenden Löschkonzept werden die gesetzlichen und sonstigen Vorgaben zur Archivie-
rung und Löschung von Personaldaten berücksichtigt werden. Derzeit werden alle Daten für unbestimmte
Zeit archiviert.
11 Datenverarbeitung im Auftrag/Externe Remote-Zugriffe bei Bedarf
Externe Berater erhalten gemäß Erfordernis des Einzelfalles und nach schriftlicher Genehmigung durch
die Referatsleitung Personal einen zum Zwecke der Vertragserfüllung und zeitlich beschränkt Zugriff auf
das Produktivsystem (HP1 Mdt100). Vor einem solchen Zugriff wird eine Teleservicevereinbarung (Muster
Anlage 7) abgeschlossen. Bei einer darüber hinausgehenden Datenverarbeitung im Auftrag ist ebenfalls
gesondert eine Vereinbarung zur Auftragsdatenverarbeitung abzuschließen, welche die genauen Inhalte
und Zwecke eines solchen Auftrags einschließlich erteilter Weisungen des Auftraggebers festlegt.
12 von 13
12 Schulung und Information
Die Mitarbeiter werden in SAP-Schulungen über die Datenschutzvereinbarungen informiert.
Bei Bedarf führt der Datenschutzbeauftragte separate Schulungen durch und steht für Rückfragen zur
Verfügung.
13 Organisatorische Maßnahmen zur Einhaltung der Regelungen | Verantwortlichkeiten
- Jeder Mitarbeiter, insbesondere jeder Vorgesetzte muss mit den datenschutzrechtlichen Bestim-
mungen und den Bestimmungen einschlägiger Dienstvereinbarungen vertraut sein. Dies ist bei der
Planung der Qualifizierung der Mitarbeiter zu berücksichtigen.
- Berechtigungen werden entsprechend der betrieblichen Aufgaben der Beschäftigten vergeben und
sind auf das zur jeweiligen fachbezogenen Aufgabenerfüllung erforderliche Maß zu beschränken.
- Die Weitergabe der Zugangsdaten (Account) und der damit verbundenen Berechtigungen ist ver-
boten.
- Die Zuständigkeit für die Systemverwaltung ist personell und organisatorisch in der CampusIT an-
gesiedelt.
- Änderungen/Erweiterungen im SAP-System (z.B. neues Modul) werden den Personalräten frühzei-
tig zur Information vorgelegt (gemäß Rahmendienstvereinbarung).
Die Verantwortlichkeit für die Einhaltung der Regelungen liegt im Hinblick auf die fachinhaltliche Sys-
temanwendung bei der Referatsleitung HR 9, im Hinblick auf die Basis-Systembetreuung bei der Campus
IT und im Hinblick Einhaltung der datenschutzrechtlichen Vorgaben bei der Referatsleitung HR 9 und der
Campus IT gemeinschaftlich mit dem behördlichen Datenschutzbeauftragten der TH Köln.
Diesen Verantwortlichen obliegt gleichsam die Verantwortung für die laufende Prüfung und Verbesserung
der Sicherheitsregelungen sowie ggf. die Anpassung und Modifizierung der hier als Anlage genommenen
Erklärungs- und Vertragsmuster (betrifft Anlagen 2 und 7).
14 Rechtsgrundlagen/Zulässigkeit/Zweck
Rechtliche Grundlagen für die Datenverarbeitung in SAP-HCM:
§ 90 LBG NRW und§ 29 DSG NRW sowie – bei Drittmittelprojekten - § 71 Abs. 1 Satz 5 HG NRW
die mit den Personalräten der TH Köln geschlossene Rahmendienstvereinbarung über die Einfüh-
rung, den Einsatz und die Erweiterung von SAP ERP vom Januar 2014
die mit den Personalräten der Fachhochschule Köln noch zu schließende Einzeldienstvereinba-
rung zum Einsatz von SAP HCM
15 Datenschutzrechtliche Beurteilung
Aufgaben des Datenschutzbeauftragten nach § 32 a DSG NRW, u. a.
- Unterstützung bei der Sicherstellung des Datenschutzes
- Überwachung der Einhaltung des Datenschutzes
- Freigabe des Systems aus datenschutzrechtlicher Sicht
13 von 13
Abbildungsverzeichnis
Abbildung 1: SAP Systemlandschaft 8
Abbildung 2: Übersicht der SAP HCM Schnittstellen 9
Anlagen
1) Anlage 1: Auflistung der in SAP HCM verwendeten Infotypen
2) Anlage 2: Muster Datenschutzerklärung für externe Dienstleister
3) Anlage 3: Kurzbeschreibung der HCM-Module
4) Anlage 4: Rollen- und Berechtigungen: Inhalte der Rollen
5) Anlage 5: Rollen- und Berechtigungen: Zuordnung Transaktionscodes zu Rollen
6) Anlage 6: Rollen- und Berechtigungen: Kontextsensitive Berechtigungen
7) Anlage 7: Muster Teleservicevereinbarung
top related