In diesem Dokument werden die Funktionalitäten des Compliance-Managements erläutert. Mit dem Compliance-Management werden Ihnen Anwendungen zur Verfügung gestellt, mit denen Sie eine Einhaltung von Rechtsvorschriften oder andere Richtlinien dokumentieren und auswerten können. Insbesondere ist dabei die Verarbeitung von personenbezogenen Daten fokussiert. Die Anwendungen und deren Felder, Aktionen und Vorgehensweisen sind in separaten Dokumentationen beschrieben.
Der Schutz von Daten wird im ERP-System über die Berechtigungen gesteuert. Darüber hinaus können z. B. personenbezogene Daten mithilfe von Datenschutz-Kategorien kategorisiert werden.
Hinsichtlich des Schutzes der personenbezogenen Daten können Erklärungen von betroffenen Personen im ERP-System dokumentiert werden. Dabei werden Verarbeitungszwecke berücksichtigt.
Darüber hinaus kann die Aufbewahrung von Daten im Compliance-Management geregelt werden.
Nachfolgend erfahren Sie, welche Prozesse wie abgebildet werden können. Außerdem informieren wir Sie über die erforderlichen Einstellungen, damit Sie mit Datenschutz-Kategorien, Erklärungen und Aufbewahrungskategorien arbeiten können.
1 Begriffsbestimmung
Datenschutz-Kategorien
Datenschutz-Kategorien dienen der Eingruppierung schützenswerter Daten auf Ebene eines Business-Object-Attributs. Unterschieden wird zwischen den Kategorien „Sensibel“, „Persönlich“ und „Benutzerdefiniert“. Durch die Zuordnung eines Attributs zu einer Datenschutz-Kategorie wird es als schützenswert gekennzeichnet. Für eine Datenschutz-Kategorie werden Berechtigungen vergeben.
Erklärungen
Eine Erklärung fasst schriftlich den Willen einer Person zur Verarbeitung seiner personenbezogenen Daten zusammen. Erklärungen können sowohl Einwilligungen als auch Widerrufe sein.
Erklärungsgründe
Erklärungsgründe können eine abgegebene Einwilligung oder einen abgegebenen Widerruf umfassender dokumentieren.
Verarbeitungszwecke
Verarbeitungszwecke benennen den Zweck der Verarbeitung von personenbezogenen Daten im Rahmen des Datenschutzes. Für Verarbeitungszwecke er-klärt eine Person ein Verarbeitungsrecht: Für einen Verarbeitungszweck (z. B. „Newsletter“) erlaubt oder unterbindet eine Person die Verarbeitung seiner personenbezogenen Daten.
Aufbewahrungskategorien
Mit Aufbewahrungskategorien werden Regeln zur Aufbewahrung von Daten festgelegt. Die Aufbewahrungskategorien werden den aufzubewahrenden Daten zugeordnet, d. h. bestimmten Belegtypen wie z. B. den Ausgangsrechnungen oder bestimmten Belegarten.
2 Prozesse
Im Folgenden erhalten Sie einen Überblick über die Prozesse im Framework „Compliance-Management“ sowie die beteiligten Anwendungen und Business Entitys.
2.1 Zugriff auf schützenswerte Daten
Datenschutz-Kategorien dienen der Einordnung schützenswerter Daten auf der Ebene eines Business-Object-Attributs. Unterschieden wird zwischen den Kategorien „Sensibel“, „Persönlich“ und „Benutzerdefiniert“. In der Anwendung „Datenschutz-Kategorien“ werden die benutzerdefinierten Kategorien erfasst. In der Anwendung „Datenschutz-Kategorie-Zuordnungen“ wird ein Attribut eines Business Objects einer Kategorie zugeordnet.
Durch die Zuordnung eines Attributs zu einer Datenschutz-Kategorie wird dieses Attribut grundsätzlich als schützenswert gekennzeichnet. Für solche Attribute hat ein Benutzer zunächst keinerlei Berechtigung. Das bedeutet u. a., dass das zugehörige Feld dem Benutzer nicht angezeigt wird. Jegliche Berechtigung muss erst vergeben werden. Dazu wird in einer Berechtigungsrolle für eine Datenschutz-Kategorie eine Fähigkeit (z. B. Öffnen) oder eine Fähigkeitsklasse erlaubt oder unterbunden.
Hinweis:
Die Berechtigungen zu den Datenschutz-Kategorien wirken sich nur aus auf die Suche und Anzeige von Daten in Abfrage-Anwendungen, Cockpit-Anwendungen, den Import und Export über die Anwendungen „Daten importieren“ und „Daten exportieren“ sowie die Datenausgabe über Hintergrund-Anwendungen.
Die Berechtigungen zu den Datenschutz-Kategorien wirken sich nicht aus auf Anwendungen zur Erfassung von Stammdaten, auf Beleg-Anwendungen sowie den Export von Daten aus Cockpit-Anwendungen.
Weitere Informationen finden Sie in den Dokumentationen, „Datenschutz-Kategorien“, „Datenschutz-Kategorien-Zuordnungen“ und „Berechtigungsrollen“.
Hinweis:
Die Anwendungen zur Bearbeitung und Zuordnung von Datenschutz-Kategorien finden Sie im Framework „System-Management“.
2.2 Erklärungen zur Verarbeitung personenbezogener Daten
Mit einer Erklärung teilt eine Person mit, zu welchem Zweck ihre personenbezogenen Daten verarbeitet werden dürfen. Einer Erklärung werden dazu verschiedene Verarbeitungszwecke zugeordnet, für die eine Person erklärt, ob die Verarbeitung ihrer Daten zu diesem Zweck erlaubt oder unterbunden ist.
Eine Erklärung kann sowohl eine Einwilligung, ein Widerruf oder aber auch ein Wunsch auf z. B. Auskunft über die Verarbeitung von personenbezogenen Daten sein. Auch für die Auskunft selbst werden personenbezogene Daten verarbeitet, indem sie abgefragt, ausgegeben und an die betroffene Person weitergeleitet werden.
Jederzeit kann eine Person die einmal durch sie erlaubte zweckbezogene Verarbeitung ihrer personenbezogenen Daten widerrufen. Dazu wird mit der Aktion „Widerrufen“ eine neue Erklärung erzeugt. Mit dieser neuen Erklärung erklärt eine Person z. B. für eine einst erlaubte Datenverarbeitung für einen bestimmten Verarbeitungszweck, dass diese nunmehr unterbunden ist. Diese Erklärung für einen Verarbeitungszweck kann bezogen sein auf alle vorhandenen personenbezogenen Daten oder auch eingeschränkt werden durch einen Bezug auf Adresse, E-Mail oder Telefon. Dabei kann explizit eine Adresse, E-Mail-Adresse oder Telefonnummer angegeben werden, für die das Verarbeitungsrecht erklärt wird.
Weitere Informationen zu Erklärungen finden Sie in der Dokumentation „Erklärungen“.
Mithilfe der Anwendung „Cockpit: Erklärungen“ verschaffen Sie sich einen Überblick über vorhandene Erklärungen. Auch das Freigeben in Bearbeitung befindlicher Erklärungen ist in dieser Anwendung möglich. Weitere Informationen finden Sie in der Dokumentation „Cockpit: Erklärungen“.
Freigabe
Eine Person kann laufend neue Erklärungen abgeben. Jede neue Erklärung regelt das bestehende Verarbeitungsrecht neu. Ausschlaggebend für die Berücksichtigung im ERP-System ist der Freigabezeitpunkt der Erklärung. Auch ein Widerruf gilt nicht rückwirkend, da die Verarbeitung der Daten nicht rückwirkend ungeschehen gemacht werden kann, sondern gilt immer ab dem Zeitpunkt, ab dem die neue Erklärung, die den Widerruf enthält, freigegeben wurde.
Hinweis:
Wir empfehlen, durch organisatorische Maßnahmen oder mithilfe der Funktionen des Workflow-Managements sicherzustellen, dass Erklärungen zeitnah freigegeben werden.
Freigegebene Erklärungen sind durch den allgemeinen Status „Freigegeben“ gekennzeichnet. Neben dem allgemeinen Status verfügen Erklärungen über einen Signaturstatus und einen Bestätigungsstatus.
Signatur und Bestätigung
Wenn eine Signatur erforderlich ist, dann kann eine Erklärung erst nach erfolgter Signatur freigegeben werden. Die Signatur wird durch den Signierzeitpunkt und optional das Signaturbild dokumentiert. Wird die Erklärung von der betreffenden Person signiert, z. B. durch Unterschrift auf einem mobilen Endgerät eines angebundenen Kassensystems, dann können die Signaturdaten per Import zu der Erklärung hinzugefügt werden. Alternativ steht in der Anwendung „Erklärungen“ eine Aktion zur Verfügung, mit welcher die Signaturdaten manuell hinzugefügt werden können.
Ist eine Bestätigung erforderlich, dann kann eine Erklärung erst nach erfolgter Bestätigung freigegeben werden. Die Bestätigung wird durch den Bestätigungszeitpunkt und optional durch freien Text in Form des Bestätigungshinweises dokumentiert. Wird die Erklärung von der betreffenden Person bestätigt, z. B. über einen Link in einer E-Mail, dann können die Bestätigungsdaten per Import zu der Erklärung hinzugefügt werden. Alternativ steht in der Anwendung „Erklärungen“ eine Aktion zur Verfügung, mit welcher die Bestätigungsdaten manuell hinzugefügt werden können.
Verarbeitungszwecke
Mithilfe der Anwendung „Verarbeitungszwecke“ erfassen oder bearbeiten Sie Verarbeitungszwecke, die Sie den Erklärungen zur Verarbeitung personenbezogener Daten zuordnen können.
Verarbeitungszwecke benennen den Zweck der Verarbeitung von personenbezogenen Daten im Rahmen des Datenschutzes. Für Verarbeitungszwecke erklärt eine Person ein Verarbeitungsrecht: Für einen Verarbeitungszweck (z. B. „Newsletter“) erlaubt oder unterbindet eine Person die Verarbeitung seiner personenbezogenen Daten in der Erklärung.
Ein Verarbeitungszweck kann eingeschränkt werden auf bestimmte Daten. Im Verarbeitungszweck kann ausgewählt werden, ob eine Einschränkung auf eine bestimmte Adresse, E-Mail-Adresse oder Telefonnummer in der Erklärung möglich sein soll. Diese Einschränkungsmöglichkeiten sind unter anderem für die Einwilligung der Verarbeitung von personenbezogenen Daten im Marketing-Bereich gedacht. Beispielsweise kann die Zustimmung für einen Newsletter nur für eine bestimmte E-Mail-Adresse gegeben werden. Ebenso können Telemarketing-Aktivitäten für eine bestimmte oder alle Telefonnummern unterbunden werden.
Die Erklärung zu den AGBs hingegen wird eher ohne diese Einschränkungen benötigt. Hierfür kann ein Verarbeitungszweck ohne jegliche Einschränkung erfasst werden.
Soll eine Beschreibung der Verarbeitung personenbezogener Daten im ERP-System zur Information der Benutzer hinterlegt werden, ist dies in einem Textfeld möglich. Befindet sich diese Beschreibung in einem Dokument, das vom Dokumenten-Management im Knowledge Store des Systems gespeichert wurde, dann bietet die Anwendung „Verarbeitungszwecke“ eine Verknüpfung an. Diese freien Texte können bei Bedarf in einem individuell zu erstellenden Bericht oder Dokument ausgegeben werden. Somit kann ein Benutzer diese Texte für die Auskunft an Aufsichtsbehörden oder an betroffene Personen nutzen.
Abfrage der gültigen Verarbeitungszwecke
Um feststellen zu können, zu welchem Zeitpunkt ein Verarbeitungszweck erlaubt oder unterbunden war, steht Ihnen die Anwendung „Verarbeitungszweck-Zuordnungen abfragen“ zur Verfügung. Damit klären Sie z. B. die Fragen „Welches Verarbeitungsrecht wurde zum Abfragezeitpunkt durch eine Person erklärt?“ oder „Welche Personen haben zum Abfragezeitpunkt die Verarbeitung für einen bestimmten Verarbeitungszweck (z. B. Newsletter per E-Mail) erlaubt?“.
Weitere Informationen finden Sie in der Dokumentation „Verarbeitungszweck-Zuordnungen abfragen“.
Import
Werden Erklärungen nicht direkt im ERP-System, sondern in einem Fremdsystem erfasst, beispielsweise in einem angebundenen Kassensystem Comarch POS, dann können sie mithilfe der Anwendung „Daten importieren“ in Comarch ERP Enterprise importiert werden.
Für den Fall, dass Erklärungen signiert werden, kann neben dem Signierzeitpunkt beim Import von Erklärungen auch das im Kassensystem hinterlegte Bild der Unterschrift importiert werden. Für Erklärungen, die bestätigt werden müssen, kann der Bestätigungszeitpunkt und der Bestätigungshinweis importiert werden.
2.3 Aufbewahrung von Daten
Für die Aufbewahrung Ihrer Daten können Sie Aufbewahrungskategorien mit Aufbewahrungsregeln bestimmen. Zu den Aufbewahrungskategorien können Belegtypen oder bei Bedarf auch Belegarten zugeordnet werden. Anhand der Kategorie wird die Aufbewahrungsfrist ermittelt und das Datum berechnet, bis zu dem die zugeordneten Belege aufbewahrt werden müssen. So kann beispielweise die Aufbewahrungspflicht für Ausgangsrechnungen erfüllt werden.
Weitere Informationen finden Sie in den Dokumentationen „Aufbewahrungskategorien“ und „Aufbewahrungskategorien-Zuordnungen/Belegtypen“.
3 Einstellungen
3.1 Customizing
In der Anwendung „Customizing“ ist für das Compliance-Management eine separate Funktion verfügbar. Darin können Sie Vorschlagswerte für Erklärungen hinterlegen, unter anderem den Nummernkreis. Weitere Informationen finden Sie in der Dokumentation „Customizing: Compliance-Management“.
3.2 Klassifikationen
In der Anwendung „Klassifikationen“ erfassen und bearbeiten Sie Erklärungsklassifikationen, mit denen Sie Einstellungen für die Signatur und Bestätigung von Erklärungen festlegen können. Weitere Informationen finden Sie in der Dokumentation „Klassifikationen“.