Die Rahmenbedingungen sind klar: ab dem 25.06.2018 ist die Datenschutz-Grundverordnung (DSGVO) anzuwenden. Zeitgleich tritt eine neue Fassung des Bundesdatenschutzgesetzes in Kraft die die europäische Verordnung (die an sich auch national gültig ist) ergänzt.
Wir werden in diesem Beitrag nicht näher auf die rechtlichen Aspekte eingehen – eine gute Übersicht zu DSGVO und BDSG neu gibt es beispielsweise von Deloitte oder der IHK München – sondern nur auf die Punkte die aus unserer Sicht konkrete Auswirkungen auf SAP HCM haben könnten. Tendenziell werden die Dokumentationspflichten verschärft und die Strafen bei einem Verstoß stark erhöht – 20 Millionen oder 4% des Konzernumsatzes des Vorjahres sind schon respektable Summen.
In der DSGVO und dem BDSG werden einige Rechte und Pflichten erweitert und präzisiert.
Datensparsamkeit und Datenvermeidung
Ein interessanter Punkt. Sind die Daten die irgendwann bei der Einrichtung des Systems als notwendig definiert wurden tatsächlich noch notwendig? Werden diese Daten von jemandem benötigt oder einfach erfasst da sie immer schon erfasst wurden? Wer verwendet diese Daten? Die Antworten auf diese Fragen werden in Bezug auf die Nachweispflicht relevant werden.
Nachweispflicht
Unternehmen müssen künftig nachweisen dass sie den Anforderungen nach §5 der DSGVO genügen. Um diesen Nachweis führen zu können wird ist es erforderlich ein Verzeichnis nach §30 DSGVO zu führen in dem der Name des Verantwortlichen, der Zweck der Verarbeitung, die Empfänger der Daten, Löschfristen und vieles mehr zu dokumentieren sind.
Wenn es so etwas noch nicht gibt kann man hier mal schauen wie das aussehen könnte – insgesamt muss das aber für jedes Unternehmen in Abstimmung mit dem Datenschutzbeauftragten individuell umgesetzt werden.
Insbesondere das Berechtigungskonzept bzw. die Antwort auf die Frage „wer hat zu welchem Zeitpunkt Zugriff auf welche Personaldaten“ dürfte hier wieder verstärkt in den Fokus geraten.
Wer verwendet bereits die Lösung „Personaldaten sperren mit zeitabhängiger Berechtigung„?
Wie werden Lesezugriffe protokolliert bzw. werden sie überhaupt protokolliert z.B. mit Read Access Logging?
Schreibzugriffe sollten durch die Verwendung RPUAUD00 kein Problem sein, ob die Protokollierung der Reportstarts mit RPUPROTD ausreichende Informationen liefert bleibt abzuwarten.
Auskunftsrecht
Auskünfte müssen erteilt werden zu:
– Inhalt und Herkunft der Daten
– Empfängern der Daten
– dem Zweck der Speicherung
– der Dauer der Speicherung und den Kriterien dafür
– den Rechten der betroffenen Person
– zum Datenschutzniveau und zur Übermittlung an Drittstaaten
Gerade beim Punkt „Dauer der Speicherung“ könnte hier Handlungsbedarf bestehen, denn wer sammelt nicht lieber als zu früh zu löschen? Gesetzliche Aufbewahrungsfristen – für Unterlagen aus der Abrechnung oft 10 Jahre – geben einen Rahmen vor – wobei auch hier individuell entschieden werden muss was wann gelöscht wird.
Das Thema Löschung von Stammdaten im HCM ist relativ komplex. Einen guten Einstieg bietet hier Hinweis 1559133 – Datenschutzkonformes Löschen personenbezogener Daten im HCM. Die zentrale Lösung die SAP hier anbietet ist das ILM (Information Lifecycle management).
Der Mitarbeiter hat ein Recht auf eine kostenlose Kopie der erhobenen Daten. Ist etwas falsch oder nicht gelöscht – obwohl es gelöscht hätte sein sollen – kann eine Berichtigung oder Löschung verlangt werden. Nach §20 DSGVO müssen die Daten auf Verlangen in einer maschinenlesbaren Form ausgehändigt werden.
Für die Auskunft an sich steht Report RPLERDX0 – den es schon recht lange gibt – zur Verfügung. Allerdings kann damit nur ein Ausdruck gemacht werden, eine maschinenlesbare Datei kann aktuell damit nicht erstellt werden.
Unserer Meinung nach wird das ein sehr wichtiges Thema werden. Datenmissbrauch bzw. insgesamt der Umgang mit Daten ist in aller Munde und die ersten Urteile zur DSGVO werden nicht lange auf sich warten lassen.
Dieser Artikel basiert auf den Upgrade-Empfehlungen zur Unterstützung der DSGVO-Konformität und den Ergänzungen dazu und stellt die DSGVO und das BDSG neu nicht vollständig dar – und ist natürlich keine Rechtsberatung.