Das müssen Sie 2024 über die DSGVO und ERP als Unternehmer wissen
Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO) in allen Mitgliedstaaten der EU. Doch noch immer gibt es viele datenschutzrechtliche Aspekte, die nicht jedem stets bewusst sind – geht Ihnen das genauso? Zu diesem Zweck geben wir Ihnen nun eine Auffrischung über die DSGVO und wie Sie Bußgelder vermeiden – vor allem in Bezug auf die Nutzung von ERP-Software, mit der Sie als KMU schließlich viele Prozesse in Ihrem Unternehmen optimieren und automatisieren können. Zusätzlich liefern wir Ihnen als Erinnerung 7 wichtige Maßnahmen, die Sie hoffentlich rechtzeitig umsetzen, um die DSGVO einzuhalten.
Wofür steht die DSGVO?
Die Datenschutzgrundverordnung (DSGVO) ist eine zentrale vom Europäischen Parlament beschlossene Verordnung. Den genauen Wortlaut der Verordnung können Sie hier nachlesen. Ziele sind ein einheitliches Datenschutzrecht und der Schutz personenbezogener Daten. Zu personenbezogenen Daten gehören Name, Anschrift, Telefonnummer, Geburtsdatum, E-Mail-Adresse, Einkommen und Kontodaten sowie gesundheitliche Informationen einer Person. Aber auch das Kfz-Kennzeichen, die IP-Adresse oder das Kauf-, Surf-, und Klickverhalten im Internet zählen dazu. Die DSGVO regelt das Datenschutzrecht, also den Umgang von Unternehmen mit diesen Daten. Die wesentlichen Elemente des aktuell geltenden Bundesdatenschutzgesetz (BDSG) blieben erhalten, viele Regelungen wurden aber auch verschärft. Die DSGVO gilt für alle Unternehmen innerhalb der EU und auch für Unternehmen mit Sitz außerhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten oder eine Niederlassung in der EU haben. Betroffen ist jedes Unternehmen, das im Internet aktiv ist.
Das ist das Ziel der DSGVO
Das maßgebliche Ziel, der zum Datenschutz errichteten Verordnung bleibt: Die Grundrechte jeder natürlichen Person sollen geschützt werden. Personenbezogene Daten dürfen weiterhin nicht erhoben, verarbeitet oder genutzt werden, außer Sie haben eine ausdrückliche Erlaubnis dazu. Außerdem dürfen Sie nur so viele Daten erheben und verarbeiten, wie Sie tatsächlich benötigen. Die Daten müssen inhaltlich und sachlich richtig und immer aktuell sein. Zudem dürfen Sie nicht zweckentfremdet werden. Im Folgenden erläutern wir Ihnen, welche Datenschutzbestimmungen Sie beachten müssen, um die DSGVO einzuhalten und Bußgelder zu vermeiden.
Das gilt seit der Aktualisierung der DSGVO von 2018
Was bei der Auftragsdatenverarbeitung zu beachten ist (Art. 28 ff. DSGVO)
Bei der Auftragsverarbeitung werden personenbezogene Daten durch einen Auftragnehmer im Auftrag des Verantwortlichen verarbeitet. Zum Beispiel wird ein externes Kundencenter oder Rechenzentrum eingesetzt. Vor der Einführung der aktuellen DSGVO war im BDSG nur der Auftraggeber für die Datenverarbeitung verantwortlich. Nun tragen jedoch sowohl Auftraggeber als auch Auftragnehmer gleichermaßen die Verantwortung. Der Vertrag muss nicht schriftlich geschlossen, sondern kann nun auch elektronisch gefasst werden.
WICHTIG FÜR UNSERE KUNDEN: Das betrifft natürlich auch unsere Kunden, denn wenn Hilfestellung per Remote-Support (TeamViewer, Remote Desktop, o. ä.) geleistet wird, dann erhalten wir unter Umständen Einblicke in personenbezogene Daten (Ansprechpartner bei Kunden/Lieferanten/Interessen, Kalender- oder E-Mail-Inhalte oder Daten zu Ihren Mitarbeitern). Hierzu erhalten Sie ein Info-Mailing unseres Datenschutzbeauftragten, der Ihnen den Sachverhalt einmal näherbringt. Ebenso haben wir vorgefertigte Verträge für unsere Kunden, welche die wesentlichen Punkte abdecken.
Das gilt bei für Einwilligung der Kunden (Art. 7 DSGVO)
Wenn Sie in Ihrem Unternehmen personenbezogene Daten verarbeiten, müssen Sie sich eine ausdrückliche Zustimmung Ihrer Kunden einholen. Ein voreingestellter Haken in einem Kontrollkästchen auf Ihrer Webseite genügt zum Beispiel nicht mehr und ist keine wirksame Einwilligung. Die Einwilligung muss also durch eine klare Handlung erteilt werden und freiwillig sein. Ein Vertrag darf beispielsweise nicht an die Verarbeitung von Daten gebunden sein, die mit der Leistung oder dem Produkt nichts zu tun haben. Weiterhin muss die Einwilligung jederzeit widerrufen werden können. Der Widerruf der Einwilligung muss dabei einfach und transparent sein, wie auch die Erteilung der Einwilligung. Bei Minderjährigen ist eine Einwilligung ohne Zustimmung der Eltern erst ab 16 Jahren wirksam. Diese Grenze kann von den Mitgliedsstaaten auf 13 Jahre herabgesetzt werden.
WICHTIG FÜR UNSERE KUNDEN: Das betrifft natürlich auch unsere Kunden, denn wenn Hilfestellung per Remote-Support (TeamViewer, Remote Desktop, o. ä.) geleistet wird, dann erhalten wir unter Umständen Einblicke in personenbezogene Daten (Ansprechpartner bei Kunden/Lieferanten/Interessen, Kalender- oder E-Mail-Inhalte oder Daten zu Ihren Mitarbeitern). Hierzu erhalten Sie in Kürze ein Info-Mailing unseres Datenschutzbeauftragten, der Ihnen den Sachverhalt einmal näherbringt. Ebenso haben wir vorgefertigte Verträge für unsere Kunden, welche die wesentlichen Punkte abdecken.
Über das Recht auf Vergessenwerden (Art. 17 DSGVO)
Auf Wunsch müssen Unternehmen die Löschung personenbezogener Daten vornehmen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt. Die Daten müssen gelöscht werden, wenn der Zweck für die Datenverarbeitung wegfällt, diese unrechtmäßig war oder der Betroffene seine Einwilligung widerrufen hat
Datenübertragbarkeit (Art. 20 DSGVO)
Nutzer können persönliche Daten, zum Beispiel bei einem Wechsel zu einer anderen Bank, einem neuen Arbeitgeber oder auch zu anderen sozialen Netzwerken, zu einem anderen Anbieter mitnehmen. Allerdings ist noch unklar, wie dies in der Praxis umgesetzt wird.
Das gilt für die Datenübertragbarkeit (Art. 20 DSGVO)
Nutzer können persönliche Daten, zum Beispiel bei einem Wechsel zu einer anderen Bank, einem neuen Arbeitgeber, zu anderen sozialen Netzwerken oder zu einem anderen Anbieter mitnehmen.
Dazu sind Sie im Bereich Datensicherheit verpflichtet (Art. 32 DSGVO)
Um personenbezogene Daten im Missbrauchs- und Verlustfall zu schützen, müssen Datenverarbeiter geeignete technische und organisatorische Maßnahmen treffen. Wie diese Maßnahmen genau aussehen, orientiert sich am Stand der Technik, notwendigen Implementierungskosten und auch den gegebenen Umständen. Für den Verantwortlichen besteht die Verpflichtung, die Datensicherheit regelmäßig zu überprüfen.
Das müssen Sie über Ihre Meldepflichten wissen (Art. 33 Abs. 1 DSGVO)
Im Falle einer Datenpanne gibt es ab jetzt konkrete Fristen. Sie müssen jede Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden, wenn die Rechte und Pflichten des Betroffenen einem Risiko ausgesetzt sind. In diesem Zuge gibt es auch eine Dokumentationspflicht für Unternehmen gegenüber der Behörde, um die Meldepflicht zu überprüfen.
Der Datenschutzbeauftragte (Art. 39 DSGVO)
Seit 2018 gibt es EU-weit einen Datenschutzbeauftragten. Der Datenschutzbeauftragte ist unter anderem dafür zuständig, die Einhaltung der Verordnung zu überwachen und Schulungen durchzuführen.
Vereinfachte Beschwerden (Art. 77 DSGVO)
Nun ist es möglich, Widerspruch bei der Datenschutzbehörde des eigenen Landes einzureichen, ungeachtet dessen wo der Sitz des jeweiligen Unternehmens ist. Auch Verbände dürfen seit 2018 im Auftrag von Verbrauchern klagen.
Diese DSGVO-Artikel sind für Sie relevant bei der Nutzung von ERP-Software
ERP-Software hat einen positiven Einfluss auf die Effizienz fast aller Geschäftsprozesse in Ihrem Unternehmen – das macht allerdings die Auswirkungen auf die Datenschutzbestimmungen umso größer. Aus diesem Grund haben wir die wichtigsten Artikel der DSGVO für ERP-Systeme einmal für Sie zusammengefasst.
Über die Grundsätze bei der Verarbeitung personenbezogener Daten (Art. 5 DSGVO)
Im Artikel 5 der DSGVO werden die Grundsätze für die Verarbeitung personenbezogener Daten festgelegt, die auch in ERP-Systemen eingehalten werden müssen. Dazu gehören Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.
Ist die Rechtmäßigkeit der Verarbeitung geklärt? (Art. 6 DSGVO)
Im Artikel 6 der DSGO werden die Bedingungen beschrieben, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist. Es ist wichtig sicherzustellen, dass ERP-Software eine rechtliche Grundlage für die Verarbeitung personenbezogener Daten haben, wie beispielsweise die Einwilligung der betroffenen Person, die Erfüllung eines Vertrags oder die Wahrung rechtlicher Verpflichtungen.
Über die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO)
Die Verarbeitung sensibler Daten, wie zum Beispiel Gesundheitsdaten, werden im Artikel 9 der DSGVO geregelt. ERP-Systeme müssen sicherstellen, dass diese sensiblen Daten mit besonderer Sorgfalt behandelt werden und dass die betroffenen Personen explizit ihre Einwilligung zur Verarbeitung dieser Daten gegeben haben.
Mit datenschutzfreundlichen Voreinstellungen Technik gestalten (Art. 25 DSGVO)
Artikel 25 der DSGVO betont die Bedeutung der datenschutzfreundlichen Gestaltung von Systemen. ERP-Systeme sollten daher standardmäßig Datenschutzmaßnahmen wie Datensparsamkeit oder Pseudonymisierung beachten.
Was Sie bei Auftragsverarbeitung beachten müssen (Art. 28 DSGVO)
Im Artikel 28 der DSGVO wird die Zusammenarbeit zwischen Verantwortlichen und Auftragsverarbeitern geregelt. Wenn Sie als Unternehmen ein ERP-System als Auftragsverarbeiter nutzen, muss ein Auftragsverarbeitungsvertrag abgeschlossen werden, der die Verpflichtungen und Verantwortlichkeiten beider Parteien in Bezug auf den Datenschutz klar festlegt.
Datenschutzverletzungen
Kommt es zu einer Datenschutzverletzung, muss dies innerhalb von 72 Stunden der zuständigen Behörde gemeldet werden. Sie sollten sicherstellen, dass eine Verletzung auch direkt erkannt.
Was das Verzeichnis von Verarbeitungstätigkeiten enthalten muss (Art. 30 DSGVO)
Organisationen, die personenbezogene Daten verarbeiten, müssen ein Verzeichnis von Verarbeitungstätigkeiten führen – das legt der Artikel 30 der DSGVO fest. ERP-Software sollte daher in der Lage sein, Informationen über die Verarbeitung personenbezogener Daten, einschließlich Zweck, Kategorien von Datenempfängern und Speicherfristen, zu erfassen und zu dokumentieren sowie die Implementierung von Zugriffsbeschränkungen zu ermöglichen, um so den Schutz personenbezogener Daten von Anfang an sicherzustellen.
Sie brauchen noch weitere Infos zur DSGVO und ERP?
Unsere Übersicht enthält nur eine gezielte Auswahl der zu beachtenden DSGVO-Artikel bei der Nutzung von ERP-Systemen. Am besten tauschen Sie sich zusätzlich noch mit Ihrem Datenschutzbeauftragten aus. Ergänzend dazu finden Sie noch detaillierte Informationen am Ende dieses Artikels in der DSGVO-Broschüre von TimeLine ERP.
Haben Sie noch etwas zu tun?
Sind Sie bereits auf dem neuesten Stand der DSGVO-Bestimmungen? Wunderbar. Für alle anderen haben wir zur Erinnerung noch 7 Maßnahmen aufgelistet, an die Sie besser denken, bevor Ihnen ein Bußgeld droht.
1. Sind die für die DSGVO nötigen Strukturen und Verantwortlichkeiten geklärt?
Gibt es in Ihrem Unternehmen eine Datenschutzrichtlinie und sind die Verantwortlichkeiten klar geregelt? Wer hat Zugriff zu welchen Daten und wer entscheidet über die Datenverarbeitung? Setzen Sie am besten einen Datenschutzbeauftragten ein. Sollten Sie mit besonderen personenbezogenen Daten, wie zum Beispiel Gesundheitsdaten, arbeiten, kann es sein, dass Sie verpflichtet sind einen Datenschutzbeauftragten zu bestellen, unabhängig davon, wie viele Mitarbeiter Ihr Unternehmen hat. Falls Sie bereits einen Datenschutzbeauftragten haben, sollten Sie diesen bei der zuständigen Aufsichtsbehörde melden.
2. Haben Sie alle Verträge angepasst?
Sollten Sie mit Dienstleistern zusammenarbeiten, die in Ihrem Auftrag personenbezogene Daten verarbeiten, sollten Sie die Verträge anpassen. Die Inhalte haben sich mit der DSGVO geändert. Sind die Verträge nicht vollständig, droht bereits ein Bußgeld. Prüfen Sie auch die Verträge mit anderen Vertragspartnern, insbesondere in Bezug auf den Haftungs- und Datenschutz.
3. Halten Sie sich transparent an Ihre Informationspflichten?
Transparenz ist eines der wesentlichen Grundsätze des Datenschutzrechts. Schon bei der Erhebung der Daten, müssen Sie den Betroffenen über die Verarbeitung informieren. Dazu zählt zum Beispiel der Verwendungszweck, Angaben dazu, wie lange die Daten gespeichert werden oder auch das Widerrufsrecht.
4. Haben Sie alle Ihre Formulare und Einwilligungen angepasst?
Wie bereits weiter oben beschrieben, gibt es mit der DSGVO strengere Regeln, was die Handhabung von Einwilligungen angeht. Mit jeder Einwilligung muss nun auch über die Widerrufsmöglichkeiten informiert werden. Außerdem müssen Sie gewisse Einschränkungen beachten, wenn Sie die Einwilligung in Ihre AGB integrieren oder sie an eine andere Handlung koppeln möchten, wie zum Bespiel an den Abschluss eines Vertrages. Es gibt allerdings auch Vereinfachungen: es ist keine Schriftform mehr notwendig.
5. Sind Ihre Datenschutzerklärungen auf dem neuesten Stand?
Die Informationspflichten gegenüber betroffenen Personen steigen mit der DSGVO deutlich an. So muss die Person über jeden Vorgang informiert werden, bei welchem Sie dessen Daten verarbeiten. Jede Datenschutzerklärung muss außerdem den Namen und die Kontaktdaten des Webseiten-Betreibers enthalten. Haben Sie einen Datenschutzbeauftragten, müssen auch dessen Kontaktdaten angegeben werden. Zudem müssen Sie Angaben zu Rechtsgrundlage und Zweck der Verarbeitung machen.
6. Sind Sie bereit sich rechtzeitig um Datenschutzverletzungen zu kümmern?
Kommt es zu einer Datenschutzverletzung, muss dies innerhalb von 72 Stunden der zuständigen Behörde gemeldet werden. Sie sollten dabei sicherstellen, dass eine Verletzung auch direkt erkannt wird.
7. Schulen Sie Ihre Mitarbeiter regelmäßig?
Im Hinblick auf die bevorstehenden Veränderungen ist es notwendig zu wissen, warum Datenschutz wichtig ist und welche Folgen es hat, wenn dieser nicht eingehalten wird. Deshalb sollten Sie alle Mitarbeiter, die in Ihrem Unternehmen mit personenbezogenen Daten, beispielsweise von Kunden oder Lieferanten, arbeiten, für das Thema Datenschutz sensibilisieren und sie mit den dazugehörigen Anforderungen vertraut machen. Stellen Sie sicher, dass die Daten nicht unberechtigt verarbeitet werden. Nach Art. 39 DSGVO ist es die Aufgabe des Datenschutzbeauftragten die Mitarbeiter zu schulen. Werden die neuen Vorschriften nicht eingehalten, droht ein Bußgeld.
Diese Geldbußen drohen Ihnen bei Verstößen gegen die DSGVO
Haben Sie alles umgesetzt? Falls Sie unsicher sind, klären Sie das besser zeitnah. Die Bedingungen für die Verhängung eines Bußgeldes sind in Artikel 83 und 84 der DSGVO beschrieben. Bei Verstößen ist mit größeren Sanktionen zu rechnen als zuvor. Allerdings kommt es auf die Art des Verstoßes an. So wird zum Beispiel unterschieden, ob vorsätzlich oder fahrlässig gehandelt wurde oder ein Verstoß gemeldet oder der Behörde auf andere Weise bekannt wurde. Bei Verstößen werden Geldbußen von bis zu 10 Mio. EUR oder im Fall eines Unternehmens bis zu 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt. Bei schweren Verstößen können von den Aufsichtsbehörden Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erzielten Jahresumsatzes verhängt werden. Das wollen Sie sicher vermeiden, oder?
DSGVO einhalten? Kein Problem, so helfen wir Ihnen weiter
Wenn Sie mehr über die Datenschutzgrundverordnung (DSGVO) oder die gesamte Funktionspalette von TimeLine ERP erfahren möchten, senden Sie uns gerne eine Nachricht über das Kontaktformular, schreiben an [email protected] oder kontaktieren unser Sales-Team unter +49 212 230 35 200. Wir freuen uns auf Sie und beraten Sie gerne!