Umgang mit besonders schutzwürdigen personenbezogenen Daten in ERP-Systemen

Lehrstuhl Prof. WinkelmannUncategorized

Im Kontext des Datenschutzes nimmt insbesondere der sachgemäße Umgang mit personenbezogenen Daten eine übergeordnete Rolle ein. So erwarten Personen, dass persönliche Informationen auf spezifische und begrenzte Weise verwendet und vor der Weitergabe an Unbefugte geschützt werden. In der Europäischen Union wird der Schutz persönlicher Informationen in erster Linie von der DSGVO abgedeckt, welche seit Mait 2018 wirksam ist. Deren sachlicher Anwendungsbereich gilt gemäß Art. 2 Abs. 1 “für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.”

Datenschutzgrundverordnung in ERP Systemen (Quelle: Pixabay)

Die DSGVO unterscheidet zwischen verschiedenen Kategorien personenbezogener Daten, welche je nach Art einen besonders hohen rechtlichen Schutz erfahren. So ist bei der Verwendung und Verarbeitung personenbezogener Daten ein besonderes Augenmerk auf all diejenigen Arten von persönlichen Informationen zu richten, welche unter die Kategorie der besonders schutzwürdigen personenbezogenen Daten fallen. Die Verarbeitung dieser Daten ist nach Regelung der DSGVO untersagt. Diese definiert besonders schützenswerte Daten nach Art. 9 Abs. 1 als personenbezogene Daten “aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen.“ 

Im Regelfall sollte auf die Verarbeitung dieser Daten in ERP-Systemen verzichtet werden. Dies kann beispielsweise durch das Entfernen besonders schutzwürdiger Daten während der Extraktion erfolgen. Daneben empfiehlt sich nach Datenextraktion ein Sanity-Check, um nicht benötigte persönliche Informationen zu identifizieren und zu beseitigen. Ein weiterer Ansatz zum Schutz dieser Daten kann eine Pseudonymisierung darstellen, beispielweise durch den Einsatz kryptografischer Hash-Funktionen. Die DSGVO nennt allerdings zudem bestimmte Umstände, welche die Verarbeitung besonders schutzwürdiger Daten rechtfertigen. Darunter fällt beispielsweise die explizite Zustimmung einer Person zur Verwendung ihrer persönlichen Daten oder der Zweck der Vertragserfüllung, sprich um einen Vertrag abzuschließen oder auszuführen.