Das schlafende Risiko im SAP HCM

zurück

Datenlschung1a 15.09.2015
Das schlafende Risiko im SAP HCM

SAP HCM ist in vielen Unternehmen die Standardlösung für Aufgaben wie Gehaltsabrechnungen, das Management von Versorgungsleistungen oder Fortbildungen. Doch in der Software schlummert ein Risiko, das für den Datenverantwortlichen zum Problem heranwachsen kann.

Wo liegt das Risiko bei der Speicherung personenbezogener Daten?
Personenbezogene Daten – und diese liegen im HR/HCM definitiv vor – dürfen nicht unbegrenzt gespeichert werden. § 35 Bundesdatenschutzgesetz fordert unter anderem, dass Daten, die für eigene Zwecke erhoben wurden, zu löschen sind, wenn deren Kenntnis nicht mehr erforderlich ist.

Was bedeutet dies für SAP HCM?
Zahlreiche personenbezogene Daten werden in SAP HCM erfasst und im Standard nie vernichtet. Dies führt nach 2-3 Jahren der Abrechnung unweigerlich zum Gesetzesverstoß, denn kein Unternehmen muss wissen, wie viele Krankheitstage ein Mitarbeiter vor 12 Jahren hatte.

Wessen Aufgabe ist es, dieses Problem zu beseitigen?
Ist ein Datenverantwortlicher für SAP benannt, so ist die Frage eindeutig beantwortet. Er trägt das Risiko, für diesen Gesetzesverstoß. Schwieriger ist die Situation zu beurteilen, wenn kein Verantwortlicher für die SAP HCM Daten formal festgelegt wurde.

Die Gesamtverantwortung für die Einhaltung bestehender Gesetzte liegt bei der Unternehmensführung. Sollte der Verstoß angemahnt werden, wird je nach Unternehmensstruktur

in der IT (sprich beim technischen Betreiber der SAP Lösung) oder
im HR Fachbereich (sprich beim Verantwortlichen für die fachlichen Strukturen) gesucht.

Einen von beiden wird es treffen, diesen Verstoß zu beseitigen.

Wie sieht die Lösung aus?
SAP bietet seit einigen Jahren eine erprobte Lösung an, personenbezogene Daten aus SAP HCM zu vernichten. Das SAP ILM Modul wird nach unternehmensspezifischen Vorgaben konfiguriert und angepasst. Werden die Löschfunktionen jedes Jahr eingesetzt, kommt das Unternehmen seinen gesetzlichen Verpflichtungen zum Mitarbeiterdatenschutz nach. Das Projekt dauert etwa ein Jahr und das Risiko ist aus der Welt.