DSGVO und ERP: die Checkliste für ein KMU

Ihr ERP zentralisiert die sensibelsten Daten des Unternehmens: Kunden, Mitarbeitende, Lieferanten. Hier eine konkrete Checkliste, um Ihre Verwaltungssoftware DSGVO-konform zu machen, ohne unnötiges Fachchinesisch.

Warum die DSGVO Ihr ERP direkt betrifft

Ein ERP ist im Hinblick auf die Regulierung kein Werkzeug wie jedes andere. Es bündelt von Natur aus personenbezogene Daten: Kundendatensätze, Kontaktdaten von Interessenten, Arbeitsverträge, Gehaltsabrechnungen, Kaufhistorien, Support-Tickets. Damit wird es zum Nervenzentrum Ihrer Konformität mit der DSGVO, der seit Mai 2018 geltenden Datenschutz-Grundverordnung.

Für ein KMU ist die gute Nachricht, dass die Herstellung der Konformität keine Anwaltskanzlei in Vollzeit erfordert. Sie beruht auf einem strukturierten und dokumentierten Vorgehen. Die folgende Checkliste greift die wichtigsten Anforderungen auf, die es Verarbeitung für Verarbeitung durchzugehen gilt.

Die DSGVO-Checkliste für Ihre Verwaltungssoftware

1. Das Verzeichnis der Verarbeitungstätigkeiten führen (Artikel 30)

Dies ist der Grundstein der Konformität. Das Verzeichnis der Verarbeitungstätigkeiten erfasst für jeden Zweck (Verkaufsverwaltung, Lohn, Akquise, Support) die Kategorien der erhobenen Daten, die betroffenen Personen, die Empfänger und die Aufbewahrungsfristen.

Best Practices für ein ERP:

  • Jedes Modul kartieren, das personenbezogene Daten verarbeitet (CRM, HR, Rechnungsstellung, Support).
  • Den genauen Zweck jeder Verarbeitung angeben — keine Erhebung „für alle Fälle".
  • Das Verzeichnis bei jeder neuen Funktion oder Integration aktualisieren.

Die Führung dieses Verzeichnisses ist verpflichtend, sobald Sie Daten regelmäßig verarbeiten, was bei jedem KMU der Fall ist, das ein ERP nutzt.

2. Die Rechtsgrundlage jeder Verarbeitung bestimmen (Artikel 6)

Jede Verarbeitung muss auf einer der sechs in der DSGVO vorgesehenen Rechtsgrundlagen beruhen. Die häufigsten im KMU:

  • Die Erfüllung eines Vertrags: einen Kunden abrechnen, einen Auftrag verwalten.
  • Die rechtliche Verpflichtung: Buchungsbelege aufbewahren, den Lohn melden.
  • Das berechtigte Interesse: angemessene B2B-Akquise, Systemsicherheit.
  • Die Einwilligung: Newsletter, Marketing-Cookies, B2C-Akquise.

Die häufige Falle besteht darin, überall die Einwilligung heranzuziehen. In Wirklichkeit beruht Ihr CRM meist auf der Vertragserfüllung oder dem berechtigten Interesse und das HR-Modul auf der rechtlichen Verpflichtung. Dokumentieren Sie die gewählte Grundlage im Verzeichnis.

3. Ihre Auftragsverarbeiter einbinden: der AVV (Artikel 28)

Sobald Ihr ERP bei einem Dienstleister gehostet wird oder sich in Drittdienste (Zahlung, E-Mail-Versand, Buchhaltung) integriert, werden diese Akteure zu Ihren Auftragsverarbeitern im Sinne der DSGVO. Sie müssen mit jedem einen AVV (Auftragsverarbeitungsvertrag) abschließen.

Dieser Vertrag legt insbesondere fest:

  • Den Gegenstand und die Dauer der übertragenen Verarbeitung.
  • Die vom Auftragsverarbeiter umgesetzten Sicherheitsmaßnahmen.
  • Das Verbot, ohne Genehmigung einen weiteren Unterauftragsverarbeiter hinzuzuziehen.
  • Die Zusage der Unterstützung bei einer Datenschutzverletzung oder einem Antrag auf Ausübung von Rechten.

Fordern Sie dieses Dokument vor der Unterzeichnung von Ihrem ERP-Anbieter an. Es ist ein Zeichen regulatorischer Reife.

4. Aufbewahrungsfristen festlegen

Die DSGVO schreibt den Grundsatz der Speicherbegrenzung vor: Eine Information darf nicht unbegrenzt aufbewahrt werden. Legen Sie für jede Kategorie eine gerechtfertigte Dauer fest:

  • Daten aktiver Kunden: während der Vertragsbeziehung, dann Zwischenarchivierung.
  • Buchungsbelege und Rechnungen: gesetzliche Aufbewahrungsdauer (je nach Art mehrere Jahre).
  • Inaktive Interessenten: in der Regel einige Jahre nach dem letzten Kontakt.
  • HR-Daten: gemäß den geltenden sozialrechtlichen Pflichten.

Ein gutes ERP ermöglicht es, die automatische Löschung oder Archivierung der Datensätze am Ende der Frist einzuplanen, statt ungenutzte Daten anzuhäufen.

5. Die Ausübung der Betroffenenrechte ermöglichen

Ihre Kunden, Mitarbeitenden und Interessenten verfügen über Rechte, die Ihr System innerhalb eines Monats erfüllen können muss:

  • Auskunft: eine Kopie der gespeicherten Daten bereitstellen.
  • Berichtigung: eine unrichtige Information korrigieren.
  • Löschung (Recht auf Vergessenwerden): die Daten löschen, wenn der Zweck nicht mehr besteht.
  • Datenübertragbarkeit: die Daten in einem strukturierten und maschinenlesbaren Format herausgeben.
  • Widerspruch: eine Verarbeitung einstellen, insbesondere die Akquise.

Prüfen Sie, ob Ihr ERP diese Funktionen zentralisiert, statt Sie zu zwingen, manuell in zehn Modulen zu suchen. Die Fähigkeit, einen Datensatz mit wenigen Klicks zu exportieren und zu anonymisieren, ist ein entscheidendes Auswahlkriterium.

6. Hosting und Übermittlungen außerhalb der EU prüfen

Der Hosting-Standort zählt. Ein Hosting innerhalb der Europäischen Union vereinfacht die Konformität, da die Daten ohne zusätzliche Übermittlungsformalität der DSGVO unterliegen.

Wenn Ihr Anbieter Daten außerhalb der EU hostet oder repliziert, sind besondere Garantien erforderlich (Standardvertragsklauseln, Angemessenheitsbeschluss). Stellen Sie die Frage klar: Wo werden meine Daten gespeichert, und wer kann technisch darauf zugreifen? Ein souveränes Hosting in Europa beseitigt einen Großteil der Unsicherheiten.

7. Die Daten sichern (Artikel 32)

Die Konformität setzt technische und organisatorische Maßnahmen voraus, die dem Risiko angemessen sind:

  • Verschlüsselung der Daten bei der Übertragung (HTTPS) und im Ruhezustand.
  • Starke Authentifizierung und feingranulare Zugriffsverwaltung nach Rollen (RBAC).
  • Protokollierung der Zugriffe und ein fälschungssicherer Prüfpfad.
  • Regelmäßige Sicherungen und ein getesteter Wiederanlaufplan.

Die granulare Zugriffskontrolle ist wesentlich: Ein Vertriebsmitarbeiter muss keine Gehaltsabrechnungen sehen, und ein HR-Verantwortlicher hat in der Vertriebspipeline nichts zu suchen. Ein gut konzipiertes mandantenfähiges ERP grenzt diese Bereiche standardmäßig voneinander ab.

8. Minimieren und anonymisieren

Der Grundsatz der Datenminimierung verlangt, nur die unbedingt notwendigen Daten zu erheben. Nutzen Sie jedes Audit, um unnötige Felder zu entfernen.

Für statistische Zwecke oder Reporting bevorzugen Sie die Anonymisierung oder Pseudonymisierung: Eine unwiderruflich anonymisierte Information fällt aus dem Anwendungsbereich der DSGVO heraus, was Ihre Pflichten verringert und zugleich den analytischen Wert erhält.

Das ERP als Verbündeter Ihrer Konformität

Gut gewählt, wird Ihre Verwaltungssoftware zu einem Hebel der Konformität statt zu einer Risikoquelle. Die Zentralisierung der Daten in einem einzigen System mit einem Dokumentenmanagement, einem Prüfpfad und Export-/Löschwerkzeugen vereinfacht die Arbeit des Verantwortlichen oder des DSB radikal.

Denken Sie auch daran, eine interne Konformitäts-Ansprechperson zu benennen, selbst ohne verpflichtenden DSB, und Ihre Teams in den richtigen Reflexen zu schulen: Ein Datenvorfall geht oft auf einen menschlichen Fehler zurück, nicht auf eine Softwarelücke.

eyeot entdecken

eyeot ist ein französisches ERP, das für KMU konzipiert ist, denen ihre Konformität am Herzen liegt: Hosting in Europa, Zugriffsverwaltung nach Rollen, Prüfpfad, Funktionen zum Export und zur Anonymisierung der Daten. Wenn Sie die Lösung unter Ihren realen Bedingungen bewerten möchten, ermöglicht Ihnen das kostenlose Einzelnutzer-Konto, sie ohne Kreditkarte und ohne zeitliche Begrenzung auszuprobieren. Eine gute Gelegenheit, eine regulatorische Pflicht in einen Qualitätsansatz zu verwandeln.

Zum gleichen Thema

CRMPersonalwesen (HR)DokumentenmanagementDSGVODPADPODMS (Dokumentenmanagement)
Alle Artikel

eyeot kostenlos testen

eyeot ist ein französisches All-in-one-ERP für kleine und mittlere Unternehmen, in Frankreich gehostet und DSGVO-konform. Kostenlos für Privatnutzer (1 Benutzer, alle Module); einfache Team-Pakete für Unternehmen.

Kostenloses Konto erstellenPreise ansehen