Für die Umsetzung der Datenschutzgrundverordnung (DSGVO) stellt SAP seit 2018 wesentliche Werkzeuge des SAP Information Lifecycle Managements (ILM) im Standard zur Verfügung. Bei der Einrichtung und Nutzung der ILM-Funktionen in unterschiedlichen SAP-Modulen hat GISA in den vergangenen zwei Jahren zahlreiche Unternehmen begleitet.
Erfahrungen, die wir dabei gesammelt haben:
Der reine Teil der Aktivierung und des Basic-Customizings des ILM ist meist schnell und mit wenig Aufwand abgeschlossen.
Aber es gibt einige Themen, die zunächst nicht offensichtlich sind, dann aber in den Projekten – insbesondere im Core-System und in Industry-Solution-Lösungen – eine erhebliche Rolle spielen.
Für ein gelungenes DSGVO-Umsetzungsprojekt müssen Sie folgende Voraussetzungen schaffen:
Die wichtigste Voraussetzung für das Realisierungsprojekt ist eine Datenbankanalyse zur Ermittlung der Tabellen, die personenbezogene Daten enthalten. Das Ergebnis zeigt oft eine große Anzahl von betroffenen Datenelementen. Einige können von vornherein herausgefiltert werden, z. B. leere Tabellen.
Um das Projekt realistisch aufzusetzen, müssen Sie priorisieren. Da die Stammdateninformationen von Kunden, Lieferanten und Geschäftspartnern im Fokus stehen, sollten vor allem diese und die davon abhängigen Bewegungsdaten zu Beginn in Angriff genommen werden. Wichtigstes Ziel der Analyse ist es, genau diese zu ermitteln.
SAP ILM: Einstiegsworkshop zur Umsetzung der Anforderungen der DSGVO – Mehr Informationen!
Eine weitere wichtige Voraussetzung zu Beginn des Projekts ist das Vorhandensein einer Sperr- und Löschmatrix für die betroffenen Daten. Darauf basierend werden im SAP ILM die Regelwerke ausgeprägt. Dies kann recht komplex ausfallen, wenn z.B. für Interessenten mit wenigen oder gar keinen Regelwerken andere Fristen gelten als für Kunden, unterschiedliche Regelungen für die Buchungskreise bestehen oder bestimmte Kontengruppen ausgeschlossen werden müssen.
Die Sperrfunktionen im SAP ILM bewirken, dass die Daten, deren Zweckbestimmung nicht mehr gegeben ist, nur noch für einen begrenzten Personenkreis, z.B. für Prüfungen anzeigbar sind. Für diese Personengruppen müssen neue ILM-Berechtigungsrollen ausgeprägt werden. Hier gibt der SAP-Standard leider noch keine Vorlagen mit, die alle aktuellen Funktionen und Transaktionen abdecken.
Lesen Sie auch Datenschutz mit SAP ILM: Das sollten Sie bei der Sperrung und Löschung beachten!
Noch aufwändiger ist das Schließen von „Hintertüren“. Die Stammdatensperre wird über eine eigene Berechtigungsgruppe gesteuert. Ist an bestimmten Stellen die Berechtigungsgruppe * vergeben, muss eine Einschränkung erfolgen. Des Weiteren muss der Zugriff auf mächtige Transaktionen wie SE16, SE16N und SE38 zwingend geprüft und auf ein Mindestmaß reduziert werden.
Die Sperre von Bewegungsdaten erfolgt über die klassische Datenarchivierung mit der Transaktion SARA. Jedoch ist für ILM eine beidseitige Kommunikation zwischen SAP und dem Archiv notwendig. Dafür ist eine zertifizierte WebDAV 3.0-Schnittstelle zum Archivsystem erforderlich.
Die meisten Archivhersteller bieten mittlerweile eine solche Schnittstelle an. Da die Konfiguration nicht einheitlich erfolgt, ist es sinnvoll, den Archivhersteller in das Projekt einzubeziehen. Zudem sollte die Schnittstelle gut getestet werden, um Problemen wie fehlendem Speicherplatz frühzeitig begegnen zu können.
Haben Sie Fragen zum Thema? Kommen Sie gern auf uns zu – wir freuen uns auf Sie!
Die nächste Stufe bei der Einführung der flächendeckenden elektronischen Rechnungslegung zündet am 27. November 2020. Ab diesem Tag müssen gemäß EU-Richtlinie 2014/55/EU alle Rechnungen über 1.000 Euro an Behörden der mittelbaren und unmittelbaren Bundesverwaltung in einem bestimmten elektronischen Format übermittelt werden. Hier sind die wichtigsten...
Nachdem wir im Blog-Beitrag Datenschutz mit SAP: Der lange Weg zur Routine die Voraussetzungen betrachtet haben, die es zur Umsetzung der Datenschutzgrundverordnung braucht, richten wir unseren Blick nun auf die Sperrung und Löschung mit SAP Information Lifecycle Management (ILM). Folgende Hinweise gilt es zu beachten:...
Nutzen Verwaltungen und Unternehmen elektronische Dokumentenmanagement- und Aktenlösungen, müssen sie die Anforderungen der EU-DSGVO erfüllen. Mit Wirksamwerden der Verordnung im Jahr 2018 hat GISA zahlreiche Unternehmen bei der Umsetzung des Datenschutzmanagements begleitet. Das Thema bleibt ein Dauerbrenner. Folgende Aspekte gilt es zu beachten: Identifikation relevanter...
Das durch eine EU-Richtlinie geforderte Datenaustauschformat, die XRechnung, sorgt für Bewegung in Sachen digitalisierten Rechnungsprozessen. Die elektronische Rechnungslegung gegenüber Kommunen, Behörden und öffentlichen Anstalten wird bis spätestens Ende 2020 verpflichtend. Was liegt für Unternehmen also näher, als bei der Umstellung auf das neue Austauschformat auch...