Seit dem 25. Mai 2018 ist die Umsetzung der Anforderungen der EU-Datenschutzgrundverordnung (EU-DSGVO) Pflicht für Unternehmen, die ihren Sitz in der EU haben oder ihre Leistungen dort anbieten. Als Anwender in SAP® HCM geht es im Grunde um Erfüllung der Artikel 15, 17 und 18 der EU-DSGVO, also um das Recht der betroffenen Person auf Auskunft bezüglich der beim Unternehmen verarbeitenden Daten, um das Recht auf Datenlöschung und um das Recht auf Einschränkung der Verarbeitung. Viele Unternehmen, die ihre Mitarbeiter mit SAP® HCM verwalten, haben bereits ein Umsetzungsprojekt abgeschlossen und Daten in SAP® HCM vernichtet und/oder gesperrt. Doch nach wie vor spüren wir eine große Verunsicherung, ob auch wirklich an alles gedacht wurde.
Vor zwei Jahren trat die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Als Unternehmen sind sie verpflichtet, personenbezogene Daten nur auf Basis der gesetzlichen Regelungen zu verarbeiten. Aus Gesprächen mit unseren Kunden haben wir erfahren, dass bisher nicht alle die Anforderungen umgesetzt haben. Dies hat diverse Gründe, oft war die Abwicklung anderer Projekte wichtiger und dieses Thema wurde und wird verschoben. Allerdings können Verstöße gegen die EU-DSGVO teuer werden. So wurden in Deutschland bereits zwei größere Fälle bekannt, wo empfindliche Geldstrafen in Millionenhöhe verhängt worden sind. Wir raten daher dringend allen unseren Kunden, mit der Umsetzung der Anforderungen der EU-DSGVO zu starten. In diesem Post wollen wir Ihnen einen einfachen und kostengünstigen Einstieg für die Löschung von personenbezogenen Daten in SAP® HCM vorstellen, der nur geringe finanzielle und personelle Ressourcen verbraucht.
Löschen von personenbezogenen Daten in SAP-Kundentabellen
Das Umsetzen der Anforderungen aus der EU-Datenschutzgrundverordnung (EU-DSGVO/GDPR) stellt für viele SAP-Kunden eine große Herausforderung dar. Die SAP unterstützt die Anwender hier mit der lizenzfreien Bereitstellung des Moduls SAP® Information Lifecycle Management (ILM). Das ILM-Framework umfasst diverse Programme, Funktionen und Methoden zur Abbildung eines DSGVO-konformen Regelwerkes und der Vernichtung von personenbezogenen Daten.
Zur Abbildung des Regelwerkes liefert die SAP entsprechende ILM-Objekte mit voreingestellten Bezugszeitpunkten und Bedingungen aus. Insbesondere für die Stammdatentabellen der HR-Infotypen und den Clusterdaten der Abrechnung ist dies zufriedenstellend gelöst. Was ist aber mit personenbezogenen Daten in Kundentabellen?
Was sind personenbezogene Daten in SAP® HCM im Sinne der DSGVO? Bei der Umsetzung eines DSGVO-konformen Löschkonzeptes in SAP® HCM stellt sich gleich zu Beginn die Frage nach den zu löschenden Daten. Welche Daten sind überhaupt relevant und wie und wo finde ich diese? Im folgenden Beitrag möchten wir Ihnen diese Fragen beantworten.
Das gezielte Löschen von personenbezogenen Daten aus Infotyp 0008 (Basisbezüge) wurde bisher von der SAP nicht offiziell unterstützt. Mit der Auslieferung des aktuellen SAP-HR-SP’s für EhP8 bzw. EhP4 wird diese Lücke geschlossen. Nach Implementierung des entsprechenden HR-Supportpackages steht Ihnen die Funktion zur Verfügung.
Mit SAP-Hinweis 2774596 – HCMDP: Löschen von personenbezogenen Daten im HCM (Mai 2019) hat die SAP vier weitere ILM-Objekte für SAP® HCM mit der Funktion für die Datenarchivierung und Datenvernichtung an ihre Kunden veröffentlicht. Damit erhalten SAP-Kunden jetzt auch im Standard, die Möglichkeit personenbezogene Daten aus den Infotypen 0024 (HR: Qualifikationen), 0025 (HR: Beurteilungen, 0655 (HR: ESS-Einstellungen Entgeltnachweis) und 0666 (HR: Planung Personalkosten) zu löschen.
Mit SAP Information Lifecycle Management (ILM) liefert die SAP ihren Kunden ein leistungsstarkes Produkt aus mithilfe dessen Sie personenbezogene Mitarbeiterdaten aus Ihrem SAP-HCM-System entfernen können, sobald sich deren Nutzung ändert. Damit erfüllen Sie die Anforderungen der EU-Datenschutzgrundverordnung (EU-DSGVO).
Mit SAP ILM erhalten Sie Zugriff auf eine Vielzahl von Werkzeugen und Funktionen. Allerdings ist die Auswahl an Werkzeugen nicht perfekt. An dieser Stelle möchten wir Ihnen ein Werkzeug aus unserer Produktion vorstellen, dass die von der SAP ausgelieferten Tools perfekt ergänzt.
Mit SAP Information Lifecycle Management (ILM) liefert die SAP ihren Kunden ein leistungsstarkes Produkt aus mithilfe dessen Sie personenbezogene Mitarbeiterdaten aus Ihrem SAP-HCM-System entfernen können, sobald sich deren Nutzung ändert. Damit erfüllen Sie die Anforderungen der EU-Datenschutzgrundverordnung (EU-DSGVO).
Mit SAP ILM erhalten Sie Zugriff auf eine Vielzahl von Werkzeugen und Funktionen. Allerdings ist die Auswahl an Werkzeugen nicht perfekt. An dieser Stelle möchten wir Ihnen ein Werkzeug aus unserer Produktion vorstellen, dass die von der SAP ausgelieferten Tools perfekt ergänzt.
Laut Kapitel 15, Artikel 3 der EU-DSGVO hat jeder Betroffene das Recht auf Auskunft über die Verarbeitung seiner personenbezogenen Daten beim Arbeitgeber. Als Arbeitgeber sind sie verpflichtet, diese Daten in angemessener Weise auszugeben.
Für das Löschen von Daten aus SAP-HCM-Infotypen bei Austritt einer Person liefert die SAP im Standard den Zeitbezug HCM_TERMN_DATE aus. Dieser ermöglicht das Löschen von abgegrenzten Daten, aber auch von Daten mit Endedatum 31.12.9999 (Highdate).
So stellt HCM_TERMN_DATE das ideale Werkzeug dar, um bestimmte Daten nach Austritt einer Person aus den korrespondierenden Infotypen zu löschen, denn im Gegensatz zum Standard-Zeitbezug HCM_END_OF_RECORD, werden hier auch sämtliche Datensätze – inklusive des Highdate-Datensatz – vernichtet. Ausgenommen sind bestimmte Highdate-Datensätze, wie zum Beispiel beim Subtyp 1 (Ständiger Wohnsitz) im Infotyp 0006.