Compliance-Verstöße und interne Ermittlungen: Sind Zugriffe auf Kommunikationsinhalte zulässig?

pb-compliance

Seit dem 17.12.2023 müssen Unternehmen mit über 50 Beschäftigten eine interne Meldestelle gemäß § 12 Hinweisgeberschutzgesetz (HinSchG) implementiert haben. Gehen bei der Meldestelle plausible Hinweise ein, die auf einen Verstoß im Sinne des § 2 HinSchG hindeuten, ist die Meldestelle bzw. das jeweilige Unternehmen dazu verpflichtet Folgemaßnahmen (§ 18 HinSchG) zu ergreifen. Zu den Folgemaßnahmen gehört insbesondere die Aufklärung des vermeintlichen Verstoßes mittels einer internen Ermittlung.

Unabhängig vom Bestehen einer internen Meldestelle ist die Geschäftsführung juristischer Personen (insbesondere AGs und GmbHs) aus Compliance-Sicht dazu verpflichtet, mögliche Compliance-Verstöße aufzuklären und abzustellen. Dies gilt aufgrund der Legalitätspflicht (=Pflicht des Unternehmens sich an geltendes Recht zu halten) insbesondere dann, wenn die Möglichkeit eines fortgesetzten Rechtsverstoßes gegeben ist.

Hinsichtlich des Ob einer internen Ermittlung steht der Führungsebene eines Unternehmens damit regelmäßig kein Ermessen zu. Gestaltungsspielraum ergibt sich jedoch hinsichtlich der konkreten Untersuchungsmaßnahmen und der Untersuchungstiefe.

Interne Untersuchungen sind ein Kernbestandteil des Compliance Managements, bergen aber oftmals selbst erhebliche Gefahren im Hinblick auf Compliance-Verstöße (z. B. Datenschutzverstöße, rechtliche Verwertbarkeit der Untersuchungsergebnisse etc.).

Dieser Beitrag fokussiert sich auf die Organisation interner Ermittlungen und die Voraussetzungen für ein datenschutzkonformes Vorgehen im Zusammenhang mit Auswertungen von (elektronischen) Kommunikationsinhalten der Beschäftigten.

Datenschutzrechtliche Ausgangslage

Bevor eine interne Ermittlung initiiert wird, die zu einer Verarbeitung personenbezogener Daten und gegebenenfalls einer Zweckänderung im Sinne des Art. 6 Abs. 4 DSGVO führt, muss die rechtliche Grundlage der Verarbeitung geklärt werden. Bei der Beurteilung der Rechtsgrundlage(n) kommt es dabei stets darauf an, was der Anlass für die interne Ermittlung ist, welche Ziele hiermit verfolgt werden und über welchen Kanal der Verantwortliche (Art. 4 Nr. 7 DSGVO) von einem möglichen Verstoß Kenntnis erlangt hat.

Wird eine interne Ermittlung aufgrund eines plausiblen Hinweises, der an die interne Meldestelle übermittelt wurde, angestoßen, sind erforderliche Verarbeitungen personenbezogener Daten (der Beschäftigten) zur Aufklärung des Verstoßes grundsätzlich gemäß Art. 6 Abs. 1 lit. c DSGVO i.V.m § 10 HinSchG legitimiert. Dies schließt die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) mit ein. Die Meldestelle hat in diesem Fall allerdings gemäß § 22 Abs. 2 BDSG spezifische und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Person umzusetzen.

Gibt es keine Interne Meldestelle, können die Normen des HinSchG nicht als Rechtsgrundlage der Verarbeitung dienen. Unabhängig davon, ob eine interne Ermittlung aufgrund eines Hinweises an die interne Meldestelle oder aufgrund anderer Anhaltspunkte für einen Compliance-Verstoß eingeleitet wird, ist § 26 Abs. 1 S. 1 BDSG daher als weitere Rechtsgrundlage der Verarbeitung heranzuziehen, sofern die Verarbeitung für die Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist. Dabei darf die interne Ermittlung niemals „ins Blaue hinein“ erfolgen. Vielmehr bedarf es eines konkreten und plausiblen Verdachtsmoments und der Verstoß muss insgesamt Relevanz entfalten (Bagatellgrenze).

Dient die interne Ermittlung auch dazu mögliche strafbare Handlungen von Beschäftigten aufzudecken, müssen zusätzlich die Voraussetzungen des § 26 Abs. 1 S. 2 BDSG berücksichtigt werden. In diesen Fällen ist ein Anfangsverdacht (tatsächliche Anhaltspunkte) im Sinne des § 152 Abs. 2 StPO erforderlich. Außerdem ist eine Interessenabwägung im Einzelfall vorzunehmen und die Maßnahme unterliegt insgesamt dem Vorbehalt der Verhältnismäßigkeit.

Sollte § 26 Abs. 1 BDSG aufgrund des EuGH-Urteils vom 30.03.2023 C 34/21 (wir berichteten) künftig nicht mehr angewendet werden können, müssten Verarbeitungen (die nicht durch die interne Meldestelle nach § 10 HinSchG erfolgen) alternativ auf entsprechend ausgestaltete Betriebsvereinbarungen (vgl. § 26 Abs. 4 BDSG) oder das berechtigte Interesse gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden. Letzteres gilt auch bezüglich personenbezogener Daten Dritter (z. B. externe Kommunikationspartner*innen). Unzweifelhaft wäre hierbei ein berechtigtes Interesse des Verantwortlichen aufgrund der Legalitätspflicht sowie der Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen anzunehmen. Inwiefern die berechtigten Interessen des Verantwortlichen den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person(en) überwiegen ist hierbei im Einzelfall zu bewerten. Sind in diesem Zusammenhang auch besondere Kategorien personenbezogener Daten betroffen, wäre außerdem Art. 9 Abs. 2 lit. f DSGVO als Rechtsgrundlage der Verarbeitung heranzuziehen.

Die Sache mit dem Fernmeldegeheimnis

Gestattet bzw. duldet der Arbeitgeber die private Nutzung des dienstlichen E-Mail-Accounts, ist seit Jahren umstritten inwiefern der Arbeitgeber als Anbieter von Telekommunikationsdiensten (§ 3 TKG) zu werten ist und folglich das Fernmeldegeheimnis zu wahren hat.

Das Fernmeldegeheimnis ist mittlerweile in § 3 Abs. 3 Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) geregelt und Verstöße dagegen sind gemäß § 206 StGB strafbar. Im Hinblick auf das Beschäftigungsverhältnis ist dabei weiterhin nicht höchstrichterlich geklärt, ob der Arbeitgeber das Fernmeldegeheimnis zu wahren hat, sofern den Beschäftigten die private Nutzung des dienstlichen E-Mail-Accounts gestattet ist. Wenngleich vieles dafür spricht, dass Arbeitgeber auch bei erlaubter privater Nutzung des dienstlichen E-Mail-Accounts nicht als Anbieter von Telekommunikationsdiensten (§ 3 TKG) zu werten sind, vertreten Aufsichtsbehörden und teilweise auch Gerichte weiterhin die Auffassung, dass Unternehmen in diesen Fällen das Fernmeldegeheimnis zu beachten haben. Die Folge daraus wäre eine Sperrwirkung für die Auswertung von Kommunikationsinhalten in betrieblichen Kommunikationssystemen des Arbeitgebers, sofern darin private Kommunikationsinhalte enthalten sind. Wäre dies der Fall, würde der Erfolg interner Ermittlungen und die Wirksamkeit der Compliance-Organisation insgesamt erheblich beeinträchtigt.

Ohne die Diskussion um das Fernmeldegeheimnis im Beschäftigtenkontext an dieser Stelle weiter vertiefen zu wollen, sollte stets berücksichtigt werden, dass die Kommunikationsinhalte jedenfalls nicht mehr durch das Fernmeldegeheimnis geschützt sind, sobald der Übertragungsvorgang abgeschlossen ist, der Empfänger die Inhalte zur Kenntnis genommen hat und die Nachricht bewusst im Kommunikationssystem des Arbeitgebers speichert bzw. dort belässt. Dies gilt zumindest dann, wenn das Kommunikationssystem auf eigenen Servern des Arbeitgebers betrieben wird und die Kommunikationsdaten dort gehostet werden. Wird jedoch ein externer Provider eingesetzt, greift das Fernmeldegeheimnis aufgrund der fehlenden Verfügungsgewalt weiterhin (vgl. BVerfG Urteil vom 16.06.2009 – 2 BVR 902/06).

Um eine schnelle und rechtssichere Umsetzung interner Ermittlungen gewährleisten zu können, ist es daher für Unternehmen weiterhin äußerst ratsam die private Nutzung der betrieblichen Kommunikationsmittel strikt zu verbieten oder konkrete Regelungen in einer Betriebsvereinbarung oder Richtlinie zu treffen, die auch die Vorgänge im Falle interner Untersuchung regeln. Soll die private Nutzung in geringem Umfang erlaubt sein, empfiehlt es sich, dies nur unter der Prämisse zu gestatten, dass Beschäftigte in die notwendigen Datenverarbeitungen (Spam- und Virenfilter, Vertretungsregelungen, compliancerelevante Analysen etc.) einwilligen und private Inhalte klar getrennt von den dienstlichen Inhalten ablegen. Wird keine entsprechende Einwilligung erteilt, bleibt die private Nutzung verboten und es ist lediglich die dienstliche Nutzung zulässig.

Handlungsempfehlungen für die Praxis

Übersetzt in konkrete Handlungsempfehlungen bedeutet die Diskussion zu den einschlägigen Rechtsgrundlagen der Datenverarbeitung und dem Fernmeldegeheimnis, dass für die Einleitung einer internen Ermittlung hinreichend plausible Anhaltspunkte für einen relevanten Compliance-Verstoß vorliegen müssen. Diese Anhaltspunkte sollten sodann in einem sogenannten Einleitungsvermerk nachvollziehbar dokumentiert werden und unter Berücksichtigung der Schwere des vermeintlichen Compliance-Verstoßes eine umfassende Verhältnismäßigkeitsprüfung durchgeführt werden.

Ziel ist es hierbei die Untersuchungsmaßnahmen und die Untersuchungstiefe so zu definieren, dass die Verhältnismäßigkeit in Bezug auf den verfolgten Zweck gewahrt bleibt.

Hinsichtlich der Ausgestaltung der Analyse von (elektronischen) Kommunikationsinhalten empfiehlt es sich insbesondere folgende Aspekte zu berücksichtigen:

• Der Zeitraum der analysierten Kommunikation sollte auf das absolut erforderliche Maß begrenzt werden.
• Eine gezielte Stichwortsuche ist einer umfassenden Gesamtauswertung der Kommunikationsinhalte stets vorzuziehen (Datenminimierungsgrundsatz).
• Private Kommunikationsinhalte sind von der Analyse (möglichst) auszunehmen und von dienstlichen Inhalten zu trennen.
• Der Personenkreis des Ermittlungsteams sollte so klein wie möglich sein (Vertraulichkeit).
• Der Datenschutzbeauftragte sollte frühzeitig hinzugezogen werden.
• Die beschuldigte Person ist über die Maßnahme frühestmöglich, bestenfalls vorab, zu informiert bzw. daran zu beteiligen, sofern hierdurch der Ermittlungserfolg nicht gefährdet wird.
• Die Mitbestimmungsrechte des Betriebsrates sind zu berücksichtigen.
• Die Ergebnisse der Auswertung bzw. der internen Ermittlung müssen sicher verwahrt werden (adäquate Zugangs- und Zugriffskontrollmaßnahmen).

Gibt es klar definierte Prozesse und Rahmenbedingungen für die Durchführung von internen Untersuchungen, z. B. in Betriebsvereinbarungen, erscheint es sinnvoll für diese Prozesse eine einheitliche Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Da es sich bei internen Untersuchungen im Regelfall jedoch um Ad-hoc-Maßnahmen handelt, wird in Abhängigkeit des Untersuchungsgegenstandes und der Eingriffsintensität der Maßnahme eine Verhältnismäßigkeitsprüfung bzw. einzelfallbezogene Bewertung unumgänglich sein.

Ausblick

Mit Inkrafttreten des Hinweisgeberschutzgesetzes und der Etablierung von internen und externen Meldestellen sowie dem Schutz der hinweisgebenden Personen vor Repressalien, ist damit zu rechnen, dass in den kommenden Jahren die Anzahl interner Ermittlungen weiter steigen wird. Damit die Aufklärungsmaßnahmen und internen Ermittlungen kurzfristig vorgenommen werden können und hierbei (gerichtlich) verwertbare Ergebnisse erzielen werden, ist es essenziell, klare und konsistente Regelungen im Unternehmen zur (privaten) Nutzung betrieblicher Kommunikationsmittel und der Durchführung von internen Ermittlungen zu etablieren. Besteht ein Betriebsrat, ist der Abschluss einer entsprechend ausgestalteten Betriebsvereinbarung äußerst empfehlenswert. Befassen sich Unternehmen im Vorfeld nicht ausreichend mit den rechtlichen Voraussetzungen und Rahmenbedingungen für die Durchführung interner Ermittlungen, gefährdet dies den Erfolg bzw. die Ergebnisse der Maßnahme sowie die Wirksamkeit der Compliance-Organisation insgesamt.

Haben Sie Fragen rund um das Thema Compliance? Brauchen Sie Hilfe beim Aufbau eines Compliance-Managementsystem oder einer internen Meldestelle? Wir helfen Ihnen gerne weiter. Melden Sie sich unter compliance@dsn-group.de.