Erlaubt ist (nicht alles), was gefällt

Im Blickpunkt: Datenschutzrechtliche Grenzen bei Corporate Investigations

Von Dr. Jan Tibor Lelley, LL.M.

Beitrag als PDF (Download)

Warum gibt es Corporate Investigations? Wenn in Unternehmen ein Verdacht auf Fehlverhalten von Mitarbeitern auftaucht, muss das Management handeln. Nämlich immer dann, wenn es um wenigstens nachvollziehbare Verdachtsmomente geht. Hier untätig zu bleiben kann fatale Konsequenzen haben. Ein Unternehmen müsste mit Sanktionen nach den §§ 30, 130 OWiG rechnen (Geldbußen von bis zu 10 Millionen Euro bei vorsätzlichem oder fahrlässigem Unterlassen von Aufsichtsmaßnahmen). Und das Management, also Mitglieder des Vorstands oder der Geschäftsführung, könnten sogar strafrechtlich zur Verantwortung gezogen werden.

Wie führt man Corporate Investigations durch? Oft werden Spezialisten beauftragt, die offen oder verdeckt Ermittlungen im Unternehmen einleiten. Ziel ist das Aufklären des vermuteten Fehlverhaltens. Durchführen können die Ermittlungen entweder spezialisierte Mitarbeiter des Unternehmens selbst oder externe Spezialisten, etwa eine Rechtsanwaltskanzlei. Eine wichtige Schranke für die Zulässigkeit der Ermittlungsmaßnahmen ist das Recht der betroffenen Arbeitnehmer auf Schutz ihrer personenbezogenen Daten. Damit ist das Recht auf informationelle Selbstbestimmung angesprochen. Und daher sind fast alle Maßnahmen bei Corporate Investigations nach den Datenschutzgesetzen zu beurteilen.

Grundsätze des Datenschutzes

Datenschutzrechtlich gilt das Verbot mit Erlaubnisvorbehalt. Bei der Erhebung, Verarbeitung, Nutzung von personenbezogenen Daten muss also entweder

eine Erlaubnis durch Gesetz oder eine andere Rechtsvorschrift oder

eine Anordnung der Maßnahme durch Gesetz oder eine andere Rechtsvorschrift oder

eine Einwilligung des Betroffenen

vorliegen.

Bei anonymisierten oder pseudonymisierten Daten gilt das Datenschutzrecht nicht, denn es sind nicht mehr personenbezogene Daten. Datenschutzrechtlich ergeben sich unmittelbar aus dem Bundesdatenschutzgesetz (BDSG) als Erlaubnisnorm für Corporate Investigations

§ 28 BDSG (Datenerhebung und -speicherung für eigene Geschäftszwecke) oder

§ 32 BDSG (Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses).

Aber auch Betriebsvereinbarungen können als Erlaubnisnorm dienen. § 32 BDSG unterscheidet konkret zwischen präventiven Maßnahmen, die ohne einen ­Anhaltspunkt für Fehlverhalten durchgeführt werden (§ 32 Abs. 1 S. 1 BDSG), und Maßnahmen, die zur Aufdeckung von Straftaten dienen. Dazu müssen zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der betroffene Arbeitnehmer im Arbeitsverhältnis eine Straftat begangen hat (§ 32 Abs. 1 Satz 2 BDSG).

Eine Sonderrolle spielt die datenschutzrechtliche ­Einwilligung, geregelt in § 4a BDSG. Auch die Einwilligung ist ein datenschutzrechtlicher Erlaubnistatbestand für Corporate Investigations. Die Einwilligung muss freiwillig erfolgen, und der betroffene Arbeitnehmer darf sie jederzeit widerrufen. Das kann unpraktisch sein. Denn kommt es zu einem Widerruf, kann dies einer Ermittlungsmaßnahme datenschutzrechtlich den Boden unter den Füßen wegziehen. Nämlich dann, wenn kein anderer datenschutzrechtlicher Erlaubnistatbestand zur Verfügung steht, man sich also für die Ermittlungsmaßnahme nur auf die Einwilligung des betroffenen Arbeitnehmers oder der betroffenen Arbeitnehmergruppe verlassen hatte.

Auftragsdatenverarbeitung

Werden externe Berater oder externe Dienstleister bei Corporate Investigations beauftragt, kann es sich datenschutzrechtlich um eine Auftragsdatenverarbeitung nach § 11 BDSG handeln. Dann werden die personenbezogenen Daten im Auftrag des Unternehmens erhoben, verarbeitet oder genutzt, um die Ziele der Corporate Investigation zu erreichen. In § 11 Abs. 2 BDSG schreibt das Gesetz detailliert vor, wie die Auftragsdatenverarbeitung zu erfolgen hat, nämlich in Form einer schriftlichen Auftragserteilung, die unter anderem den Gegenstand und die Dauer des Auftrags, den Umfang, die Art und den Zweck der vorgesehenen Datenerhebung, -verarbeitung oder -nutzung und den Kreis der Betroffenen beschreibt und auch Regelungen zur Berichtigung, Löschung oder Sperrung der verarbeiteten Daten trifft. Hier ist wichtig, dass der Auftragnehmer sorgfältig ausgewählt und überwacht ist. Denn datenschutzrechtlich bleibt das beauftragende Unternehmen verantwortlich und trägt daher auch das Risiko von strafbewehrten Verstößen gegen datenschutzrechtliche Vorgaben. Im Rahmen einer Vorabkontrolle kann auch der betriebliche Datenschutzbeauftragte nach § 4d Abs. 5 und 6 BDSG in die Vorbereitung von Corporate Investigations einbezogen werden. Und auch der Betriebsrat – falls er denn besteht – kann ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG haben, etwa wenn IT-Systeme überwacht werden. Die behördliche Datenschutzaufsicht muss man regelmäßig nicht einschalten.

Praxisbeispiele …

Klassische Maßnahmen von Corporate Investigations sind

das Führen von Mitarbeitergesprächen,

das Sammeln von Telekommunikationsdaten und

– als Besonderheit – das Sichten von E-Mails.

Datenschutzrechtlich richtet sich die Zulässigkeit von Fragen in Mitarbeitergesprächen nach den §§ 32, 28 BDSG. Bei der Sammlung von Telekommunikationsdaten muss man beachten, dass das Telekommunikationsgeheimnis gemäß § 88 TKG einschlägig ist, wenn das Unternehmen die private Nutzung von Telekommunikationseinrichtungen (Telefon, E-Mail, Internet) erlaubt. Wenn die Privatnutzung verboten ist, sind zumindest die Regeln des BDSG zu beachten. Nach einer aktuellen Entscheidung des Bundesarbeitsgerichts (BAG, Urt. v. 20.06.2013 – Az. 2 ARZ 546/12) sind auch Durchsuchungsmaßnahmen, etwa eine Bürodurchsuchung, am Maßstab des § 32 BDSG datenschutzrechtlich zu messen. Nur geeignete, erforderliche und angemessene Maßnahmen sind datenschutzrechtlich zu rechtfertigen. Hier kommt es auf den Einzelfall an, es darf nur so weit in die Privatsphäre des Arbeitnehmers eingegriffen werden, wie dies zur Erreichung des Ermittlungszwecks unbedingt erforderlich ist.

So sah man konkret eine Schrankdurchsuchung in Abwesenheit des Arbeitnehmers als datenschutzrechtlich unzulässig an. Begründet hat das Gericht diese Entscheidung mit dem Argument, die Durchsuchung hätte man auch im Beisein des Arbeitnehmers genauso effektiv durchführen können. Nach dieser Rechtsprechung führt ein Verstoß gegen datenschutzrechtliche Vorgaben zu einem prozessualen Beweisverwertungsverbot. Das ist fatal, wenn man sich einmal überlegt, dass sogar überführte Straftäter arbeitsrechtlich nicht sanktioniert werden können, wenn prozessuale Beweisverwertungsverbote entgegenstehen. Entsprechende Kündigungen sind dann nämlich unwirksam.

Eine ähnliche Konstellation kann sich bei einer heimlichen Videoüberwachung im Rahmen von Corporate Investigations ergeben. Auch hier geht das Bundesarbeitsgericht bei einer datenschutzrechtlich ungerechtfertigten Informationsbeschaffung und Beweiserhebung von einem Beweisverwertungsverbot aus (BAG, Urt. v. 21.11.2013 – Az. 2 AZR 797/11). Und dies mit den gleichen fatalen Konsequenzen für arbeitsrechtliche Sanktionen.

… und Praxishinweise

Mit den folgenden Praxistipps kann man datenschutzrechtliche Probleme bei Corporate Investigations vermeiden:

Neben einer einschlägigen datenschutzrechtlichen Erlaubnisnorm müssen auch immer die Rechte von betroffenen Arbeitnehmern beachtet werden. Datenschutzrechtlich sind das die Rechte auf Information, Berichtigung, Sperrung und Löschung von Daten nach den §§ 4, 4a, 33 bis 35 BDSG.

Bei Ermittlungsmaßnahmen mit Auslandsbezug sollte man daran denken, dass andere Rechtsordnungen, oft nicht sofort ersichtlich, mit eigenen Datenschutzbestimmungen aufwarten. Und selbst innerhalb der Europäischen Union, wo die EU-Datenschutzrichtlinie 95/46/EG gilt, ist diese nicht ganz einheitlich in nationales Recht umgesetzt.

Hat man die Wahl, sollten Corporate Investigations immer auf die gesetzlichen Erlaubnistatbestände gestützt sein; die datenschutzrechtliche Einwilligung von Betroffenen rechtfertigt zwar, ist aber aufgrund der Widerruflichkeit in der Praxis immer nur die zweitbeste Lösung.

Prozessuale Beweisverwertungsverbote durch datenschutzrechtliche Exzesse sind zu vermeiden. Jegliche Ermittlungsmaßnahme muss sich auf das unbedingt Erforderliche beschränken, um den Ermittlungserfolg zu erreichen.

Ganz umschifft werden können datenschutzrechtliche Probleme bei Corporate Investigations, wenn die zu verarbeitenden Daten anonymisiert oder pseudonymisiert werden. Denn dann handelt es sich überhaupt nicht mehr um personenbezogene Daten nach § 3 Abs. 1 BDSG, auf die Datenschutzrecht anzuwenden wäre.

lelley@buse.de