Löschen von personenbezogenen Daten in SAP-Kundentabellen

, ,
HR-DSGVO

Löschen von personenbezogenen Daten in SAP-Kundentabellen

Das Umsetzen der Anforderungen aus der EU-Datenschutzgrundverordnung (EU-DSGVO/GDPR) stellt für viele SAP-Kunden eine große Herausforderung dar. Die SAP unterstützt die Anwender hier mit der lizenzfreien Bereitstellung des Moduls SAP® Information Lifecycle Management (ILM). Das ILM-Framework umfasst diverse Programme, Funktionen und Methoden zur Abbildung eines DSGVO-konformen Regelwerkes und der Vernichtung von personenbezogenen Daten.

Zur Abbildung des Regelwerkes liefert die SAP entsprechende ILM-Objekte mit voreingestellten Bezugszeitpunkten und Bedingungen aus. Insbesondere für die Stammdatentabellen der HR-Infotypen und den Clusterdaten der Abrechnung ist dies zufriedenstellend gelöst. Was ist aber mit personenbezogenen Daten in Kundentabellen?

In vielen HR-Organisationen werden personenbezogene Daten eben nicht nur innerhalb der Infotypen verarbeitet. Oft werden personenbezogene Daten in individuell erstellten Tabellen, den sogenannten Kundentabellen gespeichert. Kundentabellen werden nicht von SAP ausgeliefert, sondern vom Kunden selber im Kundennamensraum erstellt. Der Kundennamensraum beschreibt Objekte, die entweder in einem registrierten einzigartigen Namensraum erstellt werden oder mit den vordefinierten Buchstaben ‚Y‘ oder ‚Z‘ beginnen.

Die Gründe für die Nutzung von Kundentabellen sind vielfältig. Immer dann, wenn digitale Prozesse benötigt, diese aber nicht im SAP-Standard ausgeliefert werden, kann der Kunde hier selber aktiv werden. Auch bei Datenmigrationen bzw. dem Einsatz von Schnittstellen werden oft Kundentabellen benötigt.

So ist es nicht verwunderlich, dass sensible, personenbezogene Daten auch abseits des von der SAP vorgesehenen Infotyp-Modells in Kundentabellen gespeichert werden.

Wie erkennt man personenbezogene Daten in SAP® HCM?

Man geht im Allgemeinen davon aus, dass Daten als personenbezogen angesehen werden, sobald eine Personalnummer verknüpft ist. Innerhalb von SAP® HCM werden Tabellenfelder mit Personalnummern in der Regel mithilfe von vordefinierten Datenelementen und Domänen erstellt. Mit diesem Ansatz ist es dann nicht schwer, solche Daten innerhalb von SAP® HCM aufzuspüren. Die SAP bietet hierzu beispielsweise den Report RSCRDOMA an. Mit der Selektion der gebräuchlichen Datenelemente PERNR, PERSNO und PERNR_D kann dann das SAP-System nach relevanten Tabellen durchsucht werden.

Auswahl von geeigneten Datenelementen

Als Ergebnisse werden alle gefundenen Datenbanktabellen aufgelistet. Interessant sind hier nun die Tabellen im exklusiven Kundennamensraum, also beginnend mit ‚/‘, ‚Y‘ oder ‚Z‘.

Beispiel von gefundenen Kundentabellen

Die hier gefundenen Tabellen sollten anschließend auf ihre DSGVO-Relevanz geprüft werden. Als Ergebnis sollten sich die gefundenen Tabellen in zwei Klassen aufteilen lassen:

  1. Tabellen, die keine aktuelle Verwendung haben und deren Daten nicht mehr benötigt werden und
  2. Tabellen, die Bestandteil aktueller HR-Geschäftsprozesse sind und deren Daten benötigt werden.

Tabellen der Klasse 1 sollten zurückgebaut und gelöscht werden. Klasse-2-Tabellen müssen in das Löschkonzept integriert werden. Deren Daten müssen also gemäß den Vorgaben der EU-DSGVO bereinigt werden, sobald es keinen validen Verwendungszweck mehr gibt.

Ein Prüfer, der ihr SAP-System auf die Einhaltung der DSGVO-Regularien untersucht, wird sehr wahrscheinlich genauso vorgehen.

Wie können personenbezogene Daten aus Kundentabellen gelöscht werden?

Die SAP liefert keine vordefinierte Funktion zum Löschen von Daten aus Kundentabellen an, liefert aber beispielhaft entsprechende ILM-Vernichtungsobjekte aus, die als Vorlage eines eigenen Vernichtungsobjektes dienen können.

Datenvernichtungsobjekt

Hier muss der Kunde oder dessen Entwicklungspartner also selber tätig werden. Über das Vernichtungsobjekt selber werden dann entsprechende Programme für die Relevanzprüfung und die Vernichtung definiert.

Programme des Datenvernichtungsobjektes

Das Vernichtungsobjekt muss dann mit einem ebenfalls zu erstellendem ILM-Objekt verknüpft werden. Hier werden dann die relevanten Zeitbezüge und Bedingungen eingestellt, die für das zu definierende Regelwerk notwendig sind.

Hier noch einmal die notwendigen Schritte für das Löschen von personenbezogenen Daten in SAP-Kundentabellen zusammengefasst:

  • Erstellung eines Vernichtungsobjektes,
  • Erstellung eines Prüfprogrammes (optional),
  • Erstellung eines Vernichtungsprogrammes zum Löschen der Daten,
  • Verknüpfung der oben genannten Programme im Vernichtungsobjekt,
  • Erstellung eines ILM-Objektes und Ausprägung dessen Eigenschaften,
  • Verknüpfung des Vernichtungsobjektes im zuvor erstellten ILM-Objekt,
  • Definition einer Löschregel für das ILM-Objekt.

Die Durchführung der Datenvernichtung aus den relevanten Tabellen erfolgt dann mithilfe der Transaktion ILM_DESTRUCTION.

ILM_DESTRUCTION

Was sind die Herausforderungen bei der Entwicklung einer geeigneten Vernichtungslösung?

Wie so oft steckt auch hier der Teufel im Detail. Die von der SAP als Beispiel ausgelieferten Vernichtungsobjekte sind für die dedizierte Löschung einer bestimmten Datenbanktabelle ausgelegt. In der Praxis haben SAP-Kunden meist dutzende, wenn nicht gar hunderte Kundentabellen, deren Daten bereinigt werden müssen. Des Weiteren setzen die ILM-Funktionen zum Löschen der Daten im HCM-Umfeld auf bestimmte Namenskonventionen der Tabellenfelder. So wird im Standard erwartet, dass das Tabellenfeld für die Personalnummer immer PERNR und das Tabellenfeld für die Abgrenzung des Datensatzes immer ENDDA heißt. Dies wird aber nur in den wenigsten Fällen stimmen.

Eine weitere Hürde, stellt die Datenqualität in den Kundentabellen dar. In unseren Projekten haben wir oft festgestellt, dass zum Beispiel Personalnummern in Kundentabellen verarbeitet sind, die schon längst in der SAP-Standard-Personalverwaltung gelöscht wurden. Oder die verwendeten Datumsfelder für die Ermittlung des Zeitbezuges wurden nicht durchgängig gepflegt, was dann zu entsprechenden Abbrüchen führt.

Ziel sollte daher eine generische Lösung sein, welche die Löschung von mehreren Datenbanktabellen mit unterschiedlichen Regeln für Bedingungen und Zeitbezüge erlaubt. Alle Eventualitäten sollten geprüft und berücksichtigt werden. Bei neuen Datenbanktabellen muss der Pflegeaufwand bei der Zuordnung zur Vernichtungslösung überschaubar sein.

Gibt es eine fertige Lösung auch für ihr System?

Leider bietet die SAP im Auslieferungsstandard keine Lösung für das Vernichten von personenbezogenen Daten an. Es existiert lediglich eine SAP-Beraterlösung, die auf Anfrage in ihrem System implementiert wird. Hierzu werden aber Lizenzkosten von mindestens 25.000 Euro fällig, zudem fallen fünf Beratertage zu 2.000 Euro je Tag an – also mindestens 35.000 Euro! Neben der Löschung von Daten aus Kundentabellen können mit dieser Lösung auch unstrukturierte Daten der GOS-Schnittstelle und in Archive Link vernichtet werden. 

Oftmals ist diese Funktion aber gar nicht erforderlich. Lediglich das Löschen der Daten aus Kundentabellen wird für die DSGVO-Compliance benötigt. Basierend auf unseren Erfahrungen in diversen Kundenprojekten haben wir daher eine Lösung entwickelt, die sich den oben genannten Herausforderungen stellt. Die Lösung kann als Transport in ihrem System eingespielt werden und ist nach der Definition der zu löschenden Tabellen und einer entsprechenden Definition einer Löschregel sofort nutzbar. Weitere Informationen finden Sie hier.

Wenn Sie an einer Implementierung einer solchen Lösung in ihrem System interessiert sind, sprechen Sie uns bitte an.