Tim Wybitul

Volker Lehnert/Iwona Luther/Björn Christoph/Carsten Pluder, Datenschutz mit SAP


Volker Lehnert/Iwona Luther/Björn Christoph/Carsten Pluder, Datenschutz mit SAP, Bonn (Rheinwerk) 2017, ISBN 978-3-8362-5989-7, € 89,90

ZD-Aktuell 2018, 04278   Das vorliegende Buch befasst sich mit den Datenschutz in der Praxis. Es geht also im Kern nicht um die Darstellung des Datenschutzrechts, sondern um seine Umsetzung beim Betrieb von SAP-Anwendungen. Die Autoren sind keine Juristen, sondern bei der SAP tätige Praktiker. Das Buch soll auch kein Beitrag zu juristischen Debatten sein. Vielmehr setzt es sich mit der DS-GVO i.R.d. Systemlandschaft eines Unternehmens auseinander. Die Autoren geben dabei Empfehlungen, wie Unternehmen die Anforderungen der DS-GVO in der Praxis strukturieren und umsetzen können. Die Autoren beschreiben dies am Beispiel der SAP Business Suite und von SAP S/4HANA. Allerdings lässt sich das in dem Buch skizzierte Projekt im Vorgehen sowie in der Ableitung entsprechender technischer Anforderungen nach der DS-GVO auch auf die Anwendungen anderer Anbieter übertragen. Das erste Kapitel befasst sich mit den für die technische Umsetzung erheblichen rechtlichen Anforderungen der DS-GVO. Es beschreibt beispielhaft, welche Anforderungen zwingend technisch zu lösen sind und bei welchen Anforderungen die Technik sinnvoll unterstützen kann. Im zweiten Kapitel beschreiben die Autoren Beispiele für die Verarbeitung personenbezogener Daten und an welchen Stellen diese in Systemlandschaften zu finden sind. Hierbei wird auch der Zusammenhang zwischen Stamm- und Bewegungsdaten gut verständlich dargestellt. Das Buch befasst sich umfassend mit Themen, die Projektteams bei der Umsetzung der DS-GVO in der Praxis regelmäßig vor erhebliche Probleme stellen. Die Autoren weisen sehr zu Recht darauf hin, dass der Zweck während des gesamten Information Life Cycle Management im Mittelpunkt der Überlegungen zum Datenschutz steht und u.a. über die Zulässigkeit der Verarbeitung personenbezogener Daten entscheidet. Lesenswert ist insb. auch der Teil des Buchs zum Löschen personenbezogener Daten. Er zeigt beispielhaft, mit welchem Mittel man in der Praxis die komplexen Anforderungen von Art. 17 DS-GVO umsetzen kann. Auch hier orientieren sich die Autoren vorbildlich an der nach Art. 5 Abs. 1 lit. b DS-GVO entscheidenden Zweckbindung. Zudem wird das Spannungsverhältnis zwischen Mindestspeicherfristen (wie etwa nach der AO oder dem HGB) und datenschutzrechtlichen Löschpflichten plastisch und gut nachvollziehbar dargestellt.

 

Zwar sind naturgemäß Teile des Buchs recht techniklastig und damit nicht für alle Juristen ohne weiteres leicht verständlich. Aber die Grundzüge und wesentlichen Überlegungen der Autoren erschließen sich durchaus auch dem IT-Laien. Der große Mehrwert des Buchs ergibt sich vor allem aus seiner Praxisbezogenheit und den konkreten Vorschlägen für die Umsetzung wesentlicher Anforderungen der DS-GVO im Rahmen komplexer Systemlandschaften. Gerade für Juristen sind dabei die vielen konkreten Anregungen zur Erfüllung der maßgeblichen Vorgaben des neuen Datenschutzrechts ausgesprochen wertvoll. Insofern bietet das Buch nicht nur konkrete Handlungsempfehlungen, sondern kann vor allem auch das Verständnis dafür schärfen, wie man die Umsetzung der DS-GVO in der Praxis angehen kann. Insofern ist das Buch nicht nur für SAP-Spezialisten eine wertvolle Arbeitshilfe. Auch Betriebsräte, Arbeitgeber und Rechtsanwälte finden hier viele praxisgerechte Möglichkeiten für Mechanismen zur Umsetzung komplexer Systemlandschaften in der betrieblichen Praxis. Insofern lassen sich viele Ansätze auch auf entsprechende Betriebsvereinbarungen zur Umsetzung der Anforderungen der DS-GVO übertragen.

Tim Wybitul ist Rechtsanwalt, Fachanwalt für Arbeitsrecht und Partner im Frankfurter Büro von Hogan Lovells sowie Mitherausgeber der ZD.