Icon für Compliance - weißes Paragrafenzeichen auf orangenen Grund –
Compliance

Interne Revision und Datenschutz

Rainer Trierweiler
Verfasst von: Rainer Trierweiler
Berater für Datenschutz

In Unternehmen stellt sich bei einer Revisionsprüfung die Frage, ob die Interne Revision (IR) sich an datenschutzrechtliche Vorgaben nach DSGVO und BDSG zu halten hat oder ob sie im Rahmen ihres umfassenden Informationsrechts auch Zugriff auf personenbezogene Daten wie Beschäftigten-, Kunden- und Lieferantendaten haben kann.

Aufgabe der internen Revision

Die Aufgabe der IR ist es Prozesse zu überprüfen, indem sie Vorgänge auf Ordnungsmäßigkeit untersucht oder Ineffektivität, Unregelmäßigkeiten oder Manipulation aufdeckt. Oftmals findet ein Vergleich des „Ist-Zustandes“ mit dem „Soll-Zustand“ im Unternehmen statt. Die Prüfungstätigkeit der IR erfordert daher in der Regel keinen Zugriff auf gespeicherte personenbezogene Daten (pD).

Auf der anderen Seite ist die Auswertung von pD oftmals unabdingbare Voraussetzung für eine erfolgreiche prüfende Tätigkeit der IR.

Die Interne Revision verfügt grundsätzlich über ein uneingeschränktes Informationsrecht. Sie darf die zur Wahrnehmung ihrer Aufgaben notwendigen Informationen und Unterlagen bezüglich der Geschäfts- und Buchhaltungsdaten einholen und auch pD einsehen und auswerten. Sie ist jedoch verpflichtet, sich an die entsprechenden Datenschutzvorgaben und Gesetze zu halten. Werden pD also nicht anonymisiert, unterliegt der Umgang mit diesen Daten den gesetzlichen Vorgaben der DSGVO und/oder des BDSG.

Die datenschutzrechtliche Grundlage

Die Geschäftsordnung der IR, die normalerweise von der Geschäftsleitung verabschiedet wird, scheidet als gesetzliche Erlaubnisnorm für die Datenverarbeitung aus, da diese Norm zu unbestimmt ist. Es werden hierbei weder Art der Daten noch der Verarbeitungszweck angegeben. Eine bloße Zuweisung oder Beschreibung einer Aufgabe reicht als Erlaubnisnorm für die Prüftätigkeit der IR in der Regel nicht aus. 

Als Rechtsgrundlage kommt daher entweder § 26 Abs. 1 BDSG (Durchführung des Beschäftigungs­verhältnisses) oder das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse = Erfüllung eigener Geschäftszwecke) in Betracht, je nachdem um welche Art von pD es sich handelt. Die Tätigkeit der Internen Revision dient der Unternehmensleitung oder dem Aufsichtsorgan dazu, sich von der Einhaltung unternehmensinterner Vorgaben und von rechtlichen Regelungen zur Einhaltung der Ordnungsmäßigkeit von Geschäftsvorgängen zu überzeugen. Insoweit bildet diese Rechtsgrundlage mit ihrer Interessenabwägung den Maßstab und die Voraussetzungen einer rechtmäßigen Datenverarbeitung.

Was es zu beachten gilt

Bei der Datenverarbeitung durch die IR sind klare Regelungen zum Umgang mit pD vorab festzulegen. Hierbei ist darauf zu achten, dass sowohl die abteilungsinternen Prozesse als auch das Prüfungsvorgehen datenschutzfreundlich bzw. -konform gestaltet werden.

Bereits bei der Erstellung des Prüfungsauftrags durch den Vorstand muss darauf geachtet werden, datenschutzrelevante Inhalte in den Punkten Prüfungsumfang, Risiken und Prüfungsvorgehen zu konkretisieren.

Insbesondere die Prüfzwecke der IR müssen abschließend und vor Beginn der Datenverarbeitung bzw. des Datenzugriffs im Einzelnen konkret festgelegt werden. Auch sollte sich daraus ergeben, ob Schwerpunkt der Prüfung zum Beispiel Geschäftsprozesse sind oder ob pD im Fokus stehen. Nicht zuletzt hängt davon die datenschutzrechtliche Interessenabwägung ab.

Ebenfalls festgelegt werden müssen der konkrete Umfang, die Dauer der Prüfung, der Umfang der zu prüfenden Systeme, Datenarten und Personen, die Gegenstand/Betroffene der Prüfung sind. Die „Streubreite“ der Kontrollmaßnahme muss möglichst klein gehalten werden – also möglichst wenige Beschäftigte und möglichst wenige Daten sollen von der Maßnahme betroffen sein.

Je nach konkretem Prüfungsauftrag muss sich eine Abstimmung mit dem zuständigen Datenschutzbeauftragten anbieten. Insbesondere sollten bei der Verarbeitung innerhalb der IR folgende Punkte im Vorfeld geklärt sein:

  • Einführung eines neuen – oder wesentliche Änderungen eines bestehenden – IT gestützten Revisionstools
  • Ablage, Archivierung und Löschung von Prüfungsdaten
  • Einzelfragen bei Prüfungen
  • Grundlegende Prozesse zum Prüfungsvorgehen (zum Beispiel Datenanalysen und temporäre Zugriffe auf Systeme etc.)
  • Vorgehensweise bei Ermittlungen bzw. der Klärung von Verdachtsfällen
     

Darüber hinaus hängt die Zulässigkeit der Datenverarbeitung von der Möglichkeit und dem Aufwand, der für die verantwortliche Stelle mit dem Ergreifen von technischen und organisatorischen Sicherheitsmaßnahmen, insbesondere der Realisierung eines anonymisierten beziehungsweise pseudonymisierten Zugriffs verbunden ist.

Während der Prüfungsdurchführung hat sich die IR gemäß der im Prüfungsauftrag freigegebenen Umfänge bzw. der im generellen Regelungsgerüst der Abteilung vorgegeben technischen und organisatorischen Maßnahmen zu bewegen (Pseudonymisierung und Verschlüsselung von pD, Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit, etc.). Nach dem Grundsatz der Datensparsamkeit dürfen daher nur prüfungsrelevante Daten angefordert werden bzw. sind diese zu anonymisieren oder pseudonymisieren.

Die Fragestellung nach der Zulässigkeit oder Unzulässigkeit einer Datenanalyse der IR lässt sich pauschal jedoch nicht immer eindeutig beantworten und muss daher im Einzelfall untersucht werden. Wir helfen Ihnen gerne dabei!

chevron_left zurück zur Übersicht

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.