Mandari Insight

1386/2023

Mitteilung über die Verwendung von personenbezogenen Daten in der Rechnungsprüfung

Mitteilung Ausschuss 13.07.2023

KI-Zusammenfassung

Klicken Sie, um eine KI-Zusammenfassung dieses Vorgangs zu erstellen.

KI-Analyse läuft...

vergangen

Was passiert gerade?

  • 📄 Dokumente werden analysiert...
  • 🤔 KI denkt nach (Reasoning-Modell)...
  • ✍️ Zusammenfassung wird geschrieben...
  • ⏳ Das dauert etwas länger bei komplexen Dokumenten...

Dieser Vorgang kann 1-3 Minuten dauern. Bitte lassen Sie die Seite geöffnet.

Nächste Beratung: Digitalisierungsausschuss, Sitzung am 21.08.2023, TOP 2.4

Dokumentation zur Datenauswertung

· application/pdf

Ansehen

Arbeitspapier Datenschutz in der Rechnungsprüfung

· application/pdf

Ansehen

Mitteilung Ausschuss

· application/pdf

Ansehen

RPAu (2023-06-13)_Auszug aus der Niederschrift_TOP 6.1

· application/pdf

Ansehen

Dokumentation zur Datenauswertung

8185 Zeichen

Rechnungsprüfungsamt der Stadt Köln 1 
 
Rechnungsprüfungsamt 
 
 
Dokumentation zur Massenauswertung personenbezogener Daten im Rahmen 
einer Prüfung 
Es wird auf das Arbeitspapier „Datenschutz beim RPA“ (G:\14ALW\02-Wissen\00-Regelun-
gen\Aktuell\Datenschutz\Arbeitspapier Datenschutz in der Rechnungsprüfung.pdf) verwie-
sen. 
Die geltenden Bestimmungen zum Datenschutz sind bei einer Verarbeitung personenbezoge-
ner Daten immer zu beachten. Diese ergeben sich insbesondere aus folgenden Rechtsvor-
schriften: 
• Datenschutz-Grundverordnung (DSGVO) 
• Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) 
• Sozialgesetzbuch (§§ 67 – 85 SGB X) 
• Bundesdatenschutzgesetz (BDSG) 
Ist eine Datenauswertung, bei der personenbezogene Daten aus unterschiedlichen Quellen 
mit einer Software, z. B. ACL, SAP, Excel, usw. abgeglichen werden, vorgesehen, ist in diesem 
Fall dieser Vordruck zu verwenden, um die Rechenschaftspflicht nach Art. 5 DSGVO zu erfül-
len.  
Die Dokumentation ist entbehrlich, wenn 
• die zur verarbeitenden Daten keinen Bezug zu identifizierbaren Personen haben, 
• stichprobenartig und nacheinander eine Abfrage von Einzelfällen erfolgt, 
• oder eine vorhandene Menge an personenbezogenen Daten händisch und ohne die o.g. 
Programme verarbeitet wird. 
 
1 Angaben zum Verantwortlichen gem. Art. 4 Nr. 7 DSGVO 
1.1 Name Ralf Jülich 
1.2 Organisationseinheit 14 - Rechnungsprüfungsamt 
 
2 Angaben zu der/den die Verarbeitung durchführenden Person/Personen 
2.1 Name(n)  
2.2 Organisationseinheit 14 - Rechnungsprüfungsamt 
 
3 Angaben zur Prüfung 
3.1 Namen der Prüferinnen und Prüfer 
 
 
 
3.2 Gliederungsziffer  
3.3 Gegenstand der Prüfung

Dokumentation zur Datenauswertung im Rahmen einer Prüfung 
 
Rechnungsprüfungsamt der Stadt Köln 2 
 
 
3.4 Prüfungsanlass 
 
 
 
 
3.5 Prüfkonzept 
 
☐ Ist beigefügt 
☐ In Prüfakte abgelegt 
3.6 Analyseprogramm 
 
 
 
☐ ACL 
☐ SAP 
☐ Excel 
☐ Sonstige: 
 
4 Angaben zu Datenherkunft und -art 
4.1 Aus welchen Verfahren stammen die 
Daten? 
 
 
4.2 Um welche Daten handelt es sich konk-
ret? 
Bitte Datenarten so konkret wie möglich 
benennen, z.B. Name, Adresse, Bank-
verbindung, etc.! 
 
 
 
 
 
4.3 Handelt es sich (auch) um personenbe-
zogene Daten i.S.d. Art. 4, Ziff. 1 
DSGVO (Daten di e auf die physische, 
physiologische, genetische, psychische, 
wirtschaftliche, kulturelle oder soziale 
Identität dieser natürlichen Personen 
hindeuten)? 
Hinweis: Die Verarbeitung personenbe-
zogener Daten besonderer Kategorie 
ist grundsätzlich untersagt. 
Für Ausnahmen vgl. Abschnitt 6. 
 
(vgl. Art. 9 Abs. 1 DSGVO). 
☐ Nein 
☐ Ja (bitte angeben) 
 
 
☐ Daten zur rassischen und ethnischen 
Herkunft 
☐ Daten zur politischen Meinung 
☐ Daten zu religiösen oder weltanschauli-
chen Überzeugungen 
☐ Daten zur Gewerkschaftszugehörigkeit 
☐ Genetische Daten 
☐ Biometrische Daten zur eindeutigen 
Identifizierung einer natürlichen Person 
☐ Gesundheitsdaten 
☐ Daten zum Sexualleben oder der sexu-
ellen Orientierung einer natürlichen Per-
son

Dokumentation zur Datenauswertung im Rahmen einer Prüfung 
 
Rechnungsprüfungsamt der Stadt Köln 3 
 
☐ Sonstige: 
4.4 Handelt es sich um Sozialdaten, die 
von einer in § 35 SGB I genannten 
Stelle im Hinblick auf ihre Aufgaben 
nach dem Sozialgesetzbuch verarbeitet 
werden? 
 
(vgl. § 67 Abs. 2 SGB X) 
☐ Nein 
☐ Ja (bitte Abschnitt 7 beachten) 
 
 
 
 
5 Angaben zur Rechtmäßigkeit der Verarbeitung 
5.1 Zweckbindung: Welchem Zweck im 
Rahmen der Rechnungsprüfung dient 
die Verarbeitung? Bitte ebenfalls die 
Rechtsgrundlage angeben. 
 
(vgl. Art. 5 Abs. 1b DSGVO) 
 
5.2 Geeignetheit: Ist die Verarbeitung ge-
eignet, um die Erreichung des Zwecks 
kausal zu bewirken oder zumindest zu 
fördern? 
 
☐ Nein 
☐ Ja 
5.3 Erforderlichkeit: Ist die Verarbeitung er-
forderlich? Eine Maßnahme ist erforder-
lich, wenn kein anderes Mittel verfügbar 
ist, das in gleicher (oder sogar besse-
rer) Weise geeignet ist, den Zweck zu 
erreichen. 
(vgl. Art. 6 DSGVO; Erwägungsgrund 39 
DSGVO) 
☐ Nein 
☐ Ja 
5.4 Angemessenheit: Ist die Verarbeitung 
angemessen? Eine Maßnahme ist an-
gemessen, wenn die Nachteile, die mit 
der Maßnahme verbunden sind, nicht 
völlig außer Verhältnis zu den Vorteilen 
stehen, die sie bewirkt. In diesem Zu-
sammenhang ist eine Abwägung der 
Vor- und Nachteile der beschriebenen 
Maßnahmen vorzunehmen. 
☐ Nein 
☐ Ja 
 
6 Angaben zur Verarbeitung personenbezogener Daten besonderer Kategorie 
(falls nicht zutreffend bitte überspringen) 
6.1 Ist die Verarbeitung auf der Grundlage 
des Unionsrechts oder des Rechts ei-
nes Mitgliedstaats, das in angemesse-
nem Verhältnis zu dem verfolgten Ziel  
(vgl. Art. 9 Abs. 2g DSGVO) 
☐ Nein 
☐ Ja 
6.2 Ist die Verarbeitung für die Verwaltung 
von Systemen und Diensten im Ge-
sundheits- oder Sozialbereich auf der 
☐ Nein 
☐ Ja

Dokumentation zur Datenauswertung im Rahmen einer Prüfung 
 
Rechnungsprüfungsamt der Stadt Köln 4 
 
Grundlage des Unionsrechts oder des 
Rechts eines Mitgliedstaats oder auf-
grund eines Vertrags mit einem Ange-
hörigen eines Gesundheitsberufs und 
vorbehaltlich der in Absatz 3 genannten 
Bedingungen und Garantien erforder-
lich?  
(vgl. Art. 9 Abs. 2h DSGVO) 
6.3 Ist die Verarbeitung aus einem der in § 
16 Abs. 1 DSG 
NRW genannten Gründe erforderlich? 
(vgl. § 16 Abs. 1 DSG NRW) 
☐ Nein 
☐ Ja 
 
7 Angaben zu Sozialdaten 
(falls nicht zutreffend bitte überspringen) 
7.1 Ist die Speicherung, Veränderung oder 
Nutzung der Sozialdaten für die Wahr-
nehmung der Rechnungsprüfung erfor-
derlich? 
(vgl. § 67c Abs. 3 SGB X) 
☐ Nein 
☐ Ja 
7.2 Ist zur Wahrung des Sozialgeheimnis-
ses sichergestellt, dass die Sozialdaten 
nur Befugten zugänglich sind oder nur 
an diese weitergegeben werden? 
(vgl. § 35 Abs. 1 SGB I) 
☐ Nein 
☐ Ja 
7.3 Ist eine Übermittlung von biometri-
schen, genetischen oder Gesundheits-
daten erforderlich? Wenn ja: Liegt eine 
gesetzliche Übermittlungsbefugnis nach 
§§ 68 bis 77 GB X oder nach einer an-
deren Rechtsvorschrift des Sozialge-
setzbuches vor? 
(vgl. § 67b Abs. 1 SGB X) 
☐ Nein 
☐ Ja 
 
Die Daten werden ausschließlich nach den Grundsätzen für die Verarbeitung personenbezo-
gener Daten (Art. 5 DSGVO) verarbeitet. Dies umfasst insbesondere, 
• die Verarbeitung der personenbezogenen Daten auf rechtmäßige Weise, nach Treu und 
Glauben und in einer für die betroffene Person nachvollziehbaren Weise durchzuführen (Abs. 
1a) 
• nur dem Zweck angemessene sowie erhebliche personenbezogene Daten zu verarbeiten; 
die Daten müssen auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein 
(Abs. 1c) 
• die personenbezogenen Daten sachlich richtig und erforderlichenfalls auf dem neuesten 
Stand zu halten; es sind alle a ngemessenen Maßnahmen zu treffen, damit personenbezo-
gene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich 
gelöscht oder berichtigt werden (Abs. 1d) 
• die personenbezogenen Daten in einer Form zu speichern, die die Ident ifizierung der be-
troffenen Person nur so lange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich 
ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezo-
genen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer 
Maßnahmen verarbeitet werden, welche von dieser Verordnung zum Schutz der Rechte und 
Freiheiten der betroffenen Person gefordert werden (Abs. 1e)

Dokumentation zur Datenauswertung im Rahmen einer Prüfung 
 
Rechnungsprüfungsamt der Stadt Köln 5 
 
• die personenbezogenen Daten in einer Weise zu verarbeiten, welche eine ang emessene 
Sicherheit der Daten gewährleistet (Schutz vor unbefugter oder unrechtmäßiger Verarbei-
tung, unbeabsichtigter  Verlust, unbeabsichtigte Zerstörung, unbeabsichtigte Schädigung) 
(Abs. 1f) 
 
 
Köln, den  
 
 
________________________________________________________________________ 
(Unterschrift des/der Prüfers/Prüferin, der Prüfer*innen) 
 
Die vorgesehene Datenauswertung wird 
☐ genehmigt. 
☐ nicht genehmigt 
 
Köln, den  
 
 
________________________________ 
(Unterschrift der Amtsleitung) 
 
 
Ausfertigung erhält:        ab: 
 
Dezentraler Datenschutzkoordinator  
142- Herr Kennien 
mit der Bitte um Kenntnisnahme

Arbeitspapier Datenschutz in der Rechnungsprüfung

29105 Zeichen

Rechnungsprüfungsamt der Stadt Köln 1 
 
         Rechnungsprüfungsamt 
 
14 28.03.2022 
142/2 Herr Kennien 
 23816 
 
 
 
Arbeitspapier „Datenschutz in der Rechnungsprüfung“ 
 
 
Inhalt: 
1. Ausgangslage 
2. Grundsätze der Verarbeitung personenbezogener Daten in der Rechnungsprüfung 
a. Rechtmäßigkeit 
b. Zweckbindung 
c. Datenminimierung/-sparsamkeit 
d. Richtigkeit 
e. Speicherbegrenzung (Löschung/Sperrung) 
f. Integrität und Vertraulichkeit 
g. Rechenschaftspflicht (Dokumentation) 
3. Verhältnismäßigkeit (von Massendatenauswertungen) 
4. Dokumentation zur Massendatenauswertung 
5. Prüfberichte im Sinne der DSGVO 
6. Informationspflichten nach Art. 13 und 14 DSGVO 
6.1 Informationspflichten der geprüften Stelle 
6.2 Informationspflichten des RPA 
 
 
1. Ausgangslage 
Die Rechnungsprüfung nutzt zur Aufgabenerledigung eine Vielzahl von Akten, Dokumen-
ten und Dateien. Solche Informationsbestände enthalten oftmals personenbezogene Da-
ten von Bürgerinnen und Bürgern oder von Beschäftigten. Gemäß § 104 Abs. 5 S. 1 GO 
NRW i. V. m. § 6 Abs. 1 RPO erhält das RPA personenbezogene Daten zur Verarbeitung 
nicht von den betroffenen Personen, sondern von den g eprüften Dienststellen oder von 
externen Vertragspartnern. Eine Unterscheidung zwischen einer stichprobenartigen oder 
einer vollumfänglichen sowie zwischen einer manuell oder einer maschinell durchgeführ-
ten Datenverarbeitung wird in Bezug auf das Auskunfts recht des RPA nicht gemacht. 
Ebenso wenig gibt es Einschränkungen hinsichtlich Zeitpunkt oder Zeitdauer der Prü-
fungshandlungen. 
Zudem gelangt das RPA oftmals an personenbezogene Daten, die „nebenbei“ zur Kennt-
nis genommen werden oder auch gerade Gegenstand einer Prüfung sind. 
Beispiel 1: Das RPA sichtet ausgewählte Akten über Vergabeverfahren zur B eschaffung 
von Bauleistungen. Es möchte feststellen, ob die Vorgaben des Vergaberechts eingehal-
ten werden. Dabei erfährt das RPA die Namen der für die Beteiligten handelnden Perso-
nen, denen bestimmte Verfahrenshandlungen zugeordnet werden können. Es gelangt so

Arbeitspapier „Datenschutz in der Rechnungsprüfung“ 
 
Rechnungsprüfungsamt der Stadt Köln 2 
 
an personenbezogene Daten, auch wenn es für die Prüfung  auf diese Daten nicht an-
kommt. 
Beispiel 2: Das RPA möchte herausfinden, ob die städtische Musikschule Beitragsermä-
ßigungen bei Bedürftigkeit nur satzungsgemäß bewilligt hat. Es lässt sich zu diesem 
Zweck alle einschlägigen Vorgänge eines Haushaltsjahres vorlegen und überprüft, ob ent-
sprechende Anträge vorliegen sowie über diese ordnungsgemäß entschieden wurde. Das 
RPA erlangt hier Informationen über die Identität der antragstellenden Personen und die 
von ihnen vorgebrachten, für eine Bedürftigkeit sprechenden Argumente. Das geschieht 
nicht „beiläufig“; es geht bei der Prüfung gerade darum, was die Verwaltung bei der Ent-
scheidung über die Beitragsermäßigung aus diesen personenbezogenen Daten gemacht 
hat. 
Vor diesem Hintergrund stellt sich die grundsätzliche Frage nach dem Umgang mit perso-
nenbezogenen Daten beim RPA, der Rechtsgrundlage der Verarbeitung bzw. Auswertung 
der personenbezogenen Daten sowie die Informations - und Rechenschaftspflichten des 
RPA gegenüber der betroffenen Personen, den Dokumentationspflichten und der Prüfer-
tätigkeit i. S. d. DSGVO. 
2. Grundsätze der Verarbeitung personenbezogener Daten in der Rechnungsprüfung 
a. Rechtmäßigkeit, Art. 5 Abs. 1 lit. a DSGVO 
Das RPA benötigt für die Anforderung, die geprüfte Stelle für eine entsprechende Of-
fenlegung von personenbezogenen Daten an das RPA eine Verarbeitungsbefugnis. 
Unionsrechtlich ergibt sich die Befugnis aus Art. 6 Abs. 1 DSGVO, Rechtmäßigkeit der 
Verarbeitung. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten in 
der Rechnungsprüfung findet sich in § 9 Abs. 1 DSG NRW und § 67c Abs. 3 SGB X. 
Es dürfen also personenbezogene Daten durch öffentliche Stellen auch zur Wahrneh-
mung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung oder zur Durch-
führung von Organisationsuntersuchungen verarbeitet werden. Dies gilt auch für  die 
Verarbeitung zu Ausbildungs - und Prüfungszwecken, sofern berechtigte Interessen 
der betroffenen Person an der Geheimhaltung der Daten nicht offensichtlich überwie-
gen. 
Fazit: Sofern also eine Dienststelle die Herausgabe oder Einsichtnahme von Doku-
menten und Dateien mit personenbezogenen Daten mit dem Argument der Zweckbin-
dung oder der fehlenden Rechtsgrundlage in ihrem Spezialgesetz verweigert, gilt Art. 
6 Abs. 1 lit. c, e DSGVO in Verbindung mit § 9 Abs. 1 DSG NRW als Rechtsgrundlage 
für die Dienststelle zur Weitergabe personenbezogener Daten an das RPA. Die Über-
mittlung (Weitergabe) von Daten an das RPA zum Zwecke der Rechnungsprüfung ist 
demnach ausdrücklich zugelassen. Hierzu zählt auch die Zugangsberechtigung zu 
elektronischen Verfahren, sofern dieser für die Prüfung erforderlich ist. Es genügt zum 
Zweck der Prüfung der rein lesende Zugriff. Auch um sicherzustellen, dass Prüfung 
und Verwaltungshandeln getrennt sind, ist ein schreibender Zugriff grundsätzlich un-
zulässig. 
b. Zweckbindung, Art. 5 Abs. 1 lit. b DSGVO 
Demnach dürfen personenbezogene Daten nur für festgelegte, eindeutige und legi-
time Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu verein-
barenden Weise weiterverarbeitet werden . D. h. jede Dienststelle verfügt über ihre 
eigene Rechtsgrundlage zur Verarbeitung personenbezogener Daten, z. B. MeldeG 
NRW, SGB, Abgabenordnung, KWahlG NRW, etc. Die Rechnungsprüfung findet dort 
keine Erwähnung. Durch die in Ziff. 2 a genannte Rechtsgrund lage § 9 Abs. 1 DSG 
NRW erweitert sich der ursprüngliche Zweck der Verarbeitung auf die Rechnungsprü-
fung. Insofern erfüllt die Rechnungsprüfung im Rahmen ihrer Prüfung auch den in den

Arbeitspapier „Datenschutz in der Rechnungsprüfung“ 
 
Rechnungsprüfungsamt der Stadt Köln 3 
 
Spezialgesetzen angeführten ursprünglichen Zweck. Eine andere Verarbeitung als zu 
Prüfzwecken ist für das RPA allerdings nicht zulässig. 
c. Datenminimierung, -sparsamkeit, Art. 5 Abs. 1 lit. c DSGVO 
Personenbezogene Daten müssen für den (Prüf)Zweck angemessen und erheblich 
sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Dies 
erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das 
unbedingt erforderliche Mindestmaß beschränkt bleibt.  Das heißt, dass nicht mehr 
personenbezogene Daten verarbeitet werden dürfen als unbedingt erfo rderlich. So-
bald der Zweck erfüllt ist, sind die personenbezogenen Daten zu löschen. Um sicher-
zustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert wer-
den, sollen Fristen für ihre Löschung oder regelmäßige Überprüfung definiert werden. 
Die Fristen können, je nach Prüfauftrag, variieren. 
d. Richtigkeit, Art. 5 Abs. 1 lit. d DSGVO 
Personenbezogene Daten müssen sachlich richtig sein und auf dem neuesten Stand 
sein. Sollten personenbezogene Daten im Hinblick auf die Verarbeitung beim RPA 
unrichtig sein, sind diese unverzüglich zu löschen, z. B. es wurden die falschen Daten 
zur Prüfung zur Verfügung gestellt. Wird festgestellt, dass die personenbezogenen 
Daten schon auch bei der übermittelnden Dienststelle nicht richtig waren, ist diese zu 
informieren, dass sie die Daten in Eigenverantwortung korrigieren kann (z. B. falsches 
Geburtsdatum, falsche Adresse, o.ä.). 
e. Speicherbegrenzung (Löschung/Sperrung), Art. 5 Abs. 1 lit. e DSGVO 
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifi-
zierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für 
die sie verarbeitet werden, erforderlich ist . Ist die Speicherung der personenbezoge-
nen Daten nicht mehr erforderlich, sind diese zu löschen. Ist die Identifizierbarkeit der 
natürlichen Person/en nicht mehr erforderlich, können die personenbezogenen Daten 
z. B. anonymisiert werden.  
Definition: Anonymisierung ist die Verarbeitung personenbezogener Daten in einer 
Weise, dass die personenbezogenen Daten endgült ig nicht mehr einer spezifischen 
betroffenen Person zugeordnet werden können. Im Gegensatz zur Pseudonymisie-
rung: Hier ist die Zuordnung zu realen Personen über Hinzuziehung von weiteren In-
formationen möglich. Die „weiteren Informationen“ dürfen nicht beim RPA sein.  
Sowohl pseudonyme als auch anonyme Daten sind daher für das RPA keiner spezifi-
schen betroffenen Person zuordenbar. Der Unterschied zwischen anonymen und 
pseudonymen Daten liegt darin, dass bei pseudonymen Daten außerhalb der Zugriffs-
möglichkeiten des RPA grundsätzlich eine Zuordnungsmöglichkeit besteht oder be-
stehen könnte, bei anonymen Daten hingegen für niemanden eine Zuordnungsmög-
lichkeit vorhanden ist. 
f. Integrität und Vertraulichkeit, Art. 5 Abs. 1 lit. f DSGVO 
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine ange-
messene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich 
Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem 
Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeig-
nete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). 
Beim RPA wird das durch ein Berechtigungskonzept bei der Zugriffsberechtigung der 
gemeinsamen Dateiablage (Laufwerke ALW und BLW) sichergestellt. 
g. Rechenschaftspflicht (Dokumentation), Art. 5 Abs. 2 DSGVO 
Das RPA ist für die Einhaltung der unter Ziffer 2 a bis f genannten Schutzziele verant-
wortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Arbeitspapier „Datenschutz in der Rechnungsprüfung“ 
 
Rechnungsprüfungsamt der Stadt Köln 4 
 
Als Dokumentation dient u. a. diese Arbeitsrichtlinie, das Prüfhandbuch, die ausgefüll-
ten Prüfkonzepte zu Programm- und Schwerpunktprüfungen, alle relevanten Arbeits- 
und Prüfanleitungen (diese können sich auch aus Niederschriften der DB AL ergeben), 
sowie der speziellen Dokumentation bei der Datenauswertung mittels Software (siehe 
Ziffer 3).  
 
3. Verhältnismäßigkeit (von Massendatenauswertungen) 
Das RPA ist, wie jede andere Dienststelle der Stadt Köln, aus dem Rechtsstaatsprinzip 
folgend, dem Grundsatz der Verhältnismäßigkeit verpflichte t. Das bedeutet, dass jede 
Maßnahme, die in Grundrechte eingreift, einen legitimen öffentlichen Zweck verfolgt und 
überdies geeignet, erforderlich und verhältnismäßig im engeren Sinne angemessen ist. 
Im Falle einer Verarbeitung personenbezogener Daten sind  zusätzlich die Grundrechte 
und Grundfreiheiten natürlicher Personen und deren Recht auf Schutz personenbezoge-
ner Daten zu berücksichtigen. Die dabei zu maßgeblichen Grundsätze der DSGVO sind 
in Ziff. 2 beschrieben.  
Zur Betrachtung der Verhältnismäßigkeit von Massendatenanalysen durch das RPA sol-
len im Folgenden zwei Maßnahmen betrachtet werden:  
a. Eine maschinelle Verarbeitung und Analyse großer Datenmengen im Rahmen einer 
konkret durchzuführenden Prüfung durch das RPA. Die Verarbeitung findet einmalig in 
Bezug auf die in dem Prüfkonzept beschriebenen Fragestellungen und nicht kontinuierlich 
statt.  
b. Eine andauernde und automatisierte Verarbeitung bzw. Überwachung von großen Da-
tenbeständen und deren Transaktionen mithilfe von kontinuierlich laufenden Programmen 
und Algorithmen (Stichwort „Continuous Auditing“).  Die Verarbeitung findet maschinell, 
regelmäßig oder sogar fortlaufend und n icht im Rahmen einer konkreten Prüfungshand-
lung statt.  
Zur Feststellung der Verhältnismäßigkeit dieser Maßnahmen sind gemäß der obigen De-
finition folgende Kriterien zu erläutern:  
1. Verfolgung eines legitimen öffentlichen Zwecks: Die beschriebenen Maßnahmen des 
RPA müssen zu jedem Zeitpunkt einen legitimen öffentlichen Zweck verfolgen. Bei 
der Verarbeitung personenbezogener Daten ergibt sich die Zweckbindung insbeson-
dere aus Art. 5 Abs. 1b DSGVO, welcher die Verarbeitung personenbezogener Daten 
zu festgelegten, eindeutigen und legitimen Zwecken vorschreibt. Das RPA darf daher 
eine Datenverarbeitung nur zur Erledigung der in §§ 102 – 104 GO sowie in der  RPO 
bzw. in anderen Rechtsvorschriften beschriebenen Aufgaben durchführen. Diese um-
fassen unter anderem  
1.1. Die Prüfung des Jahresabschlusses und des Gesamtabschlusses  
1.2. Die laufende Prüfung der Vorgänge in der Finanzbuchhaltung zur Vorbereitung 
der Prüfung des Jahresabschlusses  
1.3. Die dauernde Überwachung der Zahlungsabwicklung der Gemeinde und ihrer 
Sondervermögen sowie die Vornahme der Prüfungen  
1.4. Die Prüfung von Programmen vor ihrer Anwendung zur automatisierten Daten-
verarbeitung in der Finanzbuchhaltung 
1.5. Die Wirksamkeit interner Kontrollen im Rahmen des internen Kontrollsystems 
1.6. Die Prüfung der Zweckmäßigkeit und der Wirtschaftlichkeit der Verwaltung  
1.7. Die Prüfung der Wirtschaftsführung und des Rechnungswesens der Einrichtun-
gen der Gemeinde nach § 107 Abs. 2 GO

Arbeitspapier „Datenschutz in der Rechnungsprüfung“ 
 
Rechnungsprüfungsamt der Stadt Köln 5 
 
Die in Punkt 1.2 und 1.3 verwendeten Begrifflichkeiten „laufende Prüfung“ sowie „dau-
ernde Überwachung“ legen nahe, dass die durch das RPA durchgeführten Prüfungs-
handlungen nicht nur im Rahmen einer konkreten Prüfung, sondern auch kontinuier-
lich und fortwährend, also ohne einen konkreten Prüfungsanlass durchgeführt werden 
sollen. Die laufende Prüfung (1.2) dient insbesondere der zeitnahen Kontrolle der Ge-
schäftsvorfälle im Ablauf des Haushaltjahres. Hierbei sollen Mängel und Fehler soweit 
wie möglich bereits unterjährig festgestellt und behoben werden. Die oben aufgeführ-
ten Maßnahmen (a, b) sind somit beide für die Verfolgung der in der GO und RPO 
beschriebenen öffentlichen Zwecke heranzuziehen. 
2. Geeignetheit: Eine Maßnahme ist geeignet, wenn sie die Erreichung des Zwecks kau-
sal bewirkt oder zumindest fördert. Dies ist bei der Durchführung von Massendaten-
analysen zu Prüfungszwecken (a) offensichtlich der Fall, da durch die vollumfängliche 
Prüfung der Datenbestände die Prüfungsqualität und Aussagekraft der P rüfung er-
höht wird. Durch die maschinelle Verarbeitung und mögliche Erkennung von Datena-
nomalien werden die Prüferinnen und Prüfer zudem bei der Auswahl der zu betrach-
tenden Einzelfälle unterstützt und somit zeitlich entlastet. In Bezug auf die fortlau-
fende Überwachung stellt die automatisierte Verarbeitung (b) die einzige geeignete 
Maßnahme dar, da bei großen Datenmen gen, wie sie typischerweise bei der Stadt 
Köln vorliegen, eine manuelle und kontinuierlich stattfindende Verarbeitung mit einem 
zu großen zeitlichen oder personellen Aufwand verbunden wäre.  
 
3. Erforderlichkeit: Eine Maßnahme ist erforderlich, wenn kein milderes Mittel gleicher 
Eignung zur Verfügung steht, also kein anderes Mittel verfügbar ist, das in gleicher 
(oder sogar besserer) Weise geeignet ist, den Zweck zu erreichen. Im Falle der prü-
fungsbezogenen Massendatenanalyse (a) steht der maschinellen Vollprüfung – zu-
mindest bei großen Datenbeständen – eine manuelle, stichprobenbasierte Prüfung 
durch die Prüferinnen und Prüfer gegenüber. Die stich probenbasierte Prüfungsme-
thode stellt in diesem Zusammenhang zwar das mildere Mittel dar, da nicht alle vor-
handenen Daten ausgewertet werden, ist jedoch aufgrund der oben aufgeführten 
Nachteile (geringere Aussagekraft, zum Teil größerer Personal - und Zeitaufwand) 
nicht in gleicher Weise geeignet, die Zwecke der örtlichen Rechnungsprüfung zu er-
füllen. Im Falle einer kontinuierlich stattfindenden Verarbeitung (b) stellt die maschi-
nelle und automatisierte Verarbeitung die einzige Möglichkeit dar, um eine wie in Ord-
nungspunkt 1.2 und 1.3 aufgeführte laufende und andauernde Prüfung und Überwa-
chung zu gewährleisten. Beide dargelegten Maßnahmen erfüllen somit das Kriterium 
der Erforderlichkeit.  
4. Angemessenheit: Eine Maßnahme ist verhältnismäßig, wenn die Nachteile, die mit der 
Maßnahme verbunden sind, nicht völlig außer Verhältnis zu den Vorteilen stehen, die 
sie bewirkt. In diesem Zusammenhang ist eine Abwägung der Vor- und Nachteile der 
beschriebenen Maßnahmen vorzunehmen. Vorteile der maschinell durchgeführten o-
der zumindest maschinell unterstützten Prüfung (a) sind die höhere Validität (Gültig-
keit) als auch Reliabilität (Zuverlässigkeit) der Prüfungsergebnisse. Bei einer kontinu-
ierlich und automatisiert durchgeführten Prüfung (b) liegt ein weiterer großer Vorteil in 
der zeitnahen, eventuell sogar in Echtzeit stattfindenden Evaluierung von Daten und 
Transaktionen. Auftretende Mängel innerhalb des internen Kontrollsystems und sons-
tige Auffälligkeiten können so unmittelbar erkannt werden – und nicht erst im Abstand 
von einigen Wochen oder Monaten. 
Da es sich be i den für die Prüfungen des RPA relevanten personenbezogenen Daten 
typischerweise um in einem Dateisystem gespeicherte Daten handelt, ist der Automatisie-
rungsgrad der Verarbeitung datenschutzrechtlich nicht relevant. Ebenso wenig ist mit Hin-
blick auf den Datenschutz der Stichprobenumfang der Verarbeitung von Relevanz. In je-
dem Fall sind bei einer Verarbeitung personenbezogener Daten die Grundsätze gemäß

Arbeitspapier „Datenschutz in der Rechnungsprüfung“ 
 
Rechnungsprüfungsamt der Stadt Köln 6 
 
Art. 5 DSGVO zu beachten sowie geeignete technische und organisatorische Maßnah-
men zum Datenschutz, wie zum Beispiel die Pseudonymisierung und Verschlüsselung 
von Daten, zu ergreifen. Das Grundrecht auf Datenschutz ist unter diesen Voraussetzun-
gen bei einer Massendatenanalyse personenbezogener Daten ausreichend gewahrt, so-
dass die oben beschriebenen Maßnahmen auch im engeren Sinne als grundsätzlich ver-
hältnismäßig betrachtet werden können. Zusätzlich zur grundsätzlichen Betrachtung sollte 
bei der Verarbeitung personenbezogener Daten die Angemessenheit in jedem Einzelfall, 
also im Kontext der jeweiligen Prüfung, geprüft werden. Zu diesem Zweck hat das RPA 
eine Checkliste mit dem Titel „ Dokumentation zur Massendatenauswertung“  
(G:\14ALW\01-Berichte\00-Vordrucke\Dokumentation zur Datenauswertung.docx ) erar-
beitet, in der die Notwendigkeit, die Rechtsgrundlage und der Umfang einer Verarbeitung 
personenbezogener Daten im Rahmen einer Prüfung dargelegt werden muss. 
4. Dokumentation zur Massendatenauswertung 
Die maschinelle Verarbeitung großer Datenmengen zu Analysezwecken stellt eine viel-
versprechende Methode dar, um die Qualität und Aussagekraft der durchgeführten Prü-
fungen zu erhöhen und die Prüferinnen und Prüfer bei ihrer Arbeit zu unterstützen. 
Prüfungshandlungen, die bei großen Datenbeständen aufgrund des unverhältnismäßigen 
Zeitaufwands bislang manuell und auf eine Stichprobe begrenzt durchgeführt wurden, 
können durch den Einsatz von angepassten Algorithmen und maschinellen Auswertetools 
– zumindest bei gewissen Fragestellungen – auf den gesamten Datenbestand ausgewei-
tet werden. Insbesondere kann eine Massendatenanalyse dazu dienen, Unregelmäßig-
keiten in großen Datenbeständen zu entdecken und den Prüfenden Hinweise auf notwen-
dige tiefergehende Prüfungshandlungen zu geben. 
Sofern im Rahmen einer Prüfung personenbezogene Daten aus unterschiedlichen Quel-
len mit einer Software, z. B. ACL abgeglichen werden, ist in dies em Fall dieser Vordruck 
zu verwenden, um die Dokumentationspflicht nach Art. 5 DSGVO zu erfüllen. 
5. Prüfberichte im Sinne der DSGVO 
Wie beschrieben dürfen und müssen personenbezogene Daten vom RPA verarbeitet wer-
den. In der Regel münden die Prüfergebnisse in Prüfberichte. In den Prüfberichten soll 
mithilfe von Anonymisierungen/Pseudonymisierungen (vgl. Pkt. 2 e) der Grundsatz der 
Datensparsamkeit beachtet werden. 
Nach den Vorschriften der GO NRW ist das RPA dem Rat gegenüber unmittelbar verant-
wortlich. Daraus ergibt sich, dass die Prüfberichte an sie weitergegeben werden müssen. 
Gemäß § 43 i. V. m. § 30 GO sind die Ratsmitglieder zwar ihrerseits zur Verschwiegenheit 
auch über die personenbezogenen Daten aus den Berichten verpflichtet . Es gilt jedoch, 
insbesondere für das RPA, der Grundsatz der Datenminimierung ( Art. 5 Abs. 1 lit. c 
DSGVO): Wann immer die Erwähnung, bzw. die Weitergabe personenbezogener Daten 
entbehrlich ist, muss darauf verzichtet werden. 
Werden Berichte (das gilt auch für Entwürfe) an die geprüfte Stelle gegeben, ist zu beach-
ten, dass die Daten nicht über den Personenkreis hinaus bekannt werden, der ohnehin 
Zugriff auf die jeweils dargestellten Informationen hat. Es muss in jedem Fall ausgeschlos-
sen werden, dass durch die Zirkulation der Berichte unbefugte Personen Kenntnis von 
Personaldaten bzw. personenbezogenen Daten erhalten. Das RPA soll auf diesen Um-
stand hinweisen, wenn es die Berichte an die geprüfte Stelle weitergeben. 
6. Informationspflichten nach Art. 13 und 14 DSGVO

Arbeitspapier „Datenschutz in der Rechnungsprüfung“ 
 
Rechnungsprüfungsamt der Stadt Köln 7 
 
Aus den Art. 13 und 14 DSGVO ergibt sich die Pflicht zur Information gegenüber der be-
troffenen Person wer,  wann, was und warum mit seinen personenbezogenen Daten 
macht. Der Umfang dieser Information ist abschließend beschrieben. 
6.1. Informationspflichten der geprüften Stelle 
Die geprüfte Stelle könnte sich von dem RPA zu einem Verstoß gegen die DSGVO 
gezwungen sehen, da sie im Nachhinein die Informationspflicht über die Weiter-
gabe von personenbezogenen Daten an das RPA verletzt. 
Art. 13 Abs. 1 lit. e und Art. 14. Abs. 1 lit. e DSGVO: Die geprüfte Stelle hat bei der 
Erhebung der Daten bei der betroffenen Person immer die Pflicht der Information 
über die Weitergabe der Daten an das RPA als „regelmäßigen Empfänger“. Wenn 
diese Information im Vorfeld bei der Datenerhebung unterbleibt, liegt ein Daten-
schutzverstoß seitens der geprüften Stelle vor.  
Art. 13 Abs. 3 DSGVO: Die geprüfte Stelle hätte eine Informationspflicht über die 
Weiterverarbeitung für einen anderen Zweck. Waren die Daten ursprünglich für 
einen bestimmten Verarbeitungszweck erhoben, werden sie im Rahmen der Rech-
nungsprüfung auf den ersten Blick für einen anderen Zweck verwendet. Durch § 9 
Abs. 1 DSG NRW wurde der ursprünglichen Zweck der Datenverarbeitung auf eine 
Datenverarbeitung im Rahmen der Rechnungsprüfung erweitert. Die Weiterverar-
beitung durch Offenlegung an das RPA ist nicht als zweckändernd anzusehen. Art. 
13 Abs. 3 DSGVO begründet insofern keine Informationspflicht der geprüften 
Stelle. 
Art. 14 Abs. 1 DSGVO: Im Gegensatz zu Art. 13 Abs. 1 DSGVO sieht Art. 14 Abs. 
1 DSGVO eine Info rmationspflicht vor, wenn personenbezogene Daten nicht bei 
der betroffenen Person erhoben werden, sondern die öffentliche Stelle die Daten 
auf anderem Wege erlangt. Hat die geprüfte Stelle die personenbezogenen Daten 
ursprünglich etwa bei einem Dritten erhoben, so wird sie regelmäßig nach Art. 14 
Abs. 1 DSGVO informationspflichtig gewesen sein. Die Offenlegung  gegenüber 
dem RPA führt bei ihr aber nicht dazu, dass sie die Daten ein weiteres Mal erlangt, 
sodass Art. 14 Abs. 1 DSGVO keine Informationspflicht begründet. 
Art. 14 Abs. 4 DSGVO regelt eine Informationspflicht für den Fall, dass der Verant-
wortliche die personenbezogenen Daten für einen anderen Zweck weiterzuverar-
beiten beabsichtigt als den, für den er die personenbezogenen Daten erlangt hat. 
Einer Informationspflicht der geprüften Stelle nach Art. 14 Abs. 4 DSGVO für den 
Fall, dass die Daten nicht bei der betroffenen Person erhoben wurden, steht aller-
dings wie bei Art. 13 Abs. 3 DSGVO die Fiktion der Identität von ursprünglichem 
Verarbeitungszweck und  Rechnungsprüfungszweck entgegen. Weil § 9 Abs. 1 
DSG NRW und § 83 Abs. 2 LBG NRW den ursprüng lichen Verarbeitungszweck 
und den Zweck „Rechnungsprüfung“ verknüpfen, fehlt es an der von Art. 14 Abs. 
4 DSGVO geforderten Zweckänderung. 
Fazit: Nur nach Art. 13 Abs. 1 lit. e und Art. 14. Abs. 1 lit. e DSGVO hat die geprüfte 
Stelle die Informationspflicht über die Offenlegung oder Weitergabe von personen-
bezogenen Daten an das RPA. 
 
6.2. Informationspflichten des RPA 
Die Frage, ob das RPA Informationspflichten gegenüber betroffenen Personen er-
füllen muss, ist ebenfalls anhand der Art. 13 und 14 DSGVO zu beantworten. An-
satzpunkt ist hier die Erhebung der Daten bei der geprüften Stelle und die Weiter-
verwendung im Rahmen der Prüfungstätigkeit. 
Informationspflicht nach Art 13 DSGVO

Arbeitspapier „Datenschutz in der Rechnungsprüfung“ 
 
Rechnungsprüfungsamt der Stadt Köln 8 
 
Wie die geprüfte Stelle trifft grundsätzlich auch das RPA keine Informationspflicht 
nach Art. 13 Abs. 1 DSGVO. Es erhebt regelmäßig keine personenbezogenen Da-
ten bei einer betroffenen Person, wenn es sich personenbezogene Daten von der 
geprüften Stelle offenlegen lässt oder sonst  - etwa durch automatisierten Abruf - 
bei dieser auf per sonenbezogene Daten zugreift. Ebenso scheidet dann eine In-
formationspflicht des RPA nach Art. 13 Abs. 3 DSGVO aus, weil es an einer 
„Ersterhebung“ fehlt. 
Gleichwohl kann es bei Prüfungshandlungen ausnahmsweise erforderlich werden, 
die Informationspflicht nach Art. 13 Abs. 1 DSGVO zu erfüllen 
Das RPA stößt im Zuge der Sachverhaltsermittlung bei einer geprüften Stelle auf 
eine „Missstandszeugin“ oder einen „Missstandszeugen“. Zur Wahrnehmung sei-
ner Prüfungsaufgaben ist das RPA auf eine Vielzahl von Informationen angewie-
sen. Diese Informationen erhält es zu einem Gutteil in der Kommunikation mit Be-
schäftigten der geprüften Stelle. Im Regelfall wird dadurch nicht die Infor mations-
pflicht nach Art. 13 Abs. 1 DSGVO ausgelöst, weil die Beschäftigten „für“ ihre 
Dienststelle sprechen und nicht für sich selbst. Diese Rolle können die Beschäftig-
ten im Einzelfall aber insbesondere dann verlassen, wenn sie – in Hinblick auf 
einen intern nicht abstellbaren Rechtsbruch – über persönliche Wahrnehmungen 
berichten oder persönliche Bewertungen abgeben, die mit der „offiziellen Linie“ der 
geprüften Stelle nicht in Einklang stehen. 
Beispiel 1: Das RPA gewinnt im Zuge einer Prüfung Anhaltspunkte dafür, dass bei 
einer Vergabe von Bauleistungen nicht alles „mit rechten Dingen zugegangen“ ist. 
Es identifiziert einen Beschäftigten, dessen Bedenken „beiseite geschoben“ wor-
den waren. Dem RPA gelingt es, den Beschäftigten davon zu überzeugen, nicht in 
den Akten dokumentierte Informationen offenzulegen, die den „Anfangsverdacht“ 
erhärten. 
Beispiel 2: Eine Beschäftigte hat Manipulationen in einem anderen Vergabever-
fahren beobachtet und zunächst für sich behalten, weil Vorgesetzte in den Sach-
verhalt verwickelt sind. Als das Vergabeverfahren Gegenstand der Rechnungsprü-
fung wird, gibt sie aus eigener Initiative eine persönliche Erklärung ab, welche von 
ihr bemerkte Manipulationen umfassend offenlegt. Das RPA beabsichtigt, diese 
Informationen im Prüfungsbericht unter Namensnennung zu verwerten. 
Fazit: In beiden Fällen hätte das RPA die „Missstandszeugen“ nach Art. 13 Abs. 1 
DSGVO zu informieren. Da aber das RPA die Namensnennung in Prüfberichten 
ausgeschlossen hat (vgl. Ziff. 6.1.9 Prüfhandbuch), ist die Informationspflicht nach 
Art. 13 DSGVO nicht gegeben. 
Informationspflicht nach Art 14 DSGVO 
Da das RPA die personenbezogenen Daten nicht bei der betroffenen Person er-
hebt, sondern von der überprüften Stelle erhält, ist Art. 14 Abs. 1 DSGVO grund-
sätzlich einschlägig. Das RPA muss sich nach Abwägung auf Art. 14 Abs. 5 lit b 
DSGVO berufen, wonach die Erteilung der in Art. 14 DSGVO genannten Informa-
tionen als unmöglich oder einen unverhältnismäßigen Aufwand erfordern würde. 
Dies ist regelmäßig anzunehmen. 
Fazit: Das RPA wird sich in vielen Fällen auf den Ausschluss der Informations-
pflicht gemäß Art. 14 Abs. 5 Buchst. b DSGVO berufen können, ist aber dazu an-
gehalten, entsprechende Schutzmaßnahmen sowie Dokumentationspflichten ein-
zuhalten. Voraussetzung ist immer, dass die Daten nur für den Zweck der Rech-
nungsprüfung verarbeitet werden. Ist eine (Weiter-)Verarbeitung zu anderen Zwe-
cken beabsichtigt, müssen neben der Zulässigkeit der Weiterverarbeitung auch 
wieder etwaige Informationspflichten geprüft werden.

Arbeitspapier „Datenschutz in der Rechnungsprüfung“ 
 
Rechnungsprüfungsamt der Stadt Köln 9 
 
 
 
Im Übrigen gelten die Dienstanweisung Datenschutz und das dazugehörige Datenschutz-
managementkonzept. 
Schlussendlich sei darauf hingewiesen, dass das RPA gemäß § 101 Abs. 2 GO bei der 
Erfüllung der ihr zugewiesenen Prüfungsaufgaben unabhängig und nicht an Weisungen 
gebunden ist. Es ist daher nicht verpflichtet, bei der Durchführung der ihr obliegenden 
Aufgaben das Einverständnis der zu prüfenden Stelle oder Dritter einzuholen. Nichtdes-
totrotz ist, m it Bezug auf die Leitlinien für die Zusammenarbeit des RPA mit anderen 
Dienststellen, die Transparenz von Prüfungshandlungen, eine kooperative Zusammenar-
beit und eine offene Kommunikation mit den geprüften Stellen selbstverständlich der be-
vorzugte Weg. 
 
gez. Ralf Jülich 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Quellen: 
Dr. Philip Roedig: Über die Rechtmäßigkeit der Durchführung von Massendatenanalysen 
BayLD: Arbeitspapier Informationspflichten in der Rechnungsprüfung

Mitteilung Ausschuss

3453 Zeichen

Dezernat, Dienststelle  
OB/14/142/2 
 
Vorlagen-Nummer  02.06.2023 
 1386/2023 
Mitteilung 
öffentlicher Teil 
Gremium Datum 
Rechnungsprüfungsausschuss 13.06.2023 
Digitalisierungsausschuss 21.08.2023 
 
Mitteilung über die Verwendung von personenbezogenen Daten in der 
Rechnungsprüfung 
Die Datenschutz-Grundverordnung (DSGVO) ist die europäische Datenschutzverordnung, die 
am 25. Mai 2016 in Kraft getreten ist. Die DSGVO schützt das Grundrecht auf informationelle 
Selbstbestimmung von natürlichen Personen in dem sie die Verarbeitung von personenbezo-
genen Daten durch natürliche Personen, Unternehmen und Behörden in der EU regelt. Das  
betrifft insofern auch die Rechnungsprüfung. 
 
Im Rahmen der Prüfungen des Rechnungsprüfungsamtes werden regelmäßig personenbezo-
gene Daten verarbeitet. Personenbezogene Daten umfassen Informationen, die sich auf eine 
identifizierte oder identifizierbare natürliche Person beziehen, wie zum Beispiel Namen, Kon-
taktdaten, Sozialversicherungsnummern, finanzielle Informationen und andere sensible Daten. 
Diese Daten können in den zu prüfenden Dokumenten enthalten sein, z. B. in Personalakten, 
Rechnungen von Lieferanten oder Verträgen. 
 
Die Verarbeitung personenbezogener Daten ist für Rechnungsprüfungsämter erforderlich, um 
ihre Aufgaben effektiv zu erfüllen. Sie ermöglicht es ihnen, die Rechtmäßigkeit, Genauigkeit 
und Zuverlässigkeit der finanziellen Transaktionen und Aufzeichnungen zu überprüfen. Durch 
den Zugriff auf personenbezogene Daten können potenzielle finanzielle Unregelmäßigkeiten 
oder Untreuefälle aufgedeckt werden. 
 
Allerdings ist es wichtig zu betonen, dass die Verarbeitung personenbezogener Daten durch 
ein Rechnungsprüfungsamt ebenso strengen rechtlichen und ethischen Standards unterliegen 
muss. Gemäß der DSGVO müssen die Grundsätze der Rechtmäßigkeit, Verarbeitung nach 
Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbe-
grenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht beachtet werden. Die Da-
ten müssen sicher und geschützt aufbewahrt werden, und der Zugriff darauf muss auf autori-
sierte Personen beschränkt sein. 
 
Zusammenfassend lässt sich sagen, dass die Verarbeitung personenbezogener Daten nach 
der DSGVO für Rechnungsprüfungsämter unerlässlich ist, um ihre Aufgaben der Überprüfung 
von finanziellen Transaktionen und der Einhaltung von Vorschriften zu erfüllen. Es ist jedoch 
wichtig, dass diese Verarbeitung im Einklang mit den geltenden Datenschutzbestimmungen 
steht und der Schutz der Privatsphäre und der Rechte der Einzelpersonen gewährleistet wird. 
Die DSGVO schützt die Rechte betroffener Personen und regelt grund sätzlich die Verarbei-
tung personenbezogener Daten.

2 
 
In einem internen Arbeitspapier werden die Rechtsgrundlagen, der Umgang mit personenbe-
zogenen Daten sowie die Informations- und Rechenschaftspflicht dargestellt und die besonde-
re Rechtsstellung des Rechnungsprüfungsamtes erläutert.  
 
Hierbei wird insbesondere der Umgang mit digital unterstützen Massendatenauswertungen 
beleuchtet, da diese einen größeren und weitreichenderen Eingriff als die manuelle stichpro-
benartige Prüfung darstellen.  
 
Dabei ist dem Re chnungsprüfungsamt eine hohe Transparenz gegenüber Politik und Verwal-
tung wichtig. Daher sind das „Arbeitspapier Datenschutz in der Rechnungsprüfung“ und die 
„Dokumentation zur Datenauswertung“ als Anlage beigefügt.  
 
gez. Jülich

RPAu (2023-06-13)_Auszug aus der Niederschrift_TOP 6.1

1315 Zeichen

Geschäftsführung  
Rechnungsprüfungsausschuss 
Naiga Ngawanzu 
Telefon:  (0221) 221 22928 
Fax:   (0221) 221 25501 
E-Mail: naiga.ngawanzu@stadt-
koeln.de 
Datum: 12.07.2023 
Auszug 
aus der Niederschrift der Sitzung des 
Rechnungsprüfungsausschusses vom 13.06.2023 
öffentlich 
6.1 Mitteilung über die Verwendung von personenbezogenen Daten in der 
Rechnungsprüfung 
1386/2023 
Das Rechnungsprüfungsamt berücksichtige bei der Arbeit mit personenbezogenen 
Daten, laut Jörg Detjen, ein mit dem Datenschutzbeauftragten abgestimmtes „Arbeits-
papier Datenschutz in der Rechnungsprüfung“. 
 
Hans Schwanitz hebt positiv hervor, dass die Verwendung von personenbezogenen 
Daten vom Rechnungsprüfungsamt systematisch beachtet wird. Er regt an die Vor-
lage in den Digitalisierungsausschuss zu verweisen, um ein Beispiel zu geben, wie die 
Thematik gut aufgearbeitet und dargestellt sowie bei anderen Dienststellen eingefor-
dert werden könnte. 
 
Jörg Detjen weist darauf hin, dass es sich um eine interne Arbeitsanweisung des 
Rechnungsamtes handelt. Als Hinweis des Rechnungsprüfungsausschusses wie Ar-
beitsabläufe bezüglich Datenschutz und Digitalisierung gut verbunden werden kön-
nen, wird die Vorlage in den Digitalisierungsausschuss verwiesen. 
 
Der Rechnungsprüfungsausschuss nimmt die Mitteilung zur Kenntnis.

Beratungsverlauf (2)

13.06.2023 Rechnungsprüfungsausschuss
TOP 6.1 Kenntnisnahme (Mitteilung) Entscheidung

Beschluss: Kenntnis genommen

Zur Sitzung
21.08.2023 Digitalisierungsausschuss
TOP 2.4 Kenntnisnahme (Mitteilung) Entscheidung

Beschluss: Kenntnis genommen

Zur Sitzung

Details

Aktenzeichen
1386/2023
Typ
Mitteilung Ausschuss
Datum
13.07.2023
Erstellt
25.04.2023 12:26