Unsere Blogserie über die Datenschutzgrundverordnung (DSGVO) geht in die nächste Runde. Im ersten Teil beschäftigten wir uns mit den Grundlagen der DSGVO. Dieses Mal gehen wir etwas tiefer und widmen uns der Frage: Wie machen Sie Ihr ERP-System fit für die DSGVO?

Vielleicht denken Sie jetzt: „Moment mal, ist es nicht die Aufgabe des ERP-Anbieters, mein System an die Vorgaben der EU anzupassen?“ Und damit haben Sie zum Teil auch Recht – aber nur zum Teil. Natürlich müssen ERP-Anbieter gewährleisten, dass ihr Produkt die rechtlichen Vorgaben der DSGVO erfüllt – und das tun sie auch. Die ERP-Branche arbeitet mit Hochdruck daran, Features zu implementieren, die Anwender bei der Erfüllung der DSGVO unterstützen. Aber das ist nur eine Seite der Medaille.

Die Umsetzung der DSGVO ist kein reines IT-Projekt. In erster Linie geht es darum, diejenigen Prozesse in Ihrem Unternehmen zu definieren und zu implementieren, die Ihrem Unternehmen die Erfüllung der Vorgaben der DSGVO überhaupt erst ermöglichen. Sie als Unternehmen müssen z.B. dafür sorgen, dass Anfragen von natürlichen Personen sofort die richtigen Vorgänge auslösen. Das können Sie allerdings nicht vollständig automatisieren. Es gibt keinen Button namens „Informationspflicht erfüllen“, der Ihnen alle Sorgen abnimmt. Sie müssen alle technischen Features Ihrer ERP-Lösung in geeignete Prozesse einbetten – andernfalls droht Ihnen bei der ersten DSGVO-Überprüfung ein böses Erwachen.

Für uns ist das Grund genug, der ERP-Perspektive einen eigenen Blogbeitrag zu widmen. Betrachten wir also mal genauer, welche Handlungsfelder sich durch DSGVO für ERP-Anwender ergeben.

Drei Bereiche sind besonders wichtig

Prinzipiell hat die gesamte Datenschutzgrundverordnung Auswirkungen auf den Betrieb eines ERP-Systems. Doch nicht alle Vorschriften haben die gleiche Relevanz. Einige Teile der DSGVO sind einfach umzusetzen – andere bereiten dagegen mehr Aufwand. Wir empfehlen daher, dass Sie sich zunächst auf drei komplexere Handlungsfelder konzentrieren:

  • Datenschutz
  • Recht auf Löschung
  • Informationspflicht

Vielleicht wundern Sie sich, weshalb das Recht auf Datenübertragbarkeit in dieser Liste nicht auftaucht – schließlich handelt es sich dabei um einen Kernpunkt der DSGVO. Der Grund dafür ist ganz einfach: Wir können davon ausgehen, dass die Datenübertragbarkeit im ERP-Kontext in erster Linie Stammdaten betrifft, nicht aber Bewegungsdaten (z. B. Auftragsrechnungen). Bewegungsdaten sind meist anbieterspezifisch, daher macht es nur selten Sinn, sie zu exportieren (wieso sollte jemand alte Rechnungen zu einem neuen Anbieter mitnehmen?). Damit bleiben nur noch die Stammdaten übrig – und deren Export ist eine Standardfunktion moderner ERP-Systeme und eine klassische Anforderung beim Wechsel einer Software.

Stellen Sie sicher, dass Ihr Rechtemanagement klar ausdefiniert und up-to-date ist, bevor Sie Zugriffsrechte im ERP-System anpassen.

Klicken und mit Ihren Kollegen teilen:

Datenschutz – Zugriffsrechte festlegen

Artikel 5 Abs. 1 DSGVO legt fest, dass personenbezogene Daten vor unrechtmäßiger Verarbeitung geschützt werden müssen. Das heißt: Sie müssen sicherstellen, dass Ihre Mitarbeiter nur auf Daten zugreifen können, die sie für ihre jeweilige Tätigkeit benötigen. Und nicht nur das – laut Artikel 5 Abs. 2 DSGVO müssen Sie diese Absicherung auch jederzeit nachweisen können.

Dieser Anforderung können die meisten Unternehmen natürlich nur mit Hilfe von digitalem Rechtemanagement nachkommen. Ihre Software-Systeme müssen dafür sorgen, dass personenbezogene Daten nur von befugten Anwendern eingesehen und bearbeitet werden können. Dazu müssen Sie für jede Benutzerrolle festlegen, wie deren Zugriffsrechte im Detail – und in Abhängigkeit vom jeweiligen Jobprofil – aussehen. Steht diese Definition erst einmal, können Sie Ihren Mitarbeitern die passende Rolle zuweisen.

Die Rechtevergabe läuft somit zentral ab: Wenn Sie die Rechte einer Rolle anpassen, betrifft das automatisch auch alle Mitarbeiter in dieser Rolle. Dadurch senken Sie nicht nur das Fehlerrisiko, sondern kommen auch der Dokumentationspflicht nach. Gegenüber einer Aufsichtsbehörde können Sie zum Beispiel nachweisen, dass nur Anwender in der passenden Rolle Zugriff auf ein bestimmtes Kundenprofil haben.

Doch Vorsicht: Das ERP-System gibt Ihnen lediglich die technische Möglichkeit, Zugriffsrechte festzulegen. Es liegt an Ihnen, Rollen zu definieren, mit nötigen Rechten zu versehen und Ihren Mitarbeitern zuzuordnen. Gerade für kleinere Unternehmen kann das durchaus eine Herausforderung sein, denn oft gibt es dort gar kein fest definiertes Rechtemanagement. In diesem Fall müssen die Verantwortlichen erst einmal einen Schritt zurückgehen und ein klares Rollensystem einführen. Erst dann können sie die Rechtevergabe im ERP-System umsetzen.

Hinweis 1 lautet also: Stellen Sie sicher, dass Ihr Rechtemanagement klar ausdefiniert und up-to-date ist, bevor Sie Zugriffsrechte im ERP-System anpassen.

Recht auf Löschung – Datenmanagement für Löschanfragen optimieren

Laut Artikel 17 Abs. 1 DSGVO hat eine betroffene Person das Recht, die vollständige Löschung ihrer personenbezogenen Daten zu verlangen („Recht auf Vergessenwerden“). In der Theorie klingt diese Anforderung trivial – Sie rufen einfach das betreffende Profil auf und klicken auf „Löschen“. In der Praxis stellt das Recht auf Vergessenwerden aber viele Unternehmen vor große Herausforderungen.

Zum einen müssen Sie die Daten der betroffenen Person erst einmal – vollständig – finden. Die wenigsten Organisationen haben nur eine einzige, zentrale Datenbank im Einsatz. In der Regel gibt es mehrere Systeme, die miteinander vernetzt sind und Daten austauschen. Wenn also eine Löschanfrage bei Ihnen ankommt, müssen Sie Ihre gesamte IT-Infrastruktur durchforsten und – sofern Ihr Unternehmen nicht aus einem anderen Grund eine Pflicht zur Aufbewahrung der Daten trifft oder ein Recht auf fortwährende Speicherung besteht – alle Daten der Person löschen – in allen verwendeten Systemen. Der Aufwand dieses Vorgehens hängt in hohem Maße von Ihrer Datenorganisation ab. Je strukturierter Sie Ihre Daten verwalten, desto einfacher fällt Ihnen eine Löschung nach Artikel 17. Wenn Sie jedoch selbst nicht wissen, wo welche Daten gespeichert sind, steigt der Aufwand natürlich enorm an.

Eine weitere Herausforderung ergibt sich aus eventuellen Querverbindungen zwischen Datensätzen. Gerade ERP-Systeme sind oft mit weiteren Software-Lösungen vernetzt. In solch einem Fall können Sie die Daten der betroffenen Person nicht einfach löschen, ohne Fehlermeldungen an anderer Stelle auszulösen. Alternativ können Sie das betreffende Profil natürlich auch anonymisieren, indem Sie alle personenbezogenen Daten durch Zufallszeichen ersetzen. Aber auch dann müssen Sie wissen, wo was gespeichert ist. Andernfalls riskieren Sie, etwas zu übersehen – und das kann zu Bußgeldern nach Artikel 83 DSGVO oder Schadensersatzansprüchen nach Artikel 82 DSGVO führen.

Hinweis 2 lautet also: ringen Sie Ihr Datenmanagement auf Vordermann. Im Fall der Fälle müssen Sie genau wissen, welche personenbezogenen Daten einer Person Ihr Unternehmen gespeichert hat, aus welchem Grund sowie zu welchem Zweck die Speicherung erfolgte und wo diese gespeichert sind. Erst nach einer Anfrage mit der Suche zu beginnen ist riskant.

Informationspflicht – Betroffene über die Datenverarbeitung informieren

Das Prinzip der Transparenz ist ein wichtiger Grundpfeiler der DSGVO. Es garantiert, dass eine betroffene Person jederzeit nachvollziehen kann, welche personenbezogenen Daten jemand von ihr speichert und auf welche Weise diese Daten verarbeitet werden. Aus diesem Grund legt die DSGVO genau fest, welche Informationen den Betroffenen im Detail mitzuteilen sind (Artikel 13 und 14 DSGVO). Für Sie als Unternehmen bedeutet das: Wann immer Sie Daten einer Person erheben, sind Sie dazu verpflichtet, den- oder diejenige darüber zu informieren. Der Umfang dieser Auskunft ist genau vorgeschrieben und hängt davon ab, ob die Daten direkt von der betroffenen Person stammen oder anderweitig erhoben wurden.

Falls Sie diese Daten direkt von der betroffenen Person erhalten, ist die Auskunftspflicht relativ simpel umzusetzen. Die Kommunikation mit einem Kontakt wird in aller Regel sowieso einen Prozess auslösen (Auftragsbestätigung, Terminabsprache, etc.). Passen Sie diese Prozesse einfach entsprechend an. Wenn Ihnen z. B. jemand einen Auftrag erteilt, melden Sie zurück, dass Sie die Daten gespeichert haben. Teilweise können Sie diesen Ablauf sogar automatisieren. Falls beispielsweise jemand ein Formular auf Ihrer Website ausfüllt, können Sie automatisch eine Auskunft nach Artikel 13 DSGVO versenden.

Wenn Sie Daten jedoch aus einer anderen Quelle bezogen haben (z. B. von einem anderen Unternehmen), wird die Sache schon etwas kniffliger sein. In diesem Fall gibt es meist keine festen Kommunikationsprozesse, die man anpassen kann. Trotzdem müssen Sie gewährleisten, dass die betroffene Person von der Datenverarbeitung erfährt. Im Zweifelsfall müssen Sie neue Prozesse gestalten, die greifen, sobald Sie personenbezogene Daten aus dritter Quelle importieren.

Hinweis 3 lautet also: Machen Sie sich klar, auf welche Weise personenbezogene Daten in Ihre Datenbank gelangen und welche Prozesse damit verbunden sind. Vollständigkeit ist hier das A und O. Die wenigsten Unternehmen vergessen, auf eine Angebotsanfrage angemessen zu reagieren. Aber was passiert beispielsweise, wenn Sie eine Liste mit Kontaktdaten per E-Mail erhalten? Auch diesen Fall müssen Sie abdecken.

Betrachten Sie das Gesamtbild und nicht nur das ERP-System

Mit der Datenschutzgrundverordnung kommt eine Menge Handlungsbedarf auf Unternehmen zu. Vieles davon nimmt Ihnen sicherlich Ihr ERP-Partner ab. Aber das heißt nicht, dass alle Ihre Herausforderungen mit einem simplen ERP-Update verschwinden. Wie Sie anhand der drei aufgeführten Punkte gesehen haben, ist Ihr ERP-System nur ein Baustein von vielen. Sie müssen das Gesamtbild betrachten, wenn Sie sich auf die DSGVO vorbereiten wollen: Welche Geschäftsprozesse sind betroffen? Welche Software-Systeme sind im Spiel? Welche Nutzerrollen gibt es? Und wie hängen alle diese Elemente zusammen?

Befassen Sie sich mit all diesen Fragen schon im Vorfeld. Fangen Sie jetzt mit einer Prozessanalyse an und entwirren Sie diesen Knoten – denn im Mai 2018 wird es zu spät sein.

Trotz allem ist ein ERP-System im Kontext der DSGVO nicht nur ein Handlungsfeld. Richtig eingesetzt unterstützt es Sie sogar dabei, die Datenschutz-Grundverordnung zu erfüllen. Wie das geht, erklären wir im nächsten Blogbeitrag.

Rechtlicher Hinweis:

Die kostenlosen und frei zugänglichen Inhalte dieser Webseite wurden mit größtmöglicher Sorgfalt erstellt. Wir weisen jedoch ausdrücklich darauf hin, dass wir keine Gewähr oder sonstige Verantwortung für die Richtigkeit, Aktualität oder Vollständigkeit der auf dieser Webseite bereitgestellten journalistischen Ratgeber und Informationen übernehmen.

Die Inhalte auf dieser Webseite dienen weder als rechtliche Beratung für Ihr Unternehmen, auf die Sie sich bei der Einhaltung der gesetzlichen Regelungen zum Datenschutz – insbesondere der DSGVO – stützen können noch können sie eine individuelle Rechtsberatung ersetzen.

Durch den Aufruf dieser kostenlosen und frei zugänglichen Inhalte kommt darüber hinaus mangels eines entsprechenden Rechtsbindungswillens unsererseits keinerlei Vertragsverhältnis zwischen uns und Ihnen als Nutzer der Webseite zustande.