Die Einführung der Datenschutz-Grundverordnung (DSGVO) stellt Unternehmen vor große Herausforderungen. Schließlich müssen mit Inkrafttreten der EU-Verordnung alle Daten, die in einem Unternehmen verarbeitet und abgelegt werden, hohen datenschutzrechtlichen Anforderungen genügen. Welche komplexen Auswirkungen die DSGVO besitzen kann, wird spätestens dann deutlich, wenn genauer erfasst wird, wo in einem Unternehmen überall personenbezogene Daten anfallen: Der Bogen spannt sich von der Personalabteilung über die Buchhaltung und das Marketing bis zum Kundendienst.

Die DSGVO verpflichtet Unternehmen dazu, über alle Prozesse hinweg sicherzustellen, dass personenbezogene Daten nur in engen Grenzen genutzt und nach bestimmten Fristen gelöscht werden. Konkret bedeutet das: Es muss genau festgelegt werden, welcher Mitarbeiter in einem Prozess wie lange welchen Zugriff auf bestimmte personenbezogene Daten haben darf.

Die zweite Herausforderung bei der Einhaltung der DSGVO betrifft die Organisation des Auskunftsrechts, das jeder Kunde nach Art. 15 DSGVO gegenüber einem Unternehmen hat. Danach muss das Unternehmen einem Kunden bei einem Auskunftsersuchen sämtliche zu der betroffenen Person gespeicherten personenbezogenen Daten und Metadaten offenlegen.

Die dritte Herausforderung bei der Umsetzung der DSGVO besteht schließlich darin, dass Unternehmen beim Umgang mit personenbezogenen Daten neben der DSGVO natürlich weiterhin die gesetzlichen Aufbewahrungsfristen für die unterschiedlichsten Dokumente beachten müssen, wie sie sich zum Beispiel aus dem Steuer-, Handels- oder Personalrecht ergeben.

Die gute Nachricht für Unternehmen ist, dass SAP® in seinem ERP-System mit dem Information Lifecycle Management (SAP ILM) eine Lösung bereitstellt, die Unternehmen bei diesen neuen Daten-Herausforderungen unterstützt. In diesem Artikel zeigen wir Ihnen auf, wie Sie am besten vorgehen, um beim Thema DSGVO langfristig Handlungssicherheit zu gewinnen.

SAP ILM-Projekte richtig durchführen

Gratis Whitepaper

Der Datenschutz und rechtliche Aufbewahrungsfristen zwingen Unternehmen beim Umgang mit Dokumenten und deren Aufbewahrung zu so manchem Spagat. Mit SAP ILM haben Sie ein Tool an der Hand, das Ihnen hilft, diesen Spagat zu meistern. In diesem Whitepaper lesen Sie, wie Sie Ihr Dokumenten-Management DSGVO-konform einrichten und dabei die volle Flexibilität beibehalten.

Management-Support frühzeitig sicherstellen

Für den Erfolg von einem Compliance-Projekt wie der Implementierung der DSGVO in Unternehmensprozesse ist die Unterstützung durch die Führungsebene einer der entscheidenden Faktoren. Dazu müssen dem Management frühzeitig die Risiken aufgezeigt werden, die bei einer schlechten Umsetzung drohen. Denn wer mit den Daten seiner Kunden fahrlässig umgeht, dem drohen empfindliche finanzielle Strafen und der verliert das Vertrauen der Kunden und damit Umsätze. Das Management muss die strategische Bedeutung eines DSGVO-Projekts für das Unternehmen sehen, es aktiv unterstützen und entsprechende Ressourcen freimachen: Budget, Zeit und Mannstunden.

Gezielt vorgehen: Planung ist das halbe Leben

SAP ILM ist bereits in der SAP-Standardauslieferung enthalten und bietet Unternehmen die Möglichkeit, Regeln zu erstellen, um Daten nach bestimmten Vorgaben zu archivieren und zu löschen. Aber: Die Einrichtung von SAP ILM ist nicht damit getan, dass das Feature einfach nur in der Software aktiviert und in einer automatisierten Basic-Variante eingerichtet wird.
Vielmehr verlangt SAP ILM eine sehr detaillierte Implementierung, damit auch wirklich alle Prozesse im Unternehmen unter Berücksichtigung des gesamten rechtlichen Rahmens erfasst werden. Aus diesem Grund ist es unerlässlich, bei jedem SAP ILM Projekt sehr gezielt vorzugehen. Dabei gibt es zwei Stufen:

  • die Vorbereitungsphase, in der die notwendigen Informationen für die spätere Implementierung zusammengetragen und in Konzepten zusammengefasst werden,
  • die Implementierungsphase, in der detaillierte Sperr-, Lösch- und Berechtigungskonzepte in SAP ILM eingerichtet und umgesetzt werden.

Am Anfang steht viel Organisationsarbeit: Sperr- und Löschkonzepte erstellen

Viele Unternehmen versuchen, die Verantwortung für SAP ILM an einen Bereich oder eine Person im Unternehmen auszulagern, damit der Prozess möglichst schlank und übersichtlich bleibt. Unserer Erfahrung nach ist dieses Vorgehen jedoch nicht zielführend, weil das Thema dafür zu komplex ist und zu viele Bereiche im Unternehmen betrifft. Wir empfehlen deshalb, als erstes danach zu fragen, welche Fachabteilungen von den DSGVO-Anforderungen betroffen sind und aus jeder dieser Abteilungen einen Mitarbeiter in die Projektplanung einzubeziehen. Dabei sollte dem Datenschutz-Beauftragten eine besondere Rolle zufallen.

Im zweiten Schritt müssen die Beteiligten in ihren Abteilungen alle relevanten Unterlagen, Daten, Programme und Prozesse identifizieren. Maßgeblich ist dabei die Frage: Wo werden welche Daten erfasst, für die Lösch- oder Sperrregeln ausgearbeitet werden müssen? Dazu ist es hilfreich, die Daten in verschiedene Kategorien wie Kundendaten, Nutzungsdaten oder Kontaktdaten einzugruppieren.

Im dritten Schritt müssen für alle Daten die richtigen Aufbewahrungsfristen und Löschvorschriften gesammelt werden. Dazu sollten Sie so umfassend wie möglich darstellen, welche Aufbewahrungspflichten im Einzelnen gelten und in welchen Abteilungen und Prozessen Daten und Unterlagen im Unternehmen behandelt werden. Wichtige Hinweise für Ihr Unternehmen finden Sie zum Beispiel in der Abgabenordnung, den GoBD-Richtlinien, dem HGB sowie eventuell bei Ihrer Berufsgenossenschaft.

Im vierten Schritt müssen Sie alle Informationen zusammenfassen und strukturieren, um daraus konkrete Sperr- und Löschkonzepte zu generieren. Dazu kann es hilfreich sein, mit dem Datenschutzbeauftragten und Mitarbeitern der betroffenen Abteilungen die Spur der Daten durch das gesamte Unternehmen zu verfolgen und genau aufzuzeichnen. Das Ziel besteht darin, tatsächlich all die unterschiedlichen Medien zu erfassen, die personenbezogene Daten enthalten. Dazu zählen beispielsweise: Rechnungen, Datenbankeinträge, Papierbelege, Urkunden, Auftragsbestätigungen, Lieferscheine, Anschreiben oder Lebensläufe.

Das eigentliche Sperr- und Löschkonzept kann sehr gut in Tabellenform angelegt werden. Es sollte für jedes Objekt genau festlegen, welche Information in welchem Prozess gesperrt oder gelöscht werden sollte, welche Sperr- und Löschfristen gelten und auf welcher gesetzlichen Grundlage sie beruhen.

Technische Vorarbeit: Prüfung der Systemlandschaft

Parallel zur Ausarbeitung von Sperr- und Löschkonzepten sollten Sie Ihre IT-Infrastruktur auch unter DSGVO-Gesichtspunkten analysieren. Dabei geht es darum herauszufinden:

  • welche Systeme Daten ans ERP liefern,
  • welche Schnittstellen dabei entstehen,
  • wo und in welcher Form – technisch gesehen – relevante Daten zu finden sind und
  • welche sonstigen Abhängigkeiten zu anderen Systemen bestehen können.

Der Sinn dieser Maßnahme liegt darin, Kontrolle über den gesamten Datenfluss zu gewinnen, der für SAP ILM relevant ist.

Implementierungsphase: ILM-Regelwerk erstellen und Berechtigungen zuweisen

Nach der finalen Definition des Projektumfangs, mit der festgelegt wird, was wie erfasst wird, kann SAP ILM in Ihrem SAP-System aktiviert werden. Anschließend wird das Projekt finalisiert, indem für jedes relevante Objekt ein ILM-Regelwerk eingerichtet wird. Das bedeutet: Sie definieren mit dem Regel-Framework in SAP ILM für jedes Objekt ganz genau, welche Attribute für die Archivierung und Löschung gelten. Dabei kommen vordefinierte Regelwerk-Kategorien zum Einsatz, mit denen festgelegt wird, welche Aufbewahrungs- und Verweilregeln – zum Beispiel zur Einhaltung gesetzlicher Aufbewahrungspflichten (Legal Hold) – für ein Objekt in der Datenbank zur Anwendung kommen.

Abschließend erstellen Sie das Berechtigungskonzept. Es sollte als Matrix angelegt werden und dient der Verknüpfung von Mitarbeitergruppen und Daten. Im Berechtigungskonzept wird festgelegt, wer im System wann worauf Zugriff haben darf. Dazu werden feste Zugriffsregeln, Prozesse und Rollen definiert, die den Umgang mit den Daten DSGVO-konform gestalten.

Sie orientieren sich am „Need-to-know-Prinzip“, das in Art. 32 der DSGVO unter der Überschrift „Sicherheit der Verarbeitung“ den Grundsatz der Zweckgebundenheit beim Umgang mit personenbezogenen Daten vorgibt. Es besagt, dass jeder Mitarbeiter im Unternehmen nur auf die Daten zugreifen darf, die er für sein Projekt zwingend benötigt. Aus dem Berechtigungskonzept wird nach der Implementierung ein schriftliches oder digitales Dokument erstellt, wie es in der gesetzlichen Nachweispflicht in der DSGVO vorgeschrieben ist.

Fazit: Bedeutung der Datenarchivierung wächst

Die DSGVO stellt an den Datenschutz in Unternehmen hohe Anforderungen. Mit SAP ILM haben Unternehmen ein effektives Werkzeug an der Hand, um diese Richtlinien nachhaltig umzusetzen. Die Durchführung eines SAP ILM Projekts ist jedoch kein Selbstläufer, sondern bedarf genauer organisatorischer und technischer Planung.

Zugleich gewinnt mit SAP ILM das Thema Datenarchivierung im Unternehmen zusätzlich an Bedeutung. Dabei bringt die Implementierung von SAP ILM in Unternehmen den nachhaltigen Umgang mit strukturierten Daten voran und wirkt so auch als Meilenstein bei der Digitalisierung des Lifecycle Managements Ihrer Dokumente. Mit EASY WebDAV for SAP ILM steht Ihnen eine zertifizierte Schnittstelle zur Verfügung, um SAP ILM passgenau an Ihre EASY-Archivsystem anzubinden. Über diese Anbindung erhalten Sie eine ILM-fähige Ablage für Archivdaten, mit der die Themen Datenschutz und Datenarchivierung zukunftsfähig werden.

Gut zu wissen: EASY SOFTWARE stellt nicht nur die Schnittstellenlösung EASY WebDAV for SAP ILM zur Verfügung. Unsere Experten setzen gemeinsam mit Ihnen das gesamte SAP ILM-Projekt um und begleiten Sie vom Projektanfang bis zur erfolgreichen Implementierung.

Hinterlasse einen Kommentar

Über EASY SOFTWARE
EASY SOFTWARE treibt die digitale Transformation aktiv voran und entwickelt Softwarelösungen – für ein effizientes, sicheres und dezentrales Arbeiten mit digitalen Geschäftsprozessen. Diese integriert EASY in bestehende IT-Infrastrukturen und erzeugt nachhaltig einen Mehrwert.
EASY SOFTWARE
Das könnte Sie auch interessieren:
Ein Self-Service-Portal für ein perfektes Zusammenspiel von Einkauf und Lieferanten
Whitepaper: Ein Self-Service-Portal für ein perfektes Zusammenspiel von Einkauf und Lieferanten
SAP Archivierung
Wohin mit den ganzen Daten? 10 Vorteile eines smarten Archivs für SAP® & Co.
Onboarding Prozess
Digitales Onboarding neuer Mitarbeiter – warum Sie es ernst nehmen sollten und wie ein Remote Onboarding-Prozess gelingen kann
Zurück zur Übersicht Nächster Artikel