Löschen und Sperren personenbezogener Daten im SAP HCM

Geht man den aktuellen Entwicklungen zum Thema näher auf den Grund, so steht man der am 25. Mai 2018 anzuwendenden EU-Datenschutzgrundverordnung (DS-GVO) und dessen empfindliche Sanktionen bei Verstößen gegen den Datenschutz gegenüber.

Grundsätzlich sieht die DS-GVO, wie das Bundesdatenschutzgesetz (BDSG) auch, die Berichtigung und Löschung von personenbezogenen Daten vor. Eine zeitlich unbegrenzte Aufbewahrung solcher Daten ist nicht zulässig.

Solange weitere gesetzliche, tarifvertragliche oder innerbetriebliche Vorgaben zur Aufbewahrung von personenbezogenen Daten und Unterlagen vorliegen, sind die Daten jedoch noch nicht zu löschen sondern lediglich zu sperren.

Mit den erprobten Möglichkeiten des Retention Managements lassen sich personalwirtschaftliche Sachverhalte über das SAP ILM abbilden und unter in der Praxis auch gesetzeskonform umsetzen.

Überblick beschaffen

Vorerst gilt es jedoch sich einen strukturierten Überblick aller verarbeiteten personenbezogenen Daten im SAP HCM zu verschaffen. Hierfür sollte ein Löschkonzept ausgearbeitet werden, welches die Rechtsvorgaben des Datenschutzes sowie weiterer gesetzlicher Auflagen berücksichtigt und in Art und Umfang transparent den Umgang mit solch sensiblen Daten regelt.

Das Löschkonzept stellt sowohl die ideale Ausgangslage für die Identifizierung von zu sperrenden Daten i.S.d. Paragraf 35 BDSG, als auch für die Umsetzung des Customizing im SAP ILM dar.

Dem ILM liegt technisch ein Regelwerk zugrunde. Hier werden die definierten Aufbewahrungsfristen je Infotyp in das SAP System übernommen und analog zum Löschkonzept abgebildet.

Vereinfacht ausgedrückt müssen die minimalen und maximalen Aufbewahrungszeiten pro Infotyp, also pro Archivierungsobjekt, hinterlegt werden. Dies nimmt in der Praxis schnell komplexe Formen an.

Immer dann, wenn die Aufbewahrungsregel an weitere Bedingungen geknüpft werden muss, sind diese Kriterien im Regelwerk zu implementieren. Nach der Umsetzung des SAP HCM-spezifischen Customizing kann je Archivierungsobjekt ein Entscheidungsweg entlang dieser Kriterien zur Ermittlung der korrekten Haltefrist eines Datensatzes durchlaufen werden.

Das Regelwerk des ILM kann über die Transaktion IRM_CUST aufgerufen werden. Informationen zur Auslieferung der Business Function ILM und zum benötigten Systemstand lassen sich dem SAP-Hinweis 1600991 entnehmen. Hier erhält man auch Informationen zu Lizenzkosten bei Nutzung des ILM für HCM-Archivierungsobjekte und dessen mögliche Abdeckung über bereits bestehende ERP-Lizenzen.

Die eigentliche Vernichtung von Daten wird mit klassischen SAP Basis Funktionalitäten realisiert. Hierfür existieren im SAP System entsprechende Programme. Über die Transaktion SARA, der Archivierungsadministration, werden je Archivierungsobjekt die zugehörigen Programme nacheinander abgespielt.

Durch das Berechtigungsobjekt P_DURATION kann adaptiv die Sperrung von personenbezogenen Daten auf granularer Ebene einzelner Infotypen umgesetzt werden. Durch die Definition von Berechtigungszeiträumen kann der Zugriff auf Personalstammdaten in die Vergangenheit zeitlich eingeschränkt werden.

Informationen zum Berechtigungsobjekt P_DURATION können dem SAP-Hinweis 2123631 entnommen werden. Ein datenschutzkonformes Löschkonzept kann in einem SAP System als Hybridlösung aus beiden Funktionalitäten realisiert werden.

Im Gegensatz zur Erstellung des Löschkonzeptes sollte für das darauffolgende technische Umsetzungsprojekt die sukzessive Implementierung von Löschprozessen der 100%-Lösung vorgezogen werden.

Zum einen existiert für einige wenige Standard-Infotypen noch kein finales Archivierungsobjekt, zum anderen sollte der fachliche Fokus auf den jeweils einzelnen Infotypen und dessen zugehöriges Archivierungsobjekt liegen, um nützliche Erkenntnisse in die Erstellung vereinfachter Löschregeln einfließen zu lassen.