Datenlöschung und -anonymisierung im SAP Business Warehouse

Im Rahmen der novellierten EU-DS-GVO wird der Bedarf an ganzheitlichen Lösungen und Ansätzen zum Schutz von natürlichen Personen und deren personenbezogenen Daten wesentlich gestärkt. Daten, für die der Zweck der Erhebung und Verarbeitung entfällt, nicht vorliegt oder durch Verlangen entzogen wurde, sind umgehend, vollständig und rückstandslos zu löschen.

Die Alternative zu einer Datentransformation (Datenlöschung) ist eine Pseudonymisierung der Daten. Das Bundesministerium des Innern empfiehlt sogar in Ihrer jüngsten Veröffentlichung „Whitepaper zur Pseudonymisierung der Fokusgruppe Datenschutz“1 die Datenpseudonymisierung in produktiven IT-Systemen.

Realistisches Beispiel sind hier Business-Warehouse-Systeme, vornehmlich um das Schutz- niveau in der jeweiligen IT-Landschaft zu erhöhen. Für beide Szenarien, Löschung und Anonymisierung von Daten in der gesamten SAP Business Suite inklusive SAP Business Warehouse, können wir Ihnen zwei zertifizierte und effiziente Softwarelösungen vorstellen.

1. Selektive und intelligente Datenlöschung in SAP BW

Grundsätzlich gibt es drei verschiedene Ansätze der Datenlöschung im SAP BW.

Der erste Ansatz ist der gesamte Neuaufbau des SAP BW-Systems. Dabei müssen die gesamten Quelldaten in den Quellsystemen vorhanden sein. Bei sehr großen Datenmengen wird dieser Ansatz zu einem sehr zeitaufwendigen Unterfangen.

Die zweite Möglichkeit ist die selektive und standardisierte Löschung in den jeweiligen SAP BW-InfoProvidern. Durch den selektiven Ansatz ist die Laufzeit gegenüber Variante eins kürzer, jedoch bei großen Datenmengen immer noch nicht vernachlässigbar. Besondere Aufmerksamkeit bei dieser Variante sollte dem Datenumfang/ Löschumfang gewidmet werden. Denn wenn zu viele Daten gelöscht werden, müssen diese, sofern vorhanden, aus dem Quellsystem erneut geladen werden.

Die dritte Variante ist die Datentransformation/ Datenlöschung innerhalb des SAP BW-Systems mittels einer Transformationslösung der Natuvion GmbH. Der Data Conversion Service (DCS) ist ein hoch performantes Transformationswerkzeug speziell für SAP Business Suite-Systeme, inkl. Business Warehouse. Bei einer Datentransformation / Datenlöschung in einem SAP BW-System werden die folgenden drei Schritte durchlaufen:

1. Identifikation der Schlüssel

Der DCS typisiert alle relevanten und abhängigen Daten der zu löschenden Objekte und speichert den Schlüsselvorrat in einer internen Verwaltung ab. Soll zum Beispiel der Business Partner (Objekt 0BPARTNER) gelöscht werden, werden alle relevanten abhängigen Schlüssel gesammelt und gespeichert. Diese Daten werden durch den DCS auch für den integrierten Abgleich zwischen den angebundenen Quellsystemen genutzt. Das Mapping zwischen Löschobjekten in angebundenen Systemen und dem InfoObjekt kann im DCS ebenfalls gepflegt und abgelegt werden.

2. Identifikation der Info Provider

Auf Basis der gepflegten InfoObjekte werden durch die integrierte DCS-Typisierung automatisch alle InfoProvider ermittelt. Diese Liste kann im Anschluss manuell übersteuert werden, um Sonderkonstellationen abzubilden.

3. Löschung der Daten in den InfoProvidern

Die Löschung der Daten erfolgt InfoProvider- und Datenbank-spezifisch. Jeder InfoProvider hat sein eigenes Datenmodell. Um eine konsistente Löschung der Daten zu gewährleisten, erfolgt eine eindeutige Löschung nach InfoProvider-Typ. Die Löschung der Daten erfolgt zweistufig. Die gelöschten Daten verweilen einen gewissen Zeitraum auf der Datenbank in einem virtuellen und verschlossenen Speicherbereich und können von dort teilweise oder komplett wiederhergestellt werden. Nach Erreichen der im Implementierungskonzept definierten Verweildauer werden die Daten komplett und ohne Einfluss auf den Betrieb aus dem System entfernt.

Die Performance bei komplexen und umfangreichen Business-Warehouse-Systemen stellt oft eine nicht unwesentliche Herausforderung in der Auswahl von Lösungsoptionen dar. Der DCS ist ein Transformationswerkzeug, welches für extrem große Datenmengen und komplexe Transformationsszenarien konzipiert ist. Dabei erfolgt die technische Löschung mittels nativer Löschalgorithmen, die auf die jeweilige Datenbank und Datenmenge ausgelegt sind.

Mit dem DCS können selektive, objektbezogene oder ganzheitliche Löschungen/ Datentransformationen innerhalb eines SAP Business Warehouse-Systems realisiert werden, ohne weitere Systeme einer SAP-Systemlandschaft einbeziehen zu müssen.

2. Anonymisierung bzw. Pseudonymisierung von Daten in SAP BW

Die Datenpseudonymisierung in einem SAP BW-System kann durch einen initialen Systemaufbau aus den Quelldaten, bei welchem die Daten bereits pseudonymisiert vorliegen, realisiert werden. Der Nachteil, wie auch schon bei der Datenlöschung, ist der zum Teil sehr hohe Zeitaufwand bei komplexen und großen Systemumgebungen.

Sofern eine Datenanreicherung bei InfoProvidern von Attributen oder Texten erfolgt ist oder das InfoObjekt bereits im Schlüssel einen Personenbezug darstellt (z.B. Adressinformationen), ist diese Variante im Sinne der Anforderungen der DSGVO sogar mangelhaft bis ungenügend. Eine vollumfängliche und performante Pseudonymisierung kann mit der Natuvion-Lösung Test Data Anonymization (TDA) realisiert werden. Dabei werden alle relevanten Daten innerhalb des SAP BW berücksichtigt und synchron zu weiteren SAP-Systemen der bestehenden und integrierten Landschaft pseudonymisiert. Die Durchführung der Pseudonymisierung erfolgt nach dem Systemaufbau / der Systemkopie und kann per Knopfdruck ausgeführt und überwacht werden.

Der technische Ablauf wird in den nachfolgenden drei Schritten schematisch skizziert:

1. Identifizierung der Info Objekte

Die relevanten Pseudonymisierungs-InfoObjekte werden im TDA hinterlegt. Für jedes InfoObjekt ist ein Pseudonymisie- rungsverfahren während der Lösungseinführung zu hinterlegen.

2. Identifikation der InfoProvider

Über die InfoObjekte werden alle InfoProvider ermittelt, die diese Objekte tragen, gleichzeitig werden sie als potentielle Pseudonymisierungsobjekte deklariert.

3. Pseudonymisierung der InfoProvider

Anhand von Schlüsselwerten der InfoObjekte und der hinterlegten Pseudonymisierungsverfahren werden die InfoProvider transformiert.

Das Mapping der Schlüsselwerte bzw. die Liste der zu anonymisierenden Objekte kann auch von externen Systemen importiert werden. So bietet Natuvion zudem eine Integration in das SAP Information Lifecycle Management (ILM) an. Wer- den Datenobjekte in einem SAP Business Suite-System durch einen EoP-Check (End of Purpose) gesperrt oder gelöscht, kann diese Integration dazu genutzt werden, die relevanten Daten automatisch in dem referenziellen SAP BW-System zu pseudonymisieren.

Auch können auf Basis solcher Trigger Pseudonymisierungsläufe regelmäßig durchgeführt werden. Für die SAP BW-Standardobjekte liefert Natuvion eine vordefinierte Zuordnung des jeweils anzuwendenden Pseudonymisierungsverfahrens.

Die Einführung der Lösung kann in einem kurzen und überschaubaren Projektrahmen erfolgen. Dabei werden die folgenden typischen Projektphasen durchlaufen: