Mitarbeiterdatenschutz bei Sonderprüfungen – Teil 4: DS-GVO bei Fraud-Detection

Profilbild von Béla Maaß Béla Maaß

Ob regelmäßige Reports im eigenen CRM-System oder komplexe Revisionsanalysetools – beim Einsatz derartiger Werkzeuge oder Systeme müssen datenschutzrechtliche Besonderheiten beachtet werden. Welche dies sind, umriss mein letzter Beitrag dieser Reihe.

In jedem Unternehmen sollte Fraud möglichst früh begegnet und verdächtige Vorkommnisse in Echtzeit erfasst werden. Die meisten gängigen Revisionswerkzeuge lassen dies mittels einfacher Boardmittel bereits heute ohne zusätzlichen Aufwand zu. Jedoch darf man einen zentralen Punkt, der durch die DS-GVO gefordert wird, nicht vernachlässigen: Datenminimierung.

Wenn automatisierte Reports regelmäßig laufen (unabhängig ob zur Aufdeckung von Mitarbeiter-, Lieferanten- oder Kunden-Fraud), sollten diese ausschließlich nur personenbezogene Daten verarbeiten, die auch tatsächlich benötigt werden. Generell sollte versucht werden, Reports so zu gestalten, dass ein Personenbezug im Nachhinein bei Auffälligkeiten zwar realisierbar, aber eine stetige Kontrolle von Mitarbeitern/Lieferanten/Kunden (Herr Müller hat im Monat X den Betrag Y an Frau Schmidt überwiesen) nicht möglich ist. Denkbar wären z.B. Auswertungen von pseudonymisierten Daten, wie Lieferantennummern, Kundenkennungen oder Mitarbeiter-IDs.

Datenschutz – ein Hindernis bei Ermittlungen?

Vor Implementierung von Monitorsystemen sollte zudem eine Risikobewertung für den betroffenen Personenkreis getroffen werden. Dabei berücksichtigt werden sollten Datenarten, Verarbeitungszweck und potentieller Schaden für die Betroffenen bei Verlust. Sollte das Verfahren risikobehaftet sein, ist ggf. eine Datenschutz-Folgenabschätzung durchzuführen. Das Ergebnis der Risikoeinschätzung ist in jedem Fall zu dokumentieren. Falls eine Datenschutz-Folgenabschätzung notwendig sein sollte, finden Sie im Kurzpapier Nr. 5 der Datenschutzkonferenz eine sehr gute Orientierung zur Durchführung einer selbigen. Zuletzt muss beachtet werden, dass neue Verfahren ggf. in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden müssen.

Abschließend kann man festhalten, dass der Datenschutz kein Hindernis für interne Ermittlungen darstellt. Er bildet einen Hygienefaktor, der bei Einhaltung auf dem ersten Blick keinen Mehrwert schafft, bei Nichteinhaltung die Ermittlungsarbeit allerdings gefährden kann.

Sie haben immer noch nicht genug
von Datenschutz?

Mit unserem Newsletter erhalten Sie alle zwei Wochen

  • aktuelle Artikel und Whitepaper,
  • unsere Kategorien "schon gewusst?" und "was uns gerade inspiriert"
  • und die aktuellen Termine unserer Audinare.

Was erhalten wir dafür?

  • Die Chance Sie von uns und unserem Know-how zu überzeugen.