Seit dem 25. Mai 2018 ist die Umsetzung der Anforderungen der EU-Datenschutzgrundverordnung (EU-DSGVO) Pflicht für Unternehmen, die ihren Sitz in der EU haben oder ihre Leistungen dort anbieten. Als Anwender in SAP® HCM geht es im Grunde um Erfüllung der Artikel 15, 17 und 18 der EU-DSGVO, also um das Recht der betroffenen Person auf Auskunft bezüglich der beim Unternehmen verarbeitenden Daten, um das Recht auf Datenlöschung und um das Recht auf Einschränkung der Verarbeitung. Viele Unternehmen, die ihre Mitarbeiter mit SAP® HCM verwalten, haben bereits ein Umsetzungsprojekt abgeschlossen und Daten in SAP® HCM vernichtet und/oder gesperrt. Doch nach wie vor spüren wir eine große Verunsicherung, ob auch wirklich an alles gedacht wurde.
Vor zwei Jahren trat die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Als Unternehmen sind sie verpflichtet, personenbezogene Daten nur auf Basis der gesetzlichen Regelungen zu verarbeiten. Aus Gesprächen mit unseren Kunden haben wir erfahren, dass bisher nicht alle die Anforderungen umgesetzt haben. Dies hat diverse Gründe, oft war die Abwicklung anderer Projekte wichtiger und dieses Thema wurde und wird verschoben. Allerdings können Verstöße gegen die EU-DSGVO teuer werden. So wurden in Deutschland bereits zwei größere Fälle bekannt, wo empfindliche Geldstrafen in Millionenhöhe verhängt worden sind. Wir raten daher dringend allen unseren Kunden, mit der Umsetzung der Anforderungen der EU-DSGVO zu starten. In diesem Post wollen wir Ihnen einen einfachen und kostengünstigen Einstieg für die Löschung von personenbezogenen Daten in SAP® HCM vorstellen, der nur geringe finanzielle und personelle Ressourcen verbraucht.
Löschen von personenbezogenen Daten in SAP-Kundentabellen
Das Umsetzen der Anforderungen aus der EU-Datenschutzgrundverordnung (EU-DSGVO/GDPR) stellt für viele SAP-Kunden eine große Herausforderung dar. Die SAP unterstützt die Anwender hier mit der lizenzfreien Bereitstellung des Moduls SAP® Information Lifecycle Management (ILM). Das ILM-Framework umfasst diverse Programme, Funktionen und Methoden zur Abbildung eines DSGVO-konformen Regelwerkes und der Vernichtung von personenbezogenen Daten.
Zur Abbildung des Regelwerkes liefert die SAP entsprechende ILM-Objekte mit voreingestellten Bezugszeitpunkten und Bedingungen aus. Insbesondere für die Stammdatentabellen der HR-Infotypen und den Clusterdaten der Abrechnung ist dies zufriedenstellend gelöst. Was ist aber mit personenbezogenen Daten in Kundentabellen?
Was sind personenbezogene Daten in SAP® HCM im Sinne der DSGVO? Bei der Umsetzung eines DSGVO-konformen Löschkonzeptes in SAP® HCM stellt sich gleich zu Beginn die Frage nach den zu löschenden Daten. Welche Daten sind überhaupt relevant und wie und wo finde ich diese? Im folgenden Beitrag möchten wir Ihnen diese Fragen beantworten.
Die Eigenschaften eines ILM-Objektes werden mithilfe der Transaktion IRM_CUST bzw. IRM_CUST_BS gepflegt. Dort definieren Sie die Startzeitpunkte und Bedingungen für die Prüfung, ob Daten über das entsprechende ILM-Objekt gelöscht werden können. In den objektspezifischen Einstellungen pflegt man zu den jeweiligen Bedingungen und Zeitbezügen dann die spezifischen Tabellenfelder, die für die Übergabe an die Prüf-Erweiterungen relevant sind. Hier ist es notwendig, Einträge hinzuzufügen oder Einträge zu entfernen. Je nach Release-Stand gibt es dann möglicherweise eine fehlende Löschtaste im ILM-Objekt-Customizing.
Am 30. Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen ein deutsches Immobilien-Unternehmen ein hohes Bußgeld in Höhe von rund 14.5 Millionen Euro wegen Verstoß gegen die EU-DSGVO erlassen.
Das gezielte Löschen von personenbezogenen Daten aus Infotyp 0008 (Basisbezüge) wurde bisher von der SAP nicht offiziell unterstützt. Mit der Auslieferung des aktuellen SAP-HR-SP’s für EhP8 bzw. EhP4 wird diese Lücke geschlossen. Nach Implementierung des entsprechenden HR-Supportpackages steht Ihnen die Funktion zur Verfügung.
Mit SAP-Hinweis 2774596 – HCMDP: Löschen von personenbezogenen Daten im HCM (Mai 2019) hat die SAP vier weitere ILM-Objekte für SAP® HCM mit der Funktion für die Datenarchivierung und Datenvernichtung an ihre Kunden veröffentlicht. Damit erhalten SAP-Kunden jetzt auch im Standard, die Möglichkeit personenbezogene Daten aus den Infotypen 0024 (HR: Qualifikationen), 0025 (HR: Beurteilungen, 0655 (HR: ESS-Einstellungen Entgeltnachweis) und 0666 (HR: Planung Personalkosten) zu löschen.
Mit SAP Information Lifecycle Management (ILM) liefert die SAP ihren Kunden ein leistungsstarkes Produkt aus mithilfe dessen Sie personenbezogene Mitarbeiterdaten aus Ihrem SAP-HCM-System entfernen können, sobald sich deren Nutzung ändert. Damit erfüllen Sie die Anforderungen der EU-Datenschutzgrundverordnung (EU-DSGVO).
Mit SAP ILM erhalten Sie Zugriff auf eine Vielzahl von Werkzeugen und Funktionen. Allerdings ist die Auswahl an Werkzeugen nicht perfekt. An dieser Stelle möchten wir Ihnen ein Werkzeug aus unserer Produktion vorstellen, dass die von der SAP ausgelieferten Tools perfekt ergänzt.