Ausblenden von älteren, abgegrenzten Daten in SAP HCM zur Unterstützung der Anforderungen der EU-DSGVO

Am 25. Mai 2018 werden die Änderungen zum Schutz von personenbezogenen Daten durch die Neufassung des Bundesdatenschutzgesetztes (BDSG-Neu) und der EU-Datenschutzgrundverordnung (EU-DSGVO) aktiv. Ab diesem Zeitraum gelten dann schärfere Regeln in Bezug auf das Verarbeiten und Speichern von personenbezogenen Daten.

Grundsätzlich gilt, dass für das Vorhalten von personenbezogenen Daten ein entsprechender Grund vorliegen muss. Sollten keine Gründe vorliegen beziehungsweise erlöschen die Gründe für eine Verarbeitung, dann müssen diese Daten vollständig vernichtet werden.

In SAP HCM bietet sich für das Vernichten der Daten die SAP-Lösung Information Lifecycle Management  (SAP ILM) an. Hier werden über das Zusammenspiel eines entsprechenden Regelwerkes mit den Löschfunktionen des SAP Archive Development Kits die Daten aus dem SAP-System und gegebenenfalls aus angehängten Archivsystemen vernichtet.

Aufgrund der Rückrechnungsproblematik innerhalb eines SAP HCM-Systems ergibt sich hierbei aber die Frage, wann und wie oft ein Vernichtungslauf der Daten gestartet wird. In der Praxis wird man sich für eine nicht allzu kurze Periodizität entscheiden. Nehmen wir an, diese Daten sollen einmal im Jahr vernichtet werden, dann ergibt sich nun eine Lücke, so dass Daten, die eigentlich nicht mehr im System sein sollten, immer noch vorhanden sind und angezeigt werden.

Ein Hilfsmittel, diese Daten zumindest für die Bearbeitung der Sachbearbeiter auszublenden – und zwar basierend auf dem aktuellen Tagesdatum als Stichtag – bietet ein von der SAP ausgeliefertes Business Add-In (BAdI).

Das BAdI HRPAD00AUTH_TIME mit der Methode CONSIDER_SY_DATUM_EXIT erweitert ihr System um die Möglichkeit pro definiertem Infotyp (und Subtyp) nicht mehr anzuzeigende Daten zu sperren. Diese werden dann für den Sachbearbeiter mit einem entsprechenden Hinweis ausgeblendet, also übersprungen.

Um diese Funktion nutzen zu können, müssen Sie eine Implementierung für das Badi HRPAD00AUTH_TIME anlegen. Für die Logik des Ausblendens können Sie das von der SAP ausgelieferte Beispielcoding übernehmen und die Implementierung aktivieren.

Stellen Sie zudem sicher, dass in den Eigenschaften des Infotyps, dessen Daten ausgeblendet werden sollen, die Zugriffsberechtigung aktiviert (Haken gesetzt) wurde. Dies steuern Sie im Customizing-View V_T582A.

Im Customizing-View V_T77PADDUR_DEF definieren Sie den Zeitraum, der verwendet werden soll um basierend auf dem Stichtag (SY-DATUM), den Zeitraum zu berechnen, der ausgeblendet werden soll. In unserem Beispiel möchten wir die Daten des Infotyps Anschriften (0006), die vor mehr als 3 Jahren abgegrenzt wurden, ausblenden.

Stellen Sie zudem sicher, dass in der Berechtigungsrolle der betroffenen Sachbearbeiter das Berechtigungsobjekt HR-Reporting (P_ABAP) nicht für den entsprechenden Report (z.B. SAPMP50A für PA20/PA30) und dem Vereinfachungsgrad ‚*‘ oder ‚2‘ ausgeprägt ist. In diesem Fall würde das BAdI nicht durchlaufen werden und die Daten werden dann dennoch angezeigt.

Sie benötigen Unterstützung bei der Umsetzung der EU-DSGVO in Ihrem SAP-HCM-System? Sprechen Sie uns an.