mars58 - Fotolia
Data Controller Rule Framework: SAP-Datenaufbewahrung steuern
Mit dem Data Controller Rule Framework lassen sich Richtlinien definieren, wie Daten in SAP-Systemen aufbewahrt werden sollen. Der Beitrag zeigt die Einsatzmöglichkeiten.
Abhängig von den SAP-ILM-Objekten (Information Lifecycle Management) kann es notwendig sein, viele Aufbewahrungsregeln zu definieren, was deren Pflege komplex und unübersichtlich macht.
Das Data Controller Rule Framework (DCRF) arbeitet mit den Regeln und kann diese zusammenfassen und gemeinsam verwalten. Dies erleichtert die Aufbewahrung von Daten in SAP-Systeme, vor allem wenn es um personenbezogene Daten geht, die im Rahmen der EU-DSGVO korrekt aufbewahrt und gelöscht werden müssen.
Data Controller Rule Framework vereinfacht Datenaufbewahrung
Unternehmen und Organisationen müssen verschiedene Richtlinien und Vorschriften einhalten, was die Aufbewahrung von Daten betrifft. Das umfasst zum Beispiel Steuergesetze, Handelsnormen, Arbeitsrecht, Datenschutz und viele weitere Regeln und Gesetze.
Sind Unternehmen international tätig, müssen die Gesetze der jeweiligen Länder Berücksichtigung finden. Datenschutz und die EU-DSGVO spielen ebenfalls eine wichtige Rolle bei der Aufbewahrung von Daten in SAP-Systemen. Aus diesem Grund stellt SAP das Data Controller Rule Framework (DCRF) zur Verfügung, mit dem sich Regeln definieren und in SAP-Systemen hinterlegen lassen.
Nach Ablauf der Residenzzeit (Verweildauer) des primären Verwendungszwecks von Daten, müssen personenbezogene Daten geschützt beziehungsweise entsprechend gelöscht werden. Müssen Daten nach einer bestimmten Zeit aus dem System entfernt werden, lassen sich Aufbewahrungsregeln in SAP-Systemen definieren. Der Nachteil dieses Ansatzes ist es, dass es für identische Datensätze verschiedene Aufbewahrungsregeln geben kann, die aufeinander aufbauen. Das macht die Verwaltung komplex.
Das Data Controller Rule Framework (DCRF) ermöglicht das Erstellen von Regeln, mit dem sich die Aufbewahrung der Daten über Richtlinien steuern lassen. Dazu definiert das DCRF Verwendungszwecke (Processing Purposes) für die Speicherung personenbezogener Daten. Dabei finden bei den Regen auch Geschäftsprozesse und die betroffenen Business-Objekte Berücksichtigung.
SAP ILM und DCRF
SAP Information Lifecycle Management (ILM) stellt verschiedene Funktionen über das Data Controller Rule Framework bereit. Damit können komplette Regelsätze erstellt werden, die für einzelne Geschäftszwecke abgestimmt sind, und den Zugriff auf gesperrte Daten mit Berechtigungskontrollen ermöglichen.
Das DCRF bietet in diesem Bereich verschiedene Vorteile. Zunächst wird der Konfigurationsaufwand verringert, der notwendig ist, Daten juristisch korrekt aufzubewahren. Die Erstellung der Regeln ist mit DCRF einfacher als mit anderen Optionen zur Steuerung der Aufbewahrungsrichtlinien. Neben der korrekten Aufbewahrung der Daten können mit DCRF auch Regeln festgelegt werden, welche Anwender Zugriff auf die Daten haben. Hier spielen auch andere Funktionen des SAP ILM eine Rolle.
Die Verwendung von DCRF reduziert außerdem Fehlerquellen und macht die Regeln transparenter und nachvollziehbarer. Für Audits ist das entscheidend.
Aufbewahrungsfristen und DCRF
Das DCRF arbeitet mit den Aufbewahrungsfristen, die im SAP-System vorgegeben sind. Dabei lassen sich mehrere Regeln verbinden und mit Berechtigungskontrollen verknüpfen. Das vereinfacht die Kontrolle der Datenaufbewahrung auch in komplexen Szenarien.
Wenn Anwender, Kunden oder Lieferanten zum Beispiel von ihrem Recht auf Vergessenwerden Gebrauch machen, müssen die Daten in SAP gelöscht werden. Sind gleichzeitig die Daten steuerlich relevant, ergeben sich komplexe Szenarien, da Daten nicht mehr zugreifbar sein dürfen, gleichzeitig aber auch archiviert werden müssen. Für solche Zwecke ist DCRF in SAP ILM integriert.
Data Controller Rule Framework konfigurieren
Mit der Transaktion IRMRULE (Pflege der Geschäftsregeln) lassen sich Geschäftsregeln anlegen und aktivieren. Generell kann es mehrere Data Controller im Netzwerk geben, welche für die Kontrolle eines bestimmten Datensatzes verantwortlich sind.
Wie viele Data Controller und Verarbeitungsabläufe konfiguriert werden müssen, hängt davon ab, wie das SAP-System konfiguriert ist. Zusammen mit Data Controller spielen auch die Processing Purposes (Verarbeitungszwecke, Verwendungszwecke) eine wichtige Rolle. Bei den Processing Purposes handelt es sich um einen relevanten Grund, warum bestimmte personenbezogene Daten verarbeitet, gespeichert und archiviert werden sollen. Häufig sind diese auf Basis von Geschäftsprozessen definiert.
Wenn die DCRFs auf Basis der verschiedenen Geschäftsprozesse und der Processing Purposes definiert sind, besteht der nächste Schritt darin, die Aufbewahrungsfriste der zugehörigen Daten festzulegen. Hier kann auch gesteuert werden, welche Benutzergruppen Zugriff auf diese Daten erhalten sollen, auch dann, wenn diese durch das Data Controller Rule Framework gesperrt werden. Die Geschäftsregeln verbinden Data Controller und Processing Purposes zu einer Einheit.
Nachdem die Regeln erstellt sind, lassen sie sich ausführen. Dazu kommt SAP Information Lifecycle Management (ILM) zum Einsatz. Nach der Bereitstellung kann das SAP-System die Daten löschen, archivieren, blocken und auf Basis der Geschäftsregeln steuern. SAP ILM fasst alle Data Controller und deren Processing Purposes zu einer Einheit zusammen. Dabei ist es möglich, dass ein Data Controller mehrere Data-Processing-Bereiche abdeckt.
Beispiel für den Einsatz des DCRF
Für internationale Unternehmen macht es Sinn, dass sie für jedes Land einen eigenen Data Controller definieren. Die Geschäftsprozesse in den einzelnen Ländern können sich gleichen. Es können auf Basis der verschiedenen Rechte aber auch unterschiedliche Regeln notwendig sein, welche durch die Processing Purposes abgedeckt und durch die jeweiligen Data Controller verwaltet werden.
Um zu erkennen, welche Daten von den einzelnen Data Controller abgedeckt werden, kann man zum Beispiel Konditionen festlegen, die bestimmte Datenwerte auslesen. So können zum Beispiel alle Daten mit den Ländercodes DE01 und DE02 durch den Data Controller DC-GER abgedeckt werden. Das lässt sich auch in der grafischen Oberfläche des DCRFs durchführen. Im Rahmen des DCRFs lassen sich die erstellten Regeln testen, bevor sie über das SAP ILM bereitgestellt werden.