1© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenschutz und personenbezogene
Datenanalysen
Dipl. Kfm. Uwe Dieckmann
Vorstandsmitglied der Gesellschaft für
Datenschutz und Datensicherheit e. V., Bonn
DIIR-Akademie Seminar Frankfurt 2010023 Hamburg 2010040 München 2010020
2© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenschutzanforderungen
Grundrechte und Prinzipien
Grundsätzliche Gebote
Geheimhaltung
Datenschutzrechtliche Risiken
Personenbezogenes
Schutz der Mitarbeiterdaten
Betriebsverfassungsrechtliche Vorschriften zum
Arbeitnehmerdatenschutz
§ 32 BDSG
3© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenschutzanforderungen
Grundrechte und Prinzipien
Informationelles Selbstbestimmungsrecht
Volkszählungsurteil BVerfG 15. Dezember 1983
Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität
informationstechnischer Systeme
BVerfG 27. Februar 2008
Verbotsprinzip des BDSG
Der Umgang mit personenbezogenen Daten ist nur zulässig, soweit das
BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder
der Betroffene eingewilligt hat (§ 4 Abs. 1 BDSG).
Subsidiaritätsprinzip des BDSG
Soweit andere Rechtsvorschriften des Bundes auf personenbezogene
Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie
den Vorschriften dieses Gesetzes vor (§1 Abs. 3 S. 1 BDSG).
4© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenschutzanforderungen
Grundsätzliches Gebote
Grundsatz der Zweckbindung erhobener Daten
Hinweispflicht auf den Zweck (§ 4 Abs. 3 S. 1 Nr. 2 BDSG)
Grundsatz der Datenvermeidung und Datensparsamkeit
Datenumgang, Gestaltung und Auswahl von Datenverarbeitungs-
systemen haben sich an dem Ziel auszurichten, keine oder so wenig
personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder
zu nutzen (§ 3a Satz 1 BDSG).
Grundsatz der Erforderlichkeit
Die Art des Datenumgangs muss zum Erreichen des Zwecks
erforderlich sein (vgl. § 28 Abs. 1 S. 1 Nr. 1 und 2 BDSG)
Grundsatz der Anonymisierung oder Pseudonymisierung
„soweit dies nach dem Verwendungszweck möglich ist und keinen im
Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen
Aufwand erfordert“ (§ 3a Satz 1 BDSG).
5© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenschutzanforderungen
GeheimhaltungAllgemein
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt,
personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu
nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-
öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit
auf das Datengeheimnis zu verpflichten (§ 5 BDSG).
Wirtschaftsprüfer
Der Wirtschaftsprüfer hat seinen Beruf unabhängig, gewissenhaft,
verschwiegen und eigenverantwortlich auszuüben (§ 43 Abs. 1 S. 1
WPO). Der Wirtschaftsprüfer hat seine Gehilfen und Mitarbeiter, soweit
sie nicht bereits durch Gesetz zur Verschwiegenheit verpflichtet sind, zur
Verschwiegenheit zu verpflichten (§ 50 WPO).
DIIR Standards
z. B. QA Leitfaden: Geheimhaltungsverpflichtung mit Bezug auf das
Datengeheimnis nach § 5 BDSG
6© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenschutzanforderungen
Datenschutzrechtliche Risiken
Verletzung des Datengeheimnisses und unrechtmäßige Kenntniserlangung
Nichteinhaltung der Zweckbindung
Überschreitung des Erforderlichkeitsgrundsatzes
Nichtbeachtung des Grundsatzes der Datenvermeidung / Datensparsamkeit
Gefährdung vorgegebener Kontrollziele und unzureichende Kontrollen
Fehlende Transparenz für Betroffene und Datenschutz-Kontrollinstanzen
Datenverarbeitung im Ausland mit niedrigem Datenschutzniveau
Nicht ausreichende Rechtsgrundlage
7© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenschutzanforderungen
Personenbezogenes
Personenbezogene Daten (§ 3 Abs. 1 BDSG)
Einzelangaben über persönliche oder sachliche Verhältnisse einer
bestimmten oder bestimmbaren natürlichen Person (Betroffener).
Personenbeziehbarkeit
Auch Datensätze, die weder aus Namen noch aus Anschrift bestehen,
können aufgrund der Inhalte der verbliebenen Datenfelder häufig einer
Person zugeordnet werden (z.B. aus Alter, Position, Abteilung,
Betriebszugehörigkeitsdauer)
Auch IP-Adressen gelten als personenbezogenes Datum
Gebuchte Geschäftsvorfälle haben zumeist einen mehrfachen
Personenbezug (z. B. Debitor und der Veranlasser der Buchung)
Auch bei nicht-natürlichen Personen (z. B. Kapitalgesellschaften) sind i. d.
R. die Ansprechpartner gespeichert.
8© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenschutzanforderungen
Schutz der Mitarbeiterdaten (1)
Leistungs- und Verhaltenskontrolle:
Mitbestimmung des BR entsprechend § 87 Abs. 1 Nr. 6 BetrVG bei
der Einführung und Anwendung von technischen Einrichtungen, die
dazu bestimmt sind, das Verhalten oder die Leistung der
Arbeitnehmer zu überwachen
Bei Betriebsvereinbarungen zur Leistungs- und Verhaltenskontrolle
beachten: Ist die Arbeit der Revision berücksichtigt worden?
Freie Entfaltung des Persönlichkeitsrechts
Nach § 75 Abs. 2 BetrVG haben Arbeitgeber und Betriebsrat die
freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten
Arbeitnehmer zu schützen und zu fördern. Sie haben die
Selbständigkeit und Eigeninitiative der Arbeitnehmer und
Arbeitsgruppen zu fördern.
Betriebsverfassungsrecht
9© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenschutzanforderungen
Schutz der Mitarbeiterdaten (2)
§ 32 Abs. 1 Satz 1 BDSG erlaubt wie bisher § 28 Abs. 1 Satz 1
Nr. 1 BDSG den Umgang mit personenbezogenen Daten eines
Beschäftigten, wenn dies für Zwecke des Beschäftigungs-
verhältnisses erforderlich ist oder nach Satz 2 zum Zweck der
Aufdeckung von Straftaten, wenn
zu dokumentierende tatsächliche Anhaltspunkte den
Verdacht begründen, dass der Betroffene im
Beschäftigungsverhältnis eine Straftat begangen hat,
dies zur Aufdeckung erforderlich ist und
das schutzwürdige Interesse des Beschäftigten nicht
überwiegt, insbesondere Art und Ausmaß im Hinblick auf
den Anlass nicht unverhältnismäßig sind.
Datenschutzrecht
10© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenschutzanforderungen
Schutz der Mitarbeiterdaten (3)
Versand von arbeitsplatzbezogener Werbung (Abs. 1 Satz 1
Nr.2) oder einer Arbeitgeberzeitschrift
Veröffentlichung von Jubiläen, Verbesserungsvorschlägen u.ä.
(Abs. 1 Satz 1 Nr. 2)
Auskunft des Arbeitgebers an Gläubiger oder Inkassofirma bei
Forderungstitel (Abs. 2 Nr. 2 a))
Due-Dilligence Prüfung (Abs.1 Satz 1 Nr.2 + Abs.2 Nr.1)
Mitteilung an Strafverfolgungsbehörden ohne gesetzliche
Verpflichtung (Abs. 2 Nr.2)
§ 32 Abs. 1 Satz 1 BDSG regelt den Umgang mit Daten der
Beschäftigten nicht abschließend. So kommen auch weiterhin
Vorschriften des § 28 BDSG in Betracht.
11© Uwe Dieckmann 16., 17., 18. Juni 2010
Anforderungen an die Unternehmensleitung und Haftung
Gesetzliche Vorgaben
Sondervorschrift für Kreditinstitute § 25 c KWG
Anforderungen an die Datenschutzorganisation
Beachtung des § 11 BDSG bei Auftragsvergaben
12© Uwe Dieckmann 16., 17., 18. Juni 2010
Anforderungen an die Unternehmensleitung und Haftung
Gesetzliche Vorgaben
§ 91 AktG (2): Der Vorstand hat geeignete Maßnahmen zu treffen, insbes.
ein Überwachungssystem einzurichten, damit den Fortbestand der
Gesellschaft gefährdende Entwicklungen früh erkannt werden.
§ 93 AktG Schadensersatzzahlungen bei Pflichtverletzung
§ 43 GmbHG: Die Geschäftsführer haben in den Angelegenheiten der
Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.
Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der
Gesellschaft solidarisch für den entstandenen Schaden
§ 130 OWiG (1): Wer als Inhaber eines Betriebes oder Unternehmens
vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die
erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen
gegen Pflichten zu verhindern …, handelt ordnungswidrig, wenn eine solche
Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert
oder wesentlich erschwert worden wäre. ...
13© Uwe Dieckmann 16., 17., 18. Juni 2010
Anforderungen an die Unternehmensleitung und Haftung
Sondervorschrift für Kreditinstitute § 25c KWG
Kreditinstitute haben angemessene DV-Systeme zu betreiben und
zu aktualisieren, mittels derer sie in der Lage sind,
Geschäftsbeziehungen und einzelne Transaktionen im
Zahlungsverkehr zu erkennen, die … zum Nachteil von Instituten
als zweifelhaft oder ungewöhnlich anzusehen sind. Liegen solche
Sachverhalte vor, ist diesen vor dem Hintergrund der laufenden
Geschäftsbeziehung und einzelner Transaktionen nachzugehen,
um das Risiko der jeweiligen Geschäftsbeziehungen und
Transaktionen überwachen, einschätzen und gegebenenfalls das
Vorliegen eines Verdachtsfalls prüfen zu können.
Die Kreditinstitute dürfen personenbezogene Daten erheben,
verarbeiten und nutzen, soweit dies zur Erfüllung dieser Pflicht
erforderlich ist.
14© Uwe Dieckmann 16., 17., 18. Juni 2010
Anforderungen an die Unternehmensleitung und Haftung
Anforderungen an die Datenschutzorganisation
Die rechtzeitige schriftliche Bestellung eines Datenschutzbeauftragten
nach § 4 f BDSG ist die erste wichtige organisatorische Maßnahme, die
bei Unterlassen eine Ordnungswidrigkeit mit Bußgeldfolge darstellt.
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag
personenbezogene Daten erheben, verarbeiten oder nutzen, haben die
technischen und organisatorischen Maßnahmen zu treffen, die
erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes,
insbesondere die in der Anlage zu diesem Gesetz genannten
Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur,
wenn ihr Aufwand in einem angemessenen Verhältnis zu dem
angestrebten Schutzzweck steht. (§ 9 BDSG)
Im Bereich der Zugangs-, Zugriffs- und Weitergabekontrolle wird in der
Anlage zum neuen BDSG auf die Verwendung von
Verschlüsselungsverfahren als geeignete Maßnahme hingewiesen.
15© Uwe Dieckmann 16., 17., 18. Juni 2010
Anforderungen an die Unternehmensleitung und Haftung
Beachtung des § 11 BDSG bei Auftragsvergaben
Besondere Anforderungen sind zu beachten, wenn die
Unternehmensleitung, Fachabteilungen oder Prozessverantwortliche sich
für eine (ggf. teilweise) Auslagerung entscheiden.
Dies gilt auch für den Fall, dass Datenanalysen oder entsprechend § 11
Abs. 5 BDSG Prüfungen durch externe Stellen durchgeführt werden.
Im Einzelnen wird gefordert die schriftliche Festlegung u. a. von Umfang,
Art, Zweck des Auftrags, Datenart, Kreis der Betroffenen, der nach § 9 zu
treffenden technischen und organisatorischen Maßnahmen (TOM) sowie
die Kontrollrechte des Auftraggebers und die Kontrollpflichten des
Auftragnehmers ggf. auch bei den Unterauftragsverhältnissen
Darüber hinaus hat sich der Auftraggeber vor Beginn der
Datenverarbeitung und sodann regelmäßig von der Einhaltung der TOM
zu überzeugen. Das Ergebnis ist zu dokumentieren.
Verstöße können ein Bußgeld zur Folge haben.
16© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Von der selektiven Datenanalyse zur Massendatenanalyse
Datenanalysen als Bestandteil von ex-post-Prüfungen
Der Erforderlichkeitsgrundsatz bei der Auswahl der Datenfelder
Die Zweckbindung erhobener und gespeicherter Daten
17© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Von der selektiven Datenanalyse zur Massendatenanalyse
Konventionelle Prüfvorgehensweise
Stichproben einer bestimmten Periode mittels unbewusster oder
bewusster Auswahl aus unbekannter Grundgesamtheit oder aus Teilen
davon
Datenbasis: Geschäftsvorfälle, Buchungen, Rechnungen, Verträge,
Belege
Ggf. statistische Hochrechnung der Stichprobenergebnisse auf die
Grundgesamtheit
Massendatenunterstützte Prüfvorgehensweise
Abfragen über Vorgänge, die unplausibel sind oder auf Regelverstöße
hindeuten, über den gesamten Datenbestand des zu überprüfenden
Bereichs
Auch regelkonforme Einzelvorgänge können im Kontext mit anderen
Einzelvorgängen unerwünscht sein (z. B. Betragsstückelungen).
18© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Datenanalysen als Bestandteil von ex-post-Prüfungen
IT-gestützte Datenanalysen steigern die Wirksamkeit und Effizienz und
sind Standard. Im Bereich der Finanzverwaltung sind IT-gestützte
Prüfungen von Unternehmen in § 147 (6) AO und den Grundsätzen zum
Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) festgelegt.
Für Abschlussprüfer und Revisionen gibt es keine analoge gesetzliche
Vorschrift, jedoch gibt es für Wirtschaftsprüfer entsprechende
Prüfungsstandards
Auszug aus ISA 240:
IT-gestützter Abgleich der Liste der Verkäufer mit einer Liste der
Mitarbeiter zur Identifikation von Übereinstimmungen von Adressen
und Telefonnummern
IT-gestützte Durchsuchungen der Aufzeichnungen für die
Lohnbuchhaltung zur Identifikation doppelter Adressen, Personal-
oder Steuernummern sowie Bankkonten
19© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Notwendigkeit von revisorischen Datenanalysen
Eine Revision muss in Erfüllung der Sorgfaltspflicht der
Geschäftsleitung alle im Unternehmen vorhandenen Daten sehen und
prüfen dürfen.
Die Revision darf alle Prüfungen durchführen und Prüfungsmethoden
anwenden, die staatlichen oder gesetzlichen Prüfern z. B.
Finanzverwaltung oder Abschlussprüfer zugestanden werden.
Begründung:
Aufgrund des mehrjährigen Prüfungsturnus der Betriebsprüfer und
des einjährigen Prüfungsturnus der Abschlussprüfer werden
Verstöße z. B. gegen Steuergesetze oder strafrechtliche
Vorschriften u. U. zu spät entdeckt.
Die Notwendigkeit von revisorischen Datenanalysen mit den gleichen
Methoden externer Prüfer dürfte außer Zweifel stehen.
20© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Problem der möglichen Leistungs- oder Verhaltenskontrolle
„Die Revision ist die vom Vorstand aufgrund § 91 Abs. 2 AktG eingesetzte
unabhängige Instanz zur Überwachung.
Sie hat unter den Aspekten Wirtschaftlichkeit, Zweckmäßigkeit, Sicherheit
und Ordnungsmäßigkeit die Aufbau- und Ablauforganisation und
sämtliche Geschäftsvorfälle turnusmäßig zu überprüfen.
Die direkte Leistungs- und Verhaltenskontrolle von Mitarbeitern ist nicht
Aufgabe der Revision.
Soweit die Revision Programme einsetzt, welche die Geschäftsvorfälle
auf ihre Ordnungsmäßigkeit untersuchen und dabei auch die dafür
verantwortlichen Mitarbeiter erfassen, fällt die Konstellation nicht unter
diese Vereinbarung. Ebenfalls nicht hierunter fallen Auswertungen, in der
Mitarbeiter zu Gruppen zusammengefasst und nur über die Ergebnisse
der Gruppe berichtet wird (...)“
Beispiel für eine Regelung in einer Betriebsvereinbarung
21© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Beispiel für eine Geschäftsanweisung „Datenanalysen“
Die verwendeten Prüfungsinstrumentarien sind fortlaufend anzupassen
und zeitgemäß durch computergestützte Prüfungsverfahren zu verstärken.
Ziel der Revisionsarbeit ist nicht die Leistungs- oder Verhaltenskontrolle
Die Revision prüft insbesondere unter dem Gesichtspunkt der
Ordnungsmäßigkeit die Geschäftsvorfälle des Unternehmens.
Prüfungstätigkeiten der Revision erfordern grundsätzlich nicht die
Abstimmung mit Betriebsrat und Datenschutzbeauftragtem – es sei denn,
es handelt sich um schutzwürdige sensible Daten der Mitarbeiter.
Auch bei sensitiven Kundendaten/Lieferantendaten sind die Vorschriften
des BDSG einzuhalten.
Weiterführende personenbezogene Analysen, die auf Basis eines
begründeten, dokumentierten Verdachts hinsichtlich eines Regelverstoßes
von der Revision durchgeführt werden, erfordern die Einbindung des
Betriebsrats und Datenschutzbeauftragten.
22© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Dokumentation des Analyseverfahrens analog § 4 e BDSG
Dokumentation
(ggf. im Prüfungsauftrag) vor Beginn der Datenanalyse über
Zielsetzung der Datenanalyse
Art und Ausmaß des vermuteten Risikos, gegen das die Analyse
eingesetzt werden soll
Datenschutzrechtliche Zulässigkeit des Prüfungsauftrags an sich
§ 4 e BDSG
verlangt Angaben zu Verfahren, u. a. über den Zweck, betroffene
Personengruppen, Datenkategorien, Datenherkunft, Empfänger,
Löschungsfristen, Datensicherheit
Dem Datenschutzbeauftragten sind die Verfahren nachzuweisen.
23© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Erforderlichkeitsgrundsatz und Auswahl der Daten
Fragen der Erforderlichkeit
Einzubeziehende Datenfelder
Sind Datenfelder, die eine Identifizierung von Personen
ermöglichen, nach dem Prüfungsziel überhaupt erforderlich?
Einzubeziehende Datensätze
Müssen alle Datensätze der zu untersuchenden
Datengesamtheit untersucht werden oder können Datensätze,
die bestimmte Personen betreffen, herausgefiltert werden?
Anonymisierung oder Pseudonymisierung notwendig?
Aus welchem Grund?
Wer nimmt diese vor?
24© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Die Zweckbindung erhobener und gespeicherter Daten
Fragen der Zweckbindung
Sind die heranzuziehenden Datenfelder betroffener
Personen zu einem Zweck erhoben und gespeichert, der mit
dem Prüfungsziel vereinbar ist ?
Beispiele:
Religionszugehörigkeit ist nur für den Zweck der
Kirchensteuerabführung erhoben und gespeichert
Namen / Anschrift zu benachrichtigender Ehepartner oder
anderer Personen sind nur für den Notfall erhoben
Bankverbindung eines Mitarbeiters nur für Zweck der
Gehaltszahlung erhoben und gespeichert
25© Uwe Dieckmann 16., 17., 18. Juni 2010
Lösungsansätze für personenbezogene Datenanalysen
Abstimmung mit anderen Abteilungen und Instanzen
Zulässige Prüfungsvorgehensweisen
Problematische oder gar unzulässige Vorgehensweisen
26© Uwe Dieckmann 16., 17., 18. Juni 2010
Lösungsansätze für personenbezogene Datenanalysen
Abstimmung mit anderen Abteilungen und Instanzen
Datenschutzbeauftragte: Nach § 4 g BDSG wirkt er auf die Einhaltung
des BDSG und anderer Vorschriften über den Datenschutz hin. Dabei
überwacht er die ordnungsgemäße Anwendung personenbezogener
Datenverarbeitungsprogramme und macht die Beschäftigten mit den
jeweiligen besonderen Erfordernissen des Datenschutzes vertraut.
Compliance Officer: Schafft organisatorische Voraussetzungen zur
Beachtung und Einhaltung der im Unternehmen geltenden Normen.
Häufig auch von der Rechtsabteilung wahrgenommen.
Besonderer Hinweis: BGH-Urteil vom 17.07.2009 (Az 5 StR 394/08):
Aufgabengebiet sei die Verhinderung von Rechtsverstößen!
Betriebsrat: Hat die Aufgabe, das Persönlichkeitsrecht der Mitarbeiter zu
schützen insbesondere auch im Falle von Leistungs- und
Verhaltenskontrollen. Hier gibt es Überschneidungen zu den Aufgaben
des DSB und u. U. Berührungspunkte mit der internen Revision.
27© Uwe Dieckmann 16., 17., 18. Juni 2010
Lösungsansätze für personenbezogene Datenanalysen
Zulässige Prüfungsvorgehensweisen (1)
Die maschinelle Einstellung der Kundendaten in einen Suchlauf, aus
dem sie (mangels Treffer) anonym und spurenlos wieder ausscheiden,
ist kein Eingriff in das informationelle Selbstbestimmungsrecht .
Keine Rasterfahndung, da kein Abgleich zwischen den Datenbeständen
verschiedener Speicherstellen stattfand
Es wurde stattdessen gezielt nach Personen gesucht, die eine genau
bezeichnete mit hinreichender Wahrscheinlichkeit strafbare Handlung
vorgenommen haben.
Die Datenerhebung war auf den Zweck der Tataufklärung begrenzt.
Denn betroffen wurden dadurch regelmäßig nur Personen, die durch ihr
Verhalten den hinreichenden Verdacht einer Straftat begründet hatten.
BVG 17.2.09: Datenabgleich bei Kreditkartenunternehmen
28© Uwe Dieckmann 16., 17., 18. Juni 2010
Lösungsansätze für personenbezogene Datenanalysen
Zulässige Prüfungsvorgehensweisen (2)
Beispiele für die uneingeschränkte Zulässigkeit von Prüfungen sind alle
Prüfungen von Geschäftsvorfällen in den Bereichen
Einkauf von Waren- und Dienstleistungen,
Lagerhaltung,
Zahlungsverkehr
Kreditoren- und Debitorenbuchhaltung,
Lohn- und Gehaltsabrechnung,
Reisekostenabrechnung
Vertrieb, Marketing
Logistik
Analyse anonymiserter/ pseudonymisierter Datenbestände
Auch können alle ausgehenden geschäftlichen Briefe uneingeschränkt
überprüft werden.
29© Uwe Dieckmann 16., 17., 18. Juni 2010
Lösungsansätze für personenbezogene Datenanalysen
Zulässige Prüfungsvorgehensweisen (3)
Die Prüfung von Geschäftsvorfällen ist grundsätzlich
datenschutzrechtlich nicht zu beanstanden, wenn Prüfungsziel die
Richtigkeit von Buchungen und /oder Zahlungen ist. Zahlungsströme
haben regelmäßig eine Vertragsgrundlage mit den betroffenen
Beschäftigten, Lieferanten oder Kunden, die die Voraussetzungen an
die Zulässigkeit der Prüfung gemäß § 32 Abs. 1 Nr. 1 oder § 28 Abs.
1 Satz 1 BDSG erfüllt.
Im Rahmen der vertraglichen Grundlage über die Höhe von
Zahlungen ist auch die Überprüfung, ob an eine Person zu viel oder
zu wenig gezahlt wurde, zulässig. Denkbar sind programmierte
Abfragen über sämtliche Haupt- und Nebenbuchhaltungssysteme mit
dem Ziel, die tatsächliche Höhe der Zahlungen an einen Betroffenen
mit dem Soll zu vergleichen.
Prüfung des Zahlungsverkehrs
30© Uwe Dieckmann 16., 17., 18. Juni 2010
Lösungsansätze für personenbezogene Datenanalysen
Problematische oder gar unzulässige Vorgehensweisen
Beispiele für die eingeschränkte Zulässigkeit von Prüfungen
sind solche, in denen vom Prüfungsansatz her direkt oder
indirekt Ergebnisse erwartet werden in Bezug auf Personen und
die (Nicht)-Ordnungsmäßigkeit ihres Verhaltens. Hier müssen
die datenschutzrechtlichen Regelungen beachtet werden.
Beispiele für kritische Prüfungen sind solche, die entweder im
Vergleich zum Prüfungsziel unverhältnismäßig oder formal
unzulässig sind, weil z. B. eine Vorabkontrolle durch den DSB
nicht stattfand, ein Auftragnehmer nicht schriftlich nach § 11
BDSG in die Pflicht genommen wurde oder man den Betriebsrat
nicht beteiligt hat.
31© Uwe Dieckmann 16., 17., 18. Juni 2010
Ende der Präsentation
Diskussion
Noch Fragen offen zur datenschutzrechtlichen Beurteilung von
Analysen oder Prüfungsobjekten?
Geschäftliche Briefe und E-Mails ?
Private Briefe und E-Mails ?
Telefonverkehrsdaten ?
Daten-Screening aller Mitarbeiter ?
Datenabgleiche von Mitarbeitern aus sensiblen Bereichen ?
Auswertung von Gruppen-Laufwerken, Dateien etc. ?
Überprüfung von Mitarbeiter PCs ?
Bildaufnahmen, Videoüberwachung ?
Physische Überwachung (Detekteien) ?