Löschkonzept für SAP HCM erstellen und umsetzen – Schritt für Schritt

Die DSGVO verpflichtet jedes Unternehmen, personenbezogene Daten zu löschen, sobald der Zweck der Verarbeitung entfallen ist und keine Aufbewahrungspflichten mehr bestehen. Im SAP HCM ist das leichter gefordert als getan: Personaldaten verteilen sich auf hunderte Infotypen, Abrechnungscluster und kundeneigene Tabellen. Ohne ein belastbares Löschkonzept für SAP HCM bleibt jeder Löschlauf Stückwerk — und die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO unerfüllt.

In diesem Beitrag zeigen wir Schritt für Schritt, wie Sie ein Löschkonzept für SAP HCM erstellen und mit SAP ILM technisch umsetzen — vom fachlichen Konzept über das Regelwerk bis zum ersten produktiven Löschlauf. Und wir nennen die Stolpersteine, an denen Löschprojekte in der Praxis am häufigsten scheitern.

Was ein Löschkonzept leisten muss

Ein Löschkonzept beantwortet für jede Datenkategorie drei Fragen: Welche Daten sind betroffen? Wie lange dürfen oder müssen sie aufbewahrt werden? Und wie wird die Löschung technisch durchgeführt und nachgewiesen? Als Orientierung hat sich die DIN 66398 etabliert, die Löschklassen mit Regelfristen und Startzeitpunkten definiert.

Für SAP HCM bedeutet das konkret: Die Fristen ergeben sich aus einem Geflecht von Vorgaben — steuerrechtlich (§ 147 AO: 6 bzw. 10 Jahre), sozialversicherungsrechtlich, tarifvertraglich und betrieblich. Ein Lohnkonto unterliegt anderen Fristen als eine Bewerbung, ein Pfändungsdatensatz anderen als eine Reisekostenabrechnung. Diese Differenzierung ist der Kern des fachlichen Löschkonzepts.

Schritt 1: Das fachliche Löschkonzept

Das fachliche Löschkonzept entsteht nicht in der IT. Es braucht einen Arbeitskreis aus HR, IT, Datenschutzbeauftragtem und — sobald Regelungen zur Datenverarbeitung der Beschäftigten betroffen sind — dem Betriebsrat. Die Aufgaben:

• Dateninventur: Welche personenbezogenen Daten liegen im SAP HCM? Dazu zählen neben den Stammdaten-Infotypen (PA0000 ff.) auch Abrechnungsergebnisse (Cluster PCL2), Zeitwirtschaftsdaten, Reisekosten, Bewerberdaten und kundeneigene Z-Tabellen.
• Fristenkatalog: Je Datenkategorie die maßgebliche Aufbewahrungsfrist samt Rechtsgrundlage und Fristbeginn dokumentieren (z. B. Austritt, Ende des Kalenderjahres, letzte Abrechnung).
• Verantwortlichkeiten: Wer gibt Löschläufe frei? Wer prüft Protokolle? Wer pflegt das Konzept bei Gesetzesänderungen nach?

Das Ergebnis ist ein Dokument, das jede Löschentscheidung begründet — die Grundlage für den Nachweis gegenüber Aufsichtsbehörden und Wirtschaftsprüfern.

Schritt 2: Vom fachlichen zum technischen Konzept

Jetzt wird der Fristenkatalog auf SAP-Technik abgebildet. Das Werkzeug dafür liefert SAP mit dem Information Lifecycle Management (ILM) — ohne zusätzliche Lizenzkosten, die Funktion ist in der ERP-Lizenz enthalten. Die zentralen Bausteine:

• ILM-Objekte: Jeder Datenbereich wird durch ein ILM-Objekt repräsentiert — z. B. HRPA_PAYMT für Basisbezüge, HRTIM_ABS für Abwesenheiten oder PA_CALC für die Abrechnungsergebnisse der Entgeltabrechnung. SAP hat im HCM-Umfeld über die Jahre mehrere hundert ILM-Objekte ausgeliefert.
• Regelwerk: In den Aufbewahrungsregeln (Transaktion IRMPOL bzw. Customizing über IRM_CUST) hinterlegen Sie je ILM-Objekt die Fristen aus dem fachlichen Konzept — differenzierbar etwa nach Personalbereich oder Mitarbeiterkreis.
• Löschreihenfolge: Die ILM-Objekte haben Abhängigkeiten untereinander. Wer die Reihenfolge ignoriert, produziert Abbrüche und inkonsistente Restbestände. Unsere Empfehlung zur richtigen Sequenz haben wir in einem eigenen Beitrag zur ILM-Löschreihenfolge dokumentiert.

Wichtig: Starten Sie nicht mit dem Anspruch einer 100-Prozent-Lösung. Bewährt hat sich die schrittweise Umsetzung — zuerst die Datenbereiche mit dem größten Volumen und der klarsten Rechtslage, dann sukzessive der Rest.

Schritt 3: Testlauf, Freigabe, produktive Löschung

Einstieg in die Datenvernichtung ist die Transaktion ILM_DESTRUCTION. Bei ILM-Objekten auf Basis eines Archivierungsobjekts springt das System automatisch in die Archivierungsadministration (SARA) mit ihrem dreistufigen Prozess aus Vorlauf-, Schreib- und Löschprogramm; bei Objekten mit reiner Vernichtungsfunktion wird das im Customizing hinterlegte Vernichtungsprogramm ausgeführt. Für das Löschen kompletter Personalnummern stellt SAP das ILM-Objekt HRPA_PERNR bereit — im Hintergrund ruft es den Report RPUDELPN auf.

In der Praxis hat sich folgender Ablauf bewährt:

• Testlauf im Qualitätssystem mit aktuellem Produktivdatenbestand — er zeigt, welche Datensätze gelöscht würden und welche blockiert sind.
• Fachliche Prüfung und Freigabe des Testlauf-Protokolls durch HR und Datenschutz.
• Produktiver Löschlauf mit vollständiger Protokollierung: Was wurde wann, von wem, auf welcher Regelgrundlage gelöscht?

Die Protokolle sind kein lästiges Beiwerk, sondern der eigentliche Compliance-Nachweis. Bewahren Sie sie revisionssicher auf.

Die häufigsten Stolpersteine

Drei Hindernisse begegnen uns in nahezu jedem Löschprojekt:

• Infotyp 0003 blockiert die Löschung: Veraltete Rückrechnungsdaten im Abrechnungsstatus (Felder RRDAT, BDERR) verhindern bei 20–30 % der Personalnummern die Vernichtung. Warum das so ist und wie Sie es systematisch bereinigen, lesen Sie in unserem Beitrag „Warum Ihr DSGVO-Löschprojekt an Infotyp 0003 scheitert“.
• Kundeneigene Tabellen: SAP ILM löscht im Standard nur die Daten des SAP-Infotyp-Modells. Z-Tabellen mit Personenbezug brauchen eigene Löschlogik — die Ansätze dazu beschreiben wir im Beitrag zum Löschen personenbezogener Daten in Kundentabellen.
• Eingeschränkte Selektion im Standard: Das Standard-ILM bietet kaum Selektionsmöglichkeiten — Personalnummern lassen sich nicht durchgängig nach organisatorischen Merkmalen wie Buchungskreis oder Mitarbeiterkreis eingrenzen. Genau hier setzen unsere Werkzeuge der HCM DSGVO PowerSuite an.

Häufige Fragen zum Löschkonzept in SAP HCM

Brauchen wir SAP ILM, um ein Löschkonzept umzusetzen?
Für die Infotyp-Daten des SAP HCM ist ILM der von SAP vorgesehene und in der ERP-Lizenz enthaltene Weg. Komplette Personalnummern vernichtet das ILM-Objekt HRPA_PERNR, das im Hintergrund den Report RPUDELPN aufruft. Und für spezifische Datenbereiche, die der Standard nicht abdeckt, lassen sich eigene ILM-Objekte für den gewünschten Einsatzzweck erstellen — so bleibt das Löschen durchgängig regelbasiert, nachweisbar und wiederholbar.

Wie lange dauert die Einführung eines Löschkonzepts?
Das fachliche Konzept ist mit einem eingespielten Arbeitskreis in wenigen Wochen erstellt. Die technische Umsetzung hängt vom Umfang ab — mit schrittweisem Vorgehen sind erste produktive Löschläufe typischerweise nach zwei bis drei Monaten erreichbar.

Müssen wir vor dem Löschen archivieren?
Der ILM-Vernichtungsprozess schreibt die Daten technisch in ein Archivverzeichnis, bevor sie vernichtet werden — eine dauerhafte Archivierung ist das nicht. Ob Daten vor Ablauf der Löschfrist in ein Archiv überführt werden sollen, ist eine eigene Entscheidung des fachlichen Konzepts.

Was passiert bei laufenden Rechtsstreitigkeiten?
Dafür sieht ILM sogenannte Legal Holds vor: Vernichtungssperren, die einzelne Personen oder Datenbereiche temporär von Löschläufen ausnehmen, ohne das Regelwerk zu verändern.

Wie oft sollten Löschläufe stattfinden?
Mindestens jährlich. Ein einmaliger Löschlauf stellt nur einen Stichtags-Zustand her — die DSGVO verlangt dauerhafte Konformität. Viele Unternehmen verankern den jährlichen Löschlauf daher als festen Prozess oder vergeben ihn als Managed Service.

Fazit

Ein Löschkonzept für SAP HCM ist kein einmaliges Dokument, sondern ein Prozess: fachlich fundiert, technisch mit ILM umgesetzt, regelmäßig durchgeführt und lückenlos protokolliert. Wer die typischen Stolpersteine — IT0003, Kundentabellen, Löschreihenfolge — von Anfang an einplant, erspart sich die Überraschungen im ersten produktiven Lauf.

Sie möchten Ihr Löschkonzept aufsetzen oder die Umsetzung beschleunigen? Sprechen Sie uns an — oder lernen Sie unsere Werkzeuge in einem unserer kostenlosen Webinare kennen.