Leitung des Forums: | Peter Lindner | Arbeitskreis |
Protokollführung: | Manfred Lösch | Arbeitskreis |
Referenten: | Klaus Argut | bDSB, TPL-Berechtigungen, Stadtwerke Hannover |
Basierend auf das am Vormittag gehörte diesbezügliche Referat von Herrn Klaus Argut (Datenschutzbeauftragter SWH AG) beginnt die Sitzung um 14.00 Uhr.
Bis 17.00 Uhr wird in lockerer Runde ein Erfahrungsaustausch vorgenommen und Empfehlungen seitens Herrn Argut ausgesprochen.
Zunächst wird auf Schnittstellen und Protokolldateien eingegangen.
Speziell bei den Dateien ist zu bemerken, dass der BR oft nicht weiß, wie mit diesen, die immer personenbezogene Daten beinhalten, umzugehen ist.
Nachdem eingehend über Audit-Info-System, welches SAP jedem Anwender unentgeltlich zur Verfügung stellt, gesprochen wird, gehen die Teilnehmer auf “SUIM” Transaktion zur Berechtigungsprüfung ein. Hierfür ist vom Systemadministrator die Berechtigung zu holen und auch nach dem Personenkreis zu fragen, der an kritische Daten kommt.
In dem Zusammenhang wird “CCMS” Monitoringsystem der SAP angesprochen.
Da den Anwesenden Informationen fehlen – dies ist auch nicht das Tagesgeschäft des BR – wird Herr Argut diesbezügliche Unterlagen sowie über die zuvor behandelten Punkte zur Weiterverteilung bzw. Veröffentlichung überlassen. Daher wird hier auch nicht Näher darauf eingegangen.
Wichtig aber ist, das Aufgabenspektrum und die Berechtigungen der Administratoren müssen klar definiert sein.
Im weiteren Verlauf wird betont, IS-U-Daten beinhalten auch personenbezogene Mitarbeiterdaten außerhalb des SAP-Systems. CO (Controlling System außerhalb des HR) ermöglicht im Classic Zugang zu geschützten Daten (Gehalt, Soz.Vers., Pfändungen usw.).
Hierbei wird auch die Frage aufgeworfen, in welchem System der Betriebsarzt arbeitet. Auf keinen Fall darf dies HR sein. Er benötigt ein eigenes abgeschottetes System.
Zu beachten ist hier die Rolle des IT-Sicherheitsbeauftragten bzw. Datenschutzbeauftragten. Diese können jeden Download anfordern und können klären, wieso ein Anwender Daten aus dem SAP-System benötigt und warum er diese auf seinen PC überspielt.
Im gesamten lässt sich sagen, dass dieses Forum von den Teilnehmern aktiv genutzt wurde um Ihre betrieblichen Probleme aus Sicht des Datenschützers mit Herrn Argut zu diskutieren und sich Anregungen sowie praktische Tips zu holen.