Navigation
Seiteninhalt

Sonderuntersuchung und Datenschutz, Teil 2/5

Teil 2 befasst sich mit solchen Fällen einer Sonderuntersuchung, in denen es bereits konkrete Tatverdächtige gibt und auch strafrechtlich relevant erscheinende Fakten sowie Schäden für das Unternehmen abschätzbar sind.
Von Dr. Matthias Kopetzky CIA, CFE, CPA
26. April 2012

Die Sonderuntersuchung bei konkreter, Personen-bezogener Verdachtslage

Richtet sich eine Sonderuntersuchung auf einen konkreten Verdachtsfall und Personen, welche auf Basis bereits vor Einleitung der Sonderuntersuchung bekannt gewordener Verdachtsmomente als Täter unmittelbar in Frage kommen, so sprechen wir von einer Sonderuntersuchung im engeren Sinn. Viele Sonderuntersuchungen beginnen auf dieser Ebene, können sich aber in weiterer Folge „verbreitern“, weil zusätzliche, noch unbestimmtere Verdachtsmomente auftauchen oder Risikogebiete erkannt werden. Dazu später.

Merkmale der Sonderuntersuchung bei konkreten Verdachtsfällen

Sonderuntersuchungen gegen konkrete Verdächtige sind durch folgende Merkmale gekennzeichnet:

  • Der Ablauf des Falles ist in groben Zügen bereits bekannt.

  • Regeln (Gesetze, verbindliche Kodizes, interne Vorgaben, etc) wurden scheinbar verletzt.

  • Ein Schaden für das Unternehmen oder die Allgemeinheit ist zu vermuten oder steht weitest gehend fest.

  • Der involvierte Personenkreis ist – zumindest teilweise – bekannt, nicht jedoch der individuelle Beitrag der einzelnen Personen zur vermuteten Tat.

  • Es fehlt noch eine gesicherte Beweislage, welche ein Vorgehen gegen die Täter ermöglicht.

Aufgabe der mit der Sonderuntersuchung betrauten Unternehmenseinheit ist es, vor allem den konkreten Ablauf der angeblichen Tathandlungen bis ins Detail sowie die Rollen der Verdächtigen im Hinblick auf deren individuelle Verantwortung aufzuklären und darzustellen.

Für die Untersuchung relevante Datengruppen

Hierfür wird die Analyse bereits im Unternehmen vorhandener und allfällig noch zu beschaffender Daten, sowohl aus dem Unternehmen wie auch externe Daten, notwendig sein.

Folgende Datengruppen können hierbei eine Rolle spielen:

  • Finanzdaten (führen unmittelbar auf die finanziellen Transaktionen hin):
    - Des Unternehmens: Rechnungen, Kalkulationen, Buchungen, Konten
    - Der Verdächtigen: Abrechnungen (z.B. Reisen), wirtschaftliche Aktivitäten, soweit öffentlich zugänglich (z.B. Ebay,…)

  • Kommunikationsdaten (Daten, welche die Täter im Zuge ihres Handelns erzeugen und hinterlassen):
    - Aus dem Unternehmen: Dokumente des Geschäftsverkehrs (Briefe, Anbote, …), Mailverkehr, Protokolle (von Sitzungen)
    - Von Extern: Öffentliche Bücher (Firmenbuch, Grundbuch,…), Soziale Netzwerke, sonstige Fundstellen im Internet

  • Präsenzdaten (Daten, aus denen ein Bewegungsprofil der Täter gewonnen werden kann - wer war wann wo genau?):
    - Logs von Zutrittskontrollen
    - Zeiterfassungssysteme
    - Daten der Personalverwaltung (Urlaube, Krankenstände, Reisen,…)
    - IT-Nutzungsdaten
    - Protokolle

Wann ist die Analyse personenbezogener Daten erlaubt?

Die – eher exemplarisch – gerade aufgezählten Datengruppen haben teilweise sehr personenbezogene Ausprägungen. Diese wären im normalen Umgang mit Daten unter Beachtung der entsprechenden Datenschutzbestimmungen nur teilweise einer bereits auf Personenebene durchgeführten analytischen Untersuchung ohne konkrete Verdachtslage zugänglich.

Den Unterschied macht also die Dringlichkeit einer Verdachtslage auch oder gerade gegen konkrete Verdächtige aus.

Die bisherige Judikatur in Deutschland gibt den Unternehmen hier einen eigentlich sehr weiten Spielraum, welcher durch die Abwägung des Interesses am Schutz personenbezogener Daten mit dem Interesse der Verhinderung weiterer und Aufklärung bestehender Straftaten gegen das Unternehmen oder die Allgemeinheit (z.B. Steuerhinterziehung) gekennzeichnet ist.

Grundlegend ist abzuwägen. Personenbezogene Daten können unter folgenden Umständen verwendet werden(1):

  • bei Verdacht einer Straftatbegehung,

  • wenn diese Erhebung erforderlich ist,

  • die Interessen des Beschäftigten nicht überwiegen und

  • die Maßnahme nicht unverhältnismäßig ist.

Diese Punkte sind bei einem konkreten, personenbezogenen Verdachtsfall jeweils gut dokumentierbar und eine ausreichende Begründung, auch auf personenbezogene Daten einzugehen.

Hier erscheint es, in Ermangelung entsprechender nationaler Judikatur, zweckdienlich, sich den Goldstandard forensischer Erhebungsregelungen als Richtschnur heranzuziehen: Die Strafprozessordnung (StPO), und zwar in jenen Teilen, welche sich – vor allem – auf die staatsanwaltschaftlichen Erhebungen beziehen.

Aktenvermerk zu den Begründungen für die Datenverwendung

Vor der Analyse von personenbezogenen Daten ist daher jeweils, d.h. unter Umständen auch mehrmals im Zuge der Sonderuntersuchung in wachsender Konkretisierung, durch Erstellung eines Aktenvermerks oder gleichwertigen Dokuments folgendes darzulegen:

  • Warum kann von einem strafrechtlich relevanten Verdachtsfall ausgegangen werden?

  • Warum und durch welche analytischen Schritte personenbezogener Daten muss eine Aufklärung auf Verdächtigenebene erfolgen? - Dabei kann ergänzend angeführt werden, warum „gelindere“ Mittel nicht zum Erfolg führen würden oder mit unverhältnismäßigem Aufwand verbunden wären.

  • Wie die Interessen des Unternehmens und unter Umständen auch der Allgemeinheit betroffen sind, insbesondere welche Schäden erwartet werden und dass die Entstehung weiteren Schadens hintan gehalten werden soll.

  • Warum die Maßnahme (z.B. Durchsicht in Emails, die Analyse von Präsenzdaten(2)) fokussiert auf die Verdächtigen verhältnismäßig und nicht überschießend ist

Inhaltlich kann man sich hierfür durchaus beispielsweise den Aufbau eines Hausdurchsuchungsbefehls der Justiz zum Vorbild nehmen, in welchem all die oben angeführten Punkte genau abgearbeitet werden. Dies hat später, sollte es doch zu gerichtlichen Überprüfungen kommen, den Vorteil, dass die Justiz Rechtfertigungsunterlagen vorfindet, mit welchen zu arbeiten sie bereits gewohnt ist.

Im nächsten, dritten Teil befassen wir uns mit dem Fall der Datenverwendung, wenn es in einer Sonderuntersuchung zwar einen schon einen Fall gibt, aber noch keine konkreten Verdächtigen.

Audio-Blog - Gesprochen von Dr. Matthias Kopetzky:

(Download) (Download) (Download)

Fußnoten

1) Thomas Jurisch u. a., ‘Leitfaden Datenschutz 2010’, 2010, S. 10f <http://www.intargia.com/pdf/leitfaden-datenschutz_final.pdf> [zugegriffen 4 September 2011].
2) Überschießend wäre, Programmzugriffsdaten gleich über alle Mitarbeiter des Unternehmens und nicht nur die Verdächtigen zu analysieren.

Autoren

{"uuid":"cc5362c6746743b6a67e3bc50e877aa6","username":"matthias-kopetzky@autorenprofil.at","firstname":"Matthias","lastname":"Kopetzky","emailAddress":"matthias-kopetzky@autorenprofil.at","created":"2020-07-28T16:11:20.270Z","edited":"2023-10-04T10:51:10.321Z","jobposition":"","fullname":"Dr. Matthias Kopetzky, CIA, CFE, CPA","newsletter":true,"salutation":"Herr","pretitle":"Dr.","posttitle":"CIA, CFE, CPA","position":"","companyname":"","premium":false,"telephone":"","vita":"Dr. Matthias Kopetzky ist Geschäftsführer der Business Valuation GmbH. Er arbeitet als gerichtlich zertifizierter und beeideter Sachverständiger eng mit Staatsanwaltschaften und Polizei sowie in Hauptverhandlungen mit Gerichten zusammen. Der Autor ist als Mitglied im Vorstand des IIA-Österreich (Institut Interne Revision) für die Belange Aus- und Weiterbildung sowie Öffentlichkeitsarbeit zuständig. Er ist mit Joseph Wells Autor des Handbuch Wirtschaftskriminalität in Unternehmen, LexisNexis Österreich 2006. ","jet_abo":"","open":true,"profilephoto":{"uuid":"e46b28da2049478a9f0d70ecbe05df6c","path":"/569_1595952414196_Matthias-Kopetzky.jpg.jpg","fields":{"name":"569_1595952414196_Matthias-Kopetzky.jpg.jpg","description":"Neues Bild.jpg"}},"path":"https://www.compliance-praxis.at/Insider/Menschen/Person.html?pid=cc5362c6746743b6a67e3bc50e877aa6"}
569_1595952414196_Matthias-Kopetzky.jpg.jpg

Dr. Matthias Kopetzky CIA, CFE, CPA

Dr. Matthias Kopetzky ist Geschäftsführer der Business Valuation GmbH. Er arbeitet als gerichtlich zertifizierter und beeideter Sachverständiger eng mit Staatsanwaltschaften und Polizei sowie in Ha...

{"name":"Sonderuntersuchung und Datenschutz, Teil 2/5","contenttype":"text/html","templateName":"content-page","headmeta":"<meta charset=\"utf-8\">\n<meta http-equiv=\"X-UA-Compatible\" content=\"IE=edge\">\n<meta name=\"viewport\" content=\"width=device-width, initial-scale=1\">\n\n\n\n\n\n <title>Sonderuntersuchung und Datenschutz, Teil 2/5</title>\n \n\n <meta name=\"description\" content=\"Teil 2 befasst sich mit solchen Fällen einer Sonderuntersuchung, in denen es bereits konkrete Tatverdächtige gibt und auch strafrechtlich relevant erscheinende Fakten sowie Schäden für das Unternehmen abschätzbar sind.\"/>\n\n <meta property=\"og:image\" content=\"/templates/test-migration/duplicate-pages/Matthias-Kopetzky.jpg.jpg\"/>\n <meta property=\"og:image:height\" content=\"122\"/>\n <meta property=\"og:image:width\" content=\"85\"/>\n <meta property=\"og:site_name\" content=\"CompliancePraxis\"/>\n <meta property=\"og:url\" content=\"/Themen/Aktuelles_Meinung/Archiv/Sonderuntersuchung_und_Datenschutz-_Teil_2-5.html\"/>\n <meta property=\"og:type\" content=\"website\"/>\n <meta property=\"og:locale\" content=\"de_DE\">\n <meta property=\"og:description\" content=\"Teil 2 befasst sich mit solchen Fällen einer Sonderuntersuchung, in denen es bereits konkrete Tatverdächtige gibt und auch strafrechtlich relevant erscheinende Fakten sowie Schäden für das Unternehmen abschätzbar sind.\"/>\n","title":"Sonderuntersuchung und Datenschutz, Teil 2/5","teaser":"Teil 2 befasst sich mit solchen Fällen einer Sonderuntersuchung, in denen es bereits konkrete Tatverdächtige gibt und auch strafrechtlich relevant erscheinende Fakten sowie Schäden für das Unternehmen abschätzbar sind.","pagecontent":"<h2>Die Sonderuntersuchung bei konkreter, Personen-bezogener Verdachtslage</h2> \n<p> Richtet sich eine Sonderuntersuchung auf einen konkreten Verdachtsfall und Personen, welche auf Basis bereits vor Einleitung der Sonderuntersuchung bekannt gewordener Verdachtsmomente als Täter unmittelbar in Frage kommen, so sprechen wir von einer Sonderuntersuchung im engeren Sinn. Viele Sonderuntersuchungen beginnen auf dieser Ebene, können sich aber in weiterer Folge „verbreitern“, weil zusätzliche, noch unbestimmtere Verdachtsmomente auftauchen oder Risikogebiete erkannt werden. Dazu später. </p> \n<h2>Merkmale der Sonderuntersuchung bei konkreten Verdachtsfällen</h2> \n<p> Sonderuntersuchungen gegen konkrete Verdächtige sind durch folgende Merkmale gekennzeichnet: </p> \n<p> \n <ul> \n <li> <p> Der Ablauf des Falles ist in groben Zügen bereits bekannt. </p></li> \n <li> <p> Regeln (Gesetze, verbindliche Kodizes, interne Vorgaben, etc) wurden scheinbar verletzt. </p></li> \n <li> <p> Ein Schaden für das Unternehmen oder die Allgemeinheit ist zu vermuten oder steht weitest gehend fest. </p></li> \n <li> <p> Der involvierte Personenkreis ist – zumindest teilweise – bekannt, nicht jedoch der individuelle Beitrag der einzelnen Personen zur vermuteten Tat. </p></li> \n <li> <p> Es fehlt noch eine gesicherte Beweislage, welche ein Vorgehen gegen die Täter ermöglicht. </p></li> \n </ul> </p> \n<p> Aufgabe der mit der Sonderuntersuchung betrauten Unternehmenseinheit ist es, vor allem den konkreten Ablauf der angeblichen Tathandlungen bis ins Detail sowie die Rollen der Verdächtigen im Hinblick auf deren individuelle Verantwortung aufzuklären und darzustellen. </p> \n<h2>Für die Untersuchung relevante Datengruppen</h2> \n<p> Hierfür wird die Analyse bereits im Unternehmen vorhandener und allfällig noch zu beschaffender Daten, sowohl aus dem Unternehmen wie auch externe Daten, notwendig sein. </p> \n<p> Folgende Datengruppen können hierbei eine Rolle spielen: </p> \n<p> \n <ul> \n <li> <p> Finanzdaten (führen unmittelbar auf die finanziellen Transaktionen hin): <br>- Des Unternehmens: Rechnungen, Kalkulationen, Buchungen, Konten <br>- Der Verdächtigen: Abrechnungen (z.B. Reisen), wirtschaftliche Aktivitäten, soweit öffentlich zugänglich (z.B. Ebay,…) <br> </p></li> \n <li> <p> Kommunikationsdaten (Daten, welche die Täter im Zuge ihres Handelns erzeugen und hinterlassen): <br>- Aus dem Unternehmen: Dokumente des Geschäftsverkehrs (Briefe, Anbote, …), Mailverkehr, Protokolle (von Sitzungen) <br>- Von Extern: Öffentliche Bücher (Firmenbuch, Grundbuch,…), Soziale Netzwerke, sonstige Fundstellen im Internet <br> </p></li> \n <li> <p> Präsenzdaten (Daten, aus denen ein Bewegungsprofil der Täter gewonnen werden kann - wer war wann wo genau?): <br>- Logs von Zutrittskontrollen <br>- Zeiterfassungssysteme <br>- Daten der Personalverwaltung (Urlaube, Krankenstände, Reisen,…) <br>- IT-Nutzungsdaten <br>- Protokolle <br> </p></li> \n </ul> </p> \n<h2>Wann ist die Analyse personenbezogener Daten erlaubt?</h2> \n<p> Die – eher exemplarisch – gerade aufgezählten Datengruppen haben teilweise sehr personenbezogene Ausprägungen. Diese wären im normalen Umgang mit Daten unter Beachtung der entsprechenden Datenschutzbestimmungen nur teilweise einer bereits auf Personenebene durchgeführten analytischen Untersuchung ohne konkrete Verdachtslage zugänglich. </p> \n<p> Den Unterschied macht also die Dringlichkeit einer Verdachtslage auch oder gerade gegen konkrete Verdächtige aus. </p> \n<p> Die bisherige Judikatur in Deutschland gibt den Unternehmen hier einen eigentlich sehr weiten Spielraum, welcher durch die Abwägung des Interesses am Schutz personenbezogener Daten mit dem Interesse der Verhinderung weiterer und Aufklärung bestehender Straftaten gegen das Unternehmen oder die Allgemeinheit (z.B. Steuerhinterziehung) gekennzeichnet ist. </p> \n<p> Grundlegend ist abzuwägen. Personenbezogene Daten können unter folgenden Umständen verwendet werden<sup>(1)</sup>: </p> \n<p> \n <ul> \n <li> <p> bei Verdacht einer Straftatbegehung, </p></li> \n <li> <p> wenn diese Erhebung erforderlich ist, </p></li> \n <li> <p> die Interessen des Beschäftigten nicht überwiegen und </p></li> \n <li> <p> die Maßnahme nicht unverhältnismäßig ist. </p></li> \n </ul> </p> \n<p> Diese Punkte sind bei einem konkreten, personenbezogenen Verdachtsfall jeweils gut dokumentierbar und eine ausreichende Begründung, auch auf personenbezogene Daten einzugehen. </p> \n<p> Hier erscheint es, in Ermangelung entsprechender nationaler Judikatur, zweckdienlich, sich den Goldstandard forensischer Erhebungsregelungen als Richtschnur heranzuziehen: Die Strafprozessordnung (StPO), und zwar in jenen Teilen, welche sich – vor allem – auf die staatsanwaltschaftlichen Erhebungen beziehen. </p> \n<h2>Aktenvermerk zu den Begründungen für die Datenverwendung</h2> \n<p> Vor der Analyse von personenbezogenen Daten ist daher jeweils, d.h. unter Umständen auch mehrmals im Zuge der Sonderuntersuchung in wachsender Konkretisierung, durch Erstellung eines Aktenvermerks oder gleichwertigen Dokuments folgendes darzulegen: </p> \n<p> \n <ul> \n <li> <p> Warum kann von einem strafrechtlich relevanten Verdachtsfall ausgegangen werden? </p></li> \n <li> <p> Warum und durch welche analytischen Schritte personenbezogener Daten muss eine Aufklärung auf Verdächtigenebene erfolgen? - Dabei kann ergänzend angeführt werden, warum „gelindere“ Mittel nicht zum Erfolg führen würden oder mit unverhältnismäßigem Aufwand verbunden wären. </p></li> \n <li> <p> Wie die Interessen des Unternehmens und unter Umständen auch der Allgemeinheit betroffen sind, insbesondere welche Schäden erwartet werden und dass die Entstehung weiteren Schadens hintan gehalten werden soll. </p></li> \n <li> <p> Warum die Maßnahme (z.B. Durchsicht in Emails, die Analyse von Präsenzdaten<sup>(2)</sup>) fokussiert auf die Verdächtigen verhältnismäßig und nicht überschießend ist </p></li> \n </ul> </p> \n<p> Inhaltlich kann man sich hierfür durchaus beispielsweise den Aufbau eines Hausdurchsuchungsbefehls der Justiz zum Vorbild nehmen, in welchem all die oben angeführten Punkte genau abgearbeitet werden. Dies hat später, sollte es doch zu gerichtlichen Überprüfungen kommen, den Vorteil, dass die Justiz Rechtfertigungsunterlagen vorfindet, mit welchen zu arbeiten sie bereits gewohnt ist. </p> \n<p> <i>Im nächsten, dritten Teil befassen wir uns mit dem Fall der Datenverwendung, wenn es in einer Sonderuntersuchung zwar einen schon einen Fall gibt, aber noch keine konkreten Verdächtigen.</i> </p> \n<h2>Audio-Blog - Gesprochen von Dr. Matthias Kopetzky:</h2> \n<p> <a href=\"/templates/test-migration/duplicate-pages/1356013829-CompliancePraxisBlog_Datenschutz2.oga\"> (Download)</a>\n\n <a href=\"/templates/test-migration/duplicate-pages/1356013829-CompliancePraxisBlog_Datenschutz2.mp3\"> (Download)</a>\n\n <a href=\"/templates/test-migration/duplicate-pages/1356013829-CompliancePraxisBlog_Datenschutz2.m4a\"> (Download)</a>\n \n \n \n </p> <div class=\"text-stoerer\">\n\t\t<div class=\"w-100 card-body\">\n\t\t\t<h2 class=\"card-title text-uppercase\">Fußnoten</h2>\n\t\t\t<div class=\"card-text \"><p> <sub>1) Thomas Jurisch u. a., ‘Leitfaden Datenschutz 2010’, 2010, S. 10f <<a href=\"http://www.intargia.com/pdf/leitfaden-datenschutz_final.pdf\" target=\"_blank\">http://www.intargia.com/pdf/leitfaden-datenschutz_final.pdf</a>> [zugegriffen 4 September 2011]. </sub> <br><sub>2) Überschießend wäre, Programmzugriffsdaten gleich über alle Mitarbeiter des Unternehmens und nicht nur die Verdächtigen zu analysieren.</sub> <br> </p></div>\n\t\t</div>\n</div>\n","sidecolumn":null,"storiesmain":null,"storiesoverview":null,"headerimage":"","headertitle":"<h1 class=\"contentheader \">Sonderuntersuchung und Datenschutz, Teil 2/5</h1>","stoerercontainer":null,"stoerercontainer2":null,"stoererwerbebanner":"","insiderheads":null,"overviewunternehmenimage":null,"overviewunternehmentitle":null,"buttonviewall1":null,"buttonviewall2":null,"superelement":null,"topstory":null,"netzwerkpartnerlogoleiste":"","metadata":"<div class=\"info\"><eval>>partials/themes-startpage/newsauthors data=(renderNewsAuthors \"48\" userinfo)</eval>\n<br>26. April 2012</div>","footnotes":"<div class=\"footnote v-spacer footnote-editor-preview d-none\"></div>\n","eventsmain":null,"eventsoverview":null,"eventsoverviewjson":null,"event":"","eventdates":"000-000","footer":"<footer class=\"d-flex flex-column flex-xl-row\">\n\t<span class=\"sr-only\">Footer</span>\n\t<ul class=\"nav footer-nav flex-row pb-4 pb-xl-0 w-100\" id=\"footernavigation\" role=\"navigation\">\n\t\t\t\t\t\t\t</ul>\n\t<div class=\"copyright flex-md-shrink-1 text-left text-md-right\">\n\t\t\t\t<img src=\"/static/compliance_praxis/files/images/LexisNexis.png\" alt=\"LexisNexis\">\n\t\t<p></p>\t</div>\n</footer>\n","footerglobal":"<eval>{cpConfigLoader \"global\" \"footer\"}</eval>","footerjson":null,"onetrust":null,"ogimagefallback":null,"ogimagefallbackheight":null,"ogimagefallbackwidth":null,"cpcouponlist":null,"taggedthemes":["Banken- und Versicherungen","Bau","Gesundheits- und Sozialwesen","Handel","Industrie","Energieversorgung, Verkehr, Logistik","Öffentliche Verwaltung","Pharma","Produktion","Datenschutz","Internal Investigations"],"taggedcategories":["Aktuelles & Meinung"],"taggedorganizers":[],"taggedexhibitors":[],"taggedlecturers":[],"taggedmoderators":[],"taggedparticipants":[],"taggedauthors":["48"],"taggedmagazine":[],"taggedmagazinepage":"","taggedadvertorial":[],"taggingcontainer":null,"authorsdetails":"<div><eval>>partials/content-page/authorsdetails</eval></div>","participantsdetails":null,"contactsdetails":null,"portalapp":"cpshop,cprelatedarticles,","sidecolumninsider":null,"sidecolumnthemen":null,"sidecolumnevents":null,"sidecolumnglobal":"\t<eval>{cpConfigLoader \"stoerer\" \"sidecolumnthemen\"}</eval>\n\t\t\t\t\t\t<eval>> partials/applications/cprelatedarticles applicationtag=\"cprelatedarticles\"</eval>\n\t\t\t","sidecolumntop":"<div class=\"row\"></div>","sidecolumnbottom":"<div class=\"row\"></div>","premium":null,"oecov":null,"textimage":null,"upcompanytaggedevents":null,"upcompanyadvertorialarticles":null,"personprofile":null,"cms_id":1020,"usermodule":null,"cpuseraccount":null,"meshroles":["anonymous"],"taggingusers":null,"magentoshopapp":"\n"}