Legal Hold in SAP ILM: Daten rechtssicher von der Löschung ausnehmen

, , ,
Berater und Juristin besprechen Legal Hold in SAP ILM

Die DSGVO verlangt das Löschen, der laufende Rechtsstreit verlangt das Gegenteil: Daten, die als Beweismittel gebraucht werden, dürfen auf keinen Fall vernichtet werden. Dieses Spannungsfeld löst der Legal Hold in SAP ILM — eine temporäre Vernichtungssperre, die einzelne Personen und Datenbereiche gezielt von Löschläufen ausnimmt. Dieser Beitrag erklärt, wie Legal Holds im SAP HCM funktionieren und worauf es bei der Umsetzung ankommt.

Was ein Legal Hold ist — und was er nicht ist

Ein Legal Hold ist eine reversible Vernichtungssperre: Solange sie aktiv ist, übergeht der ILM-Löschlauf die gesperrten Daten — unabhängig davon, ob deren Aufbewahrungsfrist bereits abgelaufen ist. Im SAP HCM werden die Sperren über den SAP-Standard-Infotyp 3246 abgebildet: je Personalnummer und ILM-Objekt ein Sperrsatz, der im ILM-Regelwerk wirkt. Endet der Sperrgrund, wird die Sperre gelöst, und die nächste Löschrunde erfasst die Daten regulär.

Wichtig ist die Abgrenzung: Ein Legal Hold ist kein Ersatz für das Löschkonzept und keine Dauerlösung. Er ändert weder Fristen noch Regeln — er setzt sie für einen dokumentierten Einzelfall vorübergehend außer Kraft. Wie das Regelwerk selbst entsteht, beschreibt unser Leitfaden zum Löschkonzept.

Wann Sie einen Legal Hold brauchen

Die typischen Auslöser in der HR-Praxis:

  • Arbeitsrechtliche Streitigkeiten — etwa Kündigungsschutzklagen, bei denen Abrechnungs- und Zeitdaten als Beweismittel dienen,
  • Behördliche Anfragen und Ermittlungen, die bestimmte Personen oder Zeiträume betreffen,
  • Betriebsprüfungen und Audits, deren Gegenstand noch nicht abschließend geklärt ist,
  • Interne Untersuchungen, bei denen Daten bis zum Abschluss gesichert bleiben müssen.

DSGVO-konform ist das ausdrücklich: Art. 17 Abs. 3 lit. e DSGVO nimmt Daten, die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden, von der Löschpflicht aus.

Der häufigste Fehler: pauschal statt selektiv

In der Praxis sehen wir oft den Reflex, bei einem laufenden Verfahren einfach die Löschläufe komplett auszusetzen. Das löst ein Problem und schafft ein größeres: Für alle nicht betroffenen Mitarbeiter wird damit gegen die Speicherbegrenzung verstoßen — aus einem Rechtsstreit um eine Person wird ein DSGVO-Risiko für den gesamten Datenbestand. Die saubere Antwort ist die selektive Sperre: nur die betroffenen Personalnummern, nur die relevanten ILM-Objekte. Der reguläre Löschbetrieb läuft für alle anderen ungestört weiter.

Worauf es bei der Umsetzung ankommt

Vier Anforderungen entscheiden darüber, ob Legal Holds im Audit bestehen:

  • Begründung am Datensatz: Jede Sperre braucht einen dokumentierten Grund — wer später fragt, warum Daten trotz abgelaufener Frist existieren, muss eine Antwort am Sperrsatz finden.
  • Protokollierung: Setzen, Lösen und Anzeigen von Sperren gehören revisionssicher protokolliert — inklusive Zeitstempel und Benutzer.
  • Massenfähigkeit: Verfahren betreffen selten nur eine Person. Die Lösung muss auch hunderte oder tausende Personalnummern in vertretbarer Laufzeit sperren und lösen können.
  • Überblick: Recht, Datenschutz und Revision brauchen jederzeit eine Übersicht aller aktiven Sperren — ohne dafür Entwickler bemühen zu müssen.

SAP stellt mit dem Infotyp 3246 zwar die technische Grundlage bereit — eine komfortable Pflege liefert der Standard aber nicht mit. Die Sperrsätze manuell je Personalnummer und ILM-Objekt anzulegen ist bei realen Verfahren keine Option: zu zeitaufwendig, zu fehleranfällig, und ein vergessener oder falsch gesetzter Satz bedeutet im Zweifel vernichtetes Beweismaterial oder unbegründet aufbewahrte Daten.

Genau dafür haben wir LegalHold entwickelt, das Sperr-Modul der HCM DSGVO PowerSuite: drei Modi (Sperre einfügen, Sperre lösen, Sperren anzeigen) in einer Transaktion, Pflicht-Kurztext als Begründung, BAL-Protokoll für jeden Lauf und Massenfähigkeit bis 100.000+ Personalnummern — reversibel und auf Basis des SAP-Standard-Infotyps 3246.

Häufige Fragen zum Legal Hold in SAP ILM

Ist ein Legal Hold DSGVO-konform?
Ja. Art. 17 Abs. 3 lit. e DSGVO nimmt Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen ausdrücklich von der Löschpflicht aus — vorausgesetzt, die Sperre ist begründet, dokumentiert und endet mit dem Sperrgrund.

Was passiert nach Ende des Verfahrens?
Die Sperre wird gelöst, die Infotyp-3246-Sätze werden entfernt — und die nächste reguläre Löschrunde vernichtet die Daten, deren Frist abgelaufen ist. Es braucht keinen Sonderprozess.

Wirkt die Sperre auf die ganze Person oder einzelne Datenbereiche?
Beides ist möglich: Gesperrt wird je Personalnummer und ILM-Objekt. Sie können also gezielt nur die Abrechnungsdaten eines Mitarbeiters sperren und alles andere regulär löschen lassen.

Wie weisen wir die Sperren im Audit nach?
Über die Protokollierung: Bei LegalHold landet jede Aktion mit Zeitstempel, Benutzer, Begründung und Objektanzahl im Business Application Log und ist über SLG1 abrufbar.

Fazit

Legal Holds sind das fehlende Bindeglied zwischen Löschpflicht und Beweissicherung: selektiv statt pauschal, dokumentiert statt improvisiert, reversibel statt endgültig. Wer sie sauber in sein Löschkonzept integriert, muss bei Rechtsstreit oder Audit nie wieder den gesamten Löschbetrieb anhalten.

Sie möchten LegalHold im Einsatz sehen? Fordern Sie eine Demo an oder sprechen Sie uns an.

Newsletter
Praxiswissen zu DSGVO & SAP HCM — monatlich ins Postfach

Löschkonzepte, SAP ILM, Migrations-Tipps und Webinar-Termine aus der Praxis. Kein Spam, jederzeit abbestellbar.

Jetzt Newsletter abonnieren →
/von
Neue SAP-Hinweise zur Datenvernichtung in SAP HCM: Was Sie jetzt prüfen so...Berater besprechen Datenvernichtung in SAP HCM vor einem SAP-GUI-Screen im modernen Büro