Korruptionsbekämpfung und Datenschutz sind kein Gegensatz

Das Jahr 2009 brachte so viele Datenskandale wie nie. Der Gesetzgeber hat reagiert und im September 2009 das Bundesdatenschutzgesetz (BDSG) novelliert. In der Wirtschaft sorgt das für Sorge und Verunsicherung darüber, ob der verbesserte Datenschutz die Korruptionsbekämpfung einschränkt. Peter Kleinschmidt, Spezialist für Governance und Compliance im Bereich von Finanzdienstleistungen bei PwC, ist sich sicher: "Wirkungsvolle Korruptionsbekämpfung und verbesserter Datenschutz stehen im Einklang".

"Datenanalysen, die ausschließlich nicht personenbezogene Daten zum Gegenstand haben, sind selbstverständlich auch nach dem neuen Datenschutzrecht zulässig", erklärt PwC-Experte Kleinschmidt. "Solche technisch innovativen Untersuchungen sind zunächst abstrakt und können vielerlei Zielen dienen, unter anderem dem wirkungsvollen Erkennen von Wirtschaftskriminalität und Korruption."

Fast zwei Drittel aller deutschen Großunternehmen gaben bei einer PwC-Umfrage aus dem Sommer 2009 an, in den Jahren 2008 oder 2009 Opfer von Wirtschaftskriminalität geworden zu sein. Im Schnitt richteten die Dunkelmänner in jedem betroffenen Unternehmen einen Schaden von 5,57 Millionen Euro an. Am häufigsten sind dabei Vermögensdelikte wie Betrug und Unterschlagung.

Datenauswertungen sind zulässiger Bestandteil der Betrugsprävention

"Datenauswertungen", sagt Andreas Wermelt, bei PwC zuständig für Governance und Compliance in Industrieunternehmen, "sind nach wie vor wichtiger Bestandteil einer wirksamen Prävention gegen betrügerische Handlungen. Und die BDSG-Novelle ändert nichts an deren Zulässigkeit." Generell, erklärt Wermelt, beziehe sich die Novelle nur auf personenbezogene Daten, nicht personenbezogene Daten blieben davon unberührt. Und auch bei ersteren könnten und müssten im Bedarfsfall, so Wermelt, Datenauswertungen durchgeführt werden: "Dabei sind aber dann die Spielregeln des Datenschutzes zu beachten."

Die PwC-Experten sind sich einig, dass grundsätzlich Kontrollen in einer Geschäftsorganisation unabdingbar sind, zum Beispiel um sicherzustellen, dass Weisungen angemessen ausgeführt und Funktionstrennungen eingehalten werden. Zu Kontrollen - und damit auch zu präventiven Maßnahmen wie Datenauswertungen - ist die Geschäftsleitung sogar verpflichtet, um Schaden von ihrem Unternehmen abzuhalten.

Gesetzgeber wollte Sorgfaltspflicht der Geschäftsleiter nicht einschränken

Es ist vor allem Paragraf 32, den der Gesetzgeber im September 2009 neu in das Bundesdatenschutzgesetz aufgenommen hat, der Revisoren und Compliance-Beauftragte gegenwärtig vor Datenauswertungen zurückschrecken lässt. Dabei war es keineswegs die Intention des Gesetzgebers, durch den Paragrafen die Rechtspflichten der gesetzlichen Vertreter in Bezug auf die Sorgfaltspflichten eines ordentlichen und gewissenhaften Geschäftsleiters zu beschränken.

Sogar Peter Schaar, Bundesbeauftragter für Datenschutz und Informationsfreiheit, hält in einem Interview mit der Wirtschaftswoche Mustererkennungen mit anonymisierten Daten weiterhin für möglich. Und, so interpretiert Deutschlands oberster Datenschützer die neue Vorschrift, wenn sich bei solchen Auswertungen Anhaltspunkte für Rechtsverstöße fänden, sei auch die Herstellung eines Personenbezugs legitim und legal.

In der Begründung zu Paragraf 32 BDSG geht der Gesetzgeber selbst auch von der Zulässigkeit präventiver Maßnahmen zur Verhinderung betrügerischer Handlungen aus.

Das Bundesdatenschutzgesetz stellt je nach Art der Daten, die ausgewertet werden sollen, unterschiedlich hohe Anforderungen. Niedrig sind sie für Unternehmensdaten, die ausschließlich nicht personenbezogene Informationen enthalten, hoch für personenbezogene Daten, die - bei Vorliegen eines konkreten, begründeten Verdachts - zur Aufklärung von Straftaten ausgewertet werden sollen.

Jeder Datenauswertung sollte eine eingehende Analyse der damit verbundenen Risiken vorausgehen. PwC verfügt mit FRAUD-SCAN® über eine solche standardisierte Vorgehensmethode. Soweit die Analyse personenbezogener Daten notwendig erscheint, sollten diese lediglich anonymisiert ausgewertet werden. Bei konkreten Verdachtsfällen kann der Personenbezug im zweiten Schritt für die betreffenden Datensätze hergestellt werden.

Über die Zulässigkeit von Datenauswertungen sollte Einverständnis mit dem Datenschutzbeauftragten und gegebenenfalls mit der Rechtsabteilung hergestellt werden, auch Mitbestimmungsorgane sollten im Vorfeld von Datenauswertungen einbezogen werden.

Der gesamte Prozess der Abwägungen und Abstimmungen im Vorfeld der Datenauswertung, deren Durchführung, das Ergebnis sowie die Löschung der Daten im Anschluss an die Maßnahme müssen angemessen dokumentiert werden.