Data-Warehouse/Das Gesetz als Hürde für Data-Warehouse-Konzepte

Datenschützer warnen vor dem gläsernen Bürger

02.05.1997

Zur Zeit beschäftigt sich jedes größere Unternehmen mit Data-Warehousing (DW). Von der Zusammenführung und Analyse ihrer Datenressourcen versprechen sie sich Vorteile wie exakte Informationen über Mitbewerber und Kunden sowie Analysen ihrer aktuellen Serviceleistungen. Die Möglichkeiten der DW-Technik sind in der Tat enorm. So läßt sich das Kaufverhalten von Kundengruppen beobachten, vorhersagen und beeinflussen. Den Anbietern eröffnet sich dadurch die große Chance, die für sie und ihre Produkte in Frage kommenden Kundenkreise herauszufinden.

In Australien geriet Data-Warehouse bereits in die Schlagzeilen. Im Bundesstaat North South Wales wurde 1996 gegen den ehemaligen Marketing-Experten des australischen Versicherungsgiganten AMP ein Gerichtsverfahren eingeleitet. Dem Spezialisten für Direkt-Marketing wurde aufgrund seiner Datenbankaktivitäten für AMP Betrug vorgeworfen. Der Prozeß schlug hohe Wellen - bis ins Parlament. Die Abgeordneten des australischen Landes sahen sich gezwungen, auf Befürchtungen von Bürgern zu reagieren, die Data-Warehouse-Techniken zunehmend mit den Überwachungsmethoden des Big Brother aus George Orwells Roman "1984" in Verbindung brachten.

"Vieleicht bräuchten wir auch so einen spektakulären Prozeß, damit die Öffentlichkeit aufwacht und die Unternehmen in puncto Datenschutz eine größere Sensibilität als bisher an den Tag legen", meint Thomas Hoene, Anwalt und Spezialist für DV-Recht bei der Anwalts- und Notarskanzlei Siegle Loose Schmidt-Diemitz in Stuttgart/Degerloch. Er sieht im Datenschutz eine der schwierigsten Hürden für Data-Warehousing: "Um hier nicht ins Stolpern zu kommen, müssen die Unternehmen den Datenschutz ernst nehmen und ihn in die entsprechenden Anforderungen integrieren."

Hoene weist darauf hin, daß der dem Grundrecht auf informationelle Selbstbestimmung dienende Datenschutz ausschließlich personenbezogene Daten zum Gegenstand hat. Sachbezogene oder anonymisierte Daten, die einer konkreten Person nicht zugeordnet werden können, fallen nicht darunter. Allerdings ginge es, so der Rechtsexperte, bei DW-Anwendungen häufig um personenbezogene Daten. Schließlich sei das gezielte namentliche Ansprechen von Kunden oder Kundenkreisen, die durch statistisch ermitteltes Verhalten oder Merkmale typischerweise charakterisiert sind, ein wesentlicher Anwendungsfall.

Hoehne: "Bei Data-Warehouse läuft es darauf hinaus, daß sich eine Person, die irgendwann einmal mit dem Unternehmen XY in Kontakt getreten ist, von diesem in allen Beziehungen durchleuchten läßt. Diese Verknüpfung von Daten ist jedoch nur im Rahmen eines internen Geschäftsvorgangs oder mit Zustimmung dieser Person erlaubt." Zwar moniert der Stuttgarter Anwalt die geringen Vorsorgemaßnahmen, gleichzeitig bringt er ein gewisses Verständnis dafür auf. Die Gesetzgebung in diesem Bereich sei in der Tat mehr als kompliziert.

"Diesen komplexen Bereich zu durchschauen, ist die Aufgabe des betrieblichen Datenschutzbeauftragten, doch davon gibt es viel zu wenige", klagt Andreas Jaspers, Geschäftsführer der Gesellschaft für Datenschutz und Datensicherung (GDD) in Bonn. Zwar würde das Bundesdatenschutzgesetz (BDSG) die Bestellung eines Datenschutzbeauftragten vorschreiben, wenn mindestens fünf Personen in der DV beschäftigt seien, doch gibt es hier eine riesige Grauzone. Jaspers betont, daß alle Unternehmen, bei denen die Vorschriften des BDSG greifen, die aber noch keinen Mitarbeiter für den Datenschutz ernannt haben, sich in einem rechtswidrigen Zustand befinden.

Laut Jaspers ist es enorm schwierig, die "Missetäter" zu erwischen. Die Datenaufsichtsbehörden haben nämlich genug damit zu tun, die per se meldepflichtigen Unternehmen zu kontrollieren.

Das sind vorrangig Auskunfteien, Markt- und Meinungsforschungsinstitute sowie Auftragsdatenverarbeiter wie die großen Rechenzentren. Daneben noch jedes Unternehmen zu kontrollieren, ist für die Aufsichtsbehörden allein schon aus personellen Gründen nahezu unmöglich. Datenschützer Jasper: "Viele Betriebe leben solange in ihrem unrechtmäßigen Zustand, bis dieser irgendwann auffällt und sie eine Strafe zahlen müssen."

Der Bonner GDD-Mann ist überzeugt, daß durch die neuen Data-Warehouse-Anwendungen der Datenschutz künftig einen zunehmend höheren Stellenwert erhalten wird: "Bis jetzt gab es im Gegensatz zu anderen Ländern in Deutschland noch keine großen Datenschutzskandale. Aber das kann sich schnell ändern und darf kein Grund sein, den Datenschutz als lästige Auflage des Gesetzgebers zu sehen." Langfristig setzt er jedoch auf die Vernunft der Unternehmen. Jaspers: "Irgendwann werden die IT-Verantwortlichen einsehen, daß Datenschutz gut für das Image ist und somit zum Wettbewerbsvorteil werden kann."

Eckhard Beilecke, Stellvertreter des Landesbeauftragten für Datenschutz des Landes Schleswig-Holstein, überfällt bei der Frage nach dem Datenschutz in der Wirtschaft ein gewisses Magengrimmen: "Wir nennen das die diskrete Datenerfassung. Die Menschen hinterlassen Datenspuren, und diese werden von Interessenten gesammelt." Leider könnten die Datenschützer im Bereich der Wirtschaft nicht so durchgreifen, wie sie es gerne möchten. Das Gesetz unterscheide nun einmal zwischen dem Schutz öffentlicher Stellen - dem Staat und der Verwaltung - sowie privater Stellen, vor allem Wirtschaftsunternehmen, die personenbezogene Daten erheben, verarbeiten und nutzen. Der Kieler Datenschützer: "Natürlich unterliegen beide der staatlichen Kontrolle. Nur das Wie und die Intensität der Kontrolle unterscheiden sich." Schließlich dürften für Data-Warehousing ausschließlich die gesetzlichen Bestimmungen zum Schutz wirtschaftlicher Unternehmen zur Geltung kommen. In diesem Bereich sei es aber immer möglich, ein paar Schlupflöcher in den Verträgen zu entdecken.

Besondere Probleme mit den diversen Datenspuren hat auch Ingo Ruhmann, Vorstandsmitglied des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (Fiff): "Wenn man die Computerbranche so viele Jahre kritisch begleitet, weiß man, daß die Unternehmen keine Hemmungen haben, alles auszunutzen, was technisch machbar ist." Nachdem die Unternehmen die heterogenen Datenbestände ihrer Kunden durchforstet hätten, würden sie diese Informationen mit weiteren Daten, die beispielsweise aus dem Internet stammen könnten, verknüpfen und ein Persönlichkeitsprofil erstellen. Der Fiff-Vorstand: "Die Gefahr des gläsernen Kunden nimmt deshalb so beängstigende Formen an, weil die Unternehmen mit der Data-Warehouse-Technik jetzt erstmalig in der Lage sind, solch unterschiedliche Datenbestände überhaupt auswerten zu können."

Der Bonner Fachmann setzt darauf, daß die gesamte Datenschutzproblematik im Bewußtsein der Bevölkerung nach und nach einen größeren Raum einnehmen wird. Widerstand gegen Datenschutzverstöße erhofft sich Ruhmann vor allem von den Betriebsräten. Schließlich sei Mißbrauch von personenbezogenen Daten nicht nur im Kundenbereich, sondern auch bei den Arbeitnehmern möglich. Professor Alfred Büllesbach, Datenschutzbeauftragter der Daimler-Benz AG und langjähriger Datenschutzbeauftragter des Landes Bremen, glaubt indes, daß diese Sensibilität nur bei den Arbeitnehmervertretern großer Konzerne gegeben sei: "Bei Unternehmen wie Daimler-Benz, IBM oder Siemens achten die Betriebsräte natürlich auf die Einhaltung der Datenschutzkriterien. Wie aber sieht es in den mittelständischen Unternehmen aus?" Dabei ist die Überwachung großer Konzerne seiner Ansicht nach überflüssig: "Wer derart im Rampenlicht steht, für den sind geordnete Datenschutzkonzepte selbstverständlich." Den kleinen und mittleren Unternehmen müßte vielmehr vor Augen geführt werden, wie wichtig es ist, die gesetzlichen Vorgaben ernst zu nehmen.

Bei der Datenschutzdiskussion vermißt Datenschützer Büllesbach den Hinweis auf die wirtschaftlichen Eigeninteressen der Unternehmen. "Es geht nicht nur um das Einhalten hehrer Rechtsprinzipien. Die Firmen haben doch selbst ein großes Interesse am Schutz ihrer eigenen Kundenbestände. So ohne weiteres gibt ja wohl kein Manager Daten an Dritte weiter. Schließlich könnte sonst aus dem Kunden rasch ein Ex-Kunde werden."

Data-Warehouse-Konzepte ohne Datenschutzbeauftragten lehnt Wolfgang Martin, Vice President der Meta Group in München, ebenfalls ab. Gleichzeitig weist er darauf hin, daß bei allen möglichen Horrorszenarien über den gläsernen Kunden nicht vergessen werden darf, daß dieses Herausfiltern von Kundengruppen nicht zur Identifizierung des einzelnen führen könne. Nicht einmal bei möglichen Risikokunden sei die totale Re-Identifizierung der Fall. Martin betont: "Wenn beispielsweise im Versandhandel ein Kunde vom Computer in die Klasse "faul" eingeordnet wurde, wird das Versandhaus ihm wohl kaum das bestellte Produkt zuschicken." Allerdings sieht sich das Unternehmen dann mit folgendem Dilemma konfrontiert. Laut Gesetz ist es verpflichtet, dem Kunden den Grund zu nennen, warum ihm der Dienst verweigert wird. Der Meta-Group-Manager lakonisch: "Das Unternehmen teilt dem Kunden schlichtweg mit, die Ware sei derzeit nicht auf Lager."

Nicht nur Datenschützer beschäftigen sich indes mit der Data-Warehouse-Problematik. Manuel Kiper, Bundestagsabgeordneter der Grünen, richtete jüngst an die Regierungskoalition die Anfrage, "ob die Bundesregierung in der als Data-Mining bezeichneten Zusammenführung und Auswertung großer heterogener Datenbestände neuartige Gefahren für den Datenschutz sehe und wie sie derartige Aspekte untersuchen lasse". Die Antwort der Bundesregierung ließ nicht lange auf sich warten. Kiper wurde mitgeteilt, daß sich etwaige Datenschutzrisiken, die sich aus der Zusammenführung und Auswertung großer heterogener Datenbestände ergeben, durch Präventivmaßnahmen wie dem Einsatz von Verschlüsselungs- und Authentisierungsverfahren verringern ließen. Der Grünen-Abgeordnete: "Diese Auskunft erinnert mich fatal an die inkompetente Datenautobahnerklärung des Kanzlers vor ein paar Jahren. Die Bonner Regierungspolitiker haben offenbar wieder einmal keine Ahnung, um was es eigentlich geht..

Angeklickt

In den meisten Unternehmen erfüllt der Datenschutz nur eine Feigenblattfunktion. Dabei gibt sich Data-Warehousing mit banalen Personendaten nicht zufrieden. Beim Kampf um den Kunden lassen sich schließlich erst mit sensiblen Daten, zum Beispiel über das Kaufverhalten, Erfolge erzielen. Gewinnen werden letztlich aber all jene Unternehmen, die bei allem Gewinnstreben den Datenschutz nicht länger als lästiges Übel sehen, sondern ihn von vornherein mit einbeziehen.

Ina Hönicke arbeitet als freiberufliche Journalistin in München.