SAP Information Lifecycle Management (ILM): EU-DSGVO sicher umsetzen – Jan Temminghoff
Autor: Tobias Harmes | 5. Juli 2019
Das SAP Information Lifecycle Management (ILM) ermöglicht eine EU-DSGVO-konforme Verwaltung von personenbezogenen Daten im SAP. Mit Jan Temminghof, SAP Consultant bei mindsquare, spricht Tobias Harmes über die Vorzüge des SAP ILM und die Stolpersteine, die im Umgang mit Datenschutz in Unternehmen enstehen können.
… als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
… auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
Feedback? harmes@rz10.de
Was ist SAP ILM und wofür wird es benötigt?
SAP ILM sorgt für die Sperrung oder das Löschen von personenbezogenen Daten nach gewissen Zeiträumen. Ursprünglich kam der Gedanke für ein ILM aus dem Bereich der Logistik. Unternehmen mussten Daten ihrer Lieferanten nach einer gewissen Zeit löschen. Seitdem die EU-DSGVO in Kraft getreten ist, wurde das Prinzip ILM auch für den Bereich Human Capital Management (HCM) interessant. SAP ILM ist dabei das Werkzeug im SAP System, um personenbezogene Daten aufgrund rechtlicher Auflagen und Regeln zu sperren oder zu vernichten.
Unternehmen, die bereits ein SAP System nutzen, erhalten das SAP ILM kostenfrei, da es bereits in der ERP -Lizenz (Enterprise Resource Planning) enthalten ist.
SAP ILM und EU-DSGVO-konforme Umsetzung
Als die EU-DSGVO 2018 in Kraft getreten ist, standen viele Unternehmen vor der Frage: Wie setzen wir die Verordnung um? Zunächst stand dabei die Frage im Raum, ob das über Berechtigungen und einer Anpassung mit dem Berechtigungsobjekt P_DURATION möglich wäre. Dieses Berechtigungsobjekt ermöglicht die zeitbasierte Einschränkung des Zugriffs auf Infotypen. Das erfüllt aber in den meisten Fällen die DSGVO noch nicht, denn die Daten dürften in den meisten Fällen gar nicht mehr im System sein. Obwohl die Entscheidungsträger im Unternehmen über die DSGVO im Bilde sind, kommt der Anstoß oft aus der SAP Basis, da die Administratoren meist eine genaue Übersicht der gesamten Daten haben.
Die DSGVO fordert ein Löschkonzept, also einen Plan darüber, welche Daten wie lange und wieso gespeichert werden dürfen. Daten, die besonders oft von solchen Verstößen betroffen sind, kommen aus dem Bereich Adressdaten oder An- und Abwesenheitsdaten. In der Praxis sind das oft alte Adressen von Mitarbeitern oder Daten über Urlaubszeiträume der letzten Jahre. Diese Daten sind aber für Vorgesetzte oder Abrechnungen längst nicht mehr relevant und müssen deshalb gelöscht werden.
Ihr Plan für bessere SAP Berechtigungen
In dem Strategieworkshop SAP Berechtigungen entwickeln wir für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der Betriebsaufwände.
Funktionsweise SAP ILM
Das SAP ILM unterstützt Unternehmen bei der Aufrüstung zum Thema Datenschutzgrundverordnung. Das System stellt den kompletten Zeitraum der Datennutzung dar. Personenbezogene Daten lassen sich von der Erstellung bis zur endgültigen Vernichtung abbilden. Entsprechende Dokumente lassen sich mittels SAP ILM sperren, archivieren oder löschen. Mit festgelegten Regeln im Löschkonzept wird sichergestellt, dass die richtigen Personen zum richtigen Zeitpunkt Zugriff auf gewisse Information erhalten. Über das SAP ILM können Unternehmen einen einheitlichen Zyklus für Archivier- und Löschfristen festlegen. Ein Beispiel wäre, dass eine Regel definiert wird: Für alle Mitarbeiter in Deutschland dürfen Daten zehn Jahre lang gespeichert werden.
Dabei werden die Daten zunächst in ein Archiv geladen, dort nochmal überprüft und anschließend endgültig gelöscht. Das funktioniert in Kombination mit den Regelwerken und Vorlauf-, Schreib-, und Löschprogrammen. Das Vorlaufprogramm durchsucht die Datensätze auf Basis der Regelwerke. In der Regel wird dieser Vorgang durch den Data Owner betreut. Das Schreibprogramm schreibt die Daten in ein Archiv, in dem sie nach einer Überprüfung gelöscht werden. SAP ILM kann aus Sicherheitsgründen keine Daten direkt aus dem Infotyp löschen.
Roadmap zum SAP ILM
Bevor Anpassungen im ILM vorgenommen werden, muss ein Löschkonzept erstellt werden. Jan Temminghof betont, wie wichtig hierbei auch die Partizipation der einzelnen Fachabteilungen ist. Nur der SAP Admin alleine kann nicht entscheiden,welche Daten die einzelnen Fachbereiche warum und wie lange benötigen. Deswegen arbeiten an dem Löschkonzept im Regelfall Mitarbeiter aller Abteilungen im Unternehmen gemeinsam.
Weitere Informationen
SAP ILM: https://activate-hr.de/knowhow/sap-ilm-information-lifecycle-management/
SAP ILM e-Book: https://activate-hr.de/download/sap-ilm-dsgvo-e-book/
SAP ILM Produktseite: https://www.sap.com/products/information-lifecycle-management.html
SAP NetWeaver ILM: https://help.sap.com/doc/saphelp_crm70/7.0.0.18/de-DE/7f/e188e04fdd462e8ec330bb80efc389/content.htm?no_cache=true
2 Kommentare zu "SAP Information Lifecycle Management (ILM): EU-DSGVO sicher umsetzen – Jan Temminghoff"
Kann das ILM auch unstrukturierte Daten wie Dokumente oder Druckdaten verarbeiten?
LG Michael
Hallo Michael,
ja, ILM kann auch unstrukturierte Daten wie verschiedene Dokumente Drucklisten abdecken. Innerhalb eines ILM-Ablagesystems erscheinen archivierte Dokumente über ArchiveLink als Referenzen. Die
Originaldokumente bleiben physisch im ArchiveLink-Ablagesystem erhalten und müssen nicht in den ILM-Speicher übertragen werden.
Viele Grüße
die RZ10 Redaktion