Montag, 14. Juni 2021

Sonderprüfungen durch die Interne Revision

Teil 2: Beachtung von Datenschutz und Mitbestimmung bei Sonderprüfungen

Jan Meyer im Hagen, Geschäftsführer, FCH Consult GmbH

Im ersten Teil dieses Beitrags zu den Sonderprüfungen durch die Interne Revision („Was Sie bei der Einleitung einer Sonderprüfung beachten müssen!“, vgl. BTS Revision, Mai 2021) haben Sie erfahren, unter welchen Umständen eine Sonderprüfung durch die Interne Revision geboten erscheint und dass der Startschuss für die Einleitung der Prüfung erst nach einer Informationsphase und Vorentscheidung der Internen Revision sowie einer endgültigen Entscheidung des Vorstands erfolgt. 

Nach Anlage eines entsprechenden Sonderprüfungsauftrags im Revisionssystem und der Zusammenstellung eines Prüfungsteams ist nun in Abhängigkeit vom zu untersuchenden Sachverhalt die Prüfungsdurchführung zu planen. Dabei werden i. d. R. Daten ausgewertet, Unterlagen gesichtet und Interviews geführt. In diesem Beitrag möchte ich Ihnen die notwendigen Schritte zur Beachtung der Datenschutzbestimmungen und der Mitbestimmungsrechte aufzeigen.

1. Anforderungen Datenschutz

Nach Art. 6 DSGVO ist die Verarbeitung personenbezogener Daten grundsätzlich nur in folgenden Fällen zulässig: 

  • Einwilligung des Betroffenen
  • Verarbeitung ist für die Erfüllung eines Vertrages erforderlich
  • Verarbeitung ist nach Interessensabwägung erforderlich 

Nach § 26 BDSG dürfen Beschäftigtendaten zum Zweck der Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erhoben werden. Darüber hinaus dürfen personenbezogene Daten von Beschäftigten zur Aufdeckung von Straftaten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Die diesbezüglichen Zulässigkeitskriterien des BDSG greifen bereits, wenn Tatsachen vorliegen, die zwar nicht den Straftatbestand erfüllen, wohl aber Indizien dafür bilden. Allerdings muss sich der Verdacht auf einen konkreten Straftatbestand beziehen. Verstöße gegen das Ordnungswidrigkeitsrecht, das Privatrecht und bankinterne Vorschriften können als Auswertungsgrund nur dann angeführt werden, wenn diesbezüglich eine Einwilligung gem. § 26 Abs. 2 BDSG des Beschäftigten erfolgt ist. Diese Einwilligung kann auch in Form einer Betriebs- bzw. Dienstvereinbarung vorliegen. 

2. Mitbestimmung

Gemäß § 87 Abs. 1 Nr. 6 des Betriebsverfassungsgesetzes (die Personalvertretungsgesetzen der Länder enthalten analoge Regelungen) steht dem Betriebs- bzw. Personalrat ein Mitbestimmungsrecht hinsichtlich der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, zu. Nach aktueller Rechtsauffassung gilt dieses Mitbestimmungsrecht auch für Datenauswertungen, die der Leistungs- und Verhaltenskontrolle dienen. 

Alle Datenauswertungen zur Aufklärung von Fraud-Fällen dienen selbstverständlich der Verhaltenskontrolle der beschuldigten Mitarbeiter. Insofern besteht im Einzelfall oder im Rahmen einer Betriebs- oder Dienstvereinbarung hinsichtlich des generellen Verfahrens ein Mitbestimmungsrecht des Betriebs- bzw. Personalrats.  

Die Mitbestimmung umfasst dabei zwar nicht das „Ob“, d. h. die Tatsache, dass das Institut zur Aufklärung von Fraud verpflichtet ist. Betriebs- oder Dienstvereinbarungen, welche die Einleitung von Sonderprüfungen an die Zustimmung des Betriebs- bzw. Personalrats knüpfen, sollten daher vermieden werden.

Gleichwohl unterliegt das „Wie“ der Mitbestimmung. Betriebs- bzw. Dienstvereinbarungen könnten etwa den Verfahrensablauf einer Datenauswertung (z. B. die vorrangige Pseudonymisierung der Daten), Informationspflichten oder die Teilnahme weiterer Personen an Datenerhebungen (Kontrollrechte) regeln. Sofern derartige Regelungen im Institut bestehen, sind diese für die Tätigkeit der Internen Revision bindend.

3. Einleitungsvermerk

Zu Beginn einer Sonderprüfung bedarf es eines aussagefähigen Einleitungsvermerks. Der Einleitungsvermerk und die damit festgelegten konkreten Maßnahmen und Datenauswertungen konkretisieren den Prüfungsauftrag der Geschäftsleitung.

Aufgrund der möglichen Auswirkung und Komplexität einer Sonderprüfung sollte der Einleitungsvermerk kompetenzgerecht innerhalb der Internen Revision (i. d. R. Revisionsleitung) genehmigt werden.

Folgende Punkte sollten aus dem Vermerk hervorgehen:

  • Liegen konkrete Anhaltspunkte auf eine Straftat vor?
  • Liegt eine Einwilligung des Beschäftigten (ggf. in Form einer Betriebs- oder Dienstvereinbarung) vor?
  • Wurde die mögliche Straftat eines Mitarbeiters innerhalb dessen Beschäftigungsverhältnis begangen?
  • Ist die Erhebung, Verarbeitung oder Nutzung von Daten zur Aufdeckung der Straftat erforderlich?
  • Wurde eine Abwägung der schutzwürdigen Interessen des Mitarbeiters gegen die Notwendigkeit der Prüfungshandlungen vorgenommen und wird Verhältnismäßigkeit gewahrt?

Auf dieser Grundlage sind die geplanten Prüfungshandlungen und Datenauswertungen vor deren Durchführung zu dokumentieren. Dabei sollte auch herausgearbeitet werden, ob ggf. zunächst eine pseudonymisierte Auswertung ausreichend ist.

Die Datenauswertungen müssen stets als zwangsläufig begründbar und nicht durch andere Mittel ersetzbar sein. Neben einer anonymisierten Datenauswertung (d. h. es werden keinen personenbezogenen Daten ausgewertet, da der Rückschluss auf einzelne Beschäftigte nicht möglich ist) kommt hier ggf. auch die Prüfungsmethode der „Befragung“ des betroffenen Mitarbeiters in Frage.

Lesen Sie im dritten Teil dieser Beitragsserie in der nächsten BTS Revision, was Sie bei der Durchführung von Interviews im Rahmen von Sonderprüfungen beachten sollten.  

PRAXISTIPPS

  • Sofern im Rahmen von Sonderprüfungen personenbezogene Beschäftigtendaten, z. B. bei Datenauswertungen, verarbeitet werden, sind die Datenschutzbestimmungen und die Rechte der Mitbestimmung zu beachten.
  • Sofern die Datenauswertung durch institutsindividuelle Betriebs- bzw. Dienstvereinbarungen geregelt ist, hat die Interne Revision diese Vereinbarungen im Rahmen ihrer Prüfungshandlungen zu beachten.
  • Achten Sie auf die rechtzeitige und vollständige Erstellung eines Einleitungsvermerks, in dem die Notwendigkeit und Verhältnismäßigkeit aller Datenauswertungen vor deren Durchführung nachvollziehbar dokumentiert werden. Dieser Einleitungsvermerk ist im Verlauf der Prüfung an eine ggf. veränderte Prüfungsvorgehensweise anzupassen bzw. zu aktualisieren. Speichern Sie in diesem Fall die vorhergehenden Versionen unveränderbar ab.

Beitragsnummer: 18239

Beitrag teilen:

Produkte zum Thema:

Produkticon
FCH BeratungAktuell: Interne Revision

Beiträge zum Thema:

Beitragsicon
IT-Sonderprüfungen – Professionelle Vor- und Nachbereitung

Das Risiko für eine Sonderprüfung mit IT-Bezug ist höher denn je. Wie können sich Banken bestmöglich vorbereiten und Mängel strukturiert abarbeiten?

21.07.2023

Beitragsicon
Neue EU-RL: Im Fernabsatz geschlossene Finanzdienstleistungsverträge

Zur Sicherung der Verbraucher-Rechte bei den im Fernabsatz geschlossenen Verbraucherverträge sind grundlegende Änderungen zukünftig in der Bank umzusetzen.

25.04.2024

Beitragsicon
Nachhaltigkeitsberichterstattung nach der CSRD

Die Corporate Sustainability Reporting Directive (CSRD) ist neben der Offenlegungsverordnung (SFRD) und der EU Taxonomie-Verordnung (EU TaxonomieVO) eine der

17.07.2024

Beitragsicon
Selbstverursachter Betrug durch Beeinflussung menschlicher Urinstinkte

Kostspieliger, autorisierter Zahlungsbetrug, ermöglicht durch unachtsame Kommunikation in sozialen & beruflichen Medien & gezielter Spear-Phishing-Attacken.

08.11.2022

Beitragsicon
Datenschutzprüfungen effizient vorbereiten

Bestellungspflicht von Datenschutzbeauftragten, Künstliche Intelligenz und zunehmende Prüfungen der Umsetzung datenschutzrechtlicher Anforderungen.

08.04.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.