Im digitalen Zeitalter werden sämtliche Daten wie Rechnungen und Bewerbungen, aber auch E-Mails automatisch gespeichert. Aber die hohe Kunst ist es, Daten zur richtigen Zeit zu löschen. Denn mit Inkrafttreten der DSGVO gilt ein besonders hoher Schutz für personenbezogene Daten und auch das Recht auf Vergessenwerden. Nur: Wer soll da den Überblick behalten?

Gehörten Rollcontainer und Hängeregistraturen früher zum gewohnten Bild in jedem Büro, so ist vielerorts der Aktenordner vor dem Aussterben bedroht. Grundsätzlich ist die Digitalisierung der (Verwaltungs-)Vorgänge auch äußerst löblich und sinnvoll. Doch allzu oft wird seit dem Wegfall der physischen Archivierungsbegrenzungen einfach alles für die Ewigkeit gespeichert – dank Cloud & Co ist der „Speicherwut“ kaum eine Grenze gesetzt.

Doch spätestens seit dem Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018 hat in immer mehr Unternehmen ein Umdenken eingesetzt: Es gibt nun ein Bewusstsein dafür, dass manche Daten nach einer festgelegten Frist gesperrt und gelöscht werden müssen. Notwendig ist also eine „Datenhygiene“, bei der ausgewählt wird, was speicherwürdig ist – etwa, weil es sich um elementares Wissen zu Geschäftsprozessen handelt–, was vielleicht sogar laut Gesetz aufbewahrt werden muss und was fristgerecht zu löschen ist.

Heiko Köllmann ist Consultant Enterprise Content Management bei der itelligence AG. Als Dipl. Volkswirt (Schwerpunkt Steuerrecht) ist Heiko Köllmann seit 2002 in der IT im Archivierungs- und ECM-Umfeld tätig. In diesem Umfeld hat er sich mit den rechtlichen Rahmenbedingungen beschäftigt und auf ECM-, DMS- und Archivierungslösungen im SAP-Umfeld spezialisiert. Quelle: Itelligence AG

Um im Datenstrudel nicht unterzugehen, setzen viele Unternehmen schon heute auf ein Enterprise-Content-Management-System (ECM). Ein solches System besteht aus mehreren Modulen und hilft dabei, Dokumente zu verwalten, etwa im Personalwesen, im Lieferantenmanagement oder in der Buchhaltung. So können Rechnungen mithilfe des ECM (teil-)automatisiert verwaltet und archiviert werden. Sobald die Daten nicht mehr im täglichen Betrieb benötigt werden, werden sie archiviert, um das Datenbankvolumen zu reduzieren.

Denn ohne Datenarchivierung würde das Volumen unkontrolliert wachsen. Für Rechnungen beispielsweise ist eine Mindestverweildauer von zehn Jahren vorgesehen – so lange müssen sie zwingend gespeichert werden. Für den täglichen Betrieb werden die Unterlagen aber nicht benötigt. Nach den zehn Jahren wiederum greift sofort die DSGVO: Da Rechnungen per se personenbezogene Daten enthalten, müssen sie nach Ablauf der Frist umgehend gelöscht werden.

Es bedarf also eines Tools, dass Daten – der Begriff Daten schließt Dokumente mit ein – löscht, sobald sie nicht mehr gespeichert werden dürfen oder sie zunächst für den Zugriff sperrt. Für SAP-Systeme ist dies beispielsweise das Information-Lifecycle-Management (ILM). Es verfügt über eine Schnittstelle zum digitalen Archivsystem oder Dokumentenmanagementsystem des ECM und kann Sperrungen sowie Löschungen von Dokumenten im ECM veranlassen. Voraussetzung dafür ist, dass die Datensätze im SAP angelegt und die Dokumente an diese Datensätze angehängt werden. Wird nun aus dem ILM eine Sperrung oder Löschung eines Datensatzes veranlasst, werden die mit diesem Datensatz verbundenen Dokumente ebenfalls gesperrt oder gelöscht.

Intelligente Systeme – und dazu gehören Tools wie SAP ILM – müssen erst einmal angelernt werden, indem Regeln und Richtlinien festgelegt werden, nach denen sie arbeiten. Wer hier gründlich vorgeht, erspart sich hinterher viel Arbeit. Und wer denkt, dass es zu Zeiten, als der Aktenschrank noch nicht digital war, viel einfacher gewesen sei, dem sei gesagt: Knicken, Lochen, Abheften, Zusammensuchen – auch das kostet Zeit. Am Ende sogar viel mehr.

Für europäische Unternehmen, die seit Mai 2018 DSGVO-konform arbeiten müssen, ist ein Tool zur automatisierten Sperrung und Löschung von Datensätzen unvermeidbar. Händisch kann dieser Menge an Daten niemand mehr Herr werden. Und mittlerweile drohen empfindliche Strafen für Verstöße gegen die DSGVO.