Lesezeit: 4 Min
Tipps zur DS-GVO-konformen Einhaltung der Vorgaben
Unternehmen nutzen ERP-Systeme zur übergreifenden Planung und Koordinierung von Abläufen. Meist werden diese Systeme genutzt, um verschiedene Prozesse effektiv miteinander zu verknüpfen.
Nicht selten werden hier personenbezogene Daten verarbeitet. Das bedeutet auch hier muss die Einhaltung der Datenschutzgrundverordnung (DS-GVO) sichergestellt werden.
Was sind ERP-Systeme?
Um Abläufe in einem Unternehmen rechtzeitig und effektiv zu planen, nutzen Firmen sogenannte ERP-Systeme. Die Abkürzung ERP entsteht aus der Bezeichnung Enterprise-Resource-Planing. Es geht also darum, Personal und Ressourcen entsprechend zu planen. Ressourcen können dabei ganz unterschiedlich sein, wie zum Beispiel Kapital, Betriebsmittel, Material, Informations- und Kommunikationstechnik.
Die ERP-Systeme werden dabei zum Beispiel für die Bedarfsplanung von Material in produzierenden Unternehmen genutzt. Aber auch Personalplanung oder andere Bereiche können hierbei eine wichtige Rolle spielen. Längst werde ERP-Systeme auch für nicht-produzierende Unternehmen zum Beispiel bei Dienstleistungen o.ä. genutzt.
Da die Systeme in der Regel IT-basiert sind, ist neben oder im Datenschutz auch die IT-Sicherheit des Systems ausreichend zu bewerten und sicher zu stellen. Darüber hinaus müssen aber auch die manuellen Verfahren, wie die Nutzung und Vernichtung von ausgedruckten Dokumenten entsprechend berücksichtigt werden.
Warum ist der Datenschutz relevant bei ERP-Systemen?
Auch wenn ein ERP-System in der Regel für Prozesse genutzt wird, so werden hier auch personenbezogene Daten verarbeitet. Das kann auf unterschiedliche Weise passieren und ist manchmal nicht unbedingt sofort ersichtlich.
Wenn es um den Datenschutz geht, betrachten viele Verantwortliche den Betroffenen vor allem aus der Sicht des Kunden oder Interessenten. Vor allem in Produktion, Versand, Auftragsbearbeitung oder Angebotserstellung fallen hier die verschiedensten personenbezogenen Daten an. Aber auch Mitarbeiter sind Betroffene im Sinne des Datenschutzes, also müssen auch die Daten der „Bediener“ oder des „Ausführenden“ im ERP-System entsprechend gesichert verarbeitet werden.
Der Datenschutz ist also in der Regel fast in allen Bereichen eines Unternehmens zu berücksichtigen, so auch in der Verwendung des ERP-Systems.
Welche personenbezogenen Daten werden in ERP-Systemen verarbeitet?
Um diese Fragestellung adäquat beantworten zu können, muss man sich zu erst einmal eine andere Frage stellen, nämlich: Was sind personenbezogene Daten? Kurz gesagt, sind Daten immer dann personenbezogen, wenn sie einen Rückschluss auf eine natürliche Person zulassen. Das kann durch Daten wie Name, Adresse, Geburtsdatum usw. sein, aber auch durch IP-Adressen und auch Merkmale, die eventuell auch in unterschiedlichen Situationen unterschiedlich zu betrachten sind.
Darüber hinaus gibt es auch personenbezogene Daten der besonderen Kategorie – also Daten, die besonders zu schützen sind. Dazu zählen zum Beispiel Gesundheitsdaten. Ausführlicher können Sie sich hier zum Thema personenbezogene Daten informieren.
Je nachdem für welche Abläufe ein ERP-System genutzt wird, werden hier eben auch personenbezogene Daten verarbeitet. Dabei kann es um die Produktion oder den Versand von Waren an eine natürliche Person oder auch einen Ansprechpartner eines Unternehmens gehen, Produktionsbemerkungen in dem zum Beispiel Namen oder andere personenbezogene Daten verarbeitet werden. Darüber hinaus sind aber zum Beispiel auch die Daten der Benutzer – Anmeldename, Kontaktdaten oder Zuständigkeiten – zu berücksichtigen.
Es gilt also wie in allen Bereichen eines Unternehmens, auch hier aus Sicht des Datenschutzes die Abläufe und die zu verarbeitenden Daten genau zu prüfen und zu beurteilen.
ERP-Systeme und die Rechtsgrundlage im Datenschutz
Die Verarbeitung von personenbezogenen Daten ist nur dann erlaubt, wenn sie beispielsweise durch eine gesetzliche Vorgabe geregelt ist oder eine Einwilligung des Betroffenen vorliegt.
Die Verarbeitung von personenbezogenen Daten muss daher immer rechtmäßig sein. So auch bei den Daten in einem ERP-System. Dabei kann die Rechtsgrundlage sehr unterschiedlich sein, zum Beispiel die Verarbeitung im Rahmen einer Geschäftsbeziehung oder bei Beschäftigten eben auch die Verarbeitung im Rahmen der Ausübung einer Tätigkeit oder ggf. auch einer Einwilligung.
Dabei gilt es auch zu beurteilen, welche Daten die entsprechende Rechtsgrundlage erfüllen, d.h. welche Daten dürfen verarbeitet werden. Bestimmte Daten, die beispielsweise über einen Kunden gesammelt werden, halten der Prüfung einer Rechtsgrundlage eventuell gar nicht Stand. Ein Fachmann, wie z.B. ein (externer) Datenschutzbeauftragter, kann dabei unterstützen.
Grundsätze Datenschutz
Für die Verarbeitung von personenbezogenen Daten gelten auch im Umgang mit ERP-Systemen die Grundsätze im Datenschutz, dazu zählen:
- Rechtmäßigkeit
- Zweckbindung
- Datenminimierung/-sparsamkeit
- Richtigkeit
- Speicherbegrenzung (Löschung/Sperrung)
- Integrität und Vertraulichkeit
- Rechenschaftspflicht (Dokumentation)
Die Grundsätze im Datenschutz sind in Artikel 5 der DS-GVO geregelt und gelten für alle, die personenbezogene Daten verarbeiten, unabhängig von Größe und Fachgebiet.
TOM, VVT und Betroffenenrechte
Wie bei jeder Verarbeitung von personenbezogenen Daten, muss auch bei der Verarbeitung durch ERP-Systeme darauf geachtet werden, dass alle notwendigen Schritte im Datenschutz geprüft, eingehalten und umgesetzt werden. Dazu gehören zum Beispiel die technischen und organisatorischen Maßnahmen (TOMs), welche die Sicherheit der verarbeiteten personenbezogenen Daten sicherstellen. Außerdem muss die Verarbeitung der Daten in das Verzeichnis von Verarbeitungstätigkeiten (VVT) aufgenommen und dort dokumentiert werden. Auch die Betroffenenrechte müssen in jedem Fall im ausreichenden Maß umgesetzt werden.
Bei der Umsetzung des Datenschutzes bei ERP-Systemen sollten Unternehmen prüfen, ob ein externer Datenschutzbeauftragter die richtige Wahl für eine Unterstützung darstellt. Er kann dabei helfen, die komplexen Vorgaben im Datenschutz umzusetzen. Für viele Unternehmen ist das Bestellen eines Datenschutzbeauftragten ohnehin Pflicht – dieser kann intern oder extern besetzt werden. Ein externer Datenschutzbeauftragter kann dabei von außen neutral und mit dem nötigen Knowhow die Umsetzung des Datenschutzes im Unternehmen begleiten.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.