SAP Information Lifecycle Management (SAP ILM)

Für einen DSGVO-konformen Umgang mit personenbezogenen Daten

Unter dem Information Lifecycle Management (ILM) wird die Möglichkeit zur automatisierten Verwaltung von Daten und Dokumenten verstanden. Bei diesem Konzept werden Informationen gesetzeskonform und regelbasiert auf unterschiedlichen Speichermedien über den gesamten Lebenszyklus hinweg verwaltet.

Somit wird der vollständige Zeitraum von der Erstellung und erstmaligen Abspeicherung der Informationen bis zu ihrer endgültigen Vernichtung unterstützt.

Anforderungen der DSGVO

Seit dem 25. Mai 2018 regelt die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Die in Kraft getretenen Datenschutz-Regeln sollen diese Organisationen dazu zwingen, die Verarbeitung personenbezogener Daten zweckgebunden, transparenter und sicherer zu gestalten. Auch gelten nun erweiterte Auskunftspflichten.

Die traditionellen Werkzeuge zum Management von Daten reichen aufgrund der Anforderungen der DSGVO zur Datenaufbewahrung und -vernichtung nicht mehr aus. Sobald keine gesetzlichen oder vertraglichen Aufbewahrungspflichten mehr gelten, müssen gem. der DSGVO nicht nur personenbezogene Daten, sondern auch personenbezogene Dokumente gesperrt oder gelöscht werden.

SAP ILM – Möglichkeiten und Voraussetzungen

Die SAP bietet ein Werkzeug zur vollständigen Unterstützung der Informationsverwaltung und zur Einhaltung der Anforderungen der DSGVO an – das SAP Information Lifecycle Management (SAP ILM). Damit kann nicht nur die klassische Datenarchivierung, sondern auch das Retention Management zur gesetzeskonformen Verwaltung sowie das Retention Warehouse zur Systemstilllegung verwendet werden. Mithilfe dieser Funktionen können Unternehmen die personenbezogenen Daten und Dokumente in ihrem Unternehmen DSGVO-konform identifizieren, verwalten und vernichten.

Das SAP ILM ist bereits in der ERP-Lizenz enthalten und ab dem ERP 6.0 Enhancement Package 4 verfügbar. Außerdem ist es für den Einsatz zur Einhaltung der DSGVO nicht lizenzpflichtig, sondern ohne Aufpreis nutzbar.

3 Grundmodule

Das SAP ILM ist in drei Grundmodule Datenarchivierung, Retention Management und Retention Warehouse unterteilt, die jeweils unterschiedliche Szenarien im Fokus haben.

Archivierung

Die Archivierung ist der Kern von SAP Information Lifecycle Management und bezieht sich grundsätzlich auf den Umgang mit Datenvolumen im SAP. Sie basiert auf den klassischen Datenarchivierungsfunktionen, die schon vor SAP ILM im Standard verfügbar waren. Allerdings wurden diese bereits bekannten Funktionen in das SAP ILM eingefügt, um eine Integration mit den anderen beiden Grundmodulen zu gewährleisten. Die klassischen Archivierungsprogramme wurden erweitert, sodass nicht nur die Datenarchivierung, sondern auch die Datenvernichtung von Datenbankdaten und das Erstellen von sogenannten Snapshots ermöglicht wurde. Bei einem Snapshot wird keine Archivierbarkeitsprüfung durchgeführt und keine Löschphase eingeplant, sondern die Daten werden in das Archiv kopiert, sodass für eine Systemstilllegung alle Daten in ein Retention-Warehouse-System übertragen werden können (vgl. Abschnitt Retention Warehouse).

Retention Management

Die Funktion des Retention Managements hilft dabei den Lebenszyklus von Informationen regelbasiert zu steuern. Sie können somit die personenbezogenen Daten und Dokumente in Ihrem Unternehmen DSGVO-konform identifizieren, verwalten und vernichten.

Regelwerke zu Verweil- und Aufbewahrungsregeln für alle Datenobjekte im geschäftlichen Umfeld können angelegt und verwaltet werden. Beispiele hierfür sind Kunden- und Fertigungsaufträge, Lieferungs- und Rechnungsbelege sowie Kundenstammdaten oder personenbezogene Business Partner. Nach der Verarbeitung im Rahmen der Zweckbestimmung (Kundenauftrag – Lieferung – Faktura) müssen diese Geschäftsdaten bis zum Ende der jeweiligen Aufbewahrungsfrist vorgehalten, aber vor dem allgemeinen Zugriff geschützt werden. Hierfür gibt es die Funktion des „Blocken“ dieser Daten, sodass der Zugriff nur für Personen mit ausgewählten Berechtigungen gestattet wird und eine sogenannte Sperrphase eingehalten werden kann. Die nachfolgende Abbildung verschafft einen Überblick über diese verschiedenen Phasen der Datenverarbeitung und den verbundenen Zugriffsrechten. Durch das SAP Information Lifecycle Management kann die Vernichtung dieser Daten nach dem Ablaufen aller Aufbewahrungsfristen durch die Gestaltung der Löschprozesse regelbasiert durchgeführt werden.

Bildmodul

Durch das Setzen von rechtsfallbedingten Sperren, dem sogenannten „Legal-Hold“, kann außerdem die Vernichtung von einzelnen Daten und Archivdateien bis zur Klärung des Sachverhalts aufgeschoben werden. Diese Funktion des Legal Case Managements unterstützt somit als Bestandteils des Retention Managements die Verwaltung spezifischer Daten im Umgang mit rechtlichen Sachverhalten.

Retention Warehouse

Das Retention Warehouse (RW) Szenario stellt einen standardisierten Prozess zur Stilllegung von alten Systemen zur Verfügung. Diese Methode beinhaltet die Phasen „Systemstilllegung“ und „Auditing/Reporting“. Bei der Systemstilllegung können die Daten aus mehreren Systemen extrahiert und an einem einzigen Speicherplatz (Retention-Warehouse-System) konsolidiert werden. Daten, die noch nicht archivierbar sind, wie beispielsweise Belege mit offenen Posten, können mithilfe der ILM-Aktion „Snapshot“ übertragen werden. Somit werden im Retention-Warehouse-System alle erforderlichen Daten und Berichtsfunktionen geboten. Die IT-Landschaft kann somit harmonisiert und ein erheblicher Anteil der Gesamtbetriebskosten eingespart werden. Bestehende Alt-Systeme werden außer Betrieb genommen werden und der Aufwand zur Einhaltung von Vorschriften wird reduziert.

Herausforderungen bei der Einführung

Die Einführung von SAP ILM bringt einige zu bewältigende Herausforderungen mit sich. Die Grundlage einer erfolgreichen Einführung ist die systemübergreifende Analyse der verarbeiteten Daten in den Geschäftsprozessen und ein fundierter Wissenstransfer der Möglichkeiten und Rahmenbedingungen der ILM-Funktionen an die beteiligten Personen.

Bei integrierten und oftmals komplexen Systemlandschaften muss der Umgang mit den systemübergreifenden Stammdatenprozessen geklärt werden. Welche Systeme beinhalten überhaupt personenbezogene Daten? Welches ist das führende System und welche verbundenen Systeme gibt es? Die relevanten Applikationen für die Ermittlung des Verwendungszwecks müssen identifiziert werden, um Stammdaten mit einer ILM-Sperre (vgl. „Blocken“ im Abschnitt Retention Management) versehen zu können, ohne für Auswirkungen in Prozessen und Abläufen zu sorgen. Dies unterstreicht die Bedeutung einer funktionierenden Customer-Vendor-Integration (CVI) sowie der detaillierten Analyse und einer systemübergreifenden Abbildung der Unternehmensprozesse.

Nicht nur die Zusammenhänge der Stammdaten und Systeme, sondern auch die technischen Abhängigkeiten zwischen den Bewegungsdaten sind zu beachten. Die für die Geschäftsprozesse passenden ILM-Objekte müssen identifiziert und in eine Reihenfolge bei der ILM-Objekt-Archivierung gebracht werden. Der Unterschied von ILM-Sperrung, Archivierung und der Datenvernichtung muss bei einer Verwendung verdeutlicht und den beteiligten Personen veranschaulicht werden.

Außerdem sind kundenindividuelle Zusatz-Tabellen und Zusatz-Objekte sowie der Umgang mit Dokumenten und ArchiveLink-Objekten zu berücksichtigen. Die möglichen Ausprägungen von Zusatz-Entwicklungen sind vielfältig und im Detail kundenspezifisch. Nur durch eine umfassende Analyse und die Zusammenarbeit mit den Fachbereichen kann ein erfolgreicher Einsatz von SAP ILM und dadurch die Einhaltung der Anforderungen der DSGVO gewährleistet werden.

Fazit

Das SAP ILM bietet geeignete Funktionen, um die Anforderungen der DSGVO einzuhalten sowie die automatisierte Verwaltung von Informationen zu unterstützen. Durch das Retention Management kann die Datenminimierung realisiert, der Zugriff auf personenbezogene Daten beschränkt und die besonderen Anforderungen im Kontext von Aufbewahrungs- und Löschfristen erfüllt werden. Auch unabhängig von den Datenschutzbestimmungen lohnt sich ein Blick auf die Datenarchivierung und das Retention Warehouse. Sie können Ihre SAP-Datenbanken entlasten, das Speichervolumen reduzieren und die Systemlandschaft von Alt-Systemen befreien, um schlussendlich effizienter zu arbeiten.

Dieser Beitrag gibt einen grundlegenden Überblick über die Möglichkeiten durch das SAP ILM. Wollen Sie mehr über unsere Vorgehensweise zur Herstellung der DSGVO-Konformität erfahren?

Informieren Sie sich gerne auf unserer Detailseite zum Leistungsangebot SAP Information Lifecycle (ILM) oder nehmen Sie einfach direkt Kontakt mit uns auf. Wir freuen uns auf Sie!

Kontakt

Jan Philipp Goepel
Telefon: +49 (0)40 53302-0
E-Mail: info@cimt-ag.de
Twitter: twitter.com/cimtag

cimtAcademy

Jetzt registrieren und keine Veranstaltungen mehr verpassen.



    div#stuning-header .dfd-stuning-header-bg-container {background-image: url(https://www.cimt-ag.de/wp-content/uploads/2017/10/home-start2_low.jpg);background-color: #848484;background-size: cover;background-position: center center;background-attachment: fixed;background-repeat: no-repeat;}#stuning-header div.page-title-inner {min-height: 300px;}div#stuning-header .dfd-stuning-header-bg-container.dfd_stun_header_vertical_parallax {-webkit-transform: -webkit-translate3d(0,0,0) !important;-moz-transform: -moz-translate3d(0,0,0) !important;-ms-transform: -ms-translate3d(0,0,0) !important;-o-transform: -o-translate3d(0,0,0) !important;transform: translate3d(0,0,0) !important;}