Mitarbeiterdatenschutz bei Sonderprüfungen – Teil 4: DS-GVO bei Fraud-Detection

Béla Maaß

Ob regelmäßige Reports im eigenen CRM-System oder komplexe Revisionsanalysetools – beim Einsatz derartiger Werkzeuge oder Systeme müssen datenschutzrechtliche Besonderheiten beachtet werden. Welche dies sind, umriss mein letzter Beitrag dieser Reihe.

Nahaufnahme von der Struktur eines Eisgletschers.

In jedem Unternehmen sollte Fraud möglichst früh begegnet und verdächtige Vorkommnisse in Echtzeit erfasst werden. Die meisten gängigen Revisionswerkzeuge lassen dies mittels einfacher Boardmittel bereits heute ohne zusätzlichen Aufwand zu. Jedoch darf man einen zentralen Punkt, der durch die DS-GVO gefordert wird, nicht vernachlässigen: Datenminimierung.

Wenn automatisierte Reports regelmäßig laufen (unabhängig ob zur Aufdeckung von Mitarbeiter-, Lieferanten- oder Kunden-Fraud), sollten diese ausschließlich nur personenbezogene Daten verarbeiten, die auch tatsächlich benötigt werden. Generell sollte versucht werden, Reports so zu gestalten, dass ein Personenbezug im Nachhinein bei Auffälligkeiten zwar realisierbar, aber eine stetige Kontrolle von Mitarbeitern/Lieferanten/Kunden (Herr Müller hat im Monat X den Betrag Y an Frau Schmidt überwiesen) nicht möglich ist. Denkbar wären z.B. Auswertungen von pseudonymisierten Daten, wie Lieferantennummern, Kundenkennungen oder Mitarbeiter-IDs.

Datenschutz – ein Hindernis bei Ermittlungen?

Vor Implementierung von Monitorsystemen sollte zudem eine Risikobewertung für den betroffenen Personenkreis getroffen werden. Dabei berücksichtigt werden sollten Datenarten, Verarbeitungszweck und potentieller Schaden für die Betroffenen bei Verlust. Sollte das Verfahren risikobehaftet sein, ist ggf. eine Datenschutz-Folgenabschätzung durchzuführen. Das Ergebnis der Risikoeinschätzung ist in jedem Fall zu dokumentieren. Falls eine Datenschutz-Folgenabschätzung notwendig sein sollte, finden Sie im Kurzpapier Nr. 5 der Datenschutzkonferenz eine sehr gute Orientierung zur Durchführung einer selbigen. Zuletzt muss beachtet werden, dass neue Verfahren ggf. in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden müssen.

Abschließend kann man festhalten, dass der Datenschutz kein Hindernis für interne Ermittlungen darstellt. Er bildet einen Hygienefaktor, der bei Einhaltung auf dem ersten Blick keinen Mehrwert schafft, bei Nichteinhaltung die Ermittlungsarbeit allerdings gefährden kann.

Newsletter mit interessanten Beiträgen

Was gibt es Neues? Profitieren Sie von aktuellen und kostenfreien Arbeitsvorlagen, Buchartikeln, Seminarempfehlungen, Best-Practice-Ansätzen uvm. – so können Sie Ihre Arbeitsabläufe optimieren und neues Wissen in der Praxis einsetzen.

Hier geht es zur Anmeldung.

Zur Übersicht