Interne Untersuchungen? – Bitte nur mit Datenschutz!
Viele Unternehmen bekennen sich zur weltweiten Bekämpfung von Korruption in all ihren Erscheinungsformen, unterstützen nationale und internationale Anstrengungen und lehnen jegliches korruptes Verhalten ab.
Wie bei allen anderen im Unternehmen anstehenden Aufgaben kann die Geschäftsleitung den Aufbau und den Betrieb eines Compliance-Management-Systems delegieren. In der Regel übernimmt diese Aufgabe ein Compliance-Officer oder je nach Ausgestaltung und Größe des Unternehmens, ein Chief Compliance Officer, welche dann als Hauptakteure eines eines Compliance-Management-Systems (CMS) für die Einhaltung von gesetzlichen Vorschriften eintreten, in dem sie zusammen mit allen anderen Beschäftigten des Unternehmens dafür Sorge tragen, dass sowohl unternehmensinterne Richtlinien/Anweisungen als auch gesetzliche Regelungen sichergestellt und überwacht werden.
Dies damit einhergehende Verarbeitung von teilweise sehr sensiblen Informationen über die betroffenen Personen bedingt, dass der Datenschutzbeauftragte auch im Bereich des Compliance intensiv eingebunden werden muss.
Der „Arbeitskreis Interne Untersuchungen & Hinweisgebersysteme“ des „Deutschen Instituts für Compliance (DICO) stellt in seiner neuesten Veröffentlichung „Interne Untersuchungen in Deutschland – 2022“ an vielen Themen fest, dass das Thema Datenschutz eine große Schnittmenge auch zu der Thematik der internen Untersuchungen hat.
Die nicht repräsentative Studie stützt sich auf eine fragebogenbasierte Online-Umfrage mit insgesamt 87 Fragen zum Thema „Interne Untersuchungen“. Angefragt wurden von der DICO e.V. etwa Unternehmen, die Vertreter:innen in den Arbeitskreis „Interne Untersuchungen & Hinweisgebersysteme“ des DICO e. V. entsandt haben oder Mitglieder des VDMA e. V. Insgesamt haben 103 Unternehmen an der Umfrage teilgenommen, es haben aber nicht alle Befragten alle Fragen beantwortet.
Folgende Aspekte bewegen sich in der Schnittmenge von Compliance und Datenschutz:
1. Datenschutz als Herausforderung für interne Untersuchungen
Die Unternehmen aus der Studie sehen ganz überwiegend (fast 85 Prozent) die ansteigenden Datenschutzanforderungen als größte Herausforderung für interne Untersuchungen.
2. Datenschutz als Trainings-Thema
Mit knapp 76 Prozent wird Interviewführung als das wichtigste Themengebiet betrachtet, in dem Trainings angeboten werden. Datenschutz ist mit 44 Prozent das zweitwichtigste Thema, gefolgt von Kommunikation mit 32 Prozent.
3. Datenschutz als Aspekt in (Befragungs-)Protokollen
Bei knapp 26 Prozent der befragten Unternehmen beinhaltet das Protokoll auch eine Datenschutzerklärung oder sie wurde den Befragten vorab herausgegeben.
4. Fernmeldegeheimnis vs. Zugriff auf E-Mail-Postfächer
Erlaubt oder duldet das Unternehmen die private Nutzung von E-Mail-Postfächern, unterliegt dies nicht nur weiter gehenden datenschutzrechtlichen Beschränkungen, sondern des Weiteren möglicherweise auch dem Fernmeldegeheimnis (diese Frage ist seit längerem streitig). Hieraus können sich bei einem Zugriff auf die Daten Beschränkungen und insbesondere strafrechtliche Risiken ergeben.
4. Datenschutz als wachsender Themenkomplex (bspw. Hinweisgeberschutz)
In der Zukunft sehen die an der Studie beteiligten Unternehmen u. a. die folgenden Bereiche als wachsende Themenkomplexe: Cybercrime (80 Prozent), Menschenrechte/ESG-Themen (74 Prozent), HR-Themen (67 Prozent) und die Aufklärung von Datenschutzverstößen (41 Prozent). Insofern scheint der Datenschutz eher als Herausforderung bei der internen Untersuchung denn als ein eigenes Untersuchungsfeld gesehen zu werden.
Insbesondere unter diesem Aspekt kann auch die Publikation „Korruptionsbekämpfung – Ein Leitfaden für Unternehmen“ für alle Datenschutzbeauftragten als Lektüre empfohlen werden. Der Leitfaden ist als Gemeinschaftsprojekt unter Beteiligung von Alliance for Integrity, Deutsches Global Compact Netzwerk sowie des Deutschen Instituts für Compliance e.V. entstanden. Auf mehr als 100 Seiten beleuchten nationale Compliance-Expertinnen und Experten verschiedene Aspekte rund um das Thema Korruptionsprävention, darunter rechtliche Grundlagen, Whistleblowing, Compliance in Grauzonen, Digitalisierung und vieles mehr.
Für Datenschutzbeauftragte besonders interessant dürfte das Kapitel 3.7 „Interne Untersuchungen“ sein. Aber auch die Lektüre der übrigen Kapitel dürfte dem Datenschutzbeauftragten ein größeres „Systemverständnis“ und eine bessere „Schnittstellenarbeit“ ermöglichen, so dass der gesamte Leitfaden nicht nur Datenschutzbeauftragten empfohlen werden kann, die „über den Tellerrand schauen“ wollen, sondern generell allen Beteiligten, die eine Schnittstelle zum unternehmenseigenen Compliance Management System darstellen.
(Foto: Song_about_summer – stock.adobe.com)
Letztes Update:27.11.22
Verwandte Produkte
-
DS-GVO Audit: Beurteilung und Bewertung einer Datenschutzorganisation
Seminar
1.059,10 € Mehr erfahren
Das könnte Sie auch interessieren
-
Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts
Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO
Mehr erfahren -
Datenschutzverstoß beim Online-Recruiting
Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck
Mehr erfahren -
Ransomware-Angriff: Mangelhafte Datensicherung führt zu Totalverlust
Der aktuelle Tätigkeitsbericht 2025 der Landesbeauftragten für den Datenschutz Brandenburg (LDA) dokumentiert einen abgeschlossenen Fall (S. 47), der die Grenzen rein formaler Backup-Konzepte verdeutlicht: Eine Arztpraxis meldete der Aufsichtsbehörde nach Art. 33 DS-GVO eine Datenschutzverletzung infolge eines Ransomware-Angriffs. Betroffen waren rund 75 Gigabyte medizinischer und administrativer Daten von über 8.000 Patientinnen und Patienten. Ein Datenabfluss
Mehr erfahren


