Fehler vermeiden

Sieben Datenschutzregeln für SAP-Systeme

21.03.2013
Von Stefan Staub und Rolf Schlagintweit

3. Zweckentfremdung der Daten

Die Speicherung von personenbezogenen Daten ist per Gesetz an den Zweck gebunden: Man darf nur solche Daten verarbeiten, die für legitime Zwecke erforderlich sind, und darf sie dann auch nur für diesen definierten Einsatz nutzen. Ein typischer legitimer Wunsch kann es sein, dass die Konzernspitze ein weltweites Reporting über die Arbeit der Personalabteilungen wünscht. Wenn Daten zur Leistungskontrolle von Einzelpersonen verwendet werden, so liegt nach deutschem Recht ein Missbrauch vor, es sei denn, der Betriebsrat hat zugestimmt. Ein solcher Leistungs-Benchmark ist auf der Basis der Personalanwendung SAP HCM möglich, doch zum rechtskonformen Vorgehen müssen die personenbezogenen Daten anonymisiert sein. So lässt sich zum Beispiel weltweit aggregieren, wie viele neue Mitarbeiter eine Personalabteilung eingestellt hat, ohne dass auf die Namen der einzelnen HR-Mitarbeiter oder des einzelnen Neueingestellten geschlossen werden kann. Aus datenschutzrechtlicher Sicht wäre ein verwendungsbezogener Nachweis zur Nutzung von personenbezogenen Daten sinnvoll. Dies unterstützt SAP jedoch derzeit nicht.