Soccer team in a huddle

DS GVO: Was Behörden leisten müssen

Feature | 21. November 2017 von Andreas Schmitz 0

Wie viele Anfragen werden auf Behörden und Ämter zukommen? Wie detailliert sollten Auskünfte sein? Können Kommunen dazu verpflichtet werden, über alle ihre Ämter hinweg eine Antwort zu geben? Fragen über Fragen beherrschen die Vorbereitungen im öffentlichen Bereich zur Datenschutzgrundverordnung (DS GVO), die am 25. Mai 2018 greifen wird.

Um es gleich vorweg zu nehmen: „Es wird kaum jemanden geben, der am 25. Mai 2018 sagen wird: Ich bin zu hundert Prozent gerichtsfest“, sagt SAP-Berater Stephan Schuster von SAP Digital Business Services (SAP DBS). Das hat viele Ursachen. Zum einen gibt es technische Gründe. Gewachsene IT-Landschaften bestehen aus einem Mix von SAP- und Nicht-SAP-Systemen, noch dazu aus jahrzehntealten und selbst gebauten Systemen. Für SAP-Systeme deckt das SAP Information Lifecycle Management (SAP ILM) mit den Funktionen für das Löschen und Sperren von Daten, Berechtigungskonzepten sowie die Extraktion der für die Behörden nötigen Daten die wichtigsten technischen Anforderungen ab. Doch beschäftigen sich die Behörden derzeit noch stark mit organisatorischen Fragen:

1. Wie sollten Anfragen entgegen genommen werden?

Behörden sind dazu verpflichtet, Bürger darüber zu informieren, welche Daten über sie verarbeitet wurden, aus welchem Grund und wie sie gesichert sind. Entsprechende Informationen verbleiben so lange in den Systemen, wie es Aufbewahrungsfristen etwa von Steuerdaten oder Mitarbeiterverhältnissen vorsehen. Innerhalb der Behörde muss jedoch zunächst geklärt werden, wie die Anfrage entgegengenommen werden soll – per Mail, online über eine Datenmaske oder per Telefon. „Noch herrscht Unsicherheit darüber, wie viele Anfragen auf eine Behörde zukommen werden und wie präzise Auskünfte sein müssen“, erläutert Schuster.

2. Wie sollten Mitteilungen aussehen?

Kommt ein Auskunftsersuchen auf die Behörde zu, stellt sich die Frage, wie die Informationen aufbereitet sein sollten, die in den Systemen vorliegen. Die Rohdaten lassen sich aus den SAP- und auch anderen Systemen zwar extrahieren, doch reichen diese „Data Streams“ für den Bürger nicht aus. „Sie müssen aufbereitet werden“, erläutert Schuster. Zudem wird ab 2018 für alle Behörden die „leichte Sprache“ verbindlich. Daraus sollte allgemeinverständlich hervorgehen, welche Daten auf welcher gesetzlichen Grundlage gespeichert wurden.

3. Wird es eine Auskunft über alle Ämter hinweg geben?

Der Bürger hat das Recht, eine Übersicht über alle verarbeiteten Daten zu bekommen. Allerdings sind Behörden auf Verwaltungsebene voneinander getrennt. In der Kfz-Zulassungsstelle liegen Informationen über sämtliche an- und abgemeldeten Fahrzeuge eines Halters, über den das Arbeitsamt Zeiten der Arbeitslosigkeit gespeichert hat. Will nun das Arbeitsamt wissen, welches Auto ein Arbeitssuchender fährt, der Arbeitslosengeld bezieht, darf diese Information nach dem Datenschutzrecht nicht ausgetauscht werden. Die (juristisch zu klärende) Frage ist nun, ob die Kommunen, bei denen die meisten Daten liegen, dazu verpflichtet werden können, dem Bürger sämtliche über eine Person gespeicherte Daten komplett herauszugeben – also von der Geburt, über den Kindergarten, die Schule, die Anmeldung eines Autos, die Hochzeit bis zum Grundbucheintrag für das gekaufte Haus. Dann müssten das Einwohnermeldeamt, die Kfz-Zulassungsstelle und das Standesamt ihre Daten konsolidieren, denn sie halten jeweils eigene Stammdaten von den Bürgern vor.

DS GVO: Die Lösung SAP Information Lifecycle Management (SAP ILM) von SAP

Mit dem SAP Information Lifecycle Management (SAP ILM) hat SAP bereits vor zehn Jahren eine Anwendung geschaffen, die zunächst für Personalsysteme gedacht war und den damaligen Datenschutzanforderungen gerecht wurde. Mit der DS GVO stellt SAP die Lösung nun auch für die Bereiche Einkauf, Beschaffung und Rechnungswesen zur Verfügung. Damit ermöglicht SAP den Behörden, auch der Auskunftspflicht etwa gegenüber Lieferanten und anderen Geschäftspartnern nachzukommen. Dennoch ist den Verantwortlichen nicht immer klar, wie sie konkret vorgehen sollen. „Es hat sich als sinnvoll erwiesen, mit einem Assessment zu beginnen und einzelne Schritte auf dem Weg zum Stichtag im Mai kommenden Jahres festzulegen“, erläutert Schuster aus dem SAP-Digital-Business-Services-Team.

Die wichtigsten Leistungen im Einzelnen:

Daten individuell berichtigen

Nach einem aktuellen Beschluss des Bundesgerichtshofs müssen Menschen, die weder männlich noch weiblich sind, künftig im Geburtenregister als „intersexuell“ erfasst werden. Sollte das Gesetz wie gefordert 2018 verbschiedet werden, hätten alle Menschen, die das betrifft, auch das Recht, eine Anpassung ihres geschlechtlichen Status zu fordern. Egal, welche Fehler in den Systemen vorkommen oder welche Anpassungen nötig werden: Jeder kann entsprechende Korrekturen einfordern, der auf einen falsch geschriebenen Namen, Berufstitel oder eine falsche Geschlechtsangabe aufmerksam wird. SAP-Systeme sind in der Lage, Datensätzen Zeitfenster zuzuordnen. Wird eine Änderung vorgenommen, ist die Historie also nicht direkt mitgelöscht – ein Vorteil gegenüber anderen Systemen.

Daten löschen und sperren

Daten, die nicht mehr benötigt werden, können in SAP-Systemen für den Zugriff durch einen normalen System-User gesperrt werden. Damit sind sie auch den „Auskunftsroutinen“ entzogen, gehören also nicht mehr zu den verarbeiteten Daten. Die Löschung von Daten, die aus der Aufbewahrungsfrist herauslaufen, ist automatisch möglich, denn jedem Datensatz sind Regeln hinterlegt, die etwa „Aufbewahrungsfristen“ enthalten können. Das wird jedoch meist persönlich gemacht. Bewerberdaten sind generell nicht so sensibel wie etwa Mitarbeiterdaten, die auch für die Rente, die Sozial- und Krankenversicherung relevant sind. Ursprünglich war das Löschen von Daten keine Anforderung für das IT-System, doch hat SAP eine entsprechende Funktionalität geschaffen, die etwa eine Vorauswahl an zu löschenden Mitarbeiterdaten selektiert.

Verarbeitung einschränken

Über Berechtigungskonzepte, die bei SAP bereits vor Einsatz einer Software entwickelt werden, lässt sich der Zugriff auf Daten nur auf bestimmte Personen beschränken, die eine spezielle Rolle einnehmen. Kommt ein neuer Mitarbeiter wird ihm eine Rolle zugeordnet und bei Kollegen, die in eine andere Abteilung wechseln, werden neue Berechtigungen vergeben. Wie bereits das Löschen und Sperren ist die Einschränkung in der Verarbeitung von Daten auch über SAP ILM möglich.

Verbindlich für SAP- wie Non-SAP-Systeme: Ein universelles Format

Ziel ist es, die Daten in einem maschinenlesbaren Format wie etwa Excel-Files (xls) aus den Systemen zu extrahieren und so zwischen den verschiedenen Systemen einen Austausch zu ermöglichen. Da allerdings teilweise sehr alte – Cobol-basierte – Systeme in einzelnen Behörden im Einsatz sind, die noch dazu einen hohen Anteil an selbst gebauter Software enthalten, ist fraglich, ob die Daten dem Bürger automatisiert zur Verfügung gestellt werden können. „Gerade dieser Mix aus heterogenen Systemen und der Unsicherheit, wie viel Aufwand die DS GVO im Arbeitsalltag bedeutet, machen es den Behörden heute noch schwer“, ist Schuster überzeugt.

Weitere Informationen

Tags: ,

Leave a Reply