EU-DSGVO-Compliance für SAP: Mit Abstand am sichersten!

Homeoffice, mobiles Arbeiten: Die Umstellung brachte 2020 viele Unternehmen ins Schleudern. Workarounds für den fehlenden Zugriff auf Dokumente und SAP-Daten begünstigen allerdings Compliance-Lücken, die EU-DSGVO-Verstöße nach sich ziehen können. Dagegen sollte spätestens jetzt etwas unternommen werden. Eine Lösung für sicheres, ortsunabhängiges und gleichzeitig effizientes digitales Arbeiten bietet die Kombination aus SAP und ECM.

Das vergangene Jahr war voller neuer Herausforderungen: Von einem Tag auf den anderen galt Abstand halten, Homeoffice und mobiles Arbeiten wurden von der Ausnahme zur neuen Normalität. Laut einer DAK-Studie verdreifachte sich die Zahl der Arbeitnehmer, die annähernd täglich im Homeoffice arbeiten. Positiv daran ist, dass viele Mitarbeiter angeben, ihr Stresslevel sei dadurch zurückgegangen. Das gilt allerdings nur für diejenigen, die entsprechend für das mobile Arbeiten ausgerüstet sind. Wer zu Hause sitzt und nicht auf SAP-Daten und Dokumente zugreifen kann, kann auch keine Vorgänge bearbeiten, sich nicht um Kundenanliegen kümmern und damit seine Arbeit nicht zufriedenstellend erledigen. Es wurde deutlich, dass für Arbeiten mit Abstand mehr nötig ist als ein paar neue Laptops und eine Homeoffice-Regelung. Entscheidend ist, dass Unternehmen ihr Informationsmanagement ortsunabhängig bewerkstelligen können, dass Mitarbeiter weiterhin auf Informationen zugreifen und an Geschäftsprozessen teilnehmen können. Bei Unternehmen, in denen das nicht der Fall war, mussten Mitarbeiter kreativ werden. Daten und Dokumente wurden als Kopien mit nach Hause genommen und per E-Mail verschickt. Manche ließen sich sogar die Geschäftspost an ihre private Adresse nach Hause schicken. Das Problem dabei: Mit solchen Workarounds lässt sich zwar der Geschäftsbetrieb nach außen hin zunächst irgendwie weiterführen, aber keine Compliance sicherstellen. Kritisch wird das beim Thema Datenschutz, wenn personenbezogene Daten von Kunden dupliziert werden, Zugriffsberechtigungen nicht mehr greifen und Informationen nicht vollständig gefunden und gelöscht werden können.

Wie Homeoffice und Datenschutz zusammenkommen

Unternehmen mit einem hohen Digitalisierungsgrad waren in der Lage, sowohl die Sicherheit ihrer Mitarbeiter als auch die ihrer Informationen zu gewährleisten. Das zeigen unter anderem die Rückmeldungen von Kunden der SER Group, die mit der ECM-Plattform Doxis Compliance-konformes Arbeiten ermöglichen: „Unsere Telearbeiter arbeiten aktuell zu 100 Prozent von zu Hause aus und zahlreiche weitere Arbeitsplätze wurden kurzfristig auf das Homeoffice umgestellt. So ist die Infektionsgefahr für alle Beschäftigten minimiert und wir bleiben für die Menschen mit Behinderung in Westfalen Lippe arbeitsfähig“, berichtet Susanne Eiter, Personalverantwortliche beim LWL-Inklusionsamt Soziale Teilhabe, und fügt hinzu: „Müssten alle Kolleginnen und Kollegen die Fallakten, die sie für die Sachbearbeitung brauchen, in Papierform mitnehmen, wäre das logistisch und datenschutzrechtlich gar nicht möglich und wir wären handlungsunfähig.“

Ein weiteres Beispiel für die erfolgreiche Umstellung auf ortsunabhängiges und sicheres Arbeiten ist die Bank M. M. Warburg & CO, deren Director IT und Chief Information Officer, Andreas Büttner, zusammenfasst, worauf es dabei ankommt: „Mobiles Arbeiten ist aus unserer Sicht ohne ein gutes Dokumentenmanagement-System auch in mittelständischen Unternehmen heute nicht mehr denkbar. Eine reine Collaboration-Lösung reicht aus vielen rechtlichen und regulatorischen Gründen nicht mehr aus.“ 

SAP allein gibt keine vollständige Sicherheit

Die Basis für sicheres mobiles Arbeiten bilden zunächst digitale Informationen. Informationen, die nur auf Papier existieren, können schnell verschwinden oder in die falschen Hände geraten. Unternehmen, die mit SAP arbeiten, werden jetzt vielleicht abwinken: Alle Informationen sind ja digital im ERP-System und dort geschützt. Wirklich alle? Zu jeder SAP-Transaktion gehören nicht nur Daten, sondern auch zahlreiche Dokumente. Angebote, Auftragsbestätigungen, Rechnungen und Verträge befinden sich aber nicht alle in SAP. Im besten Fall liegen sie bereits digital vor – allerdings dann meist verstreut auf lokalen File-Verzeichnissen, in E-Mail-Postfächern oder gar auf USB-Sticks. Aber das ist im Homeoffice ein No-Go. Zum einen können nicht alle Mitarbeiter auf benötigte Informationen zugreifen, zum anderen greifen hier auch keine Berechtigungskonzepte, das Verändern oder Löschen ist nicht nachvollziehbar. Problematisch ist die Situation auch für Mitarbeiter, die keinen SAP-Zugang haben. Für sie sollte eine einheitliche und zugleich sichere Informationsbasis geschaffen werden.

Informations- & Compliance-Lücken schließen

Abhilfe schafft eine ECM-Plattform, die alle Informationen in und außerhalb von SAP verfügbar macht und einheitlich schützt. Bei Doxis von der SER Group kommt der eigens für SAP entwickelte und zertifizierte Konnektor Doxis SmartBridge for SAP zum Einsatz. Er übernimmt Daten und Belege aus SAP und aktualisiert sie bei Änderungen automatisiert. Dieser Konnektor nutzt die SAP-ArchiveLink-Technologie und erweitert sie um zusätzliche Funktionen, mit denen das ECM sowohl mit SAP ERP und SAP S/4HANA als auch mit SAP Cloud Platform integrierbar ist. So müssen sich Unternehmen auch beim Wechsel auf die neue SAP-Generation keine Gedanken um die Übernahme von Informationen machen. Im ECM finden dann auch Non-SAP-User SAP-Informationen – sofern sie dazu berechtigt sind. Die entsprechenden Parameter dafür lassen sich über das ECM zentral einrichten und anpassen, wie etwa Zugriffsberechtigungen, aber auch Aufbewahrungs- und Sperrfristen. Durch diese zentrale Rechteverwaltung gelten die Berechtigungen einheitlich für alle im ECM vorhandenen Informationen sowie die übernommenen Informationen aus SAP. Das verhindert Inkonsistenz beim Einhalten von Compliance-Vorgaben wie dem Schutz personenbezogener Daten gemäß EU-DSGVO.

Umgekehrt erhalten berechtigte SAP-Anwender durch die Verknüpfung mit dem ECM Zugang zu Informationen, die nicht in SAP liegen, aber für ihre Arbeit relevant sind. Verträge und Rechnungen, Kunden-E-Mails sowie Daten aus weiteren Systemen wie Salesforce oder Microsoft Teams werden über das ECM verfügbar gemacht und in elektronischen Akten im Kontext eines Geschäftsfalls oder Geschäftspartners gebündelt. Die reine Informationsübernahme ließe sich natürlich auch mit einem schlanken Archiv lösen. Solche Systeme verfügen aber nicht über wichtige Funktionen wie differenzierte Berechtigungen, haben keine richtigen Akten und sind auch mit Blick auf die Suche stark eingeschränkt. Verlangt aber ein Kunde, dass alle seine Daten gelöscht werden, muss ein Unternehmen sie über alle Systeme hinweg finden und darf keine Zeit verlieren. Die dafür nötigen intelligenten Funktionen sucht man bei einfachen Archivlösungen aber vergeblich.

Compliance mit Köpfchen

Damit Datenschutz für alle Informationen von Anfang an möglich ist, sollte das dafür eingesetzte ECM künstliche Intelligenz und Prozessmanagement im Kern integrieren. Eine ECM-Plattform wie Doxis umfasst neben Content auch Cognitive und Process Services. Das ermöglicht unter anderem Intelligent Capture, das intelligente Erfassen eingehender Dokumente. So können Anträge oder Serviceanfragen von Kunden oder Auftragsbestätigungen von Lieferanten und deren Rechnungen automatisiert ausgelesen und klassifiziert werden. Das ECM erkennt, worum es sich handelt und vergibt automatisch die richtigen Metadaten, Zugriffsberechtigungen, Aufbewahrungs- und Löschfristen. Außerdem lassen sich automatisch Prozesse anstoßen, wie das Anlegen einer neuen Kundenakte im ECM, wenn ein neuer Geschäftspartner in SAP angelegt wurde. Diesen elektronischen Akten ordnet das ECM neue Informationen wie eingehende Dokumente und SAP-Daten automatisch zu und kann sie auch den richtigen Bearbeitern und Vorgängen zuweisen. Für die Arbeit im Homeoffice ist eine solche zentrale Lösung essenziell, um Geschäftsprozesse durchgehend digital, ohne Verzögerung und Compliance-Lücken zu bearbeiten. Gleichzeitig erlaubt ein intelligentes Informationsmanagement im Zusammenspiel mit SAP das vollständige Automatisieren von Prozessen über Systemgrenzen hinweg – z.B. beim Buchen von Rechnungen – und sorgt so zusätzlich für mehr Effizienz und weniger Aufwand bei den Mitarbeitern. Durch diesen ganzheitlichen Ansatz wird sicheres und intelligentes Informations- und Prozessmanagement überall möglich: Bei allen Dokumenten, SAP-Daten, Transaktionen und Vorgängen lassen sich personenbezogene Informationen sofort identifizieren, von Anfang an schützen und jederzeit nachweisbar löschen.

Revisionssicherheit und Datenschutz im Homeoffice

Die EU-DSGVO ist nicht die einzige Compliance-Hürde, die Unternehmen beim mobilen Arbeiten berücksichtigen müssen. Auch das Aufbewahren von Informationen muss weiterhin nach den Vorgaben von GoBD 2.0, AO und HGB erfolgen und gesetzliche Aufbewahrungsfristen müssen eingehalten werden, ebenso wie der Nachweis, dass Informationen nicht verändert oder frühzeitig gelöscht wurden. In Sachen Zugriffsschutz lassen sich mit einem ECM gleich zwei Fliegen mit einer Klappe schlagen und Informationen sowohl EU DSGVO-konform als auch revisionssicher archivieren, schützen, Änderungen nachvollziehbar versionieren und die Originale unverändert aufbewahren. Beim Löschen wird es kniffliger, denn die Regularien können kollidieren. Hier gilt: was aufbewahrt werden muss, muss aufbewahrt werden. Ein Löschen aus Datenschutzgründen ist erst erlaubt, wenn der Grund für das Aufbewahren entfällt. Das gilt für Daten und Belege aus SAP genauso wie für Informationen aus anderen Systemen. Mit einem in die Jahre gekommenen Archiv ist all das nicht machbar, da ältere Archivsoftware gar nicht für ein Löschen ausgelegt ist, Aufbewahrungsfristen aufwendig manuell gepflegt werden müssen und Schnittstellen zur neuen SAP-Generation fehlen. Mit einem modernen, für solche Compliance-Anforderungen zertifizierten ECM, das alle Informationen zentral und redundanzfrei verwaltet, lässt sich dagegen Compliance auf allen Ebenen einhalten und nachweisen. Dafür sollte das System Lösch- und Aufbewahrungsfristen differenziert verwalten und automatisiert steuern, auch zeitlich unbegrenzte Löschsperren ermöglichen, zwischen logischem und physischem Löschen unterscheiden können und alle Zugriffe, Änderungen und das Löschen dokumentieren, sodass sich Revisionssicherheit, gesetzliche Aufbewahrungsfristen und Datenschutz unter einen Hut bringen lassen.

Mitarbeitern Compliance an jedem Ort erleichtern

Damit Compliance-Anforderungen von Mitarbeitern im Homeoffice wie im Büro eingehalten werden können, sollten Unternehmen ihnen so viel Aufwand wie möglich abnehmen. Ein ECM wie Doxis schafft genau dafür die Voraussetzung, da es alle Informationen und Prozesse aus SAP und weiteren Fachanwendungen ortsunabhängig verfügbar macht, einheitlich schützt sowie alle Zugriffe, Änderungen und Löschvorgänge protokolliert. Das reduziert den organisatorischen Aufwand für Mitarbeiter und verhindert auch das Risiko, dass es beim Einhalten der Vorgaben zu Fehlern kommt. Unsichere Workarounds wie Kopien oder der Austausch von Dokumenten und Daten per E-Mail sind nicht mehr nötig. Für Unternehmen ist das die Grundlage, auf der sie Geschäftsbetrieb und Service in Zeiten der „Neuen Normalität“ aufrechterhalten, ohne Verstöße gegen Datenschutz und Revisionssicherheit zu riskieren – sie arbeiten mit Abstand am sichersten.

Der Artikel erschien zuerst in s@pport, Ausgabe 12_2020.