Business Analytics, Big Data und die Cloud

Transkript

1 Strategy Business Analytics, Big Data und die Cloud Regulatorische Anforderungen bei der Hebung des Informationsschatzes 14 Detecon Management Report 3 / 2012

2 Business Analytics, Big Data und die Cloud Björn Froese Big Data und Cloud Computing setzen Corporate Data Management wieder in Szene. Das Potenzial: Der schier unbegrenzten Menge an Daten im Unternehmen zur Generierung weiterer Wertbeiträge zu verhelfen. Es lauert aber auch die Gefahr, gegen regulatorische Anforderungen zu verstoßen und einen neuen Datenskandal heraufzubeschwören. Fraglich ist daher, wie sich das Potenzial heben lässt und welche Grenzen bestehen. D as Marktforschungsinstitut Gartner zählt die beiden Themen Big Data und Cloud Computing zu den Top 10 IT-Trends für das laufende Jahr So sollen sie durch schnellere und umfassendere Analyse von Unternehmensdaten Business Analytics die Fähigkeiten zur Prognose und Entscheidungs findung auf eine neue Grundlage stellen. Dabei hatte der weltweite Markt für Business-Analysewerkzeuge 2011 bereits das Volumen von zwölf Milliarden US-Dollar überschritten. Business Analytics, Big Data und Cloud Computing Unter dem Begriff Big Data werden häufig verschiedene Technologien zusammen gefasst, die die vorher bestehenden Limitationen bei der Auswertung von Geschäftsdaten aufheben. Einerseits bestehen neue Ansätze, um die Daten dergestalt organisieren zu können, dass sehr große Datenmengen in eine skalierbare Umgebung von Server-Clustern abgelegt und dort stark parallelisiert verarbeitet werden können (Beispiel Hadoop). Andererseits kombiniert SAP bei seiner 2010 entwickelten Datenbanktechnologie HANA (High Performance Analytic Appliance) diesen Ansatz mit dem Einsatz neuartiger In-Memory-Technologie, die als Speicher für die Analyseauswertung nicht wie bisher Festplatten, sondern den sehr viel schnelleren Arbeitsspeicher verwenden. Im Ergebnis lassen sich somit nun sehr viel größere Datenmengen sehr viel schneller auswerten. Die sogenannte Cloud hingegen ist ein Oberbegriff für die Virtualisierung und Dezentralisierung von Rechen- und Speicherkapazität. Ursprünglich hatte man für eine Business Applikation ein separates physisches Serversystem mit eigenem Speicher aufgesetzt. Da der Betrieb dieser Systeme jedoch auch zu Peak-Lastzeiten deren volle Verfügbarkeit garantieren musste beispielsweise, um in der Buchhaltung den Monatsabschluss eines Konzerns durchzuführen, wurden die Kapazitäten hinsichtlich Rechenleistung und Speicher sehr großzügig, unter Kostengesichtspunkten geradezu verschwenderisch ausgelegt. In einer ersten Welle wurden diese physischen Systeme nun auf virtualisierte Server übertragen, so dass sich mehrere Geschäftsanwendungen ein System teilen und damit die Ressourcen besser auslasten konnten. Zur Entwicklung der Cloud kommt nun noch hinzu, dass man den physischen Standort dieser virtualisierten Serversysteme mit Hilfe der Vernetzung beliebig wählen kann. Der Kunde profitiert hierbei von niedrigen Kosten, der unmittelbaren Anpassbarkeit der genutzten Kapazität und der Überall-Verfügbarkeit. Grundlegende Einsatzszenarien für Business Analytics Dabei haben sich mit den genannten Technologien die grundlegenden Einsatzszenarien für Business-Analysewerkzeuge nicht geändert, wohl aber ihre Potenz, den stetig anschwellenden 15 Detecon Management Report 3 / 2012

3 Strategy Strom an Unternehmensdaten in kurzer Zeit Echtzeit zu durchleuchten. Hierbei lassen sich im Wesentlichen zwei Einsatzszenarien im Unternehmen unterscheiden: die Analyse von Kundendaten mit dem Ziel der Umsatzsteigerung (Szenario 1) und die Analyse der Unternehmensdaten mit dem Ziel der Performancesteigerung (Szenario 2). Die Analyse bestehender Kundendaten mit Hilfe von Business- Analysewerkzeugen ist vor allem überall dort zweckmäßig, wo ein Unternehmen mit stark standardisierten Produkten einen Massenmarkt adressiert, beispielsweise Telekommunikationsanbieter. Hier verfügt der Anbieter in der Regel über eine große Anzahl einzelner Kundendatensätzen, die sich nicht mehr mit Bordmitteln wie einer Tabellenkalkulation in homogene Kundensegmente unterteilen und im Sinne des Marketings einzeln ansprechen ließen. Hinzu kommt im Falle von transaktionsorientierten Serviceanbietern, zum Beispiel Banken und Telekommunikation, dass über die bereits aus den Vertragsdaten vorhandenen Attribute eines Kundendatensatzes, sogenannte Stammdaten wie Wohnort oder Alter, hinaus ein sehr großes Volumen an Transaktionsdaten zur Verfügung steht: Aufzeichnungen über das Gesprächsverhalten, sogenannte Call Data Records, oder Einkaufsverhalten über Abrechnung der Kreditkartendaten. Beim Einsatz von Analysemethoden zur Steigerung der Unternehmensperformance wird versucht, sämtliche während der Produktion anfallenden Leistungsdaten nach Effizienzpotenzialen zu durchleuchten. Zu denken ist dabei an die Ableitung wichtiger Performanceindikatoren in Echtzeit, wie sie sich zum Beispiel aus den Ursache-Wirkungsketten einer Balanced-Scorecard-Steuerung ergeben. So kann die Erhöhung der Prognosefähigkeit und der Geschwindigkeit, mit der diese Informationen vorliegen, zu massiven Verbesserungen in der Steuerung der produktionslogistischen Wertkette führen. Darüber hinaus können komplexe Szenarien zum Vergleich mehrerer Handlungsalternativen gerechnet werden und so vorab helfen, schwierige Managemententscheidungen zu fundieren. Regulatorische Anforderungen Beiden Einsatzszenarien ist gemein, dass dem potenziell großen Nutzen, den das Unternehmen aus der Analyse ziehen kann, die Gefahr des Verlustes der Privatsphäre des einzelnen Menschen, Kunde oder Mitarbeiter, gegenüber steht. Das Problem hatte das Bundesverfassungsgericht bereits 1983 erkannt und mit dem sogenannten Volkszählungsurteil dem Grundrecht auf informationelle Selbstbestimmung Verfassungsrang eingeräumt. In Deutschland bildet das Bundesdatenschutzgesetz (BDSG) mit Stand von 2009 den aktuellen Rahmen für den Umgang mit personenbezogenen Daten, die in IT-Systemen oder manuell erhoben, verarbeitet und genutzt werden. Darüber hinaus bestehen die Datenschutzgesetze der einzelnen Bundesländer, die aber für kommerzielle, nicht-öffentliche Unternehmen kaum interessant sind, und andere bereichsspezifischere Regelungen in Spezialgesetzen, wie das Telekommunikationsgesetz (TKG) oder das Telemediengesetz (TMG) für Diensteanbieter. Dabei formuliert das BDSG für den Umgang mit personenbezogenen Daten ein Verbot mit Erlaubnisvorbehalt: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. ( 4 Abs. 1 BDSG). Soweit das Unternehmen also nicht die Zustimmung der betroffenen Person eingeholt hat, ist sie bei der Verwendung vorhandener Daten mit Personenbezug auf die Legalisierung durch ein Gesetz angewiesen. Szenario 1: Analyse von Kundendaten zur Umsatzsteigerung Für die Sammlung und Analyse von Kundendaten kommt primär 28 Abs. 1 Nr. 1 BDSG in Frage, der das Erheben, Verarbeiten und Nutzen von Personendaten zur Erfüllung eigener Geschäftszwecke zulässt, soweit es zur Durchführung eines Vertragsverhältnisses erforderlich ist (Erlaubnistatbestand 1), oder nach Nr. 2, soweit es zur Wahrung berechtigter Interessen [des Unternehmens] erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen [ ] überwiegt (Erlaubnistatbestand 2). Für den Unternehmer ist nun natürlich fraglich, wie diese beiden Alternativen in der Praxis umzusetzen sind. Bezüglich des Verständnisses des Geschäftszwecks bietet sich aus Sicht von Fachkräften in einer Marketingabteilung eine recht weite Auslegung des Begriffes an. Schließlich profitiert der Kunde davon, wenn sämtliche dem Unternehmen über ihn zur Ver- 16 Detecon Management Report 3 / 2012

4 Business Analytics, Big Data und die Cloud fügung stehenden Informationen ausgewertet werden, um ihm ein passgenaues Angebot zu unterbreiten eine Serviceleistung also. Was spräche zum Beispiel für eine Bank dagegen, wenn sie über die Analyse vorliegender Kontobewegungsdaten eines Kunden erkennt, dass dieser einen hohen Betrag aus einem Bausparvertrag ausbezahlt bekommen hat und ihm deswegen entsprechende Anlagemöglichkeiten unterbreitet? Hier sieht der Gesetzgeber jedoch überwiegend die Gefahr einer zunehmenden Fremdbestimmung des Kunden und legt den Begriff des Geschäftszwecks sehr restriktiv aus, um ihn vor solchen unaufgeforderten Cross- und Upselling-Angeboten zu schützen. Insofern darf das Unternehmen hier nur an das bestehende, konkrete Vertragsverhältnis anknüpfen. Soweit der Kunde mit dem Produkt auch einen Anspruch auf eine Beratungsleistung erworben hat, steht es dem Anbieter frei, den Kunden diese Beratungsleistung anzubieten. Geht es jedoch um das Anbieten weiterer Produkte eines neuen Vertragsverhältnises, ist die Ansprache gemäß 4 Abs. 1, 28 Abs. 1 Nr. 1 BDSG nicht erlaubt. Entsprechend fehlt die Legitimation zur Analyse der Kundendaten mit dem Zweck der Identifikation solcher Verkaufspotenziale. Telekommunikationsunternehmen nutzen diese Unterscheidung zwischen Beratung und Marketing, indem sie ihre Tarife mit Optionen ausstatten. Im Rahmen des bestehenden Vertragsverhältnisses wird somit der Hinweis an den Kunden, dass er im letzten Monat sehr hohe Gesprächsumsätze hatte, und das Angebot einer passenden Flatrate-Option legitimiert. Jedoch ließe sich auch bei dieser Nutzung argumentieren, dass die Zuwahl einer solchen Option den bestehenden Vertrag abändert und somit der Marketingcharakter überwiege. Im Hinblick auf besondere Kundenvorlieben darf man wohl eine Speicherung in einem Customer Relationship Management (CRM)-System als legitim ansehen, soweit der Servicegedanke eine außerordentlich große Rolle spielt. Zu denken ist zum Beispiel an Vorlieben, die ein Gast der gehobenen Hotellerie äußert, um dessen Wohlbefinden bei einem wiederholten Aufenthalt sicher zu stellen. Wahrung berechtigter Interessen Scheidet eine Datenverarbeitung zum Zweck der Vertragsdurchführung aus, mag der zweite Erlaubnistatbestand nach 28 Abs. 1 Nr. 2 BDSG zur Wahrung berechtigter Interessen den Vorgang legitimieren. Hierbei muss das berechtigte Interesse des Unternehmens an der Datenverarbeitung auf einen konkreten Verarbeitungs- oder Nutzungszweck gerichtet sein. Solch ein berechtigtes Interesse, das das schutzwürdige Interesse der Betroffenen überwiegt, könnte beispielsweise eine Bank, die Kreditkarten ausgibt, geltend machen, um Zahlungsprofile zu erstellen und somit Missbräuche zu verhindern. In der Praxis zeigt sich, dass auch diese Abwägungsnorm einen großen Spielraum in der Auslegung lässt. Jedoch besteht Einigkeit in der Rechtsprechung, dass eine Sammlung von Kundendaten über die Vertragsstammdaten hinaus Informationen aus Beratungen, Transaktionsdaten und deren gezielte Auswertung mit dem Ziel der Umsatzsteigerung nicht erlaubt ist. Insbesondere das auf eine in Form eines Data Warehouse vorliegende Datensammlung angewandte Data Mining entbehrt eines berechtigten Interesses, weil zum Zeitpunkt der Speicherung der Verarbeitungszweck nicht konkret festlegbar ist. Zusammenfassend lässt sich somit sagen, dass der Analyse personenbezogener Daten zum Zweck der Umsatzsteigerung enge Grenzen gesetzt sind. Soweit das Unternehmen nicht im Vorhinein die Erlaubnis des Kunden gemäß 4 Abs. 1 BDGS eingeholt hat, dürfen die dem Unternehmen vorliegenden Informationen einzig zur Vertragsdurchführung, unter Umständen mit einem Angebot besonderer Beratungs- oder Serviceleistungen, oder zur Betrugserkennung genutzt werden. Szenario 2: Analyse der Unternehmensdaten mit dem Ziel der Performancesteigerung Falls das Unternehmen den anschwellenden Datenstrom, der sich aus produktionslogistischen Abläufen speist, mit dem Ziel der Performanceanalyse und -steigerung untersuchen möchte, besteht erst einmal keine gesetzliche Einschränkung. Schließlich bezieht sich das BDSG auf personenbezogene Daten und nicht auf Daten, wie sie im Produktionsprozess anfallen. 17 Detecon Management Report 3 / 2012

5 Strategy Falls jedoch personenbezogene Daten mit erhoben werden sollen, zum Beispiel um eine Leistungsbeurteilung des einzelnen Mitarbeiters zu ermöglichen, werden dem Arbeitgeber Grenzen gesetzt, um eine ausufernde Kontrolle zu verhindern. So können laufende Protokollierungen der verschiedenen Unternehmenssysteme wie Arbeitszeiterfassung oder Applikationslogins zu einer umfassenden Erfassung des Arbeitnehmerverhaltens führen. Die automatisierte Verarbeitung solcher Daten unterliegt der Mitbestimmung des Betriebs- beziehungsweise Personalrats. Dabei geht das Bundesarbeitsgericht recht restriktiv davon aus, dass Datenverarbeitungen dazu bestimmt [sind], das Verhalten oder die Leistung des Arbeitnehmers zu überwachen, wenn die Möglichkeit besteht, gespeicherte Leistungsdaten einzelnen Arbeitnehmern zuzuordnen, und zwar unabhängig davon, zu welchem Zweck diese Daten ursprünglich erfasst worden sind. Hier lässt sich zusammen mit dem mitbestimmungsberechtigten Sozialpartner eine Betriebsvereinbarung schaffen, die die Verarbeitung wiederum in der dort geregelten Form legitimiert. Der 32 BDSG regelt die Datenverarbeitung zum Zweck des Beschäftigungsverhältnisses und legt den Arbeitnehmerdatenschutz grundsätzlich fest. Er ist 2009 auch aufgrund verschiedener Datenskandale von Großunternehmen eingeführt worden. Soweit es um die Wahrnehmung von Arbeitgeberrechten geht, zum Beispiel soweit dieser sein Weisungsrecht ausübt oder die Leistung der Beschäftigten kontrolliert, ist dies als durch die Norm legitimiert anzusehen. Jedoch darf eine totale Überwachung, beispielsweise mit Hilfe von Videoaufzeichnungen, nicht erfolgen. Zu unterscheiden sind hier wohl die Begriffe Kontrolle (legitim) und Überwachung (nicht erlaubt), was wiederum Interpretationsspielraum lässt, der mit Hilfe eine Betriebsvereinbarung geschlossen werden kann. Private Nutzung von -Programmen Eine regulatorische Besonderheit ergibt sich, wenn der Arbeitnehmer im Rahmen seiner Dienstausübung vom Arbeitgeber hierfür zur Verfügung gestellte Kommunikationsmittel, zum Beispiel -Programme, nutzt. Soweit der Arbeitgeber die private Nutzung erlaubt oder zumindest toleriert, geht die herrschende Meinung davon aus, dass er sich dem Arbeitnehmer gegenüber als Telekommunikationsdiensteanbieter im Sinne von 3 Nr. 6 TKG verhält. Konsequenz dieser Auffassung ist, dass er an das Fernmeldegeheimnis gemäß 88 TKG und die Datenschutzbestimmungen des TKG gebunden ist und nun selbst vollständig den Zugriff auf die s verliert. Auch wenn vereinzelt Landesarbeitsgerichte anders entschieden haben, ist dem Unternehmen anzuraten, entsprechende Betriebsvereinbarungen zu treffen und zu kommunizieren, um zum Beispiel für den Fall einer längeren Abwesenheit eines Mitarbeiters wie Urlaub oder Krankheit nicht vollständig vom Zugang zu dessen Arbeitsergebnissen ausgeschlossen zu sein. Zusammenfassend lässt sich zum geschilderten zweiten Szenario festhalten, dass der Auswertung vielfältiger produktionslogistischer Daten erst einmal nichts im Wege steht. Hier bietet sich also die Hebung von Effizienzen unter Zuhilfenahme von neuen Technologien wie Big Data und Cloud Computing an. Da die Rechtsprechung jedoch Datenverarbeitungen, die sich zur Überwachung eignen, unabhängig von der eigentlichen Intention des Unternehmers, verbietet, sollten die Betriebsvereinbarungen vorsorglich auf die neuen Möglichkeiten angepasst werden. Denn schließlich ermöglicht eine tiefere und umfassendere Analyse der Produktionsprozesse auch potenziell die Identifikation und Beurteilung von Einzelleistungen. 18 Detecon Management Report 3 / 2012

6 Business Analytics, Big Data und die Cloud Das Dilemma der Cloud-Anbieter Das BDSG entfaltet als Bundesgesetz erst einmal nur territoriale Geltung auf deutschem Boden. Da es jedoch bereits umfangreiche Anpassungen an geltende EU-Richtlinien erfahren hat, kann bereits von einer europaweiten Harmonisierung des Datenschutzrechtes ausgegangen werden. Schwieriger gestaltet sich jedoch das Angebot von Cloud-Anbietern, die sowohl in Europa als auch in den USA ihre Dienste anbieten wollen, da hier gleichzeitig unterschiedliche Rechte gelten können. Dabei sieht das amerikanische Recht erst einmal keine allgemeine Regelung des Datenschutzes vor, sondern überlässt die individualverträgliche Regelung den Anbietern. Allerdings vermehrt der US Patriot Act, ein Bundesgesetz, das der amerikanische Kongress 2001 zum Krieg gegen den Terror erlassen hat, in das Zentrum der juristischen Diskussion. Denn nach diesem Gesetz ist es amerikanischen Behörden möglich, Unternehmen zur Herausgabe der bei ihm gespeicherten Kundendaten zu zwingen. Nach amerikanischer, weitreichender Lesart umfasst dies auch in Europa gespeicherte Daten und soll auf Gesellschaften mit Sitz in Europa anwendbar sein, wenn diese mit amerikanischen Daten in einem Konzern verbunden sind. Für die Cloud-Anbieter entsteht so ein Dilemma, da sie nun zwei sich widersprechenden Regelungsbereichen unterliegen. Dabei kann der Cloud-Anbieter sogar mit einem Redeverbot über die Herausgabe der Kundendaten belegt werden, sogenannte Gag Order, so dass der nicht-amerikanische Kunde noch nicht einmal davon erfahren würde. Soweit dieser Gegensatz nicht gelöst werden kann, bietet sich für den Kunden eine verschlüsselte Ablage der Daten in der Cloud an. Damit wäre ein Cloud Computing, also eine dezentrale Verarbeitung, aber nicht mehr möglich. Björn Froese ist als Management Consultant im Bereich Strategy, Innovation, Marketing and Sales (SIMS) tätig. Seit seinem Abschluss in Industrial Engineering and Management in Berlin und Berkeley, USA, arbeitet er als Unternehmensberater im Bereich Corporate Finance mit Fokus auf Unternehmenstransformation und Transaction Advisory. Hierbei hat er mehrere sehr große Transformationsprojekte im Inland und Ausland begleitet. Zur fachlichen Vervollständigung seiner Expertise erlangte er den Grad des Masters of Commercial Law an der Universität des Saarlandes mit Schwerpunkt auf Vertragsmanagement. 19 Detecon Management Report 3 / 2012