datenschutz in einem data-warehouse für das · pdf file3 agenda 1. gesetzliche grundlagen...
TRANSCRIPT
Leonie Haas (TU München) Stefan Hartmann (ihb Bamberg)
11. Oktober 2006
Datenschutz in einem Data-Warehousefür das Hochschulwesen
Datenschutzrechtliche Rahmenbedingungen und deren Berücksichtigung im Berechtigungskonzept für das SAP BW-System an der TU München
2
Agenda
1. Gesetzliche Grundlagen des Datenschutzes
2. Datenschutz in einem Data-Warehouse für das Hochschulwesen am Beispiel des Projekts CEUS
3. Berechtigungskomponenten im SAP BW
4. Berechtigungskonzept der TU München
3
Agenda
1. Gesetzliche Grundlagen des Datenschutzes
2. Datenschutz in einem Data-Warehouse für das Hochschulwesen am Beispiel des Projekts CEUS
3. Berechtigungskomponenten im SAP BW
4. Berechtigungskonzept der TU München
4
Datenschutzgesetze• Bundesebene:
Bundesdatenschutzgesetz (BDSG) • Datenschutzgesetze auf Landesebene:
z.B. Bayerisches Datenschutzgesetz (BayDSG)
• Generelle Obliegenheit der Datenschutzgesetze:• Wahrung des Rechts auf informationelle Selbstbestimmung, das dem
einzelnen Menschen grundsätzlich die Entscheidung gibt, ob und wie seine Person betreffende Daten verarbeitet werden. (Art.2 Abs.1 i.V.m. Art.1 Abs.1 GG) [Büll00]
• Gesetzliche Grundlage zur Vermeidung der Beeinträchtigung des Persönlichkeitsrechts von Einzelpersonen durch den missbräuchlichen Umgang mit deren personenbezogenen Daten. (vgl. §1 Abs.1 BDSG), [SiPU02]
• „…die einzelnen davor zu schützen, dass sie bei der Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten durch öffentliche Stellen in unzulässiger Weise in ihrem Persönlichkeitsrecht beeinträchtigt werden.“ (§1 BayDSG)
1. Gesetzliche Grundlagen des Datenschutzes
5
Personenbezogene Daten (§3 Abs.1 BDSG)„…Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“.
• „Bestimmte Person“:Eine Person, die durch eindeutige Zuordenbarkeit personenbezogener Daten (z.B. Name, Anschrift, Matrikelnummer) bestimmt werden kann. [SiPU02], [Büll00]
• „Bestimmbare Person“:Personen, denen sich personenbezogene Daten mit Hilfe von Zusatzinformationen zuordnen lassen. [SiPU02], [Büll00]
• Das Datenschutzrecht findet bei der Erhebung, Verarbeitung und Nutzungpersonenbezogener Daten Anwendung (vgl. §1 Abs.2 BDSG). Für die Anwendung des BDSG ergibt sich kein Unterschied, ob eine Person bestimmt oder nur bestimmbar ist. [Büll00]
1. Gesetzliche Grundlagen des Datenschutzes
6
Grundregeln zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten [SiPU02], [Hafn03], [GoJa02]
• Zulässigkeit: „Verbot mit Erlaubnisvorbehalt“ (§4 Abs.1 BDSG)Ausnahmen:
• Durch Einwilligung des Betroffenen erlaubt (§4a BDSG).• Durch BDSG erlaubt (§§ 28-31 BDSG, betrifft nicht-öffentliche Stellen).• Durch eine Rechtsvorschrift außerhalb des BDSG erlaubt.
• Datenvermeidung und Datensparsamkeit (§3a BDSG)• Speicherung möglichst weniger personenbezogener Daten.• Nutzung von „Anonymisierung“ oder „Pseudonymisierung“.
• Datenschutz und Datensicherheit• Zugangs-, Zugriffs- und Weitergabekontrolle.
(Passwortschutz, Berechtigungskonzept, Verschlüsselung etc.).• Transparenz
• Informationspflicht gegenüber dem Betroffenen über den Zweck der Verarbeitung seiner personenbezogenen Daten (§4 Abs.3 BDSG). Ausnahmen (§33 BDSG).
• Berichtigung, Löschung, Sperrung (§35 BDSG).
1. Gesetzliche Grundlagen des Datenschutzes
7
Speicherung personenbezogener Daten in einem Data-Warehouse• DWH* als Gefahr für das Recht auf informationelle Selbstbestimmung [Mönc98]
• Integration der Daten einer Person aus verschiedenen operativen Systemen.• Historisierung sowie redundante Ablage der Daten.
Aufbau eines umfangreichen Datenbestands über die betroffene Person.
• Problematik des Datenschutzes in einem Data-Warehouse [Büll00], [SiPU02]
• Der Zweck der Datenverarbeitung in einem Data-Warehouse ist nicht immer exakt bestimmbar.Eine Einwilligung des Betroffenen ist daher nur schwer erreichbar.
• Zulässigkeitstatbestände (z. B. durch §28 BDSG) durch vertragliche bzw. vertragsähnliche Zwecke oder zur Wahrung berechtigter Interessen sind beieinem DWH nicht immer gegeben.
Eine legale Datenverarbeitung in einem Data-Warehouse ist in der Regel nur durch Anonymisierung der personenbezogenen Daten möglich. [SiPU02]
Anonymisierte Daten unterliegen nicht dem Datenschutzrecht. [Mönc98], [Büll00]
1. Gesetzliche Grundlagen des Datenschutzes
* Data Warehouse (DWH)
8
Anonymisierung (§3 Abs.6 BDSG)• „Anonymisieren ist das Verändern personenbezogener Daten derart, dass
die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehroder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“
Problematisch ist hierbei den Aufwand für eine Reidentifikation zu bestimmen, wofür das einzubeziehende Zusatzwissen eines Anfragers ein maßgeblicher Faktor ist. [Bize98]
1. Gesetzliche Grundlagen des Datenschutzes
9
Agenda
1. Gesetzliche Grundlagen des Datenschutzes
2. Datenschutz in einem Data-Warehouse für das Hochschulwesen am Beispiel des Projekts CEUS
3. Berechtigungskomponenten im SAP BW
4. Berechtigungskonzept der TU München
10
2. Datenschutz in CEUS
Datenschutzrechtliche Aspekte in CEUS*• Nicht geeignet zur Realisierung des Datenschutzes in einem DWH:
• Einwilligung des Betroffenen (§4 BDSG).• Zulässigkeitstatbestände (§28 BDSG, nur nicht-öffentliche Stellen).
Jeglicher Personenbezug im CEUS-DWH wird mittels (faktischer)Anonymisierung eliminiert.
Transparenz über die verwendeten Datenfelder und Dokumentation der verschiedenen Datenschutzmaßnahmen werden durch fundierte Datenschutzleitlinien geboten.
Anhand eines detaillierten Berechtigungskonzepts wird der Datenzugriff und die Analyseberechtigung innerhalb eines DWH-Teilsystems beschrieben.
* ausführliche Informationen über das Projekt CEUS finden sich in [HaUl05], [SBPU01] oder unter http://www.ceushb.de.
11
2. Datenschutz in CEUS
Anonymisierung personenbezogener Daten in CEUS• Eliminierung personenbezogener Attribute
Alle personenbezogenen Attribute zur externen Identifikation (Name, Vorname, Adresse usw.) werden bereits bei der Übernahme der Daten noch innerhalb des Vertrauensbereichs des jeweiligen operativen Systems eliminiert!
• Faktische Anonymisierung identifizierender MerkmaleAttribute zur internen Identifikation (Matrikel- oder Personalnummer etc.) werden bereits beim Datenabzug aus den operativen Systemen durch Verschlüsselung faktisch anonymisiert. Der Zusammenhang zwischen den Tabellen (z.B. zur Verknüpfung von Studenten- und Prüfungsdaten) bleibt bestehen.
• Auswertungen nur auf aggregierte DatenbeständeEndanwender können nur auf aggregierte Datenbestände zugreifen.Die verschlüsselten Attribute zur internen Identifikation dienen lediglich zur Konsistenzprüfung und Datenverknüpfung beim Laden des DWH.
12
2. Datenschutz in CEUS
Datenschutzleitlinien für das Projekt CEUS• Beschreibung spezifischer Datenschutzmaßnahmen für den
CEUS-Systembetrieb auf einer allgemeinen, einheitlichen Basis.
• Auflistung des Informationsbedarfs der Entscheidungsträger. Verzeichnis der erforderlichen Zugriffe auf operative Daten sowie deren Abbildung im jeweiligen (Teil-)DWH.
• Festlegung der Verantwortungsbereiche und Zuständigkeiten.(Ansprechpartner, Datenlieferanten, Bestimmung der Zugriffsrechte etc.).
• Grundlage für eine datenschutzrechtliche Beurteilung von CEUS durch den Bayerischen Landesbeauftragten für den Datenschutz sowie der hochschuleigenen Datenschutzbeauftragten und des Personalrats.(Kontrollsystem des Datenschutzes §4f, §4g, §§21-26, §38 BDSG).
• Gewinnung und Aufrechterhaltung von Akzeptanz und Vertrauen der Betroffenen sowie ihrer Vertretungen (z. B. Personalrat) in CEUS.
13
2. Datenschutz in CEUS
Berechtigungskonzept„Welche Daten darf ein Nutzer sehen und wie darf er auf die Daten zugreifen?“
• Datenberechtigung (Schemaebene)• Auf welche Merkmale, Kennzahlen etc. darf ein Nutzer zugreifen?
• Datenberechtigung (Instanzebene)• Welche Dateninhalte darf ein Nutzer sehen (Domänenzugriff, Zugriff auf einen
bestimmten Teilbereich einer Domäne / eines Datenfeldes etc.).
• Analyseberechtigung• Welche Analysefunktionen (z. B. Drill-, Sortierungs- und Formatierungsfunktionen)
darf ein Nutzer auf den Daten ausführen.• Abrufen von Standardberichten. • Eingeschränkte Navigation über vordefinierte Analysepfade.• Freie Navigation im Datenbestand.• Eigenständige Berichtserstellung.
14
2. Datenschutz in CEUS
Berechtigungskonzept„Welche Daten darf ein Nutzer sehen und wie darf er auf die Daten zugreifen?“
• Zur Komplexitätsreduzierung bei der Berechtigungsverwaltung wird ein Rollenkonzept genutzt (Info-, Advanced- und Power-User).
• Einem Nutzer können unterschiedliche Datenzugriffs- und Analyse-berechtigungen in den einzelnen DWH-Teilbereichen zugewiesen werden. (z.B. Detaildaten seiner Fakultät mit voller Analysefunktionalität sowie Summendaten über die gesamte Hochschule über Anzeigefunktionalität).
• Mit Hilfe von (Menü-)Rollen können individuelle Zugriffe auf das Standardberichtssystem geregelt werden.
15
Agenda
1. Gesetzliche Grundlagen des Datenschutzes
2. Datenschutz in einem Data-Warehouse für das Hochschulwesen am Beispiel des Projekts CEUS
3. Berechtigungskomponenten im SAP BW
4. Berechtigungskonzept der TU München
16
3. Berechtigungskomponenten im SAP BW
Berechtigungskonzept im SAP BW• Im SAP BW stehen vor allem die Daten selbst und weniger die
Transaktionscodes (wie im R/3) im Fokus des Zugriffsschutzes.
• Zugriffsschutz auf Infoproviderebene (InfoCubes, ODS, InfoObjects etc.)Schutz des generellen Zugriffs auf InfoCubes, ODS, InfoObjects etc., aber keine spezifische Zugriffsbeschränkung auf die Dateninhalte dieser Objekte.Berechtigungsobjektklasse: Business Information Warehouse.
• Zugriffsschutz auf Feldebene (Dateninhalte)Schutz des Zugriffs auf die Dateninhalte der InfoProvider.Bestimmte Dateninhalte eines InfoProviders können für einen Nutzer gesperrt bzw. frei geschaltet werden. Beispielsweise darf der Dekan einer Fakultät nur auf die Daten seiner Fakultät zugreifen.Berechtigungsobjektklasse: Business Information Warehouse – Reporting.
17
Agenda
1. Gesetzliche Grundlagen des Datenschutzes
2. Datenschutz in einem Data-Warehouse für das Hochschulwesen am Beispiel des Projekts CEUS
3. Berechtigungskomponenten im SAP BW
4. Berechtigungskonzept der TU München
19
4. Berechtigungskonzept der TU München Data Warehouse der TUM: Überblick
DomänenIntegration
Management InfoSyszentrales Berichtswesen
GeschäftsprozesseOrganisationsstruktur
DWH-ZugriffBerichtswerkzeuge
NutzerkreiseJobprofileDatenschutz
Namenskonventionen
20
4. Berechtigungskonzept der TU München Domänenkonzept
Domäne / InfoArea InfoProvider Operatives System
Personal Personaladministration SAP R/3 HR
Organisationsmanagement SAP R/3 HR
Studenten und Prüfungen Studenten HIS-SOS
Prüfungen HIS-SOS
Bewerber HIS-SOS
Rechnungswesen Finanzplanung SAP R/3 FI
Haushaltsmanagement SAP R/3 FM
Controlling SAP R/3 CO
Integrationsdomäne div. div.
getrennte Abbildung vonHochschulgeschäftsprozessen
auch im Data Warehouse
Integrationsdomänebietet Möglichkeiten für
fachübergreifendeAnalysen
21
4. Berechtigungskonzept der TU München Namenskonventionen
Abbildung desDomänenkonzepts
in InfoAreas
Namenskonventionenfür BW-Objekte:
DomäneInfoCube
Namenskonventionenfür Queries:
Domäne InfoCube
OrganisationseinheitBerichtstyp
22
4. Berechtigungskonzept der TU München Benutzertypen
BW-Systeme: Administrator
Berichtsanalyse: InfoUser
Nutzerkreise
Hochschulleitung
Controlling, Organisation, Planung
Presse und Kommunikation
Öffentlichkeit
Fakultätsverwaltungen
Studenten-Servicezentrum
Fachabteilungen
Berichtsmanagement: PowerUser
Domäne / InfoArea InfoProvider Personal Personaladministration
Organisationsmanagement
Studenten und Prüfungen Studenten
Prüfungen
Bewerber
Rechnungswesen Finanzplanung
Haushaltsmanagement
Controlling
Integrationsdomäne div.
Informationsbedarf
Jobprofil
Domäne
organisatorische Zugehörigkeit
23
4. Berechtigungskonzept der TU München BW@TUM
NamenskonventionenMenüstruktur
DomäneOrganisationseinheit
InformationsbedarfJobprofil
DWH-ZugängeBerichtswerkzeuge
BenutzertypenDWH-PflegeAnalysefunktionalität
Feldsperren/-schranken
Benutzerprofil Benutzerprofil PowerUserPowerUser beim SSZ fbeim SSZ füür Standardberichte Studenten und Prr Standardberichte Studenten und PrüüfungenfungenBenutzerprofil Benutzerprofil InfoUserInfoUser ffüür Controlling mit Ressort Statistiken Studenten / Personalr Controlling mit Ressort Statistiken Studenten / PersonalBenutzerprofil Benutzerprofil InfoUserInfoUser ffüür Abteilungsleitung Personal am Standort Garchingr Abteilungsleitung Personal am Standort GarchingBenutzerprofileBenutzerprofileWelcheWelche Daten darf ein Nutzer sehen und Daten darf ein Nutzer sehen und wiewie darf er darauf zugreifen?darf er darauf zugreifen?
24
4. Berechtigungskonzept der TU München Berechtigungskomponenten
DWH-Struktur, Domänen
Namenskonventionen
InfoUser, PowerUser, Admin
Zugangsvariablen
Benutzerkennungen
feldspez. Berechtigungsobjekte
funktionale Berechtigungsrollen
fachliche Berichts- und Menürollen
25
4. Berechtigungskonzept der TU München Berechtigungsobjekt auf Feldebene
Berichtsvariable
Berechtigungsobjekt
Hierarchieknoten
Präparierte Demodaten, kein Bezug zur Realität
26
4. Berechtigungskonzept der TU München Berechtigungsrollen
feldspezifischer Zugriffsschutz durch Berechtigungsobjekte
fachspezifische Berichtsgruppen für InfoUser
fachspezifische Menüstruktur für InfoUser
funktionale Rolle für PowerUser
27
4. Berechtigungskonzept der TU München Berechtigungsrolle
Berichtsrolle InfoUser
Menürolle InfoUser
feldspez. Berechtigungsrolle
Funktionalität PowerUser
Workbench Administrator
28
4. Berechtigungskonzept der TU München Benutzer-Rollen-Zuordnung
InfoUser Personalnur Standardberichtenur Personalbereich
München
PowerUser Personal
29
Reidentifikationsschutz durch Bedingung
4. Berechtigungskonzept der TU München Berichtsbeispiel
Datenfenster nach Standort und Fakultät
Präparierte Demodaten, kein Bezug zur Realität
30
4. Berechtigungskonzept der TU München Betriebsvereinbarungen
Datenschutzfreigabe durch Datenschutzbeauftragten der TUM
Personenbezogene Auswertungen stehen nicht zur Verfügung
Domänenenübergreifende Auswertungen stehen derzeit nicht zur Verfügung
Bestimmte Datenbereiche sind streng voneinander getrennt (Personalbereiche)
Identifizierung von einzelnen Personen ist nicht möglich (Bedingung, Filter, ...)
InfoCubes, Berichte, InfoUser und Berechtigungen sind für Personalrat transparent
31
Kontakt
ihb - Wissenschaftliches Institut für Hochschulsoftware
der Universität Bamberg
Dipl. Wirtsch.Inf. Stefan Hartmann
[email protected] / 863-2714
http://www.ceushb.dehttp://www.ihb.uni-bamberg.de
Technische Universität MünchenReferat 72: SAP-Team
Leonie Haas
[email protected] / 289-25292http://portal.mytum.de/iuk/bw
32
Literatur und Gesetze
[Büll00] Büllesbach, A.: Datenschutz bei Data Warehouses und Data Mining. In: Computer und Recht, Heft 1, 16. Jg., 2000, S.11-17.
[Bize98] Bizer, J.: Datenschutz im Data Warehouse. In: Mucksch, H.; Behme, W. (Hrsg.): Das Data Warehouse-Konzept – Architektur – Datenmodelle – Anwendungen. 3. Auflage, Gabler, Wiesbaden 1998, S. 101-124.
[GoJa02] Gola, P.; Jaspers, A.: Das neue BDSG im Überblick – Erläuterungen, Schaubilder und Organisationshilfen zum BDSG 2001 für die Datenschutzpraxis, 2. Auflage, DatakontextFachverlag, Königsdorf-Frechen 2002.
[Hafn03] Hafner, M.: Datenschutz im Data Warehousing. In: von Maur, E.; Winter, R. (Hrsg.): Data Warehouse Management. Springer, Berlin 2003.
[HaUl05] Hartmann, S.; Ulbrich-vom Ende, A.: Mehr Intelligenz an Bayerns Hochschulen.In: Köster T. (Hrsg.): Staat&IT, Ausgabe 2/2005, ISSN: 1436-0829, S.18-20(http://www.ceushb.de/?content=publikationen).
[Mönc98] Möncke, U.: Data Warehouse - eine Herausforderung für den Datenschutz? In: Datenschutz und Datensicherheit, 22. Jg., 10/1998, S.561-569.
[SBPU01] Sinz, E.J.; Böhnlein, M.; Plaha, M.; Ulbrich-vom Ende, A.: Architekturkonzept eines verteilten Data-Warehouse-Systems für das Hochschulwesen. In: Buhl, H.-U.; Huther, A.; Reitwiesner, B. (Hrsg.): Information Age Economy, Physica-Verlag, Heidelberg 2001(http://www.ceushb.de/?content=publikationen).
[SiPU02] Sinz, E.J.; Plaha, M.; Ulbrich-vom Ende, A.: Datenschutz und Datensicherheit in einem landesweiten Data-Warehouse-System für das Hochschulwesen. Bamberger Beiträge zur Wirtschaftsinformatik und Angewandten Informatik Nr. 62, Bamberg, 2002 (http://www.ceushb.de/?content=publikationen).
33
Literatur und Gesetze
BDSG Bundesdatenschutzgesetz(http://bundesrecht.juris.de/bundesrecht/bdsg_1990/htmltree.html)
BStatG Gesetz über die Statistik für Bundeszwecke(http://bundesrecht.juris.de/bstatg_1987/index.html)
BayDSG Bayerisches Datenschutzgesetz(http://byds.juris.de/byds/009_1.1_DSG_BY_1993_rahmen.html)
GG Grundgesetz für die Bundesrepublik Deutschland (http://bundesrecht.juris.de/gg/index.html)
HStatG Gesetz über die Statistik für das Hochschulwesen(http://www.destatis.de/download/d/stat_ges/biwiku/505.pdf)