Datenschutz und § 87 Mitbestimmungsrechte des Betriebsrats

Personenbezogene, personenbeziehbare und vertrauliche Daten werden in zap Audit pseudonymisiert. Was das im Einzelnen bedeutet lesen Sie in diesem Artikel.

Kurzbeschreibung zum Datenschutz in zap Audit:

zap Audit ist eine Software für Revisoren und Abschlussprüfer, die SAP-bezogene Daten- und Prozessprüfungen vom Datenabzug bis zum Report automatisiert. Folgenden Prozesse werden dafür analysiert:

  • Einkauf
  • Verkauf
  • Finanzbuchhaltung
  • Anlagenbuchhaltung
  • Zugriffsberechtigungen
    • inkl. Funktionstrennungskonflikte

 

Inhalt und Umfang der auszuwertenden Daten:

In zap Audit wird immer ein einziger Buchungskreis und ein einzelnes Geschäftsjahr als Untersuchungsgegenstand festgelegt. Die Prüfung der Daten und Prozesse erfolgt über sogenannte Indikatoren ("Prüfungsfragestellungen"). Diese verfolgen dabei immer eines der folgenden Prüfungsziele:

  • Ordnungsmäßigkeit
  • Wirtschaftlichkeit
  • Prozessstandardisierung
  • Zugriffssicherheit.

Der Datenumfang bestimmt sich durch die Indikatoren und die dafür benötigten Daten. zap Audit arbeitet nach dem Prinzip der Datensparsamkeit und lädt ausschließlich die notwendigen Daten für die Prüfung des spezifizierten Buchungskreises und des definierten Geschäftsjahres aus dem SAP herunter und speichert diese in eine verschlüsselte Datenbank. Diese Datenbank befindet sich auf der von Ihnen definierten Hardware. Die Firma zapliance hat zu keiner Zeit Zugriff auf die Daten.

 

Sind personenbezogene und/oder -beziehbare Daten betroffen?

Nein - der Datenumfang sowie die zu pseudonymisierenden Daten sind in zap Audit vordefiniert ("Privacy by Design"). Sämtliche personenbezogene und/oder -beziehbare Daten werden standardmäßig pseudonymisiert. Der Auftraggeber ist verantwortlich, den Datenumfang inkl. der zur Pseudonymisierung markierten Datenfelder zu prüfen und im Vorfeld des Datenabzugs in zap Audit zu verifizieren. Die von zap Audit verwendete Datenbank enthält im vordefinierten Zustand zu keinem Zeitpunkt unverschlüsselte personenbezogene oder -beziehbare Daten.

 

Was ist Pseudonymisierung?

Ziel der Pseudonymisierung ist die vertrauliche Behandlung von z.B. personenbezogenen Daten durch Verschlüsselung. Über eine Konfigurationsdatei (XML-Datei) ist standardmäßig festgelegt, welche Felder verschlüsselt werden. Die Daten werden anhand eines öffentlichen Schlüssels verschlüsselt und können nur mittels des privaten Schlüssels theoretisch entschlüsselt werden. Eine Entschlüsselung ist in zap Audit technisch nicht möglich.

 

Wie erfolgt die Pseudonymisierung in zap Audit technisch?

Vor der Speicherung der SAP Daten in der zap Audit Datenbank pseudonymisiert die Software auf Basis des vom Auftraggeber generierten „öffentlichen Schlüssels“ des asymmetrischen Schlüsselpaars vollautomatisch alle Spalten, die in der Prüfungsvorbereitung als personenbezogen, personenbeziehbar oder vertraulich definiert sind.

Der „private Schlüssel“ ist nur dem Auftraggeber bekannt. Für die Erstellung eines Schlüsselpaares, bestehend aus dem privaten und öffentlichen Schlüssel kann z.B. die Software PGP4Win (Kleopatra) verwendet werden. Die Verantwortung der sicheren Verwahrung obliegt vollständig dem Auftraggeber. Nach der Erstellung besteht in zap Audit die Möglichkeit den öffentlichen Schlüssel für die Verschlüsselung / Pseudonymisierung hochzuladen.

Mit diesem Schlüssel werden alle Datenfelder gemäß Konfigurationsdatei verschlüsselt und erst dann auf dem Speichermedium abgelegt. Lediglich der Inhaber des zugehörigen privaten Schlüssels hat in diesem Fall Zugriff auf den Schlüssel. Die Entschlüsselung pseudonymisierter Daten ist in zap Audit technisch nicht möglich.

 

Können aus Ergebnissen in zap Audit Verhaltens- und/oder Leistungskontrollen erfolgen?

Eine Leistungskontrolle ist nicht das Ziel von zap Audit. Die Indikatoren haben ausschließlich die Prüfungsziele Ordnungsmäßigkeit, Wirtschaftlichkeit, Prozessstandardisierung und Zugriffssicherheit. Mit den Ergebnissen in zap Audit ist anhand der Indikatoren keine direkte Verhaltens- und/oder oder Leistungskontrolle möglich.

 

Gibt es eine Exportfunktion?

Die Ergebnisse in zap Audit können nach Excel exportiert werden. Pseudonymisierte Daten in zap Audit sind und bleiben auch im Export pseudonymisiert.

 

Gibt es in zap Audit ein Rollen- bzw. Berechtigungskonzept?

Ein Rollen-/Berechtigungskonzept ist in die Anwendung integriert.