Information und Bildungsarbeit von und für die SAP-Community
MAG 17-09

Damoklesschwert DSGVO

Warum es sich für Sie lohnen könnte, sich jetzt mit der Vernichtung von Daten aus Ihrem SAP HCM zu befassen.
Gernot Voßpeter, CTH Consult
23. August 2017
Inhalt:
Damoklesschwert DSGVO
avatar

Haben Sie schon mal über Datenvernichtung nachgedacht? Aktuell verzeichnen wir, als auf ein auf SAP ERP HCM spezialisiertes Beratungsunternehmen, vermehrt Kundenanfragen zu diesem Thema. Der Hintergrund dafür ist einfach, Die Europäischen Datenschutzgrundverordnung (DSGVO), wird am 25. Mai 2018 das nationale Datenschutzrecht in der Europäischen Union (EU) und dem Europäischen Wirtschaftsraum (EWR) und damit auch das bisherige Bundesdatenschutzgesetz (BDSG) in Deutschland weitgehend ersetzen.

Im Hinblick auf den Datenschutz, die Umstände unter denen die Verarbeitung personenbezogener Daten erlaubt ist, und den Anspruch von Mitarbeitern auf Löschung nicht mehr benötigter Daten, entsprechen die Regelungen im Rahmen der Datenschutzgrundverordnung überwiegend denen des Bundesdatenschutzgesetzes.

Man könnte nun einfach argumentieren, dass dies alles ein alter Hut sei, da das Bundesdatenschutzgesetz in seiner heutigen Form bereits seit Jahren gültig ist und wenn sich nichts Maßgebliches ändert, besteht auch nicht wirklich Handlungsbedarf. Diese Annahme war und ist grundlegend falsch! Bereits das BDSG ist ein sogenanntes Verbotsgesetz mit Erlaubnisvorbehalt und damit ein rechtlich durchaus „scharfes Schwert“.

Lediglich die Folgen, sprich die Bußgelder waren bis dato nicht entsprechend. Das ist dann auch genau die entscheidende Neuerung in dem sich die neue Datenschutzgrundverordnung maßgeblich vom Bundesdatenschutzgesetz unterscheidet, in den Bußgeldvorschriften. Sind nach Bundesdatenschutzgesetz Verstöße als Ordnungswidrigkeit mit einem Bußgeld von maximal 50.000 EUR verbunden, so sollen die Bußgelder, die gemäß der Datenschutzgrundverordnung verhängt werden können, wirksam, verhältnismäßig und abschreckend sein.

Die Bußgelder können dabei je nach Fall, Art und Schwere bis zu zehn Millionen Euro bzw. zwei Prozent des jährlichen weltweiten Umsatzes eines Unternehmens erreichen. Bei Verstößen gegen einige bestimmte Artikel der Verordnung verdoppelt sich das Bußgeld sogar auf vier Prozent des weltweiten Umsatzes.

Die künftig drohenden, drastischen Strafen sind es natürlich nicht alleine, die Unternehmen aktuell dazu veranlassen sich vermehrt mit dem Thema zu beschäftigen. Im Zeitalter nahezu ungezügelten Datensammelns spielt natürlich auch die Performance der eingesetzten Hardware eine nicht zu verachtende Rolle.

Gründe genug sich aktiv diesem brisanten Thema zuzuwenden, gepaart mit der Frage: Wie kann man sich also dem Thema im Rahmen eines Projekts nähern?

ILM für SAP HCM

SAP hat mit dem Enhancement Package 6.04 erstmals die Funktionalität „Information Lifecycle Management (ILM)“ für SAP ERP HCM ausgeliefert und diese in den folgenden Enhancement Packages weiter ausgebaut. Das ILM beinhaltet je nach Systemstand die Möglichkeit Daten aus den verschiedenen SAP ERP HCM Modulen zu vernichten. Dabei fußt das Verfahren auf erprobter Archivierungstechnik. Die zu vernichtenden Daten, werden zunächst in eine temporäre Archivdatei geschrieben und in dem Zuge aus der Datenbank gelöscht. Im Gegensatz zur normalen Archivierung, wird die temporäre Archivdatei nun nicht auf ein Medium geschrieben, sondern gelöscht. Damit wurden die Daten vernichtet.

Über die Vernichtung wird ein Protokolleintrag in einem gesonderten Infotypen in der Personaladministration erstellt (IT0283). Hier kann nachvollzogen werden, ob überhaupt Daten für den betreffenden Mitarbeiter vernichtet wurden, wenn ja, welche Archivierungsobjekte bearbeitet wurden und für welchen Zeitraum.

Ein Projekt, das zum Ziel hat, gewisse, nicht mehr benötigte Daten zu vernichten, sollte sich aber, wenn die Voraussetzungen erfüllt sind zunächst mit den fachlichen Anforderungen auseinander setzen:

Voraussetzungen im SAP HCM schaffen

Dazu zählt in erster Linie sicherzustellen, dass zumindest das EhP 6.04 (idealerweise das aktuellste EhP) eingespielt und die Business Function ILM aktiviert ist. Auch weitere Tätigkeiten, die in der Regel durch die SAP Basis Betreuung erfolgen zählen dazu, wie die Prüfung, dass die erforderlichen Berechtigungen zugeordnet sind. Definition der temporären Archivdateien und der Laufwerkspfade in denen sie vorrübergehend abgespeichert werden.

Fachliche Bewertung: Wie lange dürfen welche Daten gespeichert bzw. verwendet werden? Wann besteht keine Notwendigkeit / fachliche Anforderung mehr für die Speicherung dieser Daten? Auch hier hilft uns das Gesetz: „Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist…..“ Paragraf 32 (1) BDSG.

Ein Beispiel wäre: Wie lange sollten Stempelzeiten (Kommen und Gehen Buchung) im System vorgehalten werden.

Idealerweise können alle Daten, die für einen Mitarbeiter in SAP ERP HCM gespeichert werden, mit einem Zeitraum versehen werden, für den diese Daten vorgehalten werden müssen, oder wann sie spätestens vernichtet werden sollten. Oft empfiehlt es sich, diese Fragen auch mit dem Datenschutzbeauftragten des Unternehmens zu besprechen.

Technische Umsetzung mit SAP ILM

Wenn die Aufbewahrungsfristen für die Mitarbeiterdaten fachlich definiert sind, können Sie beginnen, die entsprechenden SAP Archivierungsobjekte einzurichten. Wie oben bereits beschrieben, basiert das ILM auf der Archivierung von Daten. Aus diesem Grunde spricht man im Rahmen von ILM auch immer von Archivierungsobjekten in denen die zu vernichtenden Daten zusammengefasst werden.

Je nach Ihrem Systemstand, werden Sie für die meisten in Frage kommenden Daten entsprechende Archivierungsobjekte finden. Allerdings wird Ihre Suche nach Archivierungsobjekten für kundeneigene Informationstypen, Customizing- und Anwendungstabellen oder sogar kundeneigener Cluster ergebnislos sein.

Diese werden Sie selber implementieren müssen. Wenn bereits Archivierungsobjekte vorhanden sind, können die Aufbewahrungsfristen „gecustomized“ werden.

Test der Datenvernichtung

Je nach Komplexität der Anforderungen und der Masse an zu vernichtenden Daten, kann die Durchführung der Datenvernichtung in Produktivsystemen Zeit- und Ressourcen-intensiv sein. Es empfiehlt sich daher, zunächst Probeläufe in einem separaten, gegebenenfalls extra für dieses Projekt aufgesetzten Systems, durchzuführen. Auch können so Risiken frühzeitig erkannt und gebannt werden. Im Hinblick auf die Laufzeit hat es sich häufig empfohlen, lieber kleine Pakete zu schnüren, als viele Daten in einem Lauf vernichten zu wollen.

Durchführung der Datenvernichtung

Die Durchführung der Archivierung sollte ein fortlaufender Prozess sein. Je nach Unternehmensgröße kann dieser automatisiert zu vorher festgelegten Zeitpunkten erfolgen oder flexibel bei Bedarf durch die Fachabteilung angestoßen werden.Im Folgenden finden Sie eine schematische Darstellung des hier beschriebenen Projektaufbaus.

Fazit

Auf den ersten Blick erscheint das Projekt „Datenvernichtung“ brisanter als des dann tatsächlich ist. Wie so oft, wenn die fachlichen Voraussetzungen erarbeitet sind und die Bereitschaft, sich mit diesem Thema neben dem Tagesgeschäft auseinander zu setzen, vorhanden ist, gehört die Implementierung von SAP ILM eher zu den kleineren Projekten. Einmal implementiert, kann es regelmäßig verwendet werden, so dass sich die Frage nach möglicherweise nicht gesetzeskonformer Datenhaltung oder schlechter Systemperformance durch übergroße, eigentlich nicht mehr benötigte, Systemdaten einfach nicht mehr stellt.

https://e3mag.com/partners/cth-consult-team-hamburg-gmbh/

avatar
Gernot Voßpeter, CTH Consult

Gernot Vosspeter ist Head of Competence Center SAP ERP HCM bei CTH Consult


Alle Artikel des Autors

Schreibe einen Kommentar

Transformationsstau der SAP-Community

Clean Core

Nachhaltige Lösungen für individuelle Bedürfnisse: Durch heutige Innovationen die Führung von morgen übernehmen

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.