Korruption "Pendel am Anschlag"

Der Bundesdatenschutzbeauftragte Peter Schaar und der Revisionsexperte Volker Hampel streiten: Bringt mehr Datenschutz im Betrieb mehr Korruption?

  • Teilen per:
  • Teilen per:
Peter Schaar (links) und Volker Hampel (rechts) Quelle: Andreas Chudowski für WirtschaftsWoche

WirtschaftsWoche: Herr Hampel, am 1. September tritt das geänderte Bundesdatenschutzgesetz in Kraft. Die Antikorruptionsorganisation Transparency International warnt, es sei unausgegoren und sorge für Unsicherheit in den Unternehmen. Andere sagen, es verhindere vorbeugende Maßnahmen gegen Korruption und mache Unternehmen zu Selbstbedienungsläden. Ist das so?

Hampel: Diese Angst muss man haben.

Warum die Alarmstimmung?

Hampel: Es gibt einen neuen Paragrafen 32 im Bundesdatenschutzgesetz. Der verbietet den Unternehmen indirekt, personenbezogene Angaben wie Überweisungsdaten oder Adressen bei der Vorbeugung gegen Wirtschaftskriminalität zu benutzen. Nur wenn dokumentierte Nachweise vorliegen, dass eine Straftat begangen wurde, ist nach dem Wortlaut dieses Paragrafen die Verwendung personenbezogener Mitarbeiterdaten noch erlaubt. Verboten ist nun etwa der elektronische Abgleich persönlicher und geschäftlicher Daten, um präventiv Hinweise auf Korruption zu finden. Wir können nicht mehr Kontodaten von Beschäftigten und Überweisungen des Unternehmens mithilfe gängiger Computerprogramme gleichzeitig auf Auffälligkeiten überprüfen. Auch das Herausfiltern auffälliger Zahlungen aus umfangreichen Datenbeständen ist jetzt nach Ansicht vieler Rechtsexperten tabu. Für potenzielle Schmiergeldgeber und -empfänger ist das fantastisch – für alle anderen eine Katastrophe.

Schaar: Das wäre eine Überinterpretation der neuen Vorschrift. Ich lese den neuen Paragrafen so, dass das Verbot von Screenings nicht für präventive Maßnahmen gilt. Die Vorschrift sagt nur, dass bei der Aufdeckung und Verfolgung tatsächliche Anhaltspunkte für eine Straftat vorliegen müssen, um Daten aus der Personalakte für andere als die ursprünglichen Zwecke zu verwenden. Zum Zweck der Prävention, meine ich, sind – zunächst anonymisierte – Datenanalysen und -abgleiche auch in Zukunft möglich, auch ohne konkreten Verdacht, aber nicht ins Blaue hinein.

Hampel: Das höre ich zum ersten Mal. Schön, wenn es so wäre. Aber der Gesetzestext liest sich vollkommen anders. Wenn selbst bei der Aufdeckung wirtschaftskrimineller Straftaten in Unternehmen die Personaldaten nun nur unter strikten Bedingungen genutzt werden dürfen, warum sollte es dann bei der reinen Prävention leichter sein, sie zu verwenden? Die meisten Praktiker aus den Revisionsabteilungen und viele Korruptions- und Rechtsexperten, die sich dazu öffentlich geäußert haben, lesen den Paragrafen 32 so, dass ohne konkreten Verdacht auf Gesetzesverstöße nichts mehr getan werden darf gegen Korruption, sonst gäbe es den Protest der Experten nicht.

Schaar: Ich kann natürlich nicht die Hand dafür ins Feuer legen, dass alle meiner Interpretation folgen. Die Vorschrift ist zugegebenermaßen allgemein gehalten und bedarf der Interpretation und Konkretisierung, bezogen auf den jeweiligen Anwendungsfall.

Wer ist für die künftige Verunsicherung bei der Korruptionsbekämpfung verantwortlich?

Schaar: Es gab unterschiedliche Intentionen. Wirtschaftspolitiker legten eher Wert darauf, keine neuen konkreten Regelungen ins Gesetz aufzunehmen. Sozial- und Rechtspolitiker hätten gerne viel mehr gemacht. Nun fehlt eine explizite Regelung für die Prävention gegen Korruption. Aber früher war der Interpretationsspielraum noch größer als heute. Die Anwälte der Deutschen Bahn etwa sagten anfangs zu der Methode, die Kontodaten fast aller Mitarbeiter auf verdächtige Überweisungen zu überprüfen, alles sei rechtens gewesen. Ein solches Vorgehen würde heute niemand mehr verteidigen.

Hampel: Nein, der neue Paragraf vergrößert die Unsicherheit. Wir wissen nicht mehr, wie weit wir als Revision gehen dürfen. Das hat in den letzten Monaten dazu geführt, dass viele Revisionsleiter sich zurückhalten bei Datenanalysen jedweder Art, sogar bei der Analyse von Geschäftsdaten. Selbst die findet aus Angst vor Imageproblemen nur eingeschränkt statt.

Schaar: Wo es um unternehmensbezogene Daten wie Lieferanten und nicht um Angaben über Beschäftigte geht, spielt der Arbeitnehmerdatenschutz gar keine Rolle. Wenn ein Buchhalter bucht, sind die Buchungen zwar auf ihn zurückzuführen, aber die Prüfung der Rechtmäßigkeit und der Richtigkeit der Angaben unterliegt nicht dem Arbeitnehmerdatenschutz.

Hampel: Das ist richtig, aber es wird kaum noch differenziert. Normale Datenanalysen werden seit Monaten mit zu Recht angeprangerten Methoden in einen Topf geworfen. Die Gesetzesnovelle schafft Rechtsunsicherheit, und das hilft nicht den rechtstreuen Arbeitnehmern, sondern den für Korruption anfälligen. Das schadet der Wirtschaft insgesamt.

Schaar: Ich bin natürlich für eine effiziente Korruptionsbekämpfung. Entsprechend hoffe ich auch, dass die neuen Regelungen nicht so überinterpretiert werden, wie Sie, Herr Hampel, das jetzt beschreiben.

Wird es durch mehr Datenschutz für Arbeitnehmer künftig mehr Schmiergeldskandale geben?

Hampel: Die Sorge muss man haben. Die Aufdeckung wird schwieriger, die Grauzone größer. In Unternehmen mit 10.000 Buchungsvorgängen am Tag kann sich der Revisor nicht am Ende des Jahres an den Schrank stellen, Belege sichten und Überweisungen suchen, bei denen knapp Höchstgrenzen unterschritten werden, um Kontrollen zu umgehen. Die Revisoren, die überwachen sollen, dass das Unternehmen ordnungsgemäß und regelkonform agiert, stehen erst mal ohne Hosen da.

Schaar: Aber runtergelassen haben die Hosen die Unternehmen, die sich eklatant unrechtmäßig verhalten haben.

Etwa die Deutsche Bahn unter Ex-Chef Hartmut Mehdorn, wo Konzernsicherheit und Revision in Hunderten von Fällen persönliche Festplatten und E-Mail-Postfächer heimlich gefilzt haben?

Schaar: Deutsche Bahn, Deutsche Telekom, Deutsche Post, Deutsche Bank, Lidl. Viele der inakzeptablen Maßnahmen waren übrigens eher gezielte Überwachungsmaßnahmen und keine elektronischen Datenscreenings. Gefragt wurde oft nicht, was ist legal im Umgang mit Arbeitnehmerdaten, sondern: Was kostet mich der Verstoß? Dass das Gesetz nun klarmacht, dass Beschäftigtendaten einer besonderen Zweckbindung unterliegen, ist ein Fortschritt. Bedauerlich, dass zum Teil nun falsche Schlüsse daraus gezogen werden.

Hampel: Ob nun falsche oder richtige Schlüsse: Jedwede Form von Datenanalyse mit der Absicht, Wirtschaftskriminalität aufzudecken oder zu verhindern, steht momentan zur Disposition. Die Unternehmen sind aufgrund der Daten- und Spitzelskandale, von denen sich der Berufsstand der Revisoren distanziert, übervorsichtig geworden. Es kommt vor, dass Vorstände ihre Revisionschefs anweisen, sich total defensiv zu verhalten – mach mal lieber nichts mehr. Revisionsmitarbeiter wurden von Gewerkschaftern als betriebliche Stasi beschimpft. Die Revision als Berufsstand mit rund 25 000 Fachleuten und die Korruptionsabwehr stehen am Pranger.

Schaar: Aber das liegt nicht am Gesetz, sondern an den Skandalen. Die Neuregelung ist ja eine Konsequenz dieser Vorfälle.

Hampel: Die Verunsicherung ist seit Monaten da, und jetzt kommt noch eins drauf. Die Gesetzesreglung wird in den Revisionen als Bestätigung genommen, dass Datenanalyse kaum noch geht.

Schaar: Ich finde Ihre Befürchtungen ein Stück weit überzogen. Grundsätzlich geht es ja darum, Auffälligkeiten, also Muster, zu erkennen, ohne dass man im ersten Schritt den direkten Rückschluss auf Personen braucht. Eine Mustererkennung mit anonymisierten Daten ist weiterhin möglich. Und wenn man bei einer solchen Auswertung Anhaltspunkte gewinnt, dass bezogen auf konkrete Geschäftsvorgänge Rechtsverstöße erfolgt sind, ist die Herstellung eines Personenbezugs auch legitim und legal. Es muss aber zuvor eine Gefährdungsanalyse stattfinden, es müssen Schwachstellen analysiert werden. Der Kreis der in die Analyse einbezogenen Personen muss möglichst klein gehalten werden. Es soll keinen Schuss mit der Schrotflinte mehr geben und keine Maßnahmen ins Blaue hinein. Die sind sowieso ineffizient, wie die Massenscreenings etwa bei der Deutschen Bahn ja belegt haben.

Hampel: Die Eingrenzung des Untersuchungsobjekts auch zu Dokumentationszwecken ist etwas, womit wir durchaus leben können. Im Idealfall beschränkt man sich auf definierte Bereiche wie Einkauf, Buchhaltung, Reisekosten. Massendatenscreenings über fast die komplette Belegschaft sind im Übrigen sicher nicht die Regel in den Unternehmen. Der Eindruck, dass die Revisoren in Deutschland unkontrolliert Massendatenbestände aller Mitarbeiter regelmäßig screenen nach irgendwelchen Dingen, der stimmt nicht...

Schaar: Ihr Wort in Gottes Ohr.

Vor wenigen Jahren wurde nach der Siemens-Affäre eine professionelle Korruptionsabwehr zum primären Ziel der Unternehmensführung erhoben. Jetzt ist durch die Datenskandale plötzlich der Datenschutz wichtiger. Was nun?

Hampel: Das ist ein Zielkonflikt – was Herr Schaar ja kürzlich bestritten hat.

Schaar: Das habe ich nicht bestritten. Den Zielkonflikt gibt es. Die Lösung kann dabei jedenfalls nicht sein, wie bisher das eine Ziel zu 100 Prozent zu verfolgen und das andere gar nicht.

Hampel: Man wird die elektronischen Werkzeuge, mit denen Millionen von Belegen und Kontobewegungen analysiert werden, auch künftig verwenden müssen. Die US-Organisation Coso, die für interne Kontrollsysteme wegweisende Empfehlungen ausspricht, empfiehlt aktuell im Zuge der Finanzkrise sogar, systeminterne Kontrollen einzuführen, also systemisch mitlaufende IT-integrierte Kontrollen, um auffällige Muster rechtzeitig herauszufinden. Analytische Methoden, die bei uns jetzt zur Debatte stehen, sind international erprobt und dürfen nicht wegfallen.

Schaar: Ich hoffe, dass der Bundestag in der neuen Legislaturperiode endlich ein Arbeitnehmerdatenschutzgesetz verabschiedet, das den datenschutzrechtlichen Rahmen auch für die Prävention gegen Wirtschaftskriminalität unmissverständlich definiert und dabei auch mögliche Missverständnisse bei der Auslegung von Paragraf 32 ausräumt.

Hampel: Mir wäre es fast lieber, es gäbe ein Antikorruptionsgesetz, das dann umgekehrt dem Datenschutz Grenzen setzt.

Weil das Pendel noch mehr Richtung Datenschutz ausschlagen könnte?

Hampel: Das Pendel ist schon am Anschlag. Aber eine Stärkung des Datenschutzbeauftragten im Unternehmen ist sinnvoll. Nur wissen auch die Datenschutzbeauftragten in den Unternehmen nicht, was dieser neue Paragraf eigentlich will.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%