Das Thema
Interne Untersuchungen sind unerlässlich, um Compliance-Verstöße und Verdachtsmomente in Unternehmen aufzuklären. Etablierte Compliance-Management-Systeme sehen daher regelmäßig feste Strukturen und Automatismen für den Ablauf von internen Untersuchungen vor. Schon vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) war allerdings häufig unklar, welche rechtlichen Vorgaben im Hinblick auf den Katalog der möglichen Maßnahmen im Rahmen von internen Untersuchungen zu beachten sind. Dies machte interne Untersuchungen praktisch unhandlich. Der folgende Überblick über die datenschutzrechtlichen Grundsätze und Regeln für die wichtigsten Ermittlungsmaßnahmen soll für Klarheit sorgen.
Interne Untersuchungen erfordern Beachtung rechtlicher Vorgaben
Im Kontext von Compliance-Management-Systemen spielen interne Untersuchungen als Instrument zur Aufklärung und Vorbeugung unternehmensinterner Missstände eine tragende Rolle. Sie dienen dazu, Risikoquellen aufzudecken und so – wenn sie effizient und erfolgreich sind – Gefahren wie Nachteile (insbesondere in Form von Kosten für Unternehmen) zu minimieren. Gerade angesichts der geplanten EU-Richtlinie zum Whistleblower-Schutz, die nach dem derzeitigen Stand viele Unternehmen zur Implementierung interner Whistleblowing-Systeme verpflichten wird, dürfte die Bedeutung von internen Untersuchungen künftig weiter zunehmen. (Anm. d. Red.: Zur Frage des Einsichtsrechts in Hinweisgeber-Systeme durch Mitarbeiter)
Voraussetzung für eine erfolgreiche interne Untersuchung ist allerdings, dass bei ihrer Durchführung die rechtlichen Grenzen beachtet werden, da ansonsten zwar Ermittlungserfolge festgestellt werden, allerdings bspw. in Kündigungsschutzverfahren infolge von Kündigungen wegen festgestellter Pflichtverstöße von Mitarbeitern Erkenntnisse möglicherweise nicht verwendet werden könnten.
Interne Untersuchungen: Aktuelle datenschutzrechtliche Grundsätze
Interne Untersuchungen erforderten bereits vor der Einführung der DSGVO eine genaue Planung: vor, während und nach der Untersuchung. Da interne Untersuchungen ohne die Verarbeitung von Daten so gut wie undenkbar sind, müssen die durch die DSGVO verschärften Vorgaben sorgsam beachtet werden. Dies gilt insbesondere für die Dokumentationspflichten. Art. 5 Abs. 2 DSGVO normiert eine sog. Rechenschaftspflicht, nach der Unternehmen im Rahmen einer Beweislastumkehr (bei Zurlastlegung eines Verstoßes) nachweisen müssen, dass sie die Grundsätze der Verarbeitung personenbezogener Daten bei jeder Datenverarbeitung zu jeder Zeit eingehalten haben. Die wesentlichen datenschutzrechtlichen Grundsätze sind dabei:
- Keine Datenverarbeitung ohne Erlaubnisgrundlage: (Art. 6 DSGVO). Der Zweck der Datenverarbeitung muss schon vor Datenerhebung feststehen (Art. 5 Abs. 1 lit. b), Art. 13 Abs. 3, Art. 14 Abs. 4 DSGVO). Bzgl. jeder Datenverarbeitung muss eine schriftliche Dokumentation über die Einhaltung der Vorschriften sowie der dafür eingesetzten technischen und organisatorischen Maßnahmen erfolgen (Art. 5 Abs. 2, 24 Abs. 1 DSGVO).
- Umfassende Informations- und Mitteilungspflichten bei der Datenverarbeitung sind einzuhalten (Art. 13 f. DSGVO).
- Ebenso muss über das bestehende Auskunfts- und Berichtigungsrecht und das Recht auf Löschung informiert werden (Art. 15 ff. DSGVO).
- Eine Pflicht zur Einbindung des betrieblichen Datenschutzbeauftragten besteht nicht. Allerdings bietet sich in der Praxis eine frühzeitige Beteiligung an, um mit der vorhandenen Expertise etwaige Risiken zu analysieren und die interne Untersuchung bestmöglich rechtlich vorzubereiten und begleiten zu lassen. Dies gilt insbesondere dann, wenn die Untersuchung bspw. durch die Verwendung IT-gestützter Systeme geführt werden soll (u.a. bei Screening von E-Mails oder Unterlagen regelmäßig der Fall).
Interne Untersuchungen: Folge von Verstößen gegen (datenschutz-)rechtliche Vorgaben
Ein Verstoß gegen die datenschutzrechtlichen Grundsätze führt nicht zwangsläufig zu einem Sachvortrags- oder Beweisverwertungsverbot bzgl. der erlangten Untersuchungsergebnisse. Ist die Art und Weise, wie Erkenntnisse in Untersuchungen erlangt wurden, im Einzelfall nicht verhältnismäßig, dürften Kündigungen regelmäßig nicht gerichtsfest sein, da unverhältnismäßig erlangte Ergebnisse vor Gericht nicht verwendet werden können.
Zu beachten ist zudem, dass Verstöße gegen datenschutzrechtliche Vorgaben bußgeldbewehrt sind (Art. 83 DSGVO). Die Höchstbeträge wurden durch die DSGVO deutlich angehoben. Unternehmen drohen künftig Bußgelder von bis zu EUR 20 Mio. bzw. bis zu 4% des globalen Umsatzes, wobei der höhere Betrag gilt.
Krasse Verstöße werden daneben auch strafrechtlich sanktioniert (§ 42 BDSG).
Investigative Maßnahmen: Von E-Mail-Screening über Videoaufnahmen bis zur Observierung
Screening von E-Mail-Konten
Sofern ein Screening von E-Mail-Konten geplant ist, ist in einem ersten Schritt zu prüfen, ob den Beschäftigten die private Nutzung eingeräumt wurde oder nicht. Problematisch sind die Fälle, in denen eine Privatnutzung zwar nicht ausdrücklich erlaubt, aber geduldet wurde. Hier kommt es u.a. auf die Dauer der Duldung an, die in jedem Einzelfall zu prüfen ist. Auf dienstliche Korrespondenz kann der Arbeitgeber grundsätzlich ohne Einschränkungen zugreifen. Eine Überprüfung der Einhaltung der Untersagung sollte indes nur stichprobenartig oder aufgrund eines konkreten Verdachts einer Pflichtverletzung oder Straftat erfolgen, um den Beschäftigten nicht in unverhältnismäßiger Weise unter Generalverdacht zu stellen. Ist die Privatnutzung hingegen erlaubt, muss der Beschäftigte der Einsichtnahme ausdrücklich zustimmen.
Auswertung von Videoaufnahmen
Sie sind im Grundsatz ein probates Mittel, um Verstöße einfach und schnell feststellen zu können. Eine offene präventive „Totalüberwachung“ dürfte selbst bei entsprechendem Hinweis regelmäßig unverhältnismäßig sein. Heimliche Videoüberwachungen ohne hierfür bestehenden Anlass sind ebenfalls unverhältnismäßig und damit unzulässig. Besteht der konkrete Verdacht einer Straftat oder Pflichtverletzung, kommen heimliche Videoüberwachungen nur in engen Grenzen der Verhältnismäßigkeit in Betracht.
Datenschutzrechtlich weitaus problematischer als das Aufzeichnen gestaltet sich die abschließende Speicherung und Verwertung der Videoaufzeichnungen. Probleme ergeben sich in Bezug auf die Einhaltung der Grundsätze aus Art. 5 Abs. 1 DSGVO, insbesondere der Datenminimierung und der Speicherbegrenzung. Demnach sollen Daten nur solange gespeichert werden, wie es für die im Voraus festgelegten Zwecke erforderlich ist. Das BAG entschied 2018, dass Videosequenzen von aufgezeichneten Pflichtverletzungen auch noch nach einiger Zeit ausgewertet und verwertet werden können, ohne dass dies nach Ansicht des BAG dem Grundsatz der Datenminimierung und den Löschpflichten der DSGVO zuwiderläuft. Unternehmen sind allerdings gut beraten, für Videoaufzeichnungen im Vorfeld ein genaues Konzept hinsichtlich des Zeitraums für mögliche Durchsicht und Speicherung zu entwickeln, an dem auch der Datenschutzbeauftragte beteiligt wird.
Einsatz von Spähsoftware/Keylogger
Der Einsatz von einer einschneidenden Spähsoftware wie einer Keylogger-Software, die alle Tastatureingaben der Beschäftigten aufzeichnet, speichert und Screenshots des Bildschirms anfertigt, ist nach Auffassung des BAG ohne konkrete Anhaltspunkte für eine schwere Pflichtverletzung oder Straftat nicht verhältnismäßig.
Terrorlistenscreening
Grundsätzlich ist anerkannt, dass ein durch den Arbeitgeber durchgeführtes Screening zum Personaldatenabgleich mit Terrorlisten zulässig ist. Da diese Listen nur zweimal pro Jahr aktualisiert werden, ist eine häufigere Abfrage nicht zielführend. Zudem ist der Datenabgleich auf die erforderlichen Daten zu begrenzen, d.h. die Stammdaten (insbesondere Vor- und Nachnamen des Mitarbeiters). Erst im Falle eines konkreten Verdachts ist die Nutzung weiterer Daten als weitere Abgrenzungsmerkmale zur Identifizierung des Mitarbeiters gerechtfertigt. (Zur Frage der Mitbestimmung des Betriebsrates beim automatisierten Mitarbeiter-Screening)
Heimliche Observierung
Arbeitgeber müssen sich das Handeln von ihnen eingesetzten Detektiven datenschutz-rechtlich zurechnen lassen. Bei dem Einsatz von Detektiven gelten besonders hohe Anforderungen an die Verhältnismäßigkeit. Vor allem bei Verdacht einer vorgetäuschten Arbeitsunfähigkeit müssen angesichts des Beweiswerts einer ärztlichen Bescheinigung begründete Zweifel an deren Richtigkeit bestehen.
Zu beachten ist außerdem, dass Gesundheitsdaten der Beschäftigten sensible Daten i. S. d Art. 9 DSGVO und damit besonders schützenswert sind. Eine Weitergabe dieser Daten und einer Observation außerhalb des Betriebs stellen starke Eingriffe in das allgemeine Persönlichkeitsrecht des Beschäftigten dar. Vor diesem Hintergrund müssen die Prüfung der Verhältnismäßigkeit und die Verdachtsbegründung äußerst gründlich erfolgen.
Planung interner Untersuchungen: Checkliste
Vor der Durchführung der eigentlichen internen Untersuchung sollten die geplanten Maßnahmen analysiert und auf ihre Zulässigkeit in datenschutz- und arbeitsrechtlicher Hinsicht hin geprüft werden. So können bereits im Vorfeld die Erfolgsaussichten einzelner Maßnahmen sowie der gesamten Untersuchung im Abgleich mit den in Betracht kommenden Risiken abgeschätzt und eine auf den Einzelfall zugeschnittene Strategie entwickelt werden.
Als Teil eines Compliance- Management-Systems ermöglichen gut geplante Untersuchungen ein schnelles Eingreifen und nicht selten einen erfolgreichen Abschluss. Daher eine kleine Checkliste:
- Entwicklung eines Datenschutzkonzepts: Angesichts der drohenden Folgen bei Nichtbeachtung sollten Unternehmen für interne Untersuchungen ein Konzept zum Schutz von Mitarbeiterdaten und den Umsetzungen der DSGVO- Pflichten, bestenfalls unter Beteiligung des Datenschutzbeauftragten und/oder externen Datenschutzrechtlern, entwickeln.
- Nutzung von dienstlichen E-Mail-Konten ausdrücklich regeln: E-Mails sind oftmals eine wichtige Erkenntnisquelle. Grenzen der Nutzung von E-Mail-Accounts sollten daher vorgegeben und eine private Nutzung bestenfalls ausgeschlossen werden, um eine umfassende Einsichtsmöglichkeit zu gewährleisten.
- Beteiligung des Betriebsrats: In Betrieben mit Betriebsrat ist dieser – insbesondere bei dem Einsatz technischer Maßnahmen – gemäß § 87 Abs. 1 Nr. 6 BetrVG zu beteiligen. Zwar führt ein Verstoß gegen Mitbestimmungsrechte nach derzeitiger Rechtsprechung nicht unmittelbar zu einem Beweisverwertungsverbot im Gerichtsverfahren. Der Betriebsrat kann die technische Maßnahme ggf. auch sehr kurzfristig stoppen.