Titel in Arial (F) Größe 32Datenschutz und personenbezogene
DIIR-Akademie Seminar Frankfurt 2010023 Hamburg 2010040 München 2010020
2© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenschutzanforderungen
Datenschutzanforderungen
Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität
informationstechnischer Systeme
Der Umgang mit personenbezogenen Daten ist nur zulässig, soweit das
BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder
der Betroffene eingewilligt hat (§ 4 Abs. 1 BDSG).
Subsidiaritätsprinzip des BDSG
Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie
den Vorschriften dieses Gesetzes vor (§1 Abs. 3 S. 1 BDSG).
4© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenschutzanforderungen
Grundsatz der Zweckbindung erhobener Daten
Hinweispflicht auf den Zweck (§ 4 Abs. 3 S. 1 Nr. 2 BDSG)
Grundsatz der Datenvermeidung und Datensparsamkeit
Datenumgang, Gestaltung und Auswahl von Datenverarbeitungs-
systemen haben sich an dem Ziel auszurichten, keine oder so wenig
personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder
zu nutzen (§ 3a Satz 1 BDSG).
Grundsatz der Erforderlichkeit
Die Art des Datenumgangs muss zum Erreichen des Zwecks
erforderlich sein (vgl. § 28 Abs. 1 S. 1 Nr. 1 und 2 BDSG)
Grundsatz der Anonymisierung oder Pseudonymisierung
„soweit dies nach dem Verwendungszweck möglich ist und keinen im
Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen
Aufwand erfordert“ (§ 3a Satz 1 BDSG).
5© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenschutzanforderungen
personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu
nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-
öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit
auf das Datengeheimnis zu verpflichten (§ 5 BDSG).
Wirtschaftsprüfer
verschwiegen und eigenverantwortlich auszuüben (§ 43 Abs. 1 S. 1
WPO). Der Wirtschaftsprüfer hat seine Gehilfen und Mitarbeiter, soweit
sie nicht bereits durch Gesetz zur Verschwiegenheit verpflichtet sind, zur
Verschwiegenheit zu verpflichten (§ 50 WPO).
DIIR Standards
Datengeheimnis nach § 5 BDSG
Datenschutzanforderungen
Nichteinhaltung der Zweckbindung
Überschreitung des Erforderlichkeitsgrundsatzes
Nicht ausreichende Rechtsgrundlage
Datenschutzanforderungen
Personenbezogenes
Einzelangaben über persönliche oder sachliche Verhältnisse einer
bestimmten oder bestimmbaren natürlichen Person (Betroffener).
Personenbeziehbarkeit
Auch Datensätze, die weder aus Namen noch aus Anschrift bestehen,
können aufgrund der Inhalte der verbliebenen Datenfelder häufig einer
Person zugeordnet werden (z.B. aus Alter, Position, Abteilung,
Betriebszugehörigkeitsdauer)
Personenbezug (z. B. Debitor und der Veranlasser der Buchung)
Auch bei nicht-natürlichen Personen (z. B. Kapitalgesellschaften) sind i. d.
R. die Ansprechpartner gespeichert.
Datenschutzanforderungen
Leistungs- und Verhaltenskontrolle:
Mitbestimmung des BR entsprechend § 87 Abs. 1 Nr. 6 BetrVG bei
der Einführung und Anwendung von technischen Einrichtungen, die
dazu bestimmt sind, das Verhalten oder die Leistung der
Arbeitnehmer zu überwachen
beachten: Ist die Arbeit der Revision berücksichtigt worden?
Freie Entfaltung des Persönlichkeitsrechts
Nach § 75 Abs. 2 BetrVG haben Arbeitgeber und Betriebsrat die
freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten
Arbeitnehmer zu schützen und zu fördern. Sie haben die
Selbständigkeit und Eigeninitiative der Arbeitnehmer und
Arbeitsgruppen zu fördern.
Datenschutzanforderungen
Schutz der Mitarbeiterdaten (2)
§ 32 Abs. 1 Satz 1 BDSG erlaubt wie bisher § 28 Abs. 1 Satz 1
Nr. 1 BDSG den Umgang mit personenbezogenen Daten eines
Beschäftigten, wenn dies für Zwecke des Beschäftigungs-
verhältnisses erforderlich ist oder nach Satz 2 zum Zweck der
Aufdeckung von Straftaten, wenn
Verdacht begründen, dass der Betroffene im
Beschäftigungsverhältnis eine Straftat begangen hat,
dies zur Aufdeckung erforderlich ist und
das schutzwürdige Interesse des Beschäftigten nicht
überwiegt, insbesondere Art und Ausmaß im Hinblick auf
den Anlass nicht unverhältnismäßig sind.
Datenschutzrecht
Datenschutzanforderungen
Nr.2) oder einer Arbeitgeberzeitschrift
(Abs. 1 Satz 1 Nr. 2)
Auskunft des Arbeitgebers an Gläubiger oder Inkassofirma bei
Forderungstitel (Abs. 2 Nr. 2 a))
Due-Dilligence Prüfung (Abs.1 Satz 1 Nr.2 + Abs.2 Nr.1)
Mitteilung an Strafverfolgungsbehörden ohne gesetzliche
Verpflichtung (Abs. 2 Nr.2)
§ 32 Abs. 1 Satz 1 BDSG regelt den Umgang mit Daten der
Beschäftigten nicht abschließend. So kommen auch weiterhin
Vorschriften des § 28 BDSG in Betracht.
11© Uwe Dieckmann 16., 17., 18. Juni 2010
Anforderungen an die Unternehmensleitung und Haftung
Gesetzliche Vorgaben
Anforderungen an die Datenschutzorganisation
12© Uwe Dieckmann 16., 17., 18. Juni 2010
Anforderungen an die Unternehmensleitung und Haftung
Gesetzliche Vorgaben
§ 91 AktG (2): Der Vorstand hat geeignete Maßnahmen zu treffen, insbes.
ein Überwachungssystem einzurichten, damit den Fortbestand der
Gesellschaft gefährdende Entwicklungen früh erkannt werden.
§ 93 AktG Schadensersatzzahlungen bei Pflichtverletzung
§ 43 GmbHG: Die Geschäftsführer haben in den Angelegenheiten der
Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.
Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der
Gesellschaft solidarisch für den entstandenen Schaden
§ 130 OWiG (1): Wer als Inhaber eines Betriebes oder Unternehmens
vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die
erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen
gegen Pflichten zu verhindern …, handelt ordnungswidrig, wenn eine solche
Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert
oder wesentlich erschwert worden wäre. ...
13© Uwe Dieckmann 16., 17., 18. Juni 2010
Anforderungen an die Unternehmensleitung und Haftung
Sondervorschrift für Kreditinstitute § 25c KWG
Kreditinstitute haben angemessene DV-Systeme zu betreiben und
zu aktualisieren, mittels derer sie in der Lage sind,
Geschäftsbeziehungen und einzelne Transaktionen im
Zahlungsverkehr zu erkennen, die … zum Nachteil von Instituten
als zweifelhaft oder ungewöhnlich anzusehen sind. Liegen solche
Sachverhalte vor, ist diesen vor dem Hintergrund der laufenden
Geschäftsbeziehung und einzelner Transaktionen nachzugehen,
um das Risiko der jeweiligen Geschäftsbeziehungen und
Transaktionen überwachen, einschätzen und gegebenenfalls das
Vorliegen eines Verdachtsfalls prüfen zu können.
Die Kreditinstitute dürfen personenbezogene Daten erheben,
verarbeiten und nutzen, soweit dies zur Erfüllung dieser Pflicht
erforderlich ist.
Anforderungen an die Unternehmensleitung und Haftung
Anforderungen an die Datenschutzorganisation
Die rechtzeitige schriftliche Bestellung eines Datenschutzbeauftragten
nach § 4 f BDSG ist die erste wichtige organisatorische Maßnahme, die
bei Unterlassen eine Ordnungswidrigkeit mit Bußgeldfolge darstellt.
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag
personenbezogene Daten erheben, verarbeiten oder nutzen, haben die
technischen und organisatorischen Maßnahmen zu treffen, die
erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes,
insbesondere die in der Anlage zu diesem Gesetz genannten
Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur,
wenn ihr Aufwand in einem angemessenen Verhältnis zu dem
angestrebten Schutzzweck steht. (§ 9 BDSG)
Im Bereich der Zugangs-, Zugriffs- und Weitergabekontrolle wird in der
Anlage zum neuen BDSG auf die Verwendung von
Verschlüsselungsverfahren als geeignete Maßnahme hingewiesen.
15© Uwe Dieckmann 16., 17., 18. Juni 2010
Anforderungen an die Unternehmensleitung und Haftung
Beachtung des § 11 BDSG bei Auftragsvergaben
Besondere Anforderungen sind zu beachten, wenn die
Unternehmensleitung, Fachabteilungen oder Prozessverantwortliche sich
für eine (ggf. teilweise) Auslagerung entscheiden.
Dies gilt auch für den Fall, dass Datenanalysen oder entsprechend § 11
Abs. 5 BDSG Prüfungen durch externe Stellen durchgeführt werden.
Im Einzelnen wird gefordert die schriftliche Festlegung u. a. von Umfang,
Art, Zweck des Auftrags, Datenart, Kreis der Betroffenen, der nach § 9 zu
treffenden technischen und organisatorischen Maßnahmen (TOM) sowie
die Kontrollrechte des Auftraggebers und die Kontrollpflichten des
Auftragnehmers ggf. auch bei den Unterauftragsverhältnissen
Darüber hinaus hat sich der Auftraggeber vor Beginn der
Datenverarbeitung und sodann regelmäßig von der Einhaltung der TOM
zu überzeugen. Das Ergebnis ist zu dokumentieren.
Verstöße können ein Bußgeld zur Folge haben.
16© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Von der selektiven Datenanalyse zur Massendatenanalyse
Datenanalysen als Bestandteil von ex-post-Prüfungen
Der Erforderlichkeitsgrundsatz bei der Auswahl der Datenfelder
Die Zweckbindung erhobener und gespeicherter Daten
17© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Von der selektiven Datenanalyse zur Massendatenanalyse
Konventionelle Prüfvorgehensweise
bewusster Auswahl aus unbekannter Grundgesamtheit oder aus Teilen
davon
Belege
Grundgesamtheit
hindeuten, über den gesamten Datenbestand des zu überprüfenden
Bereichs
Einzelvorgängen unerwünscht sein (z. B. Betragsstückelungen).
18© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Datenanalysen als Bestandteil von ex-post-Prüfungen
IT-gestützte Datenanalysen steigern die Wirksamkeit und Effizienz und
sind Standard. Im Bereich der Finanzverwaltung sind IT-gestützte
Prüfungen von Unternehmen in § 147 (6) AO und den Grundsätzen zum
Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) festgelegt.
Für Abschlussprüfer und Revisionen gibt es keine analoge gesetzliche
Vorschrift, jedoch gibt es für Wirtschaftsprüfer entsprechende
Prüfungsstandards
IT-gestützter Abgleich der Liste der Verkäufer mit einer Liste der
Mitarbeiter zur Identifikation von Übereinstimmungen von Adressen
und Telefonnummern
oder Steuernummern sowie Bankkonten
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Notwendigkeit von revisorischen Datenanalysen
prüfen dürfen.
Finanzverwaltung oder Abschlussprüfer zugestanden werden.
Begründung:
des einjährigen Prüfungsturnus der Abschlussprüfer werden
Verstöße z. B. gegen Steuergesetze oder strafrechtliche
Vorschriften u. U. zu spät entdeckt.
Die Notwendigkeit von revisorischen Datenanalysen mit den gleichen
Methoden externer Prüfer dürfte außer Zweifel stehen.
20© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Problem der möglichen Leistungs- oder Verhaltenskontrolle
„Die Revision ist die vom Vorstand aufgrund § 91 Abs. 2 AktG eingesetzte
unabhängige Instanz zur Überwachung.
und Ordnungsmäßigkeit die Aufbau- und Ablauforganisation und
sämtliche Geschäftsvorfälle turnusmäßig zu überprüfen.
Die direkte Leistungs- und Verhaltenskontrolle von Mitarbeitern ist nicht
Aufgabe der Revision.
auf ihre Ordnungsmäßigkeit untersuchen und dabei auch die dafür
verantwortlichen Mitarbeiter erfassen, fällt die Konstellation nicht unter
diese Vereinbarung. Ebenfalls nicht hierunter fallen Auswertungen, in der
Mitarbeiter zu Gruppen zusammengefasst und nur über die Ergebnisse
der Gruppe berichtet wird (...)“
21© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Beispiel für eine Geschäftsanweisung „Datenanalysen“
Die verwendeten Prüfungsinstrumentarien sind fortlaufend anzupassen
und zeitgemäß durch computergestützte Prüfungsverfahren zu verstärken.
Ziel der Revisionsarbeit ist nicht die Leistungs- oder Verhaltenskontrolle
Die Revision prüft insbesondere unter dem Gesichtspunkt der
Ordnungsmäßigkeit die Geschäftsvorfälle des Unternehmens.
Prüfungstätigkeiten der Revision erfordern grundsätzlich nicht die
Abstimmung mit Betriebsrat und Datenschutzbeauftragtem – es sei denn,
es handelt sich um schutzwürdige sensible Daten der Mitarbeiter.
Auch bei sensitiven Kundendaten/Lieferantendaten sind die Vorschriften
des BDSG einzuhalten.
begründeten, dokumentierten Verdachts hinsichtlich eines Regelverstoßes
von der Revision durchgeführt werden, erfordern die Einbindung des
Betriebsrats und Datenschutzbeauftragten.
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Dokumentation des Analyseverfahrens analog § 4 e BDSG
Dokumentation
Zielsetzung der Datenanalyse
Art und Ausmaß des vermuteten Risikos, gegen das die Analyse
eingesetzt werden soll
§ 4 e BDSG
verlangt Angaben zu Verfahren, u. a. über den Zweck, betroffene
Personengruppen, Datenkategorien, Datenherkunft, Empfänger,
23© Uwe Dieckmann 16., 17., 18. Juni 2010
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Erforderlichkeitsgrundsatz und Auswahl der Daten
Fragen der Erforderlichkeit
ermöglichen, nach dem Prüfungsziel überhaupt erforderlich?
Einzubeziehende Datensätze
Anonymisierung oder Pseudonymisierung notwendig?
Datenanalysen: Notwendigkeit, Probleme und Grenzen
Die Zweckbindung erhobener und gespeicherter Daten
Fragen der Zweckbindung
Personen zu einem Zweck erhoben und gespeichert, der mit
dem Prüfungsziel vereinbar ist ?
Kirchensteuerabführung erhoben und gespeichert
anderer Personen sind nur für den Notfall erhoben
Bankverbindung eines Mitarbeiters nur für Zweck der
Gehaltszahlung erhoben und gespeichert
Lösungsansätze für personenbezogene Datenanalysen
Zulässige Prüfungsvorgehensweisen
26© Uwe Dieckmann 16., 17., 18. Juni 2010
Lösungsansätze für personenbezogene Datenanalysen
Datenschutzbeauftragte: Nach § 4 g BDSG wirkt er auf die Einhaltung
des BDSG und anderer Vorschriften über den Datenschutz hin. Dabei
überwacht er die ordnungsgemäße Anwendung personenbezogener
Datenverarbeitungsprogramme und macht die Beschäftigten mit den
jeweiligen besonderen Erfordernissen des Datenschutzes vertraut.
Compliance Officer: Schafft organisatorische Voraussetzungen zur
Beachtung und Einhaltung der im Unternehmen geltenden Normen.
Häufig auch von der Rechtsabteilung wahrgenommen.
Besonderer Hinweis: BGH-Urteil vom 17.07.2009 (Az 5 StR 394/08):
Aufgabengebiet sei die Verhinderung von Rechtsverstößen!
Betriebsrat: Hat die Aufgabe, das Persönlichkeitsrecht der Mitarbeiter zu
schützen insbesondere auch im Falle von Leistungs- und
Verhaltenskontrollen. Hier gibt es Überschneidungen zu den Aufgaben
des DSB und u. U. Berührungspunkte mit der internen Revision.
27© Uwe Dieckmann 16., 17., 18. Juni 2010
Lösungsansätze für personenbezogene Datenanalysen
ist kein Eingriff in das informationelle Selbstbestimmungsrecht .
Keine Rasterfahndung, da kein Abgleich zwischen den Datenbeständen
verschiedener Speicherstellen stattfand
Es wurde stattdessen gezielt nach Personen gesucht, die eine genau
bezeichnete mit hinreichender Wahrscheinlichkeit strafbare Handlung
vorgenommen haben.
Denn betroffen wurden dadurch regelmäßig nur Personen, die durch ihr
Verhalten den hinreichenden Verdacht einer Straftat begründet hatten.
BVG 17.2.09: Datenabgleich bei Kreditkartenunternehmen
28© Uwe Dieckmann 16., 17., 18. Juni 2010
Lösungsansätze für personenbezogene Datenanalysen
Prüfungen von Geschäftsvorfällen in den Bereichen
Einkauf von Waren- und Dienstleistungen,
Lagerhaltung,
Zahlungsverkehr
überprüft werden.
Lösungsansätze für personenbezogene Datenanalysen
datenschutzrechtlich nicht zu beanstanden, wenn Prüfungsziel die
Richtigkeit von Buchungen und /oder Zahlungen ist. Zahlungsströme
haben regelmäßig eine Vertragsgrundlage mit den betroffenen
Beschäftigten, Lieferanten oder Kunden, die die Voraussetzungen an
die Zulässigkeit der Prüfung gemäß § 32 Abs. 1 Nr. 1 oder § 28 Abs.
1 Satz 1 BDSG erfüllt.
Im Rahmen der vertraglichen Grundlage über die Höhe von
Zahlungen ist auch die Überprüfung, ob an eine Person zu viel oder
zu wenig gezahlt wurde, zulässig. Denkbar sind programmierte
Abfragen über sämtliche Haupt- und Nebenbuchhaltungssysteme mit
dem Ziel, die tatsächliche Höhe der Zahlungen an einen Betroffenen
mit dem Soll zu vergleichen.
Prüfung des Zahlungsverkehrs
Lösungsansätze für personenbezogene Datenanalysen
Beispiele für die eingeschränkte Zulässigkeit von Prüfungen
sind solche, in denen vom Prüfungsansatz her direkt oder
indirekt Ergebnisse erwartet werden in Bezug auf Personen und
die (Nicht)-Ordnungsmäßigkeit ihres Verhaltens. Hier müssen
die datenschutzrechtlichen Regelungen beachtet werden.
Beispiele für kritische Prüfungen sind solche, die entweder im
Vergleich zum Prüfungsziel unverhältnismäßig oder formal
unzulässig sind, weil z. B. eine Vorabkontrolle durch den DSB
nicht stattfand, ein Auftragnehmer nicht schriftlich nach § 11
BDSG in die Pflicht genommen wurde oder man den Betriebsrat
nicht beteiligt hat.
Ende der Präsentation
Analysen oder Prüfungsobjekten?
Auswertung von Gruppen-Laufwerken, Dateien etc. ?
Überprüfung von Mitarbeiter PCs ?