DSGVO und ERP: Risiken und Herausforderungen
8 Dez

DSGVO und ERP: Risiken und Herausforderungen

Die Verunsicherung ist groß. Mit der neuen Datenschutzgrundverordnung (DSGVO) kommen zusätzliche Herausforderungen auf jedes Unternehmen zu. Einen Überblick der Inhalte finden Sie hier. Wir als SAP Business One Partner stellen uns natürlich die Frage was Bezug auf DSGVO und ERP Betrieb beachtet werden muss. Um nicht im Trüben zu fischen, haben wir Rechtsanwalt Wolfgang A. Schmid, einen ausgewiesenen Fachmann zum Thema, befragt.

Versino Blog: Ist der Betrieb eines ERP Systems überhaupt von der DSGVO betroffen?

Herr Schmid: Voraussetzung ist, dass personenbezogene Daten verarbeitet werden. Schon wenn Ansprechpartner von Kunden regelmäßig (mit Name, Telefondurchwahl oder personalisierter Email-Adresse) Login-Daten von Mitarbeitern mitverarbeiten, sind wir mittendrin im Anwendungsbereich der EU-DSGVO.

Gibt es Anforderungen die ein ERP – Hersteller, hinsichtlich der Programmierung, Konstruktion  oder/und Bereitstellung seiner ERP Software beachten muss?

Der Kunde ist die verantwortliche Stelle und Adressat der EU-DSGVO. Er hat die Sicherheit der Verarbeitung zu gewährleisten. Er muss bei der eingesetzten Software – egal ob On-Premise hinter der Firewall oder SaaS -nachweisen, dass die Anwendung konstruktiv oder wenigstens über mögliche Einstellungsmöglichkeiten zum Thema Datenschutz verfügt.  Privacy by Design und Privacy by deault kann für den Hersteller ein Wettbewerbsvorteil sein, wenn der Kunden mit entsprechenden Dokumenten seine Prüfungspflichten erleichtern kann. Die Festlegung von Löschkonzepten innerhalb der Programmierung, wird künftig massiv “datenschutzfreundliche” von “datenschutzunfreundlicher” Software abgrenzen.

Rechtsanwalt Wolfgang A. Schmid

RA Schmid

Partner bei JUS Rechtsanwälte Schloms und Partner, Augsburg, Fachanwalt für Informationstechnologierecht, bildet seit 2004 Datenschutzbeauftragte aus und berät diese bundesweit, externer geprüfter Datenschutzbeauftragter in zahlreichen Unternehmen, fachspezifische Vorträge und Referententätigkeit, u.a. seit 2009 bei der Deutschen Anwaltsakademie, beim VKU, beim TÜV Rheinland u.a.

Gibt es irgendwelche weiteren Pflichten , wie Informations- oder Dokumentationspflichten die ein ERP Hersteller einhalten muss?
Welche Verantwortung hat ein ERP-Partner gegenüber dem Kunden hinsichtlich der DSGVO?

Dies hängt stark davon ab, ob auch personenbezogene Daten des Kunden auftragsgemäß verarbeitet werden sollen. Ist der Hersteller Auftragsverarbeiter, muss der für jeden Kunden die Verfahren dokumentieren und Pflichten aus einer Auftragsverarbeitungsvereinbarung beachten. Dazu gehören Informations- und Dokumentations-Pflichten.

Macht es einen Unterschied ob ein ERP Partner nur berät und schult, oder z.B. solche Dienste wie Hosting anbietet?

Über Hosting und Zugriff auf personenbezogene Daten, öffnet der ERP Partner vermutlich das Tor zur Auftragsverarbeitung und wird entsprechende Prüfungen und Dokumentationspflichten als Auftragsverarbeiter akzeptieren müssen. Der formale Aufwand ist ein Anderer. Datenschutzrechtlich ist auch Hosting ohne weiteres gut absicherbar. Der Berater hatte bislang lediglich Geheimhaltungs-Vorgaben zu unterschreiben

Was ist wenn man sein ERP aus der Cloud bezieht? Wie sind dort die Verantwortlichkeiten  verteilt?

Datenschutzrechtlich kann der Anwendungsbereich des Art. 28 EU-DSGVO betreffend sein. Der Betreiber der Cloud, vermutlich der Hersteller, der auch auf personenbezogene Daten zugreifen kann, wird Auftragsverarbeiter. Dieser hat die Pflichten, die ihn als Auftragsverarbeiter treffen. Neu ist vor allem die gesamtschuldnerische Haftung neben der eigentlichen verantwortlichen Stelle.

Wie ist mit historisch „gewachsenen Systemen“ und den darin oft riesig großen Datenbeständen umzugehen?

Wenn auch personenbezogene Daten betroffen sind, besteht die große Herausforderung, die Vorgabe der EU-DSGVO zur Speicher-Begrenzung zu organisieren. Dies bedeutet ein Lösch-Konzept. Künftig werden die Hersteller das Rennen machen, die hierfür Lösungen anbieten.

Was ist bei der Einrichtung von Schnittstellen zu anderer Software, oder/und anderen Geschäftspartnern zu beachten?

Der Hersteller, der die Aussage treffen kann, wie er konzeptionell oder über Einstellungen hier Transparenz und Sicherheit gewährleistet, liegt in Zukunft vorne. In Verfahrensbeschreibungen muss die verantwortliche Stelle, Zugriffe anderer Abteilungen oder Dritter dokumentieren. Hier muss der intelligente Hersteller Vorarbeit leisten und FAQs oder ähnliches anbieten.

Was muss ich trotz oder wegen eines ERP Systems organisatorisch in meinem Unternehmen regeln?

Im Wesentlichen muss das Unternehmen die Verfahrensbeschreibung im Verzeichnis der Verarbeitungstätigkeiten, Prüfung der Rechtmäßigkeit der Datenverarbeitung, sowie Risikobewertung stellen.

Brauche ich wenn ich ein ERP – System  betreibe auch einen Datenschutzbeauftragten? Wenn ja, wer kann das sein (intern/extern)?

Das hängt unabhängig von der Anwendung nach der EU-DSGVO davon ab, wenn eine Behörde / verantwortliche Stelle die Daten verarbeitet, eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen stattfindet oder z.B. Gesundheitsdaten verarbeitet werden. Nach dem neuen BDSG 2018 wiederum ( übrigens keine Änderung zum alten BDSG ), wenn mindestens 10 Personen mit Login und PW regelmäßig personenbezogene Daten verarbeiten. Es besteht immer die Möglichkeit, entweder einen betrieblichen DSB oder einen externen DSB zu benennen. Was sicher für den externen DSB spricht ist die Tatsache, dass der betriebliche DSB absoluten unkündbar wird.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *
Folgende HTML Tags sind nutzbar: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>