In vielen produzierenden Unternehmen kommen standardmäßig ERP-Systeme zum Einsatz. Ein Enterprise-Resource-Planning-System oder kurz ERP-System dient der funktionsbereichsübergreifenden Unterstützung sämtlicher in einem Unternehmen ablaufenden Geschäftsprozesse. Entsprechend enthält es Module für die Bereiche Beschaffung/Materialwirtschaft, Produktion, Vertrieb, Forschung und Entwicklung, Anlagenwirtschaft, Personalwesen, Finanz- und Rechnungswesen, Controlling usw., die über eine (in Form einer relationalen Datenbank realisierte) gemeinsame Datenbasis miteinander verbunden sind (vgl. hier). Auch wenn das Tool im ersten Schritt zur Ressourcen-Planung verwendet wird, werden dort personenbezogene Daten verarbeitet, weshalb datenschutzrechtliche Voraussetzungen einzuhalten sind.
Personenbezogene Daten in ERP-Systemen
Grundsätzlich sind alle die Daten personenbezogen, die einer bestimmten Person zugeordnet werden können. In einem ERP-System sind vor allem die Kategorien der Kunden, Geschäftspartner, Lieferanten und Beschäftigten betroffen, soweit deren Daten im System verwaltet werden sollen. Deutlich personenbezogen sind Daten wie Stammdaten, z. B. Name, Anschrift, Telefonnummer, E-Mail-Adresse. Betrachtet man speziell den Bereich für Debitoren und Kreditoren, können auch Zahlungsdaten und -verhalten, Informationen für die Buchführung, Einkaufsdaten, etc. personenbezogene Daten darstellen, soweit es sich bei dem Debitor bzw. Kreditor um eine natürliche Person handelt. Doch gerade bei den Beschäftigten fallen deutlich mehr personenbezogene Daten an, als auf dem ersten Blick ersichtlich ist. Über die Stammdaten hinaus können auch Daten durch ein Stammdatendesign entstehen, bei dem die Menge der mit diesem Stammdatum verbundenen Personen sehr klein ist. Das können z.B. Materialien sein, die nur ein Mitarbeiter verwenden kann, oder die Kostenstelle, der nur eine Person zugeordnet ist (vgl. Lehnert, Luther, Christoph, Pluder, Datenschutz mit SAP, S. 87.). Auch Logfiles und Benutzerdaten der Personen, die im System arbeiten, stellen personenbezogene Daten dar. Hier zählen z. B. Änderungsdaten von einzelnen Sachverhalten dazu, An- und Abmeldezeiten, die Benutzer-ID, Bankverbindungen, Privatadressen sowie organisatorische Zuordnung.
Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten im ERP-System
Als mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im ERP-System, die für Kommunikationszwecke verwendet werden, kommt sowohl Art. 6 Abs. 1 lit. b DSGVO als auch Art. 6 Abs. 1 lit. f DSGVO in Betracht. Hinsichtlich der potentiell verarbeiteten Datenkategorien ist allerdings zu beachten, dass nur solche Daten auf Grundlage der oben genannten Rechtsgrundlagen verarbeitet werden dürfen, deren Verarbeitung im Rahmen der Durchführung der Geschäftsbeziehungen erforderlich ist. Nur solche Informationen, die bezüglich der Ansprechpartner für die Kommunikation im Rahmen der Durchführung der Geschäftsbeziehungen relevant sind, dürfen gespeichert werden. Daher sollte auf die Speicherung von Angaben zum Familienstand, zum Geburtsdatum der Ansprechpartner, etc. verzichtet werden. Diese Informationen dürften (ebenso wie Angaben zu privaten Interessen) nur auf Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO gespeichert werden. Beschäftigtendaten die zur Durchführung des Beschäftigungsverhältnisses erforderlich sind, dürfen nach § 26 Abs. 1 BDSG verarbeitet werden.
Datenschutzrechtliche Grundsätze
Darüber hinaus müssen auch in ERP-Systemen die im folgenden genannten Datenschutzgrundsätze eingehalten werden.
Transparenzgebot
Die Betroffenen sind über sämtliche Datenverarbeitungen zu informieren. Die Informationspflicht nach Art. 13 DSGVO gegenüber den Ansprechpartnern bei den Kunden und Lieferanten kann beispielsweise über die Webseite umgesetzt werden.
Richtigkeit der Daten
Grundsätzlich sind personenbezogene Daten stets richtig und aktuell zu halten. Bereits zu betriebswirtschaftlichen Zwecken ist dies für ein Unternehmen erforderlich. Doch die betroffenen Personen haben diesbezüglich auch ein Recht nach Art. 5 Abs. 1 lit. d DSGVO. Das heißt, ein ERP-System ist stets so aufzubauen, dass eine Korrektur von personenbezogenen Daten möglich ist.
Recht auf Vergessenwerden
Personenbezogene Daten müssen gemäß Art. 17 DSGVO gelöscht werden, sofern die Speicherung der Daten nicht mehr erforderlich ist und gesetzliche Aufbewahrungspflichten einer Löschung nicht entgegenstehen.
Um der Löschpflicht stets nachkommen zu können, sollte ein Löschkonzept in das ERP-System implementierbar sein, um die Löschung stets zum erforderlichen Zeitpunkt automatisch umsetzen zu können. Zusätzlich sollte bereits in der Vorstufe eine Möglichkeit vorhanden sein, Daten für bestimmte bzw. für alle Nutzer sperren zu können, soweit diese Daten nur noch aufgrund der gesetzlichen Aufbewahrungsfrist aufbewahrt werden und ein Zugriff z. B. nur noch in Prüfungsfällen durch das Finanzamt erforderlich wäre.
Datenübertragbarkeit
Die Daten müssen nach den Voraussetzungen des Art. 20 Abs. 1 DSGVO übertragbar sein.
Das Recht auf Datenübertragbarkeit beschränkt sich somit auf Daten, deren Verarbeitung entweder durch eine Einwilligung oder einen Vertrag legitimiert ist. Soweit personenbezogene Daten also auf Grundlage einer Einwilligung oder eines Vertrags verarbeitet werden, ist sicherzustellen, dass die betroffene Person ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten kann. Dafür sollten aus einem ERP-System entsprechende Auswertungen gezogen werden können.
Widerspruch
Der betroffenen Person ist außerdem stets ein Widerspruchsrecht zu gewähren, soweit die Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.
Automatisierte Entscheidungen
Grundsätzlich hat jede betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, soweit diese eine rechtliche Wirkung entfaltet oder die Person in ähnlicher Weise erheblich beeinträchtigt. Eine ausschließlich automatisierte Entscheidung liegt vor, wenn der Entscheidungsprozess im System nicht durch „Wenn-Dann-Regeln“ erfolgt, die ein Mensch vorher definiert hat. Somit sind reine Assistenzsysteme noch nicht als Systeme zu sehen, die unter den Anwendungsbereich des Art. 22 Abs. 1 DSGVO fallen. Dies ist beim ERP System entsprechend zu beachten.
Zweckbindung
Grundsätzlich dürfen personenbezogene Daten nur „für festgelegte, eindeutige und legitime Zwecke“ erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zur vereinbarenden Weise weiterverarbeitet werden. Wenn also personenbezogene Daten im ERP-System hinterlegt sind, ist stets darauf zu achten, zu welchem Zweck diese erhoben werden. Ist eine Zweckänderung geplant, ist dabei stets zu prüfen, ob der Zweck mit dem ursprünglichen Zweck vereinbar ist und ob eine Rechtsgrundlage für die Weiterverarbeitung besteht. Dies ist besonders mit Blick auf mögliche Auswertungs-Tools in ERP-Systemen zu beachten.
Rechenschaftspflicht
Unter der DSGVO neu eingeführt wurde die Rechenschaftspflicht des Verantwortlichen (Art. 5 Abs. 2 DSGVO). So muss der Verantwortliche dokumentieren und stets nachweisen können, dass er die Grundsätze der DSGVO einhält. Um dem nachkommen zu können, sollte ein ERP-System dieser Rechenschaftspflicht nachkommen. Dies kann z. B. dadurch geschehen, dass folgende Protokolle gespeichert werden:
- Lese- und Zugriffsprotokollierung
- Änderungsprotokollierung für personenbezogene Daten
- Protokollierung von Konfigurationsänderungen
- Protokollierung von Systemtransporten
- Protokollierung von Übertragungen
- Protokollierung von Systemereignissen.
Um dem Grundsatz der Datenminimierung nicht entgegenzustehen, sind die Logfiles für einen begrenzten Speicherzeitraum aufzubewahren. Dieser ist vom Unternehmen vorab festzusetzen und als Löschkonzept zu hinterlegen.
Technische und Organisatorische Maßnahmen nach Art. 32 DSGVO
Hinsichtlich der Verarbeitung von personenbezogenen Daten in ERP-Systemen sind die Vorgaben aus Art. 32 DGSVO bezüglich der zu treffenden technischen und organisatorischen Maßnahmen einzuhalten.
Need-to-know / Berechtigungskonzept
Zugriffsberechtigungen auf personenbezogene Daten sind grundsätzlich nach dem „Need to Know Prinzip“ zu vergeben. Rechtssicher wäre eine Gestaltung, bei der Nutzer des ERP-Systems nur auf solche Daten Zugriff haben, die sie im Rahmen ihrer konkreten Tätigkeit benötigen
Vertrag zur Auftragsverarbeitung
Zwischen dem einsetzenden Unternehmen und dem Software-Hersteller muss ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen werden, sofern das Unternehmen zu Fernwartungszwecken Zugriff auf das System haben kann oder das System extern gehostet wird.
Vereinbarung zur gemeinsamen Verantwortung nach Art. 26 DSGVO
Soweit ein ERP-System konzernweit zum Einsatz kommt, muss ggf. eine Vereinbarung nach Art. 26 DSGVO geschlossen werden.
Fazit
Der Einsatz eines ERP-Systems ist aus datenschutzrechtlicher Sicht nicht zu unterschätzen und sollte im Idealfall unter Einbeziehung des Datenschutzbeauftragten geplant werden.