ERP-Software und der Datenschutz

In ERP-Systemen deutscher Unternehmen werden tagtägliche große Mengen an Daten verarbeitet. Der Schutz dieser teils sensiblen Informationen sollte daher das A und O sein. Im Folgenden befassen wir uns daher einmal mit datenschutzrechtlichen Fragestellungen in Bezug auf ERP-Software: Risiken, DSGVO-Vorgaben, Datenschutz-Maßnahmen und die Sicherheit der Cloud.

Was versteht man unter Datenschutz eigentlich?

Der Begriff Datenschutz wurde in der zweiten Hälfte des 20. Jahrhunderts geprägt und wird teils unterschiedlich interpretiert bzw. definiert. So kann sich Datenschutz unter anderem auf die Folgenden Dinge beziehen:

  • Schutz der Privatsphäre,
  • Schutz vor missbräuchlicher Datenverarbeitung,
  • Schutz des Persönlichkeitsrechts bei der Datenverarbeitung und
  • Schutz des Rechts auf informationelle Selbstbestimmung.

Im Zeitalter der Digitalisierung spielt der Datenschutz eine größere Rolle denn je. Er wirkt Entwicklungen wie dem „gläsernen Menschen“ – der völligen Durchleuchtung des Menschen und seines Verhaltens – entgegen und soll jedem Menschen das Recht einräumen, selbst darüber zu entscheiden, wem er welche persönlichen Daten wann zugänglich macht. Dies bezieht sich dabei nicht nur auf Mitmenschen, sondern ist vor allem auch gegenüber Institutionen und Organisationen bzw. der Regierung zu verstehen.

Datenschutz in Unternehmen

Auch Unternehmen ist am Datenschutz gelegen. Einerseits geht es beim unternehmerischen Datenschutz darum, vertrauliche Informationen und Betriebsgeheimnisse beispielsweise vor Mitbewerbern zu schützen. Andererseits haben Unternehmen dafür Sorge zu tragen, dass die von ihnen erhobenen und zumeist in CRM-Systemen gespeicherten personenbezogenen Kundendaten sicher verwahrt sind.

Die Datenschutz-Grundverordnung (DSGVO)

Innerhalb der Europäischen Union definiert die Datenschutz-Grundverordnung (DSGVO) einheitliche Regeln zur Verarbeitung personenbezogener Daten. Ziel der DSGVO ist einerseits der Schutz personenbezogener Daten innerhalb der EU. Andererseits soll durch die Datenschutz-Grundverordnung jedoch auch der freie Datenverkehr im EU-Binnenmarkt gewährleistet werden. In Kraft trat die DSGVO (auch Verordnung (EU) 2016/679) final am 25. Mail 2018.

Bedeutung für Unternehmen

Für deutsche Unternehmen ist die Datenschutzgrundverordnung aus unterschiedlichen Gründen von Bedeutung. Einerseits haben sie dafür Sorge zu tragen, dass die DSGVO auch im eigenen Hause eingehalten wird. Dies kann in gewissem Maße zunächst einmal mit einem Mehraufwand einhergehen, obgleich dieser durch die richtigen softwareseitigen Rahmenbedingungen deutlich reduziert werden kann. Andererseits helfen Datenschutzbestimmungen Unternehmen auch dabei, ihre eigenen Daten sicher zu verwahren und so zu schützen.

Welche Datenschutzmaßnahmen sollten Unternehmen treffen?

In der Datenschutz-Grundverordnung ist von „technischen und organisatorischen Maßnahmen“ (TOM) die Rede, mittels welcher die definierten Grundsätze umgesetzt werden sollen.

Technische Maßnahmen umfassen dabei Schutzversuche, welche im weitesten Sinne „physisch“ umsetzbar sind oder über Hard- bzw. Software umgesetzt werden.

Organisatorische Maßnahmen umfassen Schutzversuche, welche durch Verfahrens- und Vorgehensweisen bzw. Handlungsanweisungen umgesetzt werden.

Zugriffsrechte

So fällt beispielsweise die Vergabe von Zugriffsrechten innerhalb der unternehmenseigenen ERP-Software unter diese TOM. Die meisten ERP-Systeme am Markt ermöglichen eine rollenbasierte Vergabe von Rechten innerhalb der Nutzeroberfläche. So haben Administratoren beispielsweise andere Rechte in Bezug auf die Einsicht und Veränderung von Daten als einfache Nutzer oder Gäste.

Revisionssichere Ablage

Die sogenannte „revisionssichere Ablage“ oder auch „revisionssichere Archivierung“ zählt wohl zu den am häufigsten genannten Anforderungen in Bezug auf den Datenschutz. Im Wesentlichen geht es bei der Revisionssicherheit darum, aufbewahrungswürdige oder aufbewahrungspflichtige Dokumente vor einer nachträglichen Änderung zu schützen und so eine Manipulation der Daten im Archiv zu verhindern. Häufig ist die revisionssichere Archivierung wichtiger Bestandteil des Anforderungsprofils von Unternehmen an eine geeignete DMS-Software.

Back-Ups

Back-Ups zählen zu den rudimentärsten Datenschutzmaßnahmen, die ein Unternehmen ergreifen kann. Hierbei geht es weniger darum, die Daten vor dem Zugriff Dritter zu schützen, sondern mehr um eine eigene Rückversicherung für den Ernstfall. Kommt es zu einem Datenverlust – beispielsweise durch eine Beschädigung der Hardware bei einem lokalen System – sind die Daten von einem anderen Medium wiederherstellbar, sofern zuvor ein Back-Up durchgeführt wurde. Die abgesicherten Daten können sich beispielsweise in der Cloud befinden.

Ab wann braucht mein Unternehmen einen Datenschutzbeauftragten?

In Zusammenhang mit dem Datenschutz in Unternehmen kommt häufig auch die Frage auf, ab wann ein Betrieb einen Datenschutzbeauftragten engagieren muss. Grundsätzlich sieht die DSGVO europaweit die Bestellung von Datenschutzbeauftragten zumindest in allen öffentlichen Stellen und an solchen privaten Unternehmen, bei denen besonders risikoreiche Datenverarbeitungen erfolgen, vor. Konkretisiert werden die Anforderungen der DSGVO vom deutschen Gesetzgeber im Rahmen des neu gefassten Bundesdatenschutzgesetzes. Demzufolge ist ein Datenschutzbeauftragter insbesondere dann zu bestellen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (vgl. datenschutzexperte.de, 19.08.2022).

Wie sicher ist die Cloud?

Häufig werden datenschutzrechtliche Bedenken vor allem in Zusammenhang mit Cloud-Lösungen geäußert. Dies ist einerseits auf die Infrastruktur der Cloud zurückzuführen. Grundsätzlich liegen die Daten, die von Unternehmen in der Cloud gespeichert werden, im Internet. Dies bedeutet jedoch keinesfalls, dass sie auch frei zugänglich sind. Andererseits tragen auch Medienberichte über Hackerangriffe in großen Rechenzentren dazu bei, dass manche Unternehmen den Weg in die Cloud aus datenschutzrechtlichen Bedenken noch nicht gewagt haben. In der Realität bleiben jedoch verheerende Datenlecks und folgenschwere Hackerangriffe in Anbetracht der Anzahl von Nutzern, die ihre Daten in der Cloud ablegen, eher die Seltenheit.

Datenschutzmaßnahmen der Cloud-Betreiber

Vielmehr ist es die mediale Aufmerksamkeit, die ihren Beitrag zur Skepsis gegenüber der Cloud leistet. Große Cloud-Betreiber verfügen sowohl über die Expertise als auch über die finanziellen Mittel, um ihre eigenen Datenschutzkonzepte auf dem neuesten Stand zu halten. Letztlich ist es auch in ihrem Interesse, sorgsam mit Kundendaten umzugehen und Skandale zu vermeiden. Zwar sind sie attraktivere Ziele für Hackerangriffe als ein kleines, mittelständisches Unternehmen, welches eine On-Premises ERP-Software betreibt. Doch stehen einem KMU, welches sämtliche Datenschutzmaßnahmen in Eigenregie abwickelt, auch weitaus weniger Ressourcen und Kapazitäten zur Verfügung. Aus diesem Grund lässt sich nicht pauschalisieren, welches Lizenzmodell das sicherere ist.

Folgen bei Verstößen gegen die DSGVO

Ein Verstoß gegen den Datenschutz muss nicht zwangsläufig immer die Form eines großen Hackereingriffes annehmen, sondern kann auch unbeabsichtigt entstehen. Grundsätzlich besteht bei Datenschutzverstößen eine Meldepflicht an die Datenschutz-Aufsichtsbehörde gemäß Art. 33 DSGVO. Diese gilt nicht, wenn der Verstoß voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (vgl. datenschutzexperte.de, 19.08.22).

Bußgeldvorschriften: Wie teuer ist ein Datenschutz-Verstoß?

Ein Verstoß gegen den Datenschutz kann für Unternehmen sehr teuer werden. Je nach Bußgeldtatbestand müssen Betriebe mit einem Bußgeld von bis zu 10.000.000 Euro (bzw. 2 Prozent vom Gesamtumsatz des Vorjahres, falls höher) oder bis zu 20.000.000 Euro (bzw. 4 Prozent vom Gesamtumsatz des Vorjahres, falls höher) rechnen (mein-datenschutzbeauftragter.de, 19.08.2022).

DSGVO-konforme ERP-Software finden: So klappt’s

Allein aus diesem Grund lohnt es sich, entsprechende TOM zu ergreifen und mithilfe einer ERP-Software und entsprechender softwareseitiger Automatisierungen den Datenschutz im eigenen Betrieb zu wahren. Sie können User beispielsweise an die Löschung personenbezogener Daten erinnern, wenn ein Kunde vom „Recht auf Vergessenwerden“ Gebrauch macht. Auch unterstützen ERP-Systeme dabei, erhobene Daten stets richtig und aktuell zu halten.

Den richtigen Anbieter finden

Unternehmen auf der Suche nach einem sicheren ERP-System können bei der ERP-Auswahl auf unterschiedliche Kriterien achten. Beispielsweise kann der Fokus auf Cloud-Anbieter gelegt werden, deren Rechenzentrum innerhalb der Europäischen Union – und somit innerhalb des Geltungsbereiches der DSGVO – liegt. Spezifische Anforderungen lassen sich zudem im persönlichen Kontakt mit potenziellen Anbietern näher vertiefen und sollten in jedem Fall im Lastenheft aufgeführt werden.