Korruptionsverhinderung und Datenschutz – die Sicht der Internen Revision
Dipl.-Volkswirtin Evelyn Schmidt (CIA, CCSA, CFE), DIIR - Deutsches Institut für Interne Revision e.V., Frankfurt
Frau Schmidt machte schon im Titel ihres Vortrages deutlich, dass sich der Revisor in einer Konfliktlage befindet. Auf der einen Seite stehen die Anforderungen an die Unternehmensleitungen aus Unternehmensgesetzen (wie die Sorgfaltspflicht, die Haftung auch bei Unterlassung etwa von Kontrollpflichten, und die Schadenersatzpflicht bei Pflichtverletzungen), wozu unter anderem das Unterlassen von Aufsichtsmaßnahmen gehören kann, also die Prävention. Anforderungen des Datenschutzes stehen aber damit teilweise in Konflikt. Als Vertreterin des DIIR - Deutsches Institut für Interne Revision e.V. versicherte Frau Schmidt den Zuhörern: „Da lassen wir sie nicht im Regen stehen. Es gibt selbstverständlich Lösungswege.“
Das DIIR ist ein Zusammenschluss von Fach- und Führungskräften über Branchen- und Unternehmensgrößen hinaus. Es ist in der Wirtschaft vertreten, aber auch in Wissenschaft, Verwaltung und öffentlichen Institutionen. Als Themen werden nationale und internationale rechtliche Vorschriften und regulatorische Vorgaben sowie insbesondere die praktische Unterstützung der Internen Revision angeführt. International ist das Institut durch die Mitgliedschaft beim „Institute of Internal Auditors“ präsent.
Die Konflikte, in die der Revisor auch nach Meinung von Frau Schmidt geraten kann, drohen schon allein bei der ganz normalen Alltagsarbeit. „Das klassische Tagesgeschäft des Internen Revisors ist nicht die Unterschlagungs- oder Sonderprüfung. Das liegt oft im Bereich von zehn bis zwanzig Prozent der Tätigkeit, die der Revisor ausübt.“ In erster Linie unterstützt die Interne Revision die Unternehmensleitung „als wesentliches Überwachungsinstrument für die Einhaltung der gesetzlichen Normen, der rechtlichen und regulatorischen sowie der internen Vorgaben“. Ihre Aufgabe sei im Regelfall die Sicherstellung von Ordnungsmäßigkeit und Wirtschaftlichkeit und der Schutz des Unternehmens vor wirtschaftlichen Schäden. Der große Konflikt für den Revisor sei: „Sie müssen die Grundgesamtheit der Datenbestände auf systematische Fehler, Ausreißer und mögliche Risikoindikatoren überprüfen dürfen. Ansonsten haben sie keine Chance. Das heißt, diese präventiven Untersuchungen müssen grundsätzlich ohne konkreten Anfangsverdacht durchführbar sein. “
Eine Stichprobe, die noch klassisch von Hand geprüft werden könne, reiche bei den heute in Unternehmen anfallenden Datenbeständen nicht aus, systematische oder immer wiederkehrende Fehler zu entdecken. Frau Schmidt verglich diesen Prüfer mit dem Angler, der vor dem Teich sitzt und auf einen Fang wartet, ohne die Grundgesamtheit zu kennen – den Fischbestand im Teich. Der Prüfer dagegen, der moderne, IT-gestützte Methoden anwende, habe im Prinzip die Grundgesamtheit zur Verfügung. Wenn er an diesen Datenbestand gezielt risikoorientierte Fragen stelle, könne er grundsätzlich Auffälligkeiten registrieren, ohne zunächst mit personenbezogenen Daten zu arbeiten. Erst wenn Auffälligkeiten zu Tage träten, gehe der Prüfer zur Einzelprüfung und der Evaluation einzelner Bereiche über.
Ein derartiges Vorgehen hat das Bundesverfassungsgericht bestätigt. In einem Urteil vom 17. Februar 2009 heißt es:
>>Die maschinelle Überprüfung von Überweisungsdaten stellt keine Verletzung des informationellen Selbstbestimmungsrechts Betroffener dar, wenn die nicht potenziell Tatverdächtigen im Rahmen der Analyse anonym und spurenlos beim eigentlichen „Suchlauf“ extrahiert werden.<<
Frau Schmidt entwickelte anhand konkreter Analysebeispiele einige Vorschläge zur Lösung möglicher Konflikte mit den Bestimmungen des Datenschutzes und stellte zum Abschluss die aus der Sicht des DIIR wichtigsten Forderungen an den geplanten Beschäftigtendatenschutz vor, der sich zur Zeit im Gesetzgebungsverfahren befindet.
[.