Restaurantketten speichern heute sensible Daten in SaaS-Plattformen — von Gehaltsabrechnungen bis Kundenkontakten, von Lieferantenverträgen bis Finanzen. Diese Daten zu schützen ist keine IT-Sache mehr; es ist eine Frage der Reputation des Betriebs.
Drei Pflicht-Schichten
Die erste Schicht ist Verschlüsselung. Daten müssen sowohl at-rest (AES-256) als auch in-transit (TLS 1.3) verschlüsselt sein. Die zweite ist Zugriffskontrolle — granulares RBAC über 25+ Rollen plus Multi-Faktor-Authentifizierung. Die dritte ist der Audit-Trail: ein unveränderliches Protokoll jeder Mutation mit Wer/Was/Wann/Warum.
GoBD §146 und DSGVO: zwei Seiten
GoBD §146 schreibt die Unveränderlichkeit finanzieller Aufzeichnungen vor. Jede Änderung ist eine neue Zeile; nichts wird gelöscht — ein vollständiger Audit-Trail. Die DSGVO verfolgt einen anderen Ansatz für personenbezogene Daten: Bei Löschantrag werden persönliche Daten entfernt, Audit-Spuren bleiben anonymisiert erhalten.
Die beiden Rahmen widersprechen sich nicht — in der richtigen Architektur verstärken sie sich. Bei der Wahl einer SaaS-Plattform sollten Sie sehen, dass beide gleichzeitig erfüllt werden.