Danial Sarfraz ist Geschäftsführer und Gesellschafter von Ascensify. Er kennt die IT-Herausforderungen mittelständischer Unternehmen aus eigener Erfahrung – und findet für seine Kunden heute deshalb Lösungen statt Probleme.
Disclaimer: Dieser Artikel dient der allgemeinen Information und ersetzt keine rechtliche Beratung für die Umsetzung der EU-DSGVO. Bei Fragen und Unsicherheiten wenden Sie sich bitte an einen Fachanwalt für Datenschutz.
Wenn Sie in Ihrem Unternehmen ein Enterprise Resource Planning-System (ERP) einsetzen und dabei personenbezogene Daten verarbeiten, kommen Sie um den Datenschutz nicht herum. Stichwort Datenschutz-Grundverordnung, kurz DSGVO. Das Ziel der EU-Regelung ist es unter anderem, sensible Daten wie Kreditkarteninfos, Adressen oder Kontodaten bestmöglich zu schützen. Worauf Sie dabei achten müssen und warum die ERP-Anonymisierung dafür relevant ist, fassen wir hier für Sie zusammen.
DSGVO kurz und knapp zusammengefasst
Die EU-DSGVO (Datenschutz-Grundverordnung) regelt, wie Sie als Unternehmen personenbezogene Daten verarbeiten und schützen müssen. Bei Verstößen drohen Ihnen hohe Geldstrafen. Die wichtigsten Punkte sind dabei:
1. Einwilligung: Bevor Sie Daten verarbeiten, müssen Sie die Zustimmung der Personen einholen.
2. Transparenz: Sie müssen Ihre Kund:innen, Lieferant:innen sowie weitere Betroffene klar und verständlich darüber informieren, welche Daten Sie für welchen Zweck sammeln.
3. Zweckbindung: Sie dürfen Daten nur für den festgelegten Zweck verwenden und nicht anderweitig verarbeiten.
4. Minimierung: Sie dürfen nur die Daten sammeln, die Sie wirklich benötigen, beispielsweise um eine Bestellung abzuwickeln.
5. Richtigkeit: Als Unternehmen sind Sie verpflichtet, sicherzustellen, dass die Daten korrekt und aktuell sind.
6. Speicherbegrenzung: Sie dürfen Daten nicht länger als nötig aufbewahren.
7. Integrität und Vertraulichkeit: Als Unternehmen müssen Sie angemessene Sicherheitsmaßnahmen ergreifen, um die Daten zu schützen, zum Beispiel durch entsprechende Zugriffsrechte.
8. Rechte der Betroffenen: Personen haben das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung ihrer Daten.
9. Datenübertragbarkeit: Personen können verlangen, dass ihre Daten in einem strukturierten Format übertragen werden.
10. Benachrichtigung bei Datenpannen: Im Falle einer Datenpanne müssen Sie Behörden und betroffene Personen darüber informieren.
11. Datenschutzbeauftragter: Wenn in Ihrem oder in einem von Ihnen beauftragten Unternehmen ständig mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, benötigen Sie einen Datenschutzbeauftragten. Wichtig dabei: Auch Freelancer oder Praktikanten werden hier mit eingerechnet.
Was ist Anonymisierung und warum ist sie wichtig?
Bei der Anonymisierung verändern Sie personenbezogene Daten dauerhaft so, dass sie nicht mehr einer bestimmten Person zugeordnet werden können. Sie werden also ent-personalisiert. Dadurch sind sie vor unbefugtem Zugriff und Missbrauch besonders geschützt.
Dem gegenüber steht die Pseudonymisierung. Sie verändern oder verschleiern personenbezogene Daten so, dass sie nicht mehr direkt einer bestimmten Person zugeordnet werden können. Die Zuordnung ist nur noch möglich, wenn Sie die zusätzlichen, separat aufbewahrten Informationen besitzen.
Die Bedeutung der Anonymisierung im ERP-Kontext
Da in vielen ERP-Systemen sensible Daten wie Kundeninformationen, Mitarbeiterdaten und Finanzinformationen gespeichert sind, spielt die Anonymisierung hier eine entscheidende Rolle. Sie stellt sicher, dass Unbefugte selbst bei einem Datenleck keine Rückschlüsse auf individuelle Personen ziehen können.
Anonymisierung in der Praxis: ERP-Apps und Abfragen
Auch wenn moderne ERP-Systeme in der Regel sowieso über datenschutzkonforme Module verfügen, empfehlen wir Ihnen ergänzende, spezielle Anonymisierung-ERP-Apps und gut durchdachte Abfragemethoden. Mit diesen Tools anonymisieren Sie sensible Daten automatisch, zum Beispiel nach festgelegten Löschfristen. Achten Sie also schon bei der Auswahl des ERP-Systems darauf, mit welchen Modulen es ausgestattet ist und welche Erweiterungen verfügbar sind.
Unsere Empfehlung: Ganz klar die GDPR-Toolbox for Dynamics 365 Business Central / NAV. Mit dieser Erweiterung speichern Sie beispielsweise, woher der Datensatz kommt, wann der Speicherung zugestimmt wurde und welchen Verarbeitungszweck Sie verfolgen.
Basierend auf unterschiedlichen Löschfristen können Sie mit der App außerdem Daten auf Knopfdruck löschen und anonymisieren.
Anonymisierung in SAP und Microsoft Dynamics
Für viele mittelständische Unternehmen sind die bekannten ERP-Systeme wie SAP und Microsoft Dynamics wichtige ERP-Plattformen. Beide bieten integrierte Anonymisierungsfunktionen, um sensible Daten zu schützen, ohne dabei jedoch die Funktionalität der Systeme zu beeinträchtigen.
Fazit: Anonymisierung ist wichtig
Zusammengefasst sollte die Anonymisierung also ein fester Bestandteil Ihres Datenschutzkonzepts sein, sollten Sie ein ERP-System nutzen. Sie sind dadurch nicht nur rechtlich auf der sicheren Seite, sondern stärken gleichzeitig das Vertrauen Ihrer Kund:innen und Geschäftspartner:innen.