DIE NEUE EU-DATENSCHUTZ-

GRUNDVERORDNUNG

E-Book
Auswirkungen auf Geschäftsprozesse und
Analytische Informationssysteme

Autoren: Nils Bruckhuisen | Lars von Lipinski tdwi.eu

 Herausgeber

SIGS DATACOM GmbH

Lindlaustraße 2c
53842 Troisdorf

info@sigs-datacom.de
www.sigs-datacom.de

Copyright © 2018 SIGS DATACOM GmbH

Lindlaustr. 2c
53842 Troisdorf

Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwen-
dung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des He-
rausgebers urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung,
Übersetzung oder die Verwendung in elektronischen Systemen.
Es wird darauf hingewiesen, dass die in der Broschüre verwendeten Soft- und Hardware-Bezeich-
nungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen
warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen. Alle Angaben und Program-
me in dieser Broschüre wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Herausgeber
können jedoch für Schäden haftbar gemacht werden, die im Zusammenhang mit der Verwendung
dieser Broschüre stehen.
Wo nicht anders angegeben, wurde auf die im Text verlinkten Quellen zurückgegriffen.

TDWI E-Book in Kooperation mit und

Inhalt

Vorworte der Autoren 4

1 Ein erster Blick in die DSGVO 6

1.1 Impact auf die Wirtschaft 6
1.2 Antworten zu grundlegenden Fragen 7

2 Einfluss der DSGVO auf die Geschäftsprozesse 9

2.1 Einwilligung 9
2.2 Auskunftsansprüche aus Art. 13, 14, 15 DSGVO 10
2.3 Datenportabilität 10
2.4 Schadensersatzklagen 11
2.5 Der Datenschutzbeauftragte in seiner Funktion 11
2.6 Veränderungen gegenüber dem BDSG 11
2.7 Konsequenzen für die verarbeitenden IT-Systeme 12

3 Besondere Herausforderungen für Analytische 14

Systeme als Schlaglichter
3.1 Rechenschaftspflicht – Notwendiges Übel  14
oder Nutzen?
3.2 Datenschutzfolgenabschätzung –  16
Risiko klar bewertet
3.3 Anonymisierung und Pseudomysierung –  19
Braucht man das?
3.4 AI, KI und Artikel 22 – DSGVO gegen den Trend? 23

4 Fazit 24

Weiterführende Informationen zum Thema 25

  ZUM
ZUM
 INHALT
INHALT

Vorworte der Autoren

Das Datenschutzrecht ist eine sich dynamisch ent- Nils Bruckhuisen

wickelnde Querschnittsmaterie. Elemente des (ge-
werbe-)aufsichtlichen Ordnungsrechts sind ebenso
Gegenstand wie für die branchenübergreifende pri-
vatwirtschaftliche Betätigung bedeutsame Haftungs-
fragen und Schutzansprüche vertragsrechtlicher
Natur. Mit EU-weiter Wirkung wird nun nach langjäh-
riger legislativer Kompromissfindung eine bedeutsa-
me Kodifikation in Kraft treten – die DSGVO.
Ausgestattet mit einem Anwendungsvorrang vor na-
tionalen Regelungen regelt die DSGVO mit weniger
Artikeln als das Grundgesetz bzw. mit unmerklich
mehr als das GmbH-Gesetz Paragraphen aufweist
eine komplexe Materie – das Datenschutzrecht. Die
relative Kürze der DSGVO lässt sich auch damit er-
klären, dass in großem Umfang offene Rechtsbegriffe
(z. B. „erforderlich“), Öffnungsklauseln sowie das Pa-
radigma der Technikneutralität Anwendung finden.
Doch hierzu en détail im weiteren Verlauf der Dar-
stellung. Die DSGVO begründet europaweit durch-
setzbare Ansprüche und Rechte der Betroffenen, de-
nen Pflichten und organisatorische Maßgaben der
Datenverarbeiter gegenüberstehen.
Nils Bruckhuisen ist seit 2015
Rechtsanwalt in Köln. Zu-
vor arbeitete er freiberuflich
in der Wirtschaftsprüfung.
Nach Studium der Rechts-
wissenschaften an der Hum-
boldt-Universität zu Berlin
leistete er den juristischen
Vorbereitungsdienst am Landgericht Koblenz ab. Von
dort brach er zu einem (viel zu) kurzen Gastspiel in
der Auslandshandelskammer in Nairobi/Kenia auf.
Seine Praxis ist wirtschaftsrechtlich ausgelegt, wo-
bei das Datenschutzrecht zunehmend an Bedeutung
gewinnt. Er berät Mandanten bundesweit, aber auch
etwa in Wien und Brüssel zu Haftungsfragen, Compli-
ance und Datenschutz.
Mit Spannung erwartet er die nach Inkrafttreten der
DSGVO einsetzende Verwaltungspraxis der Aufsichts-
behörden sowie die zu erwartende Rechtsprechung
der europäischen Gerichte.

Hierzu werden die Normadressaten, die regulierten

Datenverarbeitungen sowie der Anwendungsbereich
im Generellen quasi vor die Klammer gezogen; die
Rechtsfolgenseite, insbesondere aufsichtsbehördli-
che Bußgelder sowie Schadensersatzansprüche wer-
den in überschaubaren Artikeln normiert.

Im Folgenden soll, jeweils gekoppelt an Betrachtun-

gen aus dem Blickwinkel der analytischen Praxis,
eine überblicksweise Betrachtung der DSGVO erfol-
gen. Dies kann und soll keinesfalls die juristische Be-
ratung in einem von der konkreten Anwendung und
ihrer technischen Ausgestaltung individuell abhängi-
gen use-case ersetzen.

 3 4 5 
  ZUM
ZUM
 INHALT
INHALT

Vorworte der Autoren

Im Zusammenhang mit Big Data werden vermehrt Lars von Lipinski

Daten mit dem Rohstoff Öl verglichen: „Daten sind
das Öl des 21. Jahrhunderts“, heißt es. Nach dem Öl- Seit 1998 berät und coacht
Boom im letzten Jahrhundert und der Mobilität durch Lars von Lipinski Unterneh-
das Auto wurde deutlich, dass die ökologischen As- men der Finanzbranche in
pekte zu wenig Beachtung fanden. Heute zeigt der fachlichen, technischen und
Bau von schadstoffarmen Autos und Elektroautos, organisatorischen bzw. strate-
welche entscheidende Rolle die Ökologie in diesem gischen Business Intelligence
Industriezweig mittlerweile spielt. Nach meiner Mei- Themen in verschiedensten
nung wird in Zukunft der Datenschutz die Rolle der Rollen. Dabei ist neben der
Ökologie im Zeitalter von Big Data und Industrie 4.0 DSGVO und deren Auswirkungen auf die analytischen
übernehmen. Vertrauenswürdigkeit von Daten, Da- Informationssysteme ein weiterer aktueller Schwer-
tenqualität und der Schutz personenbezogener Da- punkt die Weiterentwicklung von Zusammenarbeits-
ten werden zu einer existenziell wichtigen Aufgabe modellen für BICCs.
im Rahmen des Daten- bzw. Informationsmanage-
ments für jedes Unternehmen. Als Leiter des Kompetenzcenters BI verantwortet er
die externe Strategie der FINCON Unternehmensbe-
Die Datenschutzgrundverordnung ist ein Türöffner in ratung für diesen Themenbereich.
die richtige Richtung, aber auch eine Herausforde-
rung, weil vieles nur in rechtlicher Theorie vorliegt
und die Praxis noch fehlt. Bei der Zusammenarbeit
mit Nils Bruckhuisen an diesem Dokument wurde mir
bewusst, wie wichtig es ist, dass Recht und IT ins-
besondere bei dem Thema Datenschutz eng zusam-
menarbeiten. Ich hoffe, das vorliegende Buch gibt
Ihnen Ideen und Anregungen für eine gelebte Daten-
schutzgrundverordnung.

Übrigens: Wir schreiben viel von Analytischen Infor-

mationsystemen und weniger über Big Data oder Bu-
siness Intelligence. Dies hängt mit der Zeitlosigkeit
des Begriffes Analytisches Informationsystem zu-
sammen, der als logische Klammer gängiger Konzep-
te wie OLAP, Data Warehouse, Data Mining, Predictive
Analytics, Big Data sowie konkreter betriebswirt-
schaftlicher Anwendungslösungen für dispositive
Zwecke im Unternehmen verstanden wird.

 4 5 6 
 ZUM
INHALT

1. Ein erster Blick in die DSGVO

Zunächst soll ein knapper Überblick gegeben werden über

die Rechtsfolgenseite, insbesondere die möglichen wirt-
schaftlichen Folgen der Verletzung aufgestellter Rechts-
pflichten. Des Weiteren sollen die grundlegenden Fragen des
„Wo, wer und was?“ der Anwendbarkeit angerissen werden.

1.1. Impact auf die Wirtschaft

Zunächst wäre zu fragen, wieso die Neuerungen für
Sie, geehrte Leserschaft, von Bedeutung sein mö-
gen. Darauf soll mit einigen finanziellen Aspekten
geantwortet werden: In Art. 82 und 83 der Daten-
schutz-Grundverordnung (im Folgenden schlicht: DS-
GVO) sind Schadensersatzansprüche gegen Verant-
wortliche oder Auftragsdatenverarbeiter geregelt. In
welchem wirtschaftlichen Rahmen werden diese sich
bewegen? Nun, ggf. sollte man einen schüchternen
Blick auf die in der DSGVO anderweitig enthaltenen
Zahlen werfen.
In Bälde drohen erkleckliche 20.000.000 € Bußgeld
gegen Unternehmen in Fällen der Verletzung wesent-
licher Grundprinzipien, etwa was Betroffenenrechte,
Einwilligungen oder die Regelungen für internatio-
nale Datenübermittlungen angeht. Alternativ können
bis zu 4 % des weltweiten Jahresumsatzes aus dem
vergangenen Geschäftsjahr bei Konzernen als Buß-
geld festgesetzt werden, sofern dieser Betrag höher
sein sollte. Wirft man einen Blick auf die Umsatzzah-
len der Unternehmen, kann man von amerikanischen
Verhältnissen bzgl. der Sanktionierung sprechen:

Abbildung 1: Potenzielle Strafen bei der DWGVO von ausgewählten DAX-Konzernen

 5 6 7 

1. Ein erster Blick in die DSGVO
Darüber hinaus vermag gem. Art. 40 III der DSGVO
die Aufsichtsbehörde die Gewerbeaufsicht zur Initiie-
rung gewerberechtlicher Maßnahmen einzuschalten.
Dies umfasst gem. Art. 40 V der DSGVO etwa Grund-
stücke sowie Geschäftsräume zu betreten und Zu-
gang zu allen Datenverarbeitungsanlagen und
-Geräten zu erhalten. Weiterhin eröffnet Art. 16 IV
DSGVO der Aufsicht Zugriff auf alle personenbezo-
genen Daten.
In seiner Kommentierung der DSGVO kommt Prof.
Gola, einer der profiliertesten Datenschutzrechtler
1.2. Antworten zu grundlegenden Fragen
Was war der Ausgangspunkt?
Das Fundament des Datenschutzes in Europa hat der
EUGH (Europäischer Gerichtshof) in seinen Urteilen
zur Vorratsdatenspeicherung vom 8.4.2014 sowie
im Fall Google gegen Gonzales (2015) gelegt. Hierin
hatte der EUGH den Anspruch auf Vergessenwerden
etabliert sowie bei Vorliegen einer Niederlassung
in einem EU-Staat dessen Datenschutzrecht für an-
wendbar erklärt. Beides ist nunmehr in Art. 17 bzw. 3
der DSGVO schwarz auf weiß normiert.
Wo gilt die DSGVO?
In Art. 3 DSGVO ist nunmehr mit dem sog. Marktort-
prinzip der Sitz der Niederlassung entscheidend für
das anwendbare Recht sowie die Bestimmung der
Zuständigkeit der Aufsichtsbehörde.
Damit gilt generell, dass jedes in der EU niedergelas-
sene Unternehmen betroffen ist.
Für wen gilt die DSGVO?
Neben dem Verarbeiter selbst kommt dem Auftragsda-
tenverarbeiter in der DSGVO eine höhere Bedeutung
zu als im bisherigen deutschen Datenschutzrecht. Er
wird rechtlich verstärkt adressiert und von Artikeln
der DSGVO direkt angesprochen. Nach dem BDSG hat
der Auftragnehmer eher eine Hilfsfunktion mit gerin-
gerer Verantwortung im Vergleich zu derjenigen des
Verarbeiters. Unter der DSGVO wird er bei einer ge-
wissen Eigenmächtigkeit, konkret dann, wenn er unter
 6 7 8 
ZUM
INHALT
Deutschlands, zu der Einschätzung, dass „in weitaus
höherem Maße und bei mehr Tatbeständen als bisher
die Verhängung von Bußgeld möglich wird“ (Rn. 32
der Einleitung des Kommentars).
Die Frequenz solcher „Hausbesuche“ lässt sich mo-
mentan naturgemäß mangels praktischer Umset-
zung noch nicht taxieren, jedoch wird demnächst mit
solchen zu rechnen sein. In Art. 41 DSGVO ist daran
anschließend die Sanktionierung mittels Bußgeld
und Strafverfahren geregelt. An dieser Stelle soll auf
die Bedeutung einer datenschutzrechtlichen Compli-
ance hingewiesen sein.
Verstoß gegen die DSGVO die Zwecke und Mittel der
Verarbeitung selbst bestimmt, gem. Art. 28 X DSGVO
gar selbst als Verarbeiter zu betrachten sein.
Diese Stufung der Auftragsverarbeitung verändert die
DSGVO spürbar. Dies jedoch, ohne den Verantwort-
lichen in seinem rechtlichen Pflichtenprogramm zu
entlasten. Dieser muss den Auftragsverarbeiter sorg-
fältig auswählen und ihm Weisungen erteilen, Art. 28
DSGVO. Der Auftragsverarbeiter kann gem. Art. 83 DS-
GVO mit Bußgeld sanktioniert werden. Die Übertra-
gung an ihn bedarf eines Erlaubnistatbestandes.
Welche Handlungen erfasst die DSGVO?
Unter Verarbeitung im Sinne der DSGVO ist jede Form
der Verwendung (Art. 4 Nr. 2), also von der Erhebung
über die Nutzung bis zur Löschung, zu verstehen.
Dies ist denkbar weit. Gehen Sie davon aus, dass auch
Ihre Tätigkeit erfasst ist.
Was regelt die DSGVO?
Blättert man einfach einmal, findet man in den Art.
1-4 allgemeine Bestimmungen, in 5-10 allgemeine
Grundsätze des Datenschutzes, in 11-23 Rechte der
betroffenen Personen, in 24-43 Pflichten des Verant-
wortlichen und des Auftragsdatenverarbeiters sowie
in 44-50 Vorgaben zur Übermittlung personenbezo-
gener Daten in Drittländer oder an internationale
Organisationen.

1. Ein erster Blick in die DSGVO
Rechnet man obig erwähnte Schadensersatznorm,
den Art. 82 hinzu, so regelt die DSGVO das materielle
Datenschutzrecht in nur 51 Artikeln.
Der Vollständigkeit halber sei aufgeführt, dass es in
den übrigen Artikeln „nur“ um Aufgaben der Aufsichts-
behörden, deren Zusammenarbeit und die Kohärenz
ihrer Entscheidungen, um Rechtsbehelfe und Sankti-
onen, um besondere Datenverarbeitungssituationen,
sowie in 92 und 93 um delegierte Rechts- und Durch-
führungsrechtsakte geht. Die Artikel 94-99 sind le-
diglich Schlussbestimmungen.
Was wird aus dem Bundesdatenschutzgesetz/BDSG?
Die DSGVO hat keinen Geltungsvorrang, sondern ei-
nen gem. Art. 288 II 1 AEUV (Vertrag über die Arbeits-
weise der EU) herzuleitenden Anwendungsvorrang.
Daher gelten auch nach ihrem Erlass die nationalen
Datenschutzregelungen weiter, ohne sich quasi über
Nacht in Luft aufzulösen. Diese Parallelität führt teil-
weise dazu, dass sich Regelungen widersprechen,
weshalb sich die Frage stellen kann, welche Rege-
lung anwendbar ist. Wünschenswert wäre, der nati-
onale Gesetzgeber möge unstreitig verdrängte Nor-
men auch formell/redaktionell aufheben.
Nationale Regelungen werden nicht mehr ange-
wendet, wo sie im Widerspruch zur DSGVO stehen.
Ob ein solcher Widerspruch besteht, ist im Einzel-
fall zu prüfen.
Ein schlichter Unterschied im Wortlaut reicht hierfür
nicht aus. So kann etwa gem. Art. 15 I h DSGVO ein
Betroffener Auskunft über die „verwendete Logik“ der
automatisierten Entscheidungsfindung verlangen. In
§ 34 II, IV BDSG sind dies äquivalent die Berechnung
und das Zustandekommen von Wahrscheinlichkeits-
werten. Die Regelungen sind nicht deckungsgleich,
 7 8 9 
ZUM
INHALT
jene des BDSG könnte man jedoch als Präzisierung
der DSGVO auffassen. Zum Komplex der automati-
sierten Entscheidung folgen noch tiefer gehende
Ausführungen (s. 3.4 AI, KI und Artikel 22 – DSGVO
gegen den Trend?).
Wozu dienen die Öffnungsklauseln?
An manchen Stellen ist eine „Vorrangigkeit“ nationa-
len Rechts vorgesehen. Die Gestaltungsmöglichkei-
ten der nationalen Gesetzgeber finden sich in den
50-60 „Öffnungsklauseln“; die meisten davon eröff-
nen einen in das Ermessen der Staaten gestellten
Handlungsspielraum, der jedoch grundsätzlich be-
grenzt ist, weil das mit der DSGVO angestrebte Prin-
zip der Vollharmonisierung als Vorgabe gilt.
Die wichtigsten Öffnungsklauseln im Überblick
• Art. 6 I c) DSGVO: Verarbeitung zulässig aus rechtli-
cher Verpflichtung.
• Art. 8 I DSGVO: Mindestalter kann von 16 auf 13
Jahre reduziert werden.
• Art. 20 II b) DSGVO: Schaffung von Ausnahmen vom
Verbot automatisierter Einzelentscheidungen.
• Art. 28 III: a) + g) DSGVO: Schaffung von Rechts-
grundlagen für die Auftragsdatenverarbeitung.
• Art. 49 V DSGVO: Beschränkung von Datenüber-
mittlungen in Drittländer aus Gründen öffentlichen
Interesses.
In welcher Art und in welchem Ausmaß die EU-Staa-
ten von den durch Öffnungsklauseln eröffneten Re-
gelungskompetenzen letztendlich Gebrauch machen
werden, lässt sich bis dato nicht abschließend sagen.
Im Hinblick auf Geschäftsmodelle, die in Interaktion
mit ausländischen Servern oder der Cloud aufgezo-
gen werden, sollten die beiden letztgenannten Fel-
der der Auftragsdatenverarbeitung und der Daten-
übermittlung besonders beobachtet werden.

2. Einfluss der DSGVO auf die Geschäftsprozesse
Im Folgenden soll ein Überblick verschafft werden über die
Auswirkungen der VO auf die Praxis, zur Möglichkeit von
Einwilligungen in Datenverarbeitung, über die Auskunfts-
ansprüche oder gar Schadensersatzansprüche der Betroffe-
nen. Zudem sollen die Komplexe Datenportabilität, Verän-
derungen gegenüber dem bisherigen BDSG sowie die Rolle
des Datenschutzbeauftragten beleuchtet werden. Die Über-
sicht mündet in ein Aufzeigen von Konsequenzen für die
verarbeitenden IT-Systeme.
Es ist, wie dargelegt, sowohl in geografischer Hinsicht
als auch im Hinblick auf die Weite der erfassten Da-
tenverarbeitungstätigkeiten davon auszugehen, dass
die DSGVO nahezu alle Branchen und Geschäftsfel-
der betrifft.
Somit stellt sich für alle Datenverarbeiter die Frage,
ob taugliche Erlaubnistatbestände zur Verarbeitung
herangezogen werden können. In den meisten Fäl-
len wird sich hier auf die Abwicklung gegenseitiger
vertraglicher Schuldverhältnisse oder auf Einwilli-
gungen bezogen.
2.1. Einwilligung
Für die meisten Geschäftsbereiche und Vorgänge
wird weiterhin eine wirksame Einwilligung verlangt;
solches konstituiert eine „klare, bestätigende Hand-
lung“ (so auch Erwägungsgrund 25). Einwilligungen
durch schlüssiges Handeln sind damit nicht gene-
rell ausgeschlossen. Für den Onlinehandel benötigte
elektronische Erklärungen sind mit erforderlicher In-
formation zulässig. Eine ausdrückliche Einwilligung
ist (auch) künftig nur für die Verarbeitung besonders
sensibler Daten erforderlich.
Eine stillschweigende Einwilligung oder die Einwil-
ligung über ein vorangeklicktes Feld genügt nicht.
Bei sensiblen Daten oder automatisierten Einzel-
entscheidungen ist eine „ausdrückliche“ Erklärung,
sicherheitshalber mithin Schriftlichkeit, gefordert. In
allen Konstellationen muss der Verantwortliche über
die wirksame Abgabe der Einwilligung mittels Doku-
mentation Beweis führen können.
 8 9 10 
ZUM
INHALT
Die Abwicklung vertraglicher Leistungsbezie-
hungen als solches stellt für den Bereich der
analytischen Systeme nur einen Teilbereich des
Aufgabenspektrums dar. Von daher kann der Erhe-
bungszweck, etwa einer Hausadresse zwecks Anlie-
ferung von Waren gerade nicht die Auswertung be-
gründen, in welchem Wohngebiet etwa Nachfrage
nach welcher Produktart und in welcher Preisklasse
bestünde. Eine darüber hinausgehende Nutzung
der Daten wird idealerweise von einer Einwilligung
der Person, deren Daten verarbeitet werden sollen,
abgedeckt sein.
Art. 6 IV der DSGVO erlaubt den Verantwortlichen
eine Abwägungsentscheidung. Bei einer Verarbei-
tung für einen legitimen Zweck soll dann keine ande-
re Rechtsgrundlage mehr gebraucht werden (Erwä-
gungsgrund 50 S. 2). Ob diese Regelung strenger als
die Zweckänderungserlaubnisse des BDSG ist, wird
zu beobachten sein.
Ob im Bereich Big Data eine Verarbeitung zulässig
ist, bedarf der Einzelfallprüfung.
Der wichtige Erlaubnistatbestand der Interessenab-
wägung in Art. 6 I 1 f DSGVO wird von den jewei-
ligen nationalen Aufsichtsbehörden und Gerichten
konkretisiert und daher in der Praxis von Land zu
Land divers sein. Es ist naheliegend, dass man sich
in Deutschland an die Interessenabwägung für Wer-
bung aus § 28 III BDSG, für Auskunfteien aus § 28 a
BDSG, für Scoring aus § 28 b BDSG, und für Marktfor-
schung aus § 30 a BDSG anlehnen wird.

2. Einfluss der DSGVO auf die Geschäftsprozesse
Indem die DSGVO die Entscheidung über die Abwä-
gung letztlich auf die Gerichte überträgt, entstehen
womöglich divergierende Ergebnisse. Erst wenn die
obersten Gerichte für Rechtsklarheit bezüglich der
Interessenabwägung sorgen, wird Rechtssicherheit
entstehen.
Besonderes Augenmerk sei dem Koppelungsverbot
aus Art. 7 IV DSGVO und Erwägungsgrund 43 gewid-
2.2. Auskunftsansprüche aus Art. 13, 14, 15
DSGVO
Die Informationspflichten des Datenverarbeiters be-
stehen nicht gegenüber denjenigen Betroffenen, de-
ren Daten entweder analog gespeichert werden oder
mit denen keine digitale Kommunikation vorliegt,
auch nicht, sofern öffentliche Stellen oder die öffent-
liche Sicherheit betroffen sind oder die Geltendma-
chung eine Ausübung oder Verteidigung rechtlicher
Ansprüche beeinträchtigte. Ein Auskunftsanspruch
besteht also nicht, wenn man mit Stift und Papier
etwa Adressdaten notiert hat.
Die meisten dieser Ausschlussgründe liegen im Be-
reich Analytischer Systeme eher fern bzw. sind in
den vorgelagerten Prozessen verankert.
Auskunftsrechte bestehen weiterhin nicht, wenn
aufgrund von Gesetzen oder satzungsgemäß nicht
gelöscht werden darf oder ausschließlich Zwecke
der Datensicherung oder Datenschutzkontrolle ver-
folgt werden.
2.3. Datenportabilität
Geregelt ist nunmehr in Art. 20 DSGVO das Recht auf
Datenübertragbarkeit bzw. Datenportabilität. Demzu-
folge sollen auf Verlangen Betroffener Daten in gän-
gigen elektronischen Formaten an sie übermittelt
werden. Zudem sind gem. Art. 20 II DSGVO die perso-
nenbezogenen Daten auf Nachfrage auch direkt an ei-
nen anderen Anbieter zu übertragen, soweit der Stand
der Technik dies auf verhältnismäßigem Wege erlaubt.
 9 10 11 
ZUM
INHALT
met. Eine Freiwilligkeit der Einwilligung wird be-
zweifelt, wenn eine Vertragserfüllung von einer Ein-
willigung zur Verarbeitung von nicht erforderlichen
Daten abhängig gemacht wird.
Eine solche Erforderlichkeit zu dokumentieren dürfte
sich im Rahmen der einschlägigen aufsichtsbehörd-
lichen Verfahren bzw. Schadensersatzprozesse wohl
kaum nachteilig für den Verantwortlichen auswirken.
Gem. Art. 13 II 2 DSGVO hält der Verantwortliche
(schriftlich) fest, aus welchen Gründen er von einer
Information des Betroffenen absah oder gar eine
Auskunft verweigerte.
Dies ist bei nur vorübergehender Verhinderung gem. Art.
13 III DSGVO nach maximal zwei Wochen nachzuholen.
Art. 14 DSGVO regelt im Zusammenspiel mit Art. 18
II, dass personenbezogene Daten durch nicht-öf-
fentliche Stellen (d. h. private Firmen) nicht bei der
Person erhoben werden dürfen, außer in Fällen der
Verfolgung zivilrechtlicher Ansprüche bzw. in Fällen,
in denen es die Geltendmachung, Ausübung oder
Verteidigung rechtlicher Ansprüche beeinträchtigen
würde. Dies dürfte bei Analytischen Informationssys-
temen jedoch eher selten der Fall sein.
Die Gründe einer dem Betroffenen gegenüber wo-
möglich ausgeübten Auskunftsverweigerung sind zu
dokumentieren.
In diesem Bereich werden sich innerhalb bestimm-
ter Branchen (z. B. bereits heute Versicherungen mit
der Brancheninitiative Prozessoptimierung, s. www.
bipronet.net) bzw. Wirtschaftszweige wohl gewisse
Standards (weiter-)entwickeln können.

2. Einfluss der DSGVO auf die Geschäftsprozesse
2.4. Schadensersatzklagen
Die Rechte der Art. 77-79 und 82 DSGVO bezüglich
Schadensersatz können gem. 80 DSGVO im Wege der
Verbandsklage geltend gemacht werden. So können
künftig Ansprüche etwa auf Löschen, Berichtigen
oder Schadensersatz durch Verbraucherschutzver-
bände geltend gemacht werden. Durch den dadurch
größeren öffentlichen Druck auf die Verantwortli-
chen soll vermehrt Motivation zu datenschutzkon-
formem Verhalten hervorgerufen werden.
Entgegen der Grundtendenz deutscher Haftungsre-
gelungen sind neben materiellen Schadenspositi-
onen auch immaterielle erfasst. Es ist mithin nicht
mehr zwingend erforderlich, dass eine Verletzung
von Datenschutzrecht zu einer in Heller und Pfen-
2.5. Der Datenschutzbeauftragte in seiner
Funktion
Die Regelungen zum Datenschutzbeauftragten fin-
den sich in den Art. 37, 13, 39 und 36 DSGVO. Im wei-
teren Verlauf soll jedoch hierauf nicht vertieft einge-
gangen werden, da in der Hauptsache die materiellen
Regelungen betrachtet werden.
Ein Datenschutzbeauftragter ist gem. Art. 38 DSG-
VO zu bestellen, sofern mehr als 10 Mitarbeiter be-
schäftigt werden. Dies gilt nicht, sofern Markt- und
Meinungsforschung betrieben, Daten geschäftsmä-
ßig zum Zweck der Übermittlung verarbeitet werden
oder, wenn lediglich gem. Art. 35 DSGVO eine Da-
tenschutzfolgeabschätzung erstellt wird, die bei be-
2.6. Veränderungen gegenüber dem BDSG
Bezogen auf das deutsche Datenschutzrecht bewirkt
die DSGVO eine Überlagerung samt damit einherge-
hender Verdrängung der Anwendbarkeit von Rege-
lungen über Grundsätze der Direkterhebung beim
Betroffenen, § 4 II BDSG, der Datensparsamkeit, § 3 a
BDSG, des Datengeheimnisses in § 5 BDSG, zur Zuläs-
sigkeit der Datenverarbeitung für Werbung, z. B. § 28
 10 11 12 
ZUM
INHALT
nig quantifizierbaren Einbuße geführt hat; ggf. ver-
gleichbar sind Schmerzensgelder. Juristisch gesehen
handelt es sich konzeptionell um eine mit Beweislas-
tumkehr gekoppelte Verschuldenshaftung.
Dies bedeutet, dass der Betroffene nicht detailliert
die Rechtsverletzung technisch sowie historisch be-
weisen muss, sondern der Verantwortliche die Ein-
haltung der maßgeblichen Normbefehle dokumen-
tieren muss.
Die Dokumentationen sind also nicht bloß im Hin-
blick auf die Aufsichtsbehörden zu erstellen, sondern
werden auch zum Gegenstand von Schadensersatz-
prozessen.
stimmten – verbraucherrelevanten – Risiken für na-
türliche Personen seitens der verantwortlichen Stelle
durchzuführen ist. Eine solche ist auf Anfordern der
Datenschutzaufsichtsbehörde einzureichen.
Schon auf Grund der anstehenden und aktuellen
Projekte resultiert ein Wandel vom Bild des Daten-
schutzbeauftragten vom Kontrolleur mit mahnen-
dem Zeigefinger zu einem internen Berater und
Projektbegleiter. Vielleicht ist diese Veränderung
mit der Entwicklung des Berufsbilds des Controllers
und dessen Zusammenarbeit mit Fachbereichen
vergleichbar.
III bis V BDSG, Auskunfteien, § 29 BDSG und Marktfor-
schung, § 30 a BDSG.
Entsprechend der ausgeführten Regelungssystema-
tik werden einzelne Bereiche des bisher geltenden
nationalen Rechts unter Geltung der DSGVO materi-
ell anders ausgestaltet sein.

2. Einfluss der DSGVO auf die Geschäftsprozesse
2.7. Konsequenzen für die verarbeitenden
IT-Systeme
Schon bei den in den vorigen Abschnitten beschrie-
benen Auszügen aus der DSGVO wird klar, dass mit
dem Fokus auf die IT-Systeme Neuerungen hinsicht-
Abbildung 2: Technische und organisatorische Maßnahmen im Zusammenhang der DSGVO
Viele Aspekte sollten sowohl in operativen Systemen
als auch in Analytischen Informationssystemen „com-
mon sense“ sein, da bereits im bisherigen Bundesda-
tenschutzgesetz (BDSG) z. B. § 3a Datenvermeidung
und Datensparsamkeit bzw. § 39 BDSG Zweckbin-
dung eine ausführliche Erwähnung finden. Allerdings
entsteht auf Grund der DSGVO in Verbindung mit den
potenziellen Strafen eine neue Wahrnehmung und
Sensibilisierung in der Öffentlichkeit. Daher überar-
beiten viele Unternehmen ihre Partner- und angren-
zende Systeme insbesondere hinsichtlich der Einwil-
ligung und des Rechts auf Vergessenwerden.
Der Datenschutz durch Technikgestaltung (Art. 25)
fordert bzw. fördert ambitionierte IT-Lösungen. Es
 11 12 13 
ZUM
INHALT
lich der technischen und organisatorischen Maßnah-
men (TOM) notwendig werden. Folgendes Schaubild
illustriert die Zusammenhänge:
genügt nicht mehr, „nur“ die Daten zu speichern. Aus
unserer Einschätzung werden Datenmodelle zukünf-
tig nicht mehr nur hinsichtlich der fachlichen Funk-
tionalität und technischen Optimierungen erarbeitet,
sondern die Facette Datenschutz gewinnt eine zu-
sätzliche Bedeutung. Für die Modellierung mit Data
Vault kann dies z. B. bedeuten, dass Satelliten als
besonders schützenswert gekennzeichnet werden.
Nicht nur die interne IT oder ausgelagerte Dienstleis-
ter sind mit dem Art. 25 konfrontiert, sondern auch
die Softwarehersteller bzw. externe ausgeschriebene
Projekte. Aktuell uns vorliegende Anfragen für Ent-
wicklungsprojekte enthalten als einen elementaren
Passus die Darstellung von Datenschutz durch Tech-
nikgestaltung.

2. Einfluss der DSGVO auf die Geschäftsprozesse
Hinsichtlich der Entwicklung Analytischer Informa-
tionssysteme wird bei der Gegenüberstellung der
Grundprinzipien des Datenschutzes
Personenbezogene Daten müssen:
a) […]
b) für festgelegte, eindeutige und legitime Zwecke
erhoben werden und dürfen nicht in einer mit
diesen Zwecken nicht zu vereinbarenden Weise
weiterverarbeitet werden; […] („Zweckbindung“);
c) dem Zweck angemessen […] sowie auf das
für die Zwecke der Verarbeitung notwendige
Maß beschränkt sein („Datenminimierung“)
Aus Artikel 5 der Datenschutz-Grundverordnung
Tabelle 1: Gegenüberstellung der Grundprinzipien des Datenschutzes und Big Data
Die Vorratsspeicherung als Grund für die Zweck-
bindung ist nach der DSGVO nicht möglich. Daher
gewinnen Auftragsmanagement und Anforderungs-
aufnahme mit der damit verbundenen Dokumen-
tation eine noch größere Bedeutung in der Soft-
wareentwicklung. Allerdings herrscht insbesondere
bei der Ad-hoc-Bereitstellung von Auswertungen
etc. eine Teeküchenmentalität, d. h. der Anfordernde
gibt seinen Bedarf mündlich an den Umsetzenden
weiter und der Bericht wird zeitnah undokumentiert
bereitgestellt. Dieses Verständnis von Umgang per-
sonenbezogener Daten führt zu einer Erhöhung des
Datenschutzverletzungsrisikos. Die entsprechende
Dokumentation bzgl. des Zwecks der Auswertung
ist daher ein Bestandteil der Rechenschaftspflicht
(s. 3.1 Rechenschaftspflicht – Notwendiges Übel
oder Nutzen?).
 12 13 14 
ZUM
INHALT
Grundprinzipien von Big Data und Datenschutz ein
Zielkonflikt deutlich:
Grundprinzipien der Big-Data-Analytik
• Suche nach Korrelationen und Gruppenbildung
• Suche nach unbekannten Mustern
und Zusammenhängen
• Ergebnisoffene Datenanalyse
• Auswertung verschiedener und heterogener
Datenquellen
• Schnelle Analysen
• Einbezug von historisierten Daten
• Verarbeitung sehr großer Datenmengen
Ein wichtiger Trend bei den Analytischen Informa-
tionssystemen der letzten Jahre ist das Konzept
von Self Service BI, d. h. der Fachbereich besitzt
die Möglichkeit, viele Analysen, Berichte etc. un-
abhängig von der IT zu erstellen. Allerdings ist zu
prüfen, wie mit der Zweckbindung dieser Systeme
umgegangen wird. In einem ersten Schritt wäre die
Anonymisierung bzw. Pseudonymisierung (s. 3.3
Anonymisierung- und Pseudomysierung – Braucht
man das?) der Datengrundlage anzustreben. Dieses
Vorgehen ist auch bei der Verarbeitung personen-
bezogener Daten im Rahmen von Individueller Da-
tenverarbeitung (IDV) zu beachten.
 ZUM
INHALT

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter

Im Kapitel 2.7. Konsequenzen für die verarbeitenden IT-Sys-

teme wurde bereits der Zielkonflikt zwischen den Grund-
prinzipien des Datenschutzes und der Big Data Analytik
dargestellt. Nachfolgende Abschnitte beleuchten intensiver
in Form von Schlaglichtern mögliche Handlungsfelder für
Analytische Systeme hinsichtlich der DSGVO.

3.1. R
echenschaftspflicht – Notwendiges
Übel oder Nutzen?
Wie bereits verschiedentlich ausgeführt, sollte der auch aufsichtsbehördlichen (Bußgeld-)Verfahren
Dokumentation von Datenverarbeitungen angesichts künftig gesteigerte Bedeutung zukommen.
der Beweiswirkung in Schadensersatzprozessen und

3.1.1.  Rechtlicher Hintergrund

Eine Entwicklung dahingehend, dass die Transpa-
renz- und Dokumentationsregelungen für Beteiligte
zu Rechtsunsicherheit und gesteigertem bürokrati-
schem Aufwand führen werden, ist zu antizipieren.
Eine fehlende Dokumentation kann zu Bußgeldern
führen.
Insbesondere zu beachten sind
• Rechenschaftspflichten der Verantwortlichen, Art. 5
II DSGVO, zudem der Nachweis von Einwilligungen,
Art. 7 I DSGVO.
• Nachweispflichten hinsichtlich der Installation von
technischen und organisatorischen Maßnahmen,
Art. 24 II DSGVO.
• Gem. Art. 30 DSGVO zu führendes „Verzeichnis von
Verarbeitungstätigkeiten“
Datentransfer in Drittstaaten, die darauf begründete
Risikoabschätzung und Schutzmaßnahmen des Art.
28 DSGVO und deren Aufnahme in das Verfahrens-
verzeichnis, Art. 49 I 2 DSGVO.
Juristisch gesehen verbleibt es auch unter der DSGVO
bei der Grund-Systematik des Verbotes mit Erlaub-
nisvorbehalt. Ergo muss jegliche Datenverarbeitung
auf einen Erlaubnistatbestand gestützt und dies auch
dokumentiert werden.
Für diese Dokumentation interessiert sich nicht nur
die Aufsichtsbehörde, sie muss als Beweis der Com-
pliance in Schadensersatzprozessen vorgelegt wer-
den. Fehlende Dokumentation stellt also bereits für
sich eine Pflichtverletzung dar.
Nochmals sei an dieser Stelle darauf hingewiesen,
dass sowohl in aufsichtsbehördlichen Verfahren als
auch in Schadensersatzprozessen die ausbleibende
Vorlage von schriftlichen Dokumentationen zu er-
heblich verschlechterten Möglichkeiten der Rechts-
verteidigung auf Seiten der Verantwortlichen/Daten-
verarbeiter führen wird.

 13 14 15 

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter
3.1.2.  Umsetzung in der Praxis
Betrachtet man die Resonanz auf die DSGVO, fällt der
Begriff Datenschutzmanagementsystem häufiger. Die
Inhalte sind zum jetzigen Zeitpunkt z. T. diffus und
man fühlt sich an die eierlegende Wollmilchsau oder
den legendären Wolpertinger erinnert. Keiner hat die
Geschöpfe gesehen und jeder hat seine eigene Vor-
stellung davon. Wir versuchen uns zunächst von den
Anforderungen bzw. Fragestellungen dem Fabelwe-
sen zu nähern.
Lt. der DSGVO im Erwägungsgrund 78 muss der für
die Verarbeitung Verantwortliche interne Strategien
festlegen und Maßnahmen ergreifen, um den Grund-
sätzen des Datenschutzes durch Technik und durch
datenschutzfreundliche Voreinstellungen Genüge zu
tun. Für die Ableitung von Strategien braucht diese
Person fundierte Informationen, um Fragen wie diese
zu beantworten:
• In welchen Prozessen im Unternehmen werden
welche personenbezogenen Daten erhoben und
gespeichert?
• Aus welchen Gründen und wie lange werden die
Daten im Unternehmen gehalten?
• Wer hat Zugriff auf welche Daten?
• Welche Daten verlassen das Unternehmen zu wel-
chem Zweck?
• Welche Daten müssen bis wann gelöscht werden?
• Welche Attributkombinationen sind quasi-identifi-
zierend?
• Lassen sich aus veröffentlichten Analysen Rück-
schlüsse auf einzelne Personen ableiten?
Antworten auf diese Fragen sind z. T. aus bestehen-
den Metadaten wie z. B. Systemkatalogen von Da-
tenbanken, Verzeichniszugriffsprotokollen (LDAP) er-
mittelbar. Hinzu kommen Spezialprogramme für die
Identifizierung von personenbezogenen Daten. Jene
prüfen auch Inhalte von Feldern ab, so dass z. B. auch
Bemerkungstexte mit einem eindeutigen Personen-
bezug (z. B. „Herr Stefan Meier in der ABC-Straße 5
fragt, wo seine Lieferung bleibt“) identifiziert werden.
 14 15 16 
ZUM
INHALT
Gleichzeitig sind insbesondere Softwarehersteller
von analytischen Applikationen und Datenbanken
gefordert, „neue“ Metadaten zur Verfügung zu stellen.
Die Frage „Wer hat wann Analyseergebnisse nach MS
Excel exportiert?“ muss wahrscheinlich in naher Zu-
kunft beantwortet werden können.Schon seit Länge-
rem existieren Konzepte bzw. Softwarelösungen, die
als Informationssilos Antworten auf Fragen geben
bzw. deren Funktionalität zu einem Datenschutzma-
nagementsystem gehören:
• Enterprise Architecture Management (EAM) als
Zusammenspiel von Elementen der Informations-
technologie und der geschäftlichen Tätigkeit im
Unternehmen. Sie unterscheidet sich von Begrif-
fen wie Informationsarchitektur oder Softwarear-
chitektur durch den ganzheitlichen Blick auf die
Rolle der Informationstechnologie im Unterneh-
men. Oft geht damit auch ein höherer Abstrakti-
onsgrad einher.
• Master Data Management (MDM) umfasst alle
strategischen, organisatorischen, methodischen
und technologischen Aktivitäten in Bezug auf die
Stammdaten eines Unternehmens.
• Internes Kontrollsystem (IKS) bestehend aus sys-
tematisch gestalteten technischen und organisa-
torischen Regeln des methodischen Steuerns und
von Kontrollen im Unternehmen zum Einhalten von
Richtlinien und zur Abwehr von Schäden, die durch
das eigene Personal oder böswillige Dritte verur-
sacht werden können.
Die Wikipedia-Definitionen sollen nur einen Gedan-
kenanstoß für bereits genutzte Software, Frame-
works, Initiativen und Konzepte im Unternehmen
geben. Letztendlich sollten die Informationen über
personenbezogene Daten sowohl im EAM als auch
im MDM in unterschiedlicher Granularität hiterlegt
werden. Im IKS sind die entsprechenden Daten-
schutz-Regelungen und Richtlinien zu verankern.
 ZUM
INHALT

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter

Diese Themen und Softwarelösungen erleben durch
den Regulatorik-Trend allgemein und die DSGVO im
Speziellen eine Renaissance. Betrachtet man die not-
wendige Zusammenführung der benötigten Informa-
tionen, stellt man fest, dass auch das Datenschutz-
system Stand heute eine spezielle Ausprägung eines
Analytischen Informationssystems ist. Die Gretchen-
frage „Wie sieht es in diesem Fall mit der Verarbei-
tung von personenbezogenen Daten aus?“ werden
wir allerdings nicht weiter beleuchten.
Für die kontinuierliche Überwachung und Verbes-
serung von Maßnahmen zur Einhaltung des Daten-
schutzes ist der PDCA-Kreislauf ein geeignetes Vor-
gehensmodell:

Abbildung 3: PDCA-Zyklus zur Aufrechterhaltung der Rechenschaftspflicht

Der PDCA-Zyklus mit seinen Phasen ist elementa-

rer Bestandteil in einem kontinuierlichen Verbesse-
rungsprozess.

3.2. Datenschutzfolgenabschätzung – Risiko

klar bewertet
Auf die in Art. 35 DSGVO normierte DSFA wurde be- tragten eingegangen. Im Folgenden soll deren Praxis
reits im Zusammenhang mit dem Datenschutzbeauf- beleuchtet werden.

3.2.1.  Rechtlicher Hintergrund

Für Datenverarbeitungen mit bestimmten näher aus-
zuführenden Risiken für die Rechte und Freiheiten
natürlicher Personen ist künftig die Durchführung
eine von der für die Verarbeitung verantwortlichen
Stelle durchzuführende Datenschutz-Folgeabschät-
zung verbindlich angeordnet. Auf Anforderung ist
diese der Datenschutzaufsichtsbehörde vorzulegen.
Ergänzend hierzu sei angemerkt, dass bei Daten-
transfer in einen Drittstaat gem. Art. 49 I 2 der DSGVO
die Risikoabschätzung und die ergriffenen Schutz-
maßnahmen nach Art. 28 DSGVO zu dokumentieren
und zum Gegenstand des Verfahrensverzeichnisses
zu machen sind.

 15 16 17 
 ZUM
INHALT

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter

3.2.2. Umsetzung in der Praxis als grober

Ablauf
Die Datenschutzfolgenabschätzung (DSFA), auch
Privacy Impact Assessment (PIA), ist in England
und Frankreich bereits seit Jahren gängige Praxis.
Sie dient zur Erkennung und Bewertung von Risi-
ken, die für das Individuum durch den Einsatz einer
bestimmten Technologie oder eines Systems durch
eine Organisation entstehen. Eine DSFA ist notwen-
dig bei:
• Neuen Technologien, zu denen der Verantwortliche
noch keine DSFA durchgeführt hat
• Neuen Verarbeitungen/Vorgängen, zu denen der
Verantwortliche noch keine DSFA durchgeführt hat
• Verarbeitung großer Mengen personenbezogener Daten
• Sensibilität: Verarbeitung besonderer Kategorien
personenbezogener Daten
• Profiling bzw. Systematische Verarbeitungen im
großen Umfang
Die Umsetzung erfolgt in den nachfolgend darge-
stellten drei Phasen:

Abbildung 4: Phasenmodell einer Datenschutzfolgenabschätzung

Die Erfassung und Dokumentation der DSFA kann Organisationshandbüchern, Anweisungs- und Rege-
sowohl mit gängigen Textverarbeitungsprogrammen lungswesen erfolgen.
als auch mit spezieller Software zur Verwaltung von

 16 17 18 

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter
3.2.3. Fallbeispiel für die Durchführung ei-
ner DSFA
In dem verkürzten Fallbeispiel ist eine DSFA für ein
Analytisches Informationssystem eines mittelständi-
schen Unternehmens beschrieben.
Phase der Vorbereitung
Das interdisziplinäre Team besteht nach Identifika-
tion der Stakeholder aus folgenden Personen bzw.
Gruppierungen:
• Datenschutzbeauftragter als Vertreter der Kunden
sowie zur Prüfung und Beratung zur Datenschutz-
konformität
• Fachbereiche als Nutzer des Systems
• BICC als Verantwortlicher für die Weiterentwick-
lung des Systems
• Betriebsrat als Vertreter der Mitarbeiter
• IT-Abteilung als Zuständiger für IT-Sicherheit
• Vorstand bzw. CDO als derjenige, der für die Verar-
beitung verantwortlich ist
Abbildung 5: Überschneidungen zwischen Datensicherheit und Datenschutz
Die IT- und Datensicherheit schützt vor allem vor
Angreifern von außen, wobei nach einer Studie von
Forrester aus dem Jahr 2013 die größte Gefahr für
den Datenschutz von den eigenen Mitarbeitern eines
Unternehmens ausgeht. Dabei ist Böswilligkeit nicht
der eigentliche Grund, sondern ein Gemisch aus Igno-
ranz und Unwissenheit um die Bedeutung der Daten.
 17 18 19 
ZUM
INHALT
• Betriebsorganisation mit dem Fokus auf die Ge-
schäftsprozesse
Der Prüfgegenstand, das Analytische Informations-
system, wird an Hand bestehender und ggf. zu ver-
vollständigender Dokumentation möglichst genau
beschrieben bzw. eine Abgrenzung inkl. möglicher
Schnittstellen zu anderen Systemen vorgenommen.
Die Bestandsaufnahme bzgl. bereits erfolgter Maß-
nahmen (z. B. Pseudonymisierung bzw. formale Ano-
nymisierung, klare Schichtenarchitektur) runden die
Vorbereitung ab.
Phase der Bewertung
Bei der Definition der Ziele vermengen bzw. über-
schneiden sich häufig die Aspekte der Datensicher-
heit und des Datenschutzes, wie das folgende Schau-
bild zeigt:
Damit wäre z. B. ein Risiko die unbedachte Weiter-
gabe von personenbezogenen Daten ohne rechtliche
Grundlage von einer Person, die eine Zugriffberechti-
gung auf die Informationen besitzt.

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter
Phase Berichte und Maßnahmen
Auf Grund des Angreiferprofils wird die Maßnahme
von dezidierten Schulungen zur Sensibilisierung
hinsichtlich des Themas Datenschutz für Führungs-
kräfte, Poweruser und Mitglieder des Entwicklungs-
teams für das Analytische Informationssystem
3.3. Anonymisierung und Pseudomysierung
– Braucht man das?
3.3.1.  Rechtlicher Hintergrund
Art. 4 DSGVO definiert Pseudonymisierung als „die
Verarbeitung personenbezogener Daten in einer
Weise, dass die personenbezogenen Daten ohne Hin-
zuziehung zusätzlicher Informationen nicht mehr
einer spezifischen betroffenen Person zugeordnet
werden können, sofern diese zusätzlichen Informati-
onen gesondert aufbewahrt werden und technischen
und organisatorischen Maßnahmen unterliegen, die
gewährleisten, dass die personenbezogenen Daten
nicht einer identifizierten oder identifizierbaren na-
türlichen Person zugewiesen werden“.
Die Pseudonymisierung wird explizit in Art. 25 DSG-
VO, der privacy by design bzw. privacy by default re-
gelt, erwähnt.
Noch weitergehend wird bei der Anonymisierung
die Möglichkeit der individuellen Zuordnung des je-
weiligen Datums an eine konkrete natürliche Person
aufgehoben. Somit sind beim Umgang mit anony-
 18 19 20 
ZUM
INHALT
durchgeführt. Gleichzeitig werden die Exportmög-
lichkeiten aus dem Analytischen Informationssys-
tem massiv eingeschränkt, so dass das Risiko der
unbedachten Weitergabe in erheblichem Maße ein-
geschränkt wird.
men Daten grundsätzlich Datenschutzvorschriften
nicht zwingend zu beachten. Die DSGVO modifiziert
diesbezüglich die bisherigen Regelungen der Daten-
schutzrichtlinie 95/46/EG.
Die Anonymität wird in Erwägungsgrund 26 Satz 5
und 6 der DSGVO dahingehend erwähnt, dass
„die Grundsätze des Datenschutzes daher
nicht für anonyme Informationen gelten (soll-
ten), d. h. für Informationen, die sich nicht auf
eine identifizierte oder identifizierbare natür-
liche Person beziehen, oder personenbezo-
gene Daten, die in einer Weise anonymisiert
worden sind, dass die betroffene Person nicht
oder nicht mehr identifiziert werden kann.“
Die Beantwortung der Frage, inwiefern anonymisier-
te Daten der Anwendung der DSGVO entzogen sind,
wird allerdings erwartbar noch die Gerichtsbarkeit
beschäftigen.

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter
3.3.2.  Umsetzung in der Praxis
Anonymisierung bedeutet, dass die Daten derart ver-
ändert werden, dass sie nicht mehr personenbezieh-
bar sind. Dabei existieren unterschiedliche Stufen
der Anonymisierung:
• Absolute Anonymisierung:
Das Verändern der Daten derart, dass die Einzelanga-
ben nicht mehr einer bestimmten oder bestimmba-
ren natürlichen Person zugeordnet werden können
• Faktische Anonymisierung:
Das Verändern von Daten derart, dass die Einzelan-
gaben nur mit einem unverhältnismäßig großen
Aufwand (Zeit, Kosten, Arbeitskraft) einer bestimm-
ten oder bestimmbaren natürlichen Person zuge-
ordnet werden können
• Formale Anonymisierung:
Das Verändern der Daten derart, dass alle direkten
Identifikatoren entfernt oder pseudonymisiert sind,
der Merkmalsumfang aber weitestgehend erhalten
bleibt und erst die Analyseergebnisse auf ihre Ano-
nymität geprüft werden.
Da bei einer absoluten Anonymisierung der Perso-
nenbezug entfällt, wäre dieser Datenbestand in der
Tat nicht mehr datenschutzrelevant. Leider ist dies
nur Wunschdenken, da anhand der Kombination der
gängigen Attribute
• Geburtsdatum
• Geschlecht
• Postleitzahl
 19 20 21 
ZUM
INHALT
über 80 % der Bevölkerung1 identifiziert werden.
Bei anderen Kombinationen sind ähnliche Werte zu
erwarten, so dass eine Umsetzung einer absoluten
Anonymisierung bei gleichzeitig sinnvoll nutzbaren
Datenbeständen nicht realistisch ist. Daher liegt die
Vermutung nahe, dass die Anonymisierung aus gu-
tem Grund nur im Erwägungsgrund 26 erwähnt wird,
dagegen die Pseudonymisierung als datenschutzre-
levante Maßnahme betrachtet wird. Insbesondere
der Erwägungsgrund 28 mit der Aussage:
„Die Anwendung der Pseudonymisierung auf
personenbezogene Daten kann die Risiken
für die betroffenen Personen senken und die
Verantwortlichen […] bei der Einhaltung ihrer
Datenschutzpflichten unterstützen.“
bringt neue Gesichtspunkte in Architekturen ein. Bei
der Pseudonymisierung wird der Name oder ein an-
deres Identifikationsmerkmal durch ein Pseudonym
(zumeist eine mehrstellige Buchstaben- oder Zah-
lenkombination, auch Code genannt) ersetzt, um die
Feststellung der Identität des Betroffenen auszu-
schließen oder wesentlich zu erschweren.
1
 L. A. Sweeney. Computational disclosure control: a primer on data
privacy protection. Dissertation, Massachusetts Institute of Tech-
nology, 2001
 ZUM
INHALT

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter

Ein wichtiger Aspekt beim Einsatz der Pseudonymi- ten-Architekturen eines Analytischen Informations-
sierung in Analytischen Informationssystemen ist der systems, gibt es zwei mögliche Ansatzpunkte:
Zugriffspunkt. Betrachten wir klassische Mehrschich-

Abbildung 6: Mehrschichten-Architektur eines Analytischen Informationsystems

Zum einen besteht die Möglichkeit einer Pseudony-
misierung on the fly beim Zugriff auf die Datamart-
schicht. Hier wird in Datensichten (Views) zur Laufzeit
aus dem Klartext bzw. den direkten Identifikatoren
das entsprechende Pseudonym ermittelt. Dieses Vor-
gehen ist hinsichtlich der Implementierungsdauer
schlank, da i. d. R. keine Datenwirtschaftungsprozesse
zu implementieren bzw. modifizieren sind. Allerdings
muss das Core Data Warehouse vor dem Zugriff vor
den Endanwendern gekapselt werden, da ansonsten
mit Klartexten gearbeitet wird. Sollte der Analyst
oder andere vergleichbare Rollen in der Lage sein,
eigene Abfragen zu erstellen, erweisen sich diese
Verknüpfungen über ein zur Laufzeit generiertes
Pseudonym als inperformant.
Erfolgt die Bildung des Pseudonyms dagegen beim
Aufbau des Core Data Warehouse und wird jenes in
diesem persistiert, können die Endanwender, sofern
es aus fachlichen Gründen nötig wird, auch auf diese
Schichtenebene ohne zusätzliche Vorkehrungen zu-
greifen. Durch die Persistierung sind tabellenübergrei-
fende Abfragen in der Verknüpfung über das Pseudo-
nym vergleichbar mit nicht pseudonymisierten Daten.

 20 21 22 
 ZUM
INHALT

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter

Erfolgt eine Neuentwicklung eines Analytischen In-
formationssystems sollte die Präferenz in der früh-
zeitigen Persistierung des Pseudonyms liegen. Somit
liegt in der Datenlogistik frühzeitig eine formale An-
onymität der Daten vor und das Risiko einer Daten-
schutzverletzung ist deutlich geringer als beim ers-
ten Szenario. Bei einer Renovierung bzw. Sanierung
des Analytischen Informationssystems sind die Kos-
ten-, Nutzen- und Risikoaspekte der beiden Lösungs-
szenarien abzuwägen. Dabei verspricht der Ansatz
einer On-the-fly-Pseudonymisierung häufig einen
Quick Win.
Soll allerdings auf Basis des Analytischen Informa-
tionssystems ein operatives Reporting erfolgen, er-
weist sich die Pseudonymisierung als wenig hilfreich,
da die Empfänger hier z. B. die Namen und Anschrif-
ten von Kunden erwarten. Aus unserer Erfahrung hat
es sich daher bewährt, operative Auswertungen und
Analytische Informationssysteme bereits in der stra-
tegischen Ausrichtung strikt zu trennen. Ist allerdings
die Architektur, z. B. aus historischen Gründen, in der
operativen und dispositiven Ausrichtung zu sehr mit-
einander verwoben, müssen im ersten Schritt, noch
vor den technischen Maßnahmen, kurzfristige orga-
nisatorisch Anweisungen zur Regelung im Umgang
mit analytischen Daten erfolgen.
Trotzdem bleibt eine herausfordernde Frage beste-
hen: „Wie kann ich einen Prozess etablieren, um aus
Pseudonymen für eine zweckbestimmte Einzelfall-
prüfung den Klartext zu erhalten?“ Use-cases wären
z. B. Stornoprophylaxe oder die Identifikation von po-
tenziellen Betrugsfällen. Zur Entschlüsselung emp-
fiehlt sich die Nutzung eines TAN-Verfahrens, wie
man es ansonsten vom Onlinebanking her kennt:

Abbildung 7: Exemplarischer Prozess für die Depseudonymisierung im Analytischen System

Durch die Verwendung der TAN-Listen und Koppe-
lung der Rückmeldung an den Datenschutz wird die
Zweckbindung zur Entschlüsselung des Pseudonyms
dokumentiert (s. 3.1 Rechenschaftspflicht – Notwen-
diges Übel oder Nutzen?).
Verfahren zu der Pseudonymisierung, z. B. nach einem
Hashwert, werden nicht weiter dargestellt. Diese
sollten sich allerdings an den IT-Sicherheitsstrategi-
en des jeweiligen Unternehmens orientieren.

 21 22 23 

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter
3.4. AI, KI und Artikel 22 – DSGVO gegen den
Trend?
Eine der spannenden Fragen ist, ob und inwiefern
neue, innovative technologische Megatrends wie AI,
KI regulatorisch durch den Gesetzgeber „eingefan-
gen“ oder durchreguliert werden. Soweit ersichtlich,
ist kein Artikel der DSGVO speziell auf dieses The-
ma zugeschnitten; dies ist jedoch im Hinblick auf die
Technikneutralität, auf die an anderer Stelle einge-
gangen wird, nicht weiter verwunderlich.
Zu fragen ist jedoch, inwiefern nun gegebene Rege-
lungen der DSGVO Auswirkungen auf den Themen-
komplex AI, KI zeitigen können.
In diesem Zusammenhang ist es angezeigt, einen
vertieften Blick auf das Regelungsprogramm zur au-
tomatisierten Einzelentscheidung in Art. 22 der DS-
GVO zu werfen. Dieser Regelungsgegenstand sollte,
je nach verfolgtem Geschäftsmodell, eingehender
betrachtet werden.
 22 23 24 
ZUM
INHALT
Aus Art. 22 folgt das Recht, keiner ausschließlich
automatisierten Entscheidung unterworfen zu wer-
den; Ausnahmen werden in Absatz II aufgeführt.
Dessen Punkt c) erfasst Einwilligungen, vergleiche
hierzu 2.1. Punkt b) stellt auf die in Öffnungsklau-
sel, bezeichnet in 1.2, ab. Punkt a) verwendet mit
„erforderlich“ einen offenen Rechtsbegriff, der erst
durch die zu erwartende Rechtsprechung eine feste
Kontur erhalten wird.
Die Regelung des Art. 22 DSGVO verdrängt wohl
jene über automatisierte Entscheidungen aus § 6 a
BDSG. Gemäß deren § 6 a III war Auskunft über den
„logischen Aufbau der Verarbeitung“ zu geben. Be-
reits angeführt wurde, dass Diskrepanzen zwischen
der DSGVO sowie dem BDSG dazu führen, dass in
diesen Fällen deutsches Recht nicht mehr ange-
wendet wird.

4. Fazit
Man mag konstatieren, die DSGVO halte an den
Grundprinzipien fest, wie sie durch Art. 8 II der
EU-Grundrechtecharta, die Datenschutzrichtlinie
und damit auch das BDSG vorgegeben wurden,
ändere also das geltende Datenschutzrecht nicht
grundlegend.
Aber: Im Detail finden sich zahlreiche neue Vorgaben.
Hinsichtlich des immens erhöhten Bußgeldrahmens
bedarf es einer passgenauen Umsetzung durch die
jeweils Verantwortlichen.
Vor dem Hintergrund des jahrelang erarbeiteten
 23 24 25 
ZUM
INHALT
EU-weiten politischen Kompromisses ist die DSGVO
mancherorts durch ihre Generalklauseln und unbe-
stimmten Rechtsbegriffe unklar. Hier steht uns eu-
ropaweit einiges an klarstellender Rechtsprechung
ins Haus.
Nichtsdestotrotz sollten Sie bereits jetzt mit der
Verbesserung von erkannten Datenschutzrisiken zu
beginnen. Wichtig ist dabei, sich auf ein Team zu
verlassen, in dem IT- und Rechtsexperten gemein-
sam Lösungen erarbeiten. Ein Ignorieren der DSG-
VO oder Verharren in Warten auf Ideen von anderen
kann teuer werden.
 ZUM
INHALT

Weiterführende Informationen zum Thema

Auer-Reinsdorff/Conrad: Handbuch IT- und Datenschutzrecht, C.H. Beck Verlag, 2. Auflage 2016

Ehmann/Selmayr: DS-GVO Kommentar, C.H. Beck Verlag, 2017

Gola Peter: DS-GVO Kommentar, C.H. Beck Verlag, 2017

Härting Niko: Datenschutzgrundverordnung, Otto Schmidt Verlag, 2016

Kranig/Sachs/Gierschmann: Datenschutz-Compliance nach der DS-GVO, Bundesanzeiger Verlag, 2017

Kühling/Buchner: DS-GVO Kommentar, C.H. Beck Verlag, 2017

Roßnagel, Alexander: Europ. DS-GVO Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts,
Nomos Verlag, 2016
Wybitul, Tim: EU-Datenschutz-Grundverordnung im Unternehmen, R&W Fachmedien Recht und Wirtschaft, 2016

Informationsbroschüre inkl. Gesetzestext zur DSGVO des bfdi:

http://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf?__blob=publicationFile&v=7
Webseite der Artikel 29 Datenschutz Gruppe:
http://ec.europa.eu/justice/data-protection/index_en.htm

The European Union Agency for Network and Information Security (ENISA):
https://www.enisa.europa.eu/

GDD: Gemeinnütziger Verein, der politisch aktiv ist und Datenschutzbeauftrage unterstützt:
https://www.gdd.de/

Netzwerk Datenschutzexpertise:
http://www.netzwerk-datenschutzexpertise.de/

Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.

https://www.bvdnet.de/
Privacy Preserving Record Linkage als Verfahren zur effizienten Suche nach Quasi-Identifikatoren
(aus Grunert/Heuer: Big Data und der Fluch der Dimensionalitä):
http://www.ceur-ws.org/Vol-1313/paper_6.pdf

Recht auf Datenübertragbarkeit:

http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_en_40852.pdf

Die 7 Gestaltungsprinzipien zu Privacy by design von Ann Cavouklian:

https://www.law.berkeley.edu/wp-content/uploads/2016/03/Ann-Cavoukian.pdf

 24 25 26 
 ZUM
INHALT

ASG Technologies
Über unsere Sponsoren

ASG Technologies
Lyonel-Feininger-Strasse 28
80807 München

Tel: +49 (0)89 45716 300

E-Mail: emea.central@asg.com
Web: www.asg.com

ASG Technologies bietet Lösungen, mit denen Unternehmen zuverlässig wichtige Daten
verwalten und kontrollieren sowie darauf zugreifen können. Das schafft nicht nur beruhigen-
de Sicherheit. Es sorgt auch für eine bessere Produktivität der Mitarbeiter und ein präzises,
schnelles Verständnis von Informationen, auf denen wichtige Geschäftsentscheidungen
basieren. Gleichzeitig lassen sich Compliance-Anforderungen bewältigen, da die Sichtbarkeit
von Daten plattformübergreifend verbessert wird – in Altbeständen genauso wie in moder-
nen Umgebungen. Mehr als 70 Prozent der globalen Fortune 500-Unternehmen vertrauen
bei der Optimierung ihrer IT-Investitionen auf ASG. Der Anbieter von Technologielösungen
beschäftigt über 1.000 Mitarbeiter, die weltweit mehr als 3.000 mittelständische Unterneh-
men und Konzerne unterstützen.

EU-Datenschutzgrundverordnung – Bringen Sie Licht in Ihre Daten.

Mit den leistungsstarken Data-Intelligence-Lösungen von ASG können Sie Daten innerhalb
Ihres Unternehmens effektiv verwalten und regeln. Richten Sie Warnmeldungen für
potenzielle Compliance-Verletzungen ein. Damit sind Sie auf die Regulierungen durch GDPR/
DSGVO vorbereitet. Das Auffinden aller personenbezogenen Daten garantiert, dass auch dem
“Recht auf Vergessen” entsprochen wird. Data Lineage spürt alle Anwendungen auf, die
persönliche Daten nutzen. Legen Sie Reports als Datenschutz-Beweisgrundlage mit einem
Katalog geschützter Daten an – somit können Sie jederzeit aufzeigen, wie Ihre Daten
innerhalb des Bestands abgelegt und verwendet werden. Profitieren Sie von den Meta-
daten-Management-Lösungen der ASG und verstehen, kontrollieren und verwalten Sie die
Bereitstellung von Daten. Filtern Sie nach geschäftlichen oder technischen Definitionen
oder persönlichen Informationen – und finden Sie zügig genau die Daten, die Sie brauchen.
 ZUM
INHALT

Über unsere Sponsoren

Kontaktadresse

FINCON Unternehmensberatung GmbH

Dorotheenstr. 64
22301 Hamburg

Telefon +49 40 650565-0

Telefax +49 40 650565-25
E-Mail info@fincon.eu
URL www.fincon.eu

Die FINCON Unternehmensberatung GmbH wurde 2003 gegründet und ist mit derzeit rund 300 Mitarbei-
tern das auf Banken, die Sparkassenorganisation und Versicherungswirtschaft spezialisierte Beratungs- und
Lösungshaus. Als der strategische Partner für renommierte Unternehmen konzentriert sich die FINCON auf
Kernkompetenzen und langfristige Geschäftsbeziehungen. Die Mitarbeiter verbinden breite Projekt- und Tech-
nologieerfahrung mit fundiertem Branchenwissen.

FINCON steht für Fach- und Prozessconsulting sowie Testmanagement, für die Realisierung individueller An-
wendungssysteme oder für die Implementierung und Integration von Standardprodukten. Die Entwicklung
und der Vertrieb innovativer Software-Lösungen gehört ebenfalls zum Leistungsspektrum.

In den Themenkomplexen Business Intelligence, Big Data und Analytik berät die FINCON ihre Kunden zur
Datenlogistik (z. B. ETL mit SAS DI, SSIS, IBM DataStage), Informationsaufbereitung (z. B. SSRS, Power BI, IBM
Cognos), Architektur (z. B. Data Vault, Mehrschichtenlösungen, Metadatenmanagement) und Strategie. Ein be-
sonderer Fokus liegt dabei in der Beratung zu schlagkräftigen Organisationsformen im Unternehmen, Vor-
gehens- bzw. Zusammenarbeitsmodellen und Data Governance. Schon frühzeitig setzte sich FINCON mit den
Themen Datenschutz, EU-DSGVO, Ethik und die Auswirkungen auf die Analytik auseinander. Mehr dazu unter
https://www.fincon.eu/beratung/management-methodenberatung/business-intelligence/.

 26 27 28 
 ZUM
INHALT

Über unsere Sponsoren

Kontaktadresse

Informatica GmbH
Ingersheimer Straße 10
70499 Stuttgart

Tel: +49 (0) 711 139 84-0

Fax: +49 (0) 711 13984-600
Email: DE_reception@informatica.com
Web: http://www.informatica.com/de

Informatica ist mit mehr als 7.000 Kunden weltweit der führende Anbieter im Bereich Enterprise Cloud Data
Management und treibt die datengestützte digitale Transformation weiter voran. Informatica ermöglicht es
Unternehmen, das Potenzial ihrer Daten voll auszuschöpfen, um Innovationen voranzutreiben, agiler zu wer-
den, neue Wachstumschancen zu nutzen und sich dadurch langfristige Wettbewerbsvorteile zu verschaffen.

Mithilfe der Lösung Data Governance & Compliance von Informatica speziell für die Datenschutz-Grundver-
ordnung können Sie mit wichtigen Rollen auf Unternehmens- und IT-Seite sowie mit Datensicherheitsexper-
ten zusammenarbeiten, um sämtliche Datentypen – Cloud-, On-Premise-Daten sowie Big Data – so zu verwal-
ten, dass die Vorgaben der Datenschutz-Grundverordnung erfüllt werden können. Unsere Lösung unterstützt
Sie dabei, Compliance zu erreichen, indem Daten identifiziert, definiert und verwaltet werden.

 27 28 29 
 ZUM
INHALT

Über unsere Sponsoren

Kontaktadresse

ORBIT Gesellschaft für Applikations- und Informationssysteme mbH

Mildred-Scheel-Straße 1
53175 Bonn

+49 228 95693-0

info@orbit.de
www.orbit.de

ORBIT Gesellschaft für Applikations- und Informationssysteme mbH mit Hauptsitz in Bonn ist seit 1985
kompetenter Ansprechpartner, wenn es um die umfassende und individuelle IT-Beratung geht. Kunden
profitieren davon, dass Hard- und Software sowie Serviceleistungen aus einer Hand bereitgestellt werden.

ORBIT begleitet Unternehmen auf dem Weg zur DSGVO: Im Zentrum unseres DSGVO-Starterkit steht die
genaue Analyse der IT- und Datenstruktur. Auf Basis dieser Analyse definieren und realisieren wir effektive
Maßnahmen, um
• Zugriffsregeln zu etablieren
• das Recht auf Vergessenwerden zu gewährleisten
• die Widerstandskraft der IT gegen Angriffe zu stärken.

Bei Bedarf unterstützen wir auch das Enterprise Mobility Management.

Mehr Informationen dazu gibt es unter http://www.orbit.de/leistungen/kompetenzen/dsgvo-beratung/.

Als selbstständiges, wachstumsstarkes Unternehmen gehört ORBIT zur Deutschen Telekom Gruppe.

 28 29 30 
 ZUM
INHALT

Über unsere Sponsoren

Kontaktadresse

Talend Germany GmbH

Baunscheidtstraße 17
53113 Bonn

Tel.: +49 228 76 37 76 0

Fax: +49 228 76 37 76 99
info@talend.com

Talend (NASDAQ: TLND) ist ein weltweit führender Anbieter von Lösungen für Cloud- und Big-Data-In-
tegrationen. Unternehmen werden dabei unterstützt, aus ihren Daten strategische Wirtschaftsgüter zu
entwickeln. Diese helfen dabei, unternehmensweit und in Echtzeit detaillierte Informationen zu Kunden,
Partnern und Prozessen zu erhalten. Durch die offene, native und einheitliche Integrationsplattform bietet
Talend die benötigte Datenagilität, sodass Unternehmen sehr schnell aktuelle Technologie-Innovationen
nutzen können, um die sich ständig verändernden Anforderungen moderner Unternehmen zu unterstützen.
Mit Talend sind Unternehmen in der Lage, ihre Dateninfrastruktur zu skalieren und innovative Technologi-
en schnell in der Cloud einzusetzen. Die Lösungen von Talend unterstützen mehr als 1.500 globale Unter-
nehmenskunden aus allen Branchen, darunter AstraZeneca, GE, HP Inc. und Lenovo. Talend wurde sowohl
von führenden Analystenhäusern als auch von verschiedenen Branchenmedien mehrfach als führender
Anbieter positioniert. Weitere Informationen finden Sie unter www.talend.com. Folgen Sie uns auch auf
Twitter: @TalendDE

 29 30 31 
E-Book

tdwi.eu