Die Verunsicherung ist groß. Mit der neuen Datenschutzgrundverordnung (DSGVO) kommen zusätzliche Herausforderungen auf jedes Unternehmen zu. Einen Überblick der Inhalte finden Sie hier. Wir als SAP Business One Partner stellen uns natürlich die Frage, was Bezug auf DSGVO und ERP Betrieb beachtet werden muss. Um nicht im Trüben zu fischen, haben wir Rechtsanwalt Wolfgang A. Schmid, einen ausgewiesenen Fachmann zum Thema, befragt.
Versino Blog: Ist der Betrieb eines ERP Systems überhaupt von der DSGVO betroffen?
Herr Schmid: Voraussetzung ist, dass personenbezogene Daten verarbeitet werden. Schon wenn Ansprechpartner von Kunden regelmäßig (mit Name, Telefondurchwahl oder personalisierter E-Mail-Adresse) Login-Daten von Mitarbeitern mitverarbeiten, sind wir mittendrin im Anwendungsbereich der EU-DSGVO.
Gibt es Anforderungen die ein ERP – Hersteller, hinsichtlich der Programmierung, Konstruktion oder/und Bereitstellung seiner ERP Software beachten muss?
Der Kunde ist die verantwortliche Stelle und Adressat der EU-DSGVO. Er hat die Sicherheit der Verarbeitung zu gewährleisten. Er muss bei der eingesetzten Software – egal ob On-premise hinter der Firewall oder SaaS -nachweisen, dass die Anwendung konstruktiv oder wenigstens über mögliche Einstellungsmöglichkeiten zum Thema Datenschutz verfügt. Privacy by Design und Privacy by deault kann für den Hersteller ein Wettbewerbsvorteil sein, wenn der Kunden mit entsprechenden Dokumenten seine Prüfungspflichten erleichtern kann. Die Festlegung von Löschkonzepten innerhalb der Programmierung wird künftig massiv „datenschutzfreundliche“ von „datenschutzunfreundlicher“ Software abgrenzen.
Rechtsanwalt Wolfgang A. Schmid
Partner bei SCHMID FRANK Rechtsanwälte PartG mbB, Augsburg, Fachanwalt für Informationstechnologierecht, bildet seit 2004 Datenschutzbeauftragte aus und berät diese bundesweit, externer geprüfter Datenschutzbeauftragter in zahlreichen Unternehmen, fachspezifische Vorträge und Referententätigkeit, u.a. seit 2009 bei der Deutschen Anwaltsakademie, beim VKU, beim TÜV Rheinland u.a.
Gibt es irgendwelche weiteren Pflichten , wie Informations- oder Dokumentationspflichten die ein ERP Hersteller einhalten muss?
Welche Verantwortung hat ein ERP-Partner gegenüber dem Kunden hinsichtlich der DSGVO?
Dies hängt stark davon ab, ob auch personenbezogene Daten des Kunden auftragsgemäß verarbeitet werden sollen. Ist der Hersteller Auftragsverarbeiter, muss der für jeden Kunden die Verfahren dokumentieren und Pflichten aus einer Auftragsverarbeitungsvereinbarung beachten. Dazu gehören Informations- und Dokumentationspflichten.
Macht es einen Unterschied, ob ein ERP Partner nur berät und schult, oder z.B. solche Dienste wie Hosting anbietet?
Über Hosting und Zugriff auf personenbezogene Daten öffnet der ERP Partner vermutlich das Tor zur Auftragsverarbeitung und wird entsprechende Prüfungen und Dokumentationspflichten als Auftragsverarbeiter akzeptieren müssen. Der formale Aufwand ist ein anderer. Datenschutzrechtlich ist auch Hosting ohne Weiteres gut absicherbar. Der Berater hatte bislang lediglich Geheimhaltungs-Vorgaben zu unterschreiben
Was ist, wenn man sein ERP aus der Cloud bezieht? Wie sind dort die Verantwortlichkeiten verteilt?
Datenschutzrechtlich kann der Anwendungsbereich des Art. 28 EU-DSGVO betreffend sein. Der Betreiber der Cloud, vermutlich der Hersteller, der auch auf personenbezogene Daten zugreifen kann, wird Auftragsverarbeiter. Dieser hat die Pflichten, die ihn als Auftragsverarbeiter treffen. Neu ist vor allem die gesamtschuldnerische Haftung neben der eigentlichen verantwortlichen Stelle.
Wie ist mit historisch „gewachsenen Systemen“ und den darin oft riesig großen Datenbeständen umzugehen?
Wenn auch personenbezogene Daten betroffen sind, besteht die große Herausforderung, die Vorgabe der EU-DSGVO zur Speicher-Begrenzung zu organisieren. Dies bedeutet ein Löschkonzept. Künftig werden die Hersteller das Rennen machen, die hierfür Lösungen anbieten.
Was ist bei der Einrichtung von Schnittstellen zu anderer Software, oder/und anderen Geschäftspartnern zu beachten?
Der Hersteller, der die Aussage treffen kann, wie er konzeptionell oder über Einstellungen hier Transparenz und Sicherheit gewährleistet, liegt in Zukunft vorn. In Verfahrensbeschreibungen muss die verantwortliche Stelle, Zugriffe anderer Abteilungen oder Dritter dokumentieren. Hier muss der intelligente Hersteller Vorarbeit leisten und FAQs oder Ähnliches anbieten.
Was muss ich trotz oder wegen eines ERP Systems organisatorisch in meinem Unternehmen regeln?
Im Wesentlichen muss das Unternehmen die Verfahrensbeschreibung im Verzeichnis der Verarbeitungstätigkeiten, Prüfung der Rechtmäßigkeit der Datenverarbeitung, sowie Risikobewertung stellen.
Brauche ich, wenn ich ein ERP – System betreibe, auch einen Datenschutzbeauftragten? Wenn ja, wer kann das sein (intern/extern)?
Das hängt unabhängig von der Anwendung nach der EU-DSGVO davon ab, wenn eine Behörde / verantwortliche Stelle die Daten verarbeitet, eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen stattfindet oder z.B. Gesundheitsdaten verarbeitet werden. Nach dem neuen BDSG 2018 wiederum (übrigens keine Änderung zum alten BDSG), wenn mindestens 10 Personen mit Log-in und PW regelmäßig personenbezogene Daten verarbeiten. Es besteht immer die Möglichkeit, entweder einen betrieblichen DSB oder einen externen DSB zu benennen. Was sicher für den externen DSB spricht, ist die Tatsache, dass der betriebliche DSB absoluten unkündbar wird.
Die neue Datenschutzgrundverordnung der EU: Teure Verstöße für Unternehmen
GOBD und GOBD-Mythen
Optimierung des integrierten Finanzwesens
SAP Business One 10 FP2011
Big Data – Relevant für den Mittelstand?
Revisionssicherheit – was heißt das für ein digitales Archiv?
