Mitarbeiterdatenschutz bei Sonderprüfungen – Teil 3: Datenschutzkonform prüfen

Profilbild von Béla Maaß Béla Maaß

Gibt es überhaupt konkrete Schritte, bei deren Einhaltung interne Ermittlungen datenschutzkonform sind? Tatsächlich können Revisoren und Fraud-Manager mehr tun, als bloß den Datenschutz­beauftragten einzuschalten.

Der Paragraph 26 des Bundesdatenschutzgesetz(-neu) nennt im ersten Absatz die Voraussetzungen, die eingehalten werden müssen, um personenbezogene Daten von Beschäftigten zur Aufdeckung von Straftaten verarbeiten zu dürfen. Allerdings müssen diese abstrakten Voraussetzungen auf die Praxis übersetzt werden – eine Herausforderung auf die ich in unseren Projekten regelmäßig stoße. Doch um die im vorigen Teil bereits beschriebenen Datenschutzverstöße zu vermeiden, lohnt sich der Mehraufwand.

Im Allgemeinen sind es folgende Empfehlungen, die man aus dem Gesetz ableiten kann:

  • Es muss tatsächliche Anhaltspunkte geben, die den Verdacht begründen. Dokumentieren Sie diese!
  • Die Verarbeitung (Sichtung von Unterlagen, Öffnen des Mitarbeiterspinds etc.) muss tatsächlich zur Aufdeckung erforderlich sein. Dokumentieren Sie dies!
  • Wählen Sie den mildesten möglichen Eingriff. Wägen Sie vorher gründlich ab, ob die Maßnahme nicht abgemildert werden kann und ob die Maßnahme nicht unverhältnismäßig erscheint. Kann der Mitarbeiter vorab informiert werden? Dokumentieren Sie das Ergebnis!

Dokumentation ist wichtig

Wie Sie sicher gemerkt haben: die Dokumentation ist ein elementarer Bestandteil, der nicht vernachlässigt werden sollte. Ursächlich hierfür ist Artikel 5 Absatz 2 der DS-GVO. Tun Sie dies am besten in Zusammenarbeit mit Ihrem Datenschutzbeauftragten. Wenn der Mitarbeiter nicht bereits während der internen Ermittlung informiert werden kann, da Verschleierungsgefahr o.ä. besteht, ist dies spätestens nach Abschluss der internen Ermittlung nachzuholen. Die konkreten Rechtsgrundlagen hierfür ergeben sich aus den Artikeln 13 und 14 DS-GVO.

In vielen Fällen ist dem Unternehmen bereits ein immenser Schaden entstanden, wenn die Notwendigkeit von internen Ermittlungen besteht. Besser ist es, das Entstehen von Fraud bereits in einer möglichst frühen Phase zu erkennen. Wie sogenannte Fraud-Detection-Systeme datenschutzkonform eingesetzt werden können, erfahren Sie im nächsten Beitrag meiner Reihe.

Sie haben immer noch nicht genug
von Datenschutz?

Mit unserem Newsletter erhalten Sie alle zwei Wochen

  • aktuelle Artikel und Whitepaper,
  • unsere Kategorien "schon gewusst?" und "was uns gerade inspiriert"
  • und die aktuellen Termine unserer Audinare.

Was erhalten wir dafür?

  • Die Chance Sie von uns und unserem Know-how zu überzeugen.