Personenbezogene Daten sind überall – das haben Unternehmen schnell gemerkt, als sie ihre IT-Systeme einem EU-DSGVO-Check unterzogen haben. Insbesondere ERP-, HR- und CRM-Systeme sind quasi voll davon. Für SAP-Anwender gibt es sichere Lösungen, personenbezogene Daten bereitzustellen, zu sperren und bei Bedarf auch wieder zu löschen.

„If you think compliance is expensive, try non-compliance.” Dieser vermutlich nicht ganz ernstgemeinte Rat von US Deputy Attorney General Paul McNulty könnte auch von den Urhebern der EU-DSGVO stammen. Wer sich mit den Sanktionsmöglichkeiten befasst hat, die bei Verstößen gegen die Datenschutzgrundverordnung verhängt werden können, weiß, dass Versäumnisse teuer werden können. Sehr teuer. Seit Wirksamwerden der EU-DSGVO vor mehr als einem Jahr bemühen sich Unternehmen daher verstärkt, das Thema in den Griff zu bekommen.

Zur Erinnerung: Besonders in drei Bereichen hat die EU-DSGVO die Rechte der EU-Bürger gestärkt: im Auskunftsrecht, im Recht auf „Vergessenwerden“ und im Recht auf Datenübertragbarkeit (Auszüge):

• Art. 15 – EU-DSGVO: Auskunftsrecht
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten.

• Art. 17 – EU-DSGVO: Recht auf „Vergessenwerden“
Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden.

• Art. 20 – EU-DSGVO: Recht auf Datenübertragbarkeit
Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und einem anderen Verantwortlichen ohne Behinderung zu übermitteln.

Vor allem das Recht auf „Vergessenwerden“ hat es in sich: Es verlangt, dass personenbezogene Daten gelöscht werden müssen, wenn die betroffene Person ihre Einwilligung zur Verarbeitung widerruft oder sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dem stehen aber manchmal gesetzliche Aufbewahrungsfristen entgegen z.B. für kaufmännische Belege, die eine sofortige Löschung verbieten. Für diese Fälle kommt eine Sperrfunktion ins Spiel, die den Zugriff auf nicht mehr benötigte Daten und Dokumente verhindert. Den neuen Begriff des „Vergessenwerdens“ haben die Unternehmen mittlerweile gelernt. Seine Umsetzung bereitet allerdings vielen immer noch Probleme.

In welchen IT-Systemen stecken sie nun, die personenbezogenen Daten? Da sind zunächst natürlich die Stammdaten im SAP-System, in ERP-, HR- und CRM-Modulen, wie der zentrale Geschäftspartner, der Kunde, Lieferant und Mitarbeiter. Personenbezogene Daten im Sinne der EU-DSGVO finden sich aber auch in Dokumenten aller Art, wie Verträgen, Angeboten, Rechnungen oder E-Mails, die sich nicht im SAP-System befinden, sondern z.B. in einem elektronischen Archiv wie Doxis von SER.

Jede Anfrage einer „natürlichen“ Person in einem Unternehmen kann sich in einer Gesprächsnotiz niederschlagen, die im Archiv landet; zu jedem Empfänger eines Angebotes findet sich vermutlich ein Datensatz im CRM-System. Einige Unternehmen, wie z.B. Versicherungen, sind besonders von versteckten Daten betroffen. Man denke nur an schriftliche Schadenmeldungen oder Unfallbeschreibungen, in denen Zeugen benannt werden – Menschen also, die in keinerlei Geschäftsbeziehung mit dem Versicherungsunternehmen stehen und die unter Umständen ebenfalls ihr Recht auf Vergessenwerden geltend machen können. Im Gesundheitsbereich konkurriert das Recht zur Löschung von persönlichen Daten darüber hinaus mit sehr langen gesetzlichen Aufbewahrungsfristen, die 30 Jahre und länger betragen können. Besonders sensibel ist auch der Beschäftigtendatenschutz, der ebenfalls Teil der EU-DSGVO ist und die HR-Abteilungen betrifft. Denn auch Mitarbeiter können Auskunft darüber verlangen, welche persönlichen Daten über sie gespeichert sind und wie sie verarbeitet werden. Nach ihrem Ausscheiden aus dem Unternehmen können sie die Löschung bzw. Sperrung ihrer gespeicherten Daten aus dem HR-System verlangen.

Zur technischen Umsetzung ihrer Forderungen macht die EU-DSGVO keine konkreten Angaben. Sie schreibt „lediglich“ die Kriterien vor, die die gewählte Technologie bei der Erfassung, Verwaltung und dem Schutz der personenbezogenen Daten erfüllen muss. Danach wird prinzipiell von datenverarbeitenden Unternehmen und Organisationen verlangt, personenbezogene Daten in einer Form zu speichern, „die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“ (Art. 5 EU-DSGVO). Das läuft letztlich darauf hinaus, personenbezogene Daten automatisch zu löschen oder wenigstens zu sperren, sobald sie für den ursprünglichen Verwendungszweck nicht mehr benötigt werden. Dieser Automatismus muss systemseitig abgebildet werden.

Schon der Titel des Artikels 25 der EU-DSGVO ist Programm: „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ lautet er. Anders gesagt: Eingesetzte Technologien müssen nach den Grundsätzen von „Privacy by Design“ und „Privacy by Default“ entwickelt worden sein, sodass datenschutztechnische Anforderungen schon in der Designphase eines Produktes implementiert wurden (by Design) und der Anwender diese auch einfach ändern kann. Die konkrete Technologiewahl liegt bei den Verantwortlichen im Unternehmen. Glasklar heißt es in Art. 25 der EU-DSGVO: „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung [by Default] nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.“ Unternehmen haften also dafür, dass ihre Software-Systeme die Forderungen der EU-DSGVO hinsichtlich Erfassung, Verwaltung und Schutz persönlicher Daten erfüllen.

Da sich personenbezogene Daten zu Kunden, Lieferanten, Aufträgen, Bestellungen etc. nicht nur in den strukturierten Datensätzen des SAP-Systems befinden, sondern auch in den Begleitdokumenten der Geschäftsfälle, reicht es nicht, nur das SAP in den Fokus zu nehmen. Die schwierigere Aufgabe ist es, auch die transaktionsbezogenen, unstrukturierten Dokumente mit EU-DSGVO-relevanten Daten zu identifizieren, entsprechend zu kennzeichnen und auf Verlangen zu sperren oder zu löschen. Werden diese Dokumente einfach in Fileverzeichnissen gespeichert, gleicht dies einer Sisyphus-Aufgabe.

Wenn diese Dokumente in einem digitalen Archiv als Bestandteil einer ECM-Plattform wie Doxis aufbewahrt werden, haben Unternehmen nicht nur ihre Geschäftsprozesse komplett mit allen dazugehörigen Dokumenten im Griff. Ein solches Archiv gibt ihnen auch die geeigneten Instrumente an die Hand, diese unstrukturierten Dokumente EU-DSGVO-gerecht zu verwalten. Die entsprechende ILM-Lösung von SER dockt sich über eine zertifizierte Schnittstelle einfach ans SAP-System an und lässt so eine ganzheitliche EU-DSGVO-Lösung entstehen.

Das beginnt damit, personenbezogene Daten bereits in den Enterprise-Anwendungen von SAP entsprechend zu kennzeichnen und mit Regeln für Aufbewahrung, Sperren und Löschen nach definierten Zeiträumen zu versehen. SAP hat dazu seine Enterprise-Lösungen um das Modul SAP ILM ergänzt. Neben gesetzlichen Aufbewahrungsfristen können auch juristische Gründe zu einer Löschsperre führen („Legal Hold“). Um das Recht auf „Vergessenwerden“ der EU-DSGVO trotzdem einzuhalten, können diese Daten für den Zugriff oder die Weiterverarbeitung gesperrt werden.

Um auch die im Archiv abgelegten Daten und Dokumente EU-DSGVO-gerecht behandeln zu können, nutzen SER-Anwender ein Add-on für das Information Lifecycle Management. Der Doxis WebDAV Connector for ILM übernimmt die in SAP ILM definierten Regeln und wendet sie auf archivierte Inhalte an. Entsprechend der Forderung nach „Privacy by Default“ werden die Regeln in der SER-Lösung hinterlegt, nach denen in aktuellen Geschäftsvorfällen nicht mehr benötigte Daten ggf. mit Aufbewahrungsfristen versehen, gesperrt oder gelöscht werden können. Zusätzlich lassen sich auch zeitlich unbegrenzte Löschsperren pro Dokument setzen, z.B. wenn Aufbewahrungsfristen noch nicht bekannt sind. Die Löschsperre lässt sich jederzeit – z.B. wenn Kunden oder Mitarbeiter die Löschung nach der EU DSGVO verlangen – auch wieder aufheben. Im Anschluss daran können Dokumente automatisiert, vollständig und nachweisbar physikalisch gelöscht werden.

Um für die Datenschutzgrundverordnung gut aufgestellt zu sein, genügt es also nicht, sich nur um das SAP-System zu kümmern. Wer ins Information Lifecycle Management auch sein elektronisches Archiv einbezieht, hat alle personenbezogenen Daten im Griff – und das nicht nur für SAP-Daten. Die SER-Lösung kümmert sich um alle relevanten Dokumente, egal aus welchen Ursprungssystemen sie stammen. Die geeigneten technischen Lösungen sind da, nun müssen sie nur noch genutzt werden!

► Mehr Informationen über das Zusammenspiel von SAP und SER bei der Verwaltung personenbezogener Daten erhalten Sie im Whitepaper „Mit Doxis WebDAV Connector for ILM SAP-Daten und Dokumente EU-DSGVO-konform verwalten“.