Ein Werkzeugkoffer für DSGVO-Anforderungen

Sperren, archivieren, löschen – der von der Datenschutzgrundverordnung (DSGVO) geforderte Dreisprung gerät für mittelständische SAP-Anwender mitunter zum Spagat. Mit Information Lifecycle Management (ILM) bietet SAP ein Werkzeug, um diese und andere wesentliche Vorgaben der DSGVO umzusetzen. Gleichwohl ist externe Beratung häufig ratsam.

Alarmierende Zahlen veröffentlichte jüngst die Deutschsprachige SAP-Anwendergruppe (DSAG): Laut ihrer aktuellen Umfrage erfüllen gerade einmal zwölf Prozent der befragten Unternehmen vollständig die Vorgaben der seit Mai 2018 EU-weit geltenden DSGVO. Dagegen setzen rund 83 Prozent die Richtlinien nur zum Teil um. Nach Einschätzung der DSAG haben es vor allem Großunternehmen bereits geschafft, sich datenschutzkonform aufzustellen. Doch insbesondere mittelständischen Unternehmen drückt bei der praktischen Umsetzung der DSGVO-Vorgaben weiterhin der Schuh.

Anzeige

Pain Points mittelständischer SAP-Anwender

Mit SAP Information Lifecycle Management (ILM) steht Anwendern ein Werkzeug zur Verfügung, um wesentliche Anforderungen der DSGVO zu erfüllen. Im Lizenzumfang von ILM enthalten sind mittlerweile auch die Funktionen des Information Retention Manager (IRM), dem bei der Datensperrung- und löschung eine wichtige Rolle zukommt. Um diese Werkzeuge nutzen zu können, sind Software-Einführungsprojekte erforderlich, die in der Regel eine Laufzeit von sechs Monaten beanspruchen. Darüber hinaus besteht im Anwendungsbereich von ILM noch Ergänzungsbedarf: Für den Einsatz in Data Warehouse und Business Intelligence ist die Software derzeit (Stand September 2019) noch nicht im vollen Umfang ausgelegt. Aktuell arbeitet SAP daran, noch vorhandene Lücken wie beispielsweise in SAP BW durch weitere Updates zu schließen.

Hinzu kommt, dass kleine und mittelständische Unternehmen (KMU) häufig wenig Erfahrung mit Datenschutz haben. Es fehlt an Know-how und Personal, sodass bestimmte Mitarbeiter sich zusätzlich zu ihren Aufgaben um Datenschutzbelange kümmern müssen. Oft mangelt es auch an Budget, um Kompetenzlücken durch den Einsatz externer Berater schließen zu können. So kommt es vor, dass Unternehmen aus Unsicherheit überzogen auf die DSGVO reagieren und etwa den Betrieb von Webseiten einstellen. Als belastend empfinden viele KMU zudem Vorgaben wie Informations-, Dokumentations- und Auskunftspflicht.

Auskunftsfähig bleiben

Besondere Probleme bereitet die Auskunftspflicht jenen KMU, die viele eigene Kunden haben, die Anfragen zur Verarbeitung ihrer personenbezogenen Daten stellen könnten. Unternehmen sind dazu verpflichtet, auf Ersuchen von Kunden und auch von Mitarbeitern Auskunft über die von ihnen erhobenen personenbezogenen Daten zu geben – allerdings nicht über alles: Speichern Unternehmen sogenannte verbundene Daten wie Schufa-Informationen über einen Kunden, müssen sie ihm dies nicht melden. Bei allen Auskunftsangelegenheiten unterstützt die Unternehmen das Information Retrieval Framework von SAP. In Verbindung mit dem Data Controller Rule Framework sorgt es auch dafür, die DSGVO-Prinzipien der Zweckbindung und Datensparsamkeit zu erfüllen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Mit SAP ILM Sperr- und Löschlogiken definieren

Nicht minder bedeutsam sind die Sperr- und Löschpflichten der DSGVO. Mithilfe von ILM und IRM lassen sich personenbezogene Daten und Dokumente sperren, archivieren und nach Ablauf der gesetzlichen Aufbewahrungsfrist auch löschen. Diese Fristen variieren je nach Anwendungsfall und Produkt. Bei Buchhaltungsunterlagen sind es entweder sechs oder zehn Jahre. Für Teesorten gilt beispielsweise eine Frist von zehn Jahren, während Dateien zu Medikamenten 30 Jahre aufbewahrt werden müssen. Hierfür können Unternehmen sogenannte Archivierungsobjekte in ILM anlegen und mittels ILM Destruction entsprechende Sperr- und Löschlogiken für sie definieren. Haben etwa Belege aus der Buchhaltung, wie zum Beispiel eingescannte Rechnungen oder Quittungen, ihr gesetzliches Verfallsdatum erreicht, vernichtet SAP ILM Destruction sie automatisch. Eine Art Rückversicherung bietet das ILM-Modul Legal Hold Management, das Daten vor einer unbeabsichtigten Löschung schützt, indem es ihnen das Attribut „Legal Hold“ zuweist.

Technische und organisatorische Maßnahmen

Um sich DSGVO-konform aufzustellen, gilt es zudem ein Bündel technischer und organisatorischer Maßnahmen umzusetzen. Dazu gehören neben der lückenlosen Dokumentation sämtlicher Datenverarbeitungsprozesse auch Verfahren für die Meldung von Risiken, ebenso wie ein Berechtigungsmanagement und ein Werksschutz. Technische Maßnahmen im Bereich IT-Security umfassen vor allem Sicherheitssoftware wie Firewall und Verschlüsselung. Handlungsbedarf besteht hier beispielsweise bei vielen Unternehmen, in denen die Kommunikation zwischen SAP-GUI am Frontend und Datenbanken und Appservern im Backend unverschlüsselt abläuft.

Bestandsaufnahme und Prozess-Update

So kommt die Umsetzung der DSGVO-Vorgaben einem Prozess-Update gleich, da sämtliche datenverarbeitenden Prozesse auf den Prüfstand gestellt werden müssen. Dies betrifft nicht nur originäre SAP-Anwendungen, sondern auch die von SAP zugekauften Lösungen sowie Individualsoftware, die unter mittelständischen Unternehmen sehr verbreitet ist. SAP-Anwender müssen sich mit den jeweiligen programmspezifischen Lösungen zur DSGVO vertraut machen und die jeweils notwendigen Maßnahmen umsetzen. Im Gesamtprozess sind darüber hinaus Aufwände für umfangreiche Tests der SAP-Prozesse nach Löschvorgängen einzuplanen. Nicht zuletzt kommt im Rahmen einer solchen Bestandsaufnahme auch ans Licht, wie viel – unter Umständen nicht DSGVO-konforme – Schatten-IT im Unternehmen genutzt wird, etwa in Form von Cloud-Speichern wie Dropbox.

So ist es unumgänglich, sich Transparenz über alle im eigenen Betrieb gelebten Prozesse zu verschaffen, um Sanktionen zu vermeiden. Viele Unternehmen hat das spektakulär hohe Bußgeld von 110 Millionen Euro aufgeschreckt, das jüngst gegen die Hotelkette Marriott aufgrund von Verstößen gegen die DSGVO verhängt wurde. Doch was für SAP-Anwenderunternehmen gilt, gilt auch für die Aufsichtsbehörden: Es fehlt an Personal und die vorhandenen Prüfer müssen häufig erst lernen, mit SAP-Systemen umzugehen.

DSGVO-Umsetzung bleibt Baustelle

Für das Gros der mittelständischen SAP-Anwender bleibt die Umsetzung der DSGVO-Vorgaben nach wie vor eine Baustelle: 69 Prozent der von der DSAG befragten Unternehmen erwarten mehr Unterstützung durch SAP und den Werkzeugkoffer der Walldorfer Softwareschmiede – und viele werden darüber hinaus externer Unterstützung bedürfen.

www.qsc.de

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.