SAP » Daten- & Dokumenten-Management. Die lückenlose Umsetzung der strengen und komplexen DSGVO-Anforderungen in den Betriebsalltag bringt insbesondere B2C-Unternehmen ins Schwitzen. Das Produkt SAP Information Lifecycle Management (SAP ILM) bietet Funktionen, mit denen die Datenschutz-Herausforderungen sicher gelöst werden können.

DATENSCHUTZ MIT SAP ILM

Optimal gewährleisten

STELLWERK » SAP-Beratung » Daten- & Dokumenten-Management » Datenschutz mit SAP ILM

MIT SAP ILM DIE DSGVO WIRKSAM UMSETZEN

Datenschutz in SAP ist eine echte Herausforderung – aber lösbar

Seit dem 25.05.2018 gilt die Datenschutzgrundverordnung, kurz DSGVO. Die lückenlose Umsetzung der strengen und komplexen Anforderungen in den Betriebsalltag bringt insbesondere B2C-Unternehmen ins Schwitzen. Das Produkt SAP Information Lifecycle Management (SAP ILM) bietet Funktionen, mit denen die Datenschutz-Herausforderungen sicher gelöst werden können.

SAP ILM als breit aufgestellte Alles-Könner-Lösung für das Daten- & Dokumenten-Management ist wegen der Lizenzkosten für viele SAP-Nutzer unattraktiv. Diese berechnen sich nämlich auf Basis der zu verarbeitenden Datenvolumina und schießen daher gerne mal durch die Decke.

Beschränkt sich die Nutzung jedoch auf die Datenschutz-Funktionalitäten, ist dieser Teil von SAP ILM bereits durch die Lizenz für das aktive SAP-System abgedeckt – ohne Extrakosten.

Übersicht Datenschutz-Funktionen in SAP ILM

So könnte Ihr Dashboard in SAP DRC aussehen.

Die wichtigsten Funktionen von SAP ILM für den Datenschutz

SAP ILM erweitert die Daten-Archivierung um zwei elementare Funktionen:

  • Nicht nur Daten in der Datenbank werden vernichtet, sondern auch im Archiv abgelegte Daten.

  • Ein Regelmanagement (Retention Management) steuert Verweilzeiten und Aufbewahrungszeiten; damit erhalten die Daten ein Ablaufdatum.

Ein wesentlicher Vorteil ist die Möglichkeit, alte, nicht mehr benötigte SAP-Systeme stillzulegen:

Aufbewahrungspflichtige Daten und Dokumente werden in ein Retention Warehouse überführt, wo weiterhin darauf zugegriffen werden kann und Auswertungen möglich sind. Das Altsystem kann damit abgeschaltet werden.

Um den vollen Umfang von SAP ILM für den Datenschutz nutzen zu können, empfiehlt es sich, ein Archiv-System mit WebDAV-Schnittstelle anzubinden. Damit ist sichergestellt, dass archivierte Dateien mit SAP ILM vernichtet werden können, ohne das SAP-System zu verlassen. Andernfalls müsste die Löschung der Daten im Archiv organisatorisch erfolgen, was einen größeren manuellen Aufwand bedeutet kann.

Datenschutz in SAP

Die wichtigste Anforderung an den Datenschutz in SAP ist nicht die sofortige Datenvernichtung, sondern das Verhindern jeglichen unerlaubten Zugriffs auf zu schützende Daten. Unerlaubt wäre ein Zugriff lt. DSGVO, wenn

  • der Geschäftszweck nicht mehr existiert, der die Speicherung der Daten gerechtfertigt hatte oder
  • Mitarbeitende mit den Daten arbeiten, die für diesen Geschäftszweck nicht erforderlich sind.

So ein Szenario könnte z. B. im Zusammenhang mit den gesetzlich vorgeschriebenen Aufbewahrungspflichten bzw. einer Steuerprüfung eintreten. Oder ein Rechtsfall mit einem Lieferanten oder Kunden erfordert eine längere Aufbewahrungszeit von Daten, die über die übliche gesetzliche Frist hinausgeht.

Die Vernichtung der Daten, insbesondere der Businesspartner-Daten – einschließlich Debitoren und Kreditoren – kann ohnehin erst nach Ablauf der Aufbewahrungspflicht für Geschäftsdokumente erfolgen. Daraus folgt, dass alle zu dem Stammdatum gehörigen Bewegungsdaten ebenfalls archiviert bzw. vernichtet sein müssen, um abschließend erfolgreich das Stammdatum vernichten zu können. Dies ist ein machbarer, aber langwieriger und schwieriger Prozess.

SAP stellt mit Information Retrieval Framework (IRF) ein wirkungsvolles Tool bereit, um die Informationspflichten des Unternehmens zu erfüllen. Die Erfahrung zeigt, dass diese abhängig vom Geschäftsmodell und den schutzwürdigen Daten ggfs. auch mit einfacheren Mitteln bedient werden können.

Was Sie jetzt schon tun können

ToDos für optimalen Datenschutz in SAP:

  • Schutzwürdige Daten inkl. Abhängigkeiten zu Vor- und Nach-Systemen präzise definieren.

  • Vorgehensweise mit allen Prozessbeteiligten rechtzeitig abstimmen und offene Fragen klären (z. B. Zugriff der Mitarbeitenden auf archivierte Daten usw.).

  • Datenverantwortliche (z. B. Leitung Rechnungswesen für Buchhaltungsdaten) als Best Practice für Datenarchivierung, Datensperrung und -vernichtung nominieren und aktiv einbeziehen.

  • Rechts- und Steuerabteilung sowie verantwortliche Fachabteilungen in die Abläufe einbinden, um die besonderen Geschäftszwecke bzw. Rechtsfälle in den Systemen abbildbar zu machen und aktuell zu halten.

  • Mit den Verantwortlichen einen Maßnahmen-Plan erstellen, wie die Informationspflichten des Unternehmens optimal sichergestellt werden können, und umsetzen.

  • Berechtigungskonzept und Berechtigungen an die Datenschutzmaßnahmen anpassen.

  • Stammdaten aktualisieren und ggf. um zusätzliche Berechtigungsgruppen ergänzen.

  • Bestehende Archivierungsaktivitäten in die neue ILM-Welt integrieren und anpassen.

Weitergehende Fragen zum Thema beantworten Ihnen unsere Experten gerne und unverbindlich.

IHR ANSPRECHPARTNER
Ihr Ansprechpartner für das Thema SAP DRC: Rolf Andres, Bereichsleiter

Rolf Andres
SAP Data & Tax Compliance

Fon: +49 221 – 6508 6211
Mail: