DSGVO und ERP: Risiken und Herausforderungen
8 Dez

DSGVO und ERP: Risiken und Herausforderungen

Die Verunsicherung ist groß. Mit der neuen Datenschutzgrundverordnung (DSGVO) kommen zusätzliche Herausforderungen auf jedes Unternehmen zu. Einen Überblick der Inhalte finden Sie hier. Wir als SAP Business One Partner stellen uns natürlich die Frage was Bezug auf DSGVO und ERP Betrieb beachtet werden muss. Um nicht im Trüben zu fischen, haben wir Rechtsanwalt Wolfgang A. Schmid, einen ausgewiesenen Fachmann zum Thema, befragt.

Versino Blog: Ist der Betrieb eines ERP Systems überhaupt von der DSGVO betroffen?

Herr Schmid: Voraussetzung ist, dass personenbezogene Daten verarbeitet werden. Schon wenn Ansprechpartner von Kunden regelmäßig (mit Name, Telefondurchwahl oder personalisierter Email-Adresse) Login-Daten von Mitarbeitern mitverarbeiten, sind wir mittendrin im Anwendungsbereich der EU-DSGVO.

Gibt es Anforderungen die ein ERP – Hersteller, hinsichtlich der Programmierung, Konstruktion  oder/und Bereitstellung seiner ERP Software beachten muss?

Der Kunde ist die verantwortliche Stelle und Adressat der EU-DSGVO. Er hat die Sicherheit der Verarbeitung zu gewährleisten. Er muss bei der eingesetzten Software – egal ob On-Premise hinter der Firewall oder SaaS -nachweisen, dass die Anwendung konstruktiv oder wenigstens über mögliche Einstellungsmöglichkeiten zum Thema Datenschutz verfügt.  Privacy by Design und Privacy by deault kann für den Hersteller ein Wettbewerbsvorteil sein, wenn der Kunden mit entsprechenden Dokumenten seine Prüfungspflichten erleichtern kann. Die Festlegung von Löschkonzepten innerhalb der Programmierung, wird künftig massiv “datenschutzfreundliche” von “datenschutzunfreundlicher” Software abgrenzen.

Rechtsanwalt Wolfgang A. Schmid

RA Schmid

Partner bei JUS Rechtsanwälte Schloms und Partner, Augsburg, Fachanwalt für Informationstechnologierecht, bildet seit 2004 Datenschutzbeauftragte aus und berät diese bundesweit, externer geprüfter Datenschutzbeauftragter in zahlreichen Unternehmen, fachspezifische Vorträge und Referententätigkeit, u.a. seit 2009 bei der Deutschen Anwaltsakademie, beim VKU, beim TÜV Rheinland u.a.

Gibt es irgendwelche weiteren Pflichten , wie Informations- oder Dokumentationspflichten die ein ERP Hersteller einhalten muss?
Welche Verantwortung hat ein ERP-Partner gegenüber dem Kunden hinsichtlich der DSGVO?

Dies hängt stark davon ab, ob auch personenbezogene Daten des Kunden auftragsgemäß verarbeitet werden sollen. Ist der Hersteller Auftragsverarbeiter, muss der für jeden Kunden die Verfahren dokumentieren und Pflichten aus einer Auftragsverarbeitungsvereinbarung beachten. Dazu gehören Informations- und Dokumentations-Pflichten.

Macht es einen Unterschied ob ein ERP Partner nur berät und schult, oder z.B. solche Dienste wie Hosting anbietet?

Über Hosting und Zugriff auf personenbezogene Daten, öffnet der ERP Partner vermutlich das Tor zur Auftragsverarbeitung und wird entsprechende Prüfungen und Dokumentationspflichten als Auftragsverarbeiter akzeptieren müssen. Der formale Aufwand ist ein Anderer. Datenschutzrechtlich ist auch Hosting ohne weiteres gut absicherbar. Der Berater hatte bislang lediglich Geheimhaltungs-Vorgaben zu unterschreiben

Was ist wenn man sein ERP aus der Cloud bezieht? Wie sind dort die Verantwortlichkeiten  verteilt?

Datenschutzrechtlich kann der Anwendungsbereich des Art. 28 EU-DSGVO betreffend sein. Der Betreiber der Cloud, vermutlich der Hersteller, der auch auf personenbezogene Daten zugreifen kann, wird Auftragsverarbeiter. Dieser hat die Pflichten, die ihn als Auftragsverarbeiter treffen. Neu ist vor allem die gesamtschuldnerische Haftung neben der eigentlichen verantwortlichen Stelle.

Wie ist mit historisch „gewachsenen Systemen“ und den darin oft riesig großen Datenbeständen umzugehen?

Wenn auch personenbezogene Daten betroffen sind, besteht die große Herausforderung, die Vorgabe der EU-DSGVO zur Speicher-Begrenzung zu organisieren. Dies bedeutet ein Lösch-Konzept. Künftig werden die Hersteller das Rennen machen, die hierfür Lösungen anbieten.

Was ist bei der Einrichtung von Schnittstellen zu anderer Software, oder/und anderen Geschäftspartnern zu beachten?

Der Hersteller, der die Aussage treffen kann, wie er konzeptionell oder über Einstellungen hier Transparenz und Sicherheit gewährleistet, liegt in Zukunft vorne. In Verfahrensbeschreibungen muss die verantwortliche Stelle, Zugriffe anderer Abteilungen oder Dritter dokumentieren. Hier muss der intelligente Hersteller Vorarbeit leisten und FAQs oder ähnliches anbieten.

Was muss ich trotz oder wegen eines ERP Systems organisatorisch in meinem Unternehmen regeln?

Im Wesentlichen muss das Unternehmen die Verfahrensbeschreibung im Verzeichnis der Verarbeitungstätigkeiten, Prüfung der Rechtmäßigkeit der Datenverarbeitung, sowie Risikobewertung stellen.

Brauche ich wenn ich ein ERP – System  betreibe auch einen Datenschutzbeauftragten? Wenn ja, wer kann das sein (intern/extern)?

Das hängt unabhängig von der Anwendung nach der EU-DSGVO davon ab, wenn eine Behörde / verantwortliche Stelle die Daten verarbeitet, eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen stattfindet oder z.B. Gesundheitsdaten verarbeitet werden. Nach dem neuen BDSG 2018 wiederum ( übrigens keine Änderung zum alten BDSG ), wenn mindestens 10 Personen mit Login und PW regelmäßig personenbezogene Daten verarbeiten. Es besteht immer die Möglichkeit, entweder einen betrieblichen DSB oder einen externen DSB zu benennen. Was sicher für den externen DSB spricht, ist die Tatsache, dass der betriebliche DSB absoluten unkündbar wird.

Lasse Sie uns reden!

Sie haben Fragen oder Anliegen? Sie wollen uns Ihre speziellen Anforderungen mitteilen?

    Ihr Name (Pflichtfeld)

    Ihre E-Mail-Adresse (Pflichtfeld)

    Betreff

    Ihre Nachricht

    Ich habe die Datenschutzerklärung zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben und gespeichert werden. Sämtliche Daten werden gemäß Datenschutzerklärung nur streng zweckgebunden zur Bearbeitung und Beantwortung Ihrer Anfrage benutzt.

    Datenschutz

    SAP Business One “DSGVO Version” 9.3 Patch4

    Die SAP hat SAP Business One 9.3 mit PatchLevel 04 veröffentlicht. Diese Version adressiert speziell die Anforderungen rund um die ...
    Weiterlesen …

    DSGVO praxisnah & unterhaltend

    Die neue Datenschutzgrundverordnung (DSGVO) treibt viel Unternehmen derzeit um. Das digitale Hype Thema wird von vielen aufgegriffen, die sich im ...
    Weiterlesen …
    DATENSCHUTZ

    DSGVO und ERP: Risiken und Herausforderungen

    Die Verunsicherung ist groß. Mit der neuen Datenschutzgrundverordnung (DSGVO) kommen zusätzliche Herausforderungen auf jedes Unternehmen zu. Einen Überblick der Inhalte ...
    Weiterlesen …

    EVENT: Recruiting & der Kampf um die klügsten Köpfe

    Gute Mitarbeiter sind der Schlüssel zum Unternehmenserfolg. Doch Top-Fachkräfte zu gewinnen, ist heute eine echte Herausforderung. Im „War for Talents“ ...
    Weiterlesen …

    6 Gründe, warum Updates ein ERP-System verbessern

    Egal ob man keine Zeit hat, eine wichtige E-Mail erwartet oder von Windows traumatisiert ist - die Wahrheit ist doch ...
    Weiterlesen …

    Vertrieb & Marketing für Mittelständler

    Nach einer erfolgreichen Veranstaltung im April diesen Jahres läd das Augsburger IT-Kompetenznetzwerk MehrWERTen erneut zu einem spannenden Event ein. Nachdem ...
    Weiterlesen …
    Update

    Update 5.6 : Neue Version von MariProject

    Eine neue Version von MariProject ist veröffentlicht worden. Dabei sind wie immer kleiner und größere Verbesserungen der Software für kaufmännisches ...
    Weiterlesen …
    Datenschutz

    Die neue Datenschutzgrundverordnung der EU: Teure Verstöße für Unternehmen

    Datenschutz ist mittlerweile auch politisch ein großes Thema. Deshalb ist es nicht verwunderlich, dass die EU mit zunehmenden Reglementierungen reagiert ...
    Weiterlesen …
    datawarehouse

    Was ist ein Data-Warehouse?

    Immer wieder lassen wir verlauten, wie wichtig einheitliches Datenmanagement für einen reibungslosen Workflow sein kann. Hat man noch nie mit ...
    Weiterlesen …
    Cloud control

    ERP aus der Cloud: Rechtsschutz für Cloudnutzer

    Trotz allen innovativen Bestrebungen und Entwicklungen in Sachen Cloud, fehlen der Ziel-Nutzer-Gruppe oft die nötigen Informationen, um sich für eine ...
    Weiterlesen …

    Hinterlassen Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *
    Folgende HTML Tags sind nutzbar: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>