ABD-GSB GmbH

Arbeitnehmer Datenschutz

zum Einlesen

Du bist hier: ABD-GSB GmbH > Veröffentlichungen > zum Einlesen
ABD-GSB GmbH > Veröffentlichungen > zum Einlesen

Reglungsrahmen SAP-Betrieb

Arbeitsnotizen: 14.10.2016
Muster Regelungsrahmen 07.2015
Regelungsrahmen für „mitbestimmte SAP-Systeme“:
(Mindset /Einstellung /Denkart für einen sicheren und datenschutzkonformen Betrieb der SAP-Funktionen.)

1. Die Firma organisiert ihre Abläufe anhand von Geschäftsprozessen (derzeit in CSSE). Die Aufgaben und Zuständigkeiten sind hierarchisch gestuft festgelegt. Die Aufgaben können von den Mitarbeitern unter anderem mit Hilfe der SAP-Funktionen ausgeführt werden. Weitere IT-Funktionen sind über Schnittstellen an die SAP-Funktionen angebunden.

2. Die Verarbeitung personenbezogener Daten der Mitarbeiter wird auf das betrieblich Notwendige reduziert. Nutzungen die eine Leistungs- und Verhaltenskontrolle der Mitarbeiter darstellen, werden explizit festgehalten und kommuniziert. Für alle Verarbeitungen pbD ohne gesetzliche oder tarifliche Notwendigkeit schafft der GBR jeweils mit seiner Zustimmung die notwendige Rechtsgrundlage.

3. Der Gemeinschaftsbetriebsrat der Firma wird im Rahmen der Mitbestimmung lt. BetrVG in die internen Abläufe zum Change-Anforderungsmanagement eingebunden. Damit werden Unterrichtung und Beratung umgesetzt. Sofern erforderlich wird für die IT-Verfahren eine Zustimmung erteilt. Die folgende Liste zeigt die bisher erarbeiteten Prozesse. Diese Liste wird weiter ergänzt.
a. Solution Manager (Prozess zum Anforderungsmanagement)
b. IDM (Prozesse zur Benutzer- / Berechtigungsverwaltung)
c. GRC (Prozesse zur FireFighter-Vergabe / Regelwerksveränderung)
4. Der Bereich Infrastrukturmanagement IT
a. richtet die SAP-Funktionen ein und betreut diese
b. legt die Sicherheitsanforderungen fest und setzt diese um
c. betreibt die dafür erforderliche IT-Infrastruktur.
d. betreibt ein Fehler- / Incident-Management und
e. betreibt ein Change- / Anforderungsmanagement.
Neue Funktionen und Anforderungen werden mit dem GBR rechtzeitig vor der Umsetzung beraten.

4. Für den sicheren und datenschutzkonformen Betrieb der SAP-Funktionen werden technische und organisatorische Maßnahmen (siehe auch BDSG § 9) geplant und umgesetzt. Dies betrifft vor allem die Auftragserteilung und Aufgabentrennung (4-6 Augen-Prinzip) in den internen Abläufen. Der SOSS-Report oder die Funktionen zum Configuration Validation werden eingesetzt. Details dazu werden im Betriebsführungskonzept für die SAP-Funktionen und im Sicherheitsleitfaden festgehalten.

5. Es werden ein Benutzerkonzept und ein Berechtigungskonzept nach dem Need-to-Know- / Erforderlichkeits-Prinzip mit dem Fachbereich und dem GBR abgestimmt. Dies betrifft auch die Nutzung der SAP-Standard-User und Firefighter-Konzept. Der GBR wird in die Konzeption und die weitere Entwicklung einbezogen.

6. Für jede SAP-Funktion bzw. für die SAP-Anwendungskomponente werden die verarbeiteten personenbezogenen Daten (pbD) mit Zweckbindung und Rechtsgrundlagen im Verfahrensverzeichnis lt. BDSG aufgeführt. Für die pbD wird eine Schutzbedarfsanalyse durchgeführt. Bei Erforderlichkeit / „Daten der besonderen Art“ erfolgt eine Vorabkontrolle durch den bDSB.

7. Mit der ersten Nutzung der personenbezogenen Daten wird auch ein Sperr- und Löschkonzept entwickelt und mit dem GBR beraten. Die IT-Funktionen dazu werden rechtzeitig bereitgestellt. Nicht mehr erforderliche pbD werden gelöscht bzw. für die Nutzung gesperrt.

Der GBR erhält für einige Mitarbeiter und seinen Sachverständigen die benötigten Zugriffsrechte, um sich über den Betrieb der SAP-Funktionen und die umgesetzten Einstellungen einen Überblick zu verschaffen. Er wird eigene Audits und Kontrollen durchführen und die Ergebnisse mit der Leitungsebene und den zuständigen und betroffenen Mitarbeitern beraten.

“betrieblicher Einsatz” von SAP_2004

Arbeitsnotizen:

Älterer Artikel von Georg Siebert (ehemals auf der forba.de-Webseite):

Betrieblicher Einsatz von SAP
1. SAP und ihr Angebot der “grenzenlosen” Integration
Die SAP AG (Software, Anwendungen und Produkte) hat sich mit der Client-Server-Standardsoftware SAP R/3 mit den Funktionen für das Rechnungswesen, die Logistik (Materialwirtschaft, Produktion, Vertrieb) und das Personalwesen in vielen Unternehmen und Institutionen den ersten Rang für die Aufgaben der Unternehmenssteuerung und die Abwicklung der Geschäftsprozesse gesichert. Als Basis-System für die oben genannten fachlichen Funktionen kommt ergänzt und neu die NETWEAVER-Basis zum Einsatz; ebenfalls von SAP als Integrationsplattform für Datenaustausch, Mobile Communication, Business-Warehouse-Reporting und Internet-Anschluss gebaut und ausgeliefert.
Möglichkeiten des SAP – Funktionen
Neu und innovativ ist die durchgehende und “grenzenlose” Integration und die gewollte Offenheit des R/3 Systems.
• Unterschiedliche Währungen, regionale und lokale Gesetze, alle gängigen Sprachen und Schriften (inklusive unicode), ein 24-Stunden-Betrieb rund um die Welt, die betriebsübergreifende Planung und Steuerung und Online-Dokumentation von Geschäftsprozessen sowie ein übergreifendes, tagesaktuelles Controlling – die Wunschliste der Kaufleute und Unternehmenseigner an eine IT- Unterstützung ihre Aufgaben und Ziele ist bei SAP bestens versorgt.
• Beschaffungs- und Produktionsvorgänge werden über die Betriebsgrenzen hinaus zeitlich und kostenmäßig geplant und gesteuert, vor- und nachgelagerte Systeme werden mit Im- und Export von Daten an das SAP-System angebunden. E-procurement bindet Artikel-Kataloge und Entscheidungskompetenzen ein und ermöglicht den Bedarfsabruf durch den Disponenten bzw, den innerbetrieblichen Endverbraucher.
• Die Mitarbeiter werden nicht nur administriert und abgerechnet, beschafft, beurteilt und mit Schulungsmaßnahmen entwickelt sowie mit Prämien und Boni geködert und entlohnt, sondern auch in ihrer Produktivität und ihren Potenzialen für die Wertschöpfung und Zukunft des Unternehmens betrachtet. Über Internet, Intranet und Portale werden Mitarbeiter ( ESS) und Führungskräfte (MSS) mit Informationen versorgt, pflegen Daten und erteilen Aufträge ( EIC: Employee Interaction Center ), die dann im Shared-Service-Center / Callcenter abgewickelt werden. Der e-Recuiting-Server dient für Stellenausschreibungen, Online-Bewerbung und alle die Bewerbung und Stellenbesetzung umfassenden Vorgänge. Risikoreich ist die Nutzung der TREX-Suchmaschine, die nicht mehr zwischen Stichworten aus Dokumenten oder Datenbankfeldern unterscheidet.
• Neben den klassischen Anwendungsfunktionen für die Industrie, stehen inzwischen für alle wesentlichen Branchen (Handel, Banken, öffentliche Hand, Medien, Versorger etc.) typische Funktionen bereit, teilweise bereits voll ausgetestet und bewährt, teilweise noch ausbau- und verbesserungsbedürftig.
• Projekte des Change-Managements, Änderungsaufträge und Aktivitäten, die nicht in die Linie eingebunden sind, werden über das SAP-Projektsystem geplant, gesteuert, überwacht und abgerechnet. Genehmigungen und Freigaben erfolgen mit den SAP-Workflow-Funktionen.
• Dazu kommt – als herausstechendes Merkmal – die kaufmännische Integration: Jeder Geschäftsprozess, sei es Einkauf, ein Dienstvertrag oder eine Reisekostenabrechnung, wird online und belegfest in das Rechenwerk des kaufmännischen Rechnungswesens abgebildet und in allen weiteren Verarbeitungsschritten bis in die Obligosicht und in die Liquiditätrechnung hin “durchgebucht”. Informationssysteme, Verdichtungen, Kennziffern und andere Steuerungs-Berichte sind sofort ergänzt und fortgeschrieben. Die Vorgangs- und Belegbearbeitung erfolgt vor Ort und die Flogeverarbeitung im Rechnungswesen ist weitgehend automatisiert. In diesem Sinne ist SAP ein “Kaufmännisches Betriebssystem”, d.h. alles läuft auf die kaufmännische Sicht der betrieblichen Vorgänge hinaus. Aus Sicht der Betreiber unrentable Vorgänge etc. fallen auf.
• Mit dem SAP-Business-Warehouse (BW) stellt SAP Auswertungs- und Beobachtungsfunktionen für komplexe Datensichtungen und -analysen bereit, die auch Daten aus nicht SAP-Quellen einbeziehen können. Betriebswirtschaftliche Indices, Benchmarks gleichartiger Betriebsteile mit Steuerpult / Dashboard-Darstellung im SAP-Portal werden von SAP angeboten.
• EDV-technisch ist das R/3 System für die permanente Überwachung und Pflege der Hard- und Softwarekomponente sowie für Wartungen und Releasewechsel besten gerüstet. Die Entwicklungs- und Testumgebung (ABAP-Workbench) ist vollständig integriert und jederzeit verfügbar, ebenso sind Systemkomponenten zur Verlängerung der Systemnutzung per Internet (ITS) bis zum Kunden oder per Intranet zu jedem Mitarbeiter (ESS). Die Zertifizierung vieler Schnittstellen und Anwendungen seitens SAP ist selbstverständlich; viele Softwarehäuser bieten nicht nur die Einführung von Standard- SAP-Funktionen an, sondern schreiben ihre Spezialsoftware bereits in ABAP/4 (Advanced Business Application Programing/fortschrittliche Geschäfts-Anwendungs-Programmierung) und betten so die Funktionen in die Oberfläche, die Datenbank und die Standardprogramme in SAP ein.
• (Abap-Stack).
• Parallel neben den Abap-Stack hat SAP den Java-Stack entwickelt, der die Entwicklung Internet- und Webähnlicher Anwendungen mit JAVA und Eclipse etc. ermöglicht und Querverbindungen zum Abap-Stack bei Datenbank, Frontend, Kommunikation und Berechtigungsprüfung etc. enthält.
• SAP bietet mit dem Solution-Manager (SOLMAN) ein eigenständiges System für den SAP-Betrieb mit allen Funktionen an, die für den abgesicherten Betrieb eine SAP-Landschaft mit vielfältigen Systemen und Mandanten, Änderungen und Anwenderproblemen (HelpDesk) erforderlich sind. Benchmarks und SLA-Funktionen (Service Level Agreements) sind selbstverständlich.
• Mit SAP on Demand ( SAP out of the Box / SAP aus der Steckdose ) bietet SAP die Nutzung von konfigurierten SAP-Funktionen an, die für den “Käufer” kein Risiko des Outsourcing, der Korrektheit der Funktionalität, der Wartung und der weiteren Entwicklung bedeuten. Klar bleiben die Aufgaben des Datenschutzes und der Betriebsvereinbarung dem Betriebseigner bzw. der Geschäftsführung zugeordnet.
Einführung
Neu und belastend für die Betriebe und Institutionen ist aber auch der Aufwand für die Einführung und den Betrieb. Die Auswahl und der Umfang der Nutzung der SAP-Anwendungsfunktionen ist Sache des Unternehmens, das SAP-Einführungsprojekt birgt angesichts der Kosten und der Dauer der Einführung hohe, auch finanzielle Risiken – oft eine stürmische Phase in kritischer See. Der Einführung mit ihren arbeitsorganisatorischen Untiefen muss eine Phase der Beruhigung und Stabilisierung folgen.
Mandanten-Grundsatzentscheidung
SAP bietet je eigenständigem Unternehmen (Buchungskreis) die Alleinnutzung eines Mandanten mit eigenständiger Einstellungspflege (Customizing), Berechtigungen und Protokollierungen etc. an. Je Unternehmen bzw. Konzern sollten eigenständige SAP-Systeme zum Einsatz kommen. Technisch kann ein Mandant Buchungsdaten vieler Unternehmen, auch von Konzernen und von nicht verbundenen Unternehmen aufnehmen. Die Grundsatzentscheidung muss allerdings die verschiedenen Anforderungen der Wirtschaftsprüfung, der Revision, der Datenschutzgesetzte und der Betriebsverfassung sowie der GRC-Regelungen (Governance, Risc and Compliance) berücksichtigen.
Betrieb und Pflege
Den Betrieb und die “ewige” weitere Pflege gibt es nicht umsonst. Die Durchdringung der operativen Geschäftsprozesse mit der dispositiven Sicht der Steuerung und mit der gleichzeitigen Dokumentation aller Vorgänge im Rechnungswesen (Finanzbuchhaltung, Controlling, Anlagenbuchhaltung, Treasury u.a.m.) erhöht den Aufwand bei der Gestaltung und Erfassung der Vorgänge erheblich. Letztendlich bestimmt das Controlling Aufwand für SAP, auch wenn Datenpflege und Vorgangserfassungsaufwand vor Ort stattfinden.
2. Chancen und Risiken – Auswirkungen und Gestaltungsoptionen aus Arbeitnehmersicht und die Aushandlung der Interessen
Der Unternehmensentscheidung für den Einsatz von SAP-Funktionen und der Festlegung der Art und Weise der Einführung und des Projektbudget folgt dann aufseiten der betroffenen Arbeitnehmer die Abschätzung der Auswirkungen:
• Welche Aufgaben entfallen und welche kommen hinzu, welche Aufgaben werden verschoben und welche brauchen mehr Zeit?

• Ändern sich die Geschäftsprozesse und damit auch die Aufbau- und Ablauforganisation sowie die Kompetenzen der Mitarbeiter?
• Wie kann sich das zukünftige Entlohnungsmodell entwickeln?
• Welche zeitlichen und gesundheitlichen Belastungen sind für die Mitarbeiter in der Projektphase und dann im SAP-Betrieb zu erwarten?
• Über welche Fähigkeiten und Kenntnisse müssen die Mitarbeiter verfügen, um auch in Zukunft die Geschäftsprozesse des Unternehmens zuverlässig und sicher zu planen, abzuwickeln und zu “controllen”?
• Welche direkten und indirekten Möglichkeiten der Überwachung der Mitarbeiter ergeben sich?
• Welche Kennziffern, Benchmarks und Service-Level-Agreements werden für die betriebliche Leistungsmessung verwendet und wie werden Mengenleistungen, Arbeitszeiten und Qualitätsstandards mit Verbindung zu Mitarbeitern aufgezeichnet und ausgewertet.
Was tun?
Für die Arbeitnehmervertretung ergibt sich die Anforderung, die mit der Einführung und dem Betrieb der SAP-Funktionen abzusehenden Veränderungen der Arbeitsbedingungen und Interessen der Belegschaft abzuschätzen und entsprechend den Beteiligungsrechten des Betriebsverfassungsgesetzes bzw. der jeweiligen Personalvertretungsgesetzte die Unterrichtung und Beratung einzufordern, Schutzregelungen zu treffen und die vorhandenen Gestaltungsoptionen im Interesse der Mitarbeiter einzufordern.
• Die Einführung von SAP ist grundsätzlich als Betriebsänderung anzusehen und es ist ein Interessenausgleich möglich.
• SAP verarbeitet schon von sich aus und auch aufgrund der fachlichen Anforderung der Arbeitgeber zahlreiche personenbezogene Daten von Anwendern und Mitarbeitern, für die eine Zustimmung der Arbeitnehmervertretung erforderlich ist.
• Die SAP-Funktionen bringen gewollt oder ungewollt eine Veränderung der Arbeitsabläufe und der Aufgabenverteilung mit sich.
• Für die Einführung sind umfangreiche Schulungen erforderlich
• Die Arbeitsbelastung und die Arbeitszeit während der Projektlaufzeit und in der Einführungsphase steigt erheblich; Überlastungen sind zu erwarten.
Humane Faktoren
Wesentlich für den Erfolg der SAP-Einführung und die Folgen für die Beschäftigten ist natürlich auch das Unternehmensklima, bzw. der alltägliche Umgang mit den Mitarbeitern und deren Belastbarkeit, um bei den Chancen und Risiken immer einen fairen Ausgleich zu finden.
Neben die Leitbilder des Unternehmens und möglichst klaren Zielsetzungen für das SAP-Projekt gehören die sozialen Pflichten aus Sicht der Arbeitnehmer:
• Projektarbeit, Arbeitszeit, Mehrarbeit
• Ergonomie und gesundheitliche Belastungen
• Arbeitsorganisation und Organisationsentwicklung
• Weiterbildung und Personalentwicklung
• Überwachung, Leistungs- und Verhaltungskontrollen
• Datenschutz und informationelle Selbstbestimmung
• Projekttransparenz und Beteiligung der betroffenen Mitarbeiter
Datenschutzniveau
SAP bietet aufgrund der Vielfalt der bereitgestellten Funktion zahlreiche Möglichkeiten der Verarbeitung personenbezogener Daten von Mitarbeitern, Anwendern, Kunden, Geschäftspartnern und Dritten. Die Ortung der Nutzung personenbezogener Daten, ihre ausreichende Zweckbindung, die erforderliche Kontrolle, die Auskunft sowie das Sperren und Löschen wird von SAP-Funktionen nicht komfortabel unterstützt. Für die Öffentlichkeit gedachte Verfahrensverzeichnisse sind oft undifferenziert und schaffen keine ausreichende Transparenz und kein Vertrauen in die notwendige Rechtsgrundlage für die Verarbeitung personenbezogener Daten.
Es bedarf vertiefter SAP-Kenntnisse, um einen angemessenen datenschutzkonformen SAP-Betrieb zu organisieren und aufrecht zu erhalten.
3. Einführungs- und Beteiligungsprozess
Zur Einführung des SAP-Module sollte eine Absprache (Einführungs-Betriebsvereinbarung) über die Art und Weise der Beteiligung des Betriebsrates und zu Inhalt und Zeitpunkt der erforderlichen Betriebsvereinbarungen zum Betrieb der SAP-Funktionen zu treffen (Mitbestimmungsmeilensteine).
Diese Absprache enthält die parallel zum SAP-Projektplan abzuarbeitenden Aufgaben entsprechend den Sozialen Pflichten und koordiniert die Schutz- und Gestaltungswünsche der Betriebsräte mit den zu bestimmten Zeitpunkten erforderlichen Gestaltungsentscheidungen des SAP-Projekts.
Die Betriebsvereinbarung zum Betrieb der SAP-Funktionen
Abzuschließen ist eine Betriebsvereinbarung, die den Betrieb und die Änderung/Erweiterung der SAP-Funktionen regelt.
Es ist sinnvoll, die Beteiligungsangelegenheiten bei SAP zuerst für das SAP-BASIS- System (Modul BC und CA) in einer Grundlagen-Betriebsvereinbarung SAP R/3 BASIS zu regeln.
Dies betrifft unter anderem:
• das Benutzer- und Berechtigungskonzept (BBK),
• das System- und Mandantenkonzept (SMK),
• das Datenschutz- und Datensicherungskonzept (DSK),
• das Konzept der Systemerweiterung und -pflege (Wartungen und Releasewechsel) einschließlich des Transportsystems und
• das Konzept der laufenden Sicherheitsüberprüfung (AUDIT) und der Protokollierungen.
Verständigung zwischen Arbeitgeber und Betriebsrat
Hierzu ist es wesentlich, dass über das erforderliche Datenschutzniveau und das aus Arbeitnehmersicht erforderliche Schutzniveau bei der Verarbeitung von personenbezogenen Daten der Mitarbeiter – sei es zur Leistungs- und Verhaltenskontrolle oder für andere betriebliche Zwecke – unter Einbeziehung der bisherigen betrieblichen Erfahrungen und Regelungskultur eine Verständigung zwischen Betriebsrat und Arbeitgeber erreicht wird.
Dann können aus der Datenschutzsicht und auch dem Schutzinteresse der Mitarbeiter die Anforderungen an das Betriebsführungskonzept für das SAP R/3 System entwickelt und in technische und organisatorische Maßnahmen umgesetzt werden. Zur Orientierung hat das BSI Grundschutzmaßnahmen in seinem Baustein SAP-Systeme zusammengestellt bzw. SAP bietet zahlreiche Dokumente (Sicherheitsleitfäden, Whitepaper: SAP Standard for Security Juni 2009) an, um die Einrichtung und den Betrieb eines sichereren SAP-Systems zu unterstützen. Mit dem SOS-Report ( Security Optimization Service ) können die Sicherheitseinstellung periodisch gecheckt und bewertet werden.
Für jedes der vorgesehenen Anwendungsmodule wäre dann eine auf der Grundlagen-Betriebsvereinbarung aufbauenden SAP-Funktions-Betriebsvereinbarung zu schließen.
Für das HR-Modul wäre hinsichtlich des § 87 Abs. 1 Satz 6 (Überwachung) im Wesentlichen zu regeln:
• die eingesetzten HR-Module und Anwendungskomponenten (für Abrechnung, Zeiterfassung und Administration),
• deren Verwendungszwecke im Rahmen der personalwirtschaftlichen Funktionen,
• die eingesetzten HR-Infotypen und die Aufbewahrungszeiten bzw. Archivierungs-Funktionen,
• die HR-Reports und Schnittstellen,
• die Zugriffsrechte (möglichst mit Befristung der zeitlichen Zugriffstiefe) und
• die HR-Protokollierungen.
Für die FI/CO-Module wäre hinsichtlich des § 87 Abs. 1 Satz 6 (Überwachung) im Wesentlichen zu regeln:
• die eingesetzten Module und Funktionen,
• Art und Umfang der Verarbeitung von personenbezogenen Daten,
• Zweckbindung und Zugriffsrechte auf SAP-Modul-Funktionen mit personenbezogenen Daten.
Die ABD-GSB bietet
• für Interessierte, Arbeitnehmervertreter und Datenschutzbeauftragte Schulungen an,
• zu zahlreichen Aspekten des Einsatzes von SAP kostenlos Unterlagen, die Erklären und Hilfestellungen sowie Tipps für die praktische Umsetzung geben,
• SAP-Datenschutz-Audits zum Thema Verarbeitung personenbezogener Daten an

Diese Webseite setzt keine Cookies!