SAP Information Lifecycle Management

Am 25. Mai 2016 trat die neue EU-Datenschutz-Grundverordnung (EU-DSGVO), General Data Protection Regulation (GDPR) in Kraft.

Darauf basierend wurde das Bundesdatenschutzgesetz (BDSG) mit dem Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) am 27.April 2017 angepasst. Diese neueste Fassung des BDSG wird am 25. Mai 2018 mit der Datenschutz-Grundverordnung in Kraft treten und das noch aktuelle Bundesdatenschutzgesetz komplett ersetzen.

Unternehmen mit Sitz in der Europäischen Gemeinschaft und darüber hinaus auch Unternehmen, die ihre Angebote an Bürger in der EU richten haben nun also nur noch wenige Monate Zeit, die Einhaltung der neuen Vorschriften zur Speicherung und Verarbeitung von personenbezogenen Daten sicherzustellen.

Bei Verstößen gegen das DSGVO drohen im Gegensatz zu den aktuell seit 1995 geltenden Regelungen der Datenschutzrichtlinie drastische Strafen, denn der Bußgeldrahmen wird deutlich erhöht und kann bis zu 20 Mio. EUR oder 4 Prozent des gesamten weltweiten erzielten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Was bedeutet das für ihr Unternehmen?

Als erstes gilt es für alle Unternehmen zu überprüfen, in welchen IT-Systemen sich Daten befinden, die von den neuen Vorschriften betroffen sind, um im zweiten Schritt transparent nachweisen und nachvollziehen zu können, wie mit den relevanten Daten umgegangen wird.

 

Die Rechte von betroffenen Personen werden durch die neuen Regelungen gestärkt, dadurch steigen in gleichem Maße die Anforderungen an Unternehmen.

Exorbitante Sanktionen

Das neue Stufensystem der DSGVO sieht bereits bei Verstößen gegen die Dokumentationspflicht Geldstrafen in Höhe von 10 Mio. EUR oder 2 Prozent des weltweit erwirtschafteten Jahresumsatzes vor. Bei einer Verletzung der Datensicherheit sind nunmehr die Unternehmen verpflichtet innerhalb von 72 Stunden die Aufsichtsbehörden zu informieren.

Sollte ein Mitarbeiter ihres Unternehmens Einblick in von der DSGVO betroffenen Daten haben, die er für seine Arbeit nicht benötigt, so handelt es sich ebenfalls um eine Datenschutzverletzung. Darüber hinaus muss das Unternehmen sicherstellen, dass alle Mitarbeiter im Umgang mit relevanten Daten erkennen können, dass diese gegebenenfalls eine Datenschutzverletzung begehen.

Insbesondere personenbezogene Daten werden in SAP-Systemen an vielen Stellen abgespeichert. Im Zuge der immer komplexer werdenden Systemlandschaften und dezentralen IT-Umgebungen steigt hierbei die Herausforderung, nachzuvollziehen, wo diese Daten vorgehalten werden und wie mit diesen umgegangen wird.

DSGVO und SAP ILM

Die Antwort der SAP für die Regulation personenbezogener Daten in SAP-Landschaften heißt SAP Information Lifecycle Management (ILM). Diese Lösung stellt das einheitliche Werkzeug für die Archivierung und Vernichtung von personenbezogenen Daten dar. Hierbei wird nicht nur das SAP-ERP-System an sich, sondern auch die möglicherweise archivierten Daten in entsprechenden Archivsystemen betrachtet.

Mit ILM liefert SAP ein Definitionswerk von Aufbewahrungsregeln zur Steuerung der Aufbewahrungsfristen aus. Damit können Unternehmen automatisiert Daten zum Stichtag vernichten und regelbasiert rechtsfallbedingte Vernichtungssperren setzen. Die Vernichtung der Daten wird ständig protokolliert und nachgewiesen. Die SAP AG selber liefert kein Regelwerk für die Fristen an sich aus, sondern nur die Möglichkeit der Definition. Im Vorfeld eines entsprechenden Projektes sollten also die Fristen vom Unternehmen geprüft und vorgegeben werden.

SAP ILM umfasst alle Tools und Komponenten, die mit den Enhancement Packages für SAP NetWeaver 7.0 ausgeliefert wurden und werden per Business Function aktiviert. Mittlerweile ist SAP ILM auch keine kostenpflichtige Komponente mehr, alle SAP-Kunden mit einer gültigen ERP-Lizenz sollen die Funktionen des ILM-Retention-Managements ohne weiteren Lizenzkosten nutzen können. Dies wurde vielen SAP-Kunden bereits schriftlich mitgeteilt. Bei Rückfragen sollten sich SAP-Kunden an ihren zuständigen Lizenz-Vertrieb wenden.

Vernichtung über das Archive Development Kit (ADK)

Die Vernichtung der Daten wird über entsprechende Löschläufe des Archive Development Kit (ADK) ausgeführt. Dies ist keine neue Funktion, sondern schon seit jeher ein Bestandteil der Software auf Basis von SAP Netweaver.

Hierbei geht es aber weniger um das Archivieren, sondern um die im ADK integrierten Löschläufe auf Basis der Archivierungsobjekte. Im Zuge der Anforderungen der EU-DSGVO aktualisiert SAP diese Funktionen auch kontinuierlich. Steht im SAP-Standard kein Archivierungsobjekt zur Verfügung, kann dieses selber erstellt oder das Vernichten der Daten über andere Funktionen auf Basis von SAP-ABAP-Funktionen erreicht werden.

Der Countdown läuft – fordern Sie unsere Unterstützung an!

Aufgrund der drastischen Strafen bei Nichteinhaltung der neuen Vorschriften ab dem 25. Mai 2018 und der gegebenen Komplexität des Themas raten wir allen Unternehmen, sich sofern noch nicht geschehen, mit diesem Thema auseinanderzusetzen.

Im Rahmen des SAP HCM Umfeldes haben wir in den letzten Wochen und Monaten bereits tiefergehende Erfahrungen bei der Umsetzung der neuen Vorschriften sammeln können. Wir haben ein entsprechendes Vorgehensmodell entwickelt, welches effektiv die neuen Regelungen der EU-DSGVO bzw. des BDSG-neu umsetzt.

Gerne unterstützen wir Sie im Rahmen eines geeigneten Projektes bei der Umsetzung in Ihrem Unternehmen. Sprechen Sie uns an!

Weitere Informationen:

Die wichtigsten Regelungen der EU-DSGVO
SAP ILM und das leidige Thema der Lizenzfrage
SAP ILM jetzt ohne weitere Lizenzkosten nutzbar