DSGVO Datenschutz Grundverordnung
Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung personenbezogener Daten. Dies betrifft die Nutzung von Software, mit welcher die Speicherung solcher Daten möglich ist. Die folgenden Informationen helfen allen Nutzern von eserp DSGVO-konform zu arbeiten.
Benötigen Sie Hilfe bei der Umsetzung der nachfolgend beschriebenen Schritte? Gerne sind die es2000-Consultants behilflich. Für Terminvereinbarungen steht Ihnen der Support zur Verfügung.
Bitte beachten Sie, dass es2000 keine Rechtsberatung geben kann, wenden Sie sich in diesem Fall bitte an Ihren Rechtsanwalt.
Den Gesetzestext können Sie hier einsehen: https://dsgvo-gesetz.de/
Installation
Die DSGVO-Unterstützung ist im eserp bereits integriert, es ist keine separate Installation notwendig.
Grundeinrichtung
Die DSGVO-Programmunterstützung ist standardmäßig aktiviert.
Bitte überprüfen Sie, ob dies auch bei Ihnen der Fall ist: Datenschutz | Datenschutz-Grundverordnung
Die Option DSGVO-Programmunterstützung deaktivieren darf nicht aktiviert sein.
Wertevorräte anlegen
Legen Sie nun die Wertevorräte für Marketingattribute und Verwendungszwecke an.
Marketingattribute
Unter
Dieses Attribut könnte beispielsweise Einwilligungserklärung benannt werden.
Verwendungszwecke
Unter Einstellungen | Office | Adressen | Referenzen | Verwendungszwecke legen Sie diverse Verwendungszwecke an, die Sie vorher definiert haben und verwenden möchten.
Zu diesen könnte beispielsweise gehören: Vertraglicher Zweck, allgemein zugängliche Daten, Werbung, Adresshandel, usw.
Berechtigungen
Folgende Berechtigungen sind vorhanden und können den Anwendern zugeordnet bzw. entzogen werden:
- Ansprechpartner ändern (neu anlegen, editieren, löschen)
- Ansprechpartner sperren
Unter Einstellungen | Allgemein | Berechtigungen | Referenzen | Anwenderberechtigungen können die genannten Rechte gegeben und entzogen werden.
Neben der Zuordnung der Berechtigungen bei einzelnen Anwendern, können die Berechtigungen auch den bereits vorhandenen Berechtigungsgruppen zugeordnet werden.
Einstellungen | Allgemein | Berechtigungen | Referenzen | Berechtigungsgruppen
Reportdateien kopieren und registrieren
Kopieren Sie die beigefügten Reportdateien ins Reportverzeichnis von eserp.
Anschließend kann der Report mit der Option Nur aktueller Datensatz registriert werden:
Einstellungen | Allgemein | Reports | Referenzen | Registrierung
Datenerhebungszweck / Einwilligungserklärung
Personenbezogene Daten sind Daten, mit denen man eine Person identifizieren kann. Dazu zählen unter anderem der Name, die Anschrift und das Alter. Besonders sensibel werden diese Daten, wenn beispielsweise Informationen zur Herkunft oder Gesundheit einer Person gesammelt werden. Diese personenbezogenen Daten dürfen Sie nur rechtmäßig verarbeiten (Art. 6 DSGVO). Das bedeutet, dass die Verarbeitung zweckgebunden erfolgen muss, beispielsweise zur (Vor-)-Vertragserfüllung, zu Werbe- und Forschungszwecken oder ähnlichem.
Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, kann auch durch eine schriftliche Einwilligungserklärung erfüllt werden (Art. 6 Abs. 1a DSGVO).
Was gibt es zu tun?
Da personenbezogene Daten im eserp im Ansprechpartner hinterlegt werden können, muss auch der Zweck der Datenerhebung und der Verarbeitung angegeben werden.
Unter Ansprechpartnerliste | Informationen - Bereich 'Adresse' finden Sie das Feld Verwendungszweck.
Hier können Sie aus den zuvor angelegten Wertevorräten einen Verwendungszweck auswählen.
Zuordnung Einverständniserklärung
Liegt eine schriftliche Einwilligungserklärung zur Datenverarbeitung vor, kann diese dem Ansprechpartner zugeordnet werden. Speichern Sie die Einwilligungserklärung, welche wahrscheinlich in Form einer E-Mail oder eines PDF-Dokuments vorliegen wird, zunächst in einem Kontakt.
Über Ansprechpartnerliste | Sonstiges - Bereich Marketing-Attribute können Sie das bereits angelegte Marketing-Attribut Einwilligungserklärung auswählen und mit der Kontaktnummer verknüpfen. Auch der Widerruf der Erlaubnis kann auf diesem Wege gespeichert werden.
Neue Ansprechpartner
Beim Anlegen eines neuen Ansprechpartners gilt es zunächst den Verwendungszweck zu ermitteln und festzulegen. Diese Auswahl ist ein Pflichtfeld.
Bedingt der Verwendungszweck eine schriftliche Einwilligung des Ansprechpartners, dann wird diese wie oben beschrieben zugeordnet.
Bereits erfasste Ansprechpartner
Auch bei allen bereits vorhandenen Ansprechpartnern muss der Verwendungszweck nachträglich angegeben und gegebenenfalls eine Einwilligungserklärung hinterlegt werden. Die aktuell existierenden Daten für Ansprechpartner können Sie im Modul Ansprechpartnerliste automatisch prüfen.
Dazu können Sie den Filter Ohne Einwilligung / Verwendungszweck DSGVO aktivieren.
Es wird dann automatisch ein Filter gesetzt, der alle Ansprechpartner anzeigt, die folgende Bedingungen erfüllen:
- keinem Geschäftsvorfall zugeordnet (Kalkulation, Auftrag, Servicecall, Bestelleingang oder Kontakt) und
- Verwendungszweck nicht ausgewählt und
- keine Einwilligungserklärung verknüpft
Anschließend können Sie…
- den passenden Datenerhebungszweck nachpflegen
- den Ansprechpartner löschen, falls kein passender Zweck vorliegt; über die Funktion Ansprechpartner löschen
Nutzen Sie die Datengittereinstellungen, um bereits in der Ansprechpartnerliste den Verwendungszweck einsehen zu können. Das Feld Verwendungszweck können Sie mit dem Spalteneditor ins Datengitter einfügen.
Ansprechpartner ändern
Werden Änderungen an einem Ansprechpartner vorgenommen, öffnet sich ein Programm-Dialog, in welchem eingetragen wird, warum der Datensatz geändert wurde. Diese Auswahl ist ein Pflichtfeld. Die Angaben werden neben dem Datum und der Personalnummer des Ausführenden in der Datenbank gespeichert. Die betreffenden Datenbank-Tabellen heißen ADRHIST (wer hat den Datensatz aus welchem Grund geändert) und ADRHISTFIELD (welches Feld wurde geändert – nicht der Feldwert selbst).
Private Kunden, Bedarfer und Geschäftspartner
Sobald die Adresse eines Kunden, eines Bedarfers oder eines Geschäftspartners als privat markiert wurde, muss auch hier ein Datenerhebungszweck angegeben werden. Das entsprechende Feld zur Kennzeichnung finden Sie direkt im Register Adresse, die Angabe des Verwendungszwecks wird im Register Detailshinterlegt.
Hinweis zu personenbezogenen Daten
Da es sich bei den Informationen des Ansprechpartners zum Teil um personenbezogene Daten handelt, werden diese gemäß DSGVO Datenschutz Grundverordnung bei Eingabe und Veränderung überwacht.
Unter personenbezogene Daten, die bei der Änderung überwacht werden, fallen:
- Anrede
- Titel
- Vorname
- Name
- Straße
- PLZ
- Ort
- Land
- Telefon (inkl. Weitere Telefonnummern)
- Telefax
- Bankverbindungen (Beim Kunden)
- Geburtstag / Geburtsdatum
Bei einer Eingabe oder Änderung dieser Daten wird der Benutzer aufgefordert, die Erfassung der Daten zu begründen.
Auskunftsrecht, Berichtigung und Löschung
Die Datenschutz-Grundverordnung stärkt die Rechte an den eigenen Daten. So hat beispielsweise jeder das Recht auf Auskunft über die verarbeiteten Daten zur eigenen Person (Art. 15 DSGVO), die Berichtigung (Art. 16 DSGVO) und Löschung (Recht auf Vergessenwerden; Art. 17 DSGVO). Diese Informationen müssen in der Regel kostenlos erbracht (Art. 12 Abs. 5 DSGVO) und in einem gängigen Format übermittelt werden, zum Beispiel als PDF-Datei (Art. 15 Abs. 3 DSGVO). Nach Eingang des Antrags hat man einen Monat Zeit die Auskunft zu erteilen (Art. 12 Abs. 3 DSGVO).
Was gibt es zu tun?
Verlangt jemand Einsicht in seine personenbezogenen Daten, können diese Informationen mithilfe der Reports E_Adressdaten_DSGVO.qrd (für private Kunden, Bedarfer und Geschäftspartner) und E_Ansprechpartnerdaten_DSGVO.qrd (für Ansprechpartner) ausgelesen und zur Verfügung gestellt werden.
Werden Berichtigungen gefordert, kann der Nachweis oder die Löschung der Daten auch mithilfe des Reports erbracht werden. Dazu wird der Report nach den ausgeführten Änderungen erneut aufgerufen.
Bitte beachten Sie, dass für Daten, welche zur Vertragserfüllung erhoben wurden, gesetzliche Aufbewahrungspflichten gelten.
Datenübertragbarkeit
Der Einzelne hat das Recht personenbezogene Daten von einer verantwortlichen Stelle an eine andere zu übertragen (Art. 20 DSGVO). Dies muss in einem strukturierten, gängigen und maschinenlesbaren Format geschehen.
Was gibt es zu tun?
Mithilfe des Datenbank-Tools esdbm und der darin enthaltenen Funktion estransfer können Sie die Tabelle ANSPPART in ein anderes Format übertragen. Die Anleitung zum Tool erhalten Sie hier:
Module / Tools | ES DB-Management - Transfer
Sperrvermerk setzen
Gemäß der Datenschutz Grundverordnung (DSGVO) muss die Möglichkeit der Sperrung von Daten gegeben sein, damit beispielsweise im Falle einer rechtlichen Untersuchung, Manipulationen unterbunden werden können. Die Bearbeitung eines Ansprechpartners kann mit der Option Sperrvermerk unterbunden werden.
Zum Setzen und Aufheben des Sperrvermerks benötigt der Benutzer die Berechtigung Ansprechpartner sperren.
Auch das Setzen und Entfernen des Sperrvermerks wird in der Datenbank protokolliert. Bitte beachten Sie, dass sowohl die Kontaktaufnahme mit dem Ansprechpartner, als auch das Löschen und Bearbeiten von Kontakten weiterhin möglich ist. Daher empfiehlt es sich unter Umständen zusätzlich zur Sperrung eine Datenbank-Sicherung zu erzeugen.
Die Datenschutz-Grundverordnung endet nicht mit eserp
Unternehmen mit zehn oder mehr Mitarbeitern sind verpflichtet, einen Datenschutzbeauftragten zu bestellen, der für die Einhaltung des Datenschutzes sorgt. Vor allem sind jedoch die Geschäftsführer einer Unternehmung verantwortlich für die Erfüllung der DSGVO, unabhängig von der Größe des Betriebes.
Daher empfehlen wir allen eserp-Kunden sich an einen Rechtsbeistand zu wenden, damit alle Bereiche Ihres Unternehmens die Datenschutz-Grundverordnung einhalten.
Alle Mitarbeiter sollten im Umgang mit sensiblen Daten geschult werden, damit auch ausgeschlossen wird, dass frei editierbare Memo-Felder für personenbezogene Daten missbraucht werden.