Die SAP AG hat das neue ILM-Objekt FITV_DDLOG für das Vernichten von Protokolleinträgen von gelöschten Reisen ausgeliefert.
Vernichten von personenbezogenen Daten in SAP-Kundentabellen
Das Umsetzen der Anforderungen aus der EU-Datenschutzgrundverordnung (EU-DSGVO/GDPR) stellt für viele SAP-Kunden eine große Herausforderung dar. Die SAP unterstützt die Anwender hier mit der lizenzfreien Bereitstellung des Moduls SAP® Information Lifecycle Management (ILM). Das ILM-Framework umfasst diverse Programme, Funktionen und Methoden zur Abbildung eines DSGVO-konformen Regelwerkes und der Vernichtung von personenbezogenen Daten.
Zur Abbildung des Regelwerkes liefert die SAP entsprechende ILM-Objekte mit voreingestellten Bezugszeitpunkten und Bedingungen aus. Insbesondere für die Stammdatentabellen der HR-Infotypen und den Clusterdaten der Abrechnung ist dies zufriedenstellend gelöst. Was ist aber mit personenbezogenen Daten in Kundentabellen?
Für das DSGVO-konforme Löschen von betriebsinternen Daten in SAP® HCM (Infotyp 0032 – Betriebsinterne Daten) liefert die SAP für ihre Kunden das ILM-Objekt HRPA_INDAT aus. Im Infotyp Betriebsinterne Daten (0032) sind in Deutschland (neben anderen Informationen) steuerliche Daten zum Dienstwagen gespeichert (Wert des Fahrzeugs, Art der Versteuerung). Beim Löschen dieser Daten traten aber Inkonsistenzen auf.
Bei der Umsetzung der DSGVO in SAP HCM erfolgt das Schreiben der temporären Dateien mit den Informationen der zu löschenden Daten auf einen vordefinierten Ordner im SAP-Applikationsserver. Dies erfolgt mit Transaktion SARA.
Nachdem allerdings die Tests oder auch praktischen Ausführungen der Vorlaufvarianten in der Transaktion SARA ohne weitere Komplikationen durchgelaufen sind, erscheint in den Schreibläufen dennoch ggf. die Fehlermeldung: „No such file or directory“. Diese Fehlermeldung verhindert, dass der Schreiblauf in der Transaktion SARA erfolgreich durchläuft und daher kein finaler Löschlauf der Daten für die einzelnen Infotypen angestoßen wird.
Seit dem 25. Mai 2018 ist die Umsetzung der Anforderungen der EU-Datenschutzgrundverordnung (EU-DSGVO) Pflicht für Unternehmen, die ihren Sitz in der EU haben oder ihre Leistungen dort anbieten. Als Anwender in SAP® HCM geht es im Grunde um Erfüllung der Artikel 15, 17 und 18 der EU-DSGVO, also um das Recht der betroffenen Person auf Auskunft bezüglich der beim Unternehmen verarbeitenden Daten, um das Recht auf Datenlöschung und um das Recht auf Einschränkung der Verarbeitung. Viele Unternehmen, die ihre Mitarbeiter mit SAP® HCM verwalten, haben bereits ein Umsetzungsprojekt abgeschlossen und Daten in SAP® HCM vernichtet und/oder gesperrt. Doch nach wie vor spüren wir eine große Verunsicherung, ob auch wirklich an alles gedacht wurde.
Vor zwei Jahren trat die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Als Unternehmen sind sie verpflichtet, personenbezogene Daten nur auf Basis der gesetzlichen Regelungen zu verarbeiten. Aus Gesprächen mit unseren Kunden haben wir erfahren, dass bisher nicht alle die Anforderungen umgesetzt haben. Dies hat diverse Gründe, oft war die Abwicklung anderer Projekte wichtiger und dieses Thema wurde und wird verschoben. Allerdings können Verstöße gegen die EU-DSGVO teuer werden. So wurden in Deutschland bereits zwei größere Fälle bekannt, wo empfindliche Geldstrafen in Millionenhöhe verhängt worden sind. Wir raten daher dringend allen unseren Kunden, mit der Umsetzung der Anforderungen der EU-DSGVO zu starten. In diesem Post wollen wir Ihnen einen einfachen und kostengünstigen Einstieg für die Löschung von personenbezogenen Daten in SAP® HCM vorstellen, der nur geringe finanzielle und personelle Ressourcen verbraucht.
Löschen von personenbezogenen Daten in SAP-Kundentabellen
Das Umsetzen der Anforderungen aus der EU-Datenschutzgrundverordnung (EU-DSGVO/GDPR) stellt für viele SAP-Kunden eine große Herausforderung dar. Die SAP unterstützt die Anwender hier mit der lizenzfreien Bereitstellung des Moduls SAP® Information Lifecycle Management (ILM). Das ILM-Framework umfasst diverse Programme, Funktionen und Methoden zur Abbildung eines DSGVO-konformen Regelwerkes und der Vernichtung von personenbezogenen Daten.
Zur Abbildung des Regelwerkes liefert die SAP entsprechende ILM-Objekte mit voreingestellten Bezugszeitpunkten und Bedingungen aus. Insbesondere für die Stammdatentabellen der HR-Infotypen und den Clusterdaten der Abrechnung ist dies zufriedenstellend gelöst. Was ist aber mit personenbezogenen Daten in Kundentabellen?
Was sind personenbezogene Daten in SAP® HCM im Sinne der DSGVO? Bei der Umsetzung eines DSGVO-konformen Löschkonzeptes in SAP® HCM stellt sich gleich zu Beginn die Frage nach den zu löschenden Daten. Welche Daten sind überhaupt relevant und wie und wo finde ich diese? Im folgenden Beitrag möchten wir Ihnen diese Fragen beantworten.
Die Eigenschaften eines ILM-Objektes werden mithilfe der Transaktion IRM_CUST bzw. IRM_CUST_BS gepflegt. Dort definieren Sie die Startzeitpunkte und Bedingungen für die Prüfung, ob Daten über das entsprechende ILM-Objekt gelöscht werden können. In den objektspezifischen Einstellungen pflegt man zu den jeweiligen Bedingungen und Zeitbezügen dann die spezifischen Tabellenfelder, die für die Übergabe an die Prüf-Erweiterungen relevant sind. Hier ist es notwendig, Einträge hinzuzufügen oder Einträge zu entfernen. Je nach Release-Stand gibt es dann möglicherweise eine fehlende Löschtaste im ILM-Objekt-Customizing.
Das gezielte Löschen von personenbezogenen Daten aus Infotyp 0008 (Basisbezüge) wurde bisher von der SAP nicht offiziell unterstützt. Mit der Auslieferung des aktuellen SAP-HR-SP’s für EhP8 bzw. EhP4 wird diese Lücke geschlossen. Nach Implementierung des entsprechenden HR-Supportpackages steht Ihnen die Funktion zur Verfügung.