Aus Sicht der Datenschützer sind Data Warehouses eher kritisch zu betrachten - vor allem die damit verbundenen Funktionen zur Auswertung wie Data Mining oder OLAP (Online Analytical Processing). Schließlich gibt es erhebliche Diskrepanzen zwischen den Vorgaben des Bundesdatenschutzgesetzes und den Zielen und Möglichkeiten von Data Warehouses. Dieser Beitrag soll aufzeigen, wie sich Anwender trotzdem gesetzeskonform verhalten, ohne die Vorteile ihrer Datenbanksysteme aufzugeben.
Ziele von Data Warehouses
Data Warehouses sind integrierte Datenbestände, die durch Extraktion, Bereinigung und teils durch Aggregation aus den operativen Datenbeständen einer Organisation gewonnen werden. Sie sind keine 1:1-Abbildungen der einzelnen operativen Datenbestände einer Organisation, sondern speziell für planerische und kontrollierende Auswertungen konzipierte Datenbanken. In diese fließen Daten aus unterschiedlichen operativen Datenbeständen ein.
Zweck eines Data Warehouse ist es, flexibel qualitativ hochwertige Daten für analytische Anwendungen zur Verfügung zu stellen. Entsprechend den Anforderungen der analytischen Anwendungen werden die Daten über einen längeren Zeitraum und beständig (unverändert) vorgehalten - teilweise ergänzt durch Daten, die aus externen Quellen von außerhalb der Organisation stammen.
Die eingesetzten Analysemethoden - darunter Data Mining oder OLAP - sollen zum einen wiederkehrende Standard-Auswertungen vornehmen, zum anderen aber auch wechselnde, nicht vorher bestimmbare, komplexe Fragestellungen beantworten.
Ziele und Vorgaben des Datenschutzes
Das Ziel des Datenschutzrechts ist es, das Recht auf die "informationelle Selbstbestimmung" natürlicher Personen - der so genannten "Betroffenen" - zu wahren. Demnach haben die Betroffenen grundsätzlich das Recht selbst zu bestimmen, welche Informationen über ihre "persönlichen und sachlichen Verhältnisse" Dritten preisgegeben werden.
Das bedeutet aber nicht, dass jedes Individuum in jeder Situation entscheiden kann, welche Informationen über seine Person Dritten zugänglich gemacht werden. Vielmehr ist im Bundesdatenschutzgesetz (BDSG) geregelt, unter welchen Bedingungen Organisationen personenbezogene Daten Betroffener - beispielsweise von Kunden oder Beschäftigten - erheben, verarbeiten, nutzen oder an Dritte übermitteln dürfen (§28 Abs. 1, in Verbindung mit §4 BDSG). Zulässig ist das Erheben, Verarbeiten und Nutzen personenbezogener Daten in folgenden Fällen:
Wenn es gesetzlich vorgeschrieben ist;
Wenn es für die Begründung, Anwendung oder Beendigung eines Vertrages oder eines vertragsähnlichen Verhältnisses erforderlich ist;
Soweit es zur Wahrung eigener Interessen des verarbeitenden oder nutzenden Unternehmens erforderlich ist und kein Grund zu Annahme besteht, dass schutzwürdige Interessen des Betroffenen überwiegen;
Sollen darüber hinausgehend personenbezogene Daten erhoben werden, so ist dies nur mit einer dokumentierten Einwilligung des Betroffenen zulässig.
Weitere Rahmenbedingungen
Neben diesen einschränkenden Erlaubnistatbeständen für die Erhebung personenbezogener Daten sind im BDSG noch bestimmte Rahmenbedingungen definiert. Diese müssen erfüllt sein, damit die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten überhaupt zulässig sein kann. Wichtige Rahmenbedingungen, insbesondere im Hinblick auf den Einsatz von Data Warehouses, sind:
Das Recht auf informationelle Selbstbestimmung setzt voraus, dass über alle Stufen der Datenverarbeitung hinweg eine hinreichende Transparenz gegeben ist. Im Klartext: Den Betroffenen muss jederzeit bekannt sein, für welche Zwecke und durch wen ihre Daten verarbeitet oder genutzt und wie lange sie aufbewahrt werden. Daraus folgt, dass die erhobenen Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, der den Betroffenen im Rahmen der Datenerhebung bekannt gegeben wurde, ihnen also transparent ist. Dabei ist zu beachten, dass die den Betroffenen bekannt gegebenen Zwecke hinreichend präzise angegeben werden. So ist ein globaler Hinweis auf eine Datenauswertung auf der Basis von Data Warehouses nicht ausreichend. Vielmehr muss aus den angegebenen Zwecken hervorgehen, welche Auswertungen vorgenommen werden sollen.
Der Zweck der Datenerhebung muss im Rahmen der Einwilligung dokumentiert werden. Letztere stellt die einzige Möglichkeit dar, die Datenerhebung zu legitimieren. Einzig wenn die Erhebung auf der Grundlage einer Rechtsvorschrift erfolgt oder die Daten zur Abwicklung eines Vertragsverhältnisses erforderlich sind, ist keine Einwilligung nötig. Das sollte bei einer Datensammlung für Auswertungszwecke aber kaum der Fall sein. Einwilligungen müssen schriftlich vorliegen, das Einräumen einer nachträglichen Widerspruchsmöglichkeit gegen die Datenerhebung reicht nicht aus. Bei einer Datenerhebung auf einer Website reicht das so genannte "doppelte Opt-In" aus (§13 Telemediengesetz). Auch hier muss aber die Erteilung der Einwilligung (datenmäßig) dokumentiert werden.
Ein entscheidendes Grundprinzip des Datenschutzes ist die Datenvermeidung beziehungsweise die Datensparsamkeit (§3a BDSG). Nach diesem Prinzip sind Organisationen, die personenbezogene Daten verarbeiten, verpflichtet, nur die Daten zu erheben, die für den beabsichtigten Verarbeitungszweck unbedingt erforderlich sind. Sollen die erhobenen personenbezogenen Daten darüber hinaus genutzt werden - beispielsweise im Rahmen von Auswertungen -, ist das erneut nur mit einer dokumentierten Einwilligung des Betroffenen zulässig.
Daten, die für unterschiedliche Zwecke erhoben wurden, sind auch getrennt zu verarbeiten und/oder zu nutzen. Das hat die verantwortliche Organisation sicherzustellen (Trennungsgebot, Punkt 8 der Anlage zu §9 BDSG). Es ist keine physische Trennung der Daten nötig, wohl aber eine logische. Demnach ist die Vermischung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, in einer integrierten Auswertungsdaten-Basis nicht zulässig.
Fazit: Werden personenbezogene Daten in ein Data Warehouse integriert, liegt eine anlasslose Vorratsdatenspeicherung vor, die dem BDSG zuwider läuft. Schließlich werden Datenbestände vorgehalten, die aus unterschiedlichen Anwendungen zusammengeführt wurden, um im Voraus nicht näher definierte Auswertungen vornehmen zu können. Dafür wurden personenbezogenen Daten ohne Einwilligung der Betroffenen ohne detailliert spezifizierte Zwecke erhoben und entgegen den Vorgaben des Trennungsgebotes für beliebige Auswertungszwecke zusammengeführt.
Datenschutzkonforme Data Warehouses
Foto:
Weniger Probleme gibt es mit Data Warehouses, die nur Daten ohne Personenbezug umfassen. Das BDSG schützt lediglich personenbezogene Daten - also nur solche, die sich beispielsweise auf Kunden oder Mitarbeiter beziehen. Sobald jedoch personenbezogene Daten, wie Namen, Adressen oder sonstige Daten über Geschäftsbeziehungen zwischen den betroffenen Personen und der Organisation in das Data Warehouse einfließen, gelten die Rahmenbedingungen des Bundesdatenschutzgesetzes auch für das Data Warehouse und die daraus abgeleiteten Auswertungen. Sonderregelungen oder Erleichterungen für Data Warehouses sind im BDSG nicht vorgesehen.
Sollen nun also personenbezogene Daten in das Data Warehouse übernommen werden, die in den operativen Datenbeständen zweckbezogen, ohne spezielle Einwilligung und gemäß den Vorgaben des §28 (1) BDSG verwaltet werden, bietet sich auf BDSG-Basis lediglich die Anonymisierung respektive Pseudonymisierung dieser Daten an.
Eine Anonymisierung gemäß §3 (6) BDSG wird dadurch erreicht, dass der Personenbezug abgespaltet wird. Das heißt, dass beispielsweise Namen, Kundennummern, Stammnummern von Mitarbeitern etc. nicht in das Data Warehouse übernommen werden. Da dieser Weg der Anonymisierung in der Realität immer umkehrbar ist, muss die Datenübernahme so gestaltet werden, dass eine Re-Identifizierung der betroffenen Personen nur mit großem Aufwand möglich ist. Eine Anonymisierung ist deshalb immer relativ, wird aber vom Gesetzgeber trotzdem als hinreichend akzeptiert. Nach einer faktischen Anonymisierung dürfen die Daten dann auch von Gesetzes wegen uneingeschränkt in das Data Warehouse integriert und dort ausgewertet werden.
Eine Pseudonymisierung nach § 3 (6a) BDSG ist das Ersetzen eines Namens oder anderer Identifikationsmerkmale durch ein Kennzeichen, das die Bestimmung der Person zumindest wesentlich erschwert. Um einen hinreichenden Datenschutz zu erreichen, muss deshalb bei einer Pseudonymisierung sichergestellt werden, dass der Anwender (das heißt die Person, die das Data Warehouse oder die zur Verfügung stehenden Auswertungsfunktionalitäten nutzt) keine Kenntnis der Zuordnungsregeln zwischen Namen etc. und dem vergebenen Pseudonym hat.
Weder die Anonymisierung noch die Pseudonymisierung ermöglichen eine wirkliche, sondern lediglich eine relative Unkenntlichmachung der hinter den Daten stehenden Personen. Dennoch werden beide Vorgehensweisen im Allgemeinen als hinreichend für einen wirksamen Datenschutz akzeptiert. Sie stellen de facto die einzigen beiden Möglichkeiten dar, personenbezogene Daten ohne Einwilligung der Betroffenen aus den operativen Datenbeständen in Data Warehouses einzubinden. Unter Datenschützern sehen sich beide Methoden dennoch einer erheblichen Kritik ausgesetzt.
In bestimmten Anwendungsfällen wie beispielsweise in Customer-Relationship-Management-Anwendungen (CRM), ist ein Personenbezug hingegen unerlässlich. Hier lässt sich eine wirksame Einwilligung der Betroffenen bereits bei der Datenerhebung demnach nicht umgehen. Wie wirksam diese Einwilligung schließlich ist, lässt sich nur durch eine transparente Darlegung des Zweckes der Datennutzung beeinflussen. (sh)