WirtschaftsWoche: Herr Hampel, am 1. September tritt das geänderte Bundesdatenschutzgesetz in Kraft. Die Antikorruptionsorganisation Transparency International warnt, es sei unausgegoren und sorge für Unsicherheit in den Unternehmen. Andere sagen, es verhindere vorbeugende Maßnahmen gegen Korruption und mache Unternehmen zu Selbstbedienungsläden. Ist das so?
Hampel: Diese Angst muss man haben.
Warum die Alarmstimmung?
Hampel: Es gibt einen neuen Paragrafen 32 im Bundesdatenschutzgesetz. Der verbietet den Unternehmen indirekt, personenbezogene Angaben wie Überweisungsdaten oder Adressen bei der Vorbeugung gegen Wirtschaftskriminalität zu benutzen. Nur wenn dokumentierte Nachweise vorliegen, dass eine Straftat begangen wurde, ist nach dem Wortlaut dieses Paragrafen die Verwendung personenbezogener Mitarbeiterdaten noch erlaubt. Verboten ist nun etwa der elektronische Abgleich persönlicher und geschäftlicher Daten, um präventiv Hinweise auf Korruption zu finden. Wir können nicht mehr Kontodaten von Beschäftigten und Überweisungen des Unternehmens mithilfe gängiger Computerprogramme gleichzeitig auf Auffälligkeiten überprüfen. Auch das Herausfiltern auffälliger Zahlungen aus umfangreichen Datenbeständen ist jetzt nach Ansicht vieler Rechtsexperten tabu. Für potenzielle Schmiergeldgeber und -empfänger ist das fantastisch – für alle anderen eine Katastrophe.
Schaar: Das wäre eine Überinterpretation der neuen Vorschrift. Ich lese den neuen Paragrafen so, dass das Verbot von Screenings nicht für präventive Maßnahmen gilt. Die Vorschrift sagt nur, dass bei der Aufdeckung und Verfolgung tatsächliche Anhaltspunkte für eine Straftat vorliegen müssen, um Daten aus der Personalakte für andere als die ursprünglichen Zwecke zu verwenden. Zum Zweck der Prävention, meine ich, sind – zunächst anonymisierte – Datenanalysen und -abgleiche auch in Zukunft möglich, auch ohne konkreten Verdacht, aber nicht ins Blaue hinein.
Hampel: Das höre ich zum ersten Mal. Schön, wenn es so wäre. Aber der Gesetzestext liest sich vollkommen anders. Wenn selbst bei der Aufdeckung wirtschaftskrimineller Straftaten in Unternehmen die Personaldaten nun nur unter strikten Bedingungen genutzt werden dürfen, warum sollte es dann bei der reinen Prävention leichter sein, sie zu verwenden? Die meisten Praktiker aus den Revisionsabteilungen und viele Korruptions- und Rechtsexperten, die sich dazu öffentlich geäußert haben, lesen den Paragrafen 32 so, dass ohne konkreten Verdacht auf Gesetzesverstöße nichts mehr getan werden darf gegen Korruption, sonst gäbe es den Protest der Experten nicht.
Schaar: Ich kann natürlich nicht die Hand dafür ins Feuer legen, dass alle meiner Interpretation folgen. Die Vorschrift ist zugegebenermaßen allgemein gehalten und bedarf der Interpretation und Konkretisierung, bezogen auf den jeweiligen Anwendungsfall.
Wer ist für die künftige Verunsicherung bei der Korruptionsbekämpfung verantwortlich?
Schaar: Es gab unterschiedliche Intentionen. Wirtschaftspolitiker legten eher Wert darauf, keine neuen konkreten Regelungen ins Gesetz aufzunehmen. Sozial- und Rechtspolitiker hätten gerne viel mehr gemacht. Nun fehlt eine explizite Regelung für die Prävention gegen Korruption. Aber früher war der Interpretationsspielraum noch größer als heute. Die Anwälte der Deutschen Bahn etwa sagten anfangs zu der Methode, die Kontodaten fast aller Mitarbeiter auf verdächtige Überweisungen zu überprüfen, alles sei rechtens gewesen. Ein solches Vorgehen würde heute niemand mehr verteidigen.
Hampel: Nein, der neue Paragraf vergrößert die Unsicherheit. Wir wissen nicht mehr, wie weit wir als Revision gehen dürfen. Das hat in den letzten Monaten dazu geführt, dass viele Revisionsleiter sich zurückhalten bei Datenanalysen jedweder Art, sogar bei der Analyse von Geschäftsdaten. Selbst die findet aus Angst vor Imageproblemen nur eingeschränkt statt.
