Datenschutz-Grundverordnung (DSGVO)

Betroffene Personen haben nach § 15 Abs. 1 DSGVO das Recht zu erfragen, ob und welche personenbezogenen Daten verarbeitet werden.

Folge: Die ERP- und CRM-Software muss in der Lage sein, ein vollständiges Reporting mit allen Stamm- und Bewegungsdaten erstellen. Dies schließt auch Drittlösungen ein, die mit dem System verbunden sind, beispielsweise DMS, Add Ons oder angebundene Cloud-Services.

Die Sicherheit personenbezogener Daten wird in der DSGVO großgeschrieben. § 32 DSGVO verlangt unter anderem geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Verschlüsselung personenbezogener Daten sowie der Schutz vor unbefugtem Zugang werden dabei explizit genannt.

Folge: ERP und CRM müssen über ein dezidiertes Rollen- und Rechtekonzept verfügen. Gleichzeitig muss die Verschlüsselung der Daten bis auf Datenbankebene erfolgen. Unter Umständen muss die Performance des SQL-Servers angepasst werden, da die Verschlüsselung zusätzliche Last erzeugt.

Neben zahlreichen Änderungen und Präzisierungen schafft die DSGVO auch neue Rechte. Dazu zählt die Datenportabilität. Damit wird der Wechsel zu einem anderen Anbieter erheblich erleichtert.

Betroffene Personen haben nach § 20 DSVO das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Folge: Die eingesetzte Lösung muss in die Lage versetzt werden, die betroffenen Daten zu ermitteln und bereitzustellen. Der Export kann dabei über einen physischen Datenträger oder über die Bereitstellung eines Downloads erfolgen.

In enger Verbindung zur Datenübertragung steht das Recht auf Löschung, vielfach auch als „Recht auf Vergessenwerden“ bekannt, das in § 17 DSGVO geregelt wird.

Was auf den ersten Blick nach einer einfachen Aufgabe aussieht, wird in der Praxis schnell zu einer komplexen Herausforderung. Denn bei einer ERP-Software würde das Löschen von Datensätzen schnell zu inkonsistenten Datenbanken führen. Zudem müssen gesetzliche Vorgaben wie Aufbewahrungspflichten berücksichtigt werden. Erschwerend kommt hinzu, dass das Löschen personenbezogener Daten auch rückwirkend in Backups und anderen Sicherungssystemen erfolgen muss.

Folge: Die eingesetzte ERP-Branchensoftware bzw. CRM-Lösung müssen einerseits das Recht auf Löschung unterstützen, andererseits die Datenbank konsistent halten. Ein möglicher Ausweg besteht in der Anonymisierung bzw. Maskierung von personenbezogenen Daten. Die Daten bleiben im System erhalten, sind aber nicht mehr der jeweiligen Person zuzuordnen.