Datenschutz bei der Analyse von Massendaten in Revisionsprozessen

Dipl.-Ing., Betriebswirtin(IWW) Anke Giegandt, Interne Revision, BSH Bosch und Siemens Hausgeräte GmbH, München

Der Vortrag von Frau Giegandt schloss inhaltlich direkt an den von Prof. Nolte an. Was er von der juristischen Seite beschrieben hatte, schilderte Frau Giegandt aus der praktischen Erfahrung bei der Aufstellung eines Datenschutzkonzeptes bei der Firma BSH Bosch und Siemens Hausgeräte GmbH.

Giegandt selbst hatte in dem Konflikt gestanden zwischen den Kontrollverpflichtungen, die das Ordnungswidrigkeitsgesetz und das Aktiengesetz dem Unternehmen auferlegen, und den Bestimmungen des Datenschutzes. Und da sie in einem großen Konzern tätig ist, kam bei ihr noch als weiteres Problem das von Prof. Nolte erwähnte Fehlen eines Konzernprivilegs hinzu.

Von Frau Giegandt erfuhren die Teilnehmer von den vielen Detailschritten, die gegangen werden müssen, um die Arbeit der internen Revision in ein in der Praxis einsetzbares Datenschutzkonzept zu integrieren. Das begann damit, dass sie sich selbst als Nicht-Juristin in die rechtlichen Bestimmungen einlesen musste. Es umfasste sowohl eine Sicherheitsanalyse der Server des Unternehmens wie auch den Abschluss verschiedener Betriebsvereinbarungen und ausführliche Absprachen mit anderen betroffenen Abteilungen im Hause. 

Frau Giegandt schilderte im Einzelnen, wie die Abläufe bei BSH geregelt sind, sowohl für Analysen der internen Revision wie auch bei einem Verdacht auf eine Straftat. Sie hatte dazu auch Fallbeispiele mit Spieldaten mitgebracht. So sind zum Beispiel die Aufgaben des Revisors und der Person, welche die Datenanalyse durchführt, getrennt. Zur Pseudonymisierung von Datensätzen ist ein eigenes Softwaretool im Einsatz, und Datensätze, die für eine Analyse heruntergeladen worden sind, werden anschließend in komprimierter Form aufgehoben und für keinen anderen Zweck verwendet. „Keine Vermischung mit für andere Prüfungsaufträge vorhandenen Daten“, lautet das Prinzip.

[.