Navigation
Seiteninhalt

Sonderuntersuchung und Datenschutz, Teil 4/5

Teil 4 befasst sich mit Sonderuntersuchungen, welche präventiv versuchen, allfällig fraudulente Handlungen zu finden, ohne dass solche aber bereits bekannt wären. Es geht um Fraud-Audits.
Von Dr. Matthias Kopetzky CIA, CFE, CPA
09. Mai 2012

Präventive Sonderuntersuchung

Im Fall einer präventiven Sonderuntersuchung im Sinne einer forensischen Due Diligence werden die in Teil 3 der Blogserie angeführten vier Fragen nicht ausreichend beantwortet und dokumentiert werden können. Es sind datenanalytisch daher andere Wege einzuschlagen.

PWC schlägt folgende Spielregeln bei Datenauswertungen zur Korruptionsbekämpfung vor(1):

  • Klare, von der Unternehmensleitung verabschiedete Regeln zum Umgang mit Daten

  • Abstimmung mit Datenschutzbeauftragten und Rechtsabteilung

  • Transparenz

  • Datensparsamkeit

  • Einbeziehung von Gremien der Arbeitnehmer

  • Dokumentation

Zulässig ist allerdings der anonymisierte bzw. pseudonymisierte Datenabgleich nicht personalisierter Stammdaten unterschiedlicher Personenkreise (Mitarbeiter, Lieferanten, Kunden) durch eine Stelle, die nicht bzw. ohne Zusatzwissen nicht in der Lage ist, den Personenbezug herzustellen. Bei einer hinreichenden Anonymisierung ist der Betroffene (z.B. der Mitarbeiter) nicht bestimmbar, d.h. von einem Personenbezug kann nicht ausgegangen werden.(2)

Voraussetzung ist insoweit, dass methodisch-technisch eine Extraktion ausgewählter Datenfelder aus betrieblichen Datenbeständen durchgeführt wird, also keine separate Erhebung „neuer“ Daten erfolgt.(3) Dies gilt allerdings nicht für ohnedies öffentlich zugängliche Daten, welche sehr wohl ergänzend herangezogen werden können.

Solcher Art vorbehandelte Daten erlauben keinen unmittelbaren Rückschluss auf Individuen und werden zur Analyse im Hinblick auf formulierte und definierte Red Flags, definiert als beobachtbare Signale, die als positive Hinweise in einem hypothetischen Fraud-Szenario gelten können(4), verwendet.

Phasen der rechtskonformen Datananalyse

Forensische Untersuchungen dieser Art werden häufig mit so genannten Massendaten-Analysetools, wie etwa ACL, IDEA oder REVIDATA, durchgeführt. Aus einem deutschen Rechtsgutachten wird folgendes, mehrphasiges Vorgehen im Hinblick auf die Zulässigkeit gem §32 dBDSG vorgeschlagen(5):

  • Phase 1: Festlegung des Recherche- und Analysezwecks

  • Phase 2: Identifikation geeigneter Indikatoren

  • Phase 3: Definition der abzugleichenden Datenbestände

  • Phase 4: Bereitstellung eines geeigneten Softwaretool bzw. Einsatz einer geeigneten Abfragesprache

  • Phase 5: Extraktion anonymisierter bzw. pseudonymisierter Daten aus den betrieblichen Datenbeständen

  • Phase 6: Durchführung des Datenabgleichs

  • Phase 7: Ggf. Reduktion der Schnittmenge im Ausschlussverfahren durch Anwendung weiterer Indikatoren

  • Phase 8: Personalisierung der generierten Verdachtsfälle gem. § 32 BDSG

Wiederum ist darauf zu verweisen, dass es für den Fall einer ex-post stattfindenden Evaluierung des Vorgehens der Internen Revision zu einer laufenden, zeitnahen und ausführlichen Dokumentation in Form von Aktenvermerken und/oder Darstellungen im laufend entstehenden Bericht für jede einzelne Phase kommt. Dies soll die Nachvollziehbarkeit oft komplexer Analysevorgänge sowohl für die durchführenden Revisoren(6) wie auch sachverständige Dritte jeder Zeit und vor allem zukünftig ermöglichen.

Im letzten und fünften Teil werden wir den Bogen schließen und zusammenfassend Fallvarianten der Nutzung personenbezogener Daten im Rahmen von Sonderuntersuchungen darstellen.

Audio-Blog - Gesprochen von Dr. Matthias Kopetzky:

(Download) (Download) (Download)

Fußnoten

1) PWC.de, ‘Korruptionsbekämpfung und Datenschutz sind kein Gegensatz’, 2011, S. 1f <http://www.pwc.de/de/compliance/korruptionsbekaempfung-und-datenschutz-sind-kein-gegensatz.jhtml> [zugegriffen 4 September 2011].
2) Daisy Wahl, ‘Datenschutzrisiken beim Einsatz elektronischerAnalyseverfahren personenbezogener Daten zurPrävention und Aufdeckung geschäftsschädigenderHandlungen im Unternehmen’, 2010, S. 4 <http://www.revidata.de/COMPLIANCE/Datenschutz_Gutachten_RA.pdf> [zugegriffen 4 September 2011].
3) ebenda Wahl, S. 4.
4) Vgl Leonard W. Vona, The Fraud Audit: Responding to the Risk of Fraud in Core Business Systems (John Wiley and Sons, 2011), S. 59.
5) Vgl ebenda Wahl, S. 6.
6) Selbst erfahrenen Datenanalysten fällt es bei mangelhafter Dokumentation oft schwer, zu späteren Zeitpunkten ihre eigene Analysetätigkeit uneingeschränkt und zeiteffizient darlegen zu können.

Autoren

569_1595952414196_Matthias-Kopetzky.jpg.jpg

Dr. Matthias Kopetzky CIA, CFE, CPA

Dr. Matthias Kopetzky ist Geschäftsführer der Business Valuation GmbH. Er arbeitet als gerichtlich zertifizierter und beeideter Sachverständiger eng mit Staatsanwaltschaften und Polizei sowie in Ha...