Mit SAP ILM DSGVO konform Archivieren – mit EASY WebDAV for ILM leicht umgesetzt

Um es vorwegzuschicken und abzukürzen: Die Datenschutzgrundverordnung steuert und reglementiert den Umgang mit personenbezogenen Daten und deren Verarbeitung. Was aber bedeuten „personenbezogene Daten“ und „deren Verarbeitung“ in diesem Kontext?

Folgt man dem Artikel 4 der EU-DSGVO, dann gehören zu den personenbezogenen Identifikationsmerkmalen alle Informationen, mittels derer eine natürliche Person identifiziert oder identifizierbar wird. Als personenbezogene Daten gelten demnach alle

„(…) Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (…).“

Auch der Passus zur Verarbeitung ist durch die EU-DSGVO sehr weitgefasst und umfasst

„(…) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung (…), Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“

Es liegt auf der Hand, dass gerade in Unternehmen Daten im Sinne der eben erwähnten Merkmale nicht nur vorhanden sind, sondern auch verarbeitet werden. Man denke nur an Personalabteilungen, die digitale Prozesse mit SAP HCM managen. Ein genauerer Blick und Vorsicht sind geboten.

Der Lebenszyklus personenbezogener Daten  muss steuerbar sein. Und genau an dieser Stelle kommt SAP Information Lifecycle Management (SAP ILM) ins Spiel . SAP ILM erweitert die SAP-Standardauslieferung um die Fähigkeit, den Lebenszyklus produktiver und archivierter Daten und Dokumente mithilfe von ILM-Regeln zur erweiterten Datenarchivierung und Datenvernichtung zu verwalten.

SAP ILM stellt also Mittel und Methoden bereit, Informationen im Unternehmen DSGVO-adäquat zu behandeln. Datenverarbeitende Systeme müssen in die Lage versetzt werden, Informationen mit personenbezogenen Merkmalen

• mit einem Verfallsdatum zu versehen,
• zu sperren oder
• zu löschen.

Gute Beispiele für derartige ILM-Eigenschaften sind zum Beispiel Lösch-Befehle oder ein Verfallsdatum. EASY Archive in Kombination mit EASY for WebDAV ILM erfüllt diese SAP-ILM -Anforderungen. Im Zusammenspiel der beiden letztgenannten Systeme mit EASY for SAP ermöglichen wir ein ILM-fähiges Ablagesystem, das sicherstellt, Archivdateien bis zum Ablaufdatum sicher aufzubewahren. Das Sperren wird dann ebenso wie das endgültige Löschender Archivdateien automatisiert vollzogen.

WebDAV for ILM, Information Lifecycle Management und DSGVO: Sperren von Daten
Natürlich zählt die Datenschutz-Perspektive nur zu einer unter vielen anderen, die für Unternehmen relevant sind. So reglementieren z.B. handels- und steuerrechtliche Vorgaben die Aufbewahrungspflichten und fordern ein Archivieren von Geschäftsunterlagen. Derartige Massendaten möchte man vielleicht schon allein aus Performancegründen in ein Archiv-System auslagern.  Mit EASY WebDAV for ILM lassen sich derartige Daten entsprechend nach EASY Archive überführen – und nach Ablauf z.B. der Aufbewahrungspflicht auch automatisiert löschen, falls gewünscht. Voraussetzung: Die betroffenen Datensätze enthalten keine personenbezogenen Merkmale im Sinne der DSGVO. Was aber, wenn genau das Gegenteil der Fall ist?

Jetzt müssen zwei Anforderungen vereint werden: Datenschutz- und Aufbewahrungspflichten. Mit anderen Worten: Es muss ein Kompromiss gefunden werden bei der Verarbeitung von personenbezogenen Daten im Kontext des Verwendungszwecks. Das übliche Vorgehen mit EASY WebDAV for ILM lautet an dieser Stelle, die personenbezogenen Daten zu sperren. Der Zugriff auf Datensätze dieser Art ist dann geschützt – und zwar solange, bis die Aufbewahrungspflicht erreicht ist. EASY WebDAV for ILM setzt diese aus dem SAP Information Management System stammenden ILM-Regeln um und reicht sie an das EASY Archive weiter.

Nichts währt für die Ewigkeit – und ab einem bestimmten Zeitpunkt sind Aufbewahrungspflichten gesetzlicher oder vertraglicher Natur erloschen. Laut EU-DSGVO stellt dies den Moment dar, ab dem personenbezogene Daten gelöscht werden müssen.

Anhand eines Beispiels verdeutlicht: Unternehmen sind dazu angehalten, Buchhaltungsunterlagen nach einem Zeitraum von zehn Jahren der Vernichtung zuzuführen. Sobald das Verfallsdatum erreicht worden ist, werden die Löschbefehle, ausgehend von SAP ILM, an EASY WebDAV for ILM weitergegeben und im EASY Archive ausgeführt.

So einfach sich die Schnittstelle EASY WebDAV for ILM administrieren lässt, so komplex gestaltet sich der konkrete Einsatz von EASY for SAP, SAP ILM wie auch EASY WebDAV for ILM und EASY Archive im Kontext der EU-DSGVO. Ein ganzheitliches Verständnis der Thematik ist zwingend notwendig. Einen weitergehenden Überblick verschafft der am 27.11.2018 stattfindende Webcast „SAP ILM – endlich DSGVO-konform archivieren mit EASY WebDAV for ILM“.