Wie HCM-Berechtigungen zu Strafzahlungen führen können
Die Europäische-Datenschutzgrundverordnung ist inzwischen wieder ins Gespräch gekommen. Anzuwenden ist die EU-DSGVO seit dem 25. Mai 2018. Im November 2019 kam dann der erste Paukenschlag. Zu den vorher ca. 500.000€ Strafe insgesamt in Deutschland kam eine Strafe von 14,5 Millionen € für ein einziges Unternehmen hinzu. Dies ist bisher die größte Strafzahlung die mit der EU-DSGVO verbunden wird.
Ein HCM-Berechtigungskonzept in der EU-DSGVO
Viele Unternehmen haben immer noch nicht mit der Umsetzung der EU-DSGVO angefangen. Im ersten Moment denken die meisten jedoch auch an die Vernichtung von personenbezogenen Daten nach einem bestimmten Zeitraum. Ein Löschkonzept, zusammen mit einer ILM-Einführung oder die Überarbeitung des Berechtigungskonzeptes steht auf der Agenda ohne Termin. Die EU-DSGVO bezieht sich jedoch auf mehr Punkte die Unternehmen zur Einhaltung umsetzen müssen. Es ist ein aktuelles und schlüssiges HCM-Berechtigungskonzept gefordert. Die EU-DSGVO spiegelt sich in einem HCM-Berechtigungskonzept in Punkten Zugangskontrolle und Zugriffskontrolle direkt wieder.
Zugangskontrollen
Bei der Zugangskontrolle muss gewährleistet sein, dass nur berechtigte Benutzer einen Zugriff auf das System haben. Hier geht es also generell darum wer einen Benutzer auf dem HCM System erhält? Welche Rollen haben einen Benutzer und welche nicht? Es kann hierbei sehr schnell dazu kommen, dass auch der ein oder andere Benutzer seinen Zugang zum System verliert, da dieser keine der berechtigten Rollen mehr inne hat.
Zugriffskontrollen
Bei der Zugriffskontrolle spiegelt sich das wieder, was der Großteil unter einem HCM-Berechtigungskonzept versteht. Es geht darum, zu definieren was das “erforderliche Minimum” an Berechtigungen für die bestimmten Rollen ist. Dieses Thema wurde meist sehr stiefmütterlich behandelt und kam oft zu kurz. Vor allem bei Transaktionen wie der VA03 oder auch der PA20/PA30 sind diese Transaktionen sehr kritisch.
Ein weiterer Punkt der immer wieder übersehen wird, ist die strukturelle Berechtigungslücke. Diese wird sehr schnell vergessen und kann schnell zu Problemen führen. Hierzu folgendes Beispiel:
Für diesen Fall schaffen nur kontextabhängige Berechtigungen Abhilfe.
Wichtig ist auch für die EU-DSGVO wie lange welche Daten gehalten werden, aber auch wie lange welcher Personenkreis auf welche Daten zugreifen kann. Hierzu gibt es im HCM-Berechtigungsumfeld das Berechtigungsobjekt P_DURATION. Mit diesem Berechtigungsobjekt können die Zeiträume, auf welche Daten zugegriffen werden kann, gesteuert. P_Duration ist für die Umsetzung der EU-DSGVO essenziell.
Bei der Umsetzung der EU-DSGVO gibt es viele Baustellen für ein Unternehmen und um ein HCM-Berechtigungskonzept kommt man nicht herum. Bei der Umsetzung von HCM-Berechtigungen, der Konzeptionierung eines Löschkonzeptes oder der Einführung von SAP ILM unterstützen wir gerne.
Full-Service: EU-DSGVO im HCM-Bereich umsetzen
Machen Sie mit unserem Angebot Ihr Personalsystem langfristig und ohne großen Eigenaufwand EU-DSGVO-konform – und vermeiden Sie so hohe Strafgebühren.
