im handumdrehen zu einem transparenten und DSGVO-konformen lebenszyklus von dokumenten  

tipp 8:  aufbewahrungs- und verweilzeiten für ilm-objekte definieren 

Die Verweildauer ist der Zeitraum, den ein Beleg in der Datenbank verweilen muss, bevor er archiviert werden kann und soll.  Durch die Archivierung von Belegen in eine ILM-Umgebung (WebDAV-Server) ist automatisch eine Sperrung der Anzeigefunktionalität aus dem Archiv DSGVO-konform verbunden. Diese Sperrung kann nur durch die gezielte Vergabe von zusätzlichen Berechtigungen an befugte User aufgehoben werden. 

 

Verweildauern gibt es sowohl für Stammdaten (Geschäftspartner, Kunden, Lieferanten sowie Ansprechpartner) als auch für Bewegungsdaten (modulbezogene ILM-Objekte). 

 

Die Aufbewahrungsdauer ist der Zeitraum, in dem die Daten aufbewahrt werden müssen, bevor sie vernichtet werden dürfen und sollen. Dabei gelten gesetzliche Vorgaben, die durch zusätzliche innerbetriebliche Gegebenheiten ergänzt werden können. Aufbewahrungsfristen wie z.B. von 10 Jahren beziehen sich in der Regel auf das jüngste aktuelle Datum eines Beleges (Änderungsdatum, Ausgleichsdatum FI-Beleg usw.). 

 

Auch Aufbewahrungsfristen gibt es sowohl für Stammdaten (Geschäftspartner, Kunden, Lieferanten sowie Ansprechpartner) als auch für Bewegungsdaten (modulbezogene ILM-Objekte). 

tipp 9: berechtigungskonzept erstellen  

Der lesende Zugriff auf archivierte Daten im WebDAV-Server ist nur durch zusätzliche ILM-Berechtigungen möglich, um den Anforderungen der DSGVO zu genügen.  

 

Es werden ILM-spezifische Berechtigungsgruppen definiert und in den Aufbewahrungsregeln hinterlegt. Diese zusätzlichen Berechtigungsgruppen müssen in das Berechtigungskonzept einfließen. 

Das übrige Berechtigungskonzept muss nicht verändert werden. 

 

Hier noch der Hinweis, dass trotz vorhandener Berechtigungsgruppe für die User das Archive Development Kit (ADK) intern verhindert, dass lesend auf abgelaufene Ressourcen im Archiv (maximale Aufbewahrungszeit) zugegriffen werden kann. 

tipp 10: datenvernichtung durchführen

Laut DSGVO ist es notwendig, die Ressourcen (Archivdateien im WebDAV-Server) nach dem Ende der festgelegten maximalen Aufbewahrungsfrist unwiderruflich zu vernichten. 

 

Dies geschieht durch im Standard bereitgestellte ILM-Funktionalitäten, wobei die abgelaufenen Ressourcen manuell oder auch automatisiert vernichtet werden können.  

 

Ebenso werden automatisch vorhandene zugehörige Einträge in aktiven Indizes des Archivinformationssystems (SAP AS) entfernt.  

tipp 11: legal case management nutzen  

Durch ein aktives Legal Case Management (Einbeziehung von Belegen von noch aktiven Gerichtsverfahren) wird verhindert, dass diese wichtigen Belege und Attachments beim Ablauf der Aufbewahrungszeit der zugehörigen Ressourcen (Archivdateien) vernichtet werden.  

 

Erst nach Freigabe des abgeschlossenen Legal Case werden diese Ressourcen beim nächsten Vernichtungslauf einschließlich der zugehörigen Attachments zerstört. 

tipp 12: end of purpose check (EOP) durchführen 

Der sogenannte EoP-Check ist eine neue und wichtige Funktion im Zuge der ILM-Funktionalitäten und regelt das Sperren von personenbezogenen Stammdaten (Geschäftspartner, Kunde, Lieferant, Kontaktperson). 

 

Beim EoP-Check werden Stammdaten auf den entsprechenden Ebenen gesperrt, wenn die zugehörigen Geschäftsvorgänge (Belege) betriebswirtschaftlich abgeschlossen und die entsprechenden Verweilzeiten erfüllt sind. 

 

Die Stammdaten sind nicht mehr modifizierbar und die Suche und Anzeige gesperrter Stammdaten ist nur mit zusätzlicher Berechtigung möglich. 

 

Die Anlage von transaktionalen Daten mit Bezug zum gesperrten Stammdatum ist nicht mehr möglich.  

 

Existierende transaktionale Daten mit Bezug zu gesperrten Stammdaten können nur mit zusätzlicher Berechtigung gesucht und angezeigt werden. 

 

Im Einzelfall kann die Sperrung der Stammdaten auch wieder zurückgenommen werden. 

 

Ohne das Vorhandensein des Sperrkennzeichens kann auch keine Archivierung bzw. Vernichtung von Stammdaten erfolgen. 

 

Die EoP-Prüfungen können auch im SAP-Systemverbund durchgeführt werden, wobei das führende SAP-System als Master-System fungiert. 

tipp 13: daten bereinigen 

Seit Beginn der Datenarchivierung und besonders jetzt im Zuge der gesetzlichen Vorgaben der DSGVO hat die Datenqualität eine große Bedeutung erfahren. Datenqualität in dem Sinne, dass die Belege nicht die von den Archivierungsprogrammen getätigten Prüfungen bezüglich Archivierbarkeit erfüllen und so eine Archivierung trotz erfüllter Verweilzeit nicht erfolgt.  So werden zum Beispiel nicht ausgeglichene FI-Belege mit OP-geführten Konten in den Belegzeilen nicht archiviert. Die Verbesserung der Datenqualität ist teilweise aufwändig, aber nicht zu umgehen. 

 

Neben der Verbesserung der Datenqualität für ältere Belege ist durch eine Prozessoptimierung darauf zu achten, dass die aktuellen Belege die Archivierungsanforderungen ohne zusätzliche Korrektur erfüllen. 

 

Auf die Frage im Rahmen einer DSGVO-Prüfung, warum ein 15 Jahre alter noch offener FI-Beleg immer noch nicht gesperrt oder nicht bereits vernichtet wurde, kann in der Regel nicht befriedigend argumentiert werden. 

 

Im Vorfeld der eigentlichen Datenarchivierungsaktivitäten kann mit den entsprechenden Schreib- oder auch Vorlaufprogrammen (falls vorhanden) im Testlauf die Datenqualität beurteilt werden. So können zeitnah geeignete Aktivitäten ergriffen werden

Ein ILM-Projekt ist sehr komplex. Gut, wenn man einen kompetenten Partner an seiner Seite hat. Wir unterstützen Sie gern.