Sonderuntersuchung und Datenschutz, Teil 5/5

Synthese

Die Sonderuntersuchung stellt einen besonderen Fall in der Arbeit von Internen Revisionen dar. Es kann grob zwischen zwei wesentlichen Fallszenarien unterschieden werden:

1. Sonderuntersuchungen gegen bekannte Verdächtige

2. Sonderuntersuchungen gegen Unbekannte (Verdachtslage besteht) und zur Prävention

Sonderuntersuchung Fallszenario 1:

In Anlehnung an die Begründungserfordernisse für Grundrechtseingriffe in der StPO sind durch die Beantwortung der vier wesentlichen Fragen (siehe unten) in ausführlicher Dokumentation (Aktenvermerke, Bericht) die Notwendigkeit der Analyse gerade personenbezogener Daten darzulegen. Dies dient zur Absicherung des Sonderuntersuchungsteams und des Unternehmens.

• Warum kann von einem strafrechtlich relevanten Verdachtsfall ausgegangen werden?

• Warum und durch welche analytischen Schritte personenbezogener Daten muss eine Aufklärung auf Verdächtigenebene erfolgen?

• Wie sind die Interessen des Unternehmens und unter Umständen auch der Allgemeinheit betroffen, insbesondere welche Schäden erwartet werden und dass die Entstehung weiteren Schadens hintan gehalten werden soll.

• Warum ist die Maßnahme (z.B. Durchsicht in Emails, die Analyse von Präsenzdaten) fokussiert auf die Verdächtigen verhältnismäßig und nicht überschießend?

Fallszenario 2 (Sonderuntersuchung ohne konkret Tatverdächtige) lässt sich untergliedern in:

Sonderuntersuchung Fallszenario 2a:

Wenn es eine konkrete Verdachtslage gibt, jedoch keine ausreichend determinierten Verdächtigen, kann bei entsprechender funktionaler Begründung ebenfalls auf personenbezogene Daten zugegriffen werden.

Die Hürde zur Begründung ist aber wesentlich höher als in Fallszenario 1. Wieder sind die vier Fragen zum Grundrechtseingriff sorgfältig zu beantworten und zu dokumentieren.

Sonderuntersuchung Fallszenario 2b:

Dieses Szenario 2b gilt für präventive Sonderuntersuchungen (z.B. forensische Due Diligence). Man spricht auch von Fraud Audits.

Es muss zur Verhinderung von Straftaten im ersten Schritt weitestgehend auf die Verwendung personenbezogener Daten verzichtet werden. Vielmehr sollten so lange wie möglich anonymisierte bzw. pseudonymisierte Daten im Rahmen von Stichprobenkontrollen genutzt werden.⁽¹⁾

Erst wenn aufgrund der Analyse anonymisierter und pseudonymisierter Daten ausreichend dringliche Verdachtslagen herausgearbeitet worden sind, kann durch Wiederherstellung der Verknüpfungen zu konkreten Personen die Untersuchung auf personaler Ebene fortgesetzt werden. Es gelten dann die Regeln zu den Fallszenarien 1 + 2a respektive.

Damit schließen wir das Thema "Sonderuntersuchung und Datenschutz".

Ziel war, einen ersten Überblick über die Möglichkeiten der Verwendung personenbezogener Daten in der Sondersituation einer Untersuchung potenziell wirtschaftskrimineller Vorgänge zu geben.

Beachten Sie, dass gute Dokumentation und sachliche Begründungen ein wesentliches Fundament dafür sind, dass die Ermittler im Rahmen einer Sonderuntersuchung auf gesetzlich fundierter Basis agieren. Dies ist auch und gleichzeitig ein unbedingt notwendiger Schutz für das Unternehmen.

Audio-Blog - Gesprochen von Dr. Matthias Kopetzky

(Download) (Download) (Download)

Autoren

Dr. Matthias Kopetzky CIA, CFE, CPA

Dr. Matthias Kopetzky ist Geschäftsführer der Business Valuation GmbH. Er arbeitet als gerichtlich zertifizierter und beeideter Sachverständiger eng mit Staatsanwaltschaften und Polizei sowie in Ha...