Sonntag, 10. August 2025

DSGVO in SAP RE-FX

DSGVO in SAP RE-FX: Datenschutzkonformes Löschen von Geschäftspartnerdaten

Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 rückt der Schutz personenbezogener Daten stärker denn je in den Fokus der Unternehmen – auch im Bereich der Immobilienverwaltung. In SAP RE-FX kommt diesem Aspekt eine besondere Bedeutung zu, da hier Geschäftspartnerdaten in vielfältiger Form verarbeitet werden. Doch wie lässt sich die Einhaltung der DSGVO – insbesondere das Recht auf Vergessenwerden – im Zusammenspiel mit aktuellen und historischen Vertragsdaten praktisch umsetzen?

Warum DSGVO in SAP RE-FX ein kritisches Thema ist

Im Kontext von SAP RE-FX begegnen uns personenbezogene Daten an vielen Stellen: in Mietverträgen, Anmietungen, Hausgeldabrechnungen, Serviceverträgen und sogar in Ansprechpartnerrollen. Dies betrifft nicht nur Namen und Kontaktdaten, sondern mitunter auch Bankverbindungen und weitere sensible Informationen.

Dadurch stellt sich zwangsläufig die Frage: Wie bleiben Unternehmen DSGVO-konform, wenn personenbezogene Daten nicht länger benötigt werden? Wie gelingt der Spagat zwischen gesetzlichen Aufbewahrungsfristen und dem Zweckbindungsprinzip der DSGVO, wonach Daten nicht unendlich lange gespeichert werden dürfen?

Die Antwort liegt in einer strukturierten Datenarchivierung und -vernichtung mit Hilfe von SAP ILM (Information Lifecycle Management).

Die Rolle von SAP ILM im Datenschutzprozess

SAP ILM unterstützt bei der regelbasierten Archivierung, Sperrung und endgültigen Vernichtung personenbezogener Daten auf Basis gesetzlicher und organisatorischer Anforderungen. Für SAP RE-FX sind insbesondere folgende Komponenten relevant:

  • Definieren und Anwenden von Aufbewahrungs- und Verweilregeln
  • Sperren von Daten – selektiver Zugriff mit Berechtigungssteuerung
  • Endgültiges Löschen personenbezogener Daten, wenn die Aufbewahrungsfrist überschritten und der Zweck entfallen ist

Diese Funktionen werden über sogenannte ILM-Objekte bereitgestellt. Für Geschäftspartner beispielsweise ist das Objekt CA_BUPA maßgeblich, während in SAP RE-FX viele relevante Stammdatenobjekte wie REFX_BE (Wirtschaftseinheit) oder REFX_BU (Gebäude) geläufig sind.

Das Prinzip: Von „End of Business“ bis zur Löschung

Ein zentrales Konzept im SAP ILM ist der Lebenszyklus eines Datenobjekts. Dieser beginnt im produktiven Einsatz und endet mit dem Abschluss des „geschäftlichen Zwecks“ – dem sogenannten End of Business (EoB). Ab diesem Zeitpunkt startet die sogenannte Verweildauer, definiert durch Verweilregeln.

Nach Ablauf der Verweildauer beginnt die Prüfung, ob Daten gelöscht werden dürfen – das End of Purpose (EoP). Dabei wird analysiert, ob noch offene Buchungen, Verträge oder andere systemrelevante Abhängigkeiten vorliegen. Erst wenn alle Kriterien erfüllt sind, können Daten gesperrt und anschließend gelöscht werden.

Die SAP ILM-Komponenten ermöglichen es, diesen zeitlichen und funktionalen Ablauf klar zu steuern – unter Berücksichtigung von DSGVO und handelsrechtlichen Aufbewahrungspflichten (z. B. nach HGB und AO).

Ein Beispiel aus der Praxis

Stellen wir uns folgende Situation in einem Immobilienunternehmen vor:

Die Firma Mustermann Immobilien GmbH verwaltet Wohn- und Gewerbeimmobilien. Ein Mieter (Herr Schulze) kündigt im Oktober 2022 seinen Mietvertrag, der offiziell zum 31. Januar 2023 endet. Für die Mietverhältnis-Verhältnisse besteht eine gesetzliche Aufbewahrungspflicht von 10 Jahren (z. B. wegen Betriebskostenabrechnungen oder steuerlichen Prüfungen). Gleichzeitig möchte das Unternehmen den Datenschutzanforderungen gerecht werden und personenbezogene Daten nicht länger als nötig speichern.

Das Vorgehen mit SAP ILM könnte folgendermaßen aussehen:

  • End of Business: 31.01.2023 – Mietverhältnis endet
  • Beginn der Verweildauer: 01.02.2023
  • Verweilregel: 2 Jahre, um mögliche Rückfragen oder Gewährleistungsansprüche zu klären
  • Geplante Löschung: Ab 01.02.2025 Prüfung, ob personenbezogene Daten gelöscht werden dürfen

Im Rahmen dieser EoP-Prüfung stellt das System sicher, dass keine offenen Belege oder Verträge mehr bestehen. Sind alle Voraussetzungen erfüllt, wird Herr Schulzes Geschäftspartnerrolle gesperrt und für den Großteil der Benutzer nicht mehr sichtbar. Nach Ablauf aller gesetzlichen Aufbewahrungsfristen kann sein Datensatz automatisch gelöscht werden – DSGVO-konform und nachvollziehbar.

Sperren vs. Löschen: Der feine Unterschied

Gerade bei komplexen Vertragskonstruktionen kommt es auf Differenzierung an. Nicht jeder Geschäftspartner darf sofort gelöscht werden, selbst wenn der ursprüngliche Zweck entfallen ist. In solchen Fällen bietet SAP ILM den Zwischenschritt der Sperrung an. Gesperrte Daten bleiben im System erhalten, sind aber nur noch für autorisierte Benutzer zugreifbar und erscheinen nicht mehr in Standardauswertungen.

Das endgültige Löschen erfolgt erst nach Ablauf aller Fristen – insbesondere, wenn keine steuerlichen oder rechtlichen Aufbewahrungspflichten mehr bestehen.

Wichtige Erfolgsfaktoren für eine DSGVO-konforme Umsetzung in SAP RE-FX

Die DSGVO-konforme Datenverarbeitung ist keine rein technische Aufgabe, sondern betrifft Prozesse, Organisation und Systemkonfiguration gleichermaßen. Folgende Punkte gilt es bei der Projektumsetzung zu berücksichtigen:

  • Klare Regelwerke in SAP ILM definieren: Welche Daten dürfen wann archiviert, gesperrt oder vernichtet werden?
  • Prüfgebiete aktivieren und mit ILM-Objekten verbinden, z.B. für Geschäftspartnerdaten (BUPA_DP)
  • Gültigkeitsdaten vererben (z.B. von Vertrag auf Geschäftspartner), um die EoB-Zeitpunkte logisch ableiten zu können
  • Regelmäßige EoP-Prüfungen planen und automatisieren
  • Datenzugriffe berechtigungsbasiert steuern, insbesondere im Fall gesperrter Daten

Fazit

Der Schutz personenbezogener Daten ist mehr als ein Schlagwort – er ist Pflicht. SAP RE-FX bietet mit Hilfe von SAP ILM das passende Werkzeug, um Datenlebenszyklen DSGVO-konform zu steuern. Entscheidend ist dabei nicht nur die technische Umsetzung, sondern auch das Zusammenspiel zwischen Fachbereich, IT und Datenschutzverantwortlichen.

Richtig genutzt, sorgen ILM-Regelwerke dafür, dass personenbezogene Daten nur so lange wie nötig im System bleiben und anschließend nachvollziehbar und geprüft gelöscht werden – egal, ob es sich um Mieter, Korrespondenzpartner oder Dienstleister handelt.

Wenn du Fragen zu SAP RE-FX oder zur DSGVO-konformen Umsetzung in deinem System hast, melde dich gerne auf LinkedIn bei mir: Steven Imig auf LinkedIn – ich freue mich auf den Austausch!
Oder: Wenn du dich für SAP RE-FX interessierst, gerne vernetzen!

um

Keine Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post (Atom)

DSGVO in SAP RE-FX

DSGVO in SAP RE-FX: Datenschutzkonformes Löschen von Geschäftspartnerdaten Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 2...

  • Vertragsarten in SAP RE-FX
    Vertragsarten in SAP RE-FX – welche gibt es und warum sie entscheidend sind Immobilienunternehmen und SAP-Berater wissen: Kein Immobilienm...
  • Customizing von Verträgen
    Verträge richtig customizen: Was für eine saubere RE-FX-Implementierung wichtig ist Ein professionell implementiertes SAP RE-FX-System ste...
  • DSGVO in SAP RE-FX
    DSGVO in SAP RE-FX: Datenschutzkonformes Löschen von Geschäftspartnerdaten Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 2...