Wer ein Data-Warehouse mit personenbezogenen Daten im Sinne von Paragraph 3, Absatz 1, des Bundesdatenschutzgesetzes (BDSG) betreiben will, muß vorher die Anwendungsfälle definieren und ihre Zulässigkeit prüfen. Helmut Redeker, Rechtsanwalt und Diplominformatiker in Bonn, beschreibt die Rechtslage:

Nach der Grundregel des Paragraphen 4, Absatz 1 BDSG, ist die Verarbeitung von Daten natürlicher Personen nur zulässig, wenn die Betroffenen in die Verwendung einwilligen oder eine Norm sie erlaubt.

So dürfen Personendaten benutzt werden, wenn sie von Vertragspartnern stammen und der Vertragsabwicklung dienen (Paragraph 28, Absatz 1, Nr. 1 BDSG). Besteht kein Grund zur Annahme, daß schutzwürdige Interessen von Betroffenen überwiegen und daß das Unternehmen diese Daten zur Wahrung berechtigter Interessen heranzieht, dürfen sie in Data-Warehouse-Applikationen verwendet werden (Paragraph 28, Absatz 1, Nr. 2 BDSG). Allerdings erlaubt auch diese Gesetzespassage keineswegs den Betrieb eines Datenpools, der "gläserne Kunden, Mitarbeiter, Patienten" herstellt, auch wenn solches durchaus vitale Geschäftsinteressen berührt.

Zusätzliche Restriktionen sieht der Gesetzgeber für die Überschreitung der Grenzen von Einzelunternehmen vor. Der Betrieb eines Data-Warehouse entspricht im Sinne von Paragraph 10, Absatz 1 BDSG, einem "automatisierten Abrufverfahren". Dieses ist sowohl gebunden an den Schutz von Betroffenen als auch an die Geschäftszwecke des jeweiligen Unternehmens. Anlaß und Zweck des Abrufverfahrens müssen deshalb vor Inbetriebnahme detailliert dargestellt werden, die Anwendungsfälle klar sein. Data-Warehousing mit Personendaten im Konzern und Filialverbund über Gesellschaftsverträge hinweg ist somit nicht ohne weiteres statthaft.