sdecoret - stock.adobe.com
Wo personenbezogene Daten in SAP S/4HANA gespeichert sind
Personenbezogene Daten werden an verschiedenen Stellen in SAP S/4HANA gespeichert. Wir zeigen, wo Datenschutzverantwortliche diese Daten aufspüren.
Um personenbezogene Daten in SAP S/4HANA zu identifizieren, steht in erster Linie SAP Information Lifecycle Management (SAP ILM) zur Verfügung. Um die EU-Datenschutz-Grundverordnung (EU-DSGVO) einzuhalten, ist es notwendig, personenbezogene Daten so zu speichern und zu verwalten, dass sich diese jederzeit finden und bei Bedarf löschen lassen.
Bei der Suche nach solchen Daten spielen Stammdaten und Bewegungsdaten eine wesentliche Rolle. Wir gehen nachfolgend darauf ein, wie Datenschutzverantwortliche die Daten finden. Neben Personalwesendaten in SAP S/4HANA gibt es auch an verschiedenen anderen Stellen personenbezogene Daten.
Stammdaten und Bewegungsdaten verstehen
Stammdaten sind Informationen, die dauerhaft in SAP-Systemen gespeichert werden. In diesen Daten gibt es einen Bezug zu den Stellen im SAP-System, die Zugriff auf Informationen haben. Zusätzliche Komponenten von SAP S/4HANA haben unter Umständen ebenfalls Zugriff auf die Stammdaten, da für Belege Informationen aus den Stammdaten herangezogen werden. Wichtige, personenbezogene Daten in diesem Bereich sind zum Beispiel Geschäftspartner, die im SAP-System gespeichert sind. Natürliche und juristische Personen sind relevant für die EU-DSGVO, da personenbezogene Daten mit ihnen verknüpft sind.
Geschäftspartnern können in SAP S/4HANA unterschiedliche Rollen zugewiesen sein. Dazu gehören zum Beispiel Kunden, Lieferanten, aber auch Mitarbeiter. Es ist zum Beispiel möglich, dass ein Geschäftspartner gleichzeitig Lieferant und Kunde ist. Auch Mitarbeiter können Lieferanten und Kunden sein. Daher sollten diese Daten genau überprüft werden.
S/4HANA bietet dazu das Geschäftspartnermodell. Hier lassen sich den Stammdaten von Geschäftspartnern verschiedene Rollen zuweisen, zum Beispiel Lieferant und Kunde. Es ist in diesem Fall nicht mehr notwendig, die Daten doppelt im SAP-System zu pflegen. Das ist bezüglich der EU-DSGVO, aber auch für die Datensparsamkeit wichtig. Beim Einsatz dieses Modells lassen sich Daten schneller finden, unabhängig von der Rolle des Kunden, Lieferanten oder Mitarbeiters.
Die Stammdaten mit personenbezogenen Informationen befinden sich wiederum auf Bewegungsdaten in SAP. Dazu gehören verschiedene Belege, zum Beispiel Rechnungen, Lieferscheine und ähnliche Informationen. Beim Erstellen der Belege sind die Tabellen zu erkennen, aus welchen die Informationen für die Belege zusammengestellt werden.
Personenbezogene Daten in Finance
Vor allem in der Komponente Finance spielen personenbezogene Daten eine wichtige Rolle. Debitoren (Kunden) und Kreditoren (Lieferanten) sind in vielen Fällen personenbezogen gespeichert. Es ist daher sinnvoll, diesen Bereich genau zu untersuchen. An dieser Stelle unterscheiden sich die SAP Business Suite und S/4HANA. Bei S/4HANA kommt das erwähnte Geschäftspartnermodell zum Einsatz, das zentral im System angelegt wird.
In der Business Suite erfolgt das Anlegen dieser Daten manuell. Daten liegen in verschiedenen Tabellen. Dazu gehören zum Beispiel LFA1, KNVK, LFB1, LFB5, LFBK, LFC1, LFLR, LFM1, LFM2 und MINDK (für Minderheiten, vor allem in den USA relevant).
Das sind aber nur Beispiele, es gibt auch an anderen Stellen personenbezogene Daten, die unter Umständen mit den genannten Tabellen verknüpft sind. Kritisch sind an dieser Stelle alle Felder, in denen Anwender freien Text eintragen können. Auch hier können personenbezogene Daten gespeichert werden. Diese Daten sind anschließend relevant für die EU-DSGVO.
Weitere personenbezogene Daten sind mit dem Zahlungsverhalten der Debitoren verknüpft. Gerade hier sind entsprechende Daten zu finden, die Aufschluss über die finanziellen Situationen der Debitoren geben. Besonders kritisch ist an dieser Stelle die Möglichkeit, Berichte zu erstellen. Das kann zu Missbrauch der personenbezogenen Daten führen. Daher sollten auch Berichte genau konfiguriert und deren Zugriff über Berechtigungsgruppen eingeschränkt werden.
In Finance sind neben Kundendaten auch Mitarbeiterdaten zu finden. Das gilt, wenn Kunden gleichzeitig Mitarbeiter sind. Da in den Belegen der Finanzbuchhaltung die Ersteller und Bearbeiter von Belegen gespeichert werden, sind diese Informationen relevant für SAP Information Lifecycle Management. Das System erkennt diese Belege und speichert beziehungsweise archiviert diese.
Controlling im Blick behalten
Generell gibt es im Controlling kaum personenbezogene Daten. Dennoch finden sich hier Informationen von Benutzern und Verantwortlichen für die einzelnen Kostenstellen im Unternehmen. Bei Kostenstellen kann es verschiedene personenbezogene Daten geben, wenn Unternehmen mit diesem Prinzip arbeiten. Heikel wir es, wenn einer Kostenstelle nur eine Person zugeordnet ist, denn dann sind die hier gespeicherten Daten auch personenbezogen und damit relevant für die EU-DSGVO.
Zusätzlich gibt es die Möglichkeit in SAP S/4HANA, mit Innenaufträgen für Projekte zu arbeiten. Diese sind zwar nicht dauerhaft verfügbar, so wie Kostenstellen, dennoch ist es möglich, dass hier personenbezogene Daten gespeichert sind. Grundsätzlich sollte bei Kostenstellen und Innenaufträgen darauf geachtet werden, diese gar nicht erst so anzulegen, dass personenbezogene Daten entstehen. Wenn das nicht vermeidbar ist, sollte der Umgang mit diesen Daten auch bereits frühzeitig für die EU-DSGVO optimiert werden.
Sales & Distribution enthält personenbezogene Daten
Im ERP-Kernmodul Sales & Distribution sind ebenfalls personenbezogene Daten zu finden. Neben dem Geschäftspartner sind hier die Kontaktinformationen und Informationen zu den Debitoren gespeichert.
In vielen Fällen sind juristische Personen und auch qualifizierte Merkmal des Benutzers hinterlegt. Auch Ansprechpartner und deren Kontaktdaten sind hier gespeichert. An dieser Stelle gibt es ebenfalls häufig Textfelder, die Anwender im Unternehmen selbst mit Informationen füllen können. Es ist also denkbar, dass hier personenbezogene Daten gespeichert sind, über die Datenschutzverantwortliche Bescheid wissen sollten.