67
6.2018
Idealerweise bietet das ERP-System
die Möglichkeit, zwischen unterschied-
lichen Rollentypen zu differenzieren,
um die jeweilige Rolle unabhängig von-
einander datenschutzrechtlich korrekt
zu verarbeiten. „Im Rahmen des ‚Rechts
auf Vergessenwerden‘ ist die Berücksich-
tigung mehrerer Rollen einer Person im
System – zum Beispiel Mieter, Handwer-
ker und Mitglied – sehr wichtig“, merkt
Grewe an. „Verschiedene Zusatzmodule
oder -funktionalitäten für unsere ERP-
Softwarelösungen erleichtern denAnwen-
dern das datenschutzkonforme Arbeiten.
ZumBeispiel indemdefinierte Datensätze
mit einemKlick automatisiert gefiltert, ge-
sperrt oder gelöscht werden können.“
Während sich die neuen DSGVO-
Richtlinien für Daten innerhalb des
ERP-Systems, wenn dieses über Berechti-
gungsstrukturen und Audit-Logs verfügt,
relativ einfach umsetzen lassen, wird es
mit Daten außerhalb schon schwieriger.
Denn sobald diese aus dem ERP-System
exportiert werden, greifen die Strukturen
nicht mehr. „Ein großes Problem sind die
vielen Schnittstellen im Haus. Personen-
bezogene Daten bleiben nicht im ERP-
System, sie werden teilweise repliziert
und dann etwa als Excel-Datei innerhalb
des Unternehmens ausgetauscht. Diese
Schnittstellen-Problematik sollteman Sys-
tem für System angehen – sei es nun das
Archiv, das Backup, das Controlling oder
die Systeme Dritter“, so Volker Schulz von
PROMOS consult. „Die DSGVO betrifft
vor allem die Prozesse und Verfahren im
gesamten Unternehmen, bei denen per-
sonenbezogene Daten ins Spiel kommen
– Stichwort Verarbeitungsverzeichnis. Die
Anforderungen beziehen sich nicht auf die
ERP-Software allein“, hebt auch Susanne
Grewe von Haufe hervor.
Volker Schulz rät dazu, sich zu fragen:
Was ist meine Zweckbestimmung? Wie
und wo darf ich Daten aufnehmen? Viele
Unternehmen hätten einfach alle Daten,
die sie bekommen konnten, mitgenom-
men. Seine Empfehlung: Man sollte Daten
nur rudimentär sammeln und nicht wie
eine Daten-Krake agieren. Neben einer
gründlichen Bestandsaufnahme geht es
zudem darum, Prozesse zu vereinheitli-
chen und Compliance-Regeln aufzustel-
len beziehungsweise anzupassen. „Die
Unternehmen sollten sämtliche Prozesse
untersuchen und identifizieren, in de-
nen personenbezogene Daten verarbeitet
werden. Darüber hinaus müssen sie Ver-
fahrensbeschreibungen undDatenschutz
folgeabschätzungen erstellen“, ergänzt
Oliver Skowronek von Crem Solutions.
Das Einholen von Einver-
ständniserklärungen und
deren Hinterlegung im
Softwaresystem ist nun
sehr dringend
Nicht alle Unternehmen der Immobi-
lienbranche, vor allem die kleineren, wer-
den es geschafft haben, die Vorgaben bis
zum Stichtag zu erfüllen. Der Rat unserer
Experten: Holen Sie sich professionelle
Hilfe. Und schieben Sie die Umsetzung
nicht weiter auf die lange Bank, sondern
treiben Sie konsequent die Umsetzung
voran. „Es sollte auf alle Fälle mit den
Vorbereitungen begonnen werden, wie
dem Einholen von Einverständniserklä-
rungen und deren Hinterlegung im Soft-
waresystem“, betont Susanne Grewe. Viele
Unternehmenmüssen zunächst einVerar-
beitungsverzeichnis für Personendaten er-
stellen, das sie eigentlich schon nach alter
Rechtslage hätten haben müssen.
Unterstützung findet die Immobilien-
branche bei VerbändenunddenAnbietern
selbst. Immobilienverband Deutschland
IVD, Dachverband Deutscher Immobi-
lienverwalter, Bundesverband Freier Im-
mobilien- und Wohnungsunternehmen
oder Bitkom bieten Infomaterial und Se-
minare zumThema an. Haufe etwa unter-
stützt die Anwender seiner ERP-Lösungen
mit Informationsveranstaltungen, Bera-
tungsleistung und Fachwissen.
«
Dr. Hans-Dieter Radecke, Tiefenbach
„Generell gilt: Die Soft-
ware muss die Anwen-
der in die Lage verset-
zen, datenschutzkonform
arbeiten und dieses
nachweisen zu können.“
Susanne Grewe,
Mitglied der
Geschäftsleitung und Prokuristin der
Haufe-Lexware Real Estate AG
Dieses „Privacy by Design“-Prinzip,
das durch die DSGVO verpflichtend wur-
de, bedeutet, dass der Datenschutz bereits
bei der Software-Entwicklung berücksich-
tigt wird. Die Software sollte Funktionen
enthalten, mit denen sich Daten zu Per-
sonen einfach suchen und löschen lassen.
Mit Hilfe von Voreinstellungen sollen
ausschließlich Daten erhoben werden,
die für den jeweiligen Verarbeitungs-
zweck erforderlich sind, um möglichst
wenig in die Schutzrechte der betroffenen
Nutzer einzugreifen. Zudem sollen nicht
unbedingt erforderliche Datenfelder ano-
nymisiert beziehungsweise pseudonymi-
siert werden. „Generell gilt: Die Software
muss die Anwender in die Lage versetzen,
datenschutzkonform arbeiten und dieses
nachweisen zu können“, erklärt Susanne
Grewe, Mitglied der Geschäftsleitung und
Prokuristin der Haufe-Lexware Real Es-
tate AG.
