Datenschutz-Praxis

Das Data Warehouse gesetzeskonform betreiben

07.07.2010
Von Heiko  Gronwald und Robert  Hilgers

So umfasst solch ein Datensatz deutlich mehr Informationen als zur Abrechnung des Gespräches unbedingt vonnöten. Technisch aber sind alle diese Angaben notwendig und dürfen auch erhoben werden. Bei einer Auswertung aber, etwa zum Zwecke der Diensteoptimierung, müssen die Kundendaten im ersten Teil des CDR anonymisiert werden.

3 Sicherheitsebenen: Technik, Prozesse und Organisation

An diesem Beispiel lässt sich die Funktionsweise von "operativem Datenschutz" gut verfolgen. Auf den drei Ebenen der Technik, der Prozesse und der Organisation müssen die einzelnen Zahnräder so gestellt sein, dass sie optimal ineinandergreifen, um ein sinnvolles und gesetzeskonformes Handeln zu gewährleisten.

So muss die Technik in der Lage sein, die Anonymisierung der Kundendaten durchzuführen und darf auf dieselben nur Berechtigten Zugriff gewähren. In einem weiteren Prozess muss wiederum die Vergabe dieser Berechtigungen in regelmäßigen Intervallen geprüft werden. Gleichzeitig muss die Organisation sicherstellen, dass das Vieraugenprinzip für eben diese Vergabe und die Verantwortlichkeit geregelt ist.

Ein Data Warehouse (DWH) bezieht stets auch Daten aus Quellen, die in verschiedenen fachlichen Kontexten für Analysen verwendet werden sollen. Damit die gespeicherten Informationen datenschutzkonform verwendet werden können, lässt sich durch eine geeignete Kombination von Datenmodellierung, Berechtigungskonzept und Datenimportregeln eine Lösung schaffen, die keine Analysebedarfe verhindert.

Mögliche Ansätze hierzu umfassen etwa die logische oder physikalische Trennung von kundenbezogenen Daten und Unternehmensdaten, die Kontrolle des Zugriffs auf kundenbezogene Daten sowie das Aufsplitten der Daten beim Import in kunden- und unternehmensbezogene Daten.

Zur Startseite