Unsere Blogserie zur EU Datenschutz-Grundverordnung (DSGVO) geht in die dritte Runde. Letzte Woche haben wir das ERP-System als Handlungsfeld unter die Lupe genommen. Aber ein ERP-System stellt Unternehmen keineswegs nur vor Herausforderungen. Im Gegenteil: Es kann Sie auch dabei unterstützen, die DSGVO in der Praxis umzusetzen.Lassen Sie uns daher diese Woche die Perspektive wechseln. Betrachten wir einmal, welchen Beitrag ein ERP-System zur Einhaltung der DSGVO leisten kann
Informationspflicht – Prozessdokumentation ist der Schlüssel
Laut Art. 13 und 14 DSGVO sind Unternehmen dazu verpflichtet, betroffene Personen über die Erhebung ihrer personenbezogenen Daten zu informieren. Das gilt nicht nur für Eigenerhebungen, sondern auch für Daten, die Sie von Dritten erhalten. Ohne entsprechende Prozesse können Sie dieser Vorgabe allerdings nur schwer nachkommen. An dieser Stelle kommt das ERP-System ins Spiel.
Aber gehen wir zunächst einen Schritt zurück. Letzte Woche haben wir die Informationspflicht noch als Handlungsfeld für ERP-Anwender betrachtet. Ist das nicht ein Widerspruch? Keineswegs. Es ist lediglich eine Frage der Perspektive.
Im Kontext der DSGVO müssen sich alle Unternehmen mit der Problematik der Datenorganisation auseinandersetzen. Auch ein ERP-System bewahrt Sie nicht vollständig vor dieser Herausforderung – aber es kann Ihnen die Aufgabe erleichtern. Mit einer ERP-Lösung verfügen Sie nämlich über ein Werkzeug, das Ihre Geschäftsprozesse zentral steuert und verwaltet. Dadurch sind Ihre Abläufe mit hoher Wahrscheinlichkeit korrekt dokumentiert. Das ergibt sich bereits durch die Prozessabbildung innerhalb der ERP-Software. Wenn Sie lediglich auf Zuruf arbeiten, hätten Sie wohl gar kein ERP-System. Diese klare Prozessstruktur verschafft Ihnen wiederum einen effektiven Ansatzpunkt, um betroffene Personen über die Verarbeitung ihrer Daten zu informieren. Einen bestehenden Prozess zu modifizieren, ist schließlich einfacher als einen ganz neuen zu definieren.
Stellen Sie sich jetzt einmal vor, Sie hätten kein ERP-System. In dem Fall hängt der Status Ihrer Prozessdokumentation primär von Ihrer internen Organisation ab. Es gibt keine zentrale Software, die Sie bei dieser Aufgabe unterstützt – nur einen Flickenteppich von Insellösungen, die vermutlich nur sporadisch Daten untereinander austauschen. Wenn Sie nicht mit eiserner Disziplin alle Vorgänge im Unternehmen festhalten und dokumentieren, schlüpft Ihnen somit sehr wahrscheinlich irgendwann etwas durch das Netz. Und das kann teuer werden.
Mit einem ERP-System fällt die Prozessorganisation deutlich leichter – und dadurch können Sie der Informationspflicht einfacher nachkommen.
Recht auf Löschung – Zentrale Datenorganisation hilft
Auch das Recht auf Löschung (oder auch: „Recht auf Vergessenwerden“) hatten wir im letzten Beitrag bereits als potentielles Handlungsfeld auf dem Schirm. Nach Art. 17 Abs. 1 DSGVO sind Sie, als Unternehmen, dazu verpflichtet, auf Anfrage alle personenbezogenen Daten eines Kontakts zu löschen, soweit Sie keine konkrete Rechtfertigung für eine weitere Speicherung oder Verarbeitung der Daten haben. Auch hier gilt wieder: Diese Vorgabe ist durchaus eine Herausforderung – aber ohne ein ERP-System wäre sie noch viel größer.
Löschanfragen können Sie nur dann ordnungsgemäß nachkommen, wenn Sie die jeweiligen Daten auch finden. Falls Sie irgendeine Datenbank übersehen, haben Sie damit die DSGVO verletzt. Das gilt auch dann, wenn es nur ein Versehen war. Das Risiko für so eine versehentliche Rechtsverletzung steigt mit der Anzahl separater Software-Systeme. Kurz gesagt: Je mehr Datenbanken Sie eigens durchsuchen müssen, desto höher die Chance, dass Sie einen Eintrag übersehen. In größeren Organisationen ist es ein enormer Aufwand, alle Systeme nach einem bestimmten Datensatz zu durchsuchen.
Auch ein ERP-System kann Ihnen diese Aufgabe nicht vollständig abnehmen. Dazu müsste die ERP-Lösung Ihr einziges datenbankgestütztes Software-System sein. Und das ist so gut wie nie der Fall.
Allerdings nimmt das ERP-System in vielen Organisationen eine Sonderrolle ein. Als umfassende Unternehmens-Software bildet es den zentralen Knoten eines verteilten Datenbank-Netzwerks. Selbst, wenn Ihre ERP-Lösung nicht alle Daten zentral speichert, so enthält es doch in der Regel Verweise auf andere Systeme. Das macht es wiederum einfacher, Datensätze innerhalb des Netzwerks aufzuspüren.
Die Zentrale Datenhaltung im ERP-System sorgt dafür, dass Sie die in der DSGVO geforderte Datensicherheit einfach und effizient umsetzen können.
Im ERP-System laufen meist alle Unternehmensdaten zusammen. Dadurch können Sie personenbezogene Daten leichter aufspüren und löschen. In einem Flickenteppich einzelner Systeme ist das deutlich schwieriger.
Datenschutz – Zugriffsrechte zentral vergeben
Personenbezogene Daten unterliegen nach Art. 5 Abs. 1 der Zweckbindung. Das heißt: Sie dürfen solche Daten nur im Sinne ihres ursprünglichen Erhebungszwecks verarbeiten. Zweckfremde Weiterverarbeitung (z. B. personenbezogene Vertragsdaten zu Werbezwecken zu verwenden) ist nicht erlaubt. Diese Vorgabe hat eine Menge Konsequenzen. Die vielleicht wichtigste im ERP-Kontext lautet: Ihre Mitarbeiter dürfen nur Zugriff auf personenbezogene Daten haben, die sie für ihre Tätigkeit konkret benötigen. Oder vereinfacht gesagt: Sie brauchen ein Berechtigungskonzept, das genau festlegt, wer auf welche Daten in welchem Zusammenhang zugreifen darf.
Allerdings reicht ein Berechtigungskonzept alleine noch nicht aus. Sie müssen es auch technisch umsetzen. Und an dieser Stelle kommt das ERP-System als wertvolles Hilfsmittel ins Spiel. Der Aufwand der technischen Rechtevergabe hängt nämlich von dem Grad der Fragmentierung Ihrer IT-Infrastruktur ab. Wenn Sie einen bunten Flickenteppich von Software-Systemen im Einsatz haben, ist die Rechtevergabe auch entsprechend komplex. Sie müssen sich für jedes System überlegen, wer dort einen Account hat und über welche Rechte dieser Account verfügt. Sobald sich die Rechte eines Mitarbeiters ändern, müssen Sie wiederum schauen, auf welche Systeme das Auswirkungen hat – und wenn Sie eins vergessen, verletzen Sie schnell die DSGVO.
Ein ERP-System hat dagegen den Vorteil, dass Sie die Rechtevergabe zentralisieren können. Sie müssen für alle Benutzer (im Idealfall) nur einmal festlegen, welche Rollen diese haben und welche Rechte damit verknüpft sind. Das gleiche gilt für spätere Anpassungen. Anstatt jedes Software-System einzeln zu überprüfen, müssen Sie nur einmal Hand anlegen. Das spart zum einen Zeit und zum anderen sinkt das Fehlerrisiko. Je weniger Accounts vorliegen, desto geringer die Chance, einen zu übersehen.
Ein ERP-System zentralisiert also die Rechteverwaltung, senkt den Kontrollaufwand und verringert das Fehlerrisiko.
Datensicherheit – Nur noch ein System absichern
Die Datenschutz-Grundverordnung schreibt vor, dass Organisationen, die personenbezogene Daten erheben, auch technische Sicherungsmaßnahmen zu deren Schutz einsetzen müssen (Art. 32 Abs. 1 DSGVO). Das ist an sich nichts Neues. Solche Maßnahmen wurden bereits im Bundesdatenschutzgesetz festgelegt (§9 BDSG). Die technischen Anforderungen ändern sich nicht wesentlich. Das gilt jedoch nicht für die Konsequenzen. Hat das BDSG Vernachlässigungen der Datensicherheit noch recht abstrakt behandelt, so sieht die DSGVO explizit Strafen vor. Und die haben es in sich. Verstöße gegen Art. 32 werden mit Geldbußen bis zu 10.000.000 Euro oder zwei Prozent des weltweiten Jahresumsatzes geahndet (je nachdem, was höher ist).
Leider hilft Ihnen ein ERP-System nur bedingt dabei, technische Maßnahmen zur Datensicherheit zu ergreifen. Die ERP-Lösung selbst sollte zwar ausreichend gesichert sein (dafür sorgt bereits der ERP-Anbieter), aber um den Rest Ihrer IT-Infrastruktur müssen Sie sich schon selbst kümmern. Es gibt allerdings einen weiteren Faktor, der Ihnen bei dem Thema Datensicherheit direkt in die Hände spielt: Zentralisierung.
Wie wir bei den anderen Punkten bereits gesehen haben, bildet ein ERP-System einen zentralen Knoten der IT-Infrastruktur, der Daten für andere Systeme zur Verfügung stellt. Das heißt natürlich auch: wenn alle personenbezogenen Daten an einer Stelle gespeichert werden, können Sie Ihre technischen Schutzmaßnahmen auf diese eine Datenbank konzentrieren. Das verringert den Aufwand ungemein, denn Sie müssen sich nicht mehr um die Sicherheit verschiedener Einzelsysteme sorgen.
Zentrale Datenhaltung im ERP-System sorgt also dafür, dass Sie die in der DSGVO geforderte Datensicherheit einfacher und effizienter umsetzen können.
Wer die DSGVO umsetzen will, muss erst Ordnung schaffen
Keine Software der Welt kann Ihnen die Umsetzung der EU Datenschutz-Grundverordnung vollständig abnehmen. Das liegt daran, dass die Vorgaben der DSGVO zu einem großen größten Teil Prozesse betreffen. Und Prozesse lassen sich nur bedingt digitalisieren – das gilt besonders dann, wenn Menschen beteiligt sind.
ERP-Systeme zielen nicht ausschließlich darauf ab, Geschäftsabläufe zu automatisieren. Sie sollen auch Prozesse steuern, koordinieren und überwachen. Und genau das macht eine ERP-Lösung zu einem hilfreichen Werkzeug für die Umsetzung der DSGVO. Mit einem ERP-System fällt es Ihnen leichter, Ihre Prozesse zu strukturieren und zu dokumentieren. Kurz gesagt: Sie schaffen Ordnung. Und diese Ordnung ermöglicht es wiederum, Prozesse einfacher so zu modifizieren, dass sie die Vorgaben der DSGVO erfüllen.
Rechtlicher Hinweis:
Die kostenlosen und frei zugänglichen Inhalte dieser Webseite wurden mit größtmöglicher Sorgfalt erstellt. Wir weisen jedoch ausdrücklich darauf hin, dass wir keine Gewähr oder sonstige Verantwortung für die Richtigkeit, Aktualität oder Vollständigkeit der auf dieser Webseite bereitgestellten journalistischen Ratgeber und Informationen übernehmen.
Die Inhalte auf dieser Webseite dienen weder als rechtliche Beratung für Ihr Unternehmen, auf die Sie sich bei der Einhaltung der gesetzlichen Regelungen zum Datenschutz – insbesondere der DSGVO – stützen können noch können sie eine individuelle Rechtsberatung ersetzen.
Durch den Aufruf dieser kostenlosen und frei zugänglichen Inhalte kommt darüber hinaus mangels eines entsprechenden Rechtsbindungswillens unsererseits keinerlei Vertragsverhältnis zwischen uns und Ihnen als Nutzer der Webseite zustande.
