Also für das Audit-Journal muss auf jeden Fall der Betriebsrat herangezogen sowie die Vereinbarkeit zum DSGVO geprüft werden. Immerhin werden hier massiv personenbezogene Daten gesammelt.
Das ist zwar nicht schlimm, allerdings darf dies nicht personenbezogen ausgewertet werden.
Hier gilt das Prinzip: Man muss den Täter auf frischer Tat erwischen, eine Überwachung darf nur von der Staatsanwaltschaft bei begründetem Verdacht angeordnet werden.
Außerdem ist die Erhebung der Daten auf genuau die verdächtigte Person einzuschränken.
Die Fragestellung "Wer hat XYZ gemacht" darf so gar nicht erst gestellt werden, da generell die Unschuldsvermutung gilt.