Diskrepanzen und Lösungen

Data Warehouse vs. Datenschutz

29.04.2014 von Rolf Lauser
Wie können Unternehmen Daten erheben und weiterverarbeiten, ohne gegen geltendes Datenschutzrecht zu verstoßen?

Aus Sicht der Datenschützer sind Data Warehouses eher kritisch zu betrachten - vor allem die damit verbundenen Funktionen zur Auswertung wie Data Mining oder OLAP (Online Analytical Processing). Schließlich gibt es erhebliche Diskrepanzen zwischen den Vorgaben des Bundesdatenschutzgesetzes und den Zielen und Möglichkeiten von Data Warehouses. Dieser Beitrag soll aufzeigen, wie sich Anwender trotzdem gesetzeskonform verhalten, ohne die Vorteile ihrer Datenbanksysteme aufzugeben.

Ziele von Data Warehouses

Data Warehouses sind integrierte Datenbestände, die durch Extraktion, Bereinigung und teils durch Aggregation aus den operativen Datenbeständen einer Organisation gewonnen werden. Sie sind keine 1:1-Abbildungen der einzelnen operativen Datenbestände einer Organisation, sondern speziell für planerische und kontrollierende Auswertungen konzipierte Datenbanken. In diese fließen Daten aus unterschiedlichen operativen Datenbeständen ein.

Zweck eines Data Warehouse ist es, flexibel qualitativ hochwertige Daten für analytische Anwendungen zur Verfügung zu stellen. Entsprechend den Anforderungen der analytischen Anwendungen werden die Daten über einen längeren Zeitraum und beständig (unverändert) vorgehalten - teilweise ergänzt durch Daten, die aus externen Quellen von außerhalb der Organisation stammen.

Die eingesetzten Analysemethoden - darunter Data Mining oder OLAP - sollen zum einen wiederkehrende Standard-Auswertungen vornehmen, zum anderen aber auch wechselnde, nicht vorher bestimmbare, komplexe Fragestellungen beantworten.

Ziele und Vorgaben des Datenschutzes

Das Ziel des Datenschutzrechts ist es, das Recht auf die "informationelle Selbstbestimmung" natürlicher Personen - der so genannten "Betroffenen" - zu wahren. Demnach haben die Betroffenen grundsätzlich das Recht selbst zu bestimmen, welche Informationen über ihre "persönlichen und sachlichen Verhältnisse" Dritten preisgegeben werden.

Das bedeutet aber nicht, dass jedes Individuum in jeder Situation entscheiden kann, welche Informationen über seine Person Dritten zugänglich gemacht werden. Vielmehr ist im Bundesdatenschutzgesetz (BDSG) geregelt, unter welchen Bedingungen Organisationen personenbezogene Daten Betroffener - beispielsweise von Kunden oder Beschäftigten - erheben, verarbeiten, nutzen oder an Dritte übermitteln dürfen (§28 Abs. 1, in Verbindung mit §4 BDSG). Zulässig ist das Erheben, Verarbeiten und Nutzen personenbezogener Daten in folgenden Fällen:

Weitere Rahmenbedingungen

Neben diesen einschränkenden Erlaubnistatbeständen für die Erhebung personenbezogener Daten sind im BDSG noch bestimmte Rahmenbedingungen definiert. Diese müssen erfüllt sein, damit die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten überhaupt zulässig sein kann. Wichtige Rahmenbedingungen, insbesondere im Hinblick auf den Einsatz von Data Warehouses, sind:

Fazit: Werden personenbezogene Daten in ein Data Warehouse integriert, liegt eine anlasslose Vorratsdatenspeicherung vor, die dem BDSG zuwider läuft. Schließlich werden Datenbestände vorgehalten, die aus unterschiedlichen Anwendungen zusammengeführt wurden, um im Voraus nicht näher definierte Auswertungen vornehmen zu können. Dafür wurden personenbezogenen Daten ohne Einwilligung der Betroffenen ohne detailliert spezifizierte Zwecke erhoben und entgegen den Vorgaben des Trennungsgebotes für beliebige Auswertungszwecke zusammengeführt.

Datenschutzkonforme Data Warehouses

Datenschutz im Data Warehouse ist eine Sisyphos-Arbeit.
Foto:

Weniger Probleme gibt es mit Data Warehouses, die nur Daten ohne Personenbezug umfassen. Das BDSG schützt lediglich personenbezogene Daten - also nur solche, die sich beispielsweise auf Kunden oder Mitarbeiter beziehen. Sobald jedoch personenbezogene Daten, wie Namen, Adressen oder sonstige Daten über Geschäftsbeziehungen zwischen den betroffenen Personen und der Organisation in das Data Warehouse einfließen, gelten die Rahmenbedingungen des Bundesdatenschutzgesetzes auch für das Data Warehouse und die daraus abgeleiteten Auswertungen. Sonderregelungen oder Erleichterungen für Data Warehouses sind im BDSG nicht vorgesehen.

Sollen nun also personenbezogene Daten in das Data Warehouse übernommen werden, die in den operativen Datenbeständen zweckbezogen, ohne spezielle Einwilligung und gemäß den Vorgaben des §28 (1) BDSG verwaltet werden, bietet sich auf BDSG-Basis lediglich die Anonymisierung respektive Pseudonymisierung dieser Daten an.

Weder die Anonymisierung noch die Pseudonymisierung ermöglichen eine wirkliche, sondern lediglich eine relative Unkenntlichmachung der hinter den Daten stehenden Personen. Dennoch werden beide Vorgehensweisen im Allgemeinen als hinreichend für einen wirksamen Datenschutz akzeptiert. Sie stellen de facto die einzigen beiden Möglichkeiten dar, personenbezogene Daten ohne Einwilligung der Betroffenen aus den operativen Datenbeständen in Data Warehouses einzubinden. Unter Datenschützern sehen sich beide Methoden dennoch einer erheblichen Kritik ausgesetzt.

In bestimmten Anwendungsfällen wie beispielsweise in Customer-Relationship-Management-Anwendungen (CRM), ist ein Personenbezug hingegen unerlässlich. Hier lässt sich eine wirksame Einwilligung der Betroffenen bereits bei der Datenerhebung demnach nicht umgehen. Wie wirksam diese Einwilligung schließlich ist, lässt sich nur durch eine transparente Darlegung des Zweckes der Datennutzung beeinflussen. (sh)

Datenschutz im Web sicherstellen -
Ausschließlich pseudonyme Nutzerprofile erstellen
Nutzungsprofile von Besuchern dürfen laut §15 Telemediengesetz ohne Einwilligung nur unter einem Pseudonym erstellt werden.<br /><br /> In der Regel spricht man von einem Pseudonym, wenn hinter dem jeweiligen Datensatz fünf oder mehr Personen stecken können. Die Datenschutzbehörden haben hierzu festgestellt, dass die IP-Adresse ausdrücklich kein Pseudonym darstellt, da hierdurch Rückschlüsse auf den einzelnen Besucher einer Website gezogen werden können. Achten Sie darauf, dass IP-Adressen vor der Verarbeitung und Speicherung so gekürzt werden, dass ein Bezug zur natürlichen Person nicht mehr herzustellen ist.
Widerspruchsrecht einräumen und technisch umsetzen
Besucher müssen der Erstellung von Nutzungsprofilen widersprechen können. Der Widerspruch muss vom Website-Betreiber wirksam umgesetzt werden.<br /><br /> Website-Besucher besitzen grundsätzlich bei allen erfassten personenbezogenen Daten das Recht, eine erteilte Einwilligung zur Nutzung dieser Daten für Zwecke der Werbung und Marktforschung zu widerrufen. Außerdem besteht ein Widerspruchsrecht zur Bildung von Nutzungsprofilen, die unter einem Pseudonym für Marktforschungs- und Analysezwecke erstellt wurden. Diese Widerspruchsrechte müssen auch für alle Anwendungen und Dienste auf mobilen Endgeräten wie Smartphones oder Tablets eingeräumt werden. Möchte der Kunde von diesen Rechten Gebrauch machen und nicht länger zu den personenbezogenen bzw. pseudonymisierten Nutzungsprofildaten beitragen, müssen Sie dies veranlassen und technisch umsetzen (lassen).
Keine IP-Adressen verarbeiten oder gar speichern
Ohne bewusste, eindeutige Einwilligung des Betroffenen darf die vollständige IP-Adresse nicht verarbeitet werden.<br /><br /> Eine illegale Verarbeitung ist beispielsweise bereits die IP-Geolokalisierung oder die Identifikation der Firma des Besuchers auf Basis vollständiger IP-Adressen. Allerdings ist eine Geolokalisierung auch mit verkürzter IP-Adresse – und damit datenschutzkonform – möglich.
Strikte Datentrennung einhalten
Pseudonyme und personenbezogene Daten müssen stets getrennt gespeichert und dürfen ohne Einwilligung nicht zusammengeführt werden.<br /><br /> Speichern Sie personenbezogene und nicht personenbezogene Daten in separaten Datenbanken. Eine Löschung bzw. Anonymisierung von personenbezogenen Informationen ist dann unproblematisch und schnell umgesetzt. Generell gilt: Je stringenter Sie Ihre Daten organisieren, umso schneller und einfacher können Sie auch dem Widerspruchsrecht Ihrer Kunden entsprechen.
„Auftragsdatenvereinbarung“ mit Dienstleister abschließen
Die Auftragsdatenverarbeitung (ADV) ist ein fester Bestandteil des Bundesdatenschutzgesetzes (BDSG): Der Vertrag mit einem Dienstleister muss den Anforderungen nach §11 BDSG entsprechen. Die ADV erfordert stets die Schriftform, eine Online-Akzeptanz ist nicht möglich. In der ADV wird die Zusammenarbeit mit dem Dienstleister geregelt. <br /><br /> Die meisten Unternehmen betreiben das Web-Controlling nicht auf eigenen Servern, sondern nehmen die Dienste Dritter dafür in Anspruch. Wenn die Daten auf diese Weise weitergeleitet werden, ist es zwingend erforderlich, dass Sie die Kontrolle über die Daten behalten. Schließen Sie mit dem Dienstleister einen schriftlichen Vertrag zur Verarbeitung der Daten in Ihrem Auftrag ab (Auftragsdatenverarbeitung). Wichtig zu beachten ist: Der Auftraggeber bleibt stets verantwortlich für die datenschutzkonforme Verarbeitung: Nur er wird haftbar gemacht und muss im Falle eines Verfahrens mit Bußgeldstrafen rechnen (§11 Abs. 1 BDSG).
Sparsam mit Daten umgehen
Laut §3a BDSG dürfen personenbezogene Daten nur in dem Umfang erhoben und gespeichert werden, wie es für den jeweiligen Zweck der Geschäftsbeziehung mit dem Kunden erforderlich ist. <br /><br /> Für die Erhebung von Daten, die für die Marktforschung wünschenswert, für den jeweiligen Zweck jedoch nicht zwingend notwendig sind, bedarf es der Einwilligung des betroffenen Nutzers. Erheben Sie daher nur Daten, die Sie für den jeweiligen Zweck auch wirklich benötigen. Verzichten Sie auf unnötige „Pflichtfelder“, auch wenn weitere Daten für Marketing und Marktforschung wünschenswert wären. Lassen Sie auf die Daten nur diejenigen Mitarbeiter zugreifen, die die Daten auch wirklich benötigen. Nutzen Sie die Daten nur zu dem Zweck, den Sie jeweils bei der Datenerhebung angegeben haben. Für andere Zwecke benötigen Sie in jedem Fall die Einwilligung des betroffenen Nutzers.