Leonie Haas (TU München) Stefan Hartmann (ihb Bamberg)

11. Oktober 2006

Datenschutz in einem Data-Warehousefür das Hochschulwesen

Datenschutzrechtliche Rahmenbedingungen und deren Berücksichtigung im Berechtigungskonzept für das SAP BW-System an der TU München

2

Agenda

1. Gesetzliche Grundlagen des Datenschutzes

2. Datenschutz in einem Data-Warehouse für das Hochschulwesen am Beispiel des Projekts CEUS

3. Berechtigungskomponenten im SAP BW

4. Berechtigungskonzept der TU München

3

Agenda

1. Gesetzliche Grundlagen des Datenschutzes

2. Datenschutz in einem Data-Warehouse für das Hochschulwesen am Beispiel des Projekts CEUS

3. Berechtigungskomponenten im SAP BW

4. Berechtigungskonzept der TU München

4

Datenschutzgesetze• Bundesebene:

Bundesdatenschutzgesetz (BDSG) • Datenschutzgesetze auf Landesebene:

z.B. Bayerisches Datenschutzgesetz (BayDSG)

• Generelle Obliegenheit der Datenschutzgesetze:• Wahrung des Rechts auf informationelle Selbstbestimmung, das dem

einzelnen Menschen grundsätzlich die Entscheidung gibt, ob und wie seine Person betreffende Daten verarbeitet werden. (Art.2 Abs.1 i.V.m. Art.1 Abs.1 GG) [Büll00]

• Gesetzliche Grundlage zur Vermeidung der Beeinträchtigung des Persönlichkeitsrechts von Einzelpersonen durch den missbräuchlichen Umgang mit deren personenbezogenen Daten. (vgl. §1 Abs.1 BDSG), [SiPU02]

• „…die einzelnen davor zu schützen, dass sie bei der Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten durch öffentliche Stellen in unzulässiger Weise in ihrem Persönlichkeitsrecht beeinträchtigt werden.“ (§1 BayDSG)

1. Gesetzliche Grundlagen des Datenschutzes

5

Personenbezogene Daten (§3 Abs.1 BDSG)„…Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“.

• „Bestimmte Person“:Eine Person, die durch eindeutige Zuordenbarkeit personenbezogener Daten (z.B. Name, Anschrift, Matrikelnummer) bestimmt werden kann. [SiPU02], [Büll00]

• „Bestimmbare Person“:Personen, denen sich personenbezogene Daten mit Hilfe von Zusatzinformationen zuordnen lassen. [SiPU02], [Büll00]

• Das Datenschutzrecht findet bei der Erhebung, Verarbeitung und Nutzungpersonenbezogener Daten Anwendung (vgl. §1 Abs.2 BDSG). Für die Anwendung des BDSG ergibt sich kein Unterschied, ob eine Person bestimmt oder nur bestimmbar ist. [Büll00]

1. Gesetzliche Grundlagen des Datenschutzes

6

Grundregeln zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten [SiPU02], [Hafn03], [GoJa02]

• Zulässigkeit: „Verbot mit Erlaubnisvorbehalt“ (§4 Abs.1 BDSG)Ausnahmen:

• Durch Einwilligung des Betroffenen erlaubt (§4a BDSG).• Durch BDSG erlaubt (§§ 28-31 BDSG, betrifft nicht-öffentliche Stellen).• Durch eine Rechtsvorschrift außerhalb des BDSG erlaubt.

• Datenvermeidung und Datensparsamkeit (§3a BDSG)• Speicherung möglichst weniger personenbezogener Daten.• Nutzung von „Anonymisierung“ oder „Pseudonymisierung“.

• Datenschutz und Datensicherheit• Zugangs-, Zugriffs- und Weitergabekontrolle.

(Passwortschutz, Berechtigungskonzept, Verschlüsselung etc.).• Transparenz

• Informationspflicht gegenüber dem Betroffenen über den Zweck der Verarbeitung seiner personenbezogenen Daten (§4 Abs.3 BDSG). Ausnahmen (§33 BDSG).

• Berichtigung, Löschung, Sperrung (§35 BDSG).

1. Gesetzliche Grundlagen des Datenschutzes

7

Speicherung personenbezogener Daten in einem Data-Warehouse• DWH* als Gefahr für das Recht auf informationelle Selbstbestimmung [Mönc98]

• Integration der Daten einer Person aus verschiedenen operativen Systemen.• Historisierung sowie redundante Ablage der Daten.

Aufbau eines umfangreichen Datenbestands über die betroffene Person.

• Problematik des Datenschutzes in einem Data-Warehouse [Büll00], [SiPU02]

• Der Zweck der Datenverarbeitung in einem Data-Warehouse ist nicht immer exakt bestimmbar.Eine Einwilligung des Betroffenen ist daher nur schwer erreichbar.

• Zulässigkeitstatbestände (z. B. durch §28 BDSG) durch vertragliche bzw. vertragsähnliche Zwecke oder zur Wahrung berechtigter Interessen sind beieinem DWH nicht immer gegeben.

Eine legale Datenverarbeitung in einem Data-Warehouse ist in der Regel nur durch Anonymisierung der personenbezogenen Daten möglich. [SiPU02]

Anonymisierte Daten unterliegen nicht dem Datenschutzrecht. [Mönc98], [Büll00]

1. Gesetzliche Grundlagen des Datenschutzes

* Data Warehouse (DWH)

8

Anonymisierung (§3 Abs.6 BDSG)• „Anonymisieren ist das Verändern personenbezogener Daten derart, dass

die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehroder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“

Problematisch ist hierbei den Aufwand für eine Reidentifikation zu bestimmen, wofür das einzubeziehende Zusatzwissen eines Anfragers ein maßgeblicher Faktor ist. [Bize98]

1. Gesetzliche Grundlagen des Datenschutzes

9

Agenda

1. Gesetzliche Grundlagen des Datenschutzes

2. Datenschutz in einem Data-Warehouse für das Hochschulwesen am Beispiel des Projekts CEUS

3. Berechtigungskomponenten im SAP BW

4. Berechtigungskonzept der TU München

10

2. Datenschutz in CEUS

Datenschutzrechtliche Aspekte in CEUS*• Nicht geeignet zur Realisierung des Datenschutzes in einem DWH:

• Einwilligung des Betroffenen (§4 BDSG).• Zulässigkeitstatbestände (§28 BDSG, nur nicht-öffentliche Stellen).

Jeglicher Personenbezug im CEUS-DWH wird mittels (faktischer)Anonymisierung eliminiert.

Transparenz über die verwendeten Datenfelder und Dokumentation der verschiedenen Datenschutzmaßnahmen werden durch fundierte Datenschutzleitlinien geboten.

Anhand eines detaillierten Berechtigungskonzepts wird der Datenzugriff und die Analyseberechtigung innerhalb eines DWH-Teilsystems beschrieben.

* ausführliche Informationen über das Projekt CEUS finden sich in [HaUl05], [SBPU01] oder unter http://www.ceushb.de.

11

2. Datenschutz in CEUS

Anonymisierung personenbezogener Daten in CEUS• Eliminierung personenbezogener Attribute

Alle personenbezogenen Attribute zur externen Identifikation (Name, Vorname, Adresse usw.) werden bereits bei der Übernahme der Daten noch innerhalb des Vertrauensbereichs des jeweiligen operativen Systems eliminiert!

• Faktische Anonymisierung identifizierender MerkmaleAttribute zur internen Identifikation (Matrikel- oder Personalnummer etc.) werden bereits beim Datenabzug aus den operativen Systemen durch Verschlüsselung faktisch anonymisiert. Der Zusammenhang zwischen den Tabellen (z.B. zur Verknüpfung von Studenten- und Prüfungsdaten) bleibt bestehen.

• Auswertungen nur auf aggregierte DatenbeständeEndanwender können nur auf aggregierte Datenbestände zugreifen.Die verschlüsselten Attribute zur internen Identifikation dienen lediglich zur Konsistenzprüfung und Datenverknüpfung beim Laden des DWH.

12

2. Datenschutz in CEUS

Datenschutzleitlinien für das Projekt CEUS• Beschreibung spezifischer Datenschutzmaßnahmen für den

CEUS-Systembetrieb auf einer allgemeinen, einheitlichen Basis.

• Auflistung des Informationsbedarfs der Entscheidungsträger. Verzeichnis der erforderlichen Zugriffe auf operative Daten sowie deren Abbildung im jeweiligen (Teil-)DWH.

• Festlegung der Verantwortungsbereiche und Zuständigkeiten.(Ansprechpartner, Datenlieferanten, Bestimmung der Zugriffsrechte etc.).

• Grundlage für eine datenschutzrechtliche Beurteilung von CEUS durch den Bayerischen Landesbeauftragten für den Datenschutz sowie der hochschuleigenen Datenschutzbeauftragten und des Personalrats.(Kontrollsystem des Datenschutzes §4f, §4g, §§21-26, §38 BDSG).

• Gewinnung und Aufrechterhaltung von Akzeptanz und Vertrauen der Betroffenen sowie ihrer Vertretungen (z. B. Personalrat) in CEUS.

13

2. Datenschutz in CEUS

Berechtigungskonzept„Welche Daten darf ein Nutzer sehen und wie darf er auf die Daten zugreifen?“

• Datenberechtigung (Schemaebene)• Auf welche Merkmale, Kennzahlen etc. darf ein Nutzer zugreifen?

• Datenberechtigung (Instanzebene)• Welche Dateninhalte darf ein Nutzer sehen (Domänenzugriff, Zugriff auf einen

bestimmten Teilbereich einer Domäne / eines Datenfeldes etc.).

• Analyseberechtigung• Welche Analysefunktionen (z. B. Drill-, Sortierungs- und Formatierungsfunktionen)

darf ein Nutzer auf den Daten ausführen.• Abrufen von Standardberichten. • Eingeschränkte Navigation über vordefinierte Analysepfade.• Freie Navigation im Datenbestand.• Eigenständige Berichtserstellung.

14

2. Datenschutz in CEUS

Berechtigungskonzept„Welche Daten darf ein Nutzer sehen und wie darf er auf die Daten zugreifen?“

• Zur Komplexitätsreduzierung bei der Berechtigungsverwaltung wird ein Rollenkonzept genutzt (Info-, Advanced- und Power-User).

• Einem Nutzer können unterschiedliche Datenzugriffs- und Analyse-berechtigungen in den einzelnen DWH-Teilbereichen zugewiesen werden. (z.B. Detaildaten seiner Fakultät mit voller Analysefunktionalität sowie Summendaten über die gesamte Hochschule über Anzeigefunktionalität).

• Mit Hilfe von (Menü-)Rollen können individuelle Zugriffe auf das Standardberichtssystem geregelt werden.

15

Agenda

1. Gesetzliche Grundlagen des Datenschutzes

2. Datenschutz in einem Data-Warehouse für das Hochschulwesen am Beispiel des Projekts CEUS

3. Berechtigungskomponenten im SAP BW

4. Berechtigungskonzept der TU München

16

3. Berechtigungskomponenten im SAP BW

Berechtigungskonzept im SAP BW• Im SAP BW stehen vor allem die Daten selbst und weniger die

Transaktionscodes (wie im R/3) im Fokus des Zugriffsschutzes.

• Zugriffsschutz auf Infoproviderebene (InfoCubes, ODS, InfoObjects etc.)Schutz des generellen Zugriffs auf InfoCubes, ODS, InfoObjects etc., aber keine spezifische Zugriffsbeschränkung auf die Dateninhalte dieser Objekte.Berechtigungsobjektklasse: Business Information Warehouse.

• Zugriffsschutz auf Feldebene (Dateninhalte)Schutz des Zugriffs auf die Dateninhalte der InfoProvider.Bestimmte Dateninhalte eines InfoProviders können für einen Nutzer gesperrt bzw. frei geschaltet werden. Beispielsweise darf der Dekan einer Fakultät nur auf die Daten seiner Fakultät zugreifen.Berechtigungsobjektklasse: Business Information Warehouse – Reporting.

17

Agenda

1. Gesetzliche Grundlagen des Datenschutzes

2. Datenschutz in einem Data-Warehouse für das Hochschulwesen am Beispiel des Projekts CEUS

3. Berechtigungskomponenten im SAP BW

4. Berechtigungskonzept der TU München

18

4. Berechtigungskonzept der TU München Business Information Warehouse

19

4. Berechtigungskonzept der TU München Data Warehouse der TUM: Überblick

DomänenIntegration

Management InfoSyszentrales Berichtswesen

GeschäftsprozesseOrganisationsstruktur

DWH-ZugriffBerichtswerkzeuge

NutzerkreiseJobprofileDatenschutz

Namenskonventionen

20

4. Berechtigungskonzept der TU München Domänenkonzept

Domäne / InfoArea InfoProvider Operatives System

Personal Personaladministration SAP R/3 HR

Organisationsmanagement SAP R/3 HR

Studenten und Prüfungen Studenten HIS-SOS

Prüfungen HIS-SOS

Bewerber HIS-SOS

Rechnungswesen Finanzplanung SAP R/3 FI

Haushaltsmanagement SAP R/3 FM

Controlling SAP R/3 CO

Integrationsdomäne div. div.

getrennte Abbildung vonHochschulgeschäftsprozessen

auch im Data Warehouse

Integrationsdomänebietet Möglichkeiten für

fachübergreifendeAnalysen

21

4. Berechtigungskonzept der TU München Namenskonventionen

Abbildung desDomänenkonzepts

in InfoAreas

Namenskonventionenfür BW-Objekte:

DomäneInfoCube

Namenskonventionenfür Queries:

Domäne InfoCube

OrganisationseinheitBerichtstyp

22

4. Berechtigungskonzept der TU München Benutzertypen

BW-Systeme: Administrator

Berichtsanalyse: InfoUser

Nutzerkreise

Hochschulleitung

Controlling, Organisation, Planung

Presse und Kommunikation

Öffentlichkeit

Fakultätsverwaltungen

Studenten-Servicezentrum

Fachabteilungen

Berichtsmanagement: PowerUser

Domäne / InfoArea InfoProvider Personal Personaladministration

Organisationsmanagement

Studenten und Prüfungen Studenten

Prüfungen

Bewerber

Rechnungswesen Finanzplanung

Haushaltsmanagement

Controlling

Integrationsdomäne div.

Informationsbedarf

Jobprofil

Domäne

organisatorische Zugehörigkeit

23

4. Berechtigungskonzept der TU München BW@TUM

NamenskonventionenMenüstruktur

DomäneOrganisationseinheit

InformationsbedarfJobprofil

DWH-ZugängeBerichtswerkzeuge

BenutzertypenDWH-PflegeAnalysefunktionalität

Feldsperren/-schranken

Benutzerprofil Benutzerprofil PowerUserPowerUser beim SSZ fbeim SSZ füür Standardberichte Studenten und Prr Standardberichte Studenten und PrüüfungenfungenBenutzerprofil Benutzerprofil InfoUserInfoUser ffüür Controlling mit Ressort Statistiken Studenten / Personalr Controlling mit Ressort Statistiken Studenten / PersonalBenutzerprofil Benutzerprofil InfoUserInfoUser ffüür Abteilungsleitung Personal am Standort Garchingr Abteilungsleitung Personal am Standort GarchingBenutzerprofileBenutzerprofileWelcheWelche Daten darf ein Nutzer sehen und Daten darf ein Nutzer sehen und wiewie darf er darauf zugreifen?darf er darauf zugreifen?

24

4. Berechtigungskonzept der TU München Berechtigungskomponenten

DWH-Struktur, Domänen

Namenskonventionen

InfoUser, PowerUser, Admin

Zugangsvariablen

Benutzerkennungen

feldspez. Berechtigungsobjekte

funktionale Berechtigungsrollen

fachliche Berichts- und Menürollen

25

4. Berechtigungskonzept der TU München Berechtigungsobjekt auf Feldebene

Berichtsvariable

Berechtigungsobjekt

Hierarchieknoten

Präparierte Demodaten, kein Bezug zur Realität

26

4. Berechtigungskonzept der TU München Berechtigungsrollen

feldspezifischer Zugriffsschutz durch Berechtigungsobjekte

fachspezifische Berichtsgruppen für InfoUser

fachspezifische Menüstruktur für InfoUser

funktionale Rolle für PowerUser

27

4. Berechtigungskonzept der TU München Berechtigungsrolle

Berichtsrolle InfoUser

Menürolle InfoUser

feldspez. Berechtigungsrolle

Funktionalität PowerUser

Workbench Administrator

28

4. Berechtigungskonzept der TU München Benutzer-Rollen-Zuordnung

InfoUser Personalnur Standardberichtenur Personalbereich

München

PowerUser Personal

29

Reidentifikationsschutz durch Bedingung

4. Berechtigungskonzept der TU München Berichtsbeispiel

Datenfenster nach Standort und Fakultät

Präparierte Demodaten, kein Bezug zur Realität

30

4. Berechtigungskonzept der TU München Betriebsvereinbarungen

Datenschutzfreigabe durch Datenschutzbeauftragten der TUM

Personenbezogene Auswertungen stehen nicht zur Verfügung

Domänenenübergreifende Auswertungen stehen derzeit nicht zur Verfügung

Bestimmte Datenbereiche sind streng voneinander getrennt (Personalbereiche)

Identifizierung von einzelnen Personen ist nicht möglich (Bedingung, Filter, ...)

InfoCubes, Berichte, InfoUser und Berechtigungen sind für Personalrat transparent

31

Kontakt

ihb - Wissenschaftliches Institut für Hochschulsoftware

der Universität Bamberg

Dipl. Wirtsch.Inf. Stefan Hartmann

stefan.hartmann@ceushb.de0951 / 863-2714

http://www.ceushb.dehttp://www.ihb.uni-bamberg.de

Technische Universität MünchenReferat 72: SAP-Team

Leonie Haas

haasl@zv.tum.de089 / 289-25292http://portal.mytum.de/iuk/bw

32

Literatur und Gesetze

[Büll00] Büllesbach, A.: Datenschutz bei Data Warehouses und Data Mining. In: Computer und Recht, Heft 1, 16. Jg., 2000, S.11-17.

[Bize98] Bizer, J.: Datenschutz im Data Warehouse. In: Mucksch, H.; Behme, W. (Hrsg.): Das Data Warehouse-Konzept – Architektur – Datenmodelle – Anwendungen. 3. Auflage, Gabler, Wiesbaden 1998, S. 101-124.

[GoJa02] Gola, P.; Jaspers, A.: Das neue BDSG im Überblick – Erläuterungen, Schaubilder und Organisationshilfen zum BDSG 2001 für die Datenschutzpraxis, 2. Auflage, DatakontextFachverlag, Königsdorf-Frechen 2002.

[Hafn03] Hafner, M.: Datenschutz im Data Warehousing. In: von Maur, E.; Winter, R. (Hrsg.): Data Warehouse Management. Springer, Berlin 2003.

[HaUl05] Hartmann, S.; Ulbrich-vom Ende, A.: Mehr Intelligenz an Bayerns Hochschulen.In: Köster T. (Hrsg.): Staat&IT, Ausgabe 2/2005, ISSN: 1436-0829, S.18-20(http://www.ceushb.de/?content=publikationen).

[Mönc98] Möncke, U.: Data Warehouse - eine Herausforderung für den Datenschutz? In: Datenschutz und Datensicherheit, 22. Jg., 10/1998, S.561-569.

[SBPU01] Sinz, E.J.; Böhnlein, M.; Plaha, M.; Ulbrich-vom Ende, A.: Architekturkonzept eines verteilten Data-Warehouse-Systems für das Hochschulwesen. In: Buhl, H.-U.; Huther, A.; Reitwiesner, B. (Hrsg.): Information Age Economy, Physica-Verlag, Heidelberg 2001(http://www.ceushb.de/?content=publikationen).

[SiPU02] Sinz, E.J.; Plaha, M.; Ulbrich-vom Ende, A.: Datenschutz und Datensicherheit in einem landesweiten Data-Warehouse-System für das Hochschulwesen. Bamberger Beiträge zur Wirtschaftsinformatik und Angewandten Informatik Nr. 62, Bamberg, 2002 (http://www.ceushb.de/?content=publikationen).

33

Literatur und Gesetze

BDSG Bundesdatenschutzgesetz(http://bundesrecht.juris.de/bundesrecht/bdsg_1990/htmltree.html)

BStatG Gesetz über die Statistik für Bundeszwecke(http://bundesrecht.juris.de/bstatg_1987/index.html)

BayDSG Bayerisches Datenschutzgesetz(http://byds.juris.de/byds/009_1.1_DSG_BY_1993_rahmen.html)

GG Grundgesetz für die Bundesrepublik Deutschland (http://bundesrecht.juris.de/gg/index.html)

HStatG Gesetz über die Statistik für das Hochschulwesen(http://www.destatis.de/download/d/stat_ges/biwiku/505.pdf)