of 31 /31
1 © Uwe Dieckmann 16., 17., 18. Juni 2010 Datenschutz und personenbezogene Datenanalysen Dipl. Kfm. Uwe Dieckmann Vorstandsmitglied der Gesellschaft für Datenschutz und Datensicherheit e. V., Bonn DIIR-Akademie Seminar Frankfurt 2010023 Hamburg 2010040 München 2010020

Datenschutz und personenbezogene Datenanalysen

  • Upload
    others

  • View
    1

  • Download
    0

Embed Size (px)

Citation preview

1© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenschutz und personenbezogene

Datenanalysen

Dipl. Kfm. Uwe Dieckmann

Vorstandsmitglied der Gesellschaft für

Datenschutz und Datensicherheit e. V., Bonn

DIIR-Akademie Seminar Frankfurt 2010023 Hamburg 2010040 München 2010020

2© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenschutzanforderungen

Grundrechte und Prinzipien

Grundsätzliche Gebote

Geheimhaltung

Datenschutzrechtliche Risiken

Personenbezogenes

Schutz der Mitarbeiterdaten

Betriebsverfassungsrechtliche Vorschriften zum

Arbeitnehmerdatenschutz

§ 32 BDSG

3© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenschutzanforderungen

Grundrechte und Prinzipien

Informationelles Selbstbestimmungsrecht

Volkszählungsurteil BVerfG 15. Dezember 1983

Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität

informationstechnischer Systeme

BVerfG 27. Februar 2008

Verbotsprinzip des BDSG

Der Umgang mit personenbezogenen Daten ist nur zulässig, soweit das

BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder

der Betroffene eingewilligt hat (§ 4 Abs. 1 BDSG).

Subsidiaritätsprinzip des BDSG

Soweit andere Rechtsvorschriften des Bundes auf personenbezogene

Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie

den Vorschriften dieses Gesetzes vor (§1 Abs. 3 S. 1 BDSG).

4© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenschutzanforderungen

Grundsätzliches Gebote

Grundsatz der Zweckbindung erhobener Daten

Hinweispflicht auf den Zweck (§ 4 Abs. 3 S. 1 Nr. 2 BDSG)

Grundsatz der Datenvermeidung und Datensparsamkeit

Datenumgang, Gestaltung und Auswahl von Datenverarbeitungs-

systemen haben sich an dem Ziel auszurichten, keine oder so wenig

personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder

zu nutzen (§ 3a Satz 1 BDSG).

Grundsatz der Erforderlichkeit

Die Art des Datenumgangs muss zum Erreichen des Zwecks

erforderlich sein (vgl. § 28 Abs. 1 S. 1 Nr. 1 und 2 BDSG)

Grundsatz der Anonymisierung oder Pseudonymisierung

„soweit dies nach dem Verwendungszweck möglich ist und keinen im

Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen

Aufwand erfordert“ (§ 3a Satz 1 BDSG).

5© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenschutzanforderungen

GeheimhaltungAllgemein

Den bei der Datenverarbeitung beschäftigten Personen ist untersagt,

personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu

nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-

öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit

auf das Datengeheimnis zu verpflichten (§ 5 BDSG).

Wirtschaftsprüfer

Der Wirtschaftsprüfer hat seinen Beruf unabhängig, gewissenhaft,

verschwiegen und eigenverantwortlich auszuüben (§ 43 Abs. 1 S. 1

WPO). Der Wirtschaftsprüfer hat seine Gehilfen und Mitarbeiter, soweit

sie nicht bereits durch Gesetz zur Verschwiegenheit verpflichtet sind, zur

Verschwiegenheit zu verpflichten (§ 50 WPO).

DIIR Standards

z. B. QA Leitfaden: Geheimhaltungsverpflichtung mit Bezug auf das

Datengeheimnis nach § 5 BDSG

6© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenschutzanforderungen

Datenschutzrechtliche Risiken

Verletzung des Datengeheimnisses und unrechtmäßige Kenntniserlangung

Nichteinhaltung der Zweckbindung

Überschreitung des Erforderlichkeitsgrundsatzes

Nichtbeachtung des Grundsatzes der Datenvermeidung / Datensparsamkeit

Gefährdung vorgegebener Kontrollziele und unzureichende Kontrollen

Fehlende Transparenz für Betroffene und Datenschutz-Kontrollinstanzen

Datenverarbeitung im Ausland mit niedrigem Datenschutzniveau

Nicht ausreichende Rechtsgrundlage

7© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenschutzanforderungen

Personenbezogenes

Personenbezogene Daten (§ 3 Abs. 1 BDSG)

Einzelangaben über persönliche oder sachliche Verhältnisse einer

bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Personenbeziehbarkeit

Auch Datensätze, die weder aus Namen noch aus Anschrift bestehen,

können aufgrund der Inhalte der verbliebenen Datenfelder häufig einer

Person zugeordnet werden (z.B. aus Alter, Position, Abteilung,

Betriebszugehörigkeitsdauer)

Auch IP-Adressen gelten als personenbezogenes Datum

Gebuchte Geschäftsvorfälle haben zumeist einen mehrfachen

Personenbezug (z. B. Debitor und der Veranlasser der Buchung)

Auch bei nicht-natürlichen Personen (z. B. Kapitalgesellschaften) sind i. d.

R. die Ansprechpartner gespeichert.

8© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenschutzanforderungen

Schutz der Mitarbeiterdaten (1)

Leistungs- und Verhaltenskontrolle:

Mitbestimmung des BR entsprechend § 87 Abs. 1 Nr. 6 BetrVG bei

der Einführung und Anwendung von technischen Einrichtungen, die

dazu bestimmt sind, das Verhalten oder die Leistung der

Arbeitnehmer zu überwachen

Bei Betriebsvereinbarungen zur Leistungs- und Verhaltenskontrolle

beachten: Ist die Arbeit der Revision berücksichtigt worden?

Freie Entfaltung des Persönlichkeitsrechts

Nach § 75 Abs. 2 BetrVG haben Arbeitgeber und Betriebsrat die

freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten

Arbeitnehmer zu schützen und zu fördern. Sie haben die

Selbständigkeit und Eigeninitiative der Arbeitnehmer und

Arbeitsgruppen zu fördern.

Betriebsverfassungsrecht

9© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenschutzanforderungen

Schutz der Mitarbeiterdaten (2)

§ 32 Abs. 1 Satz 1 BDSG erlaubt wie bisher § 28 Abs. 1 Satz 1

Nr. 1 BDSG den Umgang mit personenbezogenen Daten eines

Beschäftigten, wenn dies für Zwecke des Beschäftigungs-

verhältnisses erforderlich ist oder nach Satz 2 zum Zweck der

Aufdeckung von Straftaten, wenn

zu dokumentierende tatsächliche Anhaltspunkte den

Verdacht begründen, dass der Betroffene im

Beschäftigungsverhältnis eine Straftat begangen hat,

dies zur Aufdeckung erforderlich ist und

das schutzwürdige Interesse des Beschäftigten nicht

überwiegt, insbesondere Art und Ausmaß im Hinblick auf

den Anlass nicht unverhältnismäßig sind.

Datenschutzrecht

10© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenschutzanforderungen

Schutz der Mitarbeiterdaten (3)

Versand von arbeitsplatzbezogener Werbung (Abs. 1 Satz 1

Nr.2) oder einer Arbeitgeberzeitschrift

Veröffentlichung von Jubiläen, Verbesserungsvorschlägen u.ä.

(Abs. 1 Satz 1 Nr. 2)

Auskunft des Arbeitgebers an Gläubiger oder Inkassofirma bei

Forderungstitel (Abs. 2 Nr. 2 a))

Due-Dilligence Prüfung (Abs.1 Satz 1 Nr.2 + Abs.2 Nr.1)

Mitteilung an Strafverfolgungsbehörden ohne gesetzliche

Verpflichtung (Abs. 2 Nr.2)

§ 32 Abs. 1 Satz 1 BDSG regelt den Umgang mit Daten der

Beschäftigten nicht abschließend. So kommen auch weiterhin

Vorschriften des § 28 BDSG in Betracht.

11© Uwe Dieckmann 16., 17., 18. Juni 2010

Anforderungen an die Unternehmensleitung und Haftung

Gesetzliche Vorgaben

Sondervorschrift für Kreditinstitute § 25 c KWG

Anforderungen an die Datenschutzorganisation

Beachtung des § 11 BDSG bei Auftragsvergaben

12© Uwe Dieckmann 16., 17., 18. Juni 2010

Anforderungen an die Unternehmensleitung und Haftung

Gesetzliche Vorgaben

§ 91 AktG (2): Der Vorstand hat geeignete Maßnahmen zu treffen, insbes.

ein Überwachungssystem einzurichten, damit den Fortbestand der

Gesellschaft gefährdende Entwicklungen früh erkannt werden.

§ 93 AktG Schadensersatzzahlungen bei Pflichtverletzung

§ 43 GmbHG: Die Geschäftsführer haben in den Angelegenheiten der

Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.

Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der

Gesellschaft solidarisch für den entstandenen Schaden

§ 130 OWiG (1): Wer als Inhaber eines Betriebes oder Unternehmens

vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die

erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen

gegen Pflichten zu verhindern …, handelt ordnungswidrig, wenn eine solche

Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert

oder wesentlich erschwert worden wäre. ...

13© Uwe Dieckmann 16., 17., 18. Juni 2010

Anforderungen an die Unternehmensleitung und Haftung

Sondervorschrift für Kreditinstitute § 25c KWG

Kreditinstitute haben angemessene DV-Systeme zu betreiben und

zu aktualisieren, mittels derer sie in der Lage sind,

Geschäftsbeziehungen und einzelne Transaktionen im

Zahlungsverkehr zu erkennen, die … zum Nachteil von Instituten

als zweifelhaft oder ungewöhnlich anzusehen sind. Liegen solche

Sachverhalte vor, ist diesen vor dem Hintergrund der laufenden

Geschäftsbeziehung und einzelner Transaktionen nachzugehen,

um das Risiko der jeweiligen Geschäftsbeziehungen und

Transaktionen überwachen, einschätzen und gegebenenfalls das

Vorliegen eines Verdachtsfalls prüfen zu können.

Die Kreditinstitute dürfen personenbezogene Daten erheben,

verarbeiten und nutzen, soweit dies zur Erfüllung dieser Pflicht

erforderlich ist.

14© Uwe Dieckmann 16., 17., 18. Juni 2010

Anforderungen an die Unternehmensleitung und Haftung

Anforderungen an die Datenschutzorganisation

Die rechtzeitige schriftliche Bestellung eines Datenschutzbeauftragten

nach § 4 f BDSG ist die erste wichtige organisatorische Maßnahme, die

bei Unterlassen eine Ordnungswidrigkeit mit Bußgeldfolge darstellt.

Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag

personenbezogene Daten erheben, verarbeiten oder nutzen, haben die

technischen und organisatorischen Maßnahmen zu treffen, die

erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes,

insbesondere die in der Anlage zu diesem Gesetz genannten

Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur,

wenn ihr Aufwand in einem angemessenen Verhältnis zu dem

angestrebten Schutzzweck steht. (§ 9 BDSG)

Im Bereich der Zugangs-, Zugriffs- und Weitergabekontrolle wird in der

Anlage zum neuen BDSG auf die Verwendung von

Verschlüsselungsverfahren als geeignete Maßnahme hingewiesen.

15© Uwe Dieckmann 16., 17., 18. Juni 2010

Anforderungen an die Unternehmensleitung und Haftung

Beachtung des § 11 BDSG bei Auftragsvergaben

Besondere Anforderungen sind zu beachten, wenn die

Unternehmensleitung, Fachabteilungen oder Prozessverantwortliche sich

für eine (ggf. teilweise) Auslagerung entscheiden.

Dies gilt auch für den Fall, dass Datenanalysen oder entsprechend § 11

Abs. 5 BDSG Prüfungen durch externe Stellen durchgeführt werden.

Im Einzelnen wird gefordert die schriftliche Festlegung u. a. von Umfang,

Art, Zweck des Auftrags, Datenart, Kreis der Betroffenen, der nach § 9 zu

treffenden technischen und organisatorischen Maßnahmen (TOM) sowie

die Kontrollrechte des Auftraggebers und die Kontrollpflichten des

Auftragnehmers ggf. auch bei den Unterauftragsverhältnissen

Darüber hinaus hat sich der Auftraggeber vor Beginn der

Datenverarbeitung und sodann regelmäßig von der Einhaltung der TOM

zu überzeugen. Das Ergebnis ist zu dokumentieren.

Verstöße können ein Bußgeld zur Folge haben.

16© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenanalysen: Notwendigkeit, Probleme und Grenzen

Von der selektiven Datenanalyse zur Massendatenanalyse

Datenanalysen als Bestandteil von ex-post-Prüfungen

Der Erforderlichkeitsgrundsatz bei der Auswahl der Datenfelder

Die Zweckbindung erhobener und gespeicherter Daten

17© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenanalysen: Notwendigkeit, Probleme und Grenzen

Von der selektiven Datenanalyse zur Massendatenanalyse

Konventionelle Prüfvorgehensweise

Stichproben einer bestimmten Periode mittels unbewusster oder

bewusster Auswahl aus unbekannter Grundgesamtheit oder aus Teilen

davon

Datenbasis: Geschäftsvorfälle, Buchungen, Rechnungen, Verträge,

Belege

Ggf. statistische Hochrechnung der Stichprobenergebnisse auf die

Grundgesamtheit

Massendatenunterstützte Prüfvorgehensweise

Abfragen über Vorgänge, die unplausibel sind oder auf Regelverstöße

hindeuten, über den gesamten Datenbestand des zu überprüfenden

Bereichs

Auch regelkonforme Einzelvorgänge können im Kontext mit anderen

Einzelvorgängen unerwünscht sein (z. B. Betragsstückelungen).

18© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenanalysen: Notwendigkeit, Probleme und Grenzen

Datenanalysen als Bestandteil von ex-post-Prüfungen

IT-gestützte Datenanalysen steigern die Wirksamkeit und Effizienz und

sind Standard. Im Bereich der Finanzverwaltung sind IT-gestützte

Prüfungen von Unternehmen in § 147 (6) AO und den Grundsätzen zum

Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) festgelegt.

Für Abschlussprüfer und Revisionen gibt es keine analoge gesetzliche

Vorschrift, jedoch gibt es für Wirtschaftsprüfer entsprechende

Prüfungsstandards

Auszug aus ISA 240:

IT-gestützter Abgleich der Liste der Verkäufer mit einer Liste der

Mitarbeiter zur Identifikation von Übereinstimmungen von Adressen

und Telefonnummern

IT-gestützte Durchsuchungen der Aufzeichnungen für die

Lohnbuchhaltung zur Identifikation doppelter Adressen, Personal-

oder Steuernummern sowie Bankkonten

19© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenanalysen: Notwendigkeit, Probleme und Grenzen

Notwendigkeit von revisorischen Datenanalysen

Eine Revision muss in Erfüllung der Sorgfaltspflicht der

Geschäftsleitung alle im Unternehmen vorhandenen Daten sehen und

prüfen dürfen.

Die Revision darf alle Prüfungen durchführen und Prüfungsmethoden

anwenden, die staatlichen oder gesetzlichen Prüfern z. B.

Finanzverwaltung oder Abschlussprüfer zugestanden werden.

Begründung:

Aufgrund des mehrjährigen Prüfungsturnus der Betriebsprüfer und

des einjährigen Prüfungsturnus der Abschlussprüfer werden

Verstöße z. B. gegen Steuergesetze oder strafrechtliche

Vorschriften u. U. zu spät entdeckt.

Die Notwendigkeit von revisorischen Datenanalysen mit den gleichen

Methoden externer Prüfer dürfte außer Zweifel stehen.

20© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenanalysen: Notwendigkeit, Probleme und Grenzen

Problem der möglichen Leistungs- oder Verhaltenskontrolle

„Die Revision ist die vom Vorstand aufgrund § 91 Abs. 2 AktG eingesetzte

unabhängige Instanz zur Überwachung.

Sie hat unter den Aspekten Wirtschaftlichkeit, Zweckmäßigkeit, Sicherheit

und Ordnungsmäßigkeit die Aufbau- und Ablauforganisation und

sämtliche Geschäftsvorfälle turnusmäßig zu überprüfen.

Die direkte Leistungs- und Verhaltenskontrolle von Mitarbeitern ist nicht

Aufgabe der Revision.

Soweit die Revision Programme einsetzt, welche die Geschäftsvorfälle

auf ihre Ordnungsmäßigkeit untersuchen und dabei auch die dafür

verantwortlichen Mitarbeiter erfassen, fällt die Konstellation nicht unter

diese Vereinbarung. Ebenfalls nicht hierunter fallen Auswertungen, in der

Mitarbeiter zu Gruppen zusammengefasst und nur über die Ergebnisse

der Gruppe berichtet wird (...)“

Beispiel für eine Regelung in einer Betriebsvereinbarung

21© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenanalysen: Notwendigkeit, Probleme und Grenzen

Beispiel für eine Geschäftsanweisung „Datenanalysen“

Die verwendeten Prüfungsinstrumentarien sind fortlaufend anzupassen

und zeitgemäß durch computergestützte Prüfungsverfahren zu verstärken.

Ziel der Revisionsarbeit ist nicht die Leistungs- oder Verhaltenskontrolle

Die Revision prüft insbesondere unter dem Gesichtspunkt der

Ordnungsmäßigkeit die Geschäftsvorfälle des Unternehmens.

Prüfungstätigkeiten der Revision erfordern grundsätzlich nicht die

Abstimmung mit Betriebsrat und Datenschutzbeauftragtem – es sei denn,

es handelt sich um schutzwürdige sensible Daten der Mitarbeiter.

Auch bei sensitiven Kundendaten/Lieferantendaten sind die Vorschriften

des BDSG einzuhalten.

Weiterführende personenbezogene Analysen, die auf Basis eines

begründeten, dokumentierten Verdachts hinsichtlich eines Regelverstoßes

von der Revision durchgeführt werden, erfordern die Einbindung des

Betriebsrats und Datenschutzbeauftragten.

22© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenanalysen: Notwendigkeit, Probleme und Grenzen

Dokumentation des Analyseverfahrens analog § 4 e BDSG

Dokumentation

(ggf. im Prüfungsauftrag) vor Beginn der Datenanalyse über

Zielsetzung der Datenanalyse

Art und Ausmaß des vermuteten Risikos, gegen das die Analyse

eingesetzt werden soll

Datenschutzrechtliche Zulässigkeit des Prüfungsauftrags an sich

§ 4 e BDSG

verlangt Angaben zu Verfahren, u. a. über den Zweck, betroffene

Personengruppen, Datenkategorien, Datenherkunft, Empfänger,

Löschungsfristen, Datensicherheit

Dem Datenschutzbeauftragten sind die Verfahren nachzuweisen.

23© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenanalysen: Notwendigkeit, Probleme und Grenzen

Erforderlichkeitsgrundsatz und Auswahl der Daten

Fragen der Erforderlichkeit

Einzubeziehende Datenfelder

Sind Datenfelder, die eine Identifizierung von Personen

ermöglichen, nach dem Prüfungsziel überhaupt erforderlich?

Einzubeziehende Datensätze

Müssen alle Datensätze der zu untersuchenden

Datengesamtheit untersucht werden oder können Datensätze,

die bestimmte Personen betreffen, herausgefiltert werden?

Anonymisierung oder Pseudonymisierung notwendig?

Aus welchem Grund?

Wer nimmt diese vor?

24© Uwe Dieckmann 16., 17., 18. Juni 2010

Datenanalysen: Notwendigkeit, Probleme und Grenzen

Die Zweckbindung erhobener und gespeicherter Daten

Fragen der Zweckbindung

Sind die heranzuziehenden Datenfelder betroffener

Personen zu einem Zweck erhoben und gespeichert, der mit

dem Prüfungsziel vereinbar ist ?

Beispiele:

Religionszugehörigkeit ist nur für den Zweck der

Kirchensteuerabführung erhoben und gespeichert

Namen / Anschrift zu benachrichtigender Ehepartner oder

anderer Personen sind nur für den Notfall erhoben

Bankverbindung eines Mitarbeiters nur für Zweck der

Gehaltszahlung erhoben und gespeichert

25© Uwe Dieckmann 16., 17., 18. Juni 2010

Lösungsansätze für personenbezogene Datenanalysen

Abstimmung mit anderen Abteilungen und Instanzen

Zulässige Prüfungsvorgehensweisen

Problematische oder gar unzulässige Vorgehensweisen

26© Uwe Dieckmann 16., 17., 18. Juni 2010

Lösungsansätze für personenbezogene Datenanalysen

Abstimmung mit anderen Abteilungen und Instanzen

Datenschutzbeauftragte: Nach § 4 g BDSG wirkt er auf die Einhaltung

des BDSG und anderer Vorschriften über den Datenschutz hin. Dabei

überwacht er die ordnungsgemäße Anwendung personenbezogener

Datenverarbeitungsprogramme und macht die Beschäftigten mit den

jeweiligen besonderen Erfordernissen des Datenschutzes vertraut.

Compliance Officer: Schafft organisatorische Voraussetzungen zur

Beachtung und Einhaltung der im Unternehmen geltenden Normen.

Häufig auch von der Rechtsabteilung wahrgenommen.

Besonderer Hinweis: BGH-Urteil vom 17.07.2009 (Az 5 StR 394/08):

Aufgabengebiet sei die Verhinderung von Rechtsverstößen!

Betriebsrat: Hat die Aufgabe, das Persönlichkeitsrecht der Mitarbeiter zu

schützen insbesondere auch im Falle von Leistungs- und

Verhaltenskontrollen. Hier gibt es Überschneidungen zu den Aufgaben

des DSB und u. U. Berührungspunkte mit der internen Revision.

27© Uwe Dieckmann 16., 17., 18. Juni 2010

Lösungsansätze für personenbezogene Datenanalysen

Zulässige Prüfungsvorgehensweisen (1)

Die maschinelle Einstellung der Kundendaten in einen Suchlauf, aus

dem sie (mangels Treffer) anonym und spurenlos wieder ausscheiden,

ist kein Eingriff in das informationelle Selbstbestimmungsrecht .

Keine Rasterfahndung, da kein Abgleich zwischen den Datenbeständen

verschiedener Speicherstellen stattfand

Es wurde stattdessen gezielt nach Personen gesucht, die eine genau

bezeichnete mit hinreichender Wahrscheinlichkeit strafbare Handlung

vorgenommen haben.

Die Datenerhebung war auf den Zweck der Tataufklärung begrenzt.

Denn betroffen wurden dadurch regelmäßig nur Personen, die durch ihr

Verhalten den hinreichenden Verdacht einer Straftat begründet hatten.

BVG 17.2.09: Datenabgleich bei Kreditkartenunternehmen

28© Uwe Dieckmann 16., 17., 18. Juni 2010

Lösungsansätze für personenbezogene Datenanalysen

Zulässige Prüfungsvorgehensweisen (2)

Beispiele für die uneingeschränkte Zulässigkeit von Prüfungen sind alle

Prüfungen von Geschäftsvorfällen in den Bereichen

Einkauf von Waren- und Dienstleistungen,

Lagerhaltung,

Zahlungsverkehr

Kreditoren- und Debitorenbuchhaltung,

Lohn- und Gehaltsabrechnung,

Reisekostenabrechnung

Vertrieb, Marketing

Logistik

Analyse anonymiserter/ pseudonymisierter Datenbestände

Auch können alle ausgehenden geschäftlichen Briefe uneingeschränkt

überprüft werden.

29© Uwe Dieckmann 16., 17., 18. Juni 2010

Lösungsansätze für personenbezogene Datenanalysen

Zulässige Prüfungsvorgehensweisen (3)

Die Prüfung von Geschäftsvorfällen ist grundsätzlich

datenschutzrechtlich nicht zu beanstanden, wenn Prüfungsziel die

Richtigkeit von Buchungen und /oder Zahlungen ist. Zahlungsströme

haben regelmäßig eine Vertragsgrundlage mit den betroffenen

Beschäftigten, Lieferanten oder Kunden, die die Voraussetzungen an

die Zulässigkeit der Prüfung gemäß § 32 Abs. 1 Nr. 1 oder § 28 Abs.

1 Satz 1 BDSG erfüllt.

Im Rahmen der vertraglichen Grundlage über die Höhe von

Zahlungen ist auch die Überprüfung, ob an eine Person zu viel oder

zu wenig gezahlt wurde, zulässig. Denkbar sind programmierte

Abfragen über sämtliche Haupt- und Nebenbuchhaltungssysteme mit

dem Ziel, die tatsächliche Höhe der Zahlungen an einen Betroffenen

mit dem Soll zu vergleichen.

Prüfung des Zahlungsverkehrs

30© Uwe Dieckmann 16., 17., 18. Juni 2010

Lösungsansätze für personenbezogene Datenanalysen

Problematische oder gar unzulässige Vorgehensweisen

Beispiele für die eingeschränkte Zulässigkeit von Prüfungen

sind solche, in denen vom Prüfungsansatz her direkt oder

indirekt Ergebnisse erwartet werden in Bezug auf Personen und

die (Nicht)-Ordnungsmäßigkeit ihres Verhaltens. Hier müssen

die datenschutzrechtlichen Regelungen beachtet werden.

Beispiele für kritische Prüfungen sind solche, die entweder im

Vergleich zum Prüfungsziel unverhältnismäßig oder formal

unzulässig sind, weil z. B. eine Vorabkontrolle durch den DSB

nicht stattfand, ein Auftragnehmer nicht schriftlich nach § 11

BDSG in die Pflicht genommen wurde oder man den Betriebsrat

nicht beteiligt hat.

31© Uwe Dieckmann 16., 17., 18. Juni 2010

Ende der Präsentation

Diskussion

Noch Fragen offen zur datenschutzrechtlichen Beurteilung von

Analysen oder Prüfungsobjekten?

Geschäftliche Briefe und E-Mails ?

Private Briefe und E-Mails ?

Telefonverkehrsdaten ?

Daten-Screening aller Mitarbeiter ?

Datenabgleiche von Mitarbeitern aus sensiblen Bereichen ?

Auswertung von Gruppen-Laufwerken, Dateien etc. ?

Überprüfung von Mitarbeiter PCs ?

Bildaufnahmen, Videoüberwachung ?

Physische Überwachung (Detekteien) ?