Spähaffäre, Spitzelaktion, Mitarbeiterdurchleuchtung. Mit
Schlagworten dieser Art wurde etikettiert, was aus der Deutschen Bahn
in den letzten Wochen bekannt wurde. Dabei ist doch klar: ein
Unternehmen wie die Deutsche Bahn mit einer Unzahl von Lieferanten ist
höchst anfällig für Korruption und andere Wirtschaftskriminalität. Dem
vorzubeugen ist Aufgabe des unternehmerischen Risikomanagements. Dazu
gibt es bewährte Werkzeuge: Datenanalysesoftware wie ACL oder IDEA. Was
macht wohl einer, der solch ein Tool zur Betrugserkennung einsetzt? Das
was alle machen, wenn sie so ein Tool einsetzen: Datenquellen auswählen
und eine möglichst intelligente Auswertung formulieren. Ob in den
Datenquellen nun hundert, tausend oder millionen Datensätzen enthalten
sind, darüber macht sich der Auswerter eigentlich keine großen
Gedanken.
Wirtschaftskriminalität wird von Personen begangen, also müssen zu
ihrer Aufdeckung und ihrer Abwehr personenbezogene Daten untersucht
werden. Macht es von der Logik einer Datenanalyse einen Unterschied, ob
aus den vollständigen Mitarbeiterdaten der Bahn zunächst die
Regionalbahnschaffner, Speisewagenkellner und Stellwerksleiter explizit
herausgefiltert werden, weil diese keinen dienstlichen Kontakt mit
Lieferanten haben oder kann darauf schlicht verzichtet werden, weil
diese Personengruppen implizit sowieso durchs Raster fallen wird?
Vielleicht lässt sich die Filterbedingung für eine Vorabselektion gar
nicht präzise formulieren. Spricht daraus dann gleich ein generelles
Misstrauen gegenüber der gesamten Belegschaft eines Unternehmens? Und
ist das dann ein Datenschutzproblem?
„Compliance und Datenschutz vertragen sich nicht“ titelte jüngst die
Computerwoche. Werden, wie dies der Innenminister vorhat, bei der
Analyse personenbezogener Daten die Datenschutzbestimmungen enger
gefasst, hat das für den Anwender von Datenanalysesoftware wohl
Konsequenzen. Welche Auswertungen darf er fahren und welche nicht? Darf
er eine Betriebsprüfung umfänglich simulieren? Denn ob Geld in dunklen
Kanälen verschwindet, dafür interessiert sich auch der Betriebsprüfer.
Wer wollte diesem verwehren, personenbezogene Daten aus der
Lohnbuchhaltung mit Lieferantendaten vollständig abzugleichen?
Prüfungen, die dem Unternehmen bei einer Betriebsprüfungssimulation
dann möglicherweise nicht mehr erlaubt sein werden.
Vielleicht war gerade die elektronische Steuerprüfung Impulsgeber
für Untersuchungen wie bei der Bahn. Die Unternehmen schauen sich die
Software, mit denen der Betriebsprüfer ihre Daten unter die Lupe nimmt,
einmal etwas genauer an, entdecken dabei die Mächtigkeit dieser Tools
und bekommen immer neue Ideen, wo eine Datenanalysesoftware im
Unternehmen nützlich sein kann.
Befinden sich alle auszuwertenden Daten bereits in einer einzigen
Datenbank, dann muss zur Analyse nicht einmal auf eine Software wie ACL
oder IDEA zurückgegriffen werden, dann kann direkt eine
Datenbankauswertung programmiert werden. Und auch hier müsste sich der
Programmierer dann die Frage stellen: Ist diese Auswertung überhaupt
erlaubt?
Wichtiger als die Frage nach der Menge der untersuchten Daten
scheint mir die Frage nach den Untersuchungsergebnissen: Was ist mit
den Personen, die im Raster hängen geblieben sind. Die Ergebnisse einer
Datenanalyse ergeben vielfach Hinweise auf Auffälligkeiten, die aber
durch weitere Prüfungshandlungen erst noch verifiziert bzw.
falsifiziert werden müssen. Problematisch wird es dann, wenn der
Hinweis auf eine Auffälligkeit ohne tiefergehende weitere Prüfung an
einer Person hängen bleibt. Das ist in jedem Fall problematisch, egal
ob nur wenige gezielt ausgewählte Daten oder die Daten der gesamten
Belegschaft untersucht wurden. Das Datenschutzproblem zeigt sich als
qualitatives und nicht quantitatives. Das muss differenziert betrachtet
werden. Plakative Schlagworte der Empörung sind hier fehl am Platz.
Brauchen wir gesetzliche Regelungen zum Einsatz von
Datenanalysesoftware, um in Fällen wie bei der Bahn Prüfszenarien zur
Korruptionsprävention mit personenbezogenen Massendaten zu verhindern?
So lautet auch unsere „Abstimmung des Monats“. Was meinen Sie?
Ihr Gerhard Schmidt
|
