Laut EU-Datenschutz hat darf jeder Bürger verlangen, dass die von ihm gespeicherten Daten gelöscht werden. Bei Lieferscheinen, Rechnungen und in Archiven entsteht dadurch ein Interessenskonflikt, argumentiert Rudolf Schäfer Produktmanager beim Standardsoftwerker proALPHA.
Seit Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DSGVO) wird die Datenqualität noch wichtiger. IT-Verantwortliche müssen sich nun verstärkt darum kümmern, in welchen Systemen die Daten zu Ansprechpartnern von Interessenten, Kunden oder Lieferanten lagern. Nach einer gründlichen Bestandsaufnahme sind Prozesse zu vereinheitlichen und Compliance-Regeln aufzustellen oder anzupassen. Dies umfasst auch die Kommunikation mit externen Dritten. Hier sollte jedes Unternehmen mit allen Geschäftspartnern eine Vereinbarung zur Auftragsdatenverarbeitung abschließen – unterstützt durch seinen Datenschutzbeauftragten.
Nach dem Grundsatz der Datensparsamkeit sind in betriebswirtschaftlichen Systemen (ERP(Enterprise Resource Planning) so wenige Daten wie möglich zu erfassen. Bei ERP-Lösungen wie proALPHA, die mit einer zentralen Datenbank für alle Module arbeiten und bereits den Anforderungen der EU-DSGVO entsprichen, ergibt sich für Anwender kein unmittelbarer Handlungszwang. Dennoch stellen Benutzer-, Adress- und Belegdaten kritische Bereiche dar. Alle externen Belege wie Lieferscheine oder Rechnungen enthalten gegebenenfalls schützenswerte Daten von natürlichen Personen. Bei einer Löschung und Anonymisierung dieser Daten würde ein Beleg durch die nachträgliche Änderung seine steuerliche Dokumentationsfunktion verlieren. Daher muss bei archivierten Belegen die Belegadresse erhalten bleiben, auch wenn der Kunde die Löschung oder Anonymisierung fordert. Die Dokumentationspflicht gegenüber den Finanzbehörden hat in diesem Fall Vorrang gegenüber dem Bedürfnis des Kunden nach Datenschutz.
Der Autor
Rudolf Schäfer ist Produktmanager beim Standardsoftwerker proALPHA. Quelle: proalpha
Beim Dokumentenmanagementsystem gibt es ebenfalls einen Interessenskonflikt: Einerseits sollen gemäß DSGVO nicht mehr benötigte oder zur Löschung bestimmte Daten mehr oder weniger automatisch verschwinden. Andererseits fordert der Gesetzgeber die Unveränderlichkeit eines Archivs. Diese Grundsätze widersprechen sich.
Insgesamt ist der Wechsel vom Bundesdatenschutzgesetz zur DSGVO kein Selbstläufer. Unternehmen müssen die Rechtsgrundlagen kennen und die Anforderungen in die Praxis umsetzen und sich durch technische und organisatorische Maßnahmen absichern. Oft kann dabei der ERP-Hersteller mit speziellen Services und Beratung Unterstützung leisten. Dann lässt sich die Komplexität des Datenqualitätsmanagements im Rahmen der DSGVO mit einem überschaubaren Aufwand reduzieren. jf
