SAP ILM nur zur Erfüllung der DSGVO – oder doch mehr? Teil 3: Wie unterstützt Sie SAP ILM, die Anforderungen der DSGVO zu erfüllen?

SAP ILM DSGVO: Was ist SAP ILM?

Gesetzliche Anforderungen und interne Prozesse sind die wirtschaftlichen Triebkräfte für eine Lösung wie SAP Information Lifecycle Management (ILM). Die Nachfrage nach ILM ist in den letzten Jahren durch interne und externe Faktoren stark gestiegen. Dazu zählen insbesondere die Anforderungen aus gesetzlichen Vorschriften und dem damit verbundenen Risikomanagement, der zunehmende Trend zur Harmonisierung und Konsolidierung von Systemlandschaften sowie der Aspekt der Total Cost of Ownership. Und nicht zuletzt ganz konkret: Die Datenschutz-Grundverordnung (EU-DSGVO), die Ende Mai 2018 in Kraft getreten ist und Unternehmen europaweit vor komplexe Herausforderungen stellt, was den Umgang mit  personenbezogenen Daten und deren Verarbeitung angeht.

In einer dreiteiligen Blogreihe werden wir Ihnen folgende Fragen beantworten:

Wie kann SAP ILM Sie unterstützen, um die Anforderungen der DSGVO zu erfüllen?

Nachdem sich der ersten beiden Teile mit der Frage beschäftigten „Was ist SAP ILM?“ und dessen Funktionen vorgestellt wurden, soll in diesem Blog aufgezeigt werden, wie das SAP ILM Sie bei der Erfüllung der Anforderungen der DSGVO konkret unterstützen kann.

(1) SAP ILM und DSGVO: Sperren von Daten

Die ILM-basierte Datenarchivierung ohne die Datenschutzperspektive legt den Fokus auf aufbewahrungspflichtige Massendaten, die Sie vor allem aus Performancegründen in das Archiv auslagern möchten. Die Aufbewahrungsfrist – z. B. nach der Abgabenordnung stellt dabei den eigentlichen Zweck dar, d.h. nach Ablauf der Aufbewahrungsfrist können Sie die Daten löschen – müssen es aber nicht. Die Voraussetzung für diese Sichtweise ist, dass das entsprechende SAP Business Objekt keine personenbezogenen Daten enthält und somit nicht unter die DSGVO fällt.

Anders verhält es sich, wenn das SAP Business Objekt, personenbezogene Daten enthält.

In der datenschutzrechtlichen Perspektive geht es hingegen um die Verarbeitung personenbezogener Daten im Rahmen des Verwendungszwecks.

SAP ILM und DSGVO.Die Phasen 1-3 stellen das Sperren und Löschen der gesperrten Bewegungsdaten dar.

In der Phase 1 kann ein betriebswirtschaftliches Objekt unabhängig von einer stammdatenbasierten Sperre über eine Archivdatei gesperrt werden. Im SAP ILM sind die Verweildauern und Aufbewahrungsfristen für die jeweiligen ILM-Objekte hinterlegt. Wenn ein Business Object (z. B. ein FI-Beleg) archiviert werden soll, wird geprüft, ob die folgenden Voraussetzungen gegeben sind:

  1. a) Das Objekt ist abgeschlossen.
  2. b) Die Verweildauern (Residenzzeiten) sind verstrichen.

Sind diese Voraussetzungen erfüllt, wird der FI-Beleg in eine Archivdatei geschrieben. Diese Archivdatei ist durch Berechtigungen so geschützt, sodass der Zugriff auf den FI-Beleg gesperrt ist.

Wie in Phase 2 dargestellt, müssen die gesperrten Daten irgendwann gelöscht werden. Auch die Löschung wird über das SAP ILM gesteuert.

Die Phase 3 stellt einen Sonderfall dar. Wenn der Zweck der Datenverarbeitung, d.h. die Verweildauer und die Aufbewahrungsfristen übereinstimmen und beide verstrichen sind, ist ein Sperren nicht erforderlich. Die Daten können dann direkt gelöscht werden. Diese Löschung kann entweder über

  • ein Datenvernichtungsobjekt oder
  • ein ILM-fähiges Archivierungsprogramm

erfolgen.

Die Phasen 4 und 5 stellen die stammdatenbasierte Sperre dar.

Nachdem die Verweildauern und Aufbewahrungsfristen in SAP IRM gepflegt wurden, verhält sich die stammdatenbasierte Sperre wie folgt:

Jede registrierte Applikation wird aufgerufen und führt ihre End-of-Purpose-Prüfungen durch. Dabei müssen die folgenden Voraussetzungen erfüllt sein:

  • alle Applikationen haben keine weitere Verwendung für die Daten, die gesperrt werden sollen und
  • die von SAP IRM berechneten Fristen für die definierten Verweildauern sind verstrichen.

Wenn beide Voraussetzungen zutreffen, wird in den Stammdaten zu ≫Kunde≪ und/oder ≫Lieferant≪ und/oder ≫zentraler Geschäftspartner≪ ein Sperrkennzeichen gesetzt.

Die mit diesem Stammdatum verbundenen Bewegungsdaten können in der Folge nicht oder nur noch teilweise angezeigt werden. Sie können auch nicht mehr geändert werden, und auch die Neuanlage von Geschäften ist nicht mehr möglich. Die Anzeige der Daten wird über Berechtigungen geschützt.

(2) SAP ILM und DSGVO: Löschen von Daten

Sobald keine gesetzlichen oder vertraglichen Aufbewahrungsfristen mehr gelten, müssen personenbezogene Daten gem. DSGVO gelöscht werden.

Beispiel:

Ihr Unternehmen ist verpflichtet, seine Buchhaltungsunterlagen nach 10 Jahren zu vernichten. Bestimmte Buchhaltungsbelege haben ihr Verfallsdatum erreicht und müssen nun vernichtet werden. Auch die entsprechenden gescannten Rechnungen müssen vernichtet werden. Sie möchten dazu die Datenvernichtungsfunktionen von SAP ILM nutzen.

Die Datenvernichtung mithilfe des SAP ILM steht grundsätzlich für zwei Bereiche zur Verfügung:

  • für Daten, die sich in der Online-Datenbank befinden, und
  • für Daten, die archiviert wurden und ihr Verfallsdatum erreicht haben.

Die Vernichtung über das SAP ILM kann zusätzlich unstrukturierte Daten, z.B. archivierte Dokumente, beinhalten, die vom Information Retention Manager (IRM) verwaltet werden.

Das SAP ILM unterstützt Sie aber nicht nur bei der Vernichtung von Daten, die Sie gem. der DSGVO löschen müssen, sondern auch bei Daten, die nie vollständig sein werden und ohne außergewöhnliche Maßnahmen normalerweise nicht archiviert werden können, wie beispielsweise Testdaten oder ungültige Auftragsarten.

Durch das SAP ILM wird zusätzlich auch gewährleistet, dass Daten, solange sie durch „Legal Hold“ geschützt sind, nicht vernichtet werden können.

Das SAP ILM unterstützt Sie aber nicht nur bei der Erfüllung der DSGVO, sondern auch bei der Reduzierung Ihres Datenwachstums.

SAP ILM und DSGVO.In der Abbildung werden beispielhaft für drei unterschiedliche Szenarien die Entwicklung des Datenwachstums und -volumen in einem SAP System dargestellt.

Ohne Datenarchivierung würde das Volumen in Ihrem SAP System unkontrolliert wachsen. Mit der Datenarchivierung wird das Datenwachstum erheblich reduziert. Mit den Retention-Management-Funktionen vom ILM wird das Datenwachstum konstant gehalten, da Sie nicht nur das Volumen in der Datenbank reduzieren, sondern auch das Volumen im Speicherbereich bereinigen können.

In Teil 1 und Teil 2 unserer Blog-Reihe „SAP ILM nur zur Erfüllung der DSGVO – oder doch mehr?“ erläutern wir Ihnen, die Funktionen von SAP ILM und dessen Funktionen.

-von Heiko Köllmann, Consultant Enterprise Content Mangement, itelligence AG-
E-Mail: Heiko.Koellmann@itelligence.de

 

Diskutieren Sie mit unseren Experten vor Ort:

Alle Veranstaltungen

Jetzt informieren: Strukturieren Sie die Datenflut!

Richtig: Man sollte sich auf das Wesentliche konzentrieren. Doch was ist, wenn das Wesentliche Alles ist? Ein durchdachtes Enterprise Content Management mit den passenden Lösungen für Ihre individuellen Herausforderungen, hilft Ordnung in das Datenchaos zu bringen und die niemals endenwollende Datenflut nachhaltig und automatisiert zu strukturieren. Somit bleiben Sie auch bei Inkrafttreten von neuen Gesetzesanforderungen regelkonform. Lesen Sie mehr in unserer Broschüre.

Broschüre herunterladen

Ähnliche Beiträge

Lesen Sie mehr
Lesen Sie mehr
Lesen Sie mehr
SAP ILM DSGVO: Was ist SAP ILM?
Lesen Sie mehr
Lesen Sie mehr

Kontakt
Kontakt

Sie haben Fragen? Kontaktieren Sie uns gerne.