Blick ins Produkt
Alle Beiträge

Welche Datenschutzvorgaben gelten für ERP-Systeme?

Aktualisiert: 01. Juli 2019

4 min.

Haufe Redaktion Mittelstand Datensicherheit & Datenschutz

Nicht erst seit der DSGVO fragen sich Unternehmen, wie sie ihre Daten bestmöglich schützen können. Das ERP-System steht dabei im Fokus, denn hier fließen besonders schützenswerte Informationen zusammen. Wir zeigen Ihnen, welche Datenschutzvorgaben wichtig sind und was Sie sonst noch beim Thema Datenschutz und ERP-Systeme beachten sollten.

Die Sicherheit ihrer Daten spielt für Firmen eine erfolgsentscheidende Rolle. Denn wenn Informationen verloren gehen, oder nicht mehr verfügbar sind, steht im schlimmsten Fall der Betrieb still. Geraten die Daten in die falschen Hände, kann das außerdem rechtliche Konsequenzen haben. Unternehmensdaten müssen daher geschützt und unerwünschte Zugriffe verhindert werden. Erfahren Sie, worauf es beim Datenschutz und der Rechtskonformität von ERP-Systemen ankommt.

Privacy by design and default

Datenschutzbestimmungen wie die DSGVO betreffen alle Unternehmen, die personenbezogene Daten von Kunden oder Mitarbeitern verarbeiten. Da ERP-Systeme automatisch solche Daten verarbeiten, sollten Anwender auf die Datenschutz-Compliance des Systems achten, denn: bei Verstößen drohen hohe Bußgeldstrafen.

Wichtig ist die Vorgabe: Privacy by Design and Default. Die ERP-Software soll durch ihre technische Gestaltung und durch datenschutzkonforme Voreinstellungen für die Einhaltung von Datenschutz-Vorgaben sorgen. Außerdem sollten Anbietern den Nutzern die Umsetzung so einfach wie möglich gestalten. Denn so komplex die Einhaltung der Regelungen ist, so einfach sollte sie im System selbst sein. Die folgenden technischen und organisatorischen Maßnahmen sind dabei für den Datenschutz zentral:

  • Schutz personenbezogener Daten: Das ERP-System muss gewährleisten, dass personenbezogene Daten vor unrechtmäßiger Verarbeitung geschützt werden. Mitarbeiter sollten im ERP-System nur auf die Daten zugreifen können, die sie für ihre Arbeit wirklich brauchen. Das gelingt Ihnen mit einem digitalen Rechtemanagement.
  • Recht auf Vergessenwerden: Jede betroffene Person hat nicht nur das Recht, alle über sie gesammelten personenbezogenen Daten einzusehen und zu ändern, sondern auch, diese löschen zu lassen. Achten Sie darauf, dass mit ihrem ERP-System ein übersichtliches Datenmanagement sowie die einfache Löschung sämtlicher Daten möglich ist. Jedoch dürfen an dieser Stelle die rechtlichen Aufbewahrungs– und Archivierungspflichten nicht außer Acht gelassen werden. 
  • Informationspflicht: Sobald personenbezogene Daten erhoben werden, müssen die betroffenen Personen darüber informiert werden. Alle für das Unternehmen relevanten Prozesse sind so zu gestalten, dass der Datenfluss transparent ist. Es ist daher wichtig, dass Ihr ERP-System den Weg der Datenerhebung einsehbar anlegt. Des Weiteren sollte Sorge getragen werden, dass sich die Verarbeitung auf Wunsch des Betroffenen auch nachträglich wieder einschränken lässt.

Cloud-ERP und Datenschutz

Ein weiterer wichtiger Faktor beim Thema Datenschutz und ERP-Systeme ist die Frage, ob das ERP auf einem eigenen oder einem externen Server betrieben wird. Cloud-ERP, also webbasierte Formen von ERP-Systemen haben hier die Nase vorn: Mit „Cloud“ ist eine externe IT-Infrastruktur gemeint, in der Daten in einem Netzwerk von Servern gespeichert werden. Das bedeutet: Anstatt auf Servern im eigenen Haus, liegen die Daten in einem zentralen Rechenzentrum und werden von dort durch eine gesicherte Verbindung über das Internet abgerufen.

Haufe X360 Datenschutzexperte Raphael Pfaff räumt mit einem Irrglauben auf:

„Viele KMU haben noch datenschutzrechtliche Bedenken gegenüber der Cloud und halten ihre Daten auf dem eigenen Server für sicherer. Zu Unrecht: Denn Cloud-ERP-Anbieter sind viel besser in der Lage, stetig wandelnde Datenschutz- und Sicherheitsstandards einzuhalten und in Cybersecurity zu investieren als KMU es leisten könnten."

Der jeweilige Anbieter trägt für die Sicherheit seiner Infrastruktur Sorge, denn sein Geschäftsmodell hängt direkt vom Vertrauen seiner Kunden ab. Durch regelmäßige Updates wird das System durch IT-Profis immer aktuell gehalten und eventuelle Sicherheitslücken werden früh geschlossen. So gewährleisten Cloud-Dienste meist eine höhere Datensicherheit, als sie beim Betrieb auf eigenen Servern möglich wäre. Microsoft investiert für seine Azure-Cloud beispielsweise jährlich knapp eine Milliarde Dollar in den Bereich der Cybersecurity. Dieses Volumen ist für ein einzelnes Unternehmen mit eigenen Servern nicht stemmbar.

Cloudbasierte ERP-Systeme werden in spezialisierten Rechenzentren betrieben. Diese erfüllen höchste Anforderungen hinsichtlich Zutrittsschutz, Redundanz der Datenhaltung, Wartung, Brandschutz und Katastrophenabwehr. Die meisten kleineren und mittleren Unternehmen können diesen Sicherheits-Standard für ihren eigenen Serverraum nicht ansatzweise erfüllen. Auf der sicheren Seite sind Sie beim Hosting in Deutschland, denn dann gelten die strengen deutschen und europäischen Datenschutzbestimmungen.

Datenschutz und Compliance durch Profis

Die Anforderungen an Datenschutz und Rechtskonformität sind unübersichtlich und sehr hoch. Am besten ist es, wenn die Umsetzung von Datenschutzvorgaben von Experten gewährleistet wird. Für ein sorgenfreies Arbeiten mit einer ERP-Lösung ist es daher ratsam, auf einen ERP-Anbieter zu setzen, der durch eine hohe inhouse-Kompetenz für die Einhaltung von Datenschutzrichtlinien sorgen kann.

Bei Haufe X360 können wir Ihnen dank unserer geballten Fachkompetenz die Datenschutzkonformität und Rechtssicherheit unserer Cloud-ERP garantieren: Unsere Datenschutz- und Compliance-Experten und unser Partnernetzwerk sorgen dafür, dass Datenschutz-Gesetze zuverlässig eingehalten und Anforderungen an Buchhaltung und Archivierung bereits bei der Implementierung rechtssicher erfüllt werden. Des Weiteren erleichtern Ihnen im Alltag beispielsweise Automationen die Einhaltung des Löschkonzepts. Das System regelt für Sie den Datenschutz im Hintergrund, während Sie sich ganz auf Ihr Kerngeschäft konzentrieren. Dank höchster Sicherheitsstandards beim Hosting sind Ihre Daten bei uns absolut sicher.