Odoo DSGVO 2026: Vollständige Datenschutz-Compliance

DSGVO und ERP-Systeme: Die Herausforderung

Die Datenschutz-Grundverordnung (DSGVO) stellt seit 2018 hohe Anforderungen an den Umgang mit personenbezogenen Daten. ERP-Systeme wie Odoo sind dabei besonders betroffen, da sie eine Vielzahl personenbezogener Daten verarbeiten: Kundenadressen, Mitarbeiterdaten, Lieferanteninformationen, Kommunikationsverläufe und mehr.

Die Herausforderung besteht darin, die operativen Anforderungen des Geschäftsbetriebs mit den rechtlichen Anforderungen der DSGVO in Einklang zu bringen. Buchhaltungsdaten müssen beispielsweise zehn Jahre aufbewahrt werden, während Marketingdaten unter Umständen schnell gelöscht werden müssen.

Odoo bietet als moderne ERP-Lösung zahlreiche Funktionen zur Unterstützung der DSGVO-Compliance. Die vollständige Konformität erfordert jedoch eine sorgfältige Konfiguration, dokumentierte Prozesse und die Schulung der Mitarbeiter.

Seit 2018 wurden die DSGVO-Anforderungen durch Gerichtsurteile und Aufsichtsbehörden weiter präzisiert. Die Sicherheitsanforderungen sind gestiegen, und Unternehmen müssen heute proaktiv nachweisen können, dass sie datenschutzkonform arbeiten.

Personenbezogene Daten in Odoo

Bevor Sie Maßnahmen zur DSGVO-Compliance ergreifen, müssen Sie wissen, wo in Odoo personenbezogene Daten gespeichert werden:

Kontakte (res.partner)

Das zentrale Kontaktverzeichnis enthält Namen, Adressen, Telefonnummern, E-Mail-Adressen und weitere Identifikationsmerkmale. Kontakte können Kunden, Lieferanten, Mitarbeiter oder sonstige Personen sein.

Mitarbeiter (hr.employee)

Das Personalmodul speichert umfangreiche Mitarbeiterdaten: Geburtstag, Bankverbindung, Sozialversicherungsnummer, Gehaltsinformationen, Krankmeldungen und mehr. Diese Daten sind besonders schützwürdig.

CRM und Marketing

Im CRM-Modul werden Leads, Opportunities und Kundeninteraktionen erfasst. Das Marketing-Modul speichert E-Mail-Adressen, Newsletter-Einwilligungen und Kampagnenreaktionen.

Kommunikation

Der integrierte Chatter speichert die gesamte Kommunikationshistorie: E-Mails, interne Notizen und Aktivitäten. Diese Daten enthalten häufig personenbezogene Informationen.

Webshop und Portal

Der Odoo Webshop erfasst Kundendaten, Bestellhistorien und Zahlungsinformationen. Das Kundenportal speichert Zugangsdaten und Nutzungsverhalten.

Rechtsgrundlagen für die Datenverarbeitung

Die DSGVO erlaubt die Verarbeitung personenbezogener Daten nur bei Vorliegen einer Rechtsgrundlage. In Odoo kommen verschiedene Rechtsgrundlagen zur Anwendung:

Vertragserfüllung (Art. 6 Abs. 1 lit. b)

Die Verarbeitung von Kundendaten zur Auftragsabwicklung, Rechnungsstellung und Lieferung ist durch die Vertragserfüllung gedeckt. Dies betrifft den Großteil der operativen Daten im ERP.

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c)

Buchhaltungsdaten müssen aufgrund steuerrechtlicher und handelsrechtlicher Vorschriften verarbeitet und aufbewahrt werden. Die GoBD-Anforderungen sind hier relevant.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)

Bestimmte Datenverarbeitungen, wie die Speicherung von Lieferantenkontakten oder interne Analysen, können auf berechtigtem Interesse basieren. Eine Interessenabwägung ist erforderlich.

Einwilligung (Art. 6 Abs. 1 lit. a)

Marketing-Aktivitäten, insbesondere E-Mail-Newsletter, erfordern in der Regel eine ausdrückliche Einwilligung. Odoo bietet Funktionen zur Einwilligungsverwaltung.

Einwilligungsmanagement in Odoo

Für Verarbeitungen, die auf Einwilligung basieren, muss diese nachweisbar dokumentiert werden:

Newsletter-Einwilligung

Odoo Marketing verwaltet Einwilligungen für E-Mail-Kampagnen. Bei der Anmeldung wird das Datum der Einwilligung, die IP-Adresse und der genaue Wortlaut der Einwilligungserklärung gespeichert. Abmeldungen werden ebenfalls protokolliert.

Double-Opt-In

Für rechtssichere Einwilligungen sollte das Double-Opt-In-Verfahren verwendet werden: Nach der Anmeldung erhält der Nutzer eine Bestätigungs-E-Mail und muss aktiv bestätigen. Erst dann gilt die Einwilligung als erteilt.

Widerrufsmöglichkeit

Jede Marketing-E-Mail muss einen Abmeldelink enthalten. Odoo fügt diesen automatisch ein und verarbeitet Abmeldungen automatisch. Der Kontakt wird dann von weiteren Mailings ausgeschlossen.

Dokumentation im Kontakt

Alle Einwilligungen und Widerrufe werden im Kontaktdatensatz dokumentiert. Bei einer Auskunftsanfrage kann so nachvollzogen werden, welche Einwilligungen wann erteilt oder widerrufen wurden.

Betroffenenrechte umsetzen

Die DSGVO gewährt betroffenen Personen umfangreiche Rechte, die in Odoo umgesetzt werden müssen:

Auskunftsrecht (Art. 15)

Betroffene haben das Recht zu erfahren, welche Daten über sie gespeichert sind. In Odoo können Sie einen Report erstellen, der alle Daten zu einem Kontakt zusammenfasst: Stammdaten, Aufträge, Rechnungen, Kommunikation, Einwilligungen.

Recht auf Berichtigung (Art. 16)

Falsche Daten müssen korrigiert werden. In Odoo können autorisierte Benutzer Kontaktdaten jederzeit aktualisieren. Die Änderungen werden im Audit-Trail protokolliert.

Recht auf Löschung (Art. 17)

Das Recht auf Vergessenwerden erfordert die Löschung personenbezogener Daten. Odoo bietet eine GDPR-Anonymisierungsfunktion: Personenbezogene Daten werden durch Platzhalter ersetzt, während Transaktionsdaten für Buchführungszwecke erhalten bleiben.

Recht auf Einschränkung (Art. 18)

Statt Löschung kann eine Einschränkung der Verarbeitung verlangt werden. In Odoo kann dies durch Deaktivierung des Kontakts und Entzug von Zugriffsrechten umgesetzt werden.

Recht auf Datenübertragbarkeit (Art. 20)

Betroffene können ihre Daten in einem maschinenlesbaren Format anfordern. Odoo ermöglicht den Export von Kontaktdaten als CSV oder XML. Ein vollständiger GDPR-Export umfasst alle relevanten Datenkategorien.

Löschkonzept und Aufbewahrungsfristen

Ein zentrales Element der DSGVO-Compliance ist das Löschkonzept. Es definiert, wann welche Daten gelöscht werden:

Konflikt: DSGVO vs. Aufbewahrungspflichten

Die DSGVO fordert Datenminimierung, das Handels- und Steuerrecht hingegen Aufbewahrung. In Odoo müssen beide Anforderungen berücksichtigt werden:

• Buchhaltungsdaten: 10 Jahre Aufbewahrungspflicht
• Geschäftsbriefe: 6 Jahre Aufbewahrungspflicht
• Marketingdaten: Sofortige Löschung bei Widerruf
• Bewerberdaten: 6 Monate nach Absage

Umsetzung in Odoo

Die Löschung erfolgt in Odoo differenziert:

• Anonymisierung: Personenbezogene Daten werden durch generische Platzhalter ersetzt
• Archivierung: Datensätze werden deaktiviert, aber nicht gelöscht
• Löschung: Vollständige Entfernung aus der Datenbank (nur bei Daten ohne Aufbewahrungspflicht)

Automatisierte Löschung

Mit Odoo Automatisierungen können Löschregeln definiert werden: Beispielsweise werden Leads, die seit zwei Jahren inaktiv sind, automatisch anonymisiert. Für komplexere Szenarien gibt es spezialisierte GDPR-Module.

Technisch-organisatorische Maßnahmen

Die DSGVO fordert angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten:

Zugriffskontrollen

Odoo bietet ein feingranulares Berechtigungssystem. Definieren Sie Benutzergruppen und legen Sie fest, wer welche Daten sehen und bearbeiten darf. Das Prinzip der minimalen Berechtigung sollte gelten.

Verschlüsselung

Daten sollten sowohl bei der Übertragung (TLS/SSL) als auch bei der Speicherung (Datenbankverschlüsselung) geschützt werden. Bei Self-Hosting sind Sie für die Implementierung verantwortlich, bei Odoo SaaS ist dies Standard.

Protokollierung

Alle Zugriffe und Änderungen an personenbezogenen Daten sollten protokolliert werden. Der Odoo Audit-Trail erfasst, wer wann welche Änderungen vorgenommen hat.

Backup und Wiederherstellung

Regelmäßige Backups gewährleisten die Verfügbarkeit der Daten. Die Backups selbst müssen ebenfalls DSGVO-konform behandelt werden, insbesondere bei der Aufbewahrung und Löschung.

Mitarbeiterschulung

Technische Maßnahmen sind nur wirksam, wenn Mitarbeiter entsprechend geschult sind. Dokumentieren Sie die Schulungen als Nachweis der Sorgfaltspflicht.

Auftragsverarbeitung und Drittländer

Bei der Nutzung von Cloud-Diensten oder externen Dienstleistern sind zusätzliche DSGVO-Anforderungen zu beachten:

Auftragsverarbeitungsvertrag (AVV)

Wenn personenbezogene Daten von einem Dienstleister verarbeitet werden, ist ein AVV nach Art. 28 DSGVO erforderlich. Dies betrifft:

• Odoo SaaS (Odoo S.A. als Auftragsverarbeiter)
• Externes Hosting (Hosting-Anbieter als Auftragsverarbeiter)
• Cloud-Backups (Backup-Dienstleister als Auftragsverarbeiter)

Odoo S.A. als Auftragsverarbeiter

Odoo S.A. mit Sitz in Belgien stellt einen Standard-AVV (Data Processing Agreement) bereit. Als EU-Unternehmen ist die Datenverarbeitung innerhalb der EU unproblematisch. Die Server von Odoo SaaS befinden sich in der EU.

Drittlandtransfer

Wenn Daten außerhalb der EU verarbeitet werden (z.B. Cloud-Dienste mit US-Servern), sind zusätzliche Schutzmaßnahmen erforderlich: Standardvertragsklauseln, Angemessenheitsbeschlüsse oder verbindliche interne Datenschutzvorschriften.

Verzeichnis von Verarbeitungstätigkeiten

Die DSGVO fordert ein Verzeichnis aller Verarbeitungstätigkeiten (Art. 30). Für Odoo sollte dieses Verzeichnis alle Module und deren Datenverarbeitung umfassen:

Beispiel: Eintrag für CRM

• Bezeichnung: Kundenbeziehungsmanagement
• Zweck: Verwaltung von Kundenbeziehungen und Verkaufschancen
• Betroffene: Interessenten, Kunden
• Datenkategorien: Name, Kontaktdaten, Kommunikationshistorie
• Empfänger: Vertriebsmitarbeiter, ggf. Steuerberater
• Löschfrist: 2 Jahre nach letztem Kontakt
• TOMs: Zugriffskontrolle, Verschlüsselung, Protokollierung

Das Verzeichnis muss für alle Odoo-Module erstellt und bei Änderungen aktualisiert werden.

Kosten und Implementierung

Die DSGVO-Compliance in Odoo erfordert einmalige und laufende Investitionen:

Die Gesamtkosten für eine DSGVO-konforme Odoo-Einrichtung liegen typischerweise zwischen 4.000 und 9.500 Euro initial, mit jährlichen Folgekosten von 1.000-2.000 Euro für Pflege und Schulung.