Wieder einmal hat es das Deggendorfer Forum zur digitalen Datenanalyse mit seinem Vorsitzenden Prof. Dr. Georg Herde geschafft, hinter einem auf den ersten Blick akademisch harmlos klingenden Titel „Compliance in Prüfung und Revision - Rechtliche Grenzen und technische Möglichkeiten“ ein Thema mit Sprengkraft auszuleuchten, den Konflikt zwischen Datenanalyse und Datenschutz. Nicht einmal die Pseudonymisierung und Anonymisierung von personenbezogenen Daten zum Zwecke eines Datenscreenings sei zulässig, argumentieren die Datenschutz-Hardliner. Bedeutet das das Aus für die digitale Datenanalyse im Unternehmen? Schließlich sind ja an praktisch allen Unternehmensprozessen Personen beteiligt, die als solche ihre Datenspuren hinterlassen.
"Datenanalyse und Datenschutz: Warum sind alle verunsichert?", fragte der Jurist Prof. Dr. Norbert Nolte in seinem Vortrag. Und gab auch gleich die Antwort: "Die Verunsicherung ist nicht berechtigt!" Allerdings gibt es in den Unternehmen hier noch einen beträchtlichen Informations- und Beratungsbedarf. Der Urfehler des Konflikts steckt im Urteil des Bundesverfassungsgerichts zur Volkszählung. Danach muss jede Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Einzelfall gerechtfertigt werden. Im Zweifel ist daher immer der Datenschutz vorrangig. Problematisch ist insbesondere der von Nolte als Schnellschuss angesehene §32 des aktuellen Bundesdatenschutzgesetzes (BDSG), der die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses regelt. Dass es hier Nachholbedarf gibt, zeigt der aktuell im Verfahren steckende Gesetzentwurf der Bundesregierung, in dem der aktuelle Gesetzestext an vielen Stellen modifiziert und präzisiert wird. So sollen auch Datenscreenings erlaubt werden, die der Aufdeckung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen durch Beschäftigte dienen.
Ob nach aktueller oder zukünftiger Gesetzeslage, die Verhältnismäßigkeit eines Datenanalysevorhabens muss geklärt und die Entscheidung dokumentiert werden. Wer hier sorgfältig argumentiert, der ist auf der ziemlich sicheren Seite. Selbst wenn andere - staatliche Stellen, Betriebsräte etc. - die Entscheidung kritisch sehen. In der Praxis zeigen sich, so Noltes Erfahrung, die Probleme nicht, die die Dogmatiker beschwören.
Wie der Datenschutz bei der Analyse von Massendaten in Revisionsprozessen gewahrt werden kann, zeigte Anke Giegandt von der internen Revision der BSH Boch und Siemens Hausgeräte GmbH exemplarisch auf. Trotz aller Akribie bei der Abwägung zwischen der gesetzlich geforderten grundsätzlich Pflicht zum Risiko- bzw. Compliance-Managements und dem ebenfalls gesetzlich geforderten Datenschutz, kann der Leiter der internen Revision den Konflikt letztlich nicht befriedigend lösen. Drei Voraussetzungen müssen gegeben sein für eine Analyse personenbezogener Daten: ein hinreichender Verdacht auf eine Straftat, die Erforderlichkeit und die Verhältnismäßigkeit. Vor Beginn einer internen Untersuchung sind daher folgende Fragen zu beantworten: Was ist der Vorwurf? Wie begründet sich der Verdacht? Wer wird verdächtigt? Welche Daten dürfen eingesehen werden? Wer ist ggf. zu informieren oder hinzuzuziehen? Und schließlich, ganz wichtig: die Dokumentation der Vorgehensweise.
Auf diesem Hintergrund hat Giegandt ein Datenschutzkonzept für die Datenanalyse der internen Revision entwickelt. An der Abstimmung des Konzeptes waren außerdem beteiligt: der Datenschutzbeauftragte, die Rechtsabteilung, die Personalabteilung sowie der IT-Fachausschuss des Gesamtbetriebsrats. Besiegelt wurde das Konzept durch den Abschluss einer Gesamtbetriebsvereinbarung.
Anhand von auf dem vorgestellten Konzept basierenden Fallbeispielen von Datenanalysen konnte Anke Giegandt Norbert Noltes Aussage belegen: "Die Verunsicherung ist nicht berechtigt!"
Weitere der Themen des Deggendorfer Forums waren:
- Zunftssicherung und Nachhaltigkeit: Zur Rolle der prüfenden Berufe auf dem Wege in eine weltweite Informations- und Wissensgesellschaft
- Wirtschaftsspionage: Deutsche Unternehmen im Visier von ausländischen Nachrichtendiensten und Konkurrenten
- Anforderungen und Parameter zukunftsorientierter Analysesoftware
|
