Bundesdatenschutzgesetz kleinOft werden in Business Intelligence Anwendungen in hohem Maße personenbezogene und damit datenschutzrechtlich relevante Informationen verarbeitet. Teilweise ergibt sich dies zwingen aus der mit der Geschäftstätigkeit verbundenen Pflege der Kundenbeziehung, wie etwa im Customer Relationship Management. Doch auch staatliche Stellen treten nicht nur auf, wenn es um den Schutz personenbezogener Daten geht. Auch im Rahmen der Verbrechensbekämpfung werden Daten angefordert wie etwas Telekommunikationsverbindungen oder Banktransaktionen. Stets sind jedoch die Regelungen zum Datenschutz unter anderem lt. Bundesdatenschutzgesetz, lt. europäischer Datenschutzkonvention des Europarates und der Datenschutzrichtlinien der Europäischen Union einzuhalten.

Gerade in BI Anwendungen entsteht oft ein Konflikt hinsichtlich der Anforderungen durch den Datenschutz und den notwendigen Analysen, die helfen die Geschäftsprozesse zu optimieren und zu steuern. So haben beispielsweise Administratoren i.d.R. den vollen Zugriff auf die Daten des Data Warehouses. In Entwicklungsumgebungen werden gerne produktive Daten des Unternehmens verwendet -  dies ist besonders kritisch beim Einsatz von externen Entwicklern. Tester haben im Rahmen des Abnahmetests vollen Zugriff auf produktive Daten.  Audit Trails die den Datenzugriff und die Datenverwendung protokollieren sind oft nicht umgesetzt. Datenfreigabeprozesse und Data Ownership sind nicht ausreichend implementiert. Personalisierte Daten werden im Core Data Warehouse gehalten und nicht ausreichend vor unberechtigten Zugriffen geschützt. In all diesen Fällen wird aus Kosten- und Aufwandsgründen gegen die Prinzipien im Umgang mit Daten verstoßen.  Im Zuge der immer zentraleren Rolle von Data Warehouses und BI Systemen in Unternehmen, wird dies zunehmend zu Beanstandungen durch die Revision führen.

Die Datenschutzrichtlinien folgen grundlegenden Prinzipien, deren Einhaltung zu gewährleisten ist. So verlangen die Prinzipien der Datensparsamkeit und der Erforderlichkeit, dass Daten gelöscht werden müssen, wenn sie nicht mehr benötigt werden. Dürfen Daten aufgrund gesetzlicher Aufbewahrungs- und Dokumentationspflichten (z.B. im Steuerrecht bis zu 10 Jahren) nicht gelöscht werden, sind Maßnahmen zu ergreifen, die Daten zu sperren. Darüber hinaus sollten nur die Daten bereitgestellt werden, die für die erforderlichen Analysen notwendig sind (Erforderlichkeit). Im Rahmen der Informationsbedarfsanalyse können diese Bedarfe erfasst und prüfbar dokumentiert werden. Die Bereitstellung anwendungsspezifischer Daten auf dem Data Mart Layer (Zweckbindung) stellt sicher, dass nur die für die Anwendergruppe relevanten Daten im Zugriff sind. Dies ist natürlich durch Nutzung der toolspezifischen Berechtigungskonzepte sicherzustellen.
Der Zugriff auf personenbezogene Daten im Core Data Warehouse ist durch gängige Konzepte (z.B. Anonymisierung durch künstliche, ggf. nicht nachvollziehbare Schlüssel) zu regeln. Die Bereitstellung von Test- und Entwicklungsdaten ist durch geeignete organisatorische Prozesse und infrastrukturelle Maßnahmen zu gewährleisten. Darüber hinaus sollten Datenzugriffe im Rahmen eines Audit Trails protokolliert werden.

Unsere Kompetenz
INFORMATION WORKS verfügt über zahlreiche Erfahrungen, beim Aufbau von BI basierten Management Informationssystemen in denen datenschutzrechtliche Fragestellungen im Vordergrund stehen. INFORMATION WORKS unterstützt seine Kunden bei der Einhaltung der regulatorischen Anforderungen durch Nutzung von Best Practices hinsichtlich des Aufbaus von BI Infrastrukturen.

Die Beratungsleistung umfasst dabei:

  • Bestandsaufnahme der IT Infrastruktur und der Anforderungen der IT Produktion
  • Aufnahme von Zuständigkeiten und Kompetenzen hinsichtlich Methoden, Durchführung und Betrieb
  • Aufnahme der Anforderungen an Datenhistorie, Simulation, Prognosen und Archivierung
  • Aufnahme und Identifikation potentiell kritischer Themen für BI Anwendungen aus Sicht des Datenschutzes
  • Erarbeitung einer Soll-Systemlandkarte sowie eines Soll-Prozessmodelles
  • Erarbeitung der Berechtigungs- und Zugriffskonzepte
  • Erarbeitung von Archivierungskonzepten
  • Unterstützung hinsichtlich Datenverschlüsselung, Anonymisierung
  • Konzeption, Realisierung und Integration einer End-to-End-BI Infrastruktur unter Berücksichtigung des Datenschutzes und weiterer regulatorischen Anforderungen
  • Beratung bei der Ausgestaltung organisatorischer Maßnahmen zur Sicherung der Anforderungen an Nachvollziehbarkeit und Transparenz unter Berücksichtigung der festgelegten Kompetenzen
  • Beratung und unterstützende Begleitung der BI Entwicklungseinheiten bei der Abstimmung mit den Datenschutzbeauftragten und der Revision

Darüber hinaus unterstützt INFORMATION WORKS bei der Erarbeitung einer BI Governance zur Sicherstellung des Betriebes und der standardisierten Weiterentwicklung der Plattform.

INFORMATION WORKS setzt bei der Beratung konsequent die Best Practices der Beratungsframeworks metaWORKS® BI Reference Library und etlWORKS ein.

Sie wünschen nähere Informationen zur Berücksichtigung von Aspekten des Datenschutzes in Ihren Business Intelligence Anwendungen? Sprechen Sie uns an.

Systematisch zum Projekterfolg durch Best Practices

Unsere Problemlösungen basieren stets auf erprobten methodischen Ansätzen, die die systematische Zielerreichung unterstützen und in unserem Hause unter der Dachmarke metaWORKS® zusammengefasst sind.

Erprobte Architektur-Templates, Methoden und Vorgehenskonzepte sind dabei als wieder verwendbare Dokumentmuster, Modellierungstemplates, Checklisten etc. in unserer metaWORKS® BI Reference Library abgelegt und können sofort im Projekt eingesetzt werden. Die metaWORKS® BI Reference Library wird auf Grundlage unserer Projekterfahrungen regelmäßig aktualisiert und enthält Best Practice Dokumente und Methoden für typische, wiederkehrende Problemstellungen aus den Bereichen Architekturentwurf, Fachkonzeption, Quellsystemanalyse, Entwicklung, Test und Betrieb.

Risiko-Informationspool für Solvency II

Durch die Anforderungen aus Solvency II wird die Thematik eines integrierten Risikomanagements für Versicherungsunternehmen immer aktueller. Voraussetzung und oftmals auch Hürde ist hierbei eine saubere und risikoadäquate Datenbasis. Damit rückt der Aufbau eines unternehmensweiten Risiko-Informationspools mit integrierten Datenhaushalten aus allen Bereichen in den Fokus. Auf diesen Informationspool setzen dann spezialisierte Modellierungswerkzeuge des Aktuariates auf. Eine übergreifende Risikosicht auf das gesamte Versicherungsunternehmen wird dann auf dieser konsistenten Datengrundlage mittels Dynamischer Finanzanalyse (DFA) erzeugt.