Endspurt zur DSGVOSind Sie bereit?

www.applus-erp.com 2

Asseco Solutions – DSGVO-Information APplus

Seit Herbst 2017 befassen wir uns sehr intensiv mit den Anforderungen und den Auswirkungen der Datenschutz- Grundverordnung. Gemeinsam mit unserem rechtlichen Beistand haben wir APplus einer umfassenden Prüfung unterzogen und DSGVO-konform gemacht. Das Ergebnis: Neue Funktionen, die Ihnen die Umsetzung der DSGVO in Ihrem Unternehmen erleichtern.

Am 25. Mai 2018 wird es ernst: Dann endet die bisherige Übergangs-

phase der europäischen Datenschutz-Grundverordnung (DSGVO) und damit auch die bisherige Schonfrist für Unternehmen. Ab dem Stichtag können Verstöße mit bis zu vier Prozent des Jahresumsatzes geahndet werden.

Endspurt zur DSGVOSind Sie bereit?

U

»»

Sprechen Sie uns an. Wir helfen Ihnen bei der

Umsetzung Ihres Datenschutzkonzepts.

Unser DSGVO-Solution-Pack steht Ihnen ab März für

APplus 6.3 und ab April für APplus 5.2 zur Verfügung.

25. Mai 2018

3www.applus-erp.com

Asseco Solutions – DSGVO-Information APplus

«

Warum eine europäische Datenschutz- Grundverordnung? Die europäische Datenschutz-Grundverordnung (DSGVO) ist eine EU-weit gültige Verordnung. Sie vereinheitlicht die bislang bestehenden natio-nalen Gesetze und Regularien zur Verarbeitung personenbezogener Daten durch öffentliche Stellen und private Unternehmen. Mit ihr trägt die EU ihrer Grundrechte-Charta Rechnung, die den Schutz personenbezogener Daten zum Grundrecht erklärt (Art. 8, Abs. 1 GRC).

Die Ziele der DSGVO:

• Vereinheitlichung des Datenschutzrechts in Europa

• Stärkung des Schutzes persönlicher Daten von Personen in der EU

• Gewährleistung eines freien Datenverkehrs innerhalb des EU-Binnenmarktes

In Kraft getreten ist die DSGVO in allen Mitgliedstaa-ten der Europäischen Union bereits am 25. Mai 2016.Aufgrund einer zweijährigen Übergangsphase gelten ihre Bestimmungen jedoch erst ab dem 25. Mai 2018.

Europa ist sich einig:U

Mehr Schutz für persönliche Daten

Wer ist davon betroffen?Grundsätzlich gilt die DSGVO für alle Orga- nisationen, die folgende Kriterien erfüllen:

• Sie haben eine Niederlassung in der EU und verarbeiten personenbezogene Daten teil- bzw. vollautomatisiert oder sie speichern diese Daten innerhalb eines Dateisystems, unabhängig davon, wo diese Verarbeitung oder Speicherung erfolgt; oder

• Sie verarbeiten die personenbezogenen Daten von Personen, die sich in der EU befinden, im Zusammenhang mit einem Angebot von Waren oder Dienstleistungen in der EU.

Damit gilt die DSGVO praktisch für alle europäischen Unternehmen sowie viele nicht-europäische Unternehmen mit Geschäftsbeziehungen in die EU.

Die DSGVO im Volltext finden Sie unter: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE

www.applus-erp.com 4

Asseco Solutions – DSGVO-Information APplus

Die 5 Kern-Thesen und Ihre Pflichten auf einen Blick

U

Informationspflicht (Art. 13 – 14)

und Auskunftsrecht (Art. 15)

Eine betroffene Person hat das Recht, jederzeit nachzuvollziehen, wer ihre Daten erhebt, um welche Daten es sich dabei handelt sowie in welcher Form und zu welchem Zweck sie verarbeitet werden.

Jede betroffene Person hat zudem das Recht, jederzeit Auskunft über die über sie jeweils bei einem Unternehmen gespei-cherten Daten zu verlangen; die Auskunft muss inhaltlich richtig und vollständig sein und unverzüglich, spätestens innerhalb einer Frist von einem Monat erteilt werden.

Ihre Pflicht: Wann immer Sie personen-bezogene Daten erheben, müssen Sie die betroffene Person über diesen Vorgang informieren. Das gilt nicht nur, wenn Sie die Daten aktiv von der jeweiligen Person erhalten (z. B. über ein Online-Formular). Die Informationspflicht greift auch, wenn Sie die Daten über Dritte erhalten (z. B. als Kontaktliste eines Geschäftspartners).

Recht auf Vergessenwerden (Art. 17)

Personen haben das Recht, eine Löschung oder Anonymisierung ihrer Datensätze oder bestimmter Daten einzufordern.

Ihre Pflicht: Bei einer entsprechenden Anfrage sind Sie verpflichtet, alle perso-nenbezogenen Daten eines Kontakts zu löschen oder irreversibel zu anonymisie-ren, soweit keine konkrete Rechtfertigung für eine weitere Speicherung oder Ver-arbeitung der Daten vorliegt.

1

2

3

4

5

Speicherbegrenzung (Art. 5, Abs. 1 e)

Auch ohne aktiven Wunsch der betroffe-nen Person dürfen Daten nur so lange ge-speichert bleiben bzw. eine Identifizierung der Person ermöglichen, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Ihre Pflicht: Sobald die für die Datenerhe-bung relevanten Zwecke erloschen sind (beispielsweise Beendigung einer Kun-denbeziehung oder eines Arbeitsverhält-nisses) und keine weiteren Fristen (etwa gesetzliche Aufbewahrungsfristen) mehr bestehen, müssen die entsprechenden Datensätze gelöscht werden.

Zweckbindung (Art. 5, Abs. 1 b)

Daten von Personen in der EU dürfen nur für eindeutig definierte, legitime Zwecke erhoben werden und ausschließlich zu diesen Zwecken genutzt und verarbeitet werden.

Ihre Pflicht: Mit Inkrafttreten der DSGVO sind Sie verpflichtet, zusätzlich zu den Daten deren Verarbeitungszwecke zu dokumentieren, diese einzuhalten und der betreffenden Person bei Bedarf Auskunft über diese zu geben.

Recht auf Vertraulichkeit (Art. 5, Abs. 1 f)

Artikel 5, Abs. 1 der DSGVO legt fest, dass personenbezogene Daten vor unrecht-mäßigem Zugriff sowie Verarbeitung ge-schützt werden müssen.

Ihre Pflicht: Sie müssen sicherstellen, dass Ihre Mitarbeiter nur auf die Daten zugreifen können, die sie für ihre jeweilige Tätigkeit benötigen. Auch die entsprechenden Vorkehrungen selbst müssen jederzeit nachweisbar sein; insofern sind Sie beweis- pflichtig.

5www.applus-erp.com

Asseco Solutions – DSGVO-Information APplus

Was passiert bei Verstößen?Eine Bitkom-Erhebung ergab:

Bis zum Stichtag im Mai wird nur rund jedes achte Unternehmen nach eigener Einschätzung die Vorga-ben der Datenschutz-Grundverordnung vollständig umgesetzt haben. [Quelle: https://www.bitkom.org/Presse/Presseinformation/

Datenschutzgrundverordnung-Jeder-Zweite-holt-sich-Hilfe.html]

Bei Verstößen drohen empfindliche Strafen. Deren Höhe hängt von der Art des Vergehens ab und bezieht verschiedene Faktoren mit ein, wie u.a.:

• die Art, Schwere und Dauer des Verstoßes

• eventuelle Vorsätzlichkeit

• die von dem Unternehmen getroffenen Maßnahmen zum Datenschutz

• Umfang der Zusammenarbeit mit den Aufsichtsbehörden.

In besonders schweren Fällen sieht die DSGVO Geldbußen vor von:

• bis zu 20 Millionen Euro oder

• 4 Prozent des globalen (Konzern-) Jahresumsatzes,

je nachdem, welcher der beiden Beträge jeweils höher ist.

Dabei sind bezüglich der Beweislast künftig die Unternehmen in der Pflicht. Mussten Anwender bislang einem Unternehmen einen Verstoß konkret nachweisen, liegt es nun an den Unternehmen, nachzuweisen, dass sie durchgängig DSGVO-konform gehandelt haben.

In vielen Aspekten geht die DSGVO weit über die ohnehin nach dem bisherigen strengen Bundesdatenschutzgesetz

bestehenden Regelungen hinaus.

www.applus-erp.com 6

Unsere Checkliste. Was brauchen Sie, um die DSGVO zu erfüllen?

Konsultieren Sie einen Rechtsexperten zur Entwicklung Ihres DSGVO-KonzeptsEgal, wie ausgereift eine DSGVO-konforme IT-Lösung auch sein mag: Die Entwicklung eines soliden Datenschutzkonzepts kann sie nicht ersetzen. Sprechen Sie daher mit einem auf Datenschutzrecht spezialisierten Rechtsanwalt und erstellen Sie gemeinsam mit ihm Ihr individuelles Datenschutzkon-zept.

Damit legen Sie die Grundlage für die technologische Umsetzung Ihres Daten-schutzkonzepts in der Praxis. Hier stehen wir Ihnen gerne mit Rat und Tat zur Seite. Ganz nach Ihren individuellen Anforde-rungen richten wir die DSGVO-relevanten Funktionen von APplus für Sie ein.

Verschaffen Sie sich einen Überblick über Ihre DatenVerschaffen Sie sich Klarheit über den Sta-tus Quo Ihrer Datenverarbeitung. Welche Daten erheben Sie bislang? Zu welchen Zwecken? Wo liegen diese ab? Wie und von wem werden diese verarbeitet? Werden Löschfristen beachtet?

Um die neuen Anforderungen der DSGVO erfüllen zu können, sind klar strukturierte Abläufe und Prozesse notwendig, jeweils einhergehend mit einer lückenlosen Dokumentation.

Nur ein vollständiger Überblick bildet eine solide Ausgangslage für die Prüfung Ihrer Prozesse auf Konformität mit der DSGVO.

Vergessen Sie nicht, dass neben dem ERP-System noch viele weitere Systeme und Prozesse bestehen können, in denen personenbezogene Daten verwaltet werden. Zum Beispiel Datensätze in Dritt-systemen, unstrukturierte E-Mail-Kom-munikation, Bewerber-Management im Personalwesen oder personenbezogene Daten auf Mobilgeräten. Um tatsächlich DSGVO-konform zu arbeiten, müssen auch diese in Ihr Datenschutzkonzept mit ein-bezogen werden.

Nutzen Sie geeignete technische HilfsmittelUnser DSGVO-Solution-Pack macht Ihr APplus fit für die DSGVO: Neue Funktionali-täten wie eine leistungsstarke Anonymi-sierungsfunktion oder die Einführung der Verarbeitungszwecke liefern die techni-sche Grundlage für die Umsetzung Ihres individuellen Datenschutzkonzepts.

Asseco Solutions – DSGVO-Information APplus

7www.applus-erp.com

Asseco Solutions – DSGVO-Information APplus

Das DSGVO-Solution-Pack der Asseco Solutions

EU-konformer Datenschutz für Ihre ERP-Prozesse

Mit unserem DSGVO-Solution-Pack stellen wir Ihnen ab März zahlreiche neue Funktionen zur Verfügung. Diese ermöglichen es Ihnen, Ihr individuelles Datenschutzkonzept technisch in APplus umzusetzen. Sprechen Sie uns an! Bei der Parametrierung der Funktionen stehen wir Ihnen jederzeit gerne zur Seite.

AnonymisierungsfunktionDas neue Solution Pack beinhaltet eine leistungs- starke Anonymisierungsfunktion, mit der sich das „Recht auf Vergessenwerden“ in APplus umsetzen lässt. Mit ihr erhalten Anwender die Möglichkeit, Stamm- und Bewegungsdaten im ERP-System zu löschen bzw. irreversibel zu anonymisieren. Entweder auf Kundenwunsch oder automatisiert nach festgelegten Regeln.

Eine zentrale Rolle spielen hierbei die von Ihnen definierten Aufbewahrungsfristen für APplus- Objekte. Rechnungen sowie andere zentrale Ver-tragsdaten müssen zur Wahrung von Rechtsan- sprüchen für bestimmte Zeiträume aufbewahrt werden. Vor der Anonymisierung prüft APplus das Vorhandensein entsprechender – von Ihnen vor-gegebener – Beschränkungen. Erst, wenn die letzte Frist verstrichen ist, wird die Anonymisierung des Datensatzes durchgeführt.

Implementierung von VerarbeitungszweckenIm Rahmen des Solution Pack führt APplus den „Verarbeitungszweck“ als neues Stammdatum ein. Damit ermöglicht das System die Definition und Verwaltung entsprechender Zwecke für personen-bezogene Daten. Diese können nach frei definier-

baren Regeln automatisiert den personenbezoge-nen Daten in APplus zugeordnet werden, sodass der manuelle Aufwand so gering wie möglich bleibt und gleichzeitig alle relevanten Zwecke zuverlässig berücksichtigt werden.

Um der Auskunfts- und vor allem der Informations-pflicht nachzukommen, lassen sich auf dieser Basis auch Reports zur Datenverwendung erstellen. Diese können manuell oder automatisiert an die betreffen-de Person versendet werden.

Schutz vor unbefugter VerarbeitungAlle personenbezogenen Daten müssen laut DSGVO vor unbefugtem Zugriff geschützt werden. Mithilfe der APplus-Zugriffsrechte lässt sich diese Vorschrift umsetzen. Je nach Benutzerrolle – und in Abhängig-keit vom jeweiligen Jobprofil –, können Sie definie-ren, wie die jeweiligen Zugriffsrechte des Nutzers im Detail aussehen. Zusätzlich lässt sich mithilfe von Datenbankfiltern individuell einstellen, auf welche Datensätze der jeweilige Benutzer Zugriff erhält.

Auf diese Weise kommen Sie auch Ihrer Dokumenta-tionspflicht nach: Gegenüber einer Aufsichtsbehörde lässt sich anhand des in APplus umgesetzten Berech-tigungskonzeptes nachweisen, auf welche Weise personenbezogene Daten in APplus vor unberech-tigtem Zugriff im Unternehmen geschützt sind.

assecosolutions.comapplus-erp.com

Asseco Solutions – DSGVO-Information APplus

Rechtlicher Hinweis

Die kostenlosen und frei zugänglichen Inhalte dieser Informationsbroschüre wurden mit größtmöglicher Sorgfalt erstellt. Wir weisen jedoch ausdrücklich darauf hin, dass wir keine Gewähr oder sonstige Verantwortung für die Richtigkeit, Aktualität oder Vollständigkeit der in dieser Broschüre bereitgestellten journalistischen Ratgeber und Informationen übernehmen.Die Inhalte der Broschüre dienen weder als rechtliche Beratung für Ihr Unternehmen, auf die Sie sich bei der Einhaltung der gesetzlichen Regelungen zum Datenschutz – insbesondere der DSGVO – stützen können, noch können diese eine individuelle Rechtsberatung ersetzen. Durch die Nutzung dieser kostenlosen und frei zugänglichen Inhalte kommt darüber hinaus mangels eines entsprechenden Rechtsbindungs-willens unsererseits keinerlei Vertragsverhältnis zwischen uns und Ihnen als Nutzer der Broschüre zustande.

»»

Entwickeln Sie Ihr persönliches Datenschutzkonzept

mit Ihrem Anwalt.

Unser DSGVO-Solution-Pack für APplus 6.3 erhalten

Sie ab März 2018, für APplus 5.2 ab Mitte April.

Sie finden die Asseco Solutions an folgenden Standorten:

DeutschlandHeadquarterAmalienbadstraße 41, Bau 5476227 KarlsruheTel.: +49 721 91432-0de.info@assecosol.com

Max-Planck-Straße 15b40699 ErkrathTel.: +49 211 15789-0nrw@assecosol.de

Einsteinstraße 1485716 UnterschleißheimTel.: +49 89 374194-19muenchen@assecosol.de

Weserstraße 15332547 Bad OeynhausenTel.: +49 721 91432-0hannover@assecosol.de

ÖsterreichPummerinfeld 1b4490 St. FlorianTel.: +43 7224 20051-30at.info@assecosol.com

Mooslackengasse 171190 WienTel.: +43 1 23060 460at.info@assecosol.com

SchweizIn der Luberzen 258902 Urdorf Tel.: +41 44 542 45 30ch.info@assecosol.com

ItalienVia M. Gioia 61-6320124 MilanoTel.: +39 229 156 953it.info@assecosol.com

Tschechien Zelený pruh 1560/99140 02 Prag 4Tel.: +420 244 104 111info-CZ@assecosol.com

SlowakeiPlynárenská 7/C821 09 BratislavaTel.: +421 2 206 77 111info@assecosol.com

Mittelamerika13 Calle 3-40 Zona 10, Edificio Atlantis, Nivel 601010 Guatemala Tel.: +502 2507 9010ca.info@assecosol.com

Fit für die DSGVO. Mit dem Schulungsprogramm der Asseco

Alle Informationen zu den APplus-DSGVO-Schulungen mit unseren Experten

finden Sie jederzeit aktuell unter:

www.applus-erp.de/asseco-solutions/schulungen

Der Endspurt zum DSGVO-Stichtag hat begonnen.