DSGVO und SAP HCM: Löschen deluxe!

Das sollte man meinen. Tatsächlich bin ich aber immer wieder überrascht, wie rudimentär die bislang getroffenen Maßnahmen ausfallen. Jedenfalls in dem Bereich, mit dem ich mich beschäftige: also der HR-Abteilung und hier insbesondere SAP HCM.

Dabei ist es nicht so, dass die Verantwortlichen kein Bewusstsein dafür hätten, sensibel mit personenbezogenen Daten umzugehen. Das Thema ist aber sehr vielschichtig und es herrscht Unsicherheit darüber, welche Daten zu welchem Zeitpunkt auf welche Weise gelöscht werden müssen. Und – um ehrlich zu sein –, liegen den HR-Verantwortlichen andere Projekte einfach mehr am Herzen. Insbesondere Projekte, die mehr Spaß machen und die direkt auf die User Experience abzielen.

Das hängt sicher damit zusammen, dass sich mit einem DSGVO-Projekt nichts gewinnen lässt. Solange es keine Verstöße gibt, die angezeigt und dann tatsächlich sanktioniert werden, fragt auch kaum jemand nach Maßnahmen zur Sicherstellung der DSGVO-Konformität. Und wenn es zu Sanktionen kommt, dann ist egal, ob irgendwelche Maßnahmen ergriffen wurden – denn offenbar waren diese nicht ausreichend. Dass sich Verantwortliche mit DSGVO-Maßnahmen im Unternehmen positionieren können, ist eher die Ausnahme.

Insofern wäre es begrüßenswert, wenn Unternehmen insgesamt den Schutz von personenbezogenen Daten als wichtigen Wert verstehen würden. Auch aus Eigeninteresse. Ein Engagement für entsprechende Maßnahmen hätte dann eine größere interne Legitimation.

Bei den meisten Unternehmen, bei denen wir ein Projekt durchführen, fangen wir wirklich bei den Grundlagen an. Zunächst einmal muss ein sinnvolles Löschkonzept erstellt werden. Und zwar auf Basis der wenigen konkreten gesetzlichen Vorgaben, die für die Bewertung der Löschfristen von personenbezogenen Daten – vor allem im Bereich der Personaladministration und Entgeltabrechnung – zu beachten sind. Dabei besteht nicht nur die Angst vor Sanktionen, es besteht auch die Angst, dass zu viele Daten gelöscht werden können. Schließlich könnten ja Informationen zum Personalstamm irgendwann noch einmal wichtig werden. Hinzu kommt, dass sich ausgeklügelte Löschkonzepte nicht so ohne weiteres in SAP HCM abbilden lassen.

Im Löschkonzept stellen wir gemeinsam mit dem Unternehmen die Anforderungen aus fachlicher Sicht dar. Dabei dokumentieren wir neben der Systemlandschaft auch die vorhandenen Schnittstellen, Tools von Drittanbietern und viele weitere technische Aspekte. Danach wird definiert, ob und wie Löschszenarien aussehen sollen. Beispielsweise Komplettlöschungen von ausgeschiedenen Mitarbeitenden. Oder, nach welcher Frist alte, abgegrenzte Datensätze von Informationen zu Personalnummern unabhängig vom Status des Mitarbeitenden gelöscht werden sollen. Das kann etwa Informationen betreffen, die in SAP HCM in sogenannten Infotypen abgebildet werden, aber auch Abrechnungsergebnisse, Zeitereignisse und Reisekostenabrechnungen.

SAP bietet mit SAP Information Lifecycle Management (SAP ILM) ein Tool an, mit dem sich Daten grundsätzlich DSGVO-konform aus SAP HCM löschen lassen. Allerdings bietet SAP ILM im Standard kaum Selektionsmöglichkeiten. Beispielsweise können Personalnummern nicht bei allen Löschprozessen anhand von organisatorischen Merkmalen wie der Zuordnung zu einem Buchungskreis oder Mitarbeiterkreis selektiert werden. Von anderen Abfragen – etwa von Informationen, die in Infotypen gespeichert sind – ganz zu schweigen. Außerdem sind die Selektion der Personalnummern und damit der Daten und das Löschen nicht voneinander entkoppelt. Und um kundeneigene Infotypen und Tabellen zu löschen, ist ein zusätzlicher Programmieraufwand erforderlich. Gleichzeitig müssen Löschfristen bei SAP ILM sehr granular hinterlegt werden.

Um Unternehmen das korrekte Löschen der personenbezogenen Daten in SAP HCM zu erleichtern, haben wir daher unser eigenes DSGVO-Paket entwickelt. Mittlerweile ist dieses DSGVO-Paket schon bei mehr als 50 Kunden im Einsatz.

Wir haben das DSGVO-Paket so realisiert, dass es ein sinnvolles Löschkonzept optimal unterstützt und von den Anwenderinnen und Anwendern in der HR-Abteilung intuitiv genutzt werden kann. Das beginnt damit, dass sich eine intelligente Vorselektion anhand von organisatorischen Merkmalen und anderen Kriterien durchführen lässt, wobei auch definiert werden kann, welche Personalnummern nicht gelöscht werden sollen. Für das Löschen selbst gibt es drei Optionen. Erstens lassen sich Personalnummern komplett löschen. Für Infotypen und Tabellen stellt das Paket zweitens das Tabellenlöschtool bereit, mit dem Datensätze nach Ablauf der Aufbewahrungsfrist gelöscht werden können. Und drittens sind Teillöschungen von Personalnummern möglich, bei denen nach dem Löschen nur noch ein Ministamm an Informationen im System erhalten bleibt.

Ein wesentlicher Unterschied zu SAP ILM ist auch, dass Löschfristen nicht auf Ebene von vordefinierten Löschobjekten hinterlegt werden müssen. Stattdessen lassen sich im Tabellenlöschtool kundenindividuell Löschklassen bilden, in denen unterschiedliche Infotypen und Tabellen zusammengefasst sind. Und diesen Löschklassen wird eine Löschfrist zugewiesen. Ebenso lassen sich beim Löschlauf mehrere Löschklassen unabhängig von den definierten Löschfristen auch zusammen löschen. Das reduziert den Aufwand im jährlichen Löschprozess enorm.

Auf jeden Fall senkt das Paket die Hürde erheblich: Die Verantwortlichen erhalten von uns eine ganzheitliche Beratung, die neben der Unterstützung bei der Erstellung eines Löschkonzepts auch die Implementierung der Löschvorgaben im SAP HCM umfasst. Außerdem ist der Aufwand bei der Einführung überschaubar.

Es gibt abgesehen von der Datenschutz-Grundverordnung übrigens noch einen sehr guten Grund, das Löschen von Daten ernst zu nehmen: Mit Blick auf einen Wechsel auf SAP HCM für S/4 kann sich eine Reduzierung des Datenvolumens durch das Löschen von Daten auf das „Sizing“ und damit die Lizenzkosten des zukünftigen S/4HANA-Systems positiv auswirken.