Neue EU-Datenschutz-Grundverordnung Pflicht – Hohe Geldstrafen bei Verstoß
Die neue EU-Datenschutz-Grundverordnung ist in aller Munde und sorgt in manchen Unternehmen für Panik und viele Fragezeichen. Es geht dabei um einen Gesetzesentwurf, welcher am 25.05.2016 in Kraft getreten ist und bis 25.05.2018 in allen Unternehmen mit einer Niederlassung im EU-Gebiet umgesetzt werden muss.
Das zentrale Ziel der Gesetze ist ein einheitlicher Schutz personenbezogener Daten. Bei Verstoß gegen die Verordnung drohen Strafen bis zu 20 Millionen Euro bzw. bis zu 4% des Jahresumsatzes aus 2017.
Welche Auswirkungen hat die EU-Datenschutz-Grundverordnung (DSGVO) auf SAP ERP HCM und wie können Sie sich vorbereiten?
V
on den Umstellungen sind auch die Prozesse der SAP ERP HCM Module betroffen. In den HCM Modulen werden personenbezogene Mitarbeiterdaten verwaltet und verarbeitet. Grundsätzlich sind die Verarbeitungsprozesse dieser Daten im SAP System nicht auf die neue Datenschutzgrundverordnung (DSGVO) ausgelegt. Um Verstöße gegen die Gesetze zu vermeiden, sind folgende drei Merkmale besonders zu beachten:
1) Die zweckmäßige Verwendung von Daten
Grundsätzlich war die zweckmäßige Verwendung von Daten bereits vor der Einführung der neuen EU-Datenschutzverordnung in SAP ERP HCM vorgesehen. Mit den neuen Gesetzen wird hierbei jedoch ein einheitliches und striktes Vorgehen beschrieben, welches für alle Unternehmen verbindlich ist.
Welche Daten dürfen von wem gelesen oder geändert werden? Nutzer sollen nur die Daten einsehen dürfen, welche für Ihre Arbeit notwendig sind. Werden zum Beispiel Stammdatenänderungen im HR Service Center durchgeführt, so darf der entsprechende SAP Nutzer die Bankdaten des Mitarbeiters einsehen, die monatlichen Entgeltabrechungen jedoch nicht.
Wer darf wen sehen? Nutzer sollen nur Daten von Mitarbeitern einsehen dürfen, welche von Ihnen betreut werden. Ein Personalreferent für den Bereich “Vertrieb Deutschland” soll zum Beispiel nur die Daten von Mitarbeiter einsehen dürfen, welche im Vertrieb an einem deutschen Standort tätig sind.
Beide Merkmale zur zweckmäßigen Verwendung von Daten können in einem kontextabhängigen Berechtigungskonzept in SAP ERP HRM berücksichtigt werden.
2) Die zeitlich begrenzte Verwendung von Daten
Bei der zeitabhängigen Sperre geht es um die Frage, welche Nutzer der 
Personalverwaltung welche Mitarbeiterdaten wie lange einsehen und verarbeiten dürfen. Ein einheitliches Szenario für eine zeitlich begrenzte Datenverwendung je nach Art der Nutzung könnte wie im folgenden Beispiel aussehen: Mitarbeiter im HR Shared Service sollen Daten bis zu 18 Monate in die Vergangenheit sehen können. Anschließend sind die Daten für die Nutzer gesperrt. Für einen Personalreferenten kommt die entsprechende Sperre nach 36 Monaten zu trage. Für Mitarbeiter der Gehaltsabrechnung nach 60 Monaten. Einzig der Datenschutzbeauftrage kann (im Falle von Untersuchungen) alle gespeicherten Mitarbeiterdaten in SAP ERP HCM einsehen. Eine genaue Vorgabe, wie lange die Daten von wem eingesehen werden dürfen ist gesetzlich nicht geregelt. Jedoch ist eine einheitliche Regelung für die Sperrung von Daten zu implementieren. Damit soll sichergestellt werden, dass Nutzer nur so lange personenbezogene Daten im System einsehen können, wie es für die Erledigung Ihrer Aufgaben notwendig ist. Die entsprechenden Datensperren können mit Hilfe von Anpassungen am SAP System implementiert werden.
3) Das Löschen von Daten aus dem ERP System nach Mitarbeiteraustritt
Tritt ein Mitarbeiter aus dem Unternehmen aus, so müssen seine personenbezogenen Daten gelöscht werden. Zum einen gibt es Informationen, welche unverzüglich gelöscht werden müssen. Zum Beispiel die An- und Abwesenheitsdaten des Mitarbeiters. Andere Informationen, zum Beispiel Abrechnungsergebnisse unterliegen einer gesetzlichen Aufbewahrungsfrist. Diese Daten werden daher archiviert und erst nach Ablauf dieser Frist gelöscht. Zur effektiven und effizienten Umsetzung der Vorgaben zur Datenlöschtung wird ein einheitlicher Informationslebenszyklus mit Unterstützung durch das SAP System empfohlen.
Bei der Anpassung des SAP Systems bezüglich der EU-Datenschutz-Grundverordnung stehen Ihnen mehrere konkrete Werkzeuge zur Verfügung. Bei der Implementierung dieser Werkzeuge stehen wir Ihnen gerne als Berater und Entwickler zur Verfügung.
