Auswirkungen der DSGVO im Umgang mit SAP HCM
Die Europäische Datenschutz-Grundverordnung (DSGVO) ist am 25.05.2018 nach einer zweijährigen Übergangsfrist in Kraft getreten. Doch welche Änderungen entstehen hiermit konkret für die Unternehmen und wie können die bestehenden Anforderungen bei der SAP-Nutzung umgesetzt werden? Welche Dinge müssen vor allem bei der Verarbeitung von personenbezogenen Daten – wie sie in HR-Abteilungen ständig vorkommen – beachtet werden? Wir als Ihr Dienstleistungspartner stehen Ihnen gerne für Fragen und für die technische Umsetzung der DSGVO-Bestimmungen zur Verfügung. Die wichtigsten Fakten haben wir für Sie zusammengefasst:
Die DSGVO geht mit strengeren Rechenschaftspflichten einher. Dabei müssen die Unternehmen unter anderem nachweisen können, dass die Grundsätze für die Verarbeitung personenbezogener Daten gemäß des Art. 5 DSGVO eingehalten werden und entsprechende Datenschutzvorkehrungen getroffen wurden.
In diesem Kontext sollten Unternehmen Ihre Datenschutzmaßnahmen überprüfen und anpassen. Nachfolgend sind einige wichtige Maßnahmen aufgeführt, die in diesem Zusammenhang durchzuführen sind:
- Datenmapping
Überprüfung des internen und externen Datenflusses, ggf. Sicherheitslücken bei den Informationsprozessen schließen. - Datenspeicherungsstrategie
Erstellung eines Datenverzeichnisses, das neben den gesetzeskonformen Aufbewahrungsfristen die Gründe für die Erhebung und Verarbeitung sowie die Zugriffsrechte von personenbezogenen Daten aufführt. - Sensibilisierung der Mitarbeiter
Arbeitnehmer sind im Umgang mit personenbezogenen Daten zu schulen. - Wahrung der persönlichen Rechte
Den Mitarbeitern steht unter anderem das Recht auf „Vergessenwerden“ und das „Recht auf Datenübertragbarkeit“ ihrer personenbezogenen Daten zu. In diesem Kontext muss die technische Umsetzbarkeit im System vorhanden sein. - Rechtmäßige Verarbeitung von Daten| Vertragsdurchsicht
Mit Ihren Geschäftspartnern sollten unter anderem gesetzeskonforme Datenverarbeitungsvereinbarungen abgeschlossen werden. Somit kann Ihr Unternehmen gewährleisten, dass personenbezogene Daten ordnungsgemäß von Dritten verarbeitet werden. Für die nicht ausreichende Gewährleistung der ordnungsgemäßen Verarbeitung von personenbezogenen Daten von Dritten kann Ihr Unternehmen haftbar gemacht werden. - Anpassung von Prozessen
Datenverantwortliche müssen binnen 72 Stunden die Datenschutzbehörde über Datenschutzverletzungen informieren. Daneben müssen ebenfalls die betroffenen Personen informiert werden. In die betrieblichen Abläufe sollten daher entsprechende Sicherungs- und Notfallprozesse integriert werden.
Bei Verstößen gegen die DSGVO können Unternehmen bzw. die Auftragsverarbeiter gegenüber Betroffenen haftbar gemacht werden (Art. 82 DSGVO). Darüber hinaus können weitergehende Sanktionen gemäß Art. 83 f. DSGVO verhängt werden. Hierbei können Geldbußen von bis zu 20.000.000 EUR oder bis zu 4 % des weltweit erzielten Jahresumsatzes verhängt werden.
Umsetzung in SAP:
SAP liefert mit dem Information Lifecycle Management (ILM) ein Tool mit dem die Aufbewahrung, Sperrung und Löschung von Daten erfolgen kann. Mit dem Einsatz des ILMs von kann der komplette Lebenszyklus von SAP-Daten automatisiert verwaltet werden.
- ILM-Regeln: Mit dem Hinterlegen von Regeln im ILM können beispielsweise Aufbewahrungsregeln und -zeiträume nach gesetzlichen Vorgaben in SAP abgebildet werden.
- Archivierung von Daten: Mit dem Hinterlegen von Regeln im ILM können beispielsweise Aufbewahrungsregeln und -zeiträume nach gesetzlichen Vorgaben in SAP abgebildet werden.
- Löschen von Daten: Das Löschen von Daten kann nach den im ILM definierten Regeln erfolgen. Dieser Schritt ist auch ohne eine vorherige Archivierung in ein Archivierungssystem möglich.