DSGVO und ERP: Risiken und Herausforderungen
8 Dez

DSGVO und ERP: Risiken und Herausforderungen

Die Verunsicherung ist groß. Mit der neuen Datenschutzgrundverordnung (DSGVO) kommen zusätzliche Herausforderungen auf jedes Unternehmen zu. Einen Überblick der Inhalte finden Sie hier. Wir als SAP Business One Partner stellen uns natürlich die Frage was Bezug auf DSGVO und ERP Betrieb beachtet werden muss. Um nicht im Trüben zu fischen, haben wir Rechtsanwalt Wolfgang A. Schmid, einen ausgewiesenen Fachmann zum Thema, befragt.

3

Versino Blog: Ist der Betrieb eines ERP Systems überhaupt von der DSGVO betroffen?

Herr Schmid: Voraussetzung ist, dass personenbezogene Daten verarbeitet werden. Schon wenn Ansprechpartner von Kunden regelmäßig (mit Name, Telefondurchwahl oder personalisierter Email-Adresse) Login-Daten von Mitarbeitern mitverarbeiten, sind wir mittendrin im Anwendungsbereich der EU-DSGVO.

Gibt es Anforderungen die ein ERP – Hersteller, hinsichtlich der Programmierung, Konstruktion  oder/und Bereitstellung seiner ERP Software beachten muss?

Der Kunde ist die verantwortliche Stelle und Adressat der EU-DSGVO. Er hat die Sicherheit der Verarbeitung zu gewährleisten. Er muss bei der eingesetzten Software – egal ob On-Premise hinter der Firewall oder SaaS -nachweisen, dass die Anwendung konstruktiv oder wenigstens über mögliche Einstellungsmöglichkeiten zum Thema Datenschutz verfügt.  Privacy by Design und Privacy by deault kann für den Hersteller ein Wettbewerbsvorteil sein, wenn der Kunden mit entsprechenden Dokumenten seine Prüfungspflichten erleichtern kann. Die Festlegung von Löschkonzepten innerhalb der Programmierung, wird künftig massiv “datenschutzfreundliche” von “datenschutzunfreundlicher” Software abgrenzen.

Rechtsanwalt Wolfgang A. Schmid

RA Schmid

Partner bei SCHMID FRANK Rechtsanwälte PartG mbB, Augsburg, Fachanwalt für Informationstechnologierecht, bildet seit 2004 Datenschutzbeauftragte aus und berät diese bundesweit, externer geprüfter Datenschutzbeauftragter in zahlreichen Unternehmen, fachspezifische Vorträge und Referententätigkeit, u.a. seit 2009 bei der Deutschen Anwaltsakademie, beim VKU, beim TÜV Rheinland u.a.

 

Gibt es irgendwelche weiteren Pflichten , wie Informations- oder Dokumentationspflichten die ein ERP Hersteller einhalten muss?
Welche Verantwortung hat ein ERP-Partner gegenüber dem Kunden hinsichtlich der DSGVO?

Dies hängt stark davon ab, ob auch personenbezogene Daten des Kunden auftragsgemäß verarbeitet werden sollen. Ist der Hersteller Auftragsverarbeiter, muss der für jeden Kunden die Verfahren dokumentieren und Pflichten aus einer Auftragsverarbeitungsvereinbarung beachten. Dazu gehören Informations- und Dokumentations-Pflichten.

Macht es einen Unterschied ob ein ERP Partner nur berät und schult, oder z.B. solche Dienste wie Hosting anbietet?

Über Hosting und Zugriff auf personenbezogene Daten, öffnet der ERP Partner vermutlich das Tor zur Auftragsverarbeitung und wird entsprechende Prüfungen und Dokumentationspflichten als Auftragsverarbeiter akzeptieren müssen. Der formale Aufwand ist ein Anderer. Datenschutzrechtlich ist auch Hosting ohne weiteres gut absicherbar. Der Berater hatte bislang lediglich Geheimhaltungs-Vorgaben zu unterschreiben

Was ist wenn man sein ERP aus der Cloud bezieht? Wie sind dort die Verantwortlichkeiten  verteilt?

Datenschutzrechtlich kann der Anwendungsbereich des Art. 28 EU-DSGVO betreffend sein. Der Betreiber der Cloud, vermutlich der Hersteller, der auch auf personenbezogene Daten zugreifen kann, wird Auftragsverarbeiter. Dieser hat die Pflichten, die ihn als Auftragsverarbeiter treffen. Neu ist vor allem die gesamtschuldnerische Haftung neben der eigentlichen verantwortlichen Stelle.

Wie ist mit historisch „gewachsenen Systemen“ und den darin oft riesig großen Datenbeständen umzugehen?

Wenn auch personenbezogene Daten betroffen sind, besteht die große Herausforderung, die Vorgabe der EU-DSGVO zur Speicher-Begrenzung zu organisieren. Dies bedeutet ein Lösch-Konzept. Künftig werden die Hersteller das Rennen machen, die hierfür Lösungen anbieten.

Was ist bei der Einrichtung von Schnittstellen zu anderer Software, oder/und anderen Geschäftspartnern zu beachten?

Der Hersteller, der die Aussage treffen kann, wie er konzeptionell oder über Einstellungen hier Transparenz und Sicherheit gewährleistet, liegt in Zukunft vorne. In Verfahrensbeschreibungen muss die verantwortliche Stelle, Zugriffe anderer Abteilungen oder Dritter dokumentieren. Hier muss der intelligente Hersteller Vorarbeit leisten und FAQs oder ähnliches anbieten.

Was muss ich trotz oder wegen eines ERP Systems organisatorisch in meinem Unternehmen regeln?

Im Wesentlichen muss das Unternehmen die Verfahrensbeschreibung im Verzeichnis der Verarbeitungstätigkeiten, Prüfung der Rechtmäßigkeit der Datenverarbeitung, sowie Risikobewertung stellen.

Brauche ich wenn ich ein ERP – System  betreibe auch einen Datenschutzbeauftragten? Wenn ja, wer kann das sein (intern/extern)?

Das hängt unabhängig von der Anwendung nach der EU-DSGVO davon ab, wenn eine Behörde / verantwortliche Stelle die Daten verarbeitet, eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen stattfindet oder z.B. Gesundheitsdaten verarbeitet werden. Nach dem neuen BDSG 2018 wiederum ( übrigens keine Änderung zum alten BDSG ), wenn mindestens 10 Personen mit Login und PW regelmäßig personenbezogene Daten verarbeiten. Es besteht immer die Möglichkeit, entweder einen betrieblichen DSB oder einen externen DSB zu benennen. Was sicher für den externen DSB spricht, ist die Tatsache, dass der betriebliche DSB absoluten unkündbar wird.

    Kontakt:

    Ich habe die Datenschutzerklärung zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben und gespeichert werden. Sämtliche Daten werden gemäß Datenschutzerklärung nur streng zweckgebunden zur Bearbeitung und Beantwortung Ihrer Anfrage benutzt.

    Datenschutz

    Die neue Datenschutzgrundverordnung der EU: Teure Verstöße für Unternehmen

    Datenschutz ist mittlerweile auch politisch ein großes Thema. Deshalb ist es nicht verwunderlich, dass die EU mit zunehmenden Reglementierungen reagiert ...
    Weiterlesen …
    SAP B1 Update

    SAP Business One 10 FP2011

    Ähnlich wie Patches, werden von der SAP vierteljährlich Funktionspakete für SAP Business One geliefert. Sie enthalten sowohl neue Funktionen als ...
    Weiterlesen …
    BIG DATA für KMU

    Big Data – Relevant für den Mittelstand?

    Big Data hat für kleine und mittlere Unternehmen keine Relevanz. Eins solche Einschätzung ist öfters zu hören und zu lesen ...
    Weiterlesen …

    Revisionssicherheit – was heißt das für ein digitales Archiv?

    In Sachen Bedienungsfreundlichkeit, Sicherheit, Platz und Haltbarkeit ist ein digitales Archiv der Archivierung in Papier deutlich überlegen. Immer mehr Unternehmen ...
    Weiterlesen …

    Daten sicher in der Cloud

    Inhouse bedeutet mehr Sicherheit. Das ist der Irrglaube, dem viele Unternehmen abhängen. Dabei wird übersehen, dass diese Sparstrumpf-Mentalität für Software ...
    Weiterlesen …
    Update

    Update 5.6 : Neue Version von MariProject

    Eine neue Version von MariProject ist veröffentlicht worden. Dabei sind wie immer kleiner und größere Verbesserungen der Software für kaufmännisches ...
    Weiterlesen …
    Datenschutz

    SAP Business One “DSGVO Version” 9.3 Patch4

    Die SAP hat SAP Business One 9.3 mit PatchLevel 04 veröffentlicht. Diese Version adressiert speziell die Anforderungen rund um die ...
    Weiterlesen …

    DSGVO praxisnah & unterhaltend

    Die neue Datenschutzgrundverordnung (DSGVO) treibt viel Unternehmen derzeit um. Das digitale Hype Thema wird von vielen aufgegriffen, die sich im ...
    Weiterlesen …
    Datenschutz

    Veranstaltung: Letzte Ausfahrt! EU-DS-GVO

    Ab dem 25. Mai 2018 gilt die neue Datenschutzgrundverordnung. Das ist sehr bald. Trotzdem ist gerade in kleineren Unternehmen immer ...
    Weiterlesen …
    Ausgangsrechnungen

    GoBD: Rechnungsstellung nach Regelwerk

    Regelwerke wie die GoBD machen selbst Ausgangsrechnungen manchmal zur Herausforderung. Eine Buchhaltungssoftware kann helfen ...
    Weiterlesen …
    3

    Hinterlassen Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *
    Folgende HTML Tags sind nutzbar: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>