Mit Hilfe von SAP ILM können Sie den Lebenszyklus von personenbezogenen Daten in Ihrem System steuern. Dabei gilt es zu beachten, dass personenbezogene Daten, deren Verarbeitungszweck geendet hat, zu löschen sind. Es sei denn, aufgrund gesetzlicher oder unternehmensspezifischer Anforderungen sind andere Aufbewahrungsfristen anzuwenden. In diesem Fall sind die Daten zunächst zu sperren und somit für Unbefugte unzugänglich zu machen.

Bis 2018 war das ILM grundsätzlich kostenpflichtige Funktionalität im ERP, die nicht im regulären Lizenzumfang enthalten war. Da sich nur durch ILM die Anforderungen der DSGVO Datenschutz-Grundverordnung aufwandsarm umsetzen lassen, hat SAP die Lizenz für SAP NetWeaver Runtime um die Retention-Management-Funktionen von ILM erweitert. Mit dieser Lösung und weiteren Standardfunktionen der SAP-Software – wie beispielsweise dem Berechtigungsmanagement – ist es möglich, die Projekte zur Realisierung der technischen und organisatorischen Maßnahmen in den Firmen umzusetzen.

Die DSGVO fordert ein Löschkonzept, also einen Plan darüber, welche Daten wie lange und aus welchem (betrieblichen oder gesetzlichen) Grund gespeichert werden. Hierbei ist zu unterscheiden, wie lange die Daten nach dem Ende der Nutzung im System verweilen (also offen zugänglich bleiben), ab wann die Daten gesperrt werden müssen (und so nur einem begrenzten Teil zugänglich gemacht werden) und wann die Daten gelöscht werden müssen.

Das Löschkonzept ist die erste Anforderung des Gesetzgebers und dieses sollte die personenbezogenen Daten aller im Unternehmen verwendeten Module umfassen. Da sich die Strafen für eine Nichterfüllung der Anforderungen an den Umsatzgrößen bemessen, werden schnell empfindliche Millionenbeträge erreicht, wie bereits aktuelle Beispiele zeigen.

Um „SAP NetWeaver Information Lifecycle Management (SAP NetWeaver ILM)“ nutzen zu können, muss das Anwendungssystem durch das Einschalten entsprechender „Business Functions“ ILM-fähig gemacht werden.

Folgende Business Functions werden aktiviert:

ILM fügt sich in das ERP System ein und bietet für sämtliche Datenobjekte der verschiedenen Module eigene ILM Objekte an. ILM Objekte können aber auch bei Bedarf kundenabhängig erweitert werden, wenn z.B. weitere Selektionskriterien benötigt werden. Diese ILM Objekte müssen einem Prüfgebiet zugeordnet werden. Ein Prüfgebiet definiert, welche Informationen aus betriebswirtschaftlicher Sicht zu Überprüfungszwecken – z.B. für Steuer- oder Finanzprüfungen – aufzubewahren sind.

In SAP NetWeaver ILM erfolgt die zeitbezogene Lebenszyklusverwaltung der Daten mit Hilfe von Regeln, die Sie im Rahmen von Regelwerken definieren. Bei der Datenarchivierung aufgrund von ILM-fähigen Archivierungsobjekten interpretiert das System für jedes zu archivierende Datenobjekt die dafür gültigen ILM-Regeln. So ermittelt das System z.B. anhand von Aufbewahrungsregeln den Aufbewahrungszeitraum und den Ablageort der Archivdateien sowie die Archivhierarchie.

Ein Regelwerk legen Sie jeweils für ein ILM-Objekt eines Prüfgebiets fest. Durch die Auswahl der Regelwerkkategorie bestimmen Sie für das Regelwerk, welche Struktur die Regeln haben sollen. Die Definition von Regelwerken zu einem ILM-Objekt ist von den Customizing-Einstellungen des ILM-Objekts innerhalb einer Objektkategorie abhängig. Je Regelwerk können mehrere Regeln definiert werden.

Durch unsere bisherigen Projekte können wir Ihnen auf der einen Seite individuell helfen, aber auch auf ein bewährtes standardisiertes Phasenmodell zurückgreifen. Sie profitieren dabei von unseren Erfahrungswerten, so dass wir Ihre Anforderungen zu einem fairen Preis und gleichzeitig in „Time, Quality und Budget“ umsetzen werden. Gemeinsam erschaffen wir ein individuelles ILM Löschkonzept für Ihr Unternehmen, das der DSGVO problemlos gerecht wird.

Nachfolgend sehen Sie einen beispielhaften Projektplan (die Zeiträume hängen letztendlich von der Anzahl der Module, Fachbereiche und personenbezogenen Daten ab):

Zunächst müssen die Business Functions aktiviert werden, des Weiteren muss die ILM Ablage eingerichtet werden und weitere Basiseinstellungen getroffen werden. Hier unterstützen wir gerne Ihr Basis Team oder übernehmen diese Aktivitäten auch vollständig.

Wir analysieren mit Ihren Kolleg*innen aus den Fachbereichen die Daten. Dabei verwenden wir ein Template mit dem die entsprechenden ILM Objekte identifiziert und in Bezug auf Verweil- und Aufbewahrungsdauer beurteilt werden können. Diese Festlegungen werden auch mit dem Datenschützer Ihres Unternehmens abgestimmt und bilden die Basis für das Löschkonzept.

Ihre individuellen Festlegungen und Anforderungen auf der einen, aber auch unsere Erfahrungswerte aus bisherigen Projekten fließen in das fachliche und technische Löschkonzept ein. Zum Abschluss dieser Phase wird das Konzept durch den Datenschützer abgenommen und bildet die Grundlage für die Umsetzung.

Gemäß der Vorgaben aus der Konzeptionsphase setzen wir die Regeln in Ihrem System um. Die Erweiterung des Berechtigungskonzeptes stimmen wir mit Ihrem Berechtigungsteam ab oder übernehmen bei Bedarf auch diese Aktivitäten vollständig.

Die Testphase umfasst auf der einen Seite den Entwicklertest, aber auch der User Acceptance Test der Fachabteilungen und des Datenschutzes. Nach Freigabe des Testergebnisses bereiten wir mit Ihnen die Produktivsetzung vor.

Zum einen begleiten wir die Produktivsetzung der Einstellung und unterstützen Sie bei der Einplanung der regelmäßigen Sperr- und Löschläufe. Auch nach dem Go-Live stehen wir Ihnen bei den ersten Läufen auch weiterhin beratend zur Seite.