Dr. Stephan Jennewein OPITZ CONSULTING Deutschland GmbH

Auch wenn der Auftragnehmer bereits die Daten verschlüsselt, muss der Auftraggeber seiner Sorgfaltspflicht nachkommen und ebenfalls Maßnahmen zur Zugriffsbeschränkung einführen.

Dr. Emrah Birsin OPITZ CONSULTING Deutschland GmbH

Daten, die ihren Verwendungszweck erfüllt haben, sollten ­automatisch vollständig anonymisiert werden, wobei darauf zu achten ist, dass keine indirekte Identifizierung möglich ist.

Die Entscheidung, welche Daten notwendig sind, ist für operative Systeme leicht zu treffen. Für typische Business-Intelligence-Systeme und Data Warehouses hingegen ist diese Argumentation nicht so einfach, da diese den operativen Systemen nachgelagert sind. Ihre Funktion ist die zentrale und integrierte Speicherung und Verwaltung des Firmenwissens, das zur Analyse von Prozessen und für den Erkenntnisgewinn über die eigene Firma genutzt wird.

Mit Inkrafttreten der EU-DSGVO mussten sämtliche datenverarbeitenden Systeme überprüft werden. Denn personenbezogene Daten dürfen nicht gespeichert oder verarbeitet werden, außer es liegen besondere Umstände vor. In den meisten Fällen ist dies eine konkrete Einwilligung der Person zur Datenverarbeitung oder eine rechtliche Verpflichtung, siehe Artikel 6 Absatz 1 DSGVO. Bisher wurden alle verfügbaren Firmendaten oft auf elementarer Ebene gespeichert, um aussagekräftige Auswertungen zu ermöglichen. Mithilfe solcher Systeme werden zum Beispiel Fragestellungen aus dem Controlling und Marketing beantwortet und Berichte für sämtliche Bereiche innerhalb einer Firma erstellt. Abbildung 1 zeigt einen vereinfachten schematischen Aufbau eines solchen Systems. Daten von Quellsystemen werden in den Stage-Bereich des Warehouse geladen um diese zu entkoppeln. Von dort aus werden sie in eine einheitliche Form gebracht, integriert und historisiert im Core abgelegt. Die Datamarts bringen diese integrierten und historisierten Daten in ein performantes Abfrageformat, oft thematisch gegliedert. Parallel dazu werden Metadaten angelegt, die diesen ganzen Transformationsprozess und die verwendeten Daten beschreiben. Auf Basis der in Datamarts bereitgestellten Daten werden themenbezogene Reports für unterschiedliche Fachbereiche erstellt, zum Beispiel für Marketing, Controlling, Kundendienst etc. Hierbei stellt sich nun die Frage, wie man das Bedürfnis nach guten und aussagekräftigen Analysen mit den Anforderungen der DSGVO in Einklang bringt. Auch andere Regelungen aus der DSGVO haben Auswirkungen auf den Betrieb eines Data Warehouse.

Abb. 1: Schematische Darstellung eines Data-Warehouse-Systems

Abb. 1: Schematische Darstellung eines Data-Warehouse-Systems

Dokumentation, Organisation und Archivierung

Als erster Schritt zur Erfüllung der Regelungen aus der DSGVO muss auch bei Data-Warehouse-Systemen der Dokumentationspflicht nachgekommen werden. Hierzu sollte ein Datenverarbeitungskatalog erstellt werden, der sämtliche existierende Daten und Attribute enthält, beschreibt, kategorisiert und darstellt, ob sie Personenbezug haben oder nicht. Dazu kommt, dass auch dokumentiert werden muss, wie personenbezogene Daten verarbeitet werden. Zur Erstellung der Dokumentation ist es hilfreich, eine Metadatenschicht zu pflegen, da mit den richtigen Hilfsmitteln daraus im Idealfall Großteile der Dokumentation inklusive der Data Lineage automatisch generiert werden können.

Den vollständigen Artikel lesen Sie in der Ausgabe:

Java Magazin 9.18 - "Jakarta EE"

Alle Infos zum Heft
579851297Die DSGVO aus Sicht der Business Intelligence
X
- Gib Deinen Standort ein -
- or -