Dez. 2: SAP - TU Clausthal

echnische . n iversität lausthai
Verfahrensbeschreibung gern. § 8 des Nds. Datenschutzgesetzes (NDSG)
D Einzelbeschreibung der Daten verarbeitenden Stelle
D Sammelbescln'eibung der Daten verarbeitenden Stelle zu gleichwertigen Verfaln'en
D Sammelbescln'eibung durch Auftragnehmer (Daten verarbeitende Stelle siehe beiliegende Liste)
IZI Ersterfassung D Ändemng / Ergänzung
Anzahl der Verfahren
Verfaln'ensbeschreibungen über automatisierte Verfaln'en zur Erfüllung der Aufgaben nach dem NVerfSchG oder nach
dem NGefAG sind in Kopie an den Landesbeauftragten für den Datenschutz Niedersachsen zu senden.
1. Anzeigende Stelle
Verfahrensbeschreibung erstellt von (Adresse, Geschäftszeichen)
Planung, EDV, Statistik -Dezernat 5-
Für Rückfragen:
CIausthal-Zellerfeld, den 26.05.04
Adolph-Roemer-Straße 2A Fon: Fax:
Name der oder des Datenschutzbeauftragten
Herr Dr. N office
2. Bezeichnung des Verfahrens
Bezeichnung des Verfahrens
Integrierte Standardsoftware SAP R/3 Release 4.7
Eingesetzte Programme
Sap R/3 Module FI, CO, FI-AA und HR
D Verknüpfungen zu anderen Verfahren oder Dateien bestehen
Bezeichnung dieser anderen Verfahren oder Dateien
Fon
722587
Unterschrift (Ersteller der Verfahrensbeschreibung)
angeordnet d. Leiter / Leiterin
3. Bezeichnung der Daten verarbeitenden Stelle / Angaben zur Auftragsdatenverarbeitung
Bezeichnung der Daten verarbeitenden Stelle (bei Sammelbeschreibung durch Auftragnehmer siehe beiliegende Liste)
TU-Clausthal
Ort, Datum
CLZ, 26.05.2004
IZI Die gesamte Datenverarbeitung wird bei der Daten verarbeitenden Stelle selbst durchgeführt.
D Teile der Datenverarbeitung werden bei einem Auftragnehmer durchgeführt. Das Auftragsverhältnis ist schriftlich geregelt,
§ 6 NDSG wird beachtet.
Name und Anschrift der Aufh'agnehmer sowie Art der Datenverarbeitung (z.B, Erfassung, Microverfilmung, Vernichtung)
2002-06-11 1/4

4. Zweckbestimmung des Verfahrens
HINWEIS
Ausnahmen von der Beschreibungspflicht bestehen für Verfahren, deren personenbezogene Daten
ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des
ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert und genutzt werden. Werden
bei Verfahren die Daten nicht zur inhaltlichen Auswertung gespeichert und spätestens 3 Mopate nach
ihrer Erstellung gelöscht, so müssen diese Verfahren nicht aufgeführt werden.
Mit Textverarbeitungssystemen erstellte Dokumente sind dannbeschreibungspflichtig, wenn sie
personenbezogene Daten enthalten, die durch automatisierte Verfahren ausgewertet werden
können. Für die Auswertbarkeit kommt es darauf an, ob das System Funktionen enthält, die es
ermöglichen, die Dokumente nach personenbezögenen Merkmalen zu erschließen.
Verfahrensbeschreibungen sind auch anzulegen für Dateien, die nach Autoren, DOkumententypen mit
gleicher Sensibilität und Inhalten zusammengefasst sind (Bewilligungsbescheide, Gutachten), für
Adressentabellen und für Datenbankanwendungen.
Finanzbuchhaltung (FI) Abbildung des kaufmännischen Rechnungswesens fUr den Landesbetieb
Anlagenbuchhaltung (FI-AA) Abbildung des Anlagevermögens und berechnung der Abschreibungen fUr das
kaufmännische Rechnungswesens fUr des Landesbetiebes
Controllimg (CO) Abbildung der Kosten- und Leistungsrechnung
Personalwirtschaft (HR) in EinfUhrung: Personaladministration und Oranisitionsmanagement. Stellenverwaltung und
-bewirtschatung.
5. Rechtsgrundlage der Verarbeitung
§ 4 NDSG
§ 9 NDSG
§ 17 NHG
§ 5 NHG
6. Kreis der Betroffenen
SAP-Nutzer
Bedienstete(HR)
Drittmittelpersonal (F!)
Kreditoren/Debitoren(FI)
ungefähre Anzahl der Betroffenen
7. Fristen für die Sperrung und Löschung der Daten
8.1 Art der gespeicherten Daten
Jeder Betroffenenkreis ist einzeln auf zufUhren; s. auch Musterfommlar
1_ -: "a-,------j __
a alle Personen gern. Ziffer 6 !
----:-b----t----
c
-------i
-------- ~--I
I
~ __ - ' . _I
! e
I ! ~ I
c._-----j __
b_
d_---+
SAP-Nutzer(Name, Vomame)gem. GOB§238 Abs.l HGB i I-~~· n
Bedienstete (HR) Beschreibung aller Felde und Prozesse im Fachkinzept Peronalwirtschaft --t---------j-- __ 1
Drittmittelpersonal Es werden Gehaltsbuchungen auf die entspre~he-nd-:-eI--:' P-ro-:-jet-:-li-e g--:eb-\Ic-:-ht-~ ----,------1__) - --- I-i - 1
---+-----~-
'§
- i I
Krecliton~nlDebitoren Name, Anschrift, Bankverbindung_ 1_
e
I
2/ 4

8.2 Herkunft oder Empfänger bei regelmäßiger Übermittlung
D Es findet keine regelmäßige Übermittlung statt
KID Personal abrechnungs ergebnisse aus Kidcap werden per Batch-lnput in das SAP-System gebucht.
8.3 Beabsichtigte Übermittlung von Daten in Staaten nach § 14 NDSG
Rechtsgmndlage für die Übemrittlung
Zweck der Übermittlung
3/ 4

Anlage
Behördenintemer Teil der Verfahrensbeschreibung gern. § 8 des Nds. Datenschutzgesetzes (NDSG)
9. Angaben zu dem Verfahren nach Nr. 2
Bezeichnung des Verfahrens
SAP R/3 4.7
Eingesetzte Programme
Module siehe oben
D Verknüpfungen zu anderen Verfahren oder Dateien bestehen
Bezeichnung dieser anderen Verfahren oder Dateien
10. Betriebsart des Verfahrens
~ Stapel (Batch)- ~ Dialog-
Betrieb
Betrieb
11. Art der Geräte
bitte zusätzl. angeben
Datenbank
(Betriebssystemangaben ohne exakte Versionsnummern)
D
~
~
D
D
D
Großrechner der Firma
Rechner mittlerer Größe
Vernetzte Arbeitsplatzcomputer (APC)
Alleinstehende PC
Sonstiges:
D Textverarbeitung
Datenfernüberh'agung
12. Übermittlungsverfahren
D COM-Mikrofiche-Austausch
D Standleitung
("DDV" oder "HfD")
D Datenträger
Austausch
D Wählleitung
mit Modem
D Tabellenkalkulation
D Dateitransfer mittels
Datenfemüberh'agung
13. Verfahren zur Sperrung, Löschung, Auskunftserteilung
D Manuelle D Automatische D Manuelle
Sperrung Sperrung Löschung
Verfahren der Auskunftserteilung
Betriebssystem
D Sonstiges:
Manuell
Betriebssystem Win 2000 Server
Betriebssystem Win XP
D schriftliche D Einsichtnahme D sonstiges:
Mitteilung
vor Ort
14. Technische und organisatorische Angaben nach § 7 NDSG
14.1 Bauliche Maßnahmen
D Grundsätzlich kein Publikumsverkehr in Räumen mit Arbeitsplatzcomputern (APC) oder Terminals.
D Alle Räume mit APC sind bei Abwesenheit der Bediensteten mit Sicherheitsschlössem verschlossen.
D Es werden nur APC eingesetzt (keine Zenh'alrechner wie Großrechner, Server, Mehrplatzsysteme).
D
D
D
Betriebssystem
sonstige
DFÜ
Automatisiertes
Abrufverfahren
Automatische
Löschung
~ Alle Zenh'alrechner sind in einer Sicherheitszone mit zusätzlicher Zugangskontrolle untergebracht.
D Sicherung wichtiger mobiler Datenh'äger im separaten, gesicherten Archivraum oder Tresor.
14.2 Technische Maßnahmen
Sicherung aller
Rechner durch
D Passwort
D Magnetsh'eifenkarte /
Chipkarte
Die Begrenzung der Zugriffsrechte auf die zuständigen Bediensteten ist technisch gesichert.
Verschlüsselung bei der Speicherung und ggf. bei der Datenfernübertragung.
Protokollierung von Systemaktivitäten (z.B. Benutzer-Login).
Protokollierung des Zugriffs auf einzelne Datensätze.
Regelmäßige Auswertung der Protokolle.
14.3 Organisatorische Maßnahmen
Die Zugriffsberechtigungen sind auf folgende Personen beschränkt:
D Eine Dienstanweisung zum
Datenschutz ist vorhanden
14.4 Weitere wichtige technisch - organisatorische Maßnahmen
Anlehnung an das Projekt Uni2001
4/ 4

echnische n iversität lausthai
D
D
D
~
Verfahrensbeschreibung gern. § 8 des Nds. Datenschutzgesetzes (NDSG)
Einzelbeschreibung der Daten verarbeitenden Stelle
Sammelbeschreibung der Daten verarbeitenden Stelle zu gleichwertigen Verfahren
Sammelbeschreibung durch Auftragnehmer (Daten verarbeitende Stelle siehe beiliegende Liste)
Ersterfassung D Änderung / Ergänzung
Anzahl der Verfahren
Verfahrensbeschreibungen über automatisierte Verfahren zur Erfüllung der Aufgaben nach dem NVerfSchG oder nach
dem NGefAG sind in Kopie an den Landesbeaufh'agten für den Datenschutz Niedersachsen zu senden.
1. Anzeigende Stelle
Verfahrensbeschreibung ersteIlt von (Adresse, Geschäftszeichen)
Planung, EDV, Statistik -Dezernat 5-
Für Rückfragen:
Clausthal-Zellerfeld, den 26.05.04
Adolph-Roemer-Straße 2A Fon: Fax:
Name der oder des Datenschutzbeauftragten
Herr Dr. Noffke
2. Bezeichnung des Verfahrens
Bezeichnung des Verfahrens
Integrierte Standardsoftware SAP R/3 Release 4.7
Eingesetzte Programme
Sap R/3 Module FI, CO, FI-AA und HR
D Verknüpfungen zu anderen Verfahren oder Dateien bestehen
Bezeichnung dieser anderen Verfahren oder Dateien
Fon
722587
Unterschrift (ErsteIler der Verfahrensbeschreibung)
angeordnet d. Leiter / Leiterin
3. Bezeichnung der Daten verarbeitenden Stelle / Angaben zur Auftragsdatenverarbeitung
Bezeichnung der Daten verarbeitenden SteIle (bei Sammelbeschreibung durch Auftragnehmer siehe beiliegende Liste)
TU-Clausthal
Ort, Datum
CLZ,26.05.2004
Die gesamte Datenverarbeitung wird bei der Daten verarbeitenden SteIle selbst durchgeführt.
Teile der Datenverarbeitung werden bei einem Auftragnehmer durchgeführt. Das Auftragsverhältnis ist schriftlich geregelt,
§ 6 NDSG wird beachtet.
Name und Anschrift der Auftragnehmer sowie Art der Datenverarbeitung (z.B, Erfassung, Microverfilmung, Vernichtung)
2002-06-11 1/4

4. Zweckbestimmung des Verfahrens
HINWEIS
Ausnahmen von der Beschreibungspflicht bestehen für Verfahren, deren personenbezogene Daten
ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des
ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert und genutzt werden. Werden
bei Verfahren die Daten nicht zur inhaltlichen Auswertung gespeichert und spätestens 3 Monate nach
ihrer Erstellung gelöscht, so müssen diese Verfahren nicht aufgeführt werden.
Mit Textverarbeitungssystemen erstellte Dokumente sind dann beschreibungspflichtig, wenn sie
personenbezogene Daten enthalten, die durch automatisierte Verfahren ausgewertet werden
können. Für die Auswertbarkeit kommt es darauf an, ob das System Funktionen enthält, die es
ermöglichen, die Dokumente nach personen bezogenen Merkmalen zu erschließen.
Verfahrensbeschreibungen sind auch anzulegen für Dateien, die nach Autoren, Dokumententypen mit
gleicher Sensibilität und Inhalten zusammengefasst sind (Bewilligungsbescheide, Gutachten), für
Adressentabellen und für Datenbankanwendungen.
Finanzbuchhaltung (FI) Abbildung des kaufmännischen Rechnungswesens für den Landesbetieb
Anlagenbuchhaltung (FI-AA) Abbildung des AnlagevelIDögens und berechnung der Abschreibungen für das
kaufmännische Rechnungswesens für des Landesbetiebes
Control1img (CO) Abbildung der Kosten- und Leistungsrechnung
Personalwirtschaft (HR) in Einführung: Personaladministration und Oranisitionsmanagement. Stellen verwaltung und
-bewirtschatung.
5. Rechtsgrundlage der Verarbeitung
§ 4 NDSG
§ 9 NDSG
§ 17 NHG
§ 5 NHG
6. Kreis der Betroffenen
SAP-Nutzer
Bedienstete(HR)
Drittmittelpersonal (FI)
KreditoreniDebitoren(FI)
ungefahre Anzahl der Betroffenen
7. Fristen für die Sperrung und Löschung der Daten
8.1 Art der gespeicherten Daten
Jeder Betroffenenkreis ist einzeln aufzuführen; s. auch MusterfolTImlar
~--- ,liePeßon,n g'rn. Zilf" 6 1
I~;
'1
I .
~Nutzer(Name,VOlTI~me)gem.Go:B§238AbS.1-H-G-B-+- , I~l'~ cl!
:Bedienstete (HR) Beschreibung aller Felde und Prozesse im Fachkinzept Peronalwit1schaft j I ~
i DJittmittelpersonaJ Es werden Gehaltsb~chungen auf die entsprec-henden Projetkte gebucht --- --
KreditorenlDebitoren Name,Anschrift, Ballkverbindung---=- ---=-. -_ -- ____ --
I
1---
~
-- =+ ----+- --I --, ---- 1--
__ -1- __ I - j
---_~,:-_--- ~------l
1- ,
- I ____ 1'__
I
I
-_--_-- --- -, -j
---- -1_---___
2/ 4

8.2 Herkunft oder Empfänger bei regelmäßiger Übermittlung
D Es findet keine regelmäßige Übermittlung statt
KID Personalabrechnungsergebnisse ausKidcap werden per Batch-Input in das SAP-System gebucht.
8.3 Beabsichtigte Übermittlung von Daten in Staaten nach § 14 NDSG
Rechtsgmndlage für die Übermittlung
Zweck der Übermittlung
3/ 4

Anlage
Behördenintemer Teil der Verfahrensbeschreibung gern. § 8 des Nds. Datenschutzgesetzes (NDSG)
9. Angaben zu dem Verfahren nach Nr. 2
Bezeiclmung des Verfahrens
SAP R/3 4.7
Eingesetzte Programme
Module siehe oben
o Verknüpfungen zu anderen Verfahren oder Dateien bestehen
Bezeichnung dieser anderen Verfahren oder Dateien
10. Betriebsart des Verfahrens
~ Stapel (Batch)- ~ Dialog-
Betrieb
Beuieb
11. Art der Geräte
o Großrechner der Firma
bitte zusätzl. angeben
Datenbank
(Beu'iebssystemangaben ohne exakte Versionsnul11l11ern)
~ Rechner mittlerer Größe
~ Vernetzte Arbeitsplatzcomputer (APC)
o Alleinstehende PC
Sonstiges:
o Datenfern- 0 Starldleitung
überu'agung ("DDV" oder "HfD")
12. Übermittlungsverfahren
o COM-Mikro- 0 Datenu'äger
fiche-Austausch Austausch
o Tabellenkalkulation
o Wählleitung
mit Modem
o Dateitransfer mittels
Datenfernüberh'agung
13. Verfahren zur Sperrung, Löschung, Auskunftserteilung
o Manuelle 0 Automatische 0 Manuelle
SpelTung SpelTung Löschung
Verfahren der Auskunftserteilung
o schriftliche 0 Einsichtnahme o sonstiges:
Mitteilung vor Ort
14. Technische und organisatorische Angaben nach § 7 NDSG
14.1 Bauliche Maßnahmen
o
o
o
o Textverarbeitung
Beu'iebssystem
o Sonstiges:
Manuell
Betriebssystem Win 2000 Server
Beu'iebssystem Will XP
Betriebssystem
sonstige
DFÜ
Autornatisiertes
Abrufverfahren
Automatische
Löschung
o Grundsätzlich kein Publikumsverkehr in Räumen mit Arbeitsplatzcomputern (APC) oder Terminals,
o Alle Räume mit APC sind bei Abwesenheit der Bediensteten mit Sicherheitsschlössern verschlossen,
o Es werden nur APC eingesetzt (keine Zenu'alrechner wie Großrechner, Server, Mehrplatzsysteme ),
~ Alle Zenu'alrechner sind in einer Sicherheitszone mit zusätzlicher Zugangskontrolle untergebracht.
o Sicherung wichtiger mobiler Datenu'äger im separaten, gesicherten Archivraum oder Tresor.
14.2 Technische Maßnahmen
Sicherung aller o o Magnetsu'eifenkarte /
o
Passwort
Chipkarte
Rechner durch
~ Die Begrenzung der Zugriffsrechte auf die zuständigen Bediensteten ist technisch gesichert.
~ Verschlüsselung bei der Speicherung und ggf. bei der Datenfernüberu'agung,
~ Protokollierung von Systemaktivitäten (z,B, Benutzer-Login),
o Protokollierung des Zugriffs auf einzelne Datensätze,
o Regelmäßige Auswertung der Protokolle,
14.3 Organisatorische M'aßnahmen
Die Zugriffsberechtigungen sind auf folgende Personen beschränkt:
o Eine Dienstanweisung zum
Datenschutz ist vorhanden
14.4 Weitere wichtige technisch - organisatorische Maßnahmen
Anlehnung an das Projekt Uni200 1
4/ 4