Löschkonzept im SAP: Die vergessene DSGVO-Pflicht

Auch wenn das Thema nicht auf der Favoritenliste ganz oben steht – es gibt keine Ausnahmen, sich von der Löschpflicht zu befreien. Im folgenden Artikel wird die Notwendigkeit des Löschkonzepts in SAP-Systemen thematisiert und aufgezeigt welche datenschutzrechtlichen Folgen für Unternehmen drohen, wenn keines vorliegt.




Was sagt die DSGVO über das Löschkonzept

Die DSGVO (Datenschutzgrundverordnung) schützt die Privatsphäre der einzelnen Person. Die Unternehmen müssen daher viele Pflichten erfüllen. Oft vergisst man dabei Löschkonzept, weil im Vordergrund an Informationspflichten und andere Themen stehen. Die Frage ist also, warum überhaupt ein Löschkonzept notwendig ist. Das Löschkonzept braucht man, um eine Übersicht zu erhalten, wann die Daten zu löschen sind. Ist der Zweck der Erhebung nämlich erfüllt, muss im Anschluss eine Löschung der verarbeitenden Daten erfolgen. Doch so einfach wie es sich anhört ist das nicht mit dem Löschen. Ein Löschen der personenbezogenen Daten sofort, nach Zweckerfüllung, ist rechtlich nicht immer möglich. Viele von ihnen müssen noch aufbewahrt werden, bspw. aus steuerrechtlichen Gründen. Daher sind in diesem Zusammenhang nicht nur die DSGVO, sondern auch andere Gesetze zu beachten. Das ist noch nicht alles: Das Löschkonzept beinhaltet die verschiedenen Verarbeitungsprozesse, den Zweck der Erhebung, eine juristische Ausführung bzgl. der Aufbewahrungsfristen und die jeweilige Löschklasse. Dies beansprucht viel Zeit.


Warum auch ein Löschkonzept für SAP Systeme und für die SAP Archivierung von Bedeutung ist

Die DSGVO konforme Verarbeitung von personenbezogenen Daten in SAP Systemen ist zwingend vorgeschrieben. Eine rein technische Implementierung von SAP ILM reicht leider nicht aus. Daher sollten schon im Vorab die technischen und rechtlichen Voraussetzungen feststehen. SAP ILM hat Auswirkungen auf die SAP Datenarchivierung und auf die Benutzerberechtigungen. Daher ist der Weg zum Löschkonzept unvermeidbar. Das Löschkonzept muss gegenüber der bestehenden SAP Berechtigungen validiert werden. Dies gilt für SAP ECC, wie auch für SAP S/4HANA. Ein positiver Nebeneffekt stellt sich zugleich ein. Eine richtig aufgesetzte SAP Archivierung mit oder ohne SAP ILM erzielt nebenbei noch Einsparungen beim Einsatz der SAP HANA Technologie. So bleibt die SAP Datenbank schlank. Sie wird nicht mit Dokumenten und Daten befüllt, die sinnvollerweise in ein Archiv ausgelagert werden sollten.

Mögliche Folgen für Unternehmen

Es führt kein Weg daran vorbei, ein Löschkonzept zu erstellen und umzusetzen. Das Nichtvorliegen eines Löschkonzepts spiegelt sich regelmäßig in den Urteilen wider. Das Verwaltungsgericht in Karlsruhe hat bereits 2017 betont, dass Unternehmen eine umfassende Maßnahmen hinsichtlich der Löschung umgesetzt haben müssen. Liegt kein Löschkonzept vor, können die Geldbußen sehr hoch werden. In der Regel können diese Strafzahlungen eine Höhe von bis zu 20.000.000 EUR oder von bis zu 4% des Jahresumsatzes betragen. Auch Deutsche Wohnen durfte bereits spüren, wie weh ein Bußgeld tut, wenn kein Löschkonzept vorliegt. Kein Löschkonzept zu haben, kostete sie 14,5 Millionen EUR. Das Löschkonzept ist ein großes und sehr zeitaufwendiges Projekt. Es bedarf einer sorgfältigen Planung, Arbeitsaufteilung, Struktur und Ausdauer, um ein Löschkonzept erfolgreich zu erstellen. Doch hier die gute Nachricht: Das Löschkonzept stellt einen ganzheitlichen Ansatz dar, weshalb es auch als ganzheitliches Löschkonzept bezeichnet wird. Dies bedeutet für Unternehmen, dass ein Löschkonzept nur einmal zu erstellen ist und dann auch langfristig gilt.