Zusammenfassung
Dieser Artikel gibt einen Überblick über Änderungen, die sich aus der EU Grundverordnung für den Betrieb von HR-Systemen ergeben können. Da eine Konkretisierung der teils allgemeinen Anforderungen in delegierten Rechtsakten erfolgen wird, ist das darstellbare Bild sicherlich nicht abschließend. An den technischen Anforderungen ändert sich – aus Sicht der Autoren – wenig, nur die Rechtsfolgenseite ändert sich erheblich und mit ihr das Risiko für Unternehmen. Bußgelder, die bis zu 4 % des weltweiten Jahresumsatzes betragen können, sind naturgemäß unternehmenskritische Risiken. Da viele der „neuen“ Anforderungen bereits durch das Bundesdatenschutzgesetz begründet werden, kann aus diesem und seiner Kommentierung und der Rechtsprechung viel für den zukünftigen Systembetrieb gefolgert werden. Dementsprechend bilden die Basis der Betrachtung einerseits die technisch-organisatorischen Maßnahmen des Datenschutzrechts, andererseits die klaren Maßgaben für das Sperren und Löschen personenbezogener Daten, das Recht auf Auskunft und Weitere. Die Autoren stellen zunächst abstrakt dar, welche Anforderungen technisch zu lösen sind, um dann nachfolgend diese Anforderungen konkret im Systembetrieb der SAP Business Suite/HCM darzustellen. Dabei werden ausdrücklich auch Beratungs- und Projekterfahrungen eingebracht.
Unveränderter Original-Beitrag Lehnert & Dopfer-Hirth (2016) Datenschutzanforderungen und ihre Unterstützung in HR-Systemen am Beispiel SAP ERP HCM, HMD – Praxis der Wirtschaftsinformatik Heft 312, 53(6):851–865.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
Volker Lehnert arbeitet seit 15 Jahren im Bereich Security und Datenschutz im SAP-Konzern und ist Product Owner Datenschutz für die SAP Business Suite, SAP S/4HANA. Iris Dopfer-Hirth arbeitet seit 19 Jahren im SAP Konzern im Bereich HCM und ist die Product Ownerin für den Datenschutz in SAP HCM.
- 2.
U. a. im Artikel 25 DSGV (Englisch „Privacy by Design and Default – Deutsch, sehr sperrig: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen).
- 3.
US-amerikanische „Hacker“-Konferenz https://www.blackhat.com/, auf der regelmäßig über Schwachstellen in IT-Systemen berichtet wird.
- 4.
Zum strikten Minimalprinzip äußert sich bspw. Lehnert et al. (2016, S. 135): „Es gibt keine unkritischen Berechtigungen, da es per se keine unkritischen erfassten Daten gibt“. Dies ist letzlich der Grundgedanke eines Datenschutzrechts, das auch in Zukunft ein Verbot mit Erlaubnisvorbehalt bleibt.
- 5.
Lehnert et al. (2011) diskutieren die Folgerungen für den Systemverbund in einem Konzern und verweisen darauf, dass die Kommentarlage zum BDSG zwischen einfacher Datentrennung und kompletter Systemtrennung sehr unterschiedliche Folgerungen anbietet.
- 6.
Das Berechtigungskonzept des SAP ERP HCM erlaubt detailreich die Differenzierung entlang organisatorischer und fachlicher Attribute. Vor der nachfolgend dargestellten Ergänzung um eine zeitliche Dimension stand eine überwiegend fachliche Sichtweise neben der überwiegend organisatorischen Sichtweise und der Möglichkeit beide zu kombinieren. Siehe auch das Kap. „Berechtigungen in SAP HCM“ in Lehnert et al. (2016).
- 7.
D. h. die verschiedenen Stammdaten-Tabellen, die in einem SAP ERP HCM System vorhanden sind.
Literatur
AG Datenschutz der DSAG (2013) Leitfaden Datenschutz. DSAG, Walldorf
Amtsblatt der Europäischen Union L119 (2016) Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
Article 29 Data Protection Working Party (2011) Opinion 15/2011 on the definition of consent. http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp187_en.pdf. Zugegriffen am 21.06.2016
Bergmann L, Möhrle R, Herb A (2016) Datenschutzrecht. Richard Boorberg Verlag, Stuttgart
Brandt M (2016) Jeder 5. würde Firmenpasswort verkaufen. https://de.statista.com/infografik/4532/angestellte-die-ihr-firmenpasswort-verkaufen-wuerden/. Zugegriffen am 25.06.2016
Däubler W, Klebe T, Wedde P, Weichert T (2010) Bundesdatenschutzgesetz, 3. Aufl. Bund, Frankfurt am Main
Eßer M, Kramer P, von Lewinski K (2014) Auernhammer BDSG Kommentar zum Bundesdatenschutzgesetz – Nebengesetze, 4. Aufl. Carl Heymanns, Köln
Gola P, Klug C, Körffer B, Schomerus R (2015) BDSG – Bundesdatenschutzgesetz, 12. Aufl. C. H. Beck, München
Haas I (2012) Aufbewahrungspflichten und -fristen. Haufe, München
Lehnert V, Otto A, Stelzner K (2011) Datenschutz in SAP-Systemen. Galileo Press, Bonn
Lehnert V, Stelzner K, Otto A, John P (2016) SAP Berechtigungswesen, 3. Aufl. Rheinwerk, Bonn
Plath U (2013) BDSG – Kommentar zum BDSG. Dr. Otto Schmidt, Köln
Pulte P (2008) Aufbewahrungsnormen und -fristen im Personalbereich, 8. Aufl. Datakontext, Pulheim
Simitis S (2011) Bundesdatenschutzgesetz, 7. Aufl. Nomos, Baden-Baden
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Rights and permissions
Copyright information
© 2017 Springer Fachmedien Wiesbaden GmbH
About this chapter
Cite this chapter
Lehnert, V., Dopfer-Hirth, I. (2017). Datenschutzanforderungen und ihre Unterstützung in HR-Systemen am Beispiel SAP ERP HCM. In: Knoll, M., Strahringer, S. (eds) IT-GRC-Management – Governance, Risk und Compliance. Edition HMD. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-20059-6_13
Download citation
DOI: https://doi.org/10.1007/978-3-658-20059-6_13
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-20058-9
Online ISBN: 978-3-658-20059-6
eBook Packages: Computer Science and Engineering (German Language)