Praxishandbuch DSGVO und Retention Management mit SAP ILM E-Book

Cihan Kaya, Koautor: Birol IncePraxishandbuch Retention Management und DSGVO mit SAP® ILM

ISBN:978-3-96012-291-3 (E-Book)

Lektorat:Bernhard Edlmann

Korrektorat:Die Korrekturstube

Coverdesign:Philip Esch

Coverfoto:© Yevhen Lahunov | Nr. 1398842727 istockphoto.com

Satz & Layout:Johann-Christian Hanke

1. Auflage 2024

© Espresso Tutorials GmbH, Gleichen 2024

URL:www.espresso-tutorials.de

Das vorliegende Werk ist in allen seinen Teilen urheberrechtlich geschützt. Alle Rechte sind vorbehalten, insbesondere das Recht der Übersetzung, des Vortrags, der Reproduktion und der Vervielfältigung. Espresso Tutorials GmbH, Bahnhofstr. 2, 37130 Gleichen, Deutschland.

Ungeachtet der Sorgfalt, die auf die Erstellung von Text und Abbildungen verwendet wurde, können weder der Verlag noch die Autoren oder Herausgeber für mögliche Fehler und deren Folgen eine juristische Verantwortung oder Haftung übernehmen.

Feedback:Wir freuen uns über Fragen und Anmerkungen jeglicher Art. Bitte senden Sie diese an: [email protected].

Inhaltsverzeichnis

Willkommen bei Espresso Tutorials!

Unser Ziel ist es, SAP-Wissen wie einen Espresso zu servieren: Auf das Wesentliche verdichtete Informationen anstelle langatmiger Kompendien – für ein effektives Lernen an konkreten Fallbeispielen. Viele unserer Bücher enthalten zusätzlich Videos, mit denen Sie Schritt für Schritt die vermittelten Inhalte nachvollziehen können. Besuchen Sie unseren YouTube-Kanal mit einer umfangreichen Auswahl frei zugänglicher Videos: https://www.youtube.com/user/EspressoTutorials.

Kennen Sie schon unser Forum? Hier erhalten Sie stets aktuelle Informationen zu Entwicklungen der SAP-Software, Hilfe zu Ihren Fragen und die Gelegenheit, mit anderen Anwendern zu diskutieren: http://www.fico-forum.de.

Eine Auswahl weiterer Bücher von Espresso Tutorials:

Andreas Schuster:

Praxishandbuch SAP

®

HANA – Administration

Andreas Unkelbach:

SAP S/4HANA

®

Migration Cockpit – Datenmigration mit LTMC und LTMOM

Sebastian Brunner, Martin Munzel, Philipp Reichhardt:

Schnelleinstieg in SAP S/4HANA

®

Martin Kipka:

SAP

®

Activate – Agilität in SAP

®

-Implementierungsprojekten

Cihan Kaya:

Datenarchivierung in SAP

®

Manfred Sprenger:

Praxishandbuch SAP

®

-Basis – Troubleshooting in der Systemadministration

Vorwort

Oft denkt man in Unternehmen erst in dem Moment über die Einhaltung der EU-Datenschutz-Grundverordnung (EU-DSGVO) nach, wenn es sozusagen »knallt«. Meldungen über Verstöße gegen Bestimmungen dieser Richtlinie zur Handhabung personenbezogener Daten werden immer häufiger. Wir hoffen, dass Ihr Interesse an diesem Buch nicht aufgrund eines solchen Fauxpas entstand und Sie sich vielmehr deswegen dem Thema widmen, weil Sie den gesetzlichen Anforderungen entsprechen möchten, bevor Sie mit Bußgeldern belegt werden.

Neben der reibungslosen Integration betriebswirtschaftlicher Prozesse in die technischen Abläufe ist für SAP-Kunden seit Einführung der DSGVO insbesondere der Umgang mit personenbezogenen Daten von großer Bedeutung. Daten als Ressource gewinnen stetig an Wert. Um sie innerhalb des Systems gemäß den Richtlinien der DSGVO zu verwalten und ohne Risiken zu nutzen, ist die Einführung des SAP Information Lifecycle Management (ILM) dringend ratsam. SAP ILM bietet Ihnen mit verschiedenen Werkzeugen und Funktionen eine umfassende Lösung zur richtigen Handhabung personenbezogener Daten an, indem die Daten im Laufe ihres Lebenszyklus mithilfe der Funktionen rechtskonform behandelt werden.

Sie haben wahrscheinlich nach diesem Buch gegriffen, weil Sie vor der herausfordernden Aufgabe stehen, die DSGVO in Ihrem SAP-System umzusetzen. Die folgenden Seiten sollen Ihnen zu einem schnellen Einstieg in das Retention Management und der Erfüllung der DSGVO in SAP-Systemen verhelfen. Wir möchten Ihnen mit diesem Buch einen guten Überblick über die wichtigsten Themen im Bereich von SAP ILM geben und richten uns an alle Leser, die sich Expertenwissen aneignen möchten.

Als Berater beschäftigen wir uns intensiv mit dieser anspruchsvollen Aufgabe und möchten unser Wissen zu SAP ILM sowie zu neuen Technologien in der Datenarchivierung mit Ihnen teilen. Mit diesem Buch möchten wir Ihnen die technische, fachliche und rechtliche Relevanz von SAP ILM näherbringen. Wir führen Sie durch die einschlägigen Prozesse und zeigen Ihnen, wie auch Sie ein entsprechendes ILM-Projekt erfolgreich meistern können.

Sie lernen in diesem Buch, was es mit der DSGVO auf sich hat und wie diese den Betrieb eines SAP-Systems beeinflusst, sofern die Verordnung auf das jeweilige System anwendbar ist. Wir machen Sie mit den Funktionen von SAP ILM vertraut. Insbesondere erklären wir Ihnen, wie das Retention Management aufgebaut ist und wie Sie es verwenden können. Sie erfahren zudem, wie das Sperren von Daten in SAP funktioniert und wie Sie im Bereich der Datenvernichtung agieren können. Wir runden zum Ende dieses Buches die gesetzlichen, technischen und fachlichen Inhalte ab, indem wir beschreiben, wie die Strategie und Planung Ihres Projekts in diesem Rahmen erfolgen kann, und teilen Beratungsansätze mit Ihnen.

An dieser Stelle möchten wir uns beim internationalen Marktführer für SAP-Datenarchivierung und SAP ILM bedanken: bei AHMETTUERK/IT AND STRATEGY CONSULTING und hier insbesondere bei unserem Mentor Ahmet Türk, der uns die Gelegenheit gegeben hat, in die Welt von SAP ILM mit all ihren Besonderheiten einzutauchen. Wir möchten dem Bestsellerautor im Bereich von SAP ILM für den langjährigen Wissenstransfer und die Zusammenarbeit in zahlreichen Projekten bei namhaften Kunden danken.

Wir schätzen auch die großartige Kooperation mit Espresso Tutorials und sind sehr dankbar für die Möglichkeit, dieses Buch zu verfassen.

Ihnen, liebe Leserinnen und Leser, wünschen wir viel Freude beim Lesen und freuen uns darauf, von Ihren Erfahrungen bei der Anwendung unserer Lösungsansätze zu hören.

In den Text sind Kästen eingefügt, um wichtige Informationen besonders hervorzuheben. Jeder Kasten ist zusätzlich mit einem Piktogramm versehen, das diesen genauer klassifiziert:

Die Form der Anrede

Um den Lesefluss nicht zu beeinträchtigen, verwenden wir im vorliegenden Buch bei personenbezogenen Substantiven und Pronomen zwar das gewohnte generische Maskulinum, meinen aber gleichermaßen Personen weiblichen und diversen Geschlechts.

Hinweis zum Urheberrecht

Sämtliche in diesem Buch abgedruckten Screenshots unterliegen dem Copyright der SAP SE. Alle Rechte an den Screenshots hält die SAP SE. Der Einfachheit halber haben wir im Rest des Buches darauf verzichtet, dies unter jedem Screenshot gesondert auszuweisen.

1   Einleitung

Das Retention Management mit SAP Information Lifecycle Management (ILM) unter Berücksichtigung der DSGVO ist ein komplexes Themengebiet. Die gesetzlichen Anforderungen machen das Retention Management zu einer Pflicht in jedem SAP-System, das die DSGVO zu erfüllen hat. In diesem ersten Kapitel dieses Buches bieten wir Ihnen einen einführenden Überblick über die Gesetzeslage und die Pflichten zur Handhabung von Daten.

Jede Sekunde werden mithilfe von SAP-Systemen unzählige Daten in verschiedensten Formen erzeugt, verarbeitet, archiviert oder vernichtet bzw. gelöscht. Die exponentielle Entwicklung des Datenaufkommens zeigt die ständig wachsende Bedeutung von Daten als Ressource für Unternehmen in der heutigen Zeit. Das Datenmanagement erhält aufgrund dieser Bedeutung immer mehr Aufmerksamkeit.

Die für die meisten Unternehmen kritischsten gesammelten und verarbeiteten Daten sind personenbezogene Daten. Diese müssen mit einer besonderen Sorgfalt behandelt werden, da sie nicht nur einen hohen Stellenwert für das Unternehmen haben, sondern auch gesetzlichen Regulierungen unterliegen. In diesem Buch beziehen wir uns in manchen Abschnitten exemplarisch auf die deutsche Rechtslage. Sofern der Begriff Bundesdatenschutzgesetz verwendet wird, ist die Rede von dem deutschen Bundesdatenschutzgesetz. Im Jahre 2016 wurde die Datenschutz-Grundverordnung (DSGVO) beschlossen, um das Verantwortungsbewusstsein beim Umgang mit personenbezogenen Daten zu stärken. Bis dahin unterlag eine fehlerhafte Handhabung von personenbezogenen Daten nach der alten Fassung des Bundesdatenschutzgesetzes (BDSG) milderen Strafen. Mit den neuen Vorschriften der DSGVO wurde die Sorgfaltspflicht in diesem Bereich stark verschärft. Für den Schutz der Daten von Privatpersonen müssen von Unternehmen gesammelte Daten in ihren Geschäftsprozessen so aufgenommen und verarbeitet werden, dass die Rechte von natürlichen Personen nicht verletzt werden.

Mit den Einschränkungen, welche die DSGVO mit sich bringt, verändert sich insbesondere das Datenmanagement in IT-Systemen. Zur Erfüllung der gesetzlichen Anforderungen hat die SAP mit dem Information Lifecycle Management (ILM) einen Lösungsansatz bereitgestellt. SAP ILM wurde zur Verwaltung von Daten während ihres Lebenszyklus entwickelt. Es ist heute gut dafür geeignet, um den Rahmen der Vorschriften innerhalb von SAP-Systemen für den DSGVO-konformen Betrieb einzuhalten.

Die Anforderung, gesetzlichen Vorgaben zu genügen, führte zu einer dynamischen Entwicklung bei SAP ILM. Der Bedarf an dieser Lösung nahm in den letzten Jahren stark zu. Neben betriebswirtschaftlichen, technischen sowie gesetzlichen Faktoren spielte dabei auch der Wunsch nach Harmonisierung von Systemlandschaften und Minderung von Systembelastungen eine Rolle. Die automatisierte Verwaltung der Daten während ihres gesamten Lebenszyklus, von der Erstellung bis zur Sperrung und letztendlichen Löschung, erhöht die Effizienz in der Datenverwaltung. Das ILM ermöglicht es auch, Daten zu archivieren, sofern sie für die aktive Nutzung nicht mehr benötigt werden.

Mit Inkrafttreten der DSGVO sind konsequentere Maßnahmen zur Datenverwaltung und -kontrolle einzusetzen. Die Aufbewahrung und Vernichtung von Daten in multiplen Systemen und verschiedenen Ländern erschwert ein gesetzeskonformes Datenmanagement. Aus diesem Grund sind die Sperrung, die Archivierung oder die Löschung von Daten eine kritische Aufgabe des Datenmanagements. Durch die Archivierung werden die Daten vom System separiert, und das Datenbankvolumen wird reduziert. Die Struktur sowie die Anwendungsbereiche des ILM sind aus Abbildung 1.1 ersichtlich.

Abbildung 1.1: SAP ILM – Funktionen

SAP ILM basiert auf der SAP-Datenarchivierung und ist eine Erweiterung der bestehenden Archivierungsprozesse in einer weiterentwickelten Form. Die Lösung baut auf drei primären Komponenten auf, auch als »drei Säulen des SAP ILM« bezeichnet. Auf die genauen Eigenschaften und Funktionen dieser Säulen gehen wir in Abschnitt 2.3 näher ein.

1.1   Europäische Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) bzw. General Data Protection Regulation (GDPR) wurde am 14. April 2016 im EU-Parlament verabschiedet. Gleichzeitig erging damit die Aufforderung an die EU-Länder, ihre bisherigen nationalen Gesetzgebungen an die DSGVO anzupassen. Infolgedessen wurde das Bundesdatenschutzgesetz am 27. April 2017 überarbeitet. Am 25. Mai 2018 trat zwei Jahre nach ihrem Beschluss die europäische Datenschutz-Grundverordnung schließlich in Kraft.

Die DSGVO bildet den datenschutzrechtlichen Rahmen der Europäischen Union ab, weshalb nun auch Unternehmen ihre Geschäftsabläufe in Übereinstimmung mit diesen Richtlinien konzipieren müssen. Für sehr viele Unternehmen stellt dies ein großes Risiko dar, denn bei einem Verstoß gegen die Vorschriften können Bußgelder in Höhe von bis zu vier Prozent des eigenen (weltweiten) Jahresumsatzes erhoben werden. In Tabelle 1.1 sind einige wichtige allgemeine Artikel der DSGVO tabellarisch dargestellt.

Tabelle 1.1: Wichtige DSGVO-Artikel

1.1.1   Rechte betroffener Personen

Nach der DSGVO ist die Verarbeitung von personenbezogenen Daten untersagt, wenn hierfür keine (rechts-)gültige Begründung vorliegt. Gründe, die eine Verarbeitung erlauben, sind der Abschluss eines gültigen Vertrags, rechtliche Anliegen, die eine Verarbeitung erfordern oder zulassen, und die Einholung der eindeutigen Zustimmung des Betroffenen. Jede natürliche Person hat das Anrecht, dass die sie betreffenden personenbezogenen Daten gelöscht werden, sobald die gesetzlichen Aufbewahrungsfristen abgelaufen sind.

Personenbezogene Daten sind Informationen, die es ermöglichen, eine natürliche Person zu identifizieren. Gemäß Art. 4 DSGVO gilt eine betroffene Person als identifizierbar, sofern eine Zuordnung des Namens, des Standorts oder besonderer Merkmale erfolgt, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. Zum Schutz der Daten müssen diese auf rechtmäßige Weise und auf eine für den Betroffenen verständliche Art und Weise verarbeitet werden. Sie müssen zudem sachlich richtig und auf dem neuesten Stand sein. Falsche Daten sind zu löschen oder zu berichtigen.

Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Sie müssen sorgfältig und in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet. Der Zweck der Verarbeitung muss angemessen sein und die Verarbeitung auf das für die jeweiligen Zwecke notwendige Maß beschränkt werden.

Betroffenen stehen folgende Rechte unter den gesetzlichen Voraussetzungen zu:

das Recht auf Berichtigung gemäß Art. 16 DSGVO

das Recht auf Löschung eigener Daten gemäß Art. 17 DSGVO

das Recht auf Einschränkung der Verarbeitung eigener Daten gemäß Art. 18 DSGVO

das Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO

das Recht auf Widerspruch gemäß Art. 21 DSGVO

das Auskunftsrecht betroffener Personen gemäß Art. 15 DSGVO

1.1.2   Pflichten betroffener Unternehmen

Die DSGVO gilt für alle Unternehmen, die über einen Sitz in der EU verfügen, sowie zusätzlich für Unternehmen, die mit EU-Bürgern interagieren. Zur Interaktion gehört die Aufnahme, das Verarbeiten oder die Überwachung personenbezogener Daten von natürlichen Personen in der EU. Die Unternehmen sind verpflichtet, in regelmäßigen Abständen entsprechende Stichproben durchzuführen, um das Risiko von Datenlecks zu minimieren und die Einhaltung des datenschutzkonformen Betriebs zu gewährleisten. Die Unternehmen sind gehalten, die Transparenz hinsichtlich personenbezogener Daten zu erhöhen. Den Betroffenen sollen umfangreichere Möglichkeiten geboten werden, sich über die Daten zu informieren, die das jeweilige Unternehmen in seiner Datenbank speichert. Darüber hinaus ist auch die Aufbewahrungsdauer von Bedeutung. Um den Bestimmungen Folge zu leisten, hat jedes Unternehmen die Existenz eines geeigneten Datenschutzkonzepts nachzuweisen, das beschreibt, wo personenbezogene Daten anfallen, wie diese verarbeitet werden und welchen Risiken sie unterliegen. Das Konzept muss durchgehend überwacht, geprüft und den bei gesetzlichen Veränderungen oder Änderungen der eigenen Ziele und Sachlage weiterentwickelt werden. Darüber hinaus sind für Unternehmen im Rahmen der DSGVO die folgenden Maßnahmen besonders relevant:

Speicherbegrenzung und Planung sowie Umsetzung eines Löschkonzepts gemäß Art. 5 und 17 DSGVO

Erfüllung von Informationspflichten gegenüber betroffenen Personen gemäß Art. 12 ff. DSGVO

Beantwortung von Betroffenenanfragen gemäß Art. 15 bis 21 DSGVO

Das Abschließen von Auftragsverarbeitungsverträgen gemäß Art. 28, 29 DSGVO

Meldepflicht innerhalb von 72 Stunden bei Datenschutzverstößen gemäß Art. 33, 34 DSGVO

1.1.3   Personenbezogene Daten im SAP-System

Für SAP-Kunden bieten sich durch die Einführung von ILM neue Möglichkeiten für ein professionelles Management von personenbezogenen Daten. Abbildung 1.2 zeigt zur Veranschaulichung einen Screenshot aus der SAP-Transaktion BP – Anlegen eines Geschäftspartners samt den zugehörigen Attributen.

Abbildung 1.2: Personenbezogene Daten im SAP-System

Die Felder beinhalten zahlreiche personenbezogene Daten wie Vorname, Nachname, Straße/Hausnummer, Postleitzahl/Ort, Land, Postfach.

Dies ist nur ein Teil der personenbezogenen Daten, die in einem SAP-System gespeichert sind. In weiteren Feldern oder Reitern befinden sich unter Umständen zusätzliche Daten wie beispielsweise Kontodaten. Bei Durchführung einer richtlinienkonformen Datenarchivierung oder Löschung von Daten müssen alle personenbezogenen Daten identifiziert und berücksichtigt werden.

1.2   Bundesdatenschutzgesetz

Im Grundgesetz für die Bundesrepublik Deutschland sind Persönlichkeitsrechte bestimmt. Die informationelle Selbstbestimmung gewährt Personen das Recht, grundsätzlich über die Herausgabe sowie die Verwendung der eigenen personenbezogenen Daten zu entscheiden. Das Bundesdatenschutzgesetz umfasst 72 Paragrafen, die in sechs Abschnitte unterteilt sind.

Es handelt sich dabei um eine verbindliche Regelung, die von öffentlichen Stellen des Bundes und der Länder befolgt werden muss, ebenso von privatwirtschaftlichen Unternehmen, die personenbezogene Daten erheben und/oder verarbeiten.

Seit Inkrafttreten der DSGVO orientiert sich der Datenschutz in Deutschland an deren Regelungen und übernimmt die für EU-Mitgliedsstaaten verbindlichen Inhalte. Im Bundesdatenschutzgesetz wurden deswegen die alten Anforderungen an personenbezogene Daten ersetzt bzw. maßgeblich aus der DSGVO übernommen.

1.3   Datenmanagement mit SAP ILM

Die Definition der »Verarbeitung« personenbezogener Daten im Sinne des Datenschutzrechts bezieht sich auf nahezu jegliche Art von deren Handhabung: Das Erzeugen, die Bearbeitung, Nutzung, Bereitstellung sowie das Speichern der Daten fallen allesamt unter diesen Begriff. Aus diesem Grund ist es besonders wichtig, die einzelnen Stadien innerhalb ihres Lebenszyklus korrekt festzustellen und anschließend gemäß den rechtlichen Vorschriften mit SAP ILM zu organisieren.

1.3.1   Lebenszyklus von Daten

Für das inhaltliche Verständnis dieses Buches benötigen Sie ein grundlegendes Wissen zum Lebenszyklus personenbezogener Daten. Die Daten in SAP-Systemen durchlaufen verschiedene Stadien mit jeweils unterschiedlichem Status. ILM steuert diesen Lebenszyklus innerhalb eines SAP-Systems. Damit die Daten alle Stadien erfolgreich durchlaufen, muss ein entsprechendes Datenmanagement angewandt werden. Je nach Anforderung müssen Sie die Daten im Rahmen des SAP ILM entsprechend behandeln. Sie bestimmen, welche personenbezogenen Daten in welchem Zustand in welcher Weise organisiert werden.

Der Lebenszyklus von personenbezogenen Daten beginnt mit deren Erzeugen. Sie werden erhoben bzw. erfasst und im SAP-System gespeichert. In der Datenbank werden sie sodann verarbeitet und genutzt. In dieses Stadium gehören das Anpassen, Verändern, Organisieren und Verknüpfen. Im nächsten Stadium werden die Daten durch Offenlegung bereitgestellt. Mit dem Ende der geschäftlichen Nutzung und Entfall des Verwendungszwecks erfolgt die Archivierung bzw. Sperre oder Vernichtung der personenbezogenen Daten.

Unabhängig von diesem Regelablauf kommt es zudem vor, dass personenbezogene Daten gesperrt werden müssen. Eine solche Sperrung erfolgt, wenn die Zweckbestimmung der Verwendung abläuft, eine Pflicht zur Aufbewahrung jedoch bestehen bleibt.

Den Ablauf des Lebenszyklus personenbezogener Daten möchten wir Ihnen im Folgenden näherbringen.

Wir gehen zunächst davon aus, dass ein Kunde Ware einkauft und ein entsprechender Vertrag zustande kommt. Dieser Vertrag wird im SAP-System angelegt, anschließend erfolgen die Lieferung und die Zahlung. Bis zur Erfüllung aller vertraglichen Anforderungen ist der Geschäftsprozess aktiv. Erst wenn alle Vertragsgegenstände erfüllt sind, ist der Geschäftsvorfall abgeschlossen.