Bereits am 25.05.2016 trat die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Umgesetzt werden muss diese Verordnung zwingend ab dem 25. Mai 2018. Zugleich tritt auch das revidierte Bundesdatenschutzgesetz (BDSG) in Kraft, das ergänzende Bestimmungen enthält.

Verantwortliche und Haftung

Die DS-GVO sieht in den meisten Fällen einen „Verantwortlichen“ für das Thema Datenschutz vor. Als Verantwortlicher gilt nach der Definition die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, die Definition im Vorentwurf des DSG ist entsprechend.

Wie der Name bereits vermuten lässt, haften die Verantwortlichen dafür, dass bei jedem Verarbeitungsvorgang die Vorschriften der Verordnung eingehalten werden.

Die EU-DSGVO gilt nicht für natürliche Personen, die ihre Daten nur für persönliche oder familiäre Tätigkeiten verarbeiten.

Was zu beachten ist:

  • Wer entscheidet über die Datenverarbeitung?
  • Welche Vorkehrungen werden für sensible oder geheime Daten getroffen und entsprechen diese den Anforderungen der DSGVO?
  • Wer hat Zugriff auf sensible Daten und wird dieser entsprechend gesichert?

Auftragserteilung nur mit Vertrag

Aufträge über Datenverarbeitung kann man einem „Auftragsverarbeiter“ nur noch mit einem Vertrag erteilen (Artikel 4, Art. 28). In diesem Vertrag sind bestimme Punkte zu regeln, unter anderem Pflichten und Rechte der Verantwortlichen, Geheimhaltung, die Verpflichtung des Beauftragten, sich an die DSGVO zu halten und mit dritten Auftragsdatenverarbeitern einen Vertrag mit denselben Kriterien abzuschließen.

Hierfür ist jedoch auch damit zu rechnen, dass die Europäische Kommission Standardvertragsklauseln festlegen wird.

Was zu beachten ist:

  • Wer kann Verträge abschließen?
  • Entsprechen Vertragsvorlagen und AGB den Anforderungen der DS-GVO?
  • Nach welchen Kriterien werden Auftragsdatenverarbeiter gesucht?

Datenschutzbeauftragte

Datenschutzbeauftragte werden von Verantwortlichen und Auftragsverarbeiter ernannt, für den Fall, dass deren Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht und sensible Daten verarbeitet werden.

Folgende Aufgaben müssen von einem Datenschutzbeauftragten übernommen werden:

  • Überwachung der Einhaltung der DSGVO-Vorschriften
  • Beratung und Information von Verantwortlichen und Auftragsverarbeitern
  • Abstimmung mit Aufsichtsbehörden in Bezug auf Datenschutz-Folgeabschätzungen
  • Planung von Prozessoptimierungen im Rahmen der DSGVO-Vorschriften

Was zu beachten ist:

  • Benötigt das Unternehmen nach den neuen Vorschriften einen Datenschutzbeauftragten?
  • Wenn ja für welche Vorgänge?

Datenschutz-Folgenabschätzungen (DSFA)

Wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, z. B. bei Verwendung neuer Techniken oder systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die als Grundlage für rechtswirksame Entscheidungen dient, ist eine sogenannte Datenschutz-Folgenabschätzung nötig.

Wie funktioniert eine DSFA?

Im Rahmen einer DSFA werden die geplanten Verarbeitungsvorgänge und der Zweck der entsprechenden Verarbeitung genauestens beschrieben und dargestellt. Zusätzlich muss die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf den Zweck, die Risiken und die Rechte und Freiheiten der betroffenen Personen bewertet werden. Daraufhin muss sichergestellt werden, dass entsprechende Abhilfemaßnahmen und Sicherheitsvorkehrungen getroffen werden, um diese Risiken zu bewältigen.

Was zu beachten ist:

  • Stellt die Verarbeitung von Daten im Unternehmen ein Risiko für die betroffene Person dar?
  • Stellen spezielle und innovative Techniken ebenfalls ein Risiko dar?
  • Dient die Verarbeitung bestimmter Daten als Grundlage für rechtswirksame Entscheidungen und um welche handelt es sich dabei?

Wen schützt die Datenschutzverordnung und für wen gilt sie?

Grundsätzlich gilt die DSGVO für alle Unternehmen, Daten von, sich in der EU befindlichen, Datensubjekten (natürliche Personen) anbieten, verarbeiten oder analysieren. Dies gilt auch, wenn sich der Hauptsitz des Unternehmens nicht in der EU befindet.

Geschützt werden dadurch sämtliche natürlichen Personen in der EU. Somit schützt die DSGVO nicht nur das eigentliche Unternehmen, sondern auch alle Kunden, Mitarbeiter, Lieferanten, usw. unabhängig davon, wo die eigentliche Verarbeitung durchgeführt wird.

Zu erwartende Strafen

Das Bußgeld, welches für einen Verstoß gegen die Vorschrift zu befürchten ist, wird je nach Umständen des Verstoßes bestimmt. Grundsätzlich wurden Geldstrafen von bis zu 20.000.000 € oder auch bis zu 4% des weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahrs eines Unternehmens angedroht.

DSGVO in Bezug auf SAP

Auch im Bereich der ERP-Systeme sind natürlich aufgrund der neuen Verordnung vielerlei Anpassungen und Vorkehrungen zu treffen. Auf was müssen Sie also bei Ihrem SAP-System achten um gesetzeskonform zu agieren?

Zweckmäßige Verwendung von Daten

Welche Benutzer haben das Recht bestimmte Daten zu lesen oder gar zu ändern? Grundsätzlich sollte ein Nutzer in einem SAP System nur die Daten sehen können, die für seine Arbeit von Nöten sind. Hierzu wird ein gut ausgearbeitetes Berechtigungskonzept benötigt.

 

Dabei sind allerdings verschiedene Arten von Berechtigungen zu beachten:

  • Kontextabhängige Berechtigungen – Hierbei handelt es sich um eine Kombination aus allgemeinen und strukturellen Berechtigungen.
  • Allgemeine Berechtigungen – Diese Berechtigungen beziehen sich auf die SAP-Standard Berechtigungsobjekte, die angeben welche Daten von wem gelesen und geändert werden dürfen.
  • Strukturelle Berechtigungen – Hier wird abgebildet welcher User welche anderen User auf dem System sehen darf. Die Berechtigungen beziehen sich also auf das SAP Organisationsmanagement.

Zeitlich begrenzte Verwendung

Bei der zeitabhängigen Sperre geht es um die Frage, welche Nutzer der Personalverwaltung welche Mitarbeiterdaten in welchem Zeitraum sehen und entsprechend bearbeiten dürfen. Eine genaue Vorgabe, wie lange die Daten von wem eingesehen werden dürfen ist gesetzlich nicht geregelt. Jedoch ist eine einheitliche Regelung für die Sperrung von Daten zu implementieren. Die entsprechenden Datensperren können mit Hilfe von Anpassungen am SAP System implementiert werden.

 

Von der EU-DSGVO ist eine zeitliche Berechtigung vorgesehen, die sich hauptsächlich auf die Arbeit von Mitarbeitern, die mit bank- und/oder personenbezogenen Daten arbeiten, bezieht. Hierzu werden Standard Berechnungszeiträume für die Mitarbeiter eingepflegt. Ausschließlich diese werden den Mitarbeitern über die Standardperiode angezeigt. Alle Daten, die außerhalb dieser Zeiträume liegen, werden nicht mehr angezeigt.

 

Mitarbeiteraustritt und Löschen von Daten

Im Falle des Ausscheidens eines Mitarbeiters aus dem Unternehmen, müssen dessen personenbezogene Daten natürlich gelöscht werden. Dabei gilt es zu unterscheiden, welche Daten unverzüglich gelöscht werden müssen (z. B. Nachweise über An- bzw. Abwesenheit des Arbeitnehmers) oder einer gesetzlichen Aufbewahrungspflicht unterliegen (z. B. Abrechnungsergebnisse).

Um sicherzustellen, dass die Daten erst nach Ablauf der gesetzlichen Frist bzw. eben unverzüglich gelöscht werden besteht hier die Möglichkeit einen effektiven Informationslebenszyklus auf dem SAP-System einzurichten.

Achtung!

Einige Informationen unterliegen einer gesonderten Sperre. Das bedeutet, dass diese Datensätze auch nach Ablauf der gesetzlichen Frist nicht gelöscht oder vernichtet werden dürfen. Dies ist zum Beispiel der Fall, wenn die Informationen Teil eine Rechtsstreits sind. Auch das kann durch ein ILM (Information Lifecycle Management) transparent und effizient dargestellt werden.

Bitte beachten Sie in Bezug auf die Umstellungen auf Ihrem SAP-System auch die Ankündigungen der SAP den Hinweis 2590321.

Sollten Sie Fragen haben, können Sie sich gerne mit uns in Verbindung setzen. Allerdings möchten wir darauf hinweisen, dass wir weder eine rechtliche noch eine fachliche Auskunft oder Beratung im Sinne der Datenschutz-Grundverordnung (EU-DSGVO) bereitstellen können. Dies obliegt in jedem Fall Ihrem Datenschutzbeauftragten.