In Teil 1 dieser Blogserie habe ich darüber geschrieben, was die Allgemeine Datenschutzverordnung (GDPR) für Unternehmen bedeutet. Ich habe erklärt, wie Daten und Inhalte, die im Rahmen der täglichen Geschäftsprozesse in SAP erzeugt und gespeichert werden, dieser Regelung unterliegen. Unser Beispiel war die eingehende Lieferantenrechnung auf Papier, die gescannt, über ArchiveLink an die SAP-Transaktion angehängt und im Archivcenter OpenText™ sicher abgelegt wird. Diese Papierrechnung kann einen Kontaktnamen des Lieferanten, eine Telefonnummer, eine E-Mail-Adresse und alle Daten enthalten, die zusammengenommen eine Person identifizieren können, wie z.B. einen Mitarbeiter des Lieferanten. Diese persönlichen Daten sind durch die GDPR geschützt.
Fazit: Die Datenerhebung und -verarbeitung ist legitim, solange sie einem gerechtfertigten Zweck im Sinne der GDPR dient, „wenn die Datenverarbeitung für einen Vertrag erforderlich ist, z.B. für die Rechnungsstellung, ein Stellengesuch oder eine Kreditanfrage, oder wenn die Verarbeitung aufgrund einer gesetzlichen Verpflichtung erforderlich ist…“.
Zu den rechtmäßigen Zwecken der Speicherung und Aufbewahrung personenbezogener Daten gehören Gesetze, die die Aufbewahrung von Inhalten regeln. Dies betrifft beispielsweise steuerrelevante Daten und Dokumente, bei denen die Aufbewahrung der eingescannten Lieferantenrechnung oder einer Kundenrechnung nicht nur gerechtfertigt, sondern auch verpflichtend ist.
ABER: Wenn der berechtigte Grund für den Vorgang abgelaufen ist, müssen die Transaktionsdaten und das angehängte ArchiveLink-Dokument gelöscht werden. In unserem obigen Beispiel muss die eingescannte Kreditorenrechnung so lange aufbewahrt werden, wie es die Steuergesetzgebung erfordert. In Deutschland endet die Aufbewahrungsfrist nach zehn Jahren. Danach muss gelöscht werden.
Dies bedeutet, dass Unternehmen empfohlen wird, Aufbewahrungsregeln aufzustellen, damit die Daten und angehängten Inhalte rechtzeitig gelöscht werden, wenn sie nicht mehr benötigt werden oder wenn der berechtigte Zweck der Aufbewahrung abgelaufen ist.
Retention Management für SAP®-Daten und verwandte Inhalte
Weder OpenText noch SAP können in dieser Angelegenheit juristische Beratung oder Anleitung anbieten. Sie bieten jedoch Softwarefunktionen, die Kunden bei der Erstellung von Richtlinien und Verfahren für die Aufbewahrung und Löschung von Transaktionsdaten und angehängten Inhalten unterstützen.
Die Lösungen, die hier zusammenspielen, sind SAP® Information Lifecycle Management (SAP ILM) und OpenText™ Enterprise Content Management Lösungen für SAP: OpenText™ Archiving, Document Access und Extended ECM for SAP Solutions (siehe OpenText Suite for SAP).
SAP ILM bietet Records Management für SAP-Daten und kann auch so konfiguriert werden, dass die angehängten SAP ArchiveLink-Dokumente demselben Aufbewahrungszeitplan unterliegen. SAP ILM selbst stellt jedoch nicht die Ablage von Daten und Dokumenten zur Verfügung, sondern setzt hierfür auf ILM-fähige Plattformen. OpenText Archiving, Document Access und Extended ECM sind die konforme ILM-fähige Plattform für ILM-Dateien und ArchiveLink-Dokumente. Diese Lösungen speichern den Inhalt, erzwingen die Aufbewahrung, halten ihn im ILM, übergeben ihn an die Hardware-Ebene und führen am Ende des Lebenszyklus die Löschanforderung aus, die von SAP ILM kommt. SAP ILM fungiert hier als führende Anwendung für das Retention Management von SAP-Daten und angehängten ArchiveLink-Dokumenten.
So weit so gut, wenn es sich nur um SAP-Daten und angehängte ArchiveLink-Dokumente handelt.
Unternehmensweites Records Management
Persönliche Informationen in Geschäftsdokumenten machen jedoch nicht an den Grenzen der SAP-Anwendungen halt. Sie haben auch Inhalte außerhalb von SAP, die Sie aufbewahren und verwalten, unter Records Management stellen und zeitnah löschen wollen, wenn der Aufbewahrungsgrund abgelaufen ist. Hier kommt Extended ECM for SAP Solutions ins Spiel.
Extended ECM bietet DoD-zertifiziertes Records Management für SAP ArchiveLink-Dokumente sowie NON-SAP-Inhalte, die über das ECMLink-Modul mit SAP-Business-Objekten verknüpft werden können. Ein Kunde, der von dem DoD-zertifizierten Records Management für Dokumente profitieren möchte, kann Extended ECM für alle unstrukturierten Inhalte innerhalb und außerhalb von SAP nutzen, während SAP ILM das Records Management für SAP-Daten bereitstellt.
Wenn SAP ILM Daten löschen soll, die sich auf noch nicht abgelaufene Extended ECM-Inhalte beziehen, können beide Lösungen synchronisieren, so dass Geschäftsdokumente in Extended ECM nicht von SAP ILM verwaist werden. Gleichzeitig stellt Extended ECM die ILM-fähige Speicherplattform für SAP-Daten und -Dokumente dar. So kann SAP ILM zusammen mit Extended ECM for SAP Solutions die Aufbewahrung von Daten und unstrukturierten Inhalten innerhalb und außerhalb von SAP verwalten.
Wo finden Sie weitere Informationen?
Erfahren Sie mehr über die Möglichkeiten von OpenText, die GDPR-Anforderungen zu unterstützen. Lesen sie dazu auch unsere anderen Blogposts, hier und hier (beide in Englisch).
Besuchen Sie auch unsere Website und erfahren Sie, mit welchen EIM-Funktionen OpenText die Kunden dabei unterstützt, sich auf die GDPR vorzubereiten.
Dieser Artikel wurde aus dem Englischen übersetzt.