Am 25.05.2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Wie wohl jedem bekannt sein sollte, sind der Gegenstand der EU-DSGVO die Vorschriften für die Verarbeitung von „personenbezogenen Daten“. Gemäß Artikel 4 sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Die Verarbeitung von personenbezogenen Daten ist grundsätzlich nicht gestattet. Es sei denn, es handelt sich z.B. um berechtigte Interessen der Unternehmen oder die Verarbeitung ist zur Erfüllung eines Vertrages notwendig oder die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten zugestimmt.

Von der neuen Datenschutz-Grundverordnung werden alle unsere Kunden betroffen sein, selbst wenn sie weniger als 250 Mitarbeiter beschäftigen. Denn alle unsere Kunden verarbeiten im ERP-System „personenbezogene Daten“ mit einem gewissen Risiko.

Im Folgenden wollen wir ein paar Tipps geben, welche Unterstützungen Ihnen ADICOM^® ERP in Bezug auf die neue Datenschutz-Grundverordnung bietet.

Wo sind „personenbezogene Daten“ im ERP-System zu finden?

Insgesamt können im ERP-System an mehreren Stellen „personenbezogene Daten“ verarbeitet werden.

• In der Anwendung „Partner“ in ADICOM^® ERP besteht die Möglichkeit Partner vom Typ „Person“ zu erfassen. Zudem besteht in vielen Anwendungen die Möglichkeit einen „zuständigen Mitarbeiter“ zu hinterlegen, womit zugleich automatisch „personenbezogene Daten“ erfasst werden.
• Standardgemäß werden im ERP-System „personenbezogene Daten“ wie Name, Adresse, alternative Adressen (Lieferadresse, Rechnungsadresse), E-Mail-Adresse (inkl. Name), Telefonnummer bzw. Mobilnummern sowie Bankverbindungen verarbeitet. Die Partnerdaten werden zudem erweitert um „personenbezogene Daten“ durch verschiedene Apps, z. B. Zeiterfassung.
• In der Produktion können Ressourcen für Mitarbeiter erfasst sein und somit „personenbezogene Daten“ enthalten.
• Im Beziehungsmanagement werden Partner klassifiziert, was evtl. als „Profiling“ anzusehen ist.
• Im Workflow-Management können ebenso „personenbezogene Daten“ verarbeitet werden.
• Modifikationen der Partner sowie aus Kundenprojekten können weitere „personenbezogene Daten“ enthalten.
• Ebenso wie „benutzerdefinierte Felder“, die durch einen Anwender neu angelegt wurden.
• Darüber hinaus sind die Belege, Dokumente und Berichte zu betrachten, die ebenfalls „personenbezogene Daten“ enthalten können.

Welche Unterstützung bietet ADICOM^® ERP um diese „personenbezogenen Daten“ gemäß DSGVO zu behandeln?

Einen guten Dienst sollten hier die Berechtigungsfunktionen über die Berechtigungsrollen in ADICOM^® ERP erweisen. Über die Berechtigungsfunktionen kann der Zugriff auf die „personenbezogenen Daten“ auf unterschiedlichen Wegen eingeschränkt werden:

• Mit der Oberflächenberechtigung kann jedes an der Oberfläche sichtbare Feld vor dem Zugriff unberechtigter Personen geschützt werden.
• In Cockpits können über den Designmodus entsprechende Ansichten erfasst werden, die nur einen bestimmten Spaltenvorrat anbieten. Indem dieser Spaltenvorrat keine „personenbezogene Daten“ enthält, kann der Zugriff eingeschränkt werden.
• Das gleiche Prinzip gilt bei den anpassbaren Anwendungen. Indem Ansichten ohne „personenbezogene Daten“ bereitgestellt werden, kann der Zugriff entsprechend eingeschränkt werden.
• Das gleiche Prinzip gilt für den Import und Export von Daten. Der Zugriff auf „personenbezogene Daten“ kann eingeschränkt werden, indem die Berechtigung Filter selbst zu erfassen entzogen wird und nur Filter zur Verfügung gestellt werden, die keine oder nur bestimmte „personenbezogene Daten“ enthalten.
• Der Zugriff auf Belege und Dokumente kann beispielsweise über die inhaltsbezogenen Berechtigungen in den Belegarten oder Dokumentenarten eingeschränkt werden.

Anforderungen der DSGVO

Die folgenden Anforderungen der DSGVO können mit ADICOM^® ERP erfüllt werden:

• Personenbezogene Daten in Multi-Site-Installationen mit Firmen in unterschiedlichen Ländern innerhalb und außerhalb der EU nur zweckgebunden verwalten und auf diese Daten nur denjenigen Personen Zugriff gestatten, die für die Durchführung des Zweckes verantwortlich sind
• Änderung von personenbezogenen Daten protokollierenWeitergabe von personenbezogenen Daten beschränken
• Weitergabe (Exporte aus dem ERP-System) von personenbezogenen Daten protokollieren
• Zugriff auf personenbezogene Daten beschränken
• Nachweis über gespeicherte Daten einer Person erbringen
• Löschen von personenbezogenen Daten ermöglichen
  
  

Wenn die betroffene Person der Verarbeitung von personenbezogenen Daten zugestimmt hat, wo kann ich das in ADICOM^® ERP hinterlegen?

Die Einverständniserklärung kann als Dokument in ADICOM^® ERP auf verschiedene Weisen verknüpft werden. Somit kann jederzeit geprüft werden, ob eine Einverständniserklärung vorliegt, und die Einholung der Erklärung kann auf einem einfachen Weg dokumentiert werden. Zusätzlich könnten Sie ein weiteres Feld für Einverständniserklärungen erfassen. Label: „Einverständniserklärung für Verarbeitung XY liegt vor“. Eingabemöglichkeit: „Gültig bis Ende Vertragserfüllung“, „Gültig bis auf Widerruf“, usw.

Was kann bei einer evtl. Überprüfung einer Aufsichtsbehörde vorgelegt werden?

Über die Berichte, die für die Berechtigungsrollen vorhanden sind, können schon jetzt Dokumente über die Steuerung der Berechtigungsrollen und damit der Zugriffseinschränkung ausgegeben und damit dokumentiert werden.

Was muss ein Unternehmen in jedem Fall selbst erstellen?

Das Verzeichnis über Verarbeitungstätigkeiten und deren Risikofolgenabschätzung ist von Unternehmen selbst zu erstellen. Hierzu bieten wir Unterstützung durch die Berichte der Berechtigungsrollen, denen z. B. die Anzahl der zugriffsberechtigten Personen bzw. Benutzer entnommen werden kann.

Sollte eine betroffene Person eine Anfrage über die gespeicherten Daten stellen, welche Unterstützung bietet ADICOM^® ERP dafür bisher?

Über die Anwendung „Cockpit: Partner“ im Framework „Beziehungs-Management“ oder durch entsprechende Export-Filter auf Business Objects mit „personenbezogenen Daten“ stehen Ausgabemöglichkeiten zur Verfügung. Benutzer können über die Dokument-Vorlagen entsprechende Anschreiben an die betroffenen Personen erzeugen.
Darüber hinaus können Berichte erfasst werden, mit denen die Daten ausgegeben werden können.

Was ist zu tun, wenn eine betroffene Person ihr Recht auf „Vergessen werden“ beansprucht?

In Deutschland z. B. unterliegen Handelsbelege, die u. a. personenbezogene Daten beinhalten, verschiedenen Aufbewahrungsfristen. Sind die Aufbewahrungsfristen abgelaufen (meist nach 6 oder 10 Jahren), dann können diese Belege mit einem Löschkennzeichen versehen und anschließend mit der entsprechenden Reorganisationsanwendung gelöscht werden.

Zusätzlich werden wir in naher Zukunft weitere Unterstützungen anbieten

So sollen bald Attribute als „personenbezogen“ und „sensibel personenbezogen“ gekennzeichnet werden können und auf dieser Basis weitere Berechtigungsmöglichkeiten geschaffen werden.

AN WEN KÖNNEN SICH PARTNER ODER BERATER WENDEN, WENN SIE FRAGEN ZUR UNTERSTÜTZUNG FÜR DIE EU-DSGVO DURCH ADICOM^® ERP HABEN?

KONTAKT
Wenn Sie Unterstützung bei der technischen Umsetzung benötigenkönnen Sie sich auf folgenden Wegen an unseren Support wenden: Rufen Sie uns einfach an, oder schreiben Sie uns eine kurze Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!. Wir freuen uns auf Ihre Rückmeldung.

> Zu den Kontaktmöglichkeiten

Wir bitten um Verständnis dafür, dass diese Nachricht keine Rechtsberatung darstellt und die Einholung einer Rechtsberatung nicht ersetzen kann. Vielmehr handelt es sich hierbei um Hinweise, wie mit ADICOM^® ERP ausgewählte Anforderungen der EU-DSGVO umgesetzt werden können.