Was sind personenbezogene Daten in SAP® HCM im Sinne der DSGVO? Bei der Umsetzung eines DSGVO-konformen Löschkonzeptes in SAP® HCM stellt sich gleich zu Beginn die Frage nach den zu löschenden Daten. Welche Daten sind überhaupt relevant und wie und wo finde ich diese? Im folgenden Beitrag möchten wir Ihnen diese Fragen beantworten.

Was sind personenbezogene Daten in SAP HCM im Sinne der DSGVO?

Im Allgemeinen definiert man personenbezogene Daten in SAP® HCM über die näheren Angaben zu einer Person, so zum Beispiel der Name, das Geburtsdatum, die Anschrift, die Bankverbindung usw. All diese Daten sind natürlich für die Mitarbeiter in einem SAP® HCM System gespeichert. Diese Daten werden über das einheitliche Ordnungsmerkmal der Personalnummer miteinander verknüpft. Daraus folgt, dass grundsätzlich alle Daten, die mit einer Personalnummer verknüpft sind, als personenbezogen anzusehen sind!

Wo finde ich personenbezogene Daten in SAP® HCM?

Grundsätzlich können personenbezogene Daten in diversen Strukturen vorliegen. Bei der folgenden Auflistung wollen wir uns hierbei auf die relevantesten Formen beschränken, dies wären Daten in Standard-HCM-Infotypen, in kundenspezifischen HCM-Infotypen, in den diversen Clustertabellen für die Personalabrechnung, der Zeitwirtschaft und des Reisemanagements, in diversen Tabellen der SAP-Standardauslieferung zur Verarbeitung bestimmter Prozesse, in den Tabellen von Drittanbieter-Anwendungen, in den kundenspezifischen Tabellen im Rahmen von Erweiterungen und Eigenentwicklungen, in TemSe-Dateien (temporäre sequentielle Dateien) für Spoolaufträge und Jobprotokolle, in Log- und Tracedateien, insbesondere im Business Application Log, in der Benutzerstammverwaltung.

Wie finde ich personenbezogene Daten in SAP® HCM?

Die schlechte Nachricht ist, dass es keine allumfassende Auflistung im SAP-Standard gibt. Man muss sich die Daten leider selbst zusammensuchen. Die gute Nachricht ist, es gibt in der SAP-Standardauslieferung einige Werkzeuge, die uns die Suche erleichtern.

Speziell für personenbezogene Daten in SAP® HCM gibt es den SAP-Analysereport RPDINF01. Dieser analysiert alle Infotypen, inklusiver der kundenspezifischen Inhalte. Wermutstropfen hier: Die Analyse erfolgt ohne Spezifizierung der Länderorganisation. Verarbeiten Sie also Daten mehrerer Länderorganisationen in einem Mandanten, erhalten Sie keine länderspezifische Analyse, sondern einen Report über alle Daten innerhalb der Infotypen.
Für alle anderen personenbezogenen Daten in SAP® HCM, die in Datenbanktabellen vorliegen, kann man den Report RSCRDOMA nutzen. Mithilfe von RSCRDOMA kann man das gesamte SAP-System nach personenbezogenen Daten durchsuchen, die mit einer Personalnummer verknüpft sind. Der Report listet alle Tabellen auf, die bestimmte Datenelemente bzw. Domänen benutzen. Mit Datenelementen und Domänen spezifiziert man die Eigenschaften eines Datenbankfeldes. Die Personalnummer in SAP® HCM ist ein numerisches Feld mit der Länge von 8 Zeichen. Mit diesem Wissen können so alle relevanten Tabellen aufgelistet werden. Leider fehlt auch hier die Spezifizierung von einzelnen Länderorganisationen.

Zur Optimierung der Analyse von personenbezogenen Daten in SAP® HCM bieten wir Ihnen unsere eigene Lösung an. Mit unserem Analysetool erhalten Sie eine Übersicht der Daten geordnet nach Länderorganisation, einer Export-Funktion nach MS Excel®, sowie weiteren Infos, sie die Analyse der Daten erleichtern.

Unser DSGVO-Analysetool für SAP HCM

Für das Löschen von TemSe-Dateienbietet die SAP im Standard den Report RSTS0022 an. Alte Spooldateien werden mit Report RSPO1041 vernichtet. Ältere Logs aus dem Business Application Log können mit dem Programm SBAL_DELETE gelöscht werden. Nicht mehr benötigte Benutzer im SAP-System werden mit den Werkzeugen der SAP-Benutzerverwaltung gelöscht.

Sie benötigen Unterstützung bei der Umsetzung eines DSGVO-konformen Löschkonzepts in SAP® HCM? Wir konnten in mehr als 25 Kundenprojekten seit 2017 tief gehende Erfahrungen sammeln. Wir helfen Ihnen gerne weiter sprechen Sie uns an!