easy portal Kontakt

SAP Information Lifecycle Management

DSGVO-konforme Datenarchivierung

SAP Silver Partner Badge

In der gesamten Europäischen Union gilt eine einheitliche Regelung zum Schutz persönlicher Daten: die EU-Datenschutz-Grundverordnung. SAP hat mit SAP ILM sehr schnell eine Lösung bereitgestellt, die diese Anforderungen umsetzen. Gerade Unternehmen müssen sich mit dem Thema intensiv beschäftigen. Dies betrifft insbesondere Unternehmen, deren Fokus auf digitalisierten Geschäftsprozessen liegt.

Der Einsatz von SAP ILM im Unternehmen

Die DSGVO verpflichtet Unternehmen dazu, über alle Prozesse hinweg sicherzustellen, dass personenbezogene Daten nur in engen Grenzen genutzt und nach bestimmten Fristen gelöscht werden. Konkret bedeutet das: Es muss genau festgelegt werden, welcher Mitarbeiter in einem Prozess wie lange welchen Zugriff auf bestimmte personenbezogene Daten haben darf.

Die zweite Herausforderung bei der Einhaltung der DSGVO betrifft die Organisation des Auskunftsrechts, das jeder Kunde gegenüber einem Unternehmen hat. Danach muss das Unternehmen einem Kunden bei einem Auskunftsersuchen sämtliche zu der betroffenen Person gespeicherten personenbezogenen Daten und Metadaten offenlegen.

Die dritte Herausforderung bei der Umsetzung der DSGVO besteht schließlich darin, dass Unternehmen beim Umgang mit personenbezogenen Daten neben der DSGVO natürlich weiterhin die gesetzlichen Aufbewahrungsfristen für die unterschiedlichsten Dokumente beachten müssen, wie sie sich zum Beispiel aus dem Steuer-, Handels- oder Personalrecht ergeben.

Die gute Nachricht für Unternehmen ist, dass SAP® in seinem ERP-System mit dem Information Lifecycle Management (SAP ILM) eine Lösung bereitstellt, die Unternehmen bei diesen neuen Daten-Herausforderungen unterstützt. In diesem Artikel zeigen wir Ihnen auf, wie Sie am besten vorgehen, um beim Thema DSGVO langfristig Handlungssicherheit zu gewinnen. Sie benutzen ein SAP ERP-System in Verbindung mit SAP ILM und sind darauf angewiesen, Ihre Daten und Dokumente im Dokumentenmanagemensystem DSGVO-konform zu archivieren? Dann hat Ihre Suche ein Ende gefunden! easy verfügt über die passende Schnittstelle zwischen easy archive und dem führenden SAP ERP-System und SAP ILM: easy WebDAV for SAP ILM

Viele, wenn nicht die meisten Daten an zahlreichen Stellen in SAP, haben einen Personenbezug oder lassen sich fallweise auf Personen beziehen. Stammdaten wie der zentrale Geschäftspartner, Kunde, Lieferant und die Mitarbeitenden enthalten in aller Regel identifizierende Merkmale wie z.B. Namen, Anschriften und Telefonnummern. Somit unterliegen diese Daten und Dokumente in SAP den Anforderungen der DSGVO.

Infolgedessen müssen Sie technische Maßnahmen umsetzen, die den Anforderungen des Löschens und oder Sperrens von solchen personenbezogenen Daten gerecht werden. Diese technischen und organisatorischen Maßnahmen (TOM) beinhalten konkret die Implementierung des SAP Information Lifecycle Management – kurz: SAP ILM. Seit Einführung der Datenschutz-Grundverordnung führt kein Weg mehr daran vorbei. Mit der Erstellung eines vollumfänglichen Sperr- und Löschkonzeptes, der Definition eines validen Lifecycle Management von Daten und Dokumenten und dem Einsatz von SAP ILM erhält das Unternehmen die Fähigkeit, den Anforderungen zur verbindlichen Umsetzung der DSGVO zu entsprechen.

Viele Unternehmen versuchen, die Verantwortung für SAP ILM an einen Bereich oder eine Person im Unternehmen auszulagern, damit der Prozess möglichst schlank und übersichtlich bleibt. Unserer Erfahrung nach ist dieses Vorgehen jedoch nicht zielführend, weil das Thema dafür zu komplex ist und zu viele Bereiche im Unternehmen betrifft. Wir empfehlen deshalb, als erstes danach zu fragen, welche Fachabteilungen von den DSGVO-Anforderungen betroffen sind und aus jeder dieser Abteilungen einen Mitarbeiter in die Projektplanung einzubeziehen. Dabei sollte dem Datenschutz-Beauftragten eine besondere Rolle zufallen.

Im zweiten Schritt müssen die Beteiligten in ihren Abteilungen alle relevanten Unterlagen, Daten, Programme und Prozesse identifizieren. Maßgeblich ist dabei die Frage: Wo werden welche Daten erfasst, für die Lösch- oder Sperrregeln ausgearbeitet werden müssen? Dazu ist es hilfreich, die Daten in verschiedene Kategorien wie Kundendaten, Nutzungsdaten oder Kontaktdaten einzugruppieren.

Im dritten Schritt müssen für alle Daten die richtigen Aufbewahrungsfristen und Löschvorschriften gesammelt werden. Dazu sollten Sie so umfassend wie möglich darstellen, welche Aufbewahrungspflichten im Einzelnen gelten und in welchen Abteilungen und Prozessen Daten und Unterlagen im Unternehmen behandelt werden. Wichtige Hinweise für Ihr Unternehmen finden Sie zum Beispiel in der Abgabenordnung, den GoBD-Richtlinien, dem HGB sowie eventuell bei Ihrer Berufsgenossenschaft.

Im vierten Schritt müssen Sie alle Informationen zusammenfassen und strukturieren, um daraus konkrete Sperr- und Löschkonzepte zu generieren. Dazu kann es hilfreich sein, mit dem Datenschutzbeauftragten und Mitarbeitern der betroffenen Abteilungen die Spur der Daten durch das gesamte Unternehmen zu verfolgen und genau aufzuzeichnen. Das Ziel besteht darin, tatsächlich all die unterschiedlichen Medien zu erfassen, die personenbezogene Daten enthalten. Dazu zählen beispielsweise: Rechnungen, Datenbankeinträge, Papierbelege, Urkunden, Auftragsbestätigungen, Lieferscheine, Anschreiben oder Lebensläufe.

Das eigentliche Sperr- und Löschkonzept kann sehr gut in Tabellenform angelegt werden. Es sollte für jedes Objekt genau festlegen, welche Information in welchem Prozess gesperrt oder gelöscht werden sollte, welche Sperr- und Löschfristen gelten und auf welcher gesetzlichen Grundlage sie beruhen.

Nach der finalen Definition des Projektumfangs, mit der festgelegt wird, was wie erfasst wird, kann SAP ILM in Ihrem SAP-System aktiviert werden. Anschließend wird das Projekt finalisiert, indem für jedes relevante Objekt ein ILM-Regelwerk eingerichtet wird. Das bedeutet: Sie definieren mit dem Regel-Framework in SAP ILM für jedes Objekt ganz genau, welche Attribute für die Archivierung und Löschung gelten. Dabei kommen vordefinierte Regelwerk-Kategorien zum Einsatz, mit denen festgelegt wird, welche Aufbewahrungs- und Verweilregeln – zum Beispiel zur Einhaltung gesetzlicher Aufbewahrungspflichten (Legal Hold) – für ein Objekt in der Datenbank zur Anwendung kommen.

Abschließend erstellen Sie das Berechtigungskonzept. Es sollte als Matrix angelegt werden und dient der Verknüpfung von Mitarbeitergruppen und Daten. Im Berechtigungskonzept wird festgelegt, wer im System wann worauf Zugriff haben darf. Dazu werden feste Zugriffsregeln, Prozesse und Rollen definiert, die den Umgang mit den Daten DSGVO-konform gestalten.

Sie orientieren sich am „Need-to-know-Prinzip“, das in Art. 32 der DSGVO unter der Überschrift „Sicherheit der Verarbeitung“ den Grundsatz der Zweckgebundenheit beim Umgang mit personenbezogenen Daten vorgibt. Es besagt, dass jeder Mitarbeiter im Unternehmen nur auf die Daten zugreifen darf, die er für sein Projekt zwingend benötigt. Aus dem Berechtigungskonzept wird nach der Implementierung ein schriftliches oder digitales Dokument erstellt, wie es in der gesetzlichen Nachweispflicht in der DSGVO vorgeschrieben ist.

Praxisnahe Realisierung eines SAP ILM-Projektes

Von der Konzeption bis zur reibungslosen Umsetzung: Erfahren Sie, wie die SAP-Datenarchivierung als Grundlage der ILM-Erweiterungen eingesetzt wird und wie sinnvolle Projektschritte und Rollenverteilung aus Sicht aller beteiligten Bereiche aussehen.

die bi-direktionale Schnittstelle zwischen SAP und easy Archive

SAP ILM ist bereits in der SAP-Standardauslieferung enthalten und bietet Unternehmen die Möglichkeit, Regeln zu erstellen, um Daten nach bestimmten Vorgaben zu archivieren und zu löschen. Aber: Die Einrichtung von SAP ILM ist nicht damit getan, dass das Feature einfach nur in der Software aktiviert und in einer automatisierten Basic-Variante eingerichtet wird. Vielmehr verlangt SAP ILM eine sehr detaillierte Implementierung, damit auch wirklich alle Prozesse im Unternehmen unter Berücksichtigung des gesamten rechtlichen Rahmens erfasst werden. Aus diesem Grund ist es unerlässlich, bei jedem SAP ILM Projekt sehr gezielt vorzugehen. Dabei gibt es zwei Stufen:

  • die Vorbereitungsphase, in der die notwendigen Informationen für die spätere Implementierung zusammengetragen und in Konzepten zusammengefasst werden,
  • die Implementierungsphase, in der detaillierte Sperr-, Lösch- und Berechtigungskonzepte in SAP ILM eingerichtet und umgesetzt werden.

Parallel zur Ausarbeitung von Sperr- und Löschkonzepten sollten Sie Ihre IT-Infrastruktur auch unter DSGVO-Gesichtspunkten analysieren. Dabei geht es darum herauszufinden:

  • welche Systeme Daten ans ERP liefern,
  • welche Schnittstellen dabei entstehen,
  • wo und in welcher Form – technisch gesehen – relevante Daten zu finden sind und
  • welche sonstigen Abhängigkeiten zu anderen Systemen bestehen können.

Der Sinn dieser Maßnahme liegt darin, Kontrolle über den gesamten Datenfluss zu gewinnen, der für SAP ILM relevant ist. Weitere Voraussetzungen für den reibungslosen Betrieb von easy WebDAV for ILM finden Sie in der folgenden Übersicht.

  • Ein konfiguriertes SAP ILM System
  • easy for SAP
  • easy archive
  • easy WebDAV for SAP ILM als Erweiterungsmodul zu easy for SAP

SAP Information Lifecycle Management:
Sämtliche personenbezogenen Daten verfügen über einen Lebenszyklus. SAP Net Weaver ILM (SAP NetWeaver Information Lifecycle Management) ergänzt die SAP-Standardauslieferung um die Fähigkeit, den Lebenszyklus produktiver und archivierter Daten und Dokumente aufgrund von Regeln zur erweiterten Datenarchivierung und Datenvernichtung zu verwalten. SAP NetWeaver ILM nutzt die SAP-ILM-spezifisch erweiterten Funktionen der Datenarchivierung.

Mit dem Einsatz von easy WebDAV for SAP ILM als Ergänzung zu SAP ILM sorgen Sie dafür, dass alle umfassenden Anforderungen der verbindlichen Umsetzung der DSGVO entsprechen. Insbesondere erfüllt easy WebDAV for SAP ILM die Anforderung, eine ILM-fähige Ablage für Archivdaten und Archivdokumente bereitzustellen. Das folgende Schaubild veranschaulicht das Zusammenspiel von SAP ILM, easy WebDAV for SAP ILM und easy Archive.

easy WebDAV for SAP ILM beinhaltet die ILM-fähige Dokumenten-Archivablage über einen easy WebDAV-Server. Damit erfüllt easy WebDAV for SAP ILM alle Anforderung von SAP an eine ILM-fähige Ablage:

  • Definition und Verwalten von Aufbewahrungsrichtlinien
  • Speichern und Aufbewahren von Informationen in Dateisystemen
  • Vereinfachtes Sperren und Löschen von Daten und Dokumenten (als Teilfunktionalität des Information-Retention-Management-Szenarios (IRM) von SAP ILM)
  • Vernichten von Daten oder Dokumenten aus dem Archiv oder einer Datenbank
  • Einrichten außerordentlicher Sperrfristen, einschließlich der Unterstützung von Beweissicherungsverfahren

S/4HANA

Kostenoptimierte Datenarchivierung vor dem Wechsel zu S/4HANA

Der Wechsel auf das neue S/4HANA-System benötigt enorme Ressourcen. Alles will wohlgeplant sein: Eine detailliert formulierte To-Do-Liste und ein klarer Migrationspfad fordern einige Personenstunden. Nach allen Mühen erreichen Sie den erfolgreichen Umstieg auf das neue S/4HANA-System. Performant, denn: S/4 residiert in einer In-Memory-DB. An dieser Stelle liegt dann auch die Schwierigkeit: Sicherlich wird S/4HANA besser „performen“ als jedes andere SAP-System zuvor. Genau hier hüllt sich SAP aber in Schweigen: Was kommt an Kosten auf Sie zu? Klar ist: Mit der Migration nach S/4HANA ist mit einer Gigabyte-basierten Volumenlizenz zu rechnen. Jedes Gigabyte in der HANA-DB kostet bares Geld. An dieser Stelle lassen sich mit einer durchdachten Strategie deutlich Kosten sparen.

R/3 geht, S/4HANA kommt – Kostenschlank den Umstieg planen

  • Datenbereinigung: Ermitteln Sie Datensätze, die aus Ihrem SAP Produktivsystem archiviert werden sollen.
  • Datenarchivierung: Archivieren Sie die ermittelten Datensätze in einem revisionssicheren Archiv.
  • Kosten reduzieren: Sparen Sie mit Ihrer Archivierungsstrategie beim Wechsel auf S/4HANA bares Geld.

die richtigen daten in den richtigen händen

easyarchive

Daten sicher und rechtskonform ablegen.

easy archive entdecken
Newsletter

Abonnieren Sie unseren Newsletter und erfahren Sie alles, was Sie über die Digitalisierung von Geschäftsprozessen wissen müssen. Die Themen werden für Sie maßgeschneidert und abwechslungsreich aufbereitet.

Newsletter abonnieren