Autoren
{"uuid":"cc5362c6746743b6a67e3bc50e877aa6","username":"matthias-kopetzky@autorenprofil.at","firstname":"Matthias","lastname":"Kopetzky","emailAddress":"matthias-kopetzky@autorenprofil.at","created":"2020-07-28T16:11:20.270Z","edited":"2023-10-04T10:51:10.321Z","jobposition":"","fullname":"Dr. Matthias Kopetzky, CIA, CFE, CPA","newsletter":true,"salutation":"Herr","pretitle":"Dr.","posttitle":"CIA, CFE, CPA","position":"","companyname":"","premium":false,"telephone":"","vita":"Dr. Matthias Kopetzky ist Geschäftsführer der Business Valuation GmbH. Er arbeitet als gerichtlich zertifizierter und beeideter Sachverständiger eng mit Staatsanwaltschaften und Polizei sowie in Hauptverhandlungen mit Gerichten zusammen. Der Autor ist als Mitglied im Vorstand des IIA-Österreich (Institut Interne Revision) für die Belange Aus- und Weiterbildung sowie Öffentlichkeitsarbeit zuständig. Er ist mit Joseph Wells Autor des Handbuch Wirtschaftskriminalität in Unternehmen, LexisNexis Österreich 2006. ","jet_abo":"","open":true,"profilephoto":{"uuid":"e46b28da2049478a9f0d70ecbe05df6c","path":"/569_1595952414196_Matthias-Kopetzky.jpg.jpg","fields":{"name":"569_1595952414196_Matthias-Kopetzky.jpg.jpg","description":"Neues Bild.jpg"}},"path":"https://www.compliance-praxis.at/Insider/Menschen/Person.html?pid=cc5362c6746743b6a67e3bc50e877aa6"}
Dr. Matthias Kopetzky ist Geschäftsführer der Business Valuation GmbH. Er arbeitet als gerichtlich zertifizierter und beeideter Sachverständiger eng mit Staatsanwaltschaften und Polizei sowie in Ha...
{"name":"Sonderuntersuchung und Datenschutz, Teil 4/5","contenttype":"text/html","templateName":"content-page","headmeta":"<meta charset=\"utf-8\">\n<meta http-equiv=\"X-UA-Compatible\" content=\"IE=edge\">\n<meta name=\"viewport\" content=\"width=device-width, initial-scale=1\">\n\n\n\n\n\n <title>Sonderuntersuchung und Datenschutz, Teil 4/5</title>\n \n\n <meta name=\"description\" content=\"Teil 4 befasst sich mit Sonderuntersuchungen, welche präventiv versuchen, allfällig fraudulente Handlungen zu finden, ohne dass solche aber bereits bekannt wären. Es geht um Fraud-Audits.\"/>\n\n <meta property=\"og:image\" content=\"/templates/test-migration/duplicate-pages/Matthias-Kopetzky.jpg.jpg\"/>\n <meta property=\"og:image:height\" content=\"122\"/>\n <meta property=\"og:image:width\" content=\"85\"/>\n <meta property=\"og:site_name\" content=\"CompliancePraxis\"/>\n <meta property=\"og:url\" content=\"/Themen/Aktuelles_Meinung/Archiv/Sonderuntersuchung_und_Datenschutz-_Teil_4-5.html\"/>\n <meta property=\"og:type\" content=\"website\"/>\n <meta property=\"og:locale\" content=\"de_DE\">\n <meta property=\"og:description\" content=\"Teil 4 befasst sich mit Sonderuntersuchungen, welche präventiv versuchen, allfällig fraudulente Handlungen zu finden, ohne dass solche aber bereits bekannt wären. Es geht um Fraud-Audits.\"/>\n","title":"Sonderuntersuchung und Datenschutz, Teil 4/5","teaser":"Teil 4 befasst sich mit Sonderuntersuchungen, welche präventiv versuchen, allfällig fraudulente Handlungen zu finden, ohne dass solche aber bereits bekannt wären. Es geht um Fraud-Audits.","pagecontent":"<h2>Präventive Sonderuntersuchung</h2> \n<p> Im Fall einer präventiven Sonderuntersuchung im Sinne einer forensischen Due Diligence werden die in Teil 3 der Blogserie angeführten vier Fragen nicht ausreichend beantwortet und dokumentiert werden können. Es sind datenanalytisch daher andere Wege einzuschlagen. </p> \n<p> PWC schlägt folgende Spielregeln bei Datenauswertungen zur Korruptionsbekämpfung vor<sup>(1)</sup>: </p> \n<p> \n <ul> \n <li> <p> Klare, von der Unternehmensleitung verabschiedete Regeln zum Umgang mit Daten </p></li> \n <li> <p> Abstimmung mit Datenschutzbeauftragten und Rechtsabteilung </p></li> \n <li> <p> Transparenz </p></li> \n <li> <p> Datensparsamkeit </p></li> \n <li> <p> Einbeziehung von Gremien der Arbeitnehmer </p></li> \n <li> <p> Dokumentation </p></li> \n </ul> </p> \n<p> Zulässig ist allerdings der anonymisierte bzw. pseudonymisierte Datenabgleich nicht personalisierter Stammdaten unterschiedlicher Personenkreise (Mitarbeiter, Lieferanten, Kunden) durch eine Stelle, die nicht bzw. ohne Zusatzwissen nicht in der Lage ist, den Personenbezug herzustellen. Bei einer hinreichenden Anonymisierung ist der Betroffene (z.B. der Mitarbeiter) nicht bestimmbar, d.h. von einem Personenbezug kann nicht ausgegangen werden.<sup>(2)</sup> </p> \n<p> Voraussetzung ist insoweit, dass methodisch-technisch eine Extraktion ausgewählter Datenfelder aus betrieblichen Datenbeständen durchgeführt wird, also keine separate Erhebung „neuer“ Daten erfolgt.<sup>(3)</sup> Dies gilt allerdings nicht für ohnedies öffentlich zugängliche Daten, welche sehr wohl ergänzend herangezogen werden können. </p> \n<p> Solcher Art vorbehandelte Daten erlauben keinen unmittelbaren Rückschluss auf Individuen und werden zur Analyse im Hinblick auf formulierte und definierte Red Flags, definiert als beobachtbare Signale, die als positive Hinweise in einem hypothetischen Fraud-Szenario gelten können<sup>(4)</sup>, verwendet. </p> \n<h2>Phasen der rechtskonformen Datananalyse</h2> \n<p> Forensische Untersuchungen dieser Art werden häufig mit so genannten Massendaten-Analysetools, wie etwa ACL, IDEA oder REVIDATA, durchgeführt. Aus einem deutschen Rechtsgutachten wird folgendes, mehrphasiges Vorgehen im Hinblick auf die Zulässigkeit gem §32 dBDSG vorgeschlagen<sup>(5)</sup>: </p> \n<p> \n <ul> \n <li> <p> Phase 1: Festlegung des Recherche- und Analysezwecks </p></li> \n <li> <p> Phase 2: Identifikation geeigneter Indikatoren </p></li> \n <li> <p> Phase 3: Definition der abzugleichenden Datenbestände </p></li> \n <li> <p> Phase 4: Bereitstellung eines geeigneten Softwaretool bzw. Einsatz einer geeigneten Abfragesprache </p></li> \n <li> <p> Phase 5: Extraktion anonymisierter bzw. pseudonymisierter Daten aus den betrieblichen Datenbeständen </p></li> \n <li> <p> Phase 6: Durchführung des Datenabgleichs </p></li> \n <li> <p> Phase 7: Ggf. Reduktion der Schnittmenge im Ausschlussverfahren durch Anwendung weiterer Indikatoren </p></li> \n <li> <p> Phase 8: Personalisierung der generierten Verdachtsfälle gem. § 32 BDSG </p></li> \n </ul> </p> \n<p> Wiederum ist darauf zu verweisen, dass es für den Fall einer ex-post stattfindenden Evaluierung des Vorgehens der Internen Revision zu einer laufenden, zeitnahen und ausführlichen Dokumentation in Form von Aktenvermerken und/oder Darstellungen im laufend entstehenden Bericht für jede einzelne Phase kommt. Dies soll die Nachvollziehbarkeit oft komplexer Analysevorgänge sowohl für die durchführenden Revisoren<sup>(6)</sup> wie auch sachverständige Dritte jeder Zeit und vor allem zukünftig ermöglichen. </p> \n<p> <i>Im letzten und fünften Teil werden wir den Bogen schließen und zusammenfassend Fallvarianten der Nutzung personenbezogener Daten im Rahmen von Sonderuntersuchungen darstellen.</i> </p> \n<h2>Audio-Blog - Gesprochen von Dr. Matthias Kopetzky:</h2> \n<p> <a href=\"/templates/test-migration/duplicate-pages/1356014750-CompliancePraxisBlog_Datenschutz4.m4a\"> (Download)</a>\n\n <a href=\"/templates/test-migration/duplicate-pages/1356014750-CompliancePraxisBlog_Datenschutz4.mp3\"> (Download)</a>\n\n <a href=\"/templates/test-migration/duplicate-pages/1356014750-CompliancePraxisBlog_Datenschutz4.oga\"> (Download)</a>\n \n \n \n </p> <div class=\"text-stoerer\">\n\t\t<div class=\"w-100 card-body\">\n\t\t\t<h2 class=\"card-title text-uppercase\">Fußnoten</h2>\n\t\t\t<div class=\"card-text \"><p> <sub>1) PWC.de, ‘Korruptionsbekämpfung und Datenschutz sind kein Gegensatz’, 2011, S. 1f <<a href=\"http://www.pwc.de/de/compliance/korruptionsbekaempfung-und-datenschutz-sind-kein-gegensatz.jhtml\" target=\"_blank\">http://www.pwc.de/de/compliance/korruptionsbekaempfung-und-datenschutz-sind-kein-gegensatz.jhtml</a>> [zugegriffen 4 September 2011]. </sub> <br><sub>2) Daisy Wahl, ‘Datenschutzrisiken beim Einsatz elektronischerAnalyseverfahren personenbezogener Daten zurPrävention und Aufdeckung geschäftsschädigenderHandlungen im Unternehmen’, 2010, S. 4 <<a href=\"http://www.revidata.de/COMPLIANCE/Datenschutz_Gutachten_RA.pdf\" target=\"_blank\">http://www.revidata.de/COMPLIANCE/Datenschutz_Gutachten_RA.pdf</a>> [zugegriffen 4 September 2011].</sub> <br><sub>3) ebenda Wahl, S. 4.</sub> <br><sub>4) Vgl Leonard W. Vona, The Fraud Audit: Responding to the Risk of Fraud in Core Business Systems (John Wiley and Sons, 2011), S. 59.</sub> <br><sub>5) Vgl ebenda Wahl, S. 6.</sub> <br><sub>6) Selbst erfahrenen Datenanalysten fällt es bei mangelhafter Dokumentation oft schwer, zu späteren Zeitpunkten ihre eigene Analysetätigkeit uneingeschränkt und zeiteffizient darlegen zu können.</sub> <br> </p></div>\n\t\t</div>\n</div>\n","sidecolumn":null,"storiesmain":null,"storiesoverview":null,"headerimage":"","headertitle":"<h1 class=\"contentheader \">Sonderuntersuchung und Datenschutz, Teil 4/5</h1>","stoerercontainer":null,"stoerercontainer2":null,"stoererwerbebanner":"","insiderheads":null,"overviewunternehmenimage":null,"overviewunternehmentitle":null,"buttonviewall1":null,"buttonviewall2":null,"superelement":null,"topstory":null,"netzwerkpartnerlogoleiste":"","metadata":"<div class=\"info\"><eval>>partials/themes-startpage/newsauthors data=(renderNewsAuthors \"48\" userinfo)</eval>\n<br>09. Mai 2012</div>","footnotes":"<div class=\"footnote v-spacer footnote-editor-preview d-none\"></div>\n","eventsmain":null,"eventsoverview":null,"eventsoverviewjson":null,"event":"","eventdates":"000-000","footer":"<footer class=\"d-flex flex-column flex-xl-row\">\n\t<span class=\"sr-only\">Footer</span>\n\t<ul class=\"nav footer-nav flex-row pb-4 pb-xl-0 w-100\" id=\"footernavigation\" role=\"navigation\">\n\t\t\t\t\t\t\t</ul>\n\t<div class=\"copyright flex-md-shrink-1 text-left text-md-right\">\n\t\t\t\t<img src=\"/static/compliance_praxis/files/images/LexisNexis.png\" alt=\"LexisNexis\">\n\t\t<p></p>\t</div>\n</footer>\n","footerglobal":"<eval>{cpConfigLoader \"global\" \"footer\"}</eval>","footerjson":null,"onetrust":null,"ogimagefallback":null,"ogimagefallbackheight":null,"ogimagefallbackwidth":null,"cpcouponlist":null,"taggedthemes":["Banken- und Versicherungen","Bau","Gesundheits- und Sozialwesen","Handel","Industrie","Energieversorgung, Verkehr, Logistik","Öffentliche Verwaltung","Pharma","Produktion","Datenschutz","Internal Investigations"],"taggedcategories":["Aktuelles & Meinung"],"taggedorganizers":[],"taggedexhibitors":[],"taggedlecturers":[],"taggedmoderators":[],"taggedparticipants":[],"taggedauthors":["48"],"taggedmagazine":[],"taggedmagazinepage":"","taggedadvertorial":[],"taggingcontainer":null,"authorsdetails":"<div><eval>>partials/content-page/authorsdetails</eval></div>","participantsdetails":null,"contactsdetails":null,"portalapp":"cpshop,cprelatedarticles,","sidecolumninsider":null,"sidecolumnthemen":null,"sidecolumnevents":null,"sidecolumnglobal":"\t<eval>{cpConfigLoader \"stoerer\" \"sidecolumnthemen\"}</eval>\n\t\t\t\t\t\t<eval>> partials/applications/cprelatedarticles applicationtag=\"cprelatedarticles\"</eval>\n\t\t\t","sidecolumntop":"<div class=\"row\"></div>","sidecolumnbottom":"<div class=\"row\"></div>","premium":null,"oecov":null,"textimage":null,"upcompanytaggedevents":null,"upcompanyadvertorialarticles":null,"personprofile":null,"cms_id":1022,"usermodule":null,"cpuseraccount":null,"meshroles":["anonymous"],"taggingusers":null,"magentoshopapp":"\n"}