Dauerthema DSGVO: Der Datenschutz beschäftigt mittlerweile ganze Abteilungen. Gefühlt kann man den Anforderungen gar nicht exakt gerecht werden.
Es stimmt, die Anforderungen sind tatsächlich sehr hoch und detailliert. Sauber aufgesetzte IT-Systeme und Prozesse erleichtern die Umsetzung des Datenschutzes jedoch sehr. Als zentraler Datenspeicher spielt das ERP-System dabei eine ebenso zentrale Rolle .
Mit welchen Funktionen und Maßnahmen setzen Sie Ihr ERP-System in dieser Hinsicht optimal ein? Dieser Artikel erklärt 5 Handlungsfelder und listet die wichtigsten Maßnahmen auf.
1. Datenminimierung und Zweckbindung
Die DSGVO schreibt vor, dass so wenig personenbezogene Daten wie möglich erfasst werden: nur solche, die für den jeweiligen Zweck unbedingt erforderlich sind. Diese Daten dürfen dann nur für den ursprünglich angegebenen Zweck verwendet werden. Folglich dürfen Mitarbeitende nur auf Daten zugreifen, die sie für ihre Aufgaben (in Verbindung mit dem jeweiligen Zweck) unbedingt benötigen. Ein Vollzugriff für alle ist tabu.
Um die Einhaltung dieser Prinzipien sicherzustellen, sollten Sie folgende Maßnahmen durchführen:
- Prüfen Sie regelmäßig, welche personenbezogenen Daten in Ihrem ERP-System gespeichert und wofür sie verwendet werden. Eventuell sind Anpassungen Ihrer Prozesse notwendig, um DSGVO-konform zu arbeiten.
- Definieren Sie klare Rollen und Berechtigungsprofile nach dem „Need-to-know“-Prinzip. Welche Mitarbeitenden-Gruppen gibt es in Ihrem Unternehmen und welche Daten benötigen diese jeweils? Richten Sie danach die Zugriffsrechte ein. Unterscheiden Sie zwischen Lese-, Schreib- und Löschrechten. Nicht jede Person, die Daten einsehen darf, muss diese auch bearbeiten können.
- Überprüfen Sie auch die vergebenen Zugriffsrechte regelmäßig. Passen Sie diese an, wenn sich Aufgaben oder Zuständigkeiten ändern oder Mitarbeitende das Unternehmen verlassen.
Durch eine zentralisierte Vergabe von Rechten und Rollen im ERP-System sparen Sie viel Zeit. Sie brauchen die Rechte nicht an mehreren Stellen doppelt anpassen und es passieren dabei weniger Fehler.
2. Recht auf Datenlöschung
Das sogenannte „Recht auf Vergessenwerden“ ist ein wesentlicher Grundsatz der DSGVO. Betroffene Personen können die Löschung ihrer personenbezogenen Daten verlangen, wenn diese nicht mehr benötigt werden oder unrechtmäßig verarbeitet wurden.
Andere Pflichten stehen jedoch über dem Recht auf Löschung, etwa Aufbewahrungspflichten bei Rechnungen oder anderen Geschäftsbelegen. In diesem Fall muss unterschieden werden zwischen Daten, die gelöscht werden dürfen, und solchen, die nicht gelöscht werden dürfen.
Für Ihr Unternehmen heißt das: Sie müssen in der Lage sein, Löschanfragen schnell und gesetzeskonform zu bearbeiten. Laut Gesetz müssen Sie die Löschung auch nachweisen können. Folgende Maßnahmen können dabei helfen:
- Verschaffen Sie sich einen Überblick und dokumentieren Sie, wo überall personenbezogene Daten gespeichert sind.
- Stellen Sie sicher, dass Sie schnell auf die betroffenen Daten zugreifen können. Vermeiden Sie „Datengräber“, die eine gezielte Löschung erschweren. Eine klare Datenstruktur und leistungsfähige Suchfunktionen sind hier entscheidend.
- Implementieren Sie Mechanismen zur sicheren Löschung der Daten.
- Oft dürfen bei Löschanfragen wie erwähnt aufgrund von Aufbewahrungspflichten nur gewisse Daten einer Person gelöscht werden; andere müssen erhalten bleiben. Ihr ERP-System sollte deshalb erlauben, selektiv einzelne Datensätze zu löschen – und muss dabei Datenintegrität und Konsistenz bewahren. Verknüpfte Datensätze dürfen nicht „verwaisen“. Prüfen Sie sorgfältig, welche Abhängigkeiten bestehen und wie diese bei einer Löschung zu behandeln sind.
Wenn Ihr ERP-System die zentrale, führende Rolle im Datennetzwerk übernimmt, finden Sie Datensätze wesentlich einfacher und schneller.
Die gesamte IT-Landschaft einbeziehen
Für eine vollständige DSGVO-Compliance reicht es nicht aus, nur das ERP-System zu betrachten. Beziehen Sie die Prozesse und Systeme ein, die mit dem ERP-System verknüpft sind. Der Datenaustausch mit Software für z. B. CRM, Webshop oder Business Intelligence muss DSGVO-konform erfolgen. Auch beim Rollen- und Rechtemanagement muss die gesamte IT-Landschaft einbezogen werden.
Dokumentieren Sie, wie die einzelnen Komponenten zusammenhängen und welche Auswirkungen eine Aktion an anderer Stelle hat. Das ist aufwändig, aber nötig. Sobald es irgendwo eine Lücke gibt, erfüllt das ganze System nicht mehr die Anforderungen.
3. Recht auf Auskunft und Datenübertragbarkeit
Betroffene Personen haben ein Recht darauf zu erfahren, welche Daten zu welchem Zweck verarbeitet werden und an wen diese weitergegeben werden. Außerdem können Personen verlangen, dass sie ihre personenbezogenen Daten an Dritte übertragen können, etwa an einen anderen Anbieter.
Auf solche Anfragen müssen Sie zeitnah reagieren. Um diesen Pflichten nachzukommen, brauchen Sie selbst Transparenz über Ihre interne Datenerfassung und entsprechende Prozesse:
- Dokumentieren Sie alle Prozesse und Verarbeitungsschritte, in denen personenbezogene Daten eine Rolle spielen. Erstellen Sie detaillierte Verfahrensverzeichnisse und Prozessbeschreibungen.
- Informieren Sie Betroffene automatisch proaktiv über die Verarbeitung ihrer Daten, etwa über die Website oder per E-Mail.
- Stellen Sie sicher, dass Sie Auskunftsanfragen von Betroffenen schnell und vollständig beantworten können. Richten Sie klare Zuständigkeiten und Prozesse ein.
- Implementieren Sie (möglichst automatisierte) Mechanismen, um personenbezogene Daten in einem gängigen, maschinenlesbaren Format zur Verfügung stellen zu können.
Nutzen Sie die entsprechenden Funktionen Ihres ERP-Systems, wie Verarbeitungsverzeichnisse, Einwilligungsmanagement oder Auskunftsassistenten.
Datenschutz vs. Datensicherheit: Was ist der Unterschied?
Datenschutz regelt den Umgang mit personenbezogenen Daten. Er schützt die Persönlichkeitsrechte und die Privatsphäre von Personen. Datensicherheit hingegen zielt darauf ab, Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen. Datenschutz schließt immer auch Datensicherheit ein (andersherum nicht unbedingt).
4. Datensicherheit
Die DSGVO verlangt von Unternehmen nicht nur einen vertraulichen Umgang mit personenbezogenen Daten, sondern auch deren Sicherheit. Hierfür müssen Sie geeignete technische und organisatorische Maßnahmen wie diese treffen:
- Nutzen Sie die Sicherheitsfunktionen Ihres ERP-Systems durchgängig. Dazu gehören beispielsweise eine verschlüsselte Datenübertragung, eine regelmäßige Datensicherung, Zugriffskontrollen oder eine Zwei-Faktor-Authentifizierung für den Systemzugang.
- Führen Sie Protokolle (Logs) über Zugriffe und Änderung, um verdächtige Aktivitäten nachverfolgen zu können.
- Implementieren Sie zusätzliche technische Schutzmaßnahmen wie Firewalls, Virenscanner und Intrusion-Detection-Software. Diese helfen, Angriffe von außen zu erkennen und abzuwehren.
- Definieren Sie klare Sicherheitsrichtlinien und -prozesse. Legen Sie fest, wer für die Datensicherheit verantwortlich ist, wie mit Sicherheitsvorfällen umzugehen ist und wie die Einhaltung der Richtlinien kontrolliert wird.
- Dokumentieren Sie alle getroffenen Sicherheitsmaßnahmen sorgfältig. Damit erfüllen Sie nicht nur die Anforderungen für die DSGVO-Compliance. Die Dokumentation beschleunigt auch die Fehlersuche und -behebung im Ernstfall.
Das ERP-System als Knotenpunkt vereinfacht Ihr Datensicherheitskonzept erheblich: wenn alle personenbezogenen Daten an einer Stelle gespeichert sind, können Sie Ihre technischen Schutzmaßnahmen darauf konzentrieren.
Die beste Technik nützt nichts, wenn die Mitarbeitenden nicht wissen, wie sie damit umgehen sollen. Gerade für so kritische Themen wie Datenschutz müssen die Beschäftigten sensibilisiert und geschult werden.
5. Mitarbeitende sensibilisieren und schulen
Die beste Technik nützt nichts, wenn die Mitarbeitenden nicht wissen, wie sie damit umgehen sollen. Gerade für so kritische Themen wie Datenschutz müssen die Beschäftigten sensibilisiert und geschult werden. Folgende Maßnahmen haben sich bewährt:
- Machen Sie Datenschutz zum Thema in Ihrem Unternehmen. Informieren Sie regelmäßig über aktuelle Entwicklungen und Herausforderungen; etwa durch Mitarbeitendenversammlungen, Rund-Mails, oder das Intranet.
- Bieten Sie regelmäßige Schulungen zum Thema Datenschutz an. Diese sollten sowohl die rechtlichen Grundlagen als auch den praktischen Umgang mit dem ERP-System vermitteln.
- Ernennen Sie Datenschutzbeauftragte oder -koordinator*innen in den einzelnen Abteilungen. Diese fungieren als Ansprechpersonen für die Kolleg*innen und können bei Fragen oder Problemen unterstützen.
- Integrieren Sie das Thema Datenschutz in das Onboarding von neuen Mitarbeitenden.
- Fragen Sie Ihren ERP-Anbieter nach Schulungen oder Material zum Thema DSGVO-Compliance.
Die Verantwortung liegt bei Ihnen
ERP-Systeme bieten viele Funktionen, um die Anforderungen der DSGVO technisch umzusetzen. Doch deren bloße Existenz reicht nicht aus, um vollumfänglich DSGVO-konform zu sein.
Letztlich liegt die Verantwortung für die Einhaltung der DSGVO bei Ihnen selbst. Sorgen Sie dafür, dass die Möglichkeiten tatsächlich genutzt und in die betrieblichen Prozesse integriert werden.
Bei der konkreten Ausgestaltung und Anwendung der DSGVO-Richtlinien im Unternehmen empfiehlt sich zudem die Zusammenarbeit mit einem spezialisierten Rechtsanwalt. Er stellt sicher, dass alle rechtlichen Anforderungen korrekt umgesetzt werden und Ihr Unternehmen buchstäblich auf der sicheren Seite ist.
Infobox: Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) der EU soll das Datenschutzrecht in Europa vereinheitlichen. Sie trat am 25. Mai 2018 in Kraft. Sie verfolgt zwei Hauptziele:
- Zum einen sollen die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten, gewahrt werden.
- Zum anderen soll der freie Verkehr personenbezogener Daten innerhalb der Europäischen Union sichergestellt werden, um den digitalen Binnenmarkt zu stärken.
Die DSGVO gilt für alle Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten – unabhängig davon, ob sie ihren Sitz innerhalb oder außerhalb der EU haben. Bei Verstößen gegen die DSGVO drohen Unternehmen empfindliche Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Zusätzlich können betroffene Personen Schadensersatzansprüche geltend machen.
Rechtlicher Hinweis:
Die kostenlosen und frei zugänglichen Inhalte dieser Webseite wurden mit größtmöglicher Sorgfalt erstellt. Wir weisen jedoch ausdrücklich darauf hin, dass wir keine Gewähr oder sonstige Verantwortung für die Richtigkeit, Aktualität oder Vollständigkeit der auf dieser Webseite bereitgestellten journalistischen Ratgeber und Informationen übernehmen.
Die Inhalte auf dieser Webseite dienen weder als rechtliche Beratung für Ihr Unternehmen, auf die Sie sich bei der Einhaltung der gesetzlichen Regelungen zum Datenschutz – insbesondere der DSGVO – stützen können noch können sie eine individuelle Rechtsberatung ersetzen.
Durch den Aufruf dieser kostenlosen und frei zugänglichen Inhalte kommt darüber hinaus mangels eines entsprechenden Rechtsbindungswillens unsererseits keinerlei Vertragsverhältnis zwischen uns und Ihnen als Nutzer der Webseite zustande.