Einfacher und kostengünstiger Einstieg in die Umsetzung der EU-DSGVO in SAP® HCM

Vor zwei Jahren trat die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Als Unternehmen sind sie verpflichtet, personenbezogene Daten nur auf Basis der gesetzlichen Regelungen zu verarbeiten. Aus Gesprächen mit unseren Kunden haben wir erfahren, dass bisher nicht alle die Anforderungen umgesetzt haben. Dies hat diverse Gründe, oft war die Abwicklung anderer Projekte wichtiger und dieses Thema wurde und wird verschoben. Allerdings können Verstöße gegen die EU-DSGVO teuer werden. So wurden in Deutschland bereits zwei größere Fälle bekannt, wo empfindliche Geldstrafen in Millionenhöhe verhängt worden sind. Wir raten daher dringend allen unseren Kunden, mit der Umsetzung der Anforderungen der EU-DSGVO zu starten. In diesem Post wollen wir Ihnen einen einfachen und kostengünstigen Einstieg für die Löschung von personenbezogenen Daten in SAP® HCM vorstellen, der nur geringe finanzielle und personelle Ressourcen verbraucht.

Gemäß Artikel 17 der EU-DSGVO hat eine betroffene Person das Recht auf Löschung seiner personenbezogenen Daten, sofern keine Gründe für eine weitere Verarbeitung mehr vorliegen. Im Umfeld der personalwirtschaftlichen Daten ist dies in der Regel der Fall, wenn die betroffene Person das Unternehmen verlässt. Nach Ablauf der steuerlichen Prüfungsfähigkeit gibt es dann oft keine Verarbeitungsgründe mehr und die Daten können final vernichtet werden.

Einfacher und kostengünstiger Einstieg in die Umsetzung der EU-DSGVO in SAP® HCM:

Für den Fall der vollständigen Vernichtung aller Daten der betroffenen Person gibt es im SAP-Standard eine relativ einfache Möglichkeit, diese in SAP HCM umzusetzen. Mithilfe des Retention Managements des SAP® Information Lifecycle Managements (ILM) lassen sich Regeln definieren, die es uns erlauben, sehr detailliert zu prüfen, ob Gründe für eine Vernichtung vorliegen. Angewendet wird dieses Regelwerk dann im von der SAP ausgelieferten ILM-Objekt HRPA_PERNR. Mit diesem ILM-Objekt wird ein dreistufiges Verfahren ausgeliefert, mit dem sich die Daten der zu löschenden Personalnummer schnell, transparent und sicher identifizieren und vernichten lassen. In einem ersten Schritt werden die Personalnummern identifiziert, die laut dem definierten Regelwerk für eine Löschung in Frage kommen. Diese Personalnummern werden gesammelt und in einer dafür vorgesehenen Statustabelle gesammelt. Im zweiten Schritt kann mit einer speziellen Transaktion die Liste der zu vernichtenden Personalnummern eingesehen und geprüft werden. Dort können die Personalnummern auch für die Löschung bestätigt oder auch abgelehnt werden. Und schließlich im dritten und letzten Schritt werden dann die bestätigten Personalnummern gelöscht.

Wir haben die Erfahrung gemacht, dass sich mit dieser Funktion bereits eine Vielzahl von zu vernichtenden Daten auf einfache Art und Weise löschen lassen. Die Implementierung ist vergleichsweise einfach und schnell durchgeführt. Nachfolgend die notwendigen Schritte der Implementierung:

• Aktivierung Business Function,
• Prüfung weiterer Voraussetzungen durch Implementierung weiterer SAP-Hinweise,
• Konfiguration ILM-Objekt HRPA_PERNR,
• Definition Regelwerk,
• Anpassung der Berechtigungen (getrennt nach Vorlauf, Bestätigung und Durchführung der Vernichtung),
• Iteratives Testvorgehen,
• Go-Live und Durchführung.

Die Vorgehensweise haben wir weiter detailliert in diesem Blogeintrag beschrieben.

Additiv sollten Sie sich auch Gedanken über die personenbezogenen Daten machen, die nicht in SAP-Standardtabellen vorliegen. Die zuvor beschriebene Lösung löscht nur Daten, die in SAP-Tabellen und innerhalb des SAP® HCM-Infotypmodells. Daten in kundeneigenen Tabellen oder in ausgelieferten Tabellen von Drittanbieter-Anwendungen finden keine Berücksichtigung. Hierzu ist die Implementierung einer eigenen Lösung für die Vernichtung solcher Daten notwendig. hoelterhoff.consulting bietet hierzu aber ebenfalls eine Lösung an, diese wird in diesem Blogeintrag beschrieben.

Natürlich deckt diese Lösung nicht alle Anforderungen für die Umsetzung der EU-DSGVO in SAP® HCM ab, ist aber ein guter und erfolgreicher Start. So stehen Sie bei einer Prüfung nicht mit leeren Händen da und vermeiden größere Bußgeldzahlungen. Das weitere Regelwerk kann dann zu einem späteren Zeitpunkt konfiguriert und eingerichtet werden.

Wenn Sie Unterstützung bei der Implementierung der beiden Szenarien benötigen, sprechen Sie uns bitte an. Wir haben eine große Erfahrung bei der Implementierung von Lösungen zur Umsetzung der Anforderungen der EU-DSGVO seit 2017. In knapp 30 Kundenprojekten haben wir ein kostensparendes und effizientes Vorgehensmodell entwickelt, das auch Ihnen helfen kann!