Aktuell ist die DSGVO ein Hauptthema bei vielen Unternehmen in Deutschland und der sonstigen EU. Wahrscheinlich wird sich auch Ihr Unternehmen mit dem Themenfeld befassen und sich Gedanken zur Aufgabe Datenschutz machen. Wenn bei Ihnen SAP-Systeme eingesetzt werden, wäre der erste Ansatz das Tool SAP ILM für die DSGVO einzuführen. Da dieses Tool aber eng mit der Datenarchivierung im SAP verzahnt ist, zögern viele Unternehmen vor diesem Schritt, ob es wirklich eingeführt werden muss oder sollte. Wir wollen uns im Folgenden anschauen, was das SAP ILM bietet und ob sich für Sie die Einführung lohnt!
Die DSGVO im Überblick
Was verbirgt sich hinter der Abkürzung DSGVO? Die Datenschutzgrundverordnung hat eine europaweite rechtliche Grundlage für den Datenschutz gelegt. Dadurch ist auch das Bundesgesetz für Datenschutz aktualisiert worden. Unter den vielen Punkten, die in der DSGVO betrachtet werden, sollen hier nur einige wenige genauer beleuchtet werden. Personenbezogene Daten (das sind zum Beispiel Namen, Adressen, biometrische Daten, Einkaufsverhalten, …) dürfen nur so lange vorgehalten werden, wie ein Zweck vorliegt, etwa eine Geschäftsbeziehung. Das bedeutet, es dürfen keine Daten „nur für den Fall“ gespeichert werden. Wenn der Zweck nicht mehr vorliegt, dürfen die Daten nicht mehr verfügbar sein. Andererseits setzt die DSGVO nicht die anderen gesetzlichen Bestimmungen, wie etwa die GOBD außer Kraft. Man muss steuerlich relevante Daten weiterhin für die Finanzämter aufbewahren.
Wir unterscheiden daher zwei unterschiedliche Formen in den Daten. Wenn der tatsächliche Grund für die Erhebung der Daten nicht mehr zulässig ist, aber die Daten noch für das Finanzamt gehalten werden müssen, dann sollten die Daten gesperrt werden. Das bedeutet, dass nur noch ein eingeschränkter Personenkreis, bei dem es unbedingt nötig ist, auf die Daten zugreifen kann. Eine Bearbeitung sollte nicht mehr möglich sein. Sofern auch die Vorhaltefristen aus anderen gesetzlichen Gründen verfallen sind, müssen die Daten gelöscht werden, so dass niemand mehr auf die Daten zugreifen kann.
SAP ILM für DSGVO und allgemein
All die Anforderungen, die die DSGVO an das Datenhandling in SAP-Systemen stellt, können Unternehmen mit dem SAP ILM erfüllen. Das Tool zum Verwalten des Lebenszyklus von Daten (ILM = Information Lifecylce Management) gilt als die Standardlösung von SAP. Auch deswegen sind inzwischen die datenschutzrelevanten Bereiche lizenzfrei. Wir wollen hier kurz darauf eingehen, wie Sie das ILM für die DSGVO nutzen können.
Die erste Aufgabe, die sich stellt, ist das Sperren von nicht mehr benötigten Daten. Über spezielle Transaktionen im SAP ILM können Geschäftspartner, Kunden und Lieferanten gesperrt und entsperrt werden, so dass im Bereich Stammdaten der DSGVO Folge geleistet wird. Für Bewegungsdaten kommt nun die Datenarchivierung ins Spiel. Wenn man abgeschlossene Bewegungsdaten archiviert und den Zugang zum Archiv einschränkt, dann können die Daten zum einen nicht mehr von allen betrachtet werden und zum anderen können sie von niemandem mehr verändert werden. Wenn in einem Unternehmen bereits archiviert wird und archivierte Daten zum Teil auch nach dem Archivieren gelesen werden dürfen, dann bietet es sich an, SAP ILM für die DSGVO zu nutzen. Mithilfe des ILMs können an den erstellten Archivdateien Informationen mitgegeben werden. Unter anderem ist es möglich, Berechtigungsgruppen an den Archivdateien zu vermerken, so dass der Zugriff auf die Datei eingeschränkt ist.
Die zweite große Aufgabe ist das Löschen von hinfälligen Daten. Nach bestimmten Residenzzeiten müssen alle nicht mehr benötigten Daten vollständig aus dem System entfernt werden. Es darf nicht mehr möglich sein, auf diese Daten zuzugreifen. Auch da kommt das SAP ILM ins Spiel. An die Archivdateien kann (zusätzlich zur Berechtigungsgruppe) auch ein Datum gehangen werden, an dem die Dateien nicht mehr benötigt werden und damit gelöscht werden sollten. Mithilfe von Löschjobs, die automatisiert laufen können, werden nun in regelmäßigen Abständen die Dateien abgeräumt und gelöscht. Sollten Verlängerungen der Fristen nötig werden, so gibt es im SAP ILM die Möglichkeit, Daten mit einem „Legal Hold“ vor der Vernichtung zu schützen.
Datenarchivierung als Hilfsmittel
Hierbei muss allerdings gesagt werden, dass ILM ohne Datenarchivierung nur das Sperren von Geschäftspartnern, Kreditoren und Debitoren ermöglicht. Alle anderen Anforderungen des Datenschutzes können ohne Datenarchivierung so nicht erfüllt werden. Damit ist es nötig, analog zu Archivierungsprojekten, das System und die betroffenen Daten zu analysieren und eine gute Konzeptionierung aufzusetzen.
Vorbereitend sollten unter anderem die folgenden Fragestellungen mit den Fachbereichen und dem Datenschutzbeauftragten geklärt werden:
- Wann werden die Daten nicht mehr im aktiven Tagesgeschäft benötigt?
- Wann können die Daten also frühestens archiviert werden?
- Wann müssen die Daten spätestens archiviert und vernichtet werden?
- Wie gehören die Datensätze zusammen?
- Welche gesetzlichen Richtlinien müssen beachtet werden (zum Beispiel die Vorhaltung für Finanzämter)?
- Was macht man mit den kundeneigenen Entwicklungen?
- Welches Ablagesystem wird benutzt?
Ohne ILM zur DSGVO?
Möchte man auf das ILM-Tool verzichten, so sind umfangreiche Eigenentwicklungen zu erwarten. Für alle personenbezogenen Daten, die sich im System befinden, sollte eine Art Sperrkennzeichen eingeführt werden. Mit diesem Kennzeichen kann dann abgefragt werden, ob die Daten noch für alle User zur Verfügung stehen oder schon nicht mehr angezeigt werden dürfen. Dabei muss natürlich in jeder Transaktion, in der personenbezogene Daten angezeigt werden (könnten), eine Abfrage auf ebendiese Sperrkennzeichen eingebaut werden.
Bei diesem Verfahren muss trotzdem bedacht werden, dass die Daten irgendwann aus dem System gelöscht werden müssen. Dabei reicht es nicht, ein Löschkennzeichen zu setzen, da dann die Daten dennoch in der Datenbank verbleiben und daher mit gewissen Kenntnissen einsehbar sind. Es müssen also eigene Löschreports entwickelt werden, die die Daten konsistent aus dem System entfernen. Es muss bedacht werden, dass alle Daten eines Business Objektes vollständig entfernt werden und auch die Abhängigkeiten zwischen Business Objekten berücksichtigt werden. Auch die Prüfung, wann die Daten gesperrt und gelöscht werden können, muss dann in Eigenentwicklung geschehen.
Alternativ können personenbezogene Daten pseudonymisiert werden, also eine Verfälschung der Zuordnungen zu natürlichen Personen. Dabei ist darauf zu achten, dass für Prüfungen des Finanzamtes die Zuordnungen zwischen den verfälschten und den korrekten Daten noch möglich ist. Nachdem die Aufbewahrungsfristen aus anderen Gesetzen abgelaufen sind, müssen diese Zuordnungen vernichtet werden, so dass keine Rückschlüsse mehr auf die ursprünglich betrachteten Personen möglich sind. Ob dieses Vorgehen alle Anforderungen des Datenschutzes erfüllt, muss im Einzelfall mit dem Datenschutzbeauftragten geprüft werden.
Zusätzliche Benefits Datenarchivierung
Das Vorgehen über den „best practice“ von SAP, das SAP ILM, bringt auch einige positive Nebeneffekte mit. Durch das Archivieren der Daten wird natürlich automatisch die Datenbank entlastet. Bei einer beispielhaften Residenzzeit von drei Jahren, würden im Idealfall nur die letzten drei Geschäftsjahre auf der Datenbank verbleiben statt aller bisherigen. Mit der verkleinerten Datenbank erreichen Sie klassische Vorteile der Archivierung: eine bessere Systemperformance mit geringeren Ausfallzeiten und natürlich einer Kostenreduktion. Aber auch im Hinblick auf ein anderes hochaktuelles Thema hilft die Datenarchivierung: Die Transformation zu S/4HANA. Mit einer kleineren Datenbank fällt die Migration viel leichter und der Umstieg auf die teure Datenbank HANA wird weniger kostenintensiv. Insgesamt ist also ein Archivierungsprojekt ein sinnvoller Schritt auf dem Weg zur S/4HANA .
Fazit
Es ist durchaus möglich, die DSGVO ohne Datenarchivierung oder das SAP ILM umzusetzen. Dennoch hat sich SAP ILM bei vielen Unternehmen aus gutem Grund als „best practice“ durchgesetzt. Denn es bringt mehrere Vorteile mit sich, die hoffentlich deutlich geworden sind. Man sollte natürlich im Einzelfall prüfen, ob die Einführung des SAP ILM für die DSGVO der optimale Weg für Ihr Unternehmen ist. Natürlich ist auch eine Kombination der hier aufgeführten Methoden denkbar. Wir empfehlen jedoch, das ILM nicht aus übermäßigem Respekt vor der Datenarchivierung übereilt abzulehnen.
