Bei internen Untersuchungen kommt dem Datenschutzrecht eine sehr wichtige Rolle zu, da regelmäßig große Mengen an personenbezogenen Daten verarbeitet werden. Damit die Verarbeitung dieser Daten rechtskonform ist, bedarf es einer Rechtsgrundlage. Ferner sind die Betroffenenrechte im Auge zu behalten und die Grundsätze der Datenverarbeitung nach Art. 5 DSGVO zu berücksichtigen. Auf diese Themen soll an dieser Stelle nicht eingegangen werden. Vielmehr wird der Frage nachgegangen, wie es sich verhält, wenn ein Verstoß gegen das Datenschutzrecht Gegenstand der internen Untersuchung ist. Welcher Verstoß muss vorliegen, dass eine interne Untersuchung ausgelöst wird? Welche Rolle übernimmt der Datenschutzbeauftragte? Welche Rolle darf einem schon vorhanden Datenschutzmanagement-System bei einer internen Untersuchung zukommen?
Was bedeutet interne Untersuchung?
Interne Untersuchungen oder auch internal Investigation haben ihren Ursprung in den USA und sind ein klassischer Bestandteil der Compliance. Eine Legaldefinition gibt es nicht. Kurz gesagt handelt es sich bei einer internen Untersuchung um ein Instrument der Selbstaufklärung und Selbstbereinigung bei potentiellen Verstößen gegen Compliance-Normen. Die interne Untersuchung (eines Datenschutzverstoßes) kann in fünf Abschnitte eingeteilt werden.
1. Kenntnisnahme eines Datenschutzverstoßes
Es ist denkbar, dass über ein Hinweisgebersystem, durch Audits, den Datenschutzbeauftragten, den Compliance Officer, anonyme Briefe oder unmittelbar vom Mitarbeiter Informationen über einen Datenschutzverstoßes gewonnen werden können.
Bei der Sachverhaltsermittlung sind die Melde- und Benachrichtigungspflichten gem. Art 33, 34 DSGVO zu beachten. Ein potentieller Verstoß muss unverzüglich innerhalb von 72 Stunden gemeldet werden es sei denn, dass „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Darüber hinaus ist zu klären, ob die Betroffenen in Kenntnis gesetzt werden müssen. In diesem Stadium sollten unbedingt die Zuständigkeiten, Berichtswege und die Freigabe der Informationen gegenüber der zuständigen Behörde geklärt werden. Diese Punkte sind nicht nur bei der Kenntnisnahme von einem Datenschutzverstoß zu berücksichtigen, sondern während des gesamten Bearbeitungsprozesses erneut ins Visier zu nehmen. Ein auf den ersten Blick meldepflichtiger Verstoß kann unter Umständen nach weiteren Sachverhaltsangaben als nicht mehr meldepflichtig bewertet werden.
2. Die interne Untersuchung
Im ersten Schritt müssen die Vorwürfe genau unter die Lupe genommen werden. Daher gilt es die Schwere der Vorwürfe zu systematisieren, um Ressourcen zu schonen. Das bedeutet, dass leichte bis mittlere Sachverhalte dem Datenschutzbeauftragten vorbehalten sind und alles darüber hinaus der Zusammenarbeit von Datenschutzbeauftragen und interner Untersuchung bedarf. Schwere und komplexe Vorfälle sollten in jedem Falle den Anwendungsbereich für eine interne Untersuchung eröffnen. Das wäre der Fall bei systematischen Verstößen gegen das Datenschutzrecht, bei Vorliegen einer Schädigungsabsicht, bei nicht vorhandener Kooperationsbereitschaft mit den zuständigen Behörden, bei nicht vorhandener Kooperationsbereitschaft mit internen Abteilungen, wenn der Datenschutzbeauftragte in eine Interessenskollision geraten würde oder bei widerholten Verstößen gegen Richtlinien oder Gesetze. Diese Vorauswahl ist wichtig, um unnötige Prozesse zu vermeiden und die Fachabteilungen zu entlasten. Gerade bei geringfügigem Verstoßen werden sofort die richtigen Weichen gestellt und von einem effizienten System geleitet.
Der Datenschutzbeauftragte ist bei der internen Untersuchung nicht vollständig eingebunden. Herr des Verfahrens ist das Unternehmen als Verantwortlicher und damit als Verpflichteter zur Aufklärung von sämtlichen internen Verstößen. Außerdem könnte sich die Weisungsfreiheit und die Verschwiegenheit des Datenschutzbeauftragten als Stolperstein bei der internen Untersuchung darstellen. Daher beschränkt sich die Rolle des Datenschutzbeauftragten auf die Kenntnisnahme und Weiterleitung eines Verstoßes. Im Einzelfall kann es sicherlich sinnvoll sein den Datenschutzbeauftragten und dessen Expertise zu nutzen bei der Gewichtung der Schwere der Vorwürfe oder auch während der internen Untersuchung als „externer“ Ratgeber.
Neben dem Datenschutzbeauftragten kommt auch der Informationssicherheit im Unternehmen eine wichtige Rolle zu. Auf die Expertise dieser Mitarbeiter sollte in jedem Falle während des gesamten Prozesses zurückgegriffen werden.
Ähnliches gilt für die interne Revision: Auch diese Expertise sollte genutzt werden, um die gesamte Bandbreite der Kompetenz im Unternehmen auszuschöpfen und eine zielführende interne Untersuchung durchführen zu können. So kann eine forensische Untersuchung des Verstoßes durch die interne Revision aufschlussreicht sein für die Durchführenden der internen Untersuchung.
3. Auswertung der internen Untersuchung
Anschließend müssen die Ergebnisse der internen Untersuchung von den Durchführenden ausgewertet werden. In dieser Phase ist ein umfassender Abschlussbericht anzufertigen. Idealerweise greift man bei diesem Bereich auf die angesprochene Expertise der jeweiligen Experten aus der Informationssicherheit, aus dem Datenschutzrecht und der internen Revision zurück.
4. Strategie und Folgen des Verstoßes
Bei schweren Verstößen sollten sofort Gegenmaßnahmen eingeleitet werden, auch bereits während des laufenden Verfahrens. In jedem Falle müssen die Prozesse rund um den Verstoß kritisch hinterfragt werden. Letztlich müssen auch persönliche Konsequenzen gegenüber dem Mitarbeiter erörtert werden. Das bedeutet, dass zivilrechtliche und arbeitsrechtliche Schritte mit der Rechtsabteilung zu klären sind müssen. Häufig sind technische und organisatorische Maßnahmen anzupassen. So kann es beispielsweise sein, dass die Rollen- und Berechtigungskonzepte überarbeitet werden müssen, um zukünftige gleichgelagerte Verstoße unwahrscheinlicher zu machen.
5. Umsetzung der Maßnahmen
Sofern nicht während der Untersuchung bereits geschehen, müssen nach Abschluss der internen Untersuchung die gefundenen Maßnahmen schnellstmöglich umgesetzt werden. Daneben hat auch die Implementierung einer Kontrolle der Umsetzung zu erfolgen. Neben dem internen Risiko einer unzureichenden Umsetzung sind auch die public relations zu bedenken bzw. das Compliance-Risiko. Werden aufgedeckte Mängel nicht nachhaltig bekämpft, entsteht in der Öffentlichkeit ein rufschädigendes Image. Daher bedarf es der Kooperation mit der Compliance-Abteilung und einer stimmigen Implementierung der Maßnahmen in ein bestehendes Compliance-Management-System.
Schlussbetrachtung
Das Datenschutzrecht wird zukünftig eine wichtigere Rolle einnehmen und deshalb auch vermehrt Untersuchungsgegenstand einer internen Untersuchung sein. Wichtig ist die Gewichtung des Vorwurfs und der Weichenstellung zwischen dem Datenschutzbeauftragten, der Compliance-Abteilung und der Kommission der internen Untersuchung. Zudem sollte das Datenschutzrecht nicht als Gegenspieler zum Compliance betrachtet werden, sondern geht Hand in Hand in einer Symbiose auf ein gemeinsames Risiko-Management-System zu. Maßnahmen müssen gefunden, umgesetzt und ständig kontrolliert werden. Jeder Verstoß sollte eine Optimierung der internen Prozesse bedeuten.
17. September 2020 @ 18:22
In der Regel gibt es in größeren Unternehmen für derartige Vorfälle Betriebsvereinbarungen und gesetzliche Richtlinien (Whistleblower-RL, Geschäftsgeheimnis-RL, …) welche die Prozesse regeln. Miteinbezogen sollte – neben den erwähnten Bereichen – auch ein Vertreter des Risikomanagements, Betriebsrats und Personalmanagements bzw. der Dienstleistersteuerung sein.
17. September 2020 @ 13:31
Die Prozessbeschreibung orientiert sich sicherlich an einem hinreichend großen Unternehmen mit entsprechenden Fachabteilungen, die bei vielen KMU so gar nicht existieren werden. Die Rollen sind dann hoffentlich dennoch – mehr oder weniger – besetzt. Jedoch vermisse ich die Erwähnung der Personalvertretung. Wenn gegen einzelne Mitarbeitende konkreter Verdacht besteht, muss oder sollte sie doch auch eingebunden werden, oder wie ist Ihre Einschätzung?