DSGVO in SAP HCM: Keine Vernichtungssperre bei ILM-Objekten mit längerem Namen
ILM-Objekte in SAP ermöglichen eine strukturierte und kontrollierte Verwaltung der Lebenszyklen ihrer Daten. Insbesondere für das Vernichten von Daten im Sinne der EU-Datenschutzgrundverordnung (EU-DSGVO) werden ILM-Objekte benötigt.
Für kundenspezifische Szenarien, die vom SAP-Standard nicht berücksichtigt werden, können Sie eigene ILM-Objekte erstellen, die Ihnen dabei helfen verschiedene Daten zu vernichten.
Ein erweiterter Anwendungsfall ist das Sperren der Vernichtung für bestimmte Personen auf Basis der Zuordnung zu ILM-Objekten. Zum Beispiel möchten Sie bei bestimmten Personen verhindern, dass deren Daten vernichtet werden obwohl laut Regelwerk die Frist für die Datenvernichtung erreicht ist. Für diesen Fall hat die SAP den Infotyp 3246 (Vernichtungssperre) ausgeliefert, mit dem eine Sperrung je (sperrfähigem) ILM-Objekt möglich ist.
Aber Vorsicht, hier gibt es einen versteckten Bug! Bei der Anlage eines ILM-Objektes kann ein Name mit einer Länge von bis zu 30 Zeichen vergeben werden (Datenelement LRM_OBJECT_TYPE). So können Sie bei der Anlage eines ILM-Objektes einen relativ sprechenden Namen vergeben, der es Ihnen ermöglicht, den Zweck des ILM-Objektes am Namen zu erkennen.
Leider ist das definierte Feld für die Zuordnung des Subtyps zum ILM-Objekt in der Stammdatentabelle des Infotyps 3246 (Tabelle PA3246) auf 10 Zeichen beschränkt (Datenelement OBJCT_TR01). Dies führt dazu, dass eine Vernichtungssperre für ein ILM-Objekt mit einer Bezeichnung größer als 10 Stellen nicht angelegt werden kann.
Wir haben die SAP bereits über diesen offensichtlichen Fehler informiert und hoffen, dass dieser korrigiert wird. Bis dahin bleibt leider nur der Hinweis, dass Sie bei der Anlage eines kundeneigenen ILM-Objektes maximal 10 Zeichen für den Namen verwenden sollten.
Fazit:
Bei der Erstellung von ILM-Objekten müssen Sie auf einen versteckten Bug achten, der die maximale Zeichenlänge für die Zuordnung des Subtyps zum ILM-Objekt einschränkt. Bis zur Korrektur durch die SAP, empfiehlt es sich, einen Namen mit einer Länge von maximal 10 Zeichen zu wählen.
Sie benötigen Unterstützung bei der Implementierung eines datenschutzkonformen Löschkonzepts in SAP HCM? In den letzten Jahren haben wir viele Projekte gemeinsam mit unseren Kunden erfolgreich abschließen können. Profitieren auch Sie von unserer Erfahrung und unserem Wissensvorsprung. Sprechen Sie uns an!