Datenschutz in ERP Systemen

Datenschutz

ERP Systeme bieten Unternehmen umfassende Kontrollmöglichkeiten über deren gesamte Geschäftstätigkeiten, doch wie sieht es aus mit dem Datenschutz im ERP System? Diese Frage löst nicht nur bei Datenschützern, Experten, Politikern, IT Verantwortlichen und Unternehmern Diskussionen aus. Der Datenschutz stellt eine wesentliche Thematik rund um und im ERP System dar.

Datenschutz ist wichtig, aber …

Wie viel Gewicht wird bei einer ERP System Bewertungen dem Thema Datenschutz beigemessen? Wahrscheinlich ist die Cloud Lösung ein paar Diskussionen dazu wert. Oder dass Unternehmen, Kunden und Privatleute durch verstärkt pro-aktives, selbst gesteuertes Verhalten den Datenschutz stärken können. Doch dies genügt bei weitem nicht. Es besteht einiges an Potential, um Daten dauerhaft vor Entwendung und falscher Nutzung zu schützen. Dabei wird oft von vier Eigenschaften gesprochen. Im Rahmen von elektronisch abgewickelten Geschäftsvorgängen sind diese vier Eigenschaften massgeblich zum Datenschutz im ERP System zu berücksichtigen:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Verbindlichkeit

Der Vertraulichkeit (engl. confidentiality) wird im ERP System eine hohe Bedeutung zugeschrieben. Gespeicherte Informationen und Daten werden ausschliesslich berechtigten Personen und Rollen zugänglich gemacht. Damit wird ein entscheidender Beitrag zum Datenschutz geleistet. Gespeicherte und zu übertragende Daten können durch Verschlüsselung vor Fremdzugriff geschützt werden. Das Gleiche gilt für Kommunikationsbeziehungen (Datenaustausch, Informationsaustausch). Wie bei anderen IT Systemen spielt die Verfügbarkeit auch im ERP System eine entscheidende Rolle, auch bezüglich dem Datenschutz. Die Verfügbarkeit ist die Wahrscheinlichkeit, dass bestimmte Anforderungen in einem bestimmten Zeitrahmen oder zu einem bestimmten Zeitpunkt vom System erfüllt werden. Die Integrität (engl. Integrity) im ERP System steht für die Korrektheit und Zuverlässigkeit der Daten und somit des gesamten Systems. Der Datenschutz im ERP System lässt sich zudem mittels bspw. Hashfunktionen oder MAC (Message Authentications Codes) als auch digitale Signaturen entscheidend verbessern. Doch zurück zur obigen Frage. Wurden diese Themen bei der Auswahl, Bewertung, Einführung oder Weiterentwicklung ihres ERP Systems eingehend geprüft und abgestimmt? Und das dies nur eine kleine Auswahl an Stichworten war, zeigt bspw. ein weiteres Stichwort: SuisseID.

SuisseID im ERP System

Nachdem der Bundesrat in der Schweiz die beschleunigte Einführung der SuisseID beschlossen hatte, wurde diese bereits im Mai 2010 im Schweizer Markt eingeführt. Der elektronische Identitätsnachweis ist Standard in der Schweiz und dient der verstärkten Mitwirkung am Datenschutz. Unternehmen, die ein ERP System nutzen,  können diese elektronische Signatur verwenden, erhältlich als USB-Stick oder Chipkarte. Dies ist ein weiterer wichtiger Schritt zur sicheren Abwicklung von Geschäften zwischen Privatpersonen und Unternehmen oder Verwaltungen.

Innovative Technologien von heute sollen Verbindlichkeit schaffen. Hat man sich erst einmal für ein System entschieden, ist dies meist eine Long Binding-Beziehung.

Der positive Nutzen durch das ERP System und der „Wermutstropfen“ Datenschutz

Der Nutzen der ERP Systeme wird im Allgemeinen als positiv bewertet, während zahlreiche Anwender befürchten, dass der Schutz vor Datenverlust gesunken ist und dass sich Entwendung und Missbrauch steigern. Die notwendige Offenheit im ERP System macht den absoluten Datenschutz unmöglich. Obgleich dieses Wissens gehen viele Unternehmen und Anwender noch zu sorglos mit ihren Daten um. Es gibt viele spannenden Information welche, wenn diese nicht richtig geschützt werden, die ideale Angriffsfläche für Hacker darstellen. Auch blüht bspw. der Adresshandel, wie Werbenachrichten per Mail, Post oder durch Internet-Provider zeigen. Doch nicht nur das Böse im Dunkeln seit hier erwähnt, denken wir mal an den Umgang mit von Kunden freigegebenen Daten.

Überall sind Kunden heutzutage gefordert, persönliche Daten preis-zugeben. Dies fängt an beim Kauf von Smartphones und Laptops und macht vor Kundenbindungsprogrammen und ständig wachsender Anzahl von geforderten Registrierungen im Internet kaum Halt. In ganz Europa wird der Datenschutz im Zusammenhang mit sensiblen Kundendaten diskutiert. In der Schweiz hat der EDOB (Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte) seinen Bericht hinsichtlich der Einhaltung von Datenschutzrichtlinien zu den Kundenkarten bei Migros und Coop der Öffentlichkeit vorgestellt. Dazu steht ein überarbeiteter Schlussbericht des EDÖB vom 14. Dezember 2015 zur Verfügung. Gerne zitieren wir einen kleinen Ausschnitt daraus:

Seit Sommer 2000 bietet Coop ihren Kunden das Kundenbindungsprogramm Supercard an. Unterdessen ist der Benutzerkreis stetig gewachsen. Heute benutzen rund drei Millionen Haushalte in der Schweiz eine Supercard aktiv. Die bedeutsamste Neuerung stellt die im September 2012 eingeführte Analyse der Einkaufsdaten (Warenkorbanalyse) von Supercard-Kunden zur gezielten Kundenansprache dar. Dazu hat Coop die allgemeinen Geschäftsbedingungen (AGB) zur Supercard entsprechend angepasst. Im Rahmen der Nachkontrolle des EDÖB wurden die Datenabläufe im Zusammenhang mit dem Kundenbindungsprogramm Supercard kontrolliert. Die Komplexität dieses Falls zeigt sich auch an der langen Kontrollzeit vom April 2013 bis im Dezember 2015.

Die Angaben der Personendaten in der Anmeldung zum Supercard-Programm erfolgen nach eigenen Angaben im Sinne des Datenschutzgesetzes. Für die Datenverarbeitung wird ein Rechtfertigungsgrund benötigt, der in diesem Falle durch die Einwilligung der betroffenen Personen bereits gegeben ist. Die rechtliche Gültigkeit der Einwilligung liegt dann vor, wenn dem Kunden eine angemessene Information hinsichtlich der Datenbearbeitung präsentiert wurde und eine freiwillige Willenserklärung vorliegt, die als Zustimmung zur Datenverarbeitung gewertet werden kann.

Wechseln wir die Perspektive. An welchen Kundendaten sind Sie als Unternehmen interessiert, wie erfassen Sie diese, welche Vorkehrungen dazu haben Sie getroffen? Wie werten Sie diese aus und welche Resultate würden sie bei einer Datenschutz Überprüfung bei Ihnen erwarten?

Datenschutz selbst gemacht

Was auch immer zum Datenschutz in ERP System gesagt und gemacht wird, Sie sind dafür verantwortlich. Echten Datenschutz erzielen sowohl Unternehmen als auch Privatpersonen nur durch gewissenhaften Umgang mit ihren (sensiblen) Daten, den Daten ihrer Mitarbeiter und Kunden. Als Faustregel lässt sich Folgendes anführen: So wenig Daten wie möglich, so viele Daten wie nötig. Diese Regel zeigt, wie weit der Weg – vom ERP System mit umfassenden Möglichkeiten – zum echten Datenschutz noch ist.

Das Gesetz sagt Datenschutz, die Realität ist nicht ganz so einfach.

Quellennachweise:

  • B. Baeriswyl und B. Rudin, Perspektive Datenschutz, Praxis und Entwicklung in Recht und Technik, ISBN 3 7255 4329 1, 2002
  • 01.04.2016, http://www.edsb.ch, Kundendaten

 

Veröffentlicht am 12. November 2017

Kommentar schreiben