Datenanalysen und Datenschutz: Warum sind alle verunsichert?
Prof. Dr. Norbert Nolte, Partner bei Freshfields Bruckhaus Deringer, Köln
Prof. Nolte bestätigte die Aussage des Titels seines Vortrages: Es gebe in der Revision, bei Wirtschaftsprüfungsgesellschaften und in den Unternehmen eine große Verunsicherung, und diese nehme in den letzten Jahren zu. Doch die wichtigste Aussage, die er vermitteln wolle, sei, dass die Verunsicherung nicht berechtigt sei. „Es gibt (fast) immer eine Lösung für das Thema Datenschutz bei Revisionstätigkeiten. Die Anforderungen, die Bedürfnisse und die Interessen der Revision in Einklang zu bringen mit dem, was der Datenschutz verlangt, gelingt, wenn man es richtig anstellt, fast immer.“
Nolte fasste die wichtigsten rechtlichen Rahmenbedingungen zusammen, mit denen sich der Prüfer auseinandersetzen muss: Zum einen ist das Datenschutzrecht Abwägungsrecht. „Die Ergebnisse stehen nicht im Gesetz, ich muss sie mir durch eine Abwägung der Interessen, die sich gegenüberstehen, erarbeiten.“ Zum anderen hat das Bundesverfassungsgericht in seinem Volkszählungsurteil letztlich festgelegt, dass „jede Erhebung von Daten, jede Speicherung von Daten und jede Nutzung von Daten“ in jedem Einzelfall gerechtfertigt werden muss. Wenn das nicht geschieht, ist sie verboten. „Damit ist die Revision naturgemäß in der Defensive.“ Und zum dritten hat vor etwa zwei Jahren der Gesetzgeber in Reaktion auf Datenschutzskandale bei großen Unternehmen im Paragrafen 32 des Bundesdatenschutzgesetzes Bestimmungen eingeführt, die oft als wenig praxisnah betrachtet werden. An einer Neuregelung wird daher derzeit gearbeitet.
Grundsätzlich, so Prof. Nolte, müsse unterschieden werden zwischen der anlassbezogenen Datenanalyse in Fällen, in denen ein Verdacht auf eine Straftat vorliege, und der normalen Revisionstätigkeit. Trotz eines konkreten Verdachtes verbietet der Paragraf 32 des Bundesdatenschutzgesetzes im ersten Fall ein Massen-Screening von Unternehmensdaten. Datenanalysen im Rahmen von internen Untersuchungen dürfen grundsätzlich nur die Daten der Verdächtigen betreffen. Nolte beschrieb jedoch ein schrittweises Vorgehen, bei dem es vor allem auf die Eingrenzung des Kreises der Verdächtigen und der zu analysierenden Datenmenge, Transparenz und sorgfältige Dokumentation jedes Schrittes ankommt. Mit diesem Vorgehen werde ein Unternehmen kaum Konflikte mit den Behörden bekommen, versicherte er.
Auch für die Datenanalyse im Rahmen der normalen Geschäftstätigkeit ist der Paragraf 32 des Bundesdatenschutzgesetzes gültig. Er schränkt den Umgang mit personenbezogenen Daten von Beschäftigten stark ein. Da jedoch selbst ein normaler Buchungsvorgang in der Regel eine Information darüber enthält, wer die Buchung vorgenommen oder veranlasst hat, „können ganz normale Geschäftsdaten zu personenbezogenen Daten eines Beschäftigten im Sinne des Bundesdatenschutzgesetzes werden“. Weil die gesetzlichen Bestimmungen von Fachleuten unterschiedlich ausgelegt werden, empfiehlt Nolte auch in solchen Fällen ein transparentes und gut dokumentiertes Vorgehen, zu dem unter anderem die Anonymisierung der untersuchten Datensätze oder ihre Pseudonymisierung gehören kann. Nolte wies ausdrücklich darauf hin, dass es bei der Datenanalyse kein Konzernprivileg gibt: „Das heißt, Daten, die von einem Unternehmen zu einem anderen Unternehmen, einem Schwesterunternehmen oder häufiger zur Mutter übermittelt werden, stellen immer datenschutzrechtlich eine Übermittlung an einen Dritten dar.“
Rechtliche Grenzen sind auch der Analyse von E-Mails gesetzt. Wenn in einem Unternehmen der Versand und der Empfang von privaten E-Mails verboten ist, fallen diese Mails unter den normalen Datenschutz. Sind allerdings private E-Mails in gewissem Umfang erlaubt, gilt unter Umständen das Fernmeldegeheimnis. Solange eine E-Mail auf dem Server des Unternehmens liegt, wird der Einblick in diese Mail wie das Abhören eines Telefongespräches bewertet. Nur für die E-Mail, die der Anwender auf seinen Arbeitsplatzrechner herunterlädt und dort abspeichert, gilt die Übermittlung der Nachricht als beendet, und die E-Mail fällt wieder unter den normalen Datenschutz. Auch für die Analyse von E-Mails empfiehlt Nolte ein abgestuftes Vorgehen, um das Strafbarkeitsrisiko auszuschließen. Als Beispiel nannte er eine Prüfung wegen eines Verdachtes auf Patentverrat. Filtere man die E-Mails nach der Patentnummer, so könnten die Mails, die in diesem Filter hängenblieben, nach menschlichem Ermessen keine privaten Mails sein.