Zurück zur Startseite

Hilfreiche Funktionen in Microsoft Dynamics NAV zur Umsetzung der neuen DSGVO-Regelungen

DSGVO mit Microsoft Dynamics NAV Mit Beendigung der Übergangsfristen am 25. Mai 2018 sind die strengen Regelungen der Datenschutzgrundverordnung (DSGVO) einzuhalten. In diesem Artikel möchten wir näher auf die Relevanz dieser Regelungen in Bezug auf das ERP-System Dynamics NAV eingehen.

Microsoft selbst hat technische Unterstützung für die NAV-Versionen ab 2015 angekündigt, die über kumulative Updates bereitgestellt werden. Viele Kunden setzen aber zum Teil noch ältere Versionen ein, in denen jedoch ebenfalls entsprechende Vorkehrungen zu treffen sind.

Identifizieren und Klassifizieren von personenbezogenen Daten

Die Möglichkeit, eindeutig zu ermitteln, wo Sie personenbezogene Daten speichern und Felder für personenbezogene Daten klassifizieren, kann als Grundlage für die aufkommenden Aufgaben und Anforderungen im Rahmen der DSGVO dienen.

Mithilfe der Dynamics NAV-Funktionen können Kunden und Partner bereits jetzt Felder und Tabellenmetadaten nach Excel exportieren und die Datenklassifizierung in Excel starten, sodass sie diese später wiederverwenden können.

Es ist seitens Microsoft angekündigt, dass man die Klassifizierung der Daten (Felder/Feldinhalte) direkt in NAV festlegen können soll. Die Klassifizierung eines Feldes wäre demnach eine Eigenschaft des Datenmodells. Bis diese Funktion bereitsteht und für neuere Versionen dann auch verwendet werden kann, empfiehlt Microsoft die Aufarbeitung in Excel. Festgelegt werden für die Felder folgende Kategorien:

  • Sensibel
  • Personenbezogen
  • Vertraulich
  • Normal

Die meisten personenbezogenen Daten befinden sich wahrscheinlich, jedoch nicht ausschließlich in einer der folgenden Tabellen in Dynamics NAV:

  • Debitor
  • Kreditor
  • Kontakt (wenn vom Typ Person)
  • Mitarbeiter
  • Verkäufer / Einkäufer
  • Ressource (wenn vom Typ Person)
  • Benutzer

Insbesondere zu beachten sind aber auch Tabellen von eingesetzten Zusatzmodulen, wie z.B. Lohnabrechnungssysteme oder Systeme für die Abwicklung von Zahlungsverkehr, vor allem auch dann, wenn dort von Ihrem Unternehmen Bankverbindungsdaten von Privatpersonen gespeichert werden.

Darüber hinaus ist zu beachten, dass die oben angeführten Stammdaten auch in die Tabellen für archivierte und gebuchte Belege übertragen werden. Dort stehen sie dann in unmittelbarem Zusammenhang mit der Protokollierung eines Vorgangs.

Es wird zudem empfohlen, die Kontaktprofile von Personenkontakten kritisch zu untersuchen. In vielen Fällen war es nicht unüblich, zu Vertriebszwecken Daten zu einer Person zu speichern, die heute als personenbezogen oder gar sensibel einzustufen sind.

Beachten Sie dabei zusätzlich, ob Sie das sogenannte „Änderungsprotokoll“ aktiviert haben. Wenn dieses über die  entsprechenden Tabellen/Felder aktiviert ist, werden ab diesem Zeitpunkt auch dort die Daten gespeichert. Personenbezogene Daten können auch in Tabellen vorhanden sein, die individuell für Sie angepasst worden sind.

Auskunftsrechte

Den betroffenen Personen, von denen Sie Daten speichern, haben durch die DSGVO entsprechende Auskunftsrechte. Hier sollte man als Unternehmen einen Bericht über die gespeicherten Daten abgeben können.

Eine spezielle Funktionalität hierfür ist durch Microsoft im Moment nicht vorgesehen. Es ist jedoch angekündigt, dass in weiteren kumulativen Updates damit gerechnet werden kann, dass Funktionen bereitgestellt werden, die bei der Beantwortung solcher Anfragen unterstützen.

Exportieren der persönlichen Daten von betroffenen Personen

Gemäß der Datenschutz-Grundverordnung hat eine betroffene Person darüber hinaus das Recht, von einem für die Datenverarbeitung Verantwortlichen die Übertragung seiner Daten zu verlangen. Dies bedeutet unter anderem, dass Sie die personenbezogenen Daten der betroffenen Person aus Ihren Systemen exportieren und in einem strukturierten, gängigen Format bereitstellen müssen.

Hierzu ist es wichtig, dass Sie sich schon im Vorfeld ein Bild über die entsprechend gespeicherten Daten gemacht haben, d.h. dass Sie durch die Klassifizierung alle relevanten Tabellen und Felder identifiziert haben. Explizit für diesen Zweck werden von Microsoft hier keine Exportfunktionalitäten angeboten. Man kann jedoch auf eine Vielzahl von Möglichkeiten zurückgreifen.

Sobald die personenbezogenen Daten in Dynamics NAV identifiziert und lokalisiert sind, können sie beispielsweise in eine Excel-Datei exportiert werden. Mit Excel können Sie die personenbezogenen Daten, die in der Anfrage enthalten sein müssen, schließlich bearbeiten und sie in einem gängigen und maschinenlesbaren Format (z.B. .csv oder .xml) speichern. Von den Administratoren eines Unternehmens können Dynamics NAV-Daten jedoch auch mit Rapid Start-Konfigurationspaketen exportiert werden.

Löschen von personenbezogenen Daten einer betroffenen Person

Zudem hat eine betroffene Person nach der Datenschutz-Grundverordnung das Recht auf Löschung ihrer personenbezogenen Daten. Auch für eine Löschanfrage ist es wichtig, die entsprechende Klassifizierung der Tabellen und Felder durchgeführt zu haben, um hier vorbereitet zu sein und folgerichtig Aktionen einzuleiten.

Es wird empfohlen, im Vorfeld entsprechende Regeln aufzustellen, um auf eine konkrete Löschanfrage schnell und korrekt reagieren zu können. Nicht immer ist es nämlich möglich, ganze Datensätze in Dynamics NAV zu löschen, da die Anwendung dies gegebenenfalls durch eine Logik verhindert.

Zum Löschen der Feldinhalte bzw. der Datensätze müssen die Administratoren dann die entsprechende Funktion in der Anwendung direkt aufrufen und durchführen. Explizite NAV-Funktionen dafür im Rahmen der kumulativen Updates sind allerdings nicht vorgesehen.

Ändern persönlicher Daten von betroffenen Personen

Nach der Datenschutz-Grundverordnung hat eine betroffene Person außerdem das Recht, die Berichtigung ungenauer personenbezogener Daten zu verlangen. Dynamics NAV bietet zur Korrektur ungenauer oder unvollständiger personenbezogener Daten verschiedene Methoden.

In einigen Fällen bietet es sich an, die jeweiligen Daten nach Excel zu exportieren, um beispielsweise mehrere Dynamics NAV-Datensätze auf einmal zu bearbeiten und anschließend in Dynamics NAV zu reimportieren. Sie können gespeicherte personenbezogene Daten allerdings auch ändern, indem Sie das entsprechende Feld manuell bearbeiten (z.B. die Informationen über einen Debitor auf der Debitorenkarte bearbeiten).

Bestimmte Arten von Dynamics NAV-Datensätzen, nämlich Geschäftsvorgangsdatensätze (z.B. Buchungsposten), sind wesentlich für die Integrität des ERP-Systems. Die Änderung personenbezogener Daten in diesen Datensätzen ist daher eingeschränkt. Wenn Sie personenbezogene Daten in geschäftlichen Transaktionsdatensätze speichern, können Sie die Dynamics NAV-Anpassungsfunktionen verwenden, um derartige Daten zu ändern.

Darüber hinaus erwachsen Ihnen durch die DSGVO weitere Aufgaben, auf die Sie sich organisatorisch vorbereiten sollten. Insbesondere sollten Sie Maßnahmen vorbereiten, die im Verlustfall von Daten greifen. Ebenso sollten Sie durch regelmäßiges Anpassen Ihrer Dokumentationen auch auf möglicherweise geänderte Dateninhalte in der NAV-ERP-Anwendung reagieren.

An dieser Stelle verlassen wir den ERP-Bereich im engeren Sinne und empfehlen, gegebenenfalls fachkundige Hilfe einzuholen, um dieser umfassenden Gesetzgebung professionell zu begegnen.


Diese Veröffentlichung ist ein Kommentar zur DSGVO, wie prisma informatik sie zum Zeitpunkt der Veröffentlichung und auf Grundlage der seitens Microsoft bereitgestellten Informationen interpretiert. Wir haben uns eingehend mit der DSGVO beschäftigt und denken, dass wir deren Absicht und Bedeutung kennen. Die Anwendung der DSGVO ist jedoch sehr sachspezifisch und bisher sind nicht alle Aspekte und Auslegungen der DSGVO vollends geregelt und erprobt.

Die Veröffentlichung wird daher nur zu Informationszwecken bereitgestellt und sollte nicht als Rechtsberatung herangezogen werden oder um zu ermitteln, wie die DSGVO für einzelne Organisationen gelten könnte. Wir empfehlen, mit einem rechtskundigen Experten zusammenzuarbeiten, um zu erörtern, wie die DSGVO speziell für Ihre Organisation ausgelegt werden muss und wie Sie die Einhaltung der neuen Vorschriften am besten sicherstellen können.

PRISMA INFORMATIK ÜBERNIMMT KEINE GESETZLICHEN GEWÄHRLEISTUNGEN HINSICHTLICH DER INFORMATIONEN IN DIESER VERÖFFENTLICHUNG.



Weitere Artikel:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.