Die DSGVO im Ökosystem der ERP-Lösungen – Auswirkung auf das Zusammenspiel zwischen Unternehmen und Dienstleister

PrintMailRate-it
veröffentlicht am 7. Februar 2018
 

Die Datenschutz-Grundverordnung (DSGVO) fordert viel von Unternehmen: Die rechtlichen Grundlagen müssen für eine datenschutzkonforme Verarbeitung gelegt werden, neue Prozesse sind einzurichten, damit den Betroffenenrechten Genüge getan werden kann. Inwieweit das Ökosystem der im eigenen Unternehmen betriebenen ERP-Systeme angepasst werden muss, beleuchtet dieser Beitrag. Dabei wird die Frage beantwortet, welche positiven Auswirkungen die DSGVO hierauf langfristig haben wird.
  
Die DSGVO im Ökosystem der ERP-Lösungen
 

Blickt man auf die Berichterstattungen rund um die DSGVO innerhalb der letzten 12 Monate, so schwant einem, dass ein Bürokratiemonster sondergleichen vor der unternehmerischen Haustür steht und kurz davor ist, zu läuten. Gleich hinter ihm steht ein Vertreter der Aufsichtsbehörde, der den Bußgeldbescheid formularbasiert in Händen hält, versehen mit einem „Radio-Button” für die Auswahl zwischen 2 und 4 Prozent vom weltweiten Gesamtumsatz als Sanktion.
 

Dass man der Verordnung auch etwas Gutes abgewinnen kann, darauf kommt man zunächst nicht. Daher demonstrieren wir am Beispiel des Ökosystems eines ERP-Systems, wie sich die IT-Welt auf lange Sicht positiv verändern wird.
 

ERP-Systeme und DSGVO: Die Vorteile

Lassen Sie uns die Vorteile anhand folgender Themengebiete kurz beleuchten:
  • Entscheidungsfindung zur Anschaffung eines ERP-Systems: Die DSGVO fordert vermehrt die Auseinandersetzung mit dem Schutz der personenbezogenen Daten schon zum Zeitpunkt des „Designs” („Privacy by Design”). Sie beginnt zumindest bei der Erarbeitung des Pflichten- oder Lastenhefts zur Auswahl eines neuen ERP-Systems. Und das ist gut so, denn kein Unternehmen kann es sich leisten, erst nach einem „Go-Live” die Schutzmaßnahmen miteinzubeziehen. Erfolgt das schon zu einem frühen Zeitpunkt, so werden hohe Folgekosten vermieden. Ein guter Dienstleister kennt die Fallstricke und hilft, das Unternehmen davor zu schützen.
  • Auswahl eines Dritten: Der Einbezug einer Consultingfirma (Implementierung, Customizing, Individualprogrammierung) muss als Auftragsverarbeitung bewertet werden, da der Dritte i.d.R. mit personenbezogenen Daten in Berührung kommt. Die DSGVO sieht eine gesamtschuldnerische Haftung bei Datenschutzverletzungen vor. Falls also bei einer Implementierung eine Verletzung durch den Dritten entsteht, kann sich das Unternehmen nur schwer aus der Verantwortung ziehen. Daher ist auf die Auswahl des Dritten eine erhebliche Sorgfalt zu legen – und das hat auf Dauer eine enorme Auswirkung auf die Anbieter solcher Leistungen.
  • Entwicklung von Grob- und Feinkonzepten: Die Sicherstellung der Anforderungen muss in die Konzepterstellung einfließen. In den sog. „Proof-of-Concepts” müssen die Kosten für einen wirksamen Schutz mit eingeplant und eingepreist werden. Nur so lassen sich auf Dauer Fehlentscheidungen oder teure Nachrüstungen vermeiden. Daher werden wir zu den Standard-Kapiteln dieser Konzepte zunehmend Punkte wie Datenschutz, technisch und organisatorische Maßnahmen, Risikobewertung, Folgenabschätzung etc. vorfinden.
  • Betriebsmodelle: Die Auseinandersetzung mit den Anforderungen der DSGVO wird die Unternehmen mehr denn je dazu bewegen, sich über das jeweilige Betriebsmodell Gedanken zu machen. Die geforderte Risikobewertung wird beeinflussen, welche Sicherheitsmaßnahmen Unternehmen für angemessen halten. Sind der eigene Rechenzentrumsbetrieb oder das Hosting bei einem Dritten die sicherere Variante? Was aber noch bedeutender ist, ist die Tatsache, dass sich auch die Anbieter solcher Lösungen vermehrt mit den Schutzmechanismen und den Folgen einer gemeinsamen Haftung auseinandersetzen müssen.
  • Support und Wartung: Das betrifft auch ggf. vorhandene Sicherheitslücken, die sich durch Wartungs- und Supportprozesse ergeben könnten. Sie werden zunehmend auf den Prüfstand gestellt. Was passiert bei einem Zugriff auf Daten im Rahmen eines Supportprozesses? Wird die Sicherheit der Systeme durch einen Wartungsvorgang gefährdet?
  • Beendigung: In jedem Fall fordert die DSGVO, sich mit dem Zustand der Beendigung von Systemen und Dienstleistungsbeziehungen auseinanderzusetzen. Trennt sich das Unternehmen vom Rechenzentrumsdienstleister oder von einer Consultingfirma, muss sichergestellt sein, dass alle Systeme gestoppt und die Daten übergeben und unwiderruflich gelöscht werden. Sind alle Zugänge für Dritte wirksam gesperrt (Off-Boarding)? Wurde das überprüft? Ist das nachvollziehbar dokumentiert?
     

Fazit

Die Ausführungen zeigen, dass die DSGVO einen nachhaltigen und positiven Einfluss auf Unternehmen haben wird. Die zahlreichen Vorteile sollten im Auge behalten und intern besprochen werden, um das Unternehmen frühzeitig sowie optimal auf die DSGVO vorzubereiten. Nutzen Sie die Anforderungen als Steuerungsinstrument nach innen und außen zu den Geschäftspartnern.
 
 

 Aus dem Entrepreneur

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Jens Hinkelmann

Leiter Geschäftsfeld Unternehmens- und IT-Beratung

Partner

+49 911 1807 8710

Anfrage senden

 IP & TMT Award 2017

IP & TMT Award 2017

 Entrepreneur per E-Mail

Jetzt kostenlos unser Unternehmensbriefing abonnieren!
Deutschland Weltweit Search Menu