ERP-News

FachinformationIT & OrganisationFinanzwesen & Controlling - 24.04.18

EU-Datenschutz-Grundverordnung

Künftig gelten beim Datenschutz strengere Vorschriften

Verschärfter Datenschutz im Anmarsch

Im April 2016 verabschiedete das EU-Parlament die neue EU-Datenschutz-Grundverordnung (EU-DSGVO). Genau zwei Jahre hatten Unternehmen Zeit, um sich auf die neuen rechtlichen Rahmenbedingungen vorzubereiten.

Künftig gelten beim Datenschutz strengere Vorschriften. Grund hierfür ist die EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese EU-Norm beinhaltet neue Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung und Nutzung personenbezogener Daten. Sie hat daher Auswirkungen auf praktisch alle Unternehmen, die Waren oder Dienstleistungen anbieten und Daten von Ansprechpartnern in ihren IT-Systemen speichern. Und welches Unternehmen tut das nicht in Vertrieb, Service oder Rechnungswesen?

Dr. Marcus Hirschfelder, Fachanwalt für Verwaltungsrecht bei der Saarbrücker Kanzlei Gessner Rechtsanwälte Partnergesellschaft mbB, erläutert den rechtlichen Hintergrund: „Die neue EU-Datenschutz-Grundverordnung ist im Mai 2016 in Kraft getreten, Anwendung finden die Vorschriften der EU-Datenschutzgrundverordnung ab Mai 2018. Anders als bei der alten Datenschutzrichtlinie gilt sie sofort europaweit. Sie muss nicht erst durch die einzelnen Mitgliedsstaaten umgesetzt werden. Damit gibt es auch keine nationalen Gestaltungsspielräume.“

Das Thema ist komplex. Im Kern geht es um folgende Aspekte:

  • Beweislastumkehr
    Bislang standen bei Verstößen die Behörden in der Nachweispflicht. Künftig gilt das umgekehrte Prinzip: Nun müssen die Unternehmen beweisen, dass sie rechtskonform arbeiten.

  • Dokumentationspflicht
    Unternehmen müssen künftig dokumentieren, warum und wie sie persönliche Daten verarbeiten. Zudem sind sie verpflichtet, die Sicherheitsmaßnahmen konkret nachzuweisen.

  • Mehr Transparenz
    Wer einem Unternehmen Daten überlässt, hat künftig ein Recht zu erfahren, wie diese verarbeitet und verwendet werden. Unternehmen sind verpflichtet, ihre Kunden aktiv zu informieren, wenn die Daten zum Beispiel für Werbezwecke verarbeitet werden. Die Auskunft muss dabei klar und verständlich formuliert sein.

  • Daten mitnehmen
    Wer einen Anbieter wechselt, soll seine Daten bei Bedarf mitnehmen können.

  • Recht auf Vergessen
    In Zukunft gibt es ein gesetzlich verbrieftes „Recht auf Vergessen“. Die EU-DSGVO regelt, wann nicht mehr benötigte Daten zu löschen sind.

  • Ende des Adresshandels
    Das sogenannte Listenprivileg, nach dem Adressen zu Werbezwecken weitergegeben werden dürfen, entfällt. Hierfür ist künftig die ausdrückliche Genehmigung der betroffenen Personen erforderlich.

  • Meldeauflagen
    Datenschutzverletzungen sind künftig der EU und den betroffenen Personen in einem einheitlichen Verfahren zu melden. Unternehmen sind stärker als zuvor verpflichtet, schnell zu reagieren.

Handlungsbedarf für die IT und die interne Organisation

IT-Verantwortliche müssen sich, sofern noch nicht geschehen, jetzt darum kümmern, in welchen Systemen sie Daten zu Ansprechpartnern von Interessenten, Kunden oder Lieferanten gespeichert haben. „proALPHA Anwender haben es hier leicht, denn die ERP-Komplettlösung arbeitet mit einer zentralen Datenbank für alle Module“, sagt Rudolf Schäfer, Product Manager bei proALPHA. „Grundsätzlich entspricht proALPHA bereits den Anforderungen der EU-DSGVO. Alle uns bekannten und mit Anwendern verprobten Anforderungen an Software werden bereits heute grundlegend durch die Software erfüllt. Daher ergibt sich für proALPHA Kunden kein unmittelbarer Handlungszwang bezüglich ihres ERP-Systems.“

Neben einer gründlichen Bestandsaufnahme geht es vor allem darum, Prozesse zu vereinheitlichen und Compliance-Regeln aufzustellen beziehungsweise anzupassen. Auch Datenschutz und -verwendung sollten klar geregelt sein. Stand heute erfüllen allerdings bei weitem noch nicht alle Unternehmen die neuen Vorschriften – aus technischen wie organisatorischen Gründen. „Nichts zu tun, ist keine Option“, mahnt Dr. Martin Gessner, Fachanwalt für IT-Recht bei der Kanzlei Gessner Rechtsanwälte Partnergesellschaft mbB: „Zum einen haben Betroffene, deren Datenschutz verletzt wurde, einen Schadensersatzanspruch. Zum anderen sind empfindliche Bußgelder vorgesehen. Die Obergrenze liegt hier bei bis zu 4 Prozent des weltweiten Jahresumsatzes.“

Software-Hersteller in der Pflicht

Nicht nur Industrie und Handel sind von der Richtlinie betroffen. Auch die Software-Hersteller sind gefordert. Zum einen muss mit dem Einsatz moderner Datenverschlüsselung der unerlaubte Zugriff auf gespeicherte Daten verhindert werden. Zum anderen ist Software so zu strukturieren, dass Anwender die Verordnung in der Praxis einhalten können. Im Zusammenhang mit dem neuen EU-Datenschutz werden für die IT insbesondere zwei Ansatzpunkte diskutiert: Privacy by Design und Privacy by Default. Rudolf Schäfer von proALPHA erklärt: „Mit dem ‚Privacy by Design‘-Konzept erhalten Datenschutz und Privatsphäre bereits in der Softwareentwicklung mehr Gewicht. Jede Software sollte Funktionen enthalten, mit denen sich Daten zu Personen einfach suchen und löschen lassen. Das gehört bei proALPHA zum Standard und ist schon heute möglich.“ Das „Privacy by Default“-Konzept soll gewährleisten, dass Software standardmäßig mit datenschutzfreundlichen Voreinstellungen ausgeliefert wird. In vielen Fällen werden damit unbeabsichtigte Verstöße gegen die EU-Datenschutz-Grundverordnung wirksam verhindert. „Wie bei jeder rechtlichen Änderung haben wir bei proALPHA auch hier genau geprüft, ob und wenn ja, welcher Änderungsbedarf besteht, damit wir pünktlich eventuell notwendige Anpassungen abschließen können. Zwar sind viele Anforderungen nur organisatorisch zu lösen. Dabei stellt proALPHA jedoch ein wichtiges Werkzeug dar. An einigen Stellen haben wir uns daher entschieden, unsere Anwender mit Komfort- und Automatisierungsfunktionen noch besser als bisher bei der Erfüllung der einschlägigen Vorschriften zu unterstützen“, ergänzt Rudolf Schäfer.

Dass die Materie nicht zu unterschätzen ist, weiß auch IT-Fachanwalt Dr. Gessner: „Personenbezogene Daten dürfen künftig nur in Übereinstimmung mit der Datenschutz-Grundverordnung verarbeitet werden. Unternehmen sind verpflichtet, dies durch geeignete technische und organisatorische Maßnahmen sicherzustellen. Und sie müssen dies auch nachweisen können. Die einzelnen Bestimmungen sehen hierfür teils sehr umfassende Auskunfts-, Melde-, Dokumentations- und Berichtspflichten vor. Werden beispielsweise im Zuge der Datenverarbeitung Personen systematisch und regelmäßig beobachtet, ist ein Datenschutzbeauftragter zu benennen. Wir empfehlen Unternehmen, sich bei Bedarf von spezialisierten Beratern bei der Umsetzung begleiten zu lassen.“

Seite weiterempfehlen:

proALPHA Newsletter

Immer auf dem Laufenden: regelmäßige News rund um ERP, proALPHA und aktuelle Business-Themen.

Jetzt abonnieren

Pressekontakt

Für Rückfragen und weitere Informationen zur Pressearbeit von proALPHA steht Ihnen Susanne Koerber-Wilhelm gerne zur Verfügung.

+49 89 92306841-445 presse@proalpha.com

Weitere Fachinformationen