Die Frequenz von digitalen Datenflüssen hat sich in den vergangenen Jahren stark erhöht. Wir sind nicht nur privat für verschiedenste Dinge online unterwegs, sondern auch Unternehmen digitalisieren sich und ihre Prozesse. Dabei entstehen viele digitale, personenbezogene Daten. Mit der digitalen Bewegung passte die Europäische Union 2018 die Datenschutzgrundverordnung (DSGVO) an. Mehr dazu und wie damit im Zusammenhang mit SAP Compliance umgegangen werden kann im folgenden Blog-Artikel.
SAP Compliance – Was ist das?
Compliance bedeutet ins Deutsche übersetzt „Einhaltung“, genaugenommen die Verantwortung zur Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien. Um Compliance in SAP sicherstellen zu können, bedarf es einer genauen und sauberen Analyse der internen Prozesse in SAP. Wenn von gesetzlicher Vorschrift gesprochen wird, ist damit vorwiegend die DSGVO gemeint.
DSGVO als Grundlage für SAP Compliance
Die DSGVO ist eine Verordnung der Europäischen Union zur Regelung der Verarbeitung personenbezogener Daten. Dabei soll der Schutz dieser Daten sichergestellt werden sowie auch der freie Datenverkehr innerhalb des europäischen Binnenmarktes.
Doch was sind denn personenbezogene Daten? Nach Art. 4 Nr. 1 DSGVO ist die gesetzliche Definition folgende: „(…) sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (…) beziehen.“ Als identifizierbar wird eine betroffene Person gesehen, die beispielsweise durch einen Namen, Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Informationen eines Unternehmens oder einer juristischen Person, wie eine GmbH, sind somit nicht personenbezogen, sofern sie keine Informationen über natürliche Personen enthalten.
Doch zurück zur DSGVO: Im Wesentlichen geht es um genaue Bestimmungen über das Löschen, Sperren und Speichern der personenbezogenen Daten. Insbesondere für die Speicherung gibt es folgende neun Grundsätze im Rahmen der DSGVO.
Grundsätze für die Speicherung von personenbezogenen Daten
1. Rechtmäßigkeit
Damit ist lediglich gemeint, dass alle personenbezogenen Daten nach den rechtlichen Vorgaben der DSGVO rechtmäßig verarbeitet werden müssen.
2. Nach Treu und Glauben
Dieser Grundsatz ist für den Einzelfall bestimmt. Grundsätzlich ist aber damit gemeint, dass die Verarbeitung der Daten redlich und anständig erfolgen muss.
3. Transparenz
Betroffene Personen haben das Recht auf informationelle Selbstbestimmung. Damit ist Art. 15 ff. DSGVO gemeint, in dem die betroffene Person vom Verantwortlichen eine Bestätigung verlangen darf, ob die entsprechenden personenbezogenen Daten verarbeitet werden und falls ja, was beispielsweise die Verarbeitungszwecke sind oder was die geplante Dauer der Speicherung der Daten ist.
4. Zweckbindung
Personenbezogene Daten dürfen nur durch einen eindeutigen und legitimen Zweck erhoben werden.
5. Datenminimierung
Die Datenerhebung muss in Betrachtung auf die Menge der Daten auf den Zweck und die notwendige Verarbeitung der Daten beschränkt sein.
6. Richtigkeit
Die personenbezogenen Daten müssen sachlich richtig und falls erforderlich, auf dem neuesten Stand sein. Bei unrichtigen Daten sind alle erforderlichen Maßnahmen zu treffen.
7. Speicherbegrenzung
Hier gilt der Speicherbegrenzungsgrundsatz, welcher besagt, dass personenbezogene Daten in einer Form gespeichert werden, dass die Identifizierung betroffener Personen nur so lange möglich ist, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
8. Integrität und Vertraulichkeit
Damit ist gemeint, dass personenbezogene Daten in angemessener Sicherheit verarbeitet und gespeichert werden. Das bedeutet, Unbefugte haben keinen Zugriff auf diese Daten, es findet keine unrechtmäßige Verarbeitung statt, kein unbeabsichtigter Verlust, Zerstörung oder Schädigung.
9. Rechenschaftspflicht
Der Verantwortliche für die Erhebung und Verarbeitung personenbezogener Daten ist für die Einhaltung der Grundsätze des Datenschutzes verantwortlich. Die Einhaltung muss nach DSGVO nachgewiesen werden können. Dies erfolgt durch die Anfertigung von entsprechenden Dokumentationen für die Erfüllung von datenschutzrechtlichen Vorgaben, wie z.B. einem Verzeichnis von Verarbeitungstätigkeiten.
Hohe Strafen bei Verstößen
Das Regelwerk der DSGVO ist groß und auf den ersten Blick vielleicht auch etwas unübersichtlich, doch die Strafen bei Verstößen sind hoch. Gemäß Art. 83 Abs. 5 lit. a) DSGVO, gibt es Geldbußen von bis zu 20 Mio. € oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Das entscheidet sich immer danach, welcher Betrag höher ausfällt. Es lohnt sich also, Zeit in die SAP Compliance-Thematik zu investieren.
SAP Compliance Management mit dem Modul SAP ILM
Die Abkürzung ILM steht für „Information Lifecycle Management“ und ist ein Modul der SAP, welches ursprünglich genutzt wurde, um den Lebenszyklus von Qualitätsmanagement-Informationen zu gewährleisten. Heute nutzt die SAP das Modul auch für die Umsetzung der Datenschutzgrundverordnung (DSGVO). Das Modul ermöglicht die Datenarchivierung, Aufbewahrungsmanagement und die Verwaltung von Datenflüssen. Über Lösch- und Sperrkonzepte können personenbezogene Daten mittels eines Regelwerks gesperrt, archiviert und gelöscht werden. Damit sollen Datenflüsse optimiert, Kosten der IT-Systeme gesenkt und rechtliche Compliance-Risiken, die mit der Erhebung bestimmter Daten einhergehen, minimiert werden.
Die d.velop Compliance-Lösung für SAP
Unter Einsatz des ILM Moduls des SAP erfolgt die Archivierung der Daten über eine ILM-fähige Ablage wie zum Beispiel d.velop ilm archiving for SAP Solutions. Die Daten bestehen aus den personenbezogenen Belegdaten, optional den zugehörigen ArchiveLink-Verknüpfungen und werden zusammen mit den Aufbewahrungs- und Löschfristen an die Ablage übergeben. d.velop ilm archiving for SAP Solutions nimmt die Daten entgegen und legt diese im d.velop storage manager. Anhand der Aufbewahrungs- und Löschfristen werden die Daten nach Ablauf gelöscht, sofern kein Legal Hold seitens SAP ILM vorliegt.
Durch die Verbindung von d.velop archiveLink for SAP Solutions und d.velop ilm archiving for SAP Solutions kann gewährleistet werden, dass ArchiveLink Dokumente vor Ablauf der ILM Aufbewahrungs- und Löschfristen gelöscht werden.
In der Praxis: Wenn es um personenbezogene Daten geht, stellen wir uns in erster Linie, insbesondere Daten aus dem Personalbereich in Unternehmen vor. Doch auch innerhalb von Beschaffungs- und Vertriebsprozessen kommen personenbezogene Daten vor. Wie schon im vorherigen Abschnitt erwähnt, schreibt die DSGVO mit dem Speicherbegrenzungsgrundsatz vor, dass personenbezogene Daten nach „Zeit der Zweckbestimmung“ gelöscht werden müssen.
Erhält man beispielsweise eine eingehende Bestellung, auf der personenbezogene Daten enthalten sind, bearbeitet daraufhin den Auftrag, verschickt die Waren und versendet im Anschluss die Rechnung. Nach der Bezahlung der Ware durch den Kunden ist der Vorgang abgeschlossen. Demnach müssten die personenbezogenen Daten gelöscht werden.
Im Rahmen der Einführung eines SAP ILM Moduls, erarbeitest du gemeinsam mit deinem ILM-Beratungspartner ein Löschkonzept gemäß den Richtlinien der DSGVO. Die oben beschriebene ggf. konträre Rechtslage, die länderspezifisch sehr unterschiedlich sein kann, führt dazu, dass es zwangsläufig zu Löschkonflikten kommt. Die DSGVO verlangt das Löschen der Informationen, das Länderrecht in Deutschland, wie zum Beispiel das HGB oder BGB, verlangen aber eine entsprechende Aufbewahrungspflicht.
Genau da setzt das d.velop ILM archiving Modul an. Dieses sorgt dafür, dass die in deinem SAP-ILM-Regelwerk definierten Löschkonzepte, entsprechend der länderspezifischen Rahmenparameter, auf die archivierten Dokumente und Belege angewendet wird. Wenn eine Löschung nicht zulässig ist, weil es fest definierte Aufbewahrungsfristen oder ggf. einen Legal-Hold gibt, werden die jeweiligen Dokumente für die Allgemeinheit gesperrt und sind nur noch für dedizierte Personen einsehbar. Nach Ablauf der Aufbewahrungspflicht werden die Dokumente automatisch gelöscht.
Die Herangehensweise für dein SAP Compliance Management
Für dein SAP Compliance Management wird die ILM-Schnittstelle zusätzlich neben der ArchiveLink-Schnittstelle benötigt. Die klassische Dokumentenablage erfolgt über unsere ArchiveLink-Schnittstelle. Unter Einsatz unserer ILM-Schnittstelle d.velop ILM archiving, werden Dokumente zur Archivierung direkt abgewickelt und in den Bereich storage manager geschrieben. Ist in den Regelwerken definiert, dass bestimmte Dokumente gelöscht werden sollen, müssen wir mit dem klassischen SAP ILM Modul manuell abprüfen, ob die Dokumente gelöscht werden dürfen. Unser Produkt d.velop ILM archiving sorgt dafür, dass die im ILM Modul festgelegten Regeln auch entsprechend automatisiert umgesetzt werden.
Schütze dich durch SAP Compliance vor hohen Strafen
Sicherlich gibt es spannendere Themen, als sich mit der DSGVO-konformen Archivierung personenbezogener Daten in SAP auseinanderzusetzen. Doch es wird sich lohnen, denn der Aufwand dafür hält sich in Grenzen und schützt vor hohen Geldstrafen.
SAP Compliance – Personenbezogenen Daten und Dokumente DSGVO-konform archivieren.