DSGVO-konforme und fristgerechte Datenlöschung

Mit SAP ILM steht eine Softwarelösung bereit, die den aktuellen Anforderungen aus der DSGVO gerecht wird – sofern ein ILM-fahiges Archiv- und Speichersystem vorhanden ist. Längst nicht jede Archivlösung am Markt ist für SAP ILM zertifiziert. Das bedeutet aber nicht, diese nicht mehr einsetzen zu können – sofern man sie durch ein ILM-fahiges System ergänzt, das die in SAP ILM verwalteten Löschfristen kontrolliert und entsprechend Löschbefehle an das Alt-Archiv/ECM-System weitergibt, wo die Dokumente liegen.

SAP hat ILM ursprünglich ent­worfen, um Systemstilllegungen zu unterstützen und Retention Management im laufenden Betrieb umzusetzen. Wenn Stilllegungen funk­tionieren,  warum nicht SAP ILM auch im laufenden Betrieb nutzen? Dagegen spricht technisch nichts, nur haben die SAP-Anwender dies in der Vergangen­heit kaum praktiziert. Mit der EU­ DSGVO eröffnet sich nun ein veritables Anwendungsfeld. SAP-Bestandskunden steht SAP ILM für Archivierungsobjekte ab Release EA-HR 604 zur Verfügung. Und da SAP ILM ab ERP 6.0 Enhance­ment Package 4 verfügbar und bereits in der ERP-Lizenz enthalten ist, wächst auch die Anwenderzahl stetig.

Erweiterter Ansatz innerhalb des SAP ILM

SAP ILM ergänzt den SAP-Standard um ein Regelwerk zur Verwaltung des Le­benszyklus produktiver und archivierter Daten und Dokumente. Diese konnen mit ILM revisionssicher auf einem zertifizierten WebDAV-Server abgelegt werden und sind so vor verfrühtem Löschen geschützt.

Der SAP-Anwender kann Löschfristen aus dem ERP-System heraus setzen und den Löschvorgang steuern. Fur die Nut­zung von SAP ILM ist eine Datenarchi­vierung zwingende Voraussetzung, da sowohl die lnhalte der SAP-Datenban­ken als auch die unstrukturierten Daten in Archiven betroffen sind. Die Objekte mussen aus der SAP-Datenbank heraus­gelöst und der Archivierung zugeführt werden, damit man sie zum gegebenen Zeitpunkt löschen kann.

lm Zuge der Unterstützung der Anfor­derungen des DSGVO-Regelwerks hat SAP die ILM-Schnittstelle funktional er­weitert. Bewegungsdaten können durch Archivierung und eine entsprechende Zugriffskontrolle gesperrt werden. lhre Aufbewahrung ist dadurch auch nach Ablauf der Zweckbindung gesichert, wenn das Löschen durch Obergeordnete Gesetze nicht gestattet ist. Der Zugriff auf die Daten und ihre Verarbeitung lässt sich über erweiterte Berechtigun­ gen einschranken. Gelöscht werden sie dann nach Ablaut der gesetzlichen Fristen nach den in SAP ILM hinterleg­ten Regeln.

Der Anwender kann über das Informa­tion Lifecycle Management prufen, ob personenrelevante Daten entsprechernd der Zweckbindung und Datenspar­samkeit verarbeitet  und gespeichert werden. Er kann Aufbewahrungsfristen und Sperrkennzeichen auf abgelegte SAP-Dokumente setzen, um ein spateres automatisches Löschen zu ermöglichen, sowie User, Rollen und Zugriffsrechte einrichten und administrieren.

Um diese Funktionen  zu unterstützen, muss das verwendete Archivsystem zu­sätzlich zur SAP-Archivelink-Schnittstel­le die SAP-ILM-WebDAV-Schnittstelle unterstutzen. Fur mindestens eine der existierenden SAP-Archivschnittstellen sind fast alle Archivsysteme am Markt zertifiziert: ArchiveLink ist der Standard, es folgen – schon dünner gesagt – SAP ILM,  ILM 3 .1 und die ILM-Schnittstelle für SAP S/4HANA.

ILM-Fähigkeit nicht die Regel

Bei SAP ArchiveLink und SAP ILM  handelt  es sich um zwei völlig getrenn­te Schnittstellen: ArchiveLink ist eine http-basierte Schnittstelle, die nur wenige Funktionen  wie beispielsweise Anlegen, Ablegen, Zurückholen und Liöschen unterstützt. SAP ILM hingegen, als WebDAV-Implementierung erlaubtes daruber hinaus, Eigenschaften von Dateien wie beispielsweise Aufbe­wahrungszeit, Löschverhinderung und anderes zu pflegen.

SAP besteht  im  ILM-Zertifizierungs­verfahren seit Version 3.0 darauf,  dass aile Archive, die ILM unterstützten, auch fur SAP ArchiveLink zertifiziert sind. Hintergrund : Auch bei der Nutzung von ILM ist ein ArchiveLink­ Archiv fur die unstrukturierten Doku­mente nötig. Zu jedem  über Archive­Link verwalteten Objekt wird dann im ILM ein Metadatensatz gehalten, der die Eigenschaften „Aufbewahrungs­ zeit“  und auch „Legal Hold“ abbildet. lnsofern ergibt sich daraus bei der Nut­zung von SAP ILM  im Prinzip zunächst die Notwendigkeit, ein ILM-fahiges Archiv  zu betreiben.

Sidekick fur das Altarchiv

Da die Mehrheit der am Markt erhaltli­chen Archivsysteme über keine ILM­ Zertifizierung verfügen, müssen sich Unternehmen überlegen, wie sie die Löschfristen kontrolliert einhalten wollen. Eine einfache Möglichkeit besteht darin, nebenher ein zweites ILM-fahiges Archiv­ system wie den KGS ContentServer4Sto­rage einzurichten. Dieses kommuniziert mit dem bisherigen Archiv und übermit­telt ihm die Löschbefehle. Der Aufwand, sich im Archivbereich ausreichend auf die DSGVO vorzubereiten, lasst sich damit im überschaubaren Rahmen halten und die neuen Vorschriften werden – zumindest an dieser Stelle – nicht zum Kostenfresser. Daneben warten indes zwei weitere Herausforderungen: Dokumente und Daten, die Löschfristen unterliegen und auf WORM-Speichern liegen, müssen auf löschbare Speicher migriert werden. Container-Dateien, welche zu löschen­ de Dokumente und Daten enthalten, müssen aufgelöst werden.

×
de-flag
Wählen Sie Ihre bevorzugte Sprache.
us-flag
Choose your preffered language.