22.01.2018

BI und DSGVO – Checken Sie Ihr Data Warehouse!

Mit der Novellierung der EU-Datenschutzgrundverordnung (DSGVO) drohen ab diesem Jahr Unternehmen, die die Regularien nicht einhalten können oder wollen, erhebliche Bußgelder. Gleichzeitig werden Firmen, die die neuen Richtlinien befolgen wollen, mit einem enormen Mehraufwand im Hinblick auf die bislang üblichen Datenschutzanforderungen konfrontiert. Es gilt künftig zu prüfen und sicherzustellen, ob die Vorgaben zu “Privacy by Design” und “Privacy by Default” durch die von ihnen verwendete Software und Dienste erfüllt werden.

Bisweilen wird die Verordnung eine Vielzahl an Unternehmen auch in eine rechtliche Zwickmühle bringen. Sollten diese bilanzierungspflichtig sein und zu diesem Zwecke ein Data Warehouse als Datenquelle für die Erstellung der Bilanz verwenden, geraten sie möglicherweise in den Konflikt mit Art. 17 – dem sogenannten “Recht auf Vergessenwerden”. Hierin ist festgelegt, dass ein Kunde verlangen darf, dass seine Daten gelöscht werden.

Bilanzrechtlich ist allerdings eine nachträgliche Veränderung der Datenbasis, welche zur Erstellung einer Bilanz dient, nicht erlaubt. Das vollständige und durchgehende Löschen von personenbezogenen Daten in einem Data Warehouse könnte also zur Folge haben, dass sich darauf basierende Berichte für das Firmenergebnis nachträglich verändern. Das widerspricht anderen gesetzlichen Vorgaben. Der Gesetzgeber beschreibt diesen Fall in Art. 17, Absatz 3. Dort sind Ausnahmen definiert, welche das Löschrecht aushebeln. Doch diese Punkte müssen geprüft, entsprechend nachgewiesen und dokumentiert werden. Einfacher kann es sein, wenn im DWH keine personenbezogenen Daten mehr enthalten sind, sondern nur anonymisierte Daten: Diese fallen nicht unter das Recht der DSGVO, womit Prüfung und Nachweis entfallen!

Die Arbeit mit BI-Systemen als zentrale datenverarbeitende Instanz wird durch die DSGVO gründlich umgekrempelt. Keine Datenbank und kein Prozess, sei er technischer oder organisatorischer Natur, der potenziell personenbezogene Angaben enthalten kann, ist von einer Prüfung und notwendigen Anpassung ausgenommen.

Doch in vielen Fällen sind kostenintensive technische Projekte unnötig. Geringe Detailtiefen, Anonymisierung und Pseudonymisierung können genutzt werden, um die in bestehenden BI-Prozessen verwendeten Daten aus dem Geltungsbereich der Verordnung herauszunehmen.

Allerdings ist hierfür neben Fachwissen und Erfahrung bei Datenschutz-Projekten auch Know-How im Bereich Business Intelligence unabdingbar. Hinsichtlich der empfindlichen Strafen, welche die DSGVO vorsieht, sollten Unternehmen darauf Wert legen, sich diesbezüglich den bestmöglichen Rat einzuholen.