Datenschutz in einem Data-Warehouse für das Hochschulwesen Datenschutzrechtliche Rahmenbedingungen und deren Berücksichtigung im Berechtigungskonzept für das SAP BW-System an der TU München Leonie Haas (TU München) Stefan Hartmann (ihb Bamberg) 11. Oktober 2006
Agenda 1. Gesetzliche Grundlagen des Datenschutzes 2. Datenschutz in einem Data-Warehouse für das Hochschulwesen am Beispiel des Projekts CEUS 3. Berechtigungskomponenten im SAP BW 4. Berechtigungskonzept der TU München 2
Agenda 1. Gesetzliche Grundlagen des Datenschutzes 2. Datenschutz in einem Data-Warehouse für das Hochschulwesen am Beispiel des Projekts CEUS 3. Berechtigungskomponenten im SAP BW 4. Berechtigungskonzept der TU München 3
1. Gesetzliche Grundlagen des Datenschutzes Datenschutzgesetze Bundesebene: Bundesdatenschutzgesetz (BDSG) Datenschutzgesetze auf Landesebene: z.b. Bayerisches Datenschutzgesetz (BayDSG) Generelle Obliegenheit der Datenschutzgesetze: Wahrung des Rechts auf informationelle Selbstbestimmung, das dem einzelnen Menschen grundsätzlich die Entscheidung gibt, ob und wie seine Person betreffende Daten verarbeitet werden. (Art.2 Abs.1 i.v.m. Art.1 Abs.1 GG) [Büll00] Gesetzliche Grundlage zur Vermeidung der Beeinträchtigung des Persönlichkeitsrechts von Einzelpersonen durch den missbräuchlichen Umgang mit deren personenbezogenen Daten. (vgl. 1 Abs.1 BDSG), [SiPU02] die einzelnen davor zu schützen, dass sie bei der Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten durch öffentliche Stellen in unzulässiger Weise in ihrem Persönlichkeitsrecht beeinträchtigt werden. ( 1 BayDSG) 4
1. Gesetzliche Grundlagen des Datenschutzes Personenbezogene Daten ( 3 Abs.1 BDSG) Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Bestimmte Person : Eine Person, die durch eindeutige Zuordenbarkeit personenbezogener Daten (z.b. Name, Anschrift, Matrikelnummer) bestimmt werden kann. [SiPU02], [Büll00] Bestimmbare Person : Personen, denen sich personenbezogene Daten mit Hilfe von Zusatzinformationen zuordnen lassen. [SiPU02], [Büll00] Das Datenschutzrecht findet bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten Anwendung (vgl. 1 Abs.2 BDSG). Für die Anwendung des BDSG ergibt sich kein Unterschied, ob eine Person bestimmt oder nur bestimmbar ist. [Büll00] 5
1. Gesetzliche Grundlagen des Datenschutzes Grundregeln zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten [SiPU02], [Hafn03], [GoJa02] Zulässigkeit: Verbot mit Erlaubnisvorbehalt ( 4 Abs.1 BDSG) Ausnahmen: Durch Einwilligung des Betroffenen erlaubt ( 4a BDSG). Durch BDSG erlaubt ( 28-31 BDSG, betrifft nicht-öffentliche Stellen). Durch eine Rechtsvorschrift außerhalb des BDSG erlaubt. Datenvermeidung und Datensparsamkeit ( 3a BDSG) Speicherung möglichst weniger personenbezogener Daten. Nutzung von Anonymisierung oder Pseudonymisierung. Datenschutz und Datensicherheit Zugangs-, Zugriffs- und Weitergabekontrolle. (Passwortschutz, Berechtigungskonzept, Verschlüsselung etc.). Transparenz Informationspflicht gegenüber dem Betroffenen über den Zweck der Verarbeitung seiner personenbezogenen Daten ( 4 Abs.3 BDSG). Ausnahmen ( 33 BDSG). Berichtigung, Löschung, Sperrung ( 35 BDSG). 6
1. Gesetzliche Grundlagen des Datenschutzes Speicherung personenbezogener Daten in einem Data-Warehouse DWH * als Gefahr für das Recht auf informationelle Selbstbestimmung [Mönc98] Integration der Daten einer Person aus verschiedenen operativen Systemen. Historisierung sowie redundante Ablage der Daten. Aufbau eines umfangreichen Datenbestands über die betroffene Person. Problematik des Datenschutzes in einem Data-Warehouse [Büll00], [SiPU02] Der Zweck der Datenverarbeitung in einem Data-Warehouse ist nicht immer exakt bestimmbar. Eine Einwilligung des Betroffenen ist daher nur schwer erreichbar. Zulässigkeitstatbestände (z. B. durch 28 BDSG) durch vertragliche bzw. vertragsähnliche Zwecke oder zur Wahrung berechtigter Interessen sind bei einem DWH nicht immer gegeben. Eine legale Datenverarbeitung in einem Data-Warehouse ist in der Regel nur durch Anonymisierung der personenbezogenen Daten möglich. [SiPU02] Anonymisierte Daten unterliegen nicht dem Datenschutzrecht. [Mönc98], [Büll00] * Data Warehouse (DWH) 7
1. Gesetzliche Grundlagen des Datenschutzes Anonymisierung ( 3 Abs.6 BDSG) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Problematisch ist hierbei den Aufwand für eine Reidentifikation zu bestimmen, wofür das einzubeziehende Zusatzwissen eines Anfragers ein maßgeblicher Faktor ist. [Bize98] 8
Agenda 1. Gesetzliche Grundlagen des Datenschutzes 2. Datenschutz in einem Data-Warehouse für das Hochschulwesen am Beispiel des Projekts CEUS 3. Berechtigungskomponenten im SAP BW 4. Berechtigungskonzept der TU München 9
2. Datenschutz in CEUS Datenschutzrechtliche Aspekte in CEUS* Nicht geeignet zur Realisierung des Datenschutzes in einem DWH: Einwilligung des Betroffenen ( 4 BDSG). Zulässigkeitstatbestände ( 28 BDSG, nur nicht-öffentliche Stellen). Jeglicher Personenbezug im CEUS-DWH wird mittels (faktischer) Anonymisierung eliminiert. Transparenz über die verwendeten Datenfelder und Dokumentation der verschiedenen Datenschutzmaßnahmen werden durch fundierte Datenschutzleitlinien geboten. Anhand eines detaillierten Berechtigungskonzepts wird der Datenzugriff und die Analyseberechtigung innerhalb eines DWH-Teilsystems beschrieben. * ausführliche Informationen über das Projekt CEUS finden sich in [HaUl05], [SBPU01] oder unter http://www.ceushb.de. 10
2. Datenschutz in CEUS Anonymisierung personenbezogener Daten in CEUS Eliminierung personenbezogener Attribute Alle personenbezogenen Attribute zur externen Identifikation (Name, Vorname, Adresse usw.) werden bereits bei der Übernahme der Daten noch innerhalb des Vertrauensbereichs des jeweiligen operativen Systems eliminiert! Faktische Anonymisierung identifizierender Merkmale Attribute zur internen Identifikation (Matrikel- oder Personalnummer etc.) werden bereits beim Datenabzug aus den operativen Systemen durch Verschlüsselung faktisch anonymisiert. Der Zusammenhang zwischen den Tabellen (z.b. zur Verknüpfung von Studenten- und Prüfungsdaten) bleibt bestehen. Auswertungen nur auf aggregierte Datenbestände Endanwender können nur auf aggregierte Datenbestände zugreifen. Die verschlüsselten Attribute zur internen Identifikation dienen lediglich zur Konsistenzprüfung und Datenverknüpfung beim Laden des DWH. 11
2. Datenschutz in CEUS Datenschutzleitlinien für das Projekt CEUS Beschreibung spezifischer Datenschutzmaßnahmen für den CEUS-Systembetrieb auf einer allgemeinen, einheitlichen Basis. Auflistung des Informationsbedarfs der Entscheidungsträger. Verzeichnis der erforderlichen Zugriffe auf operative Daten sowie deren Abbildung im jeweiligen (Teil-)DWH. Festlegung der Verantwortungsbereiche und Zuständigkeiten. (Ansprechpartner, Datenlieferanten, Bestimmung der Zugriffsrechte etc.). Grundlage für eine datenschutzrechtliche Beurteilung von CEUS durch den Bayerischen Landesbeauftragten für den Datenschutz sowie der hochschuleigenen Datenschutzbeauftragten und des Personalrats. (Kontrollsystem des Datenschutzes 4f, 4g, 21-26, 38 BDSG). Gewinnung und Aufrechterhaltung von Akzeptanz und Vertrauen der Betroffenen sowie ihrer Vertretungen (z. B. Personalrat) in CEUS. 12
2. Datenschutz in CEUS Berechtigungskonzept Welche Daten darf ein Nutzer sehen und wie darf er auf die Daten zugreifen? Datenberechtigung (Schemaebene) Auf welche Merkmale, Kennzahlen etc. darf ein Nutzer zugreifen? Datenberechtigung (Instanzebene) Welche Dateninhalte darf ein Nutzer sehen (Domänenzugriff, Zugriff auf einen bestimmten Teilbereich einer Domäne / eines Datenfeldes etc.). Analyseberechtigung Welche Analysefunktionen (z. B. Drill-, Sortierungs- und Formatierungsfunktionen) darf ein Nutzer auf den Daten ausführen. Abrufen von Standardberichten. Eingeschränkte Navigation über vordefinierte Analysepfade. Freie Navigation im Datenbestand. Eigenständige Berichtserstellung. 13
2. Datenschutz in CEUS Berechtigungskonzept Welche Daten darf ein Nutzer sehen und wie darf er auf die Daten zugreifen? Zur Komplexitätsreduzierung bei der Berechtigungsverwaltung wird ein Rollenkonzept genutzt (Info-, Advanced- und Power-User). Einem Nutzer können unterschiedliche Datenzugriffs- und Analyseberechtigungen in den einzelnen DWH-Teilbereichen zugewiesen werden. (z.b. Detaildaten seiner Fakultät mit voller Analysefunktionalität sowie Summendaten über die gesamte Hochschule über Anzeigefunktionalität). Mit Hilfe von (Menü-)Rollen können individuelle Zugriffe auf das Standardberichtssystem geregelt werden. 14
Agenda 1. Gesetzliche Grundlagen des Datenschutzes 2. Datenschutz in einem Data-Warehouse für das Hochschulwesen am Beispiel des Projekts CEUS 3. Berechtigungskomponenten im SAP BW 4. Berechtigungskonzept der TU München 15
3. Berechtigungskomponenten im SAP BW Berechtigungskonzept im SAP BW Im SAP BW stehen vor allem die Daten selbst und weniger die Transaktionscodes (wie im R/3) im Fokus des Zugriffsschutzes. Zugriffsschutz auf Infoproviderebene (InfoCubes, ODS, InfoObjects etc.) Schutz des generellen Zugriffs auf InfoCubes, ODS, InfoObjects etc., aber keine spezifische Zugriffsbeschränkung auf die Dateninhalte dieser Objekte. Berechtigungsobjektklasse: Business Information Warehouse. Zugriffsschutz auf Feldebene (Dateninhalte) Schutz des Zugriffs auf die Dateninhalte der InfoProvider. Bestimmte Dateninhalte eines InfoProviders können für einen Nutzer gesperrt bzw. frei geschaltet werden. Beispielsweise darf der Dekan einer Fakultät nur auf die Daten seiner Fakultät zugreifen. Berechtigungsobjektklasse: Business Information Warehouse Reporting. 16
Agenda 1. Gesetzliche Grundlagen des Datenschutzes 2. Datenschutz in einem Data-Warehouse für das Hochschulwesen am Beispiel des Projekts CEUS 3. Berechtigungskomponenten im SAP BW 4. Berechtigungskonzept der TU München 17
4. Berechtigungskonzept der TU München Business Information Warehouse 18
4. Berechtigungskonzept der TU München Data Warehouse der TUM: Überblick Geschäftsprozesse Organisationsstruktur Management InfoSys zentrales Berichtswesen Domänen Integration Datenschutz Namenskonventionen Nutzerkreise Jobprofile DWH-Zugriff Berichtswerkzeuge 19
4. Berechtigungskonzept der TU München Domänenkonzept Domäne / InfoArea InfoProvider Operatives System Personal Personaladministration SAP R/3 HR Organisationsmanagement Studenten und Prüfungen Studenten Prüfungen Bewerber SAP R/3 HR HIS-SOS HIS-SOS HIS-SOS getrennte Abbildung von Hochschulgeschäftsprozessen auch im Data Warehouse Rechnungswesen Finanzplanung SAP R/3 FI Haushaltsmanagement SAP R/3 FM Controlling SAP R/3 CO Integrationsdomäne div. div. Integrationsdomäne bietet Möglichkeiten für fachübergreifende Analysen 20
4. Berechtigungskonzept der TU München Namenskonventionen Abbildung des Domänenkonzepts in InfoAreas Namenskonventionen für BW-Objekte: Domäne InfoCube Namenskonventionen für Queries: 21 Domäne InfoCube Organisationseinheit Berichtstyp
4. Berechtigungskonzept der TU München Benutzertypen Berichtsanalyse: InfoUser Berichtsmanagement: PowerUser BW-Systeme: Administrator Informationsbedarf Jobprofil Domäne organisatorische Zugehörigkeit Domäne / InfoArea InfoProvider Nutzerkreise Personal Personaladministration Organisationsmanagement Studenten und Prüfungen Studenten Prüfungen Bewerber Rechnungswesen Finanzplanung Haushaltsmanagement Controlling Integrationsdomäne div. Hochschulleitung Controlling, Organisation, Planung Presse und Kommunikation Öffentlichkeit Fakultätsverwaltungen Studenten-Servicezentrum Fachabteilungen 22
4. Berechtigungskonzept der TU München BW@TUM Benutzerprofile Welche Daten PowerUser InfoUser darf ein Nutzer für r beim Controlling Abteilungsleitung sehen SSZ für fund mit r Standardberichte wie Ressort Personal darf Statistiken darauf am Standort zugreifen? Studenten Garching und / Prüfungen Personal Informationsbedarf Jobprofil Domäne Organisationseinheit Namenskonventionen Menüstruktur Analysefunktionalität Feldsperren/-schranken DWH-Zugänge Berichtswerkzeuge Benutzertypen DWH-Pflege 23
4. Berechtigungskonzept der TU München Berechtigungskomponenten InfoUser, PowerUser, Admin DWH-Struktur, Domänen Namenskonventionen Benutzerkennungen Zugangsvariablen feldspez. Berechtigungsobjekte funktionale Berechtigungsrollen 24 fachliche Berichts- und Menürollen
4. Berechtigungskonzept der TU München Berechtigungsobjekt auf Feldebene Berechtigungsobjekt Hierarchieknoten Berichtsvariable Präparierte Demodaten, kein Bezug zur Realität 25
4. Berechtigungskonzept der TU München Berechtigungsrollen feldspezifischer Zugriffsschutz durch Berechtigungsobjekte fachspezifische Berichtsgruppen für InfoUser fachspezifische Menüstruktur für InfoUser funktionale Rolle für PowerUser 26
4. Berechtigungskonzept der TU München Berechtigungsrolle 27 Berichtsrolle InfoUser Menürolle InfoUser feldspez. Berechtigungsrolle Funktionalität PowerUser Workbench Administrator
4. Berechtigungskonzept der TU München Benutzer-Rollen-Zuordnung PowerUser Personal InfoUser Personal nur Standardberichte nur Personalbereich München 28
4. Berechtigungskonzept der TU München Berichtsbeispiel Datenfenster nach Standort und Fakultät Reidentifikationsschutz durch Bedingung Präparierte Demodaten, kein Bezug zur Realität 29
4. Berechtigungskonzept der TU München Betriebsvereinbarungen Datenschutzfreigabe durch Datenschutzbeauftragten der TUM Personenbezogene Auswertungen stehen nicht zur Verfügung Identifizierung von einzelnen Personen ist nicht möglich (Bedingung, Filter,...) Domänenenübergreifende Auswertungen stehen derzeit nicht zur Verfügung Bestimmte Datenbereiche sind streng voneinander getrennt (Personalbereiche) InfoCubes, Berichte, InfoUser und Berechtigungen sind für Personalrat transparent 30
Kontakt Technische Universität München Referat 72: SAP-Team Leonie Haas haasl@zv.tum.de 089 / 289-25292 http://portal.mytum.de/iuk/bw ihb - Wissenschaftliches Institut für Hochschulsoftware der Universität Bamberg Dipl. Wirtsch.Inf. Stefan Hartmann stefan.hartmann@ceushb.de 0951 / 863-2714 http://www.ceushb.de http://www.ihb.uni-bamberg.de 31
Literatur und Gesetze [Büll00] [Bize98] [GoJa02] [Hafn03] [HaUl05] [Mönc98] [SBPU01] [SiPU02] Büllesbach, A.: Datenschutz bei Data Warehouses und Data Mining. In: Computer und Recht, Heft 1, 16. Jg., 2000, S.11-17. Bizer, J.: Datenschutz im Data Warehouse. In: Mucksch, H.; Behme, W. (Hrsg.): Das Data Warehouse-Konzept Architektur Datenmodelle Anwendungen. 3. Auflage, Gabler, Wiesbaden 1998, S. 101-124. Gola, P.; Jaspers, A.: Das neue BDSG im Überblick Erläuterungen, Schaubilder und Organisationshilfen zum BDSG 2001 für die Datenschutzpraxis, 2. Auflage, Datakontext Fachverlag, Königsdorf-Frechen 2002. Hafner, M.: Datenschutz im Data Warehousing. In: von Maur, E.; Winter, R. (Hrsg.): Data Warehouse Management. Springer, Berlin 2003. Hartmann, S.; Ulbrich-vom Ende, A.: Mehr Intelligenz an Bayerns Hochschulen. In: Köster T. (Hrsg.): Staat&IT, Ausgabe 2/2005, ISSN: 1436-0829, S.18-20 (http://www.ceushb.de/?content=publikationen). Möncke, U.: Data Warehouse - eine Herausforderung für den Datenschutz? In: Datenschutz und Datensicherheit, 22. Jg., 10/1998, S.561-569. Sinz, E.J.; Böhnlein, M.; Plaha, M.; Ulbrich-vom Ende, A.: Architekturkonzept eines verteilten Data-Warehouse-Systems für das Hochschulwesen. In: Buhl, H.-U.; Huther, A.; Reitwiesner, B. (Hrsg.): Information Age Economy, Physica-Verlag, Heidelberg 2001 (http://www.ceushb.de/?content=publikationen). Sinz, E.J.; Plaha, M.; Ulbrich-vom Ende, A.: Datenschutz und Datensicherheit in einem landesweiten Data-Warehouse-System für das Hochschulwesen. Bamberger Beiträge zur Wirtschaftsinformatik und Angewandten Informatik Nr. 62, Bamberg, 2002 (http://www.ceushb.de/?content=publikationen). 32
Literatur und Gesetze BDSG Bundesdatenschutzgesetz (http://bundesrecht.juris.de/bundesrecht/bdsg_1990/htmltree.html) BStatG Gesetz über die Statistik für Bundeszwecke (http://bundesrecht.juris.de/bstatg_1987/index.html) BayDSG Bayerisches Datenschutzgesetz (http://byds.juris.de/byds/009_1.1_dsg_by_1993_rahmen.html) GG Grundgesetz für die Bundesrepublik Deutschland (http://bundesrecht.juris.de/gg/index.html) HStatG Gesetz über die Statistik für das Hochschulwesen (http://www.destatis.de/download/d/stat_ges/biwiku/505.pdf) 33