EU-DSGVO: „Recht auf Vergessenwerden” – Datenschutz in SAP SuccessFactors

Die EU-DSGVO stellt verschiedene Anforderungen an Mitarbeiterdaten, wie beispielsweise das „Recht auf Vergessenwerden". Dieses Recht besagt, dass personenbezogene Daten unverzüglich zu löschen sind, sobald diese zum ursprünglichen Verarbeitungszweck nicht mehr notwendig sind. SuccessFactors hat in Q1-2018 viele Funktionen im Zusammenhang mit der EU-DSGVO bereitgestellt. In diesem Blogbeitrag möchte ich darlegen, wie die EU-DSGVO-Funktionalität im Bereich „Daten löschen" in SuccessFactors Employee Central umgesetzt werden kann.

Bevor wir zum Hauptthema RTBF (Right To Be Forgotten) übergehen, werfen wir einen Blick auf einige von der EU-DSGVO geforderte und von SuccessFactors bereitgestellte Funktionen, um diese Anforderungen zu erfüllen.

DSGVO-Anforderungen & Umsetzung SuccessFactors

Grundlegender Ansatz zur Datenbereinigung: Für die Datenbereinigung wird als Lösung für SuccessFactors DRTM (Data Retention Time Management) empfohlen. Die Konfiguration der Datenbereinigung erfolgt in zwei Schritten:

• Konfiguration der Aufbewahrungszeit – Die Aufbewahrungszeit kann abhängig von Datentyp, Land und Benutzerstatus konfiguriert werden.
• Planen Sie den Löschjob.

SAP ILM & DSGVO [E-Book]

In diesem E-Book erfahren Sie, weshalb das Information Lifecycle Management (SAP ILM) bei der Umsetzung der EU-DSGVO eine wichtige Hilfe sein kann.

Jetzt anfordern

SAP ILM & DSGVO [E-Book]

×

SuccessFactors DRTM

Schritt 1 (DRTM-Voraussetzungen):

Role Based Permission (RBP), Data Retention Management (DRM2.0), Meta Data Framework (MDF), Synchronisierung von Daten aus HRIS (Human Resource Information System) sowie die  Synchronisierung der Länderauswahlliste sind Vorraussetzungen für das Data Retention Time Management. Einzelheiten zu dieser Voraussetzung werden im Implementierungshandbuch für den Datenschutz erläutert.

Schritt 2 (Zusätzliches Feld in der SuccessFactors-Plattform, optional für zentrale Mitarbeiterdaten):

In der SuccessFactors-Plattform sind drei Feldwerte für die Datenbereinigungsfunktion am wichtigsten: Land, Benutzerstatus und Kündigungsdatum. Wenn Sie Employee Central verwenden, werden diese Feldwerte über HRIS-Synchronisierungsjobs von Employee Central zur Plattform synchronisiert.

So aktivieren Sie das Kündigungsdatum in der Plattform:  Fügen Sie für das Kündigungsdatum das Standardelement „companyExitDate” in das Nachfolgedatenmodell ein. Dieser Feldwert wird hauptsächlich zur Berechnung der Datenaufbewahrungszeit für inaktive Benutzer verwendet:

Vervollständigen Sie die HRIS-Synchronisierungszuordnung zwischen Employee Central und People Profile. Hier erfolgt die Zuordnung mit dem EC-Portlet Beschäftigungsinfo-Feld „Kündigungsdatum“. Siehe folgende Beispielabbildung:

Schritt 3 (Zugriff auf Rolle für Datenbereinigung basierend auf DRTM):

Anbei führe ich die Zugriffsabschnitte auf, die hauptsächlich für DRTM und die Datenbereinigung wichtig sind:

Schritt 4 (Aktivierung der DRTMs vom Upgrade-Center aus):

Es wird empfohlen, alle DRTMs vom Upgrade-Center aus zu aktualisieren, falls Sie kein DRTM verwenden. Wichtige DRTM-Upgrades in Bezug auf Employee Central sind nachfolgend aufgeführt:

Schritt 5 (Aktualisieren der Daten für das Länder-MDF-Objekt):

Im Länder-MDF-Objekt (MDF = Metadata Framework) gibt es ein neues Feld mit der Bezeichnung „Datenaufbewahrung aktiviert“. Setzen Sie für die Länder, in denen Sie DRTM implementieren möchten, den Wert als Feld für Datenaufbewahrung aktiviert auf „Ja”. Es wird empfohlen, DRTM für alle Länder zu aktivieren, auch wenn Sie DRTM für diese Länder nicht verwenden. Im Beispiel-Screenshot habe ich die Datenaufbewahrung für Großbritannien aktiviert.

Schritt 6 (Festlegen der Aufbewahrungszeit für den jeweiligen DRTM):

Die Berechnung der Aufbewahrungszeiten für jeden Datentyp wird aus Basisdaten abgeleitet, die für diesen Datentyp spezifisch sind. Das Basisdatum wurde im Implementierungshandbuch für Datenschutz beschrieben. Das Basisdatum für die zentralen Telefoninformationen des Mitarbeiters, die persönlichen Daten, die E-Mail-Adresse und die Angehörigen ist beispielsweise das Kündigungsdatum des Mitarbeiters (effektives Enddatum) in den Beschäftigungsinformationen. In der folgenden Abbildung wurde die Aufbewahrungsdauer für die britischen Telefoninformationen für 12 Monate nach dem Kündigungsdatum des Mitarbeiters festgelegt:

Der erste Schritt zur Konfiguration der Datenbereinigung und somit zum Erfüllen der EU-DSGVO-Anforderung „Recht auf Vergessenwerden” ist mit der Konfiguration der Aufbewahrungszeit abhängig von Datentyp, Land und Benutzerstatus somit erfüllt. Nun kommen wir zum 2. Schritt: Daten löschen.

Webinar: DSGVO-konform mit SAP – Wie Sie mit SAP ILM hohe Strafen vermeiden

Was genau ist SAP ILM? Wie könnte die Einführung der Anwendung in Ihrem Unternehmen ablaufen und wie trägt SAP ILM zur DSGVO-Konformität bei? Diese Fragen beantworten wir in diesem Live-Webinar.

Jetzt anmelden

Daten löschen

Schritt 1:

Erstellen Sie eine Datenbereinigungsanforderung aus dem Admin Center heraus. In diesem Beispiel wurde eine Datenbereinigungsanforderung für die britischen, persönlichen Daten erstellt, mit der die Telefoninformationsdaten gemäß der obigen Konfiguration effektiv gelöscht werden. Wenn wir einen Benutzer für die Datenbereinigung auswählen, wird die Aufbewahrungszeit (Konfiguration von Schritt 6) bei der Datenbereinigung nicht berücksichtigt. Wenn Sie Benutzerstatus und -länder verwenden, wird die Aufbewahrungszeit (Konfiguration von Schritt 6) bei der Datenbereinigung berücksichtigt. Im folgenden Szenario verwenden wir inaktive Benutzer für Großbritannien:

Schritt 2:

Der Genehmigende genehmigt die Datenbereinigungsanforderung vom Admin Center über den Wartungsmonitor (RBP-abhängig). Hier ist der Genehmigende „sfadmin”:

Vor der Genehmigung wird der Vorschaubericht der Datenbereinigung angezeigt. Ein Beispiel für einen heruntergeladenen Vorschaubericht zum Löschen finden Sie unten. Im Bericht wird angezeigt, für welchen Mitarbeiter welche Daten gelöscht werden:

Sobald die Datenbereinigungsanforderung genehmigt wurde, wird der Datenbereinigungsjob basierend auf der Zeitplanung gemäß Anforderung gestartet:

Schritt 3:

Sobald der Auftrag verarbeitet ist, können wir uns den Auftragsverlauf über die Historie anzeigen lassen:

Das sind die Schritte, die Sie zur Datenbereinigung gemäß der EU-DSGVO-Anforderung „Recht auf Vergessenwerden” durchführen müssen. Im nächsten Schritt möchte ich Ihnen gerne noch zeigen, wie Sie überprüfen können, ob die Daten gemäß der obigen Schritte tatsächlich ordnungsgemäß gelöscht wurden.

Wurden die Daten ordnungsgemäß gelöscht?

Telefoninformationsdaten des Mitarbeiters vor der Datenbereinigung:

Der Mitarbeiter wurde am 02. Januar 2017 gekündigt. Die zuvor definierte Frist von mehr als 12 Monate ab Zeitpunkt der Kündigung ist somit erfüllt. In Schritt 6 (Festlegen der Aufbewahrungszeit für den jeweiligen DRTM) wurde hier beispielhaft die Retentionszeit der Telefoninformation eingestellt:

Nach der Datenbereinigung ist im System kein Telefondatensatz mehr verfügbar:

Fazit

Das „Recht auf Vergessenwerden” ist im Rahmen der SucessFactors Berechtigungen ein elementarer Bestandteil, die EU-DSGVO-Anforderungen ordnungsgemäß umzusetzen. In diesem Blogbeitrag habe ich Ihnen aufgezeigt, dass wir für die Datenbereinigung in SuccessFactors das DRTM (Data Retention Time Management) als ideale Lösung empfehlen und Ihnen Schritt-für-Schritt erläutert, wie Sie die Konfiguration der Datenbereinigung durchführen können. Wenn Sie Fragen zu dem Thema haben, dann kontaktieren Sie mich – ich helfe Ihnen gerne weiter.

Maximilian Franzkowiak

Als Leiter des SuccessFactors Themenbereich bei der mindsquare AG ist es meine Aufgabe unsere Kunden auf dem Weg in die Cloud zu begleiten. Mir ist es wichtig mich persönlich weiterzuentwickeln und immer wieder neu zu fordern. In meiner Freizeit treibe ich gerne Sport.

Sie haben Fragen? Kontaktieren Sie mich!