Information Lifecycle Management (ILM) und seine Herausforderungen im SAP HCM datenschutzkonform meistern

Daten-Architektur

Mit der Komponente Information Lifecycle Management (ILM) bietet SAP eine Standard-Lösung zur Verwaltung des Lebenszyklus produktiver und archivierter Daten. ILM ist grundsätzlich eine hilfreiche Lösung. In der Praxis erhöht sich die Komplexität rund um Datenarchivierung und Datenlöschung jedoch durch rechtliche Vorgaben, wie der DSGVO, und Unternehmensspezifika mit deutlichen Folgen. Allzu schnell geht die Transparenz über die zu löschenden oder bereits gelöschten Daten verloren. Es entsteht eine diffuse Datensituation, die häufig nur durch immensen Protokollierungs- und Prüfaufwand seitens der durchführenden Personen in den zuständigen Fachabteilungen aufgefangen werden kann. So entsteht zusätzlicher Stress für die häufig unterbesetzten IT- und Personalabteilungen. Die gute Nachricht ist, dass es praxistaugliche Ansätze gibt um diesen Mehraufwand zu verringern.

Ist SAP ILM die richtige Antwort auf die Forderungen des Gesetzgebers zur Datenlöschung?

Das Problem beim DSGVO-konformen Löschen von Personaldaten mit SAP ILM: Einmal zerstört ist zerstört. Der Löschvorgang selbst wird zwar protokolliert, es lassen sich jedoch keine Rückschlüsse auf die Inhalte der gelöschten Datensätze ziehen. Das ist auch gut so, denn Sinn des ILM ist es ja gerade, nicht mehr benötigte Daten bzw. Daten deren rechtliche Grundlage zur weiteren Aufbewahrung entfällt, dauerhaft und spurenlos zu löschen. Sollten Daten nun aber versehentlich zerstört werden (in diesem Zusammenhang sind viele unterschiedliche Gründe möglich), sind die Daten unwiederbringlich verloren. Umso wichtiger ist es, sich in diesem sensiblen Anforderungsbereich auch mit den funktionalen Schwächen von SAP ILM auseinanderzusetzen, um operative Risiken zu minimieren.

Werfen wir dafür zunächst einen kurzen Blick in die Vergangenheit. Vorläufer des heutigen ILM ist die Archivierung. Mit den Archivierungsfunktionalitäten hat SAP dem Kunden die Möglichkeit gegeben seine Systeme um „Altdaten“ zu bereinigen: Wenn die Daten ein bestimmtes Alter überschritten hatten, wurden diese auf andere Festplatten ausgelagert/archiviert. Mit der Verschärfung der Rechtslage durch die EU-DSGVO haben sich Anforderungen und Zielstellungen bei der Datenarchivierung jedoch deutlich geändert und SAP hat mit der Erweiterung zum heutigen ILM darauf reagiert. Plötzlich waren Lösungen gefordert, um Daten kontrolliert und fristgebunden im Rahmen eines Regelwerks und durch die Anwendung von Automatismen zu löschen, bzw. genauer: diese Daten spurenlos zu zerstören. Das ILM nutzt nun für sich die bekannten Prozesse der Datenarchivierung und verwaltet, wie lange Daten im System bleiben bevor sie unwiederbringlich gelöscht werden. Aus dieser Entstehungshistorie heraus, ergeben sich gewisse Eigenheiten der ILM-Lösung, die im Zusammenhang mit dem DSGVO-konformen Löschen beleuchtet werden müssen.

Vom Archivierungstool zum Datenvernichter: Eine Entwicklung mit Hindernissen

Herausforderung Datenmanagement

Zu Zeiten der reinen Archivierung war es nicht entscheidend, welche Daten bereits archiviert und welche noch als Originale erhalten waren. Es gab daher nur wenige adäquate Kontroll- und Protokollfunktionen, die einen kompakten Überblick über die Archivierungsvorgänge lieferten.

Nun fordert der Gesetzgeber mit der DSGVO die unwiederbringliche Löschung der Daten, weshalb das ILM heute sehr viel detaillierter protokollieren muss. Dies kann, je nach Ausgangslage, durchaus zu Millionen Protokolleinträgen führen, von denen meist nur ein Bruchteil tatsächlich auf Fehler hinweist. Die Standard-Protokolle sind umfangreich und aufgrund der Masse schwer zu analysieren. Sie helfen kaum dabei, Kontrolle über die Menge, den Umfang und die Auswahl der zerstörten Daten zu erlangen. Bei großen Datenmengen und unter Berücksichtigung der Besonderheiten von personenbezogenen Daten im HCM den Überblick zu behalten, wird in diesem Zusammenhang zum kritischen Moment. Es ist daher ganz besonders wichtig, für ein gutes Monitoring zu sorgen und die Korrektheit der Datenselektion stets im Überblick zu behalten (Werden auch tatsächlich nur die gewünschten Daten gelöscht?).


In der Praxis kann die ILM-Standardlösung dabei, bedingt durch ihre funktionale Entstehungsgeschichte, leider nur eingeschränkt unterstützen. Hinzu kommt ein, aus technisch-funktionaler Perspektive, komplizierter Mechanismus um die Zerstörung von Daten tatsächlich zu erreichen. Das ILM basiert auf einer Funktionalität, welche ursprünglich zur Archivierung gedacht war, nicht als Werkzeug für den Datenzerstörungsprozess. Die Grundlage ist also meist ein Archivierungsschritt. Das ist für die vollständige Eliminierung von Daten eher hinderlich als hilfreich. So wird bei Archivierungsvorgängen noch temporär eine Archivdatei geschrieben, aus der dann erst im nächsten Schritt die eigentliche Löschung initiiert wird. Für kundeneigene Infotypen bietet SAP die Möglichkeit zur Entwicklung eigener Löschfunktionalitäten innerhalb des ILM-Frameworks. Jedoch setzt dies spezifische Programmierkenntnisse voraus, sowie Wissen sowohl über den Ablauf der Löschung als auch über die Komplexität und die Abhängigkeiten des kundeneigenen Infotypen zu anderen Daten im SAP.

Das Wissen um die Besonderheiten der SAP HCM Daten und die spezifische Anwendung des ILM Tools darauf ist der Schlüssel zum effizienten Datenlöschprozess

Nun betrachten wir aber noch einmal, wie die technischen Besonderheiten des SAP HCM diese allgemeinen Herausforderungen an das DSGVO-konforme Löschen mit SAP ILM verschärfen. Besonders für personenbezogene Daten im Modul SAP HCM gilt, dass die Datenstrukturen des HCM nur bedingt zur Zerstörung geeignet sind. Prinzipiell zeichnet sich die HCM-Lösung dadurch aus, dass fast alle Daten komplett sowie historisch korrekt abgegrenzt und in Zeitscheiben gehalten werden. Einige dieser Daten sind jedoch für das Datenmodell funktionskritisch: Typische Beispiele sind hier die Infotypen „0000 Maßnahmen“ und „0001 Organisatorische Zuordnung“. In den Maßnahmen sind wichtige, steuerungsrelevante Informationen. Diese dürfen nicht einfach zerstört werden. Zudem gibt es in den Datenstrukturen von SAP HCM wichtige Abhängigkeiten zwischen den Objekten (Stammdaten, Cluster, Belege, Protokolldateien), die es bei der Konzeption und der Ausführung von Löschvorgängen zu berücksichtigen gilt. Die Löschreihenfolge ist nicht beliebig. Sie wird in großen Teilen durch die Forderung nach systemkonsistenten Daten diktiert. In der Folge steigt der Aufwand bei der Durchführung von Datenlöschungen signifikant. Zudem stehen in der Praxis häufig die Datumsinformationen des Infotypen „0003 Abrechnungsstatus“ Löschprozessen im Weg. Hier gibt es insbesondere im Bereich von weit zurückliegenden Austritten (aber auch in weiteren Bereichen) oft Schiefstände, denn die Aufbewahrungsfristen im ILM liegen erfahrungsgemäß im Bereich von 4-12 Jahren.

Durch SAP ILM in Kombination mit Automatisierungswerkzeugen Zeit und Kosten sparen

Datenschutz - IT-Sicherheit

Die Datenlöschung im Umfeld des SAP HCM ist ein fachlich und technisch komplexer Vorgang. Die Standardlösungen der SAP können, wie wir am Beispiel von SAP Information Lifecycle Management (ILM) betrachtet haben, die Löschprozesse für viele technische Daten grundlegend bedienen. Es fehlt aber häufig an Kontrolle und Transparenz über die zur Löschung ausgewählten oder bereits gelöschten Daten. Das Zwischenfazit zum aktuellen Stand von SAP ILM: Durch das Aufsetzen der Löschfunktionalität auf die Archivierungstechnologie werden die Löschabläufe in der Praxis schnell sehr komplex. Diese Komplexität führt gemeinsam mit den zu beachtenden Löschreihenfolgen dazu, dass eine Automatisierung der Löschabläufe mit Standardfunktionalitäten des SAP ILM quasi nicht möglich ist.

In unserer Projektpraxis stehen wir bei Kunden unterschiedlichster Größe und diverser Branchen regelmäßig vor der Herausforderung diese Problemstellungen zu lösen und die Kontrolle und Transparenz über die Löschprozesse zu erhalten. Auf dieser Erfahrungsgrundlage können wir verschiedene Lösungsempfehlungen für den Einsatz von SAP ILM zur DSGVO-konformen Zerstörung personengebundener Daten aus SAP HCM geben.

  • Für den wichtigen und steuernden Infotypen „0003 Abrechnungsstatus“ sollte ein Tool zur Unterstützung von Analyse und Korrektur eingesetzt werden. Damit ILM-Prozesse fehlerfrei ausgeführt werden können, müssen die Datumsfelder im Infotypen geprüft und ggf. korrigiert werden.
  • Analysieren Sie die Datenmenge fortlaufend in Tabellen, um ein klares Bild von der zu erwartenden Menge an gelöschten Daten zu bestimmen. Die Durchführung dieses Abgleichs vor und nach der Löschung bringt Klarheit über den Erfolg von Datenlöschungen.
  • Setzen Sie auf Reports für Infotypen und Tabellen zur Unterstützung regelmäßiger Massenanalysen. Wichtig dabei: Es sollte eine Zeitscheibenanalyse sein, welche die Datensätze pro Löschintervall abbilden kann.
  • Begutachten Sie die ILM-Protokolle. Gezieltes Durchsuchen von Protokollen nach Personal­nummern und Nachrichten auch über mehrere ILM-Objekte und Zeiträume hinweg, bringt Sicherheit über Vollständigkeit und Korrektheit der Löschvorgänge. Nutzen Sie für diese Anforderung softwaregestützte Automatisierungsmöglichkeiten, um den Bearbeitungsaufwand angemessen zu halten.
  • Sparen Sie Zeit mittels Automatisierung von Datenlöschungen durch die Funktion der Laufverknüpfung von Löschvorgängen mit ILM.
  • Die Einsicht der Protokolle kann, gesteuert über Berechtigungen, je Fachbereich erfolgen. Dafür werden die ILM-Protokolle in die SAP-Spool übertragen, bzw. als Download (bspw. MS Excel) zur Verfügung gestellt.

Ziel unserer Empfehlungen ist eine effizientere Gestaltung des Löschprozesses durch weitreichende Automatisierung. Unsere Lösungsansätze liefern Antworten auf Funktionalitätslücken des ILM und machen die Vorgänge transparenter sowie kontrollierbarer. Gerne unterstützen wir Sie als SAP HCM-Kunden auch aktiv bei der Konzeptionierung und Einrichtung eines datenschutzkonformen Prozesses für das HR-Datenmanagement mit SAP ILM. Einen guten Einblick bieten wir Ihnen bereits in unserer Websession. Nehmen Sie gern Kontakt mit uns auf.

Diesen Artikel teilen: