Stellenwert von Compliance
Eine Pflicht zur Sicherstellung der Compliance ergibt sich somit u.a. aus §§ 91, 93 AktG sowie § 43 GmbHG zur Abwendung von wirtschaftlichem Schaden vom Unternehmen. Unternehmen bzw. deren Vertretungsberechtigte haben gemäß §§ 9, 30 und § 130 Ordnungswidrigkeitengesetz (OWiG) dafür Sorge zu tragen, dass aus dem Unternehmen heraus keine Gesetzesverstöße erfolgen. Bei Gesetzesverstößen drohen Ordnungswidrigkeitenverfahren (und damit Bußgelder), sofern das Unternehmen bzw. deren Vertretungsberechtigte ihren Organisations- und Aufsichtspflichten nicht nachgekommen sind.
Compliance-Maßnahmen sind in den Unternehmen häufig Bestandteil eines umfassenden Risikomanagements und werden in besonderen Richtlinien oder Verhaltenskodizes festgehalten und veröffentlicht.
Datenschutzrechtlich problematisch sind weniger die Regelungen und Maßnahmen, die in Unternehmen zur grundsätzlichen Vermeidung von Regelverstößen getroffen werden (vgl. Kap. 3.1), sondern vielmehr die Mechanismen, die in Unternehmen umgesetzt sind, um Compliance-Verstöße aufzudecken.
Datenschutzrechtliche Grundlagen
Das Datenschutzrecht findet nur Anwendung, soweit im Rahmen von Compliance-Maßnahmen personenbezogene Daten verarbeitet werden. Ist diese Voraussetzung erfüllt, gilt der Grundsatz eines generellen Datenverarbeitungsverbotes mit Erlaubnisvorbehalt. Demnach ist die Verarbeitung personenbezogener Daten nur zulässig, wenn eine Rechtsvorschrift die Verarbeitung erlaubt, zwingend voraussetzt oder der Betroffene in die Verarbeitung freiwillig und wirksam eingewilligt hat, § 4 BDSG.
Als spezielle Erlaubnisnormen für die automatisierte Verarbeitung von Mitarbeiterdaten zu Compliancezwecken scheiden die verschiedenen Kontrollpflichten des Arbeitgebers aus, da sie zwar Kontrollen im Allgemeinen festschreiben, aber über die genauere Ausgestaltung und insbesondere über hierbei zu verarbeitende personenbezogene Daten nichts aussagen . Es ist daher auf Regelungen des BDSG zurückzugreifen:
- § 32 Abs. 1 Satz 1 BDSG erlaubt die Datenerhebung und -verarbeitung, soweit dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.
- § 32 Abs. 1 Satz 2 BDSG erlaubt die Datenerhebung und -verarbeitung, soweit zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat.
- § 28 Abs. 1 BDSG erlaubt die Datenverarbeitung u.a., soweit sie für die Durchführung eines rechtsgeschäftlichen Schuldverhältnisses zulässig oder zur Wahrung berechtigter Interessen des Arbeitgebers erforderlich ist und keine schützenswerte Interessen des Mitarbeiters überwiegen.
Sofern für die Verarbeitung von Mitarbeiterdaten eine der oben genannten Befugnisnormen herangezogen werden kann, sind bei der Durchführung von Kontrollen weitere grundlegende Aspekte zu berücksichtigen:
- Datensparsamkeit und Datenvermeidung: Gemäß § 3a Satz 1 BDSG sollten möglichst wenige personenbezogene Daten erhoben und verarbeitet werden.
- Anonymisierung und Pseudonymisierung: Soweit wie möglich sollten gemäß § 3a Satz 2 BDSG personenbezogene Daten anonymisiert oder pseudonymisiert werden.
- Zweckbindung: Aus dem Zweckbindungsgrundsatz folgt, dass die Daten grundsätzlich nur für solche Zwecke verarbeitet werden dürfen, für die sie ursprünglich erhoben wurden.
- Transparenz: Kontrollmaßnahmen sollten transparent sein; die von den Maßnahmen konkret betroffenen Mitarbeiter sollten gemäß § 33 BDSG über Auswertungen personenbezogener Art benachrichtigt werden.
- Beteiligung des Datenschutzbeauftragten: Gemäß § 4 d Abs. 5 BDSG ist durch den Datenschutzbeauftragten in aller Regel eine Vorabkontrolle durchzuführen.
- Beteiligung des Betriebsrats: Automatisierte Auswertungen sind gemäß § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) mitbestimmungspflichtig.
- Dokumentation: Die einzelnen Compliance-Maßnahmen sind zu dokumentieren, um die Rechtmäßigkeit des Verfahrens gegenüber unternehmensinternen Kontrollinstanzen und gegenüber den Datenschutz-Aufsichtsbehörden bei Bedarf darstellen zu können. Dies gilt insbesondere für Verdächtigungen gegenüber einzelnen Mitarbeitern, die mitarbeiterbezogene Auswertungen begründen.
- Einschaltung externer Dienstleister. Die Einschaltung externer Dienstleister bedarf gemäß § 11 BDSG einer vertraglichen Konkretisierung der Aufgabenstellung, der sowohl vom Dienstleister als auch vom Auftraggeber sicherzustellenden Pflichten einschließlich der umzusetzenden technisch-organisatorischen Maßnahmen. Im Übrigen fordert diese Regelung des BDSG, die Dienstleister nicht nur sorgfältig auszuwählen, sondern auch regelmäßig zu auditieren.
Grundsätzlich ist darauf zu achten, dass im Rahmen von Compliance-Maßnahmen keine Totalkontrolle der Beschäftigten mit umfassenden Auswertungen erfolgt. Der Umfang der Kontrollmaßnahmen muss verhältnismäßig sein.
Sofern Compliance-Maßnahmen das Abhören von Telefonaten oder eine Auswertung von Internetaktivitäten zum Ziel haben, sind zudem Regelungen des Telekommunikations- bzw. Telemediengesetzes einschlägig. Gerade in diesem Bereich bestehen sehr hohe einfachgesetzliche und grundrechtliche Hürden, da hier in der Regel Grundrechte betroffen sind, deren rechtswidrige Verletzung strafrechtliche Folgen haben können.
Im aktuellen Regierungsentwurf zur Reform des Arbeitnehmerdatenschutzrechts ist für § 32 e Abs. 3 BDSG-E eine ausdrückliche Regelung von Auswertungen vorgesehen. Danach erlaubt der Gesetzgeber den Abgleich pseudonymsierter oder anonymisierter Daten. Zudem ist der Arbeitgeber verpflichtet, die Umstände zu dokumentieren, die den Abgleich veranlasst haben.
Neben nationalen Regelungen ist auch die EU-Datenschutzrichtlinie zu beachten: Die Art29-Datenschutzgruppe als unabhängiges Beratungsgremium der Europäischen Union zieht als Rechtsgrundlage für die zulässige Datenverarbeitung durch Melde- und Compliance-Verfahren Art. 7f ii) der EU-Datenschutzrichtlinie heran: Hiernach ist eine Verarbeitung personenbezogener Daten zulässig, wenn diese zur Verfolgung eines berechtigten Interesses der verantwortlichen Stelle erfolgt und dabei in angemessenem Verhältnis zu den schützenswerten Interessen des Betroffen steht. Als schützenswerte und damit berechtigte Interessen werden die Verhütung von Betrug und Fehlverhalten in Bezug auf die Rechnungslegung, interne Rechnungslegungskontrollen sowie die Bekämpfung von Korruption, Banken- und Finanzkriminalität anerkannt. Whistleblowing-Verfahren sind nach Ansicht der Art29-Gruppe nur für die Meldung vermuteter Verstöße im Bereich der Buchführung und Revision zulässig, nicht für Verstöße gegen Unternehmens-Codici bzw. Ethik-Regelungen jeglicher Art.
Datenschutzkonformität einzelner Compliance-Maßnahmen
Compliance-Regelungen, die auf die Einhaltung der Gesetze und unternehmensinterner Regelungen abzielen, erfordern Kontrollen unterschiedlicher Art. Insgesamt kann zwischen folgenden Maßnahmen differenziert werden:
- Organisatorische Maßnahmen wie Vier-Augen-Prinzip, Funktionstrennung
- Whistleblowing-Verfahren zur Meldung von Verstößen
- Stichprobenartige einzelfallbezogene Kontrollen ohne Anfangsverdacht
- Einzelfallbezogene Kontrollen mit Anfangsverdacht
- Mitarbeiterbezogene Auswertungen mit/ohne Anfangsverdacht
Organisatorische Maßnahmen
Datenschutzrechtlich unbedenklich sind Maßnahmen wie
- Verbesserung der Buchführung,
- Einführung von Funktionstrennungen,
- Vier-Augen-Prinzip,
- Personalrotation
- Dokumentation der Maßnahmen zur Korruptionsbekämpfung im jährlichen Geschäftsbericht sowie
- Veröffentlichung der Maßnahmen auf der Homepage des Unternehmens.
Bei den genannten Maßnahmen werden normalerweise keine personenbezogenen Daten erhoben, verarbeitet oder genutzt.
Whistleblowing
Unter Whistleblowing wird ein Hinweisgebersystem zur Aufdeckung von Missständen und illegalem Handeln verstanden. Auch wenn hierbei personenbezogene Daten erhoben bzw. verarbeitet werden, existieren keine speziellen Rechtsnormen zur datenschutzrechtlichen Zulässigkeit von Whistleblowing-Verfahren.
Datenschutz-Aufsichtsbehörden erachten entsprechende Verfahren als zulässig, wenn die Interessen des Unternehmens und die schutzwürdigen Interessen der betroffenen Personen ausgewogen verteilt sind, d.h. die Datenerhebung verhältnismäßig ist und das System transparent kommuniziert wird. Rechtlicher Maßstab ist eine Erforderlichkeitsprüfung gemäß § 32 Abs. 1 Satz 1 BDSG.
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat dazu folgende Empfehlungen abgegeben:
- Der anzeigeberechtigte und anzeigbare Personenkreis sollte zahlenmäßig beschränkt werden.
- Die Meldungen sollten namentlich erfolgen; anonyme Anzeigen sollten nur ausnahmsweise zugelassen werden.
- Die Speicherfrist der Anzeigen sollte lediglich zwei Monate nach Abschluss der Ermittlungen betragen.
- Es sollte keine Information über die Identität des Anzeigers an den Betroffenen gegeben werden.
- Vor Einführung des Whistleblowing-Verfahrens sollte eine Vorabkontrolle durch den Datenschutzbeauftragten nach § 4 d Absatz 5 BDSG erfolgen.
- Sofern die Meldung über Web-Hotlines erfolgt, dürfen keine IP-Adressen gespeichert werden.
Stichprobenartige Kontrollen
Ebenso wie beim Einsatz von Whistleblowing-Verfahren, so stellt sich auch bei stichprobenartigen Kontrollmaßnahmen die Frage der Erforderlichkeit und der Verhältnismäßigkeit. Diese ergibt sich wiederum aus § 32 Satz 1 BDSG, der als Rechtgrundlage für stichprobenartige Kontrollen herangezogen werden kann. Allerdings ist § 32 Satz 1 BDSG nur soweit anwendbar, wie die stichprobenartige Kontrolle indirekt der Durchführung des Beschäftigungsverhältnisses dient und die Notwendigkeit von stichprobenartigen Kontrollen durch Inventurdefizite oder andere Zahlen entsprechend belegt werden kann. Hierzu gehören auch Nachweise, dass die Vergehen oder Pflichtverletzungen mit hoher Wahrscheinlichkeit durch begrenzte stichprobenartige Kontrollen reduziert werden können.
Doch wie sieht es mit stichprobenartigen Kontrollen aus, die präventiv durchgeführt werden, um die Diebstähle oder Fehlverhalten von Mitarbeitern im Beschäftigtenverhältnis generell zu vermeiden? Diese wären ohne konkreten Nachweis der Notwendigkeit einer solchen Maßnahme unzulässig.
Stichprobenkontrollen sind dann zulässig, wenn folgende Vorgaben beachtet werden:
- Die Stichprobenkontrollen sind auf diejenigen Beschäftigten zu beschränken, die operativ mit den Aufgaben des zu kontrollierenden Bereichs befasst sind.
- Jeder Beschäftigte darf höchstens einmal im Jahr kontrolliert werden, die Auswahl der Beschäftigten bzw. des kontrollierten Bereiches muss zufällig erfolgen.
- Die Stichprobenkontrolle hat durch Inaugenscheinnahme und nicht automatisiert zu erfolgen.
- Die Stichproben dürfen rückwirkend maximal einen Zeitraum von 4 Wochen umfassen.
- Die Kontrollzwecke sind vorab festzulegen, beispielsweise zur Feststellung von illegalen Preisabsprachen.
- Die Beschäftigten sind vorab von der Durchführung der Stichprobenkontrollen zu informieren.
- Nach Abschluss der Kontrollmaßnahme sind die konkret betroffenen Mitarbeiter nach § 33 BDSG von der Stichprobenkontrolle in Kenntnis zu setzen.
Einzelfallbezogene Kontrollen mit Anfangsverdacht unterliegen folgenden Regelungen:
Einzelfallbezogene Kontrollmaßnahmen sind gemäß § 32 Abs.1 Satz 2 BDSG zulässig, sofern zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Datenverarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Diese Regelung ist durchaus eindeutig, wenngleich auch bei den getroffenen Maßnahmen sichergestellt werden muss, dass die Schwere des Straftatverdachts und die Intensität des mit der Aufklärung verbundenen Eingriffs in die Persönlichkeitsrechte des Betroffenen im Einklang stehen sollten. Fehlen beispielsweise in einer Werkskantine hin und wieder Besteck oder ähnlich geringwertige Güter, würde dies nicht eine heimliche Videobeobachtung der dort Beschäftigten rechtfertigen.
Soll eine mitarbeiterbezogene Kontrolle durch § 32 Satz 2 BDSG begründet werden, so muss ein tatsächlicher und begründeter Verdacht der Begehung einer Straftat vorliegen, die im Rahmen des Beschäftigungsverhältnisses begangen worden sein soll; den Mitarbeiter lediglich einer Ordnungswidrigkeit zu verdächtigen, ist nicht ausreichend. Nicht gesetzlich geregelt ist, ob ein Anfangsverdacht ausreicht oder der Beschäftigte mit hoher Wahrscheinlichkeit eine Straftat begangen hat, die dem strafprozessualen dringenden Tatverdacht entspricht. Es reicht jedoch in keinem Fall aus, wenn sich die Datenverarbeitung lediglich auf einen abstrakten Verdacht stützt.
Doch wie sieht es mit Pflichtverletzungen aus, die Beschäftigten konkret vorgeworfen werden? Eine Datenverarbeitung, die lediglich die Identifizierung von Pflichtverletzungen und nicht von Straftaten zum Ziel hat, kann nicht auf § 32 Satz 2 BDSG begründet werden. Allerdings ist § 32 Satz 1 BDSG nur soweit anwendbar, wie die Identifizierung von Pflichtverletzungen, d.h. die Kontrolle des Beschäftigtenverhaltens der Durchführung des Beschäftigungsverhältnisses dient und ein konkreter Verdacht vorliegt.
Demnach unterliegen einzelfallbezogene Kontrollen mit Anfangsverdacht folgenden Regelungen:
- Der Anfangsverdacht gegen einen einzelnen Mitarbeiter muss differenziert begründet und dokumentiert werden.
- Die Maßnahme muss verhältnismäßig sein, d.h. der durch die Auswertung erfolgte Eingriff in die Persönlichkeitsrechte des betroffenen Mitarbeiters muss in einem angemessenen Verhältnis zur vorgeworfenen Straftat stehen.
- Nach Abschluss der Kontrollmaßnahme ist der hiervon betroffene Mitarbeiter nach § 33 BDSG in Kenntnis zu setzen, auch wenn sich der Verdacht nicht bestätigt hat.
Mitarbeiterbezogene Auswertungen ohne Anfangsverdacht
Wie bereits ausgeführt, werden insbesondere mitarbeiterbezogene Auswertungen als datenschutzrechtlich kritisch eingeschätzt, die ohne konkreten Anfangsverdacht durchgeführt werden bzw. die überhaupt dazu dienen, einen konkreten Anfangsverdacht zu formulieren. Umstritten ist bereits die Rechtsgrundlage für die Durchführung von Auswertungen ohne Anfangsverdacht. Je nachdem, ob der Datenabgleich präventiv oder repressiv zur Aufdeckung von Straftaten durchgeführt wird, wird auf § 32 Abs. 1 Satz 1 BDSG bzw. auf § 32 Abs.1 Satz 2 BDSG zurückgegriffen. Auch ist bei präventiven Maßnahmen ein Rückgriff auf § 28 Abs 1. Satz 1 Ziff. 2 BDSG möglich.
Einig sind sich die Datenschutzbeauftragten in ihrer Einschätzung, entsprechende Datenanalysen möglichst schonend durchzuführen und so wenig wie möglich in die Rechte der Betroffenen einzugreifen.
Zur Erreichung dieses Ziels sollten folgende Grundsätze eingehalten werden:
- Die Auswertungen sollten auf strafrechtlich relevante bzw. korruptionsgeneigte Tätigkeiten eingeschränkt werden; auch sollten nur solche Kriterien genutzt werden, die im engen Zusammenhang mit Straftaten bzw. mit korruptionsähnlichen Verstößen stehen.
- Ob ein Anfangsverdacht vorliegt, sollte ausschließlich durch Auswertung anonymer Daten geprüft werden.
- Sofern ein Anfangsverdacht vorliegt, sollten die Daten in einem nächsten Schritt möglichst pseudonymisiert ausgewertet werden.
- Erst bei Auftreten von Auffälligkeiten, die explizit zu dokumentieren sind, sollten die Daten entpseudonymisiert werden.
- Die Entpseudonymisierung sollte im Vier-Augen-Prinzip erfolgen und auch nur dann, wenn ein Durchschnittswert, der aus Erfahrungswerten eines anonymen Testlaufes bestimmt wurde, deutlich überschritten wurde.
- Das Verfahren sollte transparent sein; die Beschäftigten sind hierüber vorab zu informieren.
- Es sollte eine Vorabkontrolle des Verfahrens durch den Datenschutzbeauftragten erfolgen.
- Die mitarbeiterbezogenen Auswertungen sollten dahingehend evaluiert werden, mit welchem Erfolg das mit der Maßnahme bezweckte Ziel erreicht wurde.
- Die Kontrollmaßnahmen sollten nur durch hierzu beauftragte Personen durchgeführt werden.
- Nach Abschluss der Kontrollmaßnahme sind die konkret betroffenen Mitarbeiter nach § 33 BDSG von der Anlasskontrolle in Kenntnis zu setzen.
Dr. Uwe Schläger | | Allgemein |