Die neue EU-Datenschutz-Grundverordnung (DSGVO)

März 2018

DGVSO

Über die neue EU-Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft tritt, ist schon viel geschrieben worden. Zur Erinnerung: Die Verordnung gilt für die Verarbeitung der persönlichen Daten von EU-Bürgern.

Es braucht kein Label, um zu zeigen, dass das Unternehmen DSGVO-konform ist. Es müssen Massnahmen ergriffen werden, um den Datenschutz dauernd zu gewährleisten, und diese müssen schriftlich festgehalten werden.

Unter den wichtigsten Elementen, welche die ERP direkt betreffen, sind:

  • Einverständniserklärung
  • Rechtmässigkeit der Verarbeitung
  • Recht auf Datenübertragbarkeit (für die von der Person gelieferten Daten)
  • Transparenz, Zugriff auf die eigenen Daten, Recht auf Berichtigung
  • Recht auf Vergessen
  • Einschränkung der Verarbeitung
  • Sicherheit
DGVSO und ProConcept

Was die ERP betrifft

Zugang zu den persönlichen Daten

Was die Konsultation der eigenen Daten betrifft, so sind zwei Module besonders betroffen: das CRM und die Löhne. In der ERP gibt es viele Berichte, namentlich die Mitarbeiterkarte, in denen die persönlichen Daten zusammengefasst werden können, um bei Anfrage ein einheitliches Dossier präsentieren zu können. Die Selbstbedienungsplattform E-HRM bietet dazu ein elegante Lösung, bei der Transparenz mit Prozessverwaltung kombiniert werden.


Recht auf Vergessen

Die Daten müssen rechtmässig, loyal, transparent gesammelt und verarbeitet werden, adäquat, auf das Nötigste begrenzt sein und während der für den Zweck erforderlichen Dauer gespeichert werden.
Um dieser Verpflichtung nachzukommen, können Mechanismen aktiviert werden, um Daten zu anonymisieren oder nach einer definierten Aufbewahrungszeit zu löschen.
Für weitere firmenspezifische Informationen kontaktieren Sie bitte Ihren Consultant.

Was die Priorität zwischen DSGVO und Obligationenrecht betrifft, so hat letzteres stets Vorrang. Hingegen müssen Massnahmen getroffen werden, damit die Anforderungen der DSGVO bezüglich der Zugriffsrechte der Benutzer auf die Buchungen erfüllt werden.


Sicherheit

Die DSGVO zeigt einen Rahmen auf, aber enthält weder technische Anforderungen noch zeigt sie explizit auf, welche Schritte unternommen werden müssen. Es werden gewissen Hinweise bezüglich der Risiken und der verfügbaren technischen Mittel geliefert.

  • Bezifferung gewisser Daten
  • Vertraulichkeit, Integrität, Verfügbarkeit und  Resilienz der Systeme gewährleisten
  • Die Verfügbarkeit der Daten in angemessenen Fristen wieder herstellen
  • Die Effizienz der technischen und organisatorischen Massnahmen testen und bewerten

 
In der Praxis empfehlen wir dringend, die Systeme zu sichern:

  • Die Zugriffsrechte in der ERP definieren und mit Hilfe von Gruppen zusammenzufassen
  • Systematisch durch Passwort geschützte Sicherheitskopien der Datenbank erstellen
  • Die Datenbank schützen, indem keine offensichtlichen Passwörter verwendet werden
  • Den Zugang absichern, indem für den Zugriff auf die ERP passwortgeschützte Rollen verwendet werden, um den Zugang über fremde Tools zu verhindern
  • Den Zugang zum Datenbankserver sichern, die Firewall konfigurieren, um die Autorisierungen zu definieren
  • Das Speichern von Passwörtern in Excel-/ODBC-Dokumenten vermeiden Für diese Verbindungen spezifische Benutzer verwenden
  • Sowohl die ERP, die Datenbank als auch die Drittapplikationen regelmässig aktualisieren

Kontaktieren Sie uns bei Fragen: