Ohne IT geht bei der Suche nach korrupten Einkäufern und anderen Wirtschaftskriminellen nichts mehr. Verbindungsdaten und Nutzerkonten sind für viele Fahnder zum unverzichtbaren Rohstoff geworden, aus dem sich Beweismittel und Ermittlungsansätze extrahieren lassen. Wenn Staatsanwälte wissen wollen, ob bei einem Auftrag Schmiergeld im Spiel war, ein Arbeitsgericht klären will, ob der externe Programmierer nicht in Wirklichkeit ein Scheinselbstständiger ist, oder die Konzernrevision herausfinden muss, wer Geheimnisse an die Konkurrenz verrät, geht heute kaum noch etwas ohne einen Blick in die Unternehmenssysteme.
Durch die Analyse von Datenspuren liefert die Computerforsensik wertvolle Ergebnisse, wenn es darum geht, Betrügereien und andere Wirtschaftsdelikte aufzudecken und Innentäter zu identifizieren. Externe Computerforensiker, die für Wirtschaftsprüfungsgesellschaften arbeiten, schöpfen die Quelle Computernetzwerk ebenso gerne ab wie Mitarbeiter der Konzernsicherheit und Compliance.
"Der CIO bekommt durch ihr forsches Vorgehen jedoch mitunter Probleme", sagt der IT-Rechtsexperte Franz-Josef Schillo von der Kanzlei Noerr LLP in Dresden. Er ist wie jeder Unternehmensverantwortliche einem immer komplexeren Geflecht von Regelungen verpflichtet, die bestimmen, in welcher Weise die Daten, die Arbeitnehmer in den Systemen hinterlassen, geschützt werden müssen und genutzt werden dürfen.
Eigentlich gelten sie auch für alle anderen an der Ermittlungsarbeit Beteiligten. Doch Fälle wie der aus dem Ruder gelaufene Antikorruptionskampf der Deutschen Bahn in den vergangenen Jahren zeigen, dass die Ermittler bei ihrer Arbeit mitunter Datenschutzbedenken hintanstellen und über das Ziel hinausschießen. Und das kann für alle Beteiligten gefährlich werden, selbst für den CIO. Denn auch bei der Vermeidung und Verfolgung von Wirtschaftsdelikten gelten strenge Regeln.
Bei Kontrollen und internen Ermittlungen müssen Unternehmen vor allem den Datenschutz beachten. Die Nichtbefolgung dieser Regeln kann zu Millionenschäden führen und sogar den CIO den Arbeitsplatz kosten. Bei schweren Verstößen sieht das Bundesdatenschutzgesetz Geld- und Haftstrafen gegen die Verantwortlichen vor.
Beispiel Bahn
Die Warnung ist keineswegs übertrieben. Ins Gefängnis mussten Bahnchef Hartmut Mehdorn und der Korruptionsbeauftragte Wolfgang Schaupensteiner, einst ein gefeierter Staatsanwalt, zwar nicht. Beide wurden aber infolge der Datenaffäre entlassen, bei der Mitarbeiteradressen in Rasterverfahren mit verdächtigen Firmenkontakten abgeglichen und unzählige Mails mitgelesen worden waren.
Der Moment, in dem der Chef der internen Ermittlungsabteilung dringend um ein Gespräch bittet, ist für viele CIOs deshalb aus gutem Grund einer, in dem der Puls in die Höhe schnellt. "Das erste Mal ist man natürlich aufgeregt", sagt Andreas Resch, der ehemalige CIO der Bayer AG und Vorstand des Berliner Beratungsunternehmens Modalis. "Ich fürchte, dass in so einem Moment die allermeisten CIOs ein Problem haben, weil sie auf diese Situation nicht vorbereitet sind."
Der CIO muss einen Spagat bewerkstelligen. Zwar gibt es natürlich die Interessen derjenigen, die mögliche Innentäter aufspüren müssen. Wie aber kann er sie unterstützen, ohne die Datenschutzgesetzgebung außer Acht zu lassen? Vor allem in den mittelständischen Unternehmen, in denen die allermeisten CIOs in Deutschland arbeiten, gibt es in der Regel keine Policies, die genau regeln, wer unter welchen Umständen Zugriff auf Mitarbeiterdaten hat.
Klare Regeln für sein Handeln kann der CIO auch aus dem Bundesdatenschutzgesetz (BDSG) in der Regel nicht direkt ableiten. Viele Formulierungen dort sind schwammig. Zuletzt sorgten die im Sommer 2009 verabschiedeten neuen Regelungen zum Arbeitnehmerdatenschutz bei vielen Rechtsexperten und internen Ermittlern für Verdruss. Der Gesetzgeber reagierte damit auf die Spitzelaffären in deutschen Großunternehmen, wie etwa Lidl, der Deutschen Telekom, der Deutschen Bahn und zuletzt der Deutschen Bank.
Auch das neue BDSG ist unklar
Er versäumte es aber, für die Praxis klipp und klar zu definieren, was geht und was nicht. "Schon das alte BDSG war unübersichtlich. Es enthielt kaum brauchbare und klare Vorgaben, was genau erlaubt und was verboten ist", kritisiert Tim Wybitul, Experte für Compliance und Datenschutz bei der internationalen Kanzlei Mayer Brown. "Dies erschwert es Managern ganz erheblich, belastbare Entscheidungen über den Arbeitnehmerdatenschutz im Rahmen von Compliance-Maßnahmen in ihrem Unternehmen zu treffen. Diese Unklarheiten bei der Planung interner Ermittlungen wurden durch das neue BDSG nicht beseitigt."
Immerhin aber gibt es einige Grundregeln, die CIOs zeigen, welche Ermittlungsformen zulässig sind. Die wichtigste Regel lautet, dass es nicht erlaubt ist, die Daten vieler einzusehen um einzelne Missetäter dingfest zu machen. Zurückhaltung, gezieltes Vorgehen und Verhältnismäßigkeit der Mittel sind die Gebote der Stunde.
Wenn jemand Mails oder Verbindungsdaten einsehen möchte, müssen tatsächliche Anhaltspunkte vorliegen, warum das notwendig ist. Abstrakte Verdachtsmomente oder der Wunsch, einfach mal zu erfahren, was so läuft, reichen nicht aus. Massen-Screenings wurden bisher oft von spezialisierten IT-Fachleuten und Wirtschaftsprüfungsgesellschaften eingesetzt, zum Beispiel um Kickback-Zahlungen an korrupte Einkaufsmitarbeiter im Firmendatenwust aufzuspüren. Ihre Zulässigkeit war allerdings bereits nach dem alten Datenschutzrecht äußerst umstritten.
Die Gesetzesnovelle macht sie nun fast unmöglich. "Vor allem der systematische Abgleich von Arbeitnehmerdaten mit anderen Quellen ist nur noch zulässig, wenn tatsächliche Anhaltspunkte dafür vorliegen, dass Straftaten begangen worden sind - und sich das Unternehmen bei seinen Ermittlungen auf die tatsächlich betroffenen Abteilungen beschränkt", sagt Wybitul. Auch die Durchsicht von E-Mails oder die Überprüfung von IT-Nutzerprotokollen ohne konkrete Verdachtsmomente dürfte allenfalls noch in Ausnahmefällen erlaubt sein.
Wie aber soll ein CIO reagieren, wenn jemand von der Revision an ihn wegen einer IT-Rasterfahndung heran tritt? "Mittlerweile würde ich sagen, nein, tut mir Leid, das kann ich nicht ohne Anlass machen", sagt der IT-Fachanwalt Schillo. "Erkläre mir bitte, was du tun willst und warum das nötig ist." Die Taten, die aufgeklärt werden sollen, müssen zudem strafbar sein oder schwere Verfehlungen darstellen. Einfache Verstöße gegen den Arbeitsvertrag reichen nicht aus, um so einen Eingriff zu begründen.
Und wie verfährt man, wenn konkrete Verdachtsmomente gegen einen Einzelnen vorliegen und der Eingriff gut begründet scheint? Dann müssen ein Unternehmensjurist, der Datenschutzbeauftragte und Arbeitnehmervertreter benachrichtigt werden. Wichtig ist es, die Handhabung der Daten sorgfältig zu dokumentieren. Eindeutig private Daten, etwa bestimmte E-Mail-Nachrichten, dürfen nicht eingesehen werden, können aber unter Umständen - für den Fall, dass man sie als Beweismittel eventuell benötigt – digital eingefroren werden.
"Das Problem in solchen Situationen ist oft, dass unter Zeitdruck viel entschieden werden muss, das später gewichtige Folgen haben kann", sagt Franz-Josef Schillo. Wer etwa beim Umgang mit Daten, die als Beweismittel dienen sollen, Fehler macht, riskiert, dass sie in einem Gerichtsverfahren nicht mehr genutzt werden können. Wer Datenschützer oder Betriebsräte nicht einbezieht, riskiert unter Umständen nicht nur juristischen Ärger, sondern belastet die Zusammenarbeit zwischen Fachabteilungen und das Verhältnis zu den Mitarbeitervertretern.
Szenario im Vorfeld überlegen
Um das zu vermeiden, raten Anwälte dazu, kompakte, einfache Handlungsanweisungen für unterschiedliche Szenarien zu entwickeln und diese mit dem Betriebsrat sowie dem Datenschutzbeauftragten abzustimmen. Was passiert, wenn Themen wie "Mitarbeiter gibt Firmengeheimnisse weiter" oder "Externe Behörde ermittelt wegen Korruptionsverdacht" im Raum stehen? Wer muss benachrichtigt werden? Welche Rechte sind in welchem Fall zu berücksichtigen? "Ich muss bei jedem Szenario überlegen, wie ich vorgehe", sagt Schillo. "Wie werden im Fall X die Arbeitnehmerrechte gewahrt, wie wird im Fall Y die Privatheit garantiert? Dann habe ich eine Check- und Beteiligungsliste, die ich abhaken kann, und renne im Ernstfall nicht kopflos herum."
Auch Ex-CIO Jürgen Resch rät den IT-Verantwortlichen, pro-aktiv ihre Hausaufgaben zu machen, damit im Falle eines Falles keine Pannen passieren. "Jeder braucht einen schriftlichen Waschzettel, auf dem all das steht. Es reicht nicht, wenn der CIO das nur im Kopf hat. Vielleicht ist er, wenn genau dieses Wissen gefragt ist, gerade im Urlaub oder aus anderen Gründen nicht zu erreichen", sagt er. "In meiner Zeit bei Bayer war das Vorgehen im Falle eines Falles immer klar geregelt. Das hat dazu geführt, dass alle Abteilungen auch in kniffligen Situationen gut und entspannt zusammenarbeiten konnten."
BDSG - Drei Paragrafen, die Sie kennen sollten |
§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke "Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen." § 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses "Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten ... nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind." § 33 Benachrichtigung des Betroffenen "Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen." Quelle: Bundesdatenschutzgesetz |