1

Datenschutz in der Praxis

für

Referenten: Dipl.-Verw. Wiss. Daniel VoigtländerDipl.-Wi. Ing. Thomas Schmischke

22.07.2010

2

Inhalt

1. Einführung: Gesetzliche Forderungen zum Thema Datenschutz und Informationssicherheit

2. Umsetzung der gesetzlichen Forderungen mit Praxisbeispielen

3. Das Datenschutzprojekt - Kosten Nutzen Betrachtungen (mit Beispielen aus der Praxis)

4. Technisch-organisatorische Aspekte des Datenschutzes

5. Datenschutz und Informationssicherheit in ERP-Umgebungen (am Beispiel SAP)

3

Teil 1

Einführung:

Gesetzliche Forderungen zum Thema Datenschutz und Informationssicherheit

4

Begriffe

Datenschutz

IT-Sicherheit

Informationsschutz

IT-Compliance

InformationssicherheitDatensicherheit

Datenqualität

5

Begriffe

Datenschutz64 Mio

IT-Sicherheit

6,3 Mio

Informationsschutz26.000

IT-Compliance276.000

Informationssicherheit161.000

Datensicherheit

1,8 Mio

Datenqualität242.000

6

Informationssicherheit(nach DIN und Wikipedia)

• Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen

• Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von Schäden und der Minimierung von Risiken.

• In der Praxis orientiert sich die Informationssicherheit heute unter anderem an der ISO/IEC Standard-Reihe 2700x aber auch zunehmend an ISO/IEC 15408 bzw. Gemeinsame Kriterien zur Evaluierung von IT-Sicherheit (bzw. Common Criteria).

• Der deutsche Anteil an dieser Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.

• Ein DV-System ist entweder sicher oder nicht sicher. Sicher heißt, dass auf bekannten Wegen kein Angriff möglich ist.

7

Abgrenzung Datenschutz zu Datensicherheit

Datenschutz Datensicherheit

Schutznatürlicher Personen

vor

Verletzung des Rechtsauf informationelleSelbstbestimmung

§ 9 BDSGundAnlage

Schutz von Daten jeder Art sowie von Hard- und

Software

vor

Verlust, Zerstörung,Missbrauch durch

Unbefugte

8

Abgrenzung Datenschutz zu IT-Sicherheit

IT-Sicherheit in Ihrem eigenen Interesse• Das Unternehmen für sich selbst• Der Mitarbeiter für sich selbst

Datenschutz im Interesse der Betroffenen• Das Unternehmen für die Mitarbeiter

Aber:Ohne IT-Sicherheit kein Datenschutz!

9

„morphologischer Sicherheitskasten“

Wer wird geschützt

Wer wird bestraft

Wer bezahlt

Ökono-mischesRisiko

Zeitlicher Handlungsdruck

Daten-schutz

Personen-bez. Daten

direkt: verantwortl.

Stelleindirekt:

Betroffener

verant-wortliche

Stelle

mittel hoch

Info.-schutz

Unter-nehmensdat

enUnter-

führung

verant-wortliche

Stelle

hoch hoch

IT-Com-pliance

gesetzl. und interne

Regelungen

abh. von verletzten

Regelungen

verant-wortliche

Stelle

niedrig-hoch mittel

10

Das BDSG ist die gesetzliche Grundlage und regelt den Umgang mit personenbezogenen Daten im Gebiet der Bundesrepublik Deutschland.

Zweck des Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personen-bezogenen Daten durch Dritte in seinem Persönlichkeitsrecht beeinträchtigt wird.

Das Bundesdatenschutzgesetz (BDSG)

11

a) Öffentliche Stellen (hier nicht weiter betrachtet)b) Nicht-öffentliche Stellen, wie Unternehmen (juristische

Personen aller Rechtsformen), Vereine, Verbände.

Konkret gilt:1) Jede Firma, egal welcher Größe, muß sich an das BDSG halten.2) Jede Firma mit mehr als 9 MA, die sich mit der automatisierten

Verarbeitung personenbezogener Daten beschäftigen, muß einen DSB bestellen.

Wen betrifft das Gesetz?

12

sind Einzelangaben über persönliche und sachliche Verhältnisse einerbestimmten oder einer bestimmbaren Person.Personenbezogen • sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten

oder bestimmbaren natürlichen Person, gleichgültig, ob Mitarbeiter, Kollege oder Kunde bzw. Lieferant oder deren Ansprechpartner (Betroffener).

• sind alle Angaben, die zu einer identifizierbaren Person gehören, z.B. Adresse, Telefonnummer, Geburtsdatum, Familienstand, Staatsangehörigkeit, Konfession, Beruf, Foto, Arbeitgeber, Gehalt, Einkommen, Vermögen, Besitz, Urlaubsplanung, Arbeitsverhalten, Arbeitsergebnisse, Zeugnisnoten, Beurteilungen, Krankheiten, Vorstrafen, Steuern, Versicherungen, Vertragskonditionen.

• können auch Daten ohne direkten Personenbezug (z.B. ohne Namensangabe) sein, wenn aus ihnen auf die zugehörigen Personen Bezug genommen werden kann (z.B. Personalnummer, PC-Benutzerkennung, maschinenbezogene Nutzungszeiten bei nur einem infrage kommenden Benutzer).

Personenbezogene Daten

13

Diese Daten gehören nicht dazu

• Technologiedaten

• Betriebswirtschaftliche Daten

• Strategische Daten

• Qualitätsdaten

Personenbezogene Daten

14

Stufe A: Frei zugängliche Daten, in die Einsicht gewährt wird, ohne dass der Einsichtnehmende ein berechtigtes Interesse geltend machen muss, z.B. Adressbücher, Mitgliederverzeichnisse, Benutzerkataloge in Bibliotheken.

Stufe B: Personenbezogene Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist, z.B. beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen.

Stufe C: Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann („Ansehen“), z.B. Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten.

Stufe D: Personenbezogene Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann („Existenz“), z.B. Unterbringung in Anstalten, Straffälligkeit, Ordnungswidrigkeiten schwerwiegender Art, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen, Konkurse.

Stufe E: Daten, deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann, z.B. Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können. (Identität eines verdeckten Ermittlers)

Schutzstufen personenbezogener DatenQuelle: Landesdatenschutzbeauftragter Niedersachsen

15

Teil 2

Umsetzung der gesetzlichen Forderungen

Im Kern geht es um „techn.-organisatorischen“Datenschutz gem. §9 BDSG (Anlage)

1. Zutrittskontrolle2. Zugangskontrolle3. Zugriffskontrolle4. Weitergabekontrolle5. Eingabekontrolle6. Auftragskontrolle7. Verfügbarkeitskontrolle8. Trennungsgebot (getrennte Verarbeitung /

Zweckbindung)

Technisch-organisatorischer Datenschutz

Fabrikplan mit Gebäuden

Werk

Halle Büro

BüroBüro

RZ

1

2

Zutrittskontrolle

Zugangskontrolle

Beispiel für Zutrittskontrolle

Aussenbereich bei Tag:

Beispiel für Zutrittskontrolle

Aussenbereich bei Nacht:

Beispiel für Zugangskontrolle

Beispiel für Zugangskontrolle (per Authentifizierung über Token)

Remote-Zugang per VPN

1. Sicherheitszertifikat installieren

2. Login mit Token-Code

Technisch-organisatorischer Datenschutz

Keine Berechtigung!!!

3 Zugriffskontrolle

Weitergabekontrolle4

Eingabekontrolle

5

- -- -

- -- -

- -- Mittelstands

RZAG

6Auftragskontrolle

Beispiel für Zugriffskontrolle in SAP

Benutzer-Stammsatz

Rolle

Berechtigungs-objekt

Berechtigungs-felder

Mängel bei Weitergabe- und Auftragskontrolle

Technisch-organisatorischer Datenschutz

Datentrennung (Trennungsgebot, Zweckbindung)Gewähr dafür, dass zu unterschiedlichen Zwecken erhobene Daten (technisch) getrennt verarbeitet werden (Beispiel bei SAP-Applikationen: Trennung in Test-, Schulungs- und Produktivsystem; Mandantenkonzept)

7 Verfügbarkeitskontrolle:

gewährleistet, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind Beispiel: Datensicherung (ggf. doppelt an getrennten Orten)

8

26

Teil 3

Kosten- / Nutzen-Betrachtungeneines Datenschutzprojektes

(mit Beispielen aus der Praxis)

27

Datenschutz-Projekt

Ökonomischer Ansatz:

Projekt zur Einführung eines Datenschutz-Managements …… zur Umsetzung des BDSG wg. gesetzlichem Zwang seit 1990

-> Focus personenbezogene Daten

… und dabei „Mitnahme“ von Aktivitäten zum Informationsschutz

-> Focus Unternehmensdaten

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -1

Phasenmodell Einführung Datenschutzmanagement

2 3

Phase 1:Datenschutz-

Bestandsaufnahme („Inventur“)

Phase 2: Umsetzung des

Bundesdatenschutzgesetzes (+ Aktivitäten zur Verbesserung

des Informationsschutzes)

Phase 3: Laufender Betrieb

29

Phase 1: Datenschutz-Bestandsaufnahme (Inventur)

• Datenschutzaudit (Prüfung Status des technisch organisatorischen Datenschutzes)

• Aufnahme der Organisation (Wie ist das Unternehmen aufgestellt, Verantwortlichkeiten, Organigramm)

• Aufnahme der Sicherheitskonzepte, falls vorhanden (Virenschutz, Berechtigung Datensicherung…)

• Aufnahme der Infrastruktur• Aufnahme der installierten Software• Erstellung Maßnahmenkatalog

30

Phase 2: Umsetzung des Bundesdatenschutzgesetzes

• Erarbeitung der Verfahrensverzeichnisse (Einbeziehung der Abteilungen die personenbezogene Daten verarbeiten)

• Umsetzung des festgestellten HandIungsbedarfes -> Maßnahmen

• Schulung der Mitarbeiter, die Umgang mit personenbezogenen Daten haben

• Verpflichtung der Mitarbeiter zur Einhaltung des Datenschutzes

• Bestellung Datenschutzbeauftragter

31

Beispiel: Ansätze Maßnahmenkatalog

• Letter Shop Dienstleister führen Auftragsdatenverarbeitung durch, aber kein Vertrag zur Auftragsdatenverarbeitung vorhanden

• Paßwörter müssen nicht regelmäßig geändert werden

• Kein Rauchmelder im Rechenzentrum

• Daten werden auf USB-Stick gespeichert. Bei Verlassen des Arbeitsplatzes verbleibt der Stick in PC

• Kein Notfallkonzept für den Rechenzentrumsbetrieb

• Wartungspersonal noch nicht auf das Datengeheimnis verpflichtet

32

Phase 3: Laufender Betrieb

• Führen und Pflegen von Verfahrensverzeichnissen• Prüfung der datenschutzrechtlichen Relevanz bei neu einzuführenden IT-

Systemen (Vorabkontrolle)• Überwachung der ordnungsgemäßen Anwendung von DV-Programme• Durchführung von Schulungen von neuen Mitarbeitern• Beratung der Fachbereiche und Mitarbeiter in datenschutzrelevanten Fragen • Pflege der in der Einführungsphase erstellten Dokumentation und installierten

Werkzeugen• Benachrichtigung und Auskunft an Betroffene• Überwachung des Prozesses der Berichtigung, Löschung und Sperrung von

Daten • Mitwirkung an Projekten mit datenschutzrechtlichen Auswirkungen• Unterstützung im Kontakt nach Außen: Kommunikation mit der Aufsichtsbehörde• Unterstützung bei Kontrollbesuchen, Datenschutzgespräche mit Betroffenen• Durchführung regelmäßiger Datenschutzbegehungen • Erstellung des jährlichen Datenschutzberichtes

33

Beispiel: Einladung Mitarbeiterschulung

Namen aus Datenschutzgründen ausgeblendet

Namen aus Datenschutzgründen ausgeblendet

Namen aus Datenschutzgründen ausgeblendet

Namen aus Datenschutzgründen ausgeblendet

34

Kosten-/Nutzen-Relation Datenschutz

• Automatisiertes Verfahren nicht gemeldet und kein DSB bestellt• Datenschutzbeauftragter nicht oder zu spät bestellt

-> Bußgeldniveau 50.000.-€ je Einzelfall!

• Unbefugte Verarbeitung personenbezogener Daten (Schutzstufe C oder höher)

• Unbefugte Beschaffung personenbezogener Daten, die nicht allgemein zugänglich sind

• Datenpannen nicht, nicht richtig, -rechtzeitig oder –vollständig veröffentlicht

-> Bußgeldniveau 300.000.-€ je Einzelfall

35

Qualitative Nutzenfaktoren

Ein guter Datenschutz-Standard erzeugt bzw. unterstützt

• Mitarbeiterzufriedenheit / Sicherheitsgefühl• Gutes Unternehmens-Image • Macht Datenpannen sehr unwahrscheinlich• Besseren Status IT-Compliance• Bessere Prozesssicherheit• Gute Vorbereitung auf DIN ISO/IEC 27001

36

Praxisbeispiele für den externen Aufwand bei Einführung und laufendem Betrieb

Bestands-aufnahme

Umsetzung BDSG

Laufender Betrieb

Aufwand / Jahr

Mittelständischer Industriebetrieb (100 MA)

3 PT 3 PT 2-3 PT

Mittelständischer Konzern mit mehreren Gesellschaften (In-und Ausland, 2000 MA)

10 PT 10 PT 8 PT

Gemeinnütziger Verein Behindertenhilfe (450 MA)

6 PT 5 PT 4 PT

37

Teil 4

Technisch-organisatorische Aspekte des Datenschutzes

Praktizierter Datenschutz im Büroalltag

Schützen Sie die Daten auf Ihrem PC bzw. Server-Laufwerk• Nur sichere Passwörter auswählen

Quelle: Imperva

39

Praktizierter Datenschutz im Büroalltag

Beispiel gutes Passwort• Grundsatz: Nicht das Passwort merken, sondern die

Methode, wie es gebildet wird!• Akronym-Methode

– Bildung eines Passwortsatzes– Verwendung der Anfangs- oder auch der Endbuchstaben der

einzelnen Wörter als Passwort– Zusätzlich mindestens zwei Ziffern oder Sonderzeichen

einfügen

Passortsatz: Maus & Elefant gehen zusammen 1 Pizza essenPasswort: M&Egz1Pe

40

Praktizierter Datenschutz im Büroalltag

Schützen Sie die Daten auf Ihrem PC bzw. Server-Laufwerk• Passwörter regelmäßig wechseln• Bildschirme und PCs bei Abwesenheit vom Arbeitsplatz

sperren (auch bei nur kurzzeitiger Abwesenheit, sofern kein Blickkontakt besteht)

• unerlaubte Einsichtnahme auf PC-Bildschirme vermeiden• Problembereich USB-Anschlüsse und Laufwerke• Laptops sorgfältig sichern, anbinden

z.B. Kensington-Schloss

41

Zugriffskontrolle in SAP- Regeln für Passwortvergabe -

42

Weitere Felder für praktizierten Datenschutz

• Fax bzw. E-Mail ist nicht automatisch vertraulich

• „Plaudertasche“ Mobiltelefon

• Büro und Schreibtisch

• Der Papierkorb ist das gefährlichste Möbelstück!

• Microsoft-Office-Dokumente verraten mehr, als Sie

glauben!

43

Neben allen Sach-Investitionen muß auch die Aufklärung der Mitarbeiter Raum bekommen. Informationssicherheits-Risiken werden u.a. vermieden durch

• Keine vertraulichen Gespräche im Zug führen• Geschäftspapiere zu Hause/auf Reisen nicht herumliegen lassen

(z.B. beim Gang zur Toilette) • Laptop/Handy stets mit Zugangsschutz• Etc.

Ziel: Mitarbeiter müssen Ihr Verhalten hinterfragen!

Technisch-organisatorische Aspekte des Datenschutzes außerhalb Büro

44

Faustregel:

Sorgen Sie für eine Behandlung von personenbezogenen Daten in der selben Weise wie Sie auch Ihre persönlichen Daten behandelt wissen möchten

Technisch-organisatorische Aspekte des Datenschutzes

45

Teil 5

Datenschutz und Informationssicherheit in ERP-Umgebungen (am Beispiel SAP)

Zugriffskontrolle in SAP am Beispiel der„SAP Business Suite 7“

• Grundkonzept: Rollenbasiertes Identity Management • komplexes System aus vielen Einzelberechtigungen, die wiederum

Einheiten bilden und somit sowohl eine schnelle Einrichtung, als auch eine feine Abstimmung erlauben

• Benutzern werden auf der Grundlage der von ihnen durchzuführenden Aufgabe (Rolle) Berechtigungen zugewiesen.

• Werkzeuge• Benutzerpflege (Transaktion SU01)• Rollen- und Berechtigungspflege (Transaktion PFCG)

46

47

Zugriffskontrolle in SAP

Vorteil: Prinzipiell kann Datenzugriff unterschieden werden nach lesen/schreiben/ändern/löschen und sehr fein, z.T auf Feld-Ebene, festgelegt werden.

Nachteil: sehr aufwendig zu konzipieren, einzurichten und zu pflegen; Probleme im Vertretungsfall; Probleme, falls Berechtigungen nicht gut an Geschäftsvorgänge angepasst oder sich diese schnell ändern

Lösung: „Rollen“ - Schaffung von festgelegten Kombinationen aus (dutzenden) Einzelberechtigungen z.B. für den „typischen“ Einkäufer, Vertriebsinnendienstler oder QM-Manager

! Jedes Unternehmen muß seinen Detaillierungslevel selbst bewußt erarbeiten, umsetzen und aktuell halten

Zugriffskontrolle in SAP: Berechtigungsfeld

Benutzer-Stammsatz

Rolle

Berechtigungs-objekt

Berechtigungs-felder

48

49

Zugriffskontrolle in SAP: Berechtigungsfeld

• Berechtigung: Ermächtigung zum Durchführen einer bestimmten Aktion im SAP-System auf Grundlage eines Satzes von Werten für die einzelnen Felder eines Berechtigungsobjekts.

Berechtigungsfeld

Zugriffskontrolle in SAP: Berechtigungsobjekt

Benutzer-Stammsatz

Rolle

Berechtigungs-objekt

Berechtigungs-felder

50

51

Zugriffskontrolle in SAP: Berechtigungsobjekt

• ...besteht aus:• Bezeichnung• Feldern (max. 10) mit möglichen Werten (= Aktionen)

Berechtigungsobjekt

52

Zugriffskontrolle in SAP: Berechtigungsobjekt

• Beispiel

Inhalt des Berechtigungsobjekts

Erklärung der Berechtigungswerte

Zugriffskontrolle in SAP: Rolle

Benutzer-Stammsatz

Rolle

Berechtigungs-objekt

Berechtigungs-felder

53

54

Zugriffskontrolle in SAP: Rolle

• Berechtigungen werden für Benutzer in Form von Berechtigungsprofilen (Rollen) im Benutzerstammsatz zugeordnet

• Die ausgewählten Funktionen entsprechen dem Tätigkeitsfeld eines Anwenders bzw. einer Gruppe von Anwendern

• Mit dem SAP-Standard wird eine große Zahl von Rollen ausgeliefert

Beispiel:Rolle in Modul SD (Vertrieb)

Zugriffskontrolle in SAP: Benutzer-Stammsatz

Benutzer-Stammsatz

Rolle

Berechtigungs-objekt

Berechtigungs-felder

55

56

Zugriffskontrolle in SAP: Benutzer-Stammsatz

• Zuordnung der Rolle im Benutzer-Stammsatz

57

Zusammenfassung Berechtigungskonzept

Nach Verarbeitung: lesen/schreiben/ändern/löschenNach Organsisationseinheit: Nur Holding und Tochter A, nicht

Tochter B; Nur Vertriebssparte A, nicht B, etc.

Nach Datenobjekt: nur Transaktion A, B, C und Report A, BInnerhalb Datenobjekt: Transaktion „Bestellung anzeigen“, aber

nicht das Datenfeld „Preis“Nach Kontierung: Nur Daten für Kostenstelle 120, Auftrag

„Stihl“ oder Projekt „7B“Temporär: Nur für den Zeitraum 1. Jun – 31. Okt

2010

Und fast alle Kombinationen daraus.

58

Weitere Elemente der Zugriffskontrolle in SAP

Neben den beschriebenen Möglichkeiten im SAP-SystemBerechtigungen einzurichten, wird der Schutz von personenbe-zogenen Daten durch weitere Maßnahmen gewährleistet

• Sichere Kommunikation im Netzwerk (SNC, Secure Network Communication)

• Sichere Datenformate (SSF, Secure Store and Forward) • System-Kennwörter • Eigenständige Berechtigung für Datenbankzugriffe • Bei SAP AG zu beantragende Entwicklerkennung für neue

Datenauswertungen• Transportsystem zwischen Mandanten

59

Zugriffskontrolle in SAP: Es gibt einen Leitfaden

„Leitfaden Datenschutz SAP ERP 6.0“(Herausgeber: DSAG, letzte Aktualisierung vom 20.09.2009)

• ... beschreibt die Aufgaben des Datenschutzbeauftragten (DSB) im Zusammenhang mit Einführung und Betrieb von SAP ERP• Begleitung der SAP-Einführung (DSB als Teil des Projektteams)• Anwenderschulung / Belehrung• Standardrollen (z.B. Rolle SAP_AUDITOR_DS)

• ... und bietet Überblick und Hinweise zu• rechtlichen Grundlagen (BDSG)• Risiken, zu ergreifenden Maßnahmen und Auditierung• relevanten SAP-Tabellen• Datenaustausch intern / extern

60

Vereine / VerbändeDeutsche Vereinigung für Datenschutz e.V: http://www.datenschutzverein.de/Gesellschaft für Datenschutz und Datensicherung e.V.: http://www.gdd.de/Berufsverband der Datenschutzbeauftragten Deutschlands - http://www.bvdnet.deÖsterreichische Gesellschaft für Datenschutz - http://www.argedaten.atZeitschriftenDuD - Datenschutz und Datensicherheit - http://www.dud.deDatenschutz Berater - http://www.vhb.de/datenschutz-beraterKES - http://www.kes.info/Verlage:Secumedia Verlag: http://www.secumedia.de/Datakontext: http://www.datakontext.deBeck Verlag: http://www.beck.deSonstige Seiten: IT-Revision und IT-Sicherheit - http://www.it-audit.de/Bundesamt für Sicherheit in der Informationstechnik - http://www.bsi.de/Virtuelles Datenschutzbüro - http://www.datenschutz.de/Unabhängiges Landeszentrum für Datenschutz SH - http://www.datenschutzzentrum.deBundesbeauftragten für den Datenschutz - http://www.bundesdatenschutzbeauftragter.deVerschiedene Artikel: http://www.btq.de/artikel.html

Nützliche Links

61

Daniel Voigtländer

MSO ConsultingZeisigweg 1171397 NellmersbachFon: 07195/9772959Mobil: 0172/7160997Fax: 07195/9772961daniel.voigtlaender@mso.dewww.mso.de

Schwerpunkte:Externer DatenschutzbeauftragterQualitätsmanagementDokumentenmanagement

Ihre Ansprechpartner bei Fragen

Thomas Schmischke

Return on Concept GmbH & Co. KGManfred-von-Ardenne-Allee 1971522 Backnang Fon: 07191/3529-60Mobil: 0172/4033233Fax: 07191/3529-69Thomas.schmischke@roconcept.dewww.roconcept.de

Schwerpunkte:Consulting SAP / Unternehmens SWInterims- und ProjektmanagementExterner Datenschutzbeauftragter