HR-Löschkonzepte nach Europäischer Datenschutzgrundverordnung (EU-DSGVO)
Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) ändert ab 25. Mai 2018 nationale Regelungen zum Schutz personenbezogener Daten. Mit diesem Stichtag läuft die zweijährige Übergangsphase aus. Die Vorgaben der EU-DSGVO sind dann verbindlich anzuwenden und einzuhalten. Strenge inhaltliche Vorgaben der EU-DSGVO, u. a. höhere Strafen bei Verstößen sowie deutlich mehr Verantwortung für den Datenschutzbeauftragten (Überwachungsauftrag), machen rechtzeitige Vorbereitungsmaßnahmen in den Unternehmen notwendig. Auch die Prozesse zur Verarbeitung und Speicherung von HR-Daten mit SAP HCM (On-Premise und Cloud) sollten überprüft und ggf. angepasst werden.
Handlungsbedarf für Personal- und IT-Abteilungen
Wir empfehlen Unternehmen, unbedingt rechtzeitig im Vorfeld die aktuelle Situation zu analysieren, Unvereinbarkeiten nach EU-DSGVO zu identifizieren und geeignete Maßnahmen zur Optimierung einzuleiten. Für SAP HCM gibt es in diesem Zusammenhang mehrere relevante Handlungsfelder:
- Dient die Verarbeitung und Speicherung von Personaldaten in SAP HCM-gesteuerten Prozessen den Vorgaben der Zweckbindung und Datensparsamkeit? Dabei gilt es auch angebundene Systeme und lokale Ablageorte zur beurteilen.
- Ist der Prozess zur Datenlöschung konform zum Recht auf Vergessen umgesetzt? Die EU-DSGVO fordert spurenloses, physisches Löschen personenbezogener Daten.
- Sind technische und organisatorische Maßnahmen implementiert, die User, Rollen und Zugriffsrechte transparent und auf Basis schlanker zweckorientierter Strukturen regeln?
- Werden personenbezogene Daten in Testsystemen angemessen pseudonymisiert?
SAP Lösungen zur EU-DSGVO-konformen Datenlöschung
SAP bietet für On-Premise-Installationen die Komponente Information Lifecycle Management (ILM) als Lösungsansatz an. ILM ergänzt produktive SAP HCM-Komponenten um die Fähigkeit, den Lebenszyklus produktiver Daten aufgrund von Regeln zu verwalten. SAP ILM steht SAP HCM-Bestandskunden für Archivierungsobjekte im Umfeld von Personendaten ab Release EA-HR 604 zur Verfügung. Unter anderem sind folgende Archivierungsobjekte enthalten:
- Stammdaten und Abrechnung (ATZ, AVmG, Steuer, Sozialversicherung)
- Stammdaten der Zeitwirtschaft (An-/Abwesenheiten, Zeitereignisse)
- Sonstige Infotyp-Stammdaten (Adresse, Darlehen, Kommunikation)
- Bewegungsdaten (Abrechnungsergebnisse, Zeitergebnisse, Buchung)
- E-Recruiting (Bewerbungen, Kandidaten, Suchaufträge)
- Learning-Solution (Trainings, Curricula, E-Learnings)
Für die Cloud-Applikationen von SAP SuccessFactors stehen eigene verlässliche Methoden bereit, um personenbezogene Daten von Mitarbeitern datenschutzkonform zu verarbeiten.
Wir unterstützen SAP HCM-Kunden bei der Konzeptionierung und Einrichtung eines datenschutzkonformen Prozesses für das HR-Datenmanagement mit SAP ILM:
- Analyse der Prozesse und Systeme, die mit personenbezogenen Daten in Berührung kommen
- Prüfung und Optimierung von Berechtigungskonzepten
- Neugestaltung und Restrukturierung von Rollen und Berechtigungen
- Bereitstellung und Anpassung ABS Team-eigener Templates (bspw. zur Erstellung von Rollen)
- Erarbeitung von Löschkonzepten
- technische Konfiguration von SAP Information Lifecycle Management (ILM)
- Optimierung von Testkonzepten, Auswahl und Anwendung von Tools zur Pseudonymisierung personenbezogener Daten für Testsysteme