Mitarbeiterdatenschutz bei Sonderprüfungen – Teil 3: Datenschutzkonform prüfen

Béla Maaß

Gibt es überhaupt konkrete Schritte, bei deren Einhaltung interne Ermittlungen datenschutzkonform sind? Tatsächlich können Revisoren und Fraud-Manager mehr tun, als bloß den Datenschutz­beauftragten einzuschalten.

Jemand hält einen Kugelschreiber in der Hand und schreibt in ein aufgeschlagenes Notizbuch

Der Paragraph 26 des Bundesdatenschutzgesetz(-neu) nennt im ersten Absatz die Voraussetzungen, die eingehalten werden müssen, um personenbezogene Daten von Beschäftigten zur Aufdeckung von Straftaten verarbeiten zu dürfen. Allerdings müssen diese abstrakten Voraussetzungen auf die Praxis übersetzt werden – eine Herausforderung auf die ich in unseren Projekten regelmäßig stoße. Doch um die im vorigen Teil bereits beschriebenen Datenschutzverstöße zu vermeiden, lohnt sich der Mehraufwand.

Im Allgemeinen sind es folgende Empfehlungen, die man aus dem Gesetz ableiten kann:

  • Es muss tatsächliche Anhaltspunkte geben, die den Verdacht begründen. Dokumentieren Sie diese!
  • Die Verarbeitung (Sichtung von Unterlagen, Öffnen des Mitarbeiterspinds etc.) muss tatsächlich zur Aufdeckung erforderlich sein. Dokumentieren Sie dies!
  • Wählen Sie den mildesten möglichen Eingriff. Wägen Sie vorher gründlich ab, ob die Maßnahme nicht abgemildert werden kann und ob die Maßnahme nicht unverhältnismäßig erscheint. Kann der Mitarbeiter vorab informiert werden? Dokumentieren Sie das Ergebnis!

Dokumentation ist wichtig

Wie Sie sicher gemerkt haben: die Dokumentation ist ein elementarer Bestandteil, der nicht vernachlässigt werden sollte. Ursächlich hierfür ist Artikel 5 Absatz 2 der DS-GVO. Tun Sie dies am besten in Zusammenarbeit mit Ihrem Datenschutzbeauftragten. Wenn der Mitarbeiter nicht bereits während der internen Ermittlung informiert werden kann, da Verschleierungsgefahr o.ä. besteht, ist dies spätestens nach Abschluss der internen Ermittlung nachzuholen. Die konkreten Rechtsgrundlagen hierfür ergeben sich aus den Artikeln 13 und 14 DS-GVO.

In vielen Fällen ist dem Unternehmen bereits ein immenser Schaden entstanden, wenn die Notwendigkeit von internen Ermittlungen besteht. Besser ist es, das Entstehen von Fraud bereits in einer möglichst frühen Phase zu erkennen. Wie sogenannte Fraud-Detection-Systeme datenschutzkonform eingesetzt werden können, erfahren Sie im nächsten Beitrag meiner Reihe.

Newsletter mit interessanten Beiträgen

Was gibt es Neues? Profitieren Sie von aktuellen und kostenfreien Arbeitsvorlagen, Buchartikeln, Seminarempfehlungen, Best-Practice-Ansätzen uvm. – so können Sie Ihre Arbeitsabläufe optimieren und neues Wissen in der Praxis einsetzen.

Hier geht es zur Anmeldung.

Zur Übersicht