Für die Umsetzung der Datenschutzgrundverordnung (DSGVO) stellt SAP seit 2018 wesentliche Werkzeuge des SAP Information Lifecycle Managements (ILM) im Standard zur Verfügung. Bei der Einrichtung und Nutzung der ILM-Funktionen in unterschiedlichen SAP-Modulen hat GISA in den vergangenen zwei Jahren zahlreiche Unternehmen begleitet.

Erfahrungen, die wir dabei gesammelt haben:

Der reine Teil der Aktivierung und des Basic-Customizings des ILM ist meist schnell und mit wenig Aufwand abgeschlossen.

Aber es gibt einige Themen, die zunächst nicht offensichtlich sind, dann aber in den Projekten – insbesondere im Core-System und in Industry-Solution-Lösungen – eine erhebliche Rolle spielen.

Für ein gelungenes DSGVO-Umsetzungsprojekt müssen Sie folgende Voraussetzungen schaffen:

Analyse

Die wichtigste Voraussetzung für das Realisierungsprojekt ist eine Datenbankanalyse zur Ermittlung der Tabellen, die personenbezogene Daten enthalten. Das Ergebnis zeigt oft eine große Anzahl von betroffenen Datenelementen. Einige können von vornherein herausgefiltert werden, z. B. leere Tabellen.

Um das Projekt realistisch aufzusetzen, müssen Sie priorisieren. Da die Stammdateninformationen von Kunden, Lieferanten und Geschäftspartnern im Fokus stehen, sollten vor allem diese und die davon abhängigen Bewegungsdaten zu Beginn in Angriff genommen werden. Wichtigstes Ziel der Analyse ist es, genau diese zu ermitteln.

SAP ILM: Einstiegsworkshop zur Umsetzung der Anforderungen der DSGVO – Mehr Informationen! 

Regelwerke

Eine weitere wichtige Voraussetzung zu Beginn des Projekts ist das Vorhandensein einer Sperr- und Löschmatrix für die betroffenen Daten. Darauf basierend werden im SAP ILM die Regelwerke ausgeprägt. Dies kann recht komplex ausfallen, wenn z.B. für Interessenten mit wenigen oder gar keinen Regelwerken andere Fristen gelten als für Kunden, unterschiedliche Regelungen für die Buchungskreise bestehen oder bestimmte Kontengruppen ausgeschlossen werden müssen.

Berechtigungen

Die Sperrfunktionen im SAP ILM bewirken, dass die Daten, deren Zweckbestimmung nicht mehr gegeben ist, nur noch für einen begrenzten Personenkreis, z.B. für Prüfungen anzeigbar sind. Für diese Personengruppen müssen neue ILM-Berechtigungsrollen ausgeprägt werden. Hier gibt der SAP-Standard leider noch keine Vorlagen mit, die alle aktuellen Funktionen und Transaktionen abdecken.

Lesen Sie auch Datenschutz mit SAP ILM: Das sollten Sie bei der Sperrung und Löschung beachten!

Noch aufwändiger ist das Schließen von „Hintertüren“. Die Stammdatensperre wird über eine eigene Berechtigungsgruppe gesteuert. Ist an bestimmten Stellen die Berechtigungsgruppe * vergeben, muss eine Einschränkung erfolgen. Des Weiteren muss der Zugriff auf mächtige Transaktionen wie SE16, SE16N und SE38 zwingend geprüft und auf ein Mindestmaß reduziert werden.

ILM-Schnittstelle zum Archiv

Die Sperre von Bewegungsdaten erfolgt über die klassische Datenarchivierung mit der Transaktion SARA. Jedoch ist für ILM eine beidseitige Kommunikation zwischen SAP und dem Archiv notwendig. Dafür ist eine zertifizierte WebDAV 3.0-Schnittstelle zum Archivsystem erforderlich.

Die meisten Archivhersteller bieten mittlerweile eine solche Schnittstelle an. Da die Konfiguration nicht einheitlich erfolgt, ist es sinnvoll, den Archivhersteller in das Projekt einzubeziehen. Zudem sollte die Schnittstelle gut getestet werden, um Problemen wie fehlendem Speicherplatz frühzeitig begegnen zu können.

Haben Sie Fragen zum Thema? Kommen Sie gern auf uns zu – wir freuen uns auf Sie!

Ingrid Gottwald

Ingrid Gottwald ist im Bereich ECM & Compliance als Beraterin tätig. Sie hat einen Bachelor of Science im Fach Technische BWL mit dem Schwerpunkt Informationsmanagement. Seit 2011 berät sie Unternehmen zur IT-Umsetzung rechtlicher Anforderungen wie GoBD, DSGVO und elektronischer Rechnungslegung.