Auskunftsersuchen nach Art. 15 DSGVO: Worauf SAP-HCM-Abteilungen wirklich achten müssen

SAP-HCM-Datenschutzverantwortliche prüft eine Art-15-DSGVO-Auskunft am SAP-GUI-Bildschirm

Es ist ein ganz normaler Dienstagmorgen, als die E-Mail eintrifft: Eine Mitarbeiterin – oder ein längst ausgeschiedener Ex-Kollege – verlangt Auskunft über „alle zu mir gespeicherten Daten“. Ab diesem Moment läuft die Uhr. Die DSGVO gibt Ihnen einen Monat Zeit, und der Auskunftsanspruch nach Artikel 15 ist einer der am häufigsten geltend gemachten Betroffenenrechte überhaupt.

Was nach einem einfachen „Daten zusammenstellen und rausschicken“ klingt, ist in einem SAP-HCM-System eine der unterschätztesten Aufgaben im Datenschutz. Denn die personenbezogenen Daten einer Person liegen nicht an einem Ort – sie sind über Infotypen, Cluster, Organisationsmanagement und Kundentabellen verteilt. Und Artikel 15 verlangt deutlich mehr als nur die reine Datenkopie.

Hier sind die Punkte, an denen es in der Praxis erfahrungsgemäß hakt.

1. Die Datenkopie ist nur die halbe Miete

Viele denken bei Artikel 15 zuerst an die Liste der gespeicherten Daten. Das ist Absatz 3 – die Kopie. Absatz 1 verlangt zusätzlich eine ganze Reihe von Pflicht­informationen, die fast immer vergessen werden:

  • die Verarbeitungszwecke (lit. a)
  • die Kategorien der Daten (lit. b)
  • die Empfänger – Finanzamt, Sozialversicherung, Krankenkassen, Banken, betriebliche Altersversorgung, Dienstleister (lit. c)
  • die geplante Speicherdauer bzw. die Kriterien dafür (lit. d)
  • die Betroffenenrechte auf Berichtigung, Löschung, Einschränkung, Widerspruch (lit. e)
  • das Beschwerderecht bei der Aufsichtsbehörde (lit. f)
  • die Herkunft der Daten (lit. g)
  • das Bestehen einer automatisierten Entscheidungsfindung (lit. h)

Und Absatz 2 verlangt bei Übermittlungen in ein Drittland Angaben zu den geeigneten Garantien. Wer nur die Datenliste verschickt, hat die Auskunft formal nicht vollständig erteilt.

2. Cluster-Daten: der erste blinde Fleck

In einer Art-15-Auskunft im SAP HCM gibt es zwei große blinde Flecken. Der erste sind die Cluster-Daten. Stammdaten in den PA-Infotypen findet jeder. Aber die Abrechnungsergebnisse und die Zeitauswertungsergebnisse liegen nicht in normalen Tabellen, sondern in den PCL2-Clustern – die Personalnummer steht dort verschachtelt im Sortierfeld und taucht in keiner Tabellen­suche auf.

Wer das übersieht, liefert eine Auskunft ohne Lohnarten, ohne Zeitsalden, ohne Kontingente – also ohne genau die Daten, die für die betroffene Person oft am interessantesten sind. Und bei internationalen Belegschaften wird es noch kniffliger: Jedes Land hat seinen eigenen Abrechnungscluster (Deutschland RD, USA RU, Frankreich RF und so weiter). Eine vollständige Auskunft muss den richtigen länderspezifischen Cluster lesen – abhängig vom Länderkennzeichen (MOLGA) der Person. Der zweite blinde Fleck folgt weiter unten – und ist in der Praxis oft noch tückischer.

3. Die Speicherdauer: konkret statt „nach gesetzlichen Fristen“

„Wir speichern Ihre Daten gemäß den gesetzlichen Aufbewahrungsfristen“ ist als Antwort auf lit. d zu dünn. Gefragt ist die geplante Dauer oder zumindest die Kriterien, nach denen sie bestimmt wird.

Der Charme eines gut aufgesetzten SAP-HCM-Systems: Diese Kriterien sind bereits konfiguriert – in den ILM-Aufbewahrungsregeln. Aufbewahrungsdauer, Startzeitpunkt (zum Beispiel „ab Ende des Beschäftigungs­verhältnisses“) und Fristbezug stehen objektgenau im System. Wer diese Information direkt aus dem Regelwerk in die Auskunft übernimmt, ist nicht nur vollständig, sondern auch nachweislich korrekt.

Und hier kommt die unbequeme Wahrheit: Artikel 15 zwingt Sie, schwarz auf weiß zu sagen, wann die Daten gelöscht werden. Wer an dieser Stelle kein belastbares Löschkonzept hat, merkt es spätestens jetzt – denn ohne definierte Regeln lässt sich die Frage schlicht nicht beantworten. Eine ausweichende Antwort fällt der betroffenen Person auf, und einer Aufsichtsbehörde erst recht. Das Auskunftsersuchen wird damit zum Lackmustest: Es macht sichtbar, ob im Hintergrund tatsächlich gelöscht wird – oder ob Daten einfach für immer liegen bleiben. Ein fehlendes Löschkonzept sieht in genau diesem Moment nicht gut aus.

4. Die Rechte Dritter nicht übersehen

Eine Personalakte enthält auch Daten anderer Personen: Familienangehörige, Notfallkontakte, Bezugspersonen, gelegentlich Namen Dritter in Freitextfeldern. Artikel 15 Absatz 4 stellt klar, dass das Recht auf Kopie die Rechte und Freiheiten anderer nicht beeinträchtigen darf. Vor der Herausgabe gehört deshalb eine bewusste Entscheidung dazu, welche Drittdaten mitgegeben und welche geschwärzt werden.

5. Kundeneigene Tabellen: der zweite blinde Fleck

Während die Cluster-Daten wenigstens an einer bekannten Stelle liegen, ist der zweite blinde Fleck noch schwerer zu fassen. Über die Jahre wachsen in jedem SAP-System kundeneigene Z-Tabellen – für Zusatzfelder, Schnittstellen, Workflows, Eigenentwicklungen. Und in den allermeisten Unternehmen gibt es keine vollständige Übersicht darüber, welche dieser Tabellen personenbezogene Daten enthalten. Niemand führt ein Verzeichnis, oft weiß nur noch die Entwicklungsabteilung – wenn überhaupt –, was in welcher Z-Tabelle steht.

Die Folge: Genau diese Tabellen werden bei einer Auskunft regelmäßig vergessen. Nicht aus bösem Willen, sondern weil sie schlicht niemand auf dem Schirm hat. Und es geht über die Auskunft hinaus – was man nicht kennt, kann man auch nicht löschen. Solche Daten bleiben dann unbemerkt für immer im System liegen, was den Verstoß bei einer Prüfung nur vergrößert. Eine belastbare Auskunft – und ein belastbares Löschkonzept – setzen deshalb zwingend voraus, dass man die kundeneigenen Tabellen mit Personenbezug überhaupt erst einmal systematisch identifiziert hat.

Hinzu kommen Quellen jenseits der Tabellen: eingescannte Dokumente (ArchiveLink/DMS) wie Verträge, Bescheinigungen und Schriftverkehr sowie Infotyp-Langtexte. Auch hier gilt: Eine belastbare Auskunft setzt voraus, dass bewusst entschieden wurde, welche Quellen erfasst werden und welche nicht.

6. Format und Frist

Wird die Anfrage elektronisch gestellt, ist die Auskunft in einem gängigen elektronischen Format bereitzustellen – maschinenlesbar und für die Person weiterverwendbar. Die erste Kopie ist kostenlos. Und alles innerhalb eines Monats. Manuell aus zwanzig Transaktionen zusammenkopiert, ist das ein Kraftakt – und fehleranfällig.

7. Die Verantwortung bleibt bei Ihnen

Ein Punkt, der uns wichtig ist: Kein Werkzeug nimmt Ihnen die rechtliche Verantwortung ab. Die Identitätsprüfung der anfragenden Person, die Entscheidung über die Vollständigkeit und die finale Herausgabe der Daten obliegen der verantwortlichen Stelle – dem Data Owner. Ein gutes Tool unterstützt die HR-Organisation dabei, indem es die Datensammlung zuverlässig, schnell und nachvollziehbar macht. Die Entscheidung trifft der Mensch.

Genau dafür haben wir PersonScope gebaut

PersonScope, das Auskunftsmodul unserer HCM DSGVO PowerSuite, erzeugt auf Knopfdruck für genau eine Person eine auditfeste Art-15-Auskunft: die Daten aus allen konfigurierten Quellen – PA-Infotypen, Abrechnungs- und Zeit­auswertungscluster (länderspezifisch nach MOLGA), Organisationsmanagement und Kundentabellen –, dazu die vollständigen Pflichtangaben nach Absatz 1 und 2 sowie die echten Speicherfristen aus Ihrem ILM-Regelwerk. Das Ergebnis: ein strukturiertes Paket, menschenlesbar im Deckblatt, maschinenlesbar in den Daten – mit klarem Hinweis darauf, dass die Entscheidung über die Herausgabe bei Ihnen bleibt.

Aus acht Stunden Handarbeit wird ein Klick. Aus „hoffentlich haben wir an alles gedacht“ wird ein nachvollziehbarer, wiederholbarer Prozess.

Ein wichtiger Teil davon: Eine automatische Discovery spürt die Datenquellen mit Personenbezug auf – auch die kundeneigenen Z-Tabellen, die sonst niemand mehr auf dem Schirm hat. Damit schließen Sie genau den blinden Fleck, der sowohl die Auskunft als auch das Löschkonzept gefährdet.

Wir richten PersonScope in Ihrem SAP-HCM-System ein – inklusive dieser Discovery Ihrer Datenquellen, der Anbindung an Ihr ILM-Regelwerk und der Abstimmung auf Ihre konkreten Länder und Customizing-Stände. Wenn bei Ihnen das nächste Auskunftsersuchen eintrifft, soll es kein Kraftakt mehr sein, sondern Routine.

Sprechen Sie uns an – wir zeigen Ihnen PersonScope gerne an Ihrem System.

hoelterhoff.consulting – SAP HCM und Datenschutz, aus einer Hand.

Newsletter
Praxiswissen zu DSGVO & SAP HCM — monatlich ins Postfach

Löschkonzepte, SAP ILM, Migrations-Tipps und Webinar-Termine aus der Praxis. Kein Spam, jederzeit abbestellbar.

Jetzt Newsletter abonnieren →
/von
DSAG-Personaltage 2026: KI in SAP HCM – und warum Governance jetzt über den...SAP-HCM-Berater bei einem KI-Vortrag auf den DSAG-Personaltagen 2026