Grundregeln bei internen Ermittlungen

Hilfsinspektor CIO

12.08.2010
Von 
Reppesgaard studierte in Hannover und arbeitete danach als Reporter und Moderator bei Hörfunk von Radio Bremen zu innen- und jugendpolitischen Themen und in den Bereichen Technologie und Wissenschaft. Seit dem Jahr 2000 lebt er in Hamburg, seit 2001 arbeitet er mit Christoph Lixenfeld im druckreif Redaktionsbüro zusammen.
Weitere Artikel des Autors

Bei Kontrollen und internen Ermittlungen müssen Unternehmen vor allem den DatenschutzDatenschutz beachten. Die Nichtbefolgung dieser Regeln kann zu Millionenschäden führen und sogar den CIO den Arbeitsplatz kosten. Bei schweren Verstößen sieht das Bundesdatenschutzgesetz Geld- und Haftstrafen gegen die Verantwortlichen vor. Alles zu Datenschutz auf CIO.de

Beispiel Bahn

Die Warnung ist keineswegs übertrieben. Ins Gefängnis mussten Bahnchef Hartmut Mehdorn und der Korruptionsbeauftragte Wolfgang Schaupensteiner, einst ein gefeierter Staatsanwalt, zwar nicht. Beide wurden aber infolge der Datenaffäre entlassen, bei der Mitarbeiteradressen in Rasterverfahren mit verdächtigen Firmenkontakten abgeglichen und unzählige Mails mitgelesen worden waren.

Der Moment, in dem der Chef der internen Ermittlungsabteilung dringend um ein Gespräch bittet, ist für viele CIOs deshalb aus gutem Grund einer, in dem der Puls in die Höhe schnellt. "Das erste Mal ist man natürlich aufgeregt", sagt Andreas Resch, der ehemalige CIO der Bayer AGBayer AG und Vorstand des Berliner Beratungsunternehmens Modalis. "Ich fürchte, dass in so einem Moment die allermeisten CIOs ein Problem haben, weil sie auf diese Situation nicht vorbereitet sind." Top-500-Firmenprofil für Bayer AG

Der CIO muss einen Spagat bewerkstelligen. Zwar gibt es natürlich die Interessen derjenigen, die mögliche Innentäter aufspüren müssen. Wie aber kann er sie unterstützen, ohne die Datenschutzgesetzgebung außer Acht zu lassen? Vor allem in den mittelständischen Unternehmen, in denen die allermeisten CIOs in Deutschland arbeiten, gibt es in der Regel keine Policies, die genau regeln, wer unter welchen Umständen Zugriff auf Mitarbeiterdaten hat.

Klare Regeln für sein Handeln kann der CIO auch aus dem Bundesdatenschutzgesetz (BDSG) in der Regel nicht direkt ableiten. Viele Formulierungen dort sind schwammig. Zuletzt sorgten die im Sommer 2009 verabschiedeten neuen Regelungen zum Arbeitnehmerdatenschutz bei vielen Rechtsexperten und internen Ermittlern für Verdruss. Der Gesetzgeber reagierte damit auf die Spitzelaffären in deutschen Großunternehmen, wie etwa Lidl, der Deutschen Telekom, der Deutschen Bahn und zuletzt der Deutschen Bank.

Zur Startseite