DSGVO – Enge Grenzen bei Mitarbeiterüberwachung
Durch das Inkrafttreten der Datenschutzgrundverordnung (DSGVO) Ende Mai 2018 bleiben die Anforderungen an den Datenschutz bei einer internen Ermittlung unverändert hoch. Neu ist dagegen die drohende Geldbuße von mehreren Millionen Euro bei Nichteinhaltung der gesetzlichen Bestimmungen. Wie sich Unternehmen bei internen Untersuchungen gesetzeskonform verhalten, erläutert Anna-Katharina Horn, Rechtsanwältin und Leiterin des Bereichs Legal Services & E-Discovery bei reThinkLegal.
Durch eine interne Ermittlung wird das Verhalten der Mitarbeiter kontrolliert. Unternehmen ermitteln intern, um Lücken aufzudecken und vergangenes Fehlverhalten zu identifizieren. Mitarbeiter können nicht nur gegen interne Richtlinien verstoßen, sondern auch strafrechtlich relevantes Verhalten an den Tag gelegt haben. Beweise oder Indizien dieser Verstöße finden sich in der Korrespondenz, in Dokumenten und in sonstigen Unterlagen. Eine Sichtung dieser Daten ist für den Nachweis des Fehlverhaltens unumgänglich. Zur Durchführung einer internen Untersuchung müssen Daten (Emails, Dateien, etc.) des Mitarbeiters erhoben und verarbeitet, gegebenenfalls auch genutzt werden. Personenbezogene Daten des Mitarbeiters werden hiervon meistens miterfasst.
Der Schutz personenbezogener Daten
Dem Bundesdatenschutzgesetz (BDSG) liegen vier Prinzipien zugrunde: der Verhältnismäßigkeitsgrundsatz, der Zweckbindungsgrundsatz, das grundsätzliche Verbot des Erhebens und Verwendens personenbezogener Daten und das Transparenzgebot. Zu personenbezogenen Daten gehören sowohl nach altem BDSG als auch nach der DSGVO sämtliche Daten, die eine Person identifizieren können. Das sind beispielsweise Name, Geburtsdatum oder Kontonummer. Diese dürfen nur dann verwendet werden, wenn die Verantwortlichen nachweisen können, dass die Verwendung der Daten zur Aufklärung des Sachverhalts geeignet, erforderlich und angemessen ist.
Datenverwendung zur internen Ermittlung
Grundsätzlich sind diese personenbezogenen Daten besonders geschützt und dürfen nicht einfach ohne Weiteres verwendet werden. Das deutsche Datenschutzrecht erlaubte in bestimmten Fällen hiervon jedoch Ausnahmen. Zunächst konnte die betroffene Person ihre Einwilligung geben. Auch eine Rechtsvorschrift konnte als Legitimation dienen, sofern sie die Verwendung vorsah oder zwingend voraussetzte.
In Bezug auf eine betriebsbedingte Verwendung von personenbezogenen Daten hat der Gesetzgeber explizit Ausnahmen gewährt. Danach waren zum einen die Erhebung und Verwendung von Daten zum Zwecke der allgemeinen Verhaltens- und Leistungskontrollen erlaubt. Zum anderen durften bei konkreten Anhaltspunkten einer Straftat die Daten des betroffenen Mitarbeiters entsprechend verwendet werden. Auch eine Betriebsvereinbarung konnte die Verwendung personenbezogener Daten legitimieren. Das Nichtbefolgen dieser gesetzlichen Anforderungen hätte mit einer Geldbuße von bis zu 300 000 Euro geahndet werden können.
Neuerungen durch die DSGVO
Im nun geltenden Datenschutzrecht finden sich diese Voraussetzungen fast wortgleich wieder. Die rechtmäßige Verarbeitung personenbezogener Daten kann sich aus verschiedenen gesetzlich niedergeschriebenen Voraussetzungen ergeben, z. B. wenn die betroffene Person einwilligt oder ein öffentliches Interesse an der Verarbeitung besteht. Jedoch dürfen die Mitgliedstaaten die Anforderungen an die Datenverarbeitung im Rahmen eines Beschäftigtenverhältnisses selbst festlegen.
Der deutsche Gesetzgeber hat davon in dem neuen Bundesdatenschutzgesetz Gebrauch gemacht. Neben der europäischen DSGVO ist zeitgleich ein neues BDSG in Deutschland in Kraft getreten. Die Voraussetzungen im neuen deutschen Gesetz sind quasi wortgleich mit den bereits bekannten Voraussetzungen aus dem alten deutschen Gesetz. Danach darf ein Unternehmen für Zwecke des Beschäftigungsverhältnisses die Daten seiner Mitarbeiter verarbeiten. Im Weiteren darf der Arbeitgeber zur Aufdeckung einer Straftat personenbezogene Daten verarbeiten, wenn tatsächliche Anhaltspunkte den Verdacht hierzu begründen. Auch im Rahmen der DSGVO kann die Geschäftsleitung mit dem Betriebsrat in einer Betriebsvereinbarung die Sichtung der Mitarbeiterdaten regeln.
Eine wirkliche Änderung ist also nicht in den Voraussetzungen einer legitimen Verwendung personenbezogener Daten zu finden, sondern in der Sanktionierung einer illegitimen Verwendung. Denn bei Nichteinhaltung der Vorgaben drohen nun schmerzhafte Bußgelder in Höhe von bis zu 20 Mio. Euro.
Fazit
Um eine legitime interne Ermittlung durchzuführen, müssen das Erheben, das Verarbeiten und das Nutzen der personenbezogenen Daten rechtmäßig sein. Ein Datenschutzexperte sollte möglichst früh involviert und die jeweiligen Abwägungen, Erwägungen und Einschätzungen schriftlich dokumentiert werden. Nur so können die getroffenen Entscheidungen und die Verwendung personenbezogener Daten auch nachträglich überprüft und deren Rechtmäßigkeit bestätigt werden. An diesen Anforderungen hat sich auch durch die Einführung der DSGVO überhaupt nichts geändert. Es bleibt abzuwarten, wie die Datenschutzbehörden künftig Verstöße gegen die Anforderungen einer legitimen internen Untersuchung kontrollieren und sanktionieren werden.
ARTIKEL DIESER AUSGABE
M&A – Investitionsbereitschaft trifft auf Protektionismus
Auch im ersten Halbjahr 2018 ist die Investitionslust deutscher Unternehmen ungebrochen hoch. Eine gute Finanzausstattung und eine wenig restriktive Regulierung sorgten in den vergangenen... mehr
ThyssenKrupp/Tata – Hengeler und Linklaters begleiten Stahlfusion
Mit Unterzeichnung einer Grundsatzvereinbarung für den Zusammenschluss der europäischen Stahlsparten von ThyssenKrupp und Tata Steel Europe im September 2017 fiel auch der Startschuss... mehr
Facebook-Kommentar – BR setzt sich mit SKW Schwarz vor Gericht durch
Im Streit um den Ausschluss eines Users von der Kommentierungsfunktion auf Facebook konnte sich der Bayerische Rundfunk (BR) vor dem Bayerischen Verwaltungsgerichtshof durchsetzen. Die... mehr
Startups im Revier – Osborne Clarke berät Gründerfonds bei Zukauf
Der gemeinsam von NRW.Bank und dem Initiativkreis Ruhr ins Leben gerufene Gründerfonds Ruhr hat ein weiteres Investment getätigt. Zusammen mit dem High-Tech Gründerfonds beteiligt er... mehr
Click and rule – Compliance-Auskunft per App
Verhalten sich Mitarbeiter nicht Compliance-konform, so entstehen Haftungsrisiken für das Unternehmen und für seine leitenden Organe. Ein häufiger Grund dafür ist Unkenntnis über... mehr
WTS startet mit neuen Partnern und prominentem Of Counsel ins neue Geschäftsjahr
Mit Start des neuen Geschäftsjahres zum 1. Juli hat die Steuer- und Rechtsberatungsgesellschaft WTS sechs neue Partner ernannt sowie den Kreis der Managing-Partner erweitert. mehr
Heuking holt weiteren Datenschutzrechtler ins Team
Heuking Kühn Lüer Wojtek holt mit Hans Markus Wulf einen weiteren Experten für Digitalisierung und Datenschutz ins Team. mehr
Baker McKenzie – Frankfurt und München begrüssen neue Partner
Die Sozietät Baker McKenzie hat zum 1.7.18 ihren Partnerkreis mit insgesamt 67 Neuernennungen noch einmal deutlich aufgestockt, darunter sind auch drei Deutsche: mehr
Vererbbarkeit von Daten – BGH urteilt über digitalen Nachlass
Der Bundesgerichtshof (BGH) verhandelt die Frage, ob das Fernmeldegeheimnis einem Zugriff der Erben auf den digitalen Nachlass entgegensteht. Geklagt hatte eine Mutter, deren Tochter bei... mehr