Datenschutz und -sicherheit im Personalwesen 5 Tipps zur DSGVO-Umsetzung in SAP HCM

Von Darko Kopcic *

Anbieter zum Thema

Gerade im Personalwesen kommt es darauf an, dass Unternehmen sich an die DSGVO-Vorgaben zum Schutz personenbezogener Daten halten. Das gilt auch beim Einsatz einer HR-Software wie SAP HCM für das Human Capital Management. Wie sich die Vorgaben effektiv innerhalb der Lösung umsetzen lassen, erfahren Sie hier.

Ob Jobbewerber oder langjähriger Mitarbeiter, die Personalabteilung muss für den Schutz der erhobenen Daten sorgen.
Ob Jobbewerber oder langjähriger Mitarbeiter, die Personalabteilung muss für den Schutz der erhobenen Daten sorgen.
(Bild: jaydeep_ / Pixabay)

In den ersten zwei Jahren, nachdem die Datenschutzgrundverordnung (DSGVO) Ende Mai 2018 EU-weit wirksam wurde, haben sich die Behörden mit Sanktionen noch vergleichsweise zurückgehalten. Doch mittlerweile mehren sich Meldungen über zum Teil saftige Bußgelder, zum Teil in Millionenhöhe, so zum Beispiel bei H&M. Wie Internetworld berichtete, soll das schwedische Modehaus unerlaubterweise sensible persönliche Daten der Mitarbeiter gesammelt haben, darunter auch Gesundheitsdaten.

Wie die Anwaltskanzlei DLA Pieper berichtet, wurden seit der Einführung der DSGVO rund 160.000 Datenschutzverletzungen in den 28 EU-Ländern sowie in Norwegen, Island und Liechtenstein registriert, die sich der Verordnung angeschlossen haben. Laut Bitkom würden 79 Prozent der deutschen Unternehmen die Einhaltung des Datenschutzes als die größte Herausforderung beim Einsatz neuer Technologien sehen.

Vor allem kleine mittelständische Unternehmen sehen sich damit nach wie vor überfordert und betrachten die sachgemäße Speicherung der Daten als größte Hürde für die Einführung neuer HR-Systeme wie SAP HCM. Oft fehle es an Know-how und Personal, um eigene Kompetenzen aufzubauen. Oder es mangelt am nötigen Budget, um externe Berater zu beschäftigen.

Infolge dessen reagieren Unternehmen mitunter überzogen auf die DSGVO und stellen sogar den Betrieb von Webseiten ein. Als belastend sehen viele der KMU zudem Vorgaben wie Informations-, Dokumentations- und Auskunftspflicht. Dabei bieten viele der Software-Lösungen selbst schon Mittel für die DSGVO-Konformität. Das trifft besonders auf SAP HCM zu.

Im Folgenden erhalten Unternehmen fünf Tipps, wie sie die HR-Lösung des führenden deutschen Softwareunternehmens optimal einsetzen, um der DSGVO-Konformität zu genügen:

1. Nutzen Sie SAP ILM

Das Produkt SAP Information Lifecycle Management (ILM) steht für eines der führenden Lifecycle-Management-Systeme und ist mit jeder ERP-Lizenz der Walldorfer kostenfrei verfügbar. Mit den in SAP ILM enthaltenen Archivierungsobjekten ist es ein Leichtes, im Einklang mit der Datenschutzgrundverordnung Regeln für die Aufbewahrungs- und Löschfristen festzulegen.

Jeder Bewerber oder ehemalige Mitarbeiter hat nämlich das Anrecht auf Löschen seiner Daten. Kundenindividuelle Anforderungen wie unterschiedliche Regelwerke für verschiedene Buchungskreise, Archivierungsobjekte für kundeneigene oder personenbezogene Infotypen und Tabellen lassen sich mit SAP ILM ebenso abbilden.

2. Analysieren Sie regelmäßige Ihre HCM-Daten

Die Analyse der Daten aus dem jeweiligen HCM-System von SAP ist ganz wichtig, um lückenlos nachweisen zu können, dass kein Missbrauch vorliegt, und sei er nur versehentlich. Denn Unwissenheit oder Versehen schützt laut DSGVO vor Strafe nicht. Die Macher der EU sind dahingehend ganz streng gewesen. Für die Analyse personenbezogener Daten aus dem HCM-System hat valantic people den kostenlosen „ILM Analyzer“ entwickelt und richtet ihn auf Wunsch auch so ein, dass alle kundenspezifischen Anforderungen erfüllt sind.

3. Legen Sie den richtigen Schwerpunkt

Wichtig mit Blick auf die DSGVO ist es, das eigentliche Ziel nicht aus den Augen zu verlieren. Dazu gehören ein detailliertes Information Lifecycle Management mit einem passenden Konzept für die zeitgerechte Löschung der personenbezogenen Daten von Bewerbern und ehemaligen Mitarbeitern.

Bei der Implementierung gilt auch immer, die eigenen Anforderungen zu berücksichtigen. Hinzu kommen umfassende Testläufe. Denn so wie beim Berliner Hauptstadtflughafen BER, der dafür derzeit Tausende von Statisten beschäftigt, ist es besser, einmal mehr zu testen, als hinterher das Nachsehen zu haben, was im Fall der DSGVO und anderer Richtlinien richtig teuer werden kann.

4. Sperren Sie Daten, bevor Sie sie löschen

Vor dem eigentlichen Löschen der Daten sollten Sie diese mit befristeten Berechtigungen zunächst sperren. Das steht und fällt selbstredend mit einem stimmigen Berechtigungskonzept. Externe Spezialisten helfen bei der Umsetzung und prüfen bestehende Konzepte, um diese gegebenenfalls durch weitere Berechtigungen oder technische Punkte zu ergänzen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

5. Setzen Sie immer auf volle Transparenz

Damit das eigene SAP-HCM-System einer Überprüfung durch die Aufsichtsbehörden standhält, sollte dafür gesorgt sein, dass alle Prozesse einschließlich der Datenlöschung valide und transparent dokumentiert sind. Das schließt den Zeitpunkt der Datenlöschung, die Prüfung der Löschprotokolle, die Abnahme und Formulare ein. Wichtig ist auch, lückenlos vorweisen zu können, wann und wie personenbezogene Daten in das Programm aufgenommen wurden – manuell oder per Einbindung von Stellenausschreibungen auf einschlägigen Plattformen.

Fazit und Ausblick

Insbesondere im Personalwesen kommt es besonders auf den Schutz personenbezogener Daten an. SAP HCM ist als führende HR-Software von vornherein DSGVO-konform. Das mit SAP ERP kostenlose Information Lifecycle Management (ILM) ist aber eine sinnvolle Ergänzung. Um ganz sicher zu gehen, können Unternehmen beziehungsweise ihre HR-Abteilungen ihr HCM-System durch einen Experten aufsetzen lassen oder einer Überprüfung unterziehen.

Beratungsunternehmen besitzen die Expertise im Bereich Human Capital Management, um auch künftigen Anforderungen zu begegnen. Denn die DSGVO ist zwar 2016 als EU-Richtlinie schon weitgehend abgeschlossen worden, wird aber, wie die danach erfolgten Änderungen und Ergänzungen zeigen, ein Prozess bleiben. Gleiches trifft auch auf ländereigene Datenschutzgesetze zu. Es werden daher auch weiterhin Spezialisten nötig sein, um allen Richtlinien und Gesetzen im Bereich HR/HCM-Software zu genügen.

* Darko Kopcic ist Vertriebsleiter bei valantic people und fokussiert sich vor allem auf Themen rund um Human-Ressources-Management.

(ID:46914727)