open search
close
Compliance Datenschutz

Compliance und Beschäftigtendatenschutz – Teil III: Rechtskonforme Durchführung von Compliance-Maßnahmen

Print Friendly, PDF & Email

In den ersten beiden Teilen der Beitragsreihe haben wir das Thema Compliance rechtlich verortet und aufgezeigt, wie Compliance-Strukturen auf betrieblicher Ebene umgesetzt werden können. Der dritte Teil befasst sich schwerpunktmäßig mit der Einhaltung datenschutzrechtlicher Vorgaben bei der Durchführung von Compliance-Maßnahmen gegenüber Beschäftigten.

Datenschutz-Compliance im Lichte der Grundrechtsabwägung

Sollten Compliance-Verstöße aufgedeckt und geahndet werden, läuft die juristische Prüfung der Gerichte letztlich auf eine Abwägung der Interessen von Arbeitgebern und Beschäftigten hinaus. Aufgehängt wird diese Prüfung an dem Merkmal der „Erforderlichkeit“ der Datenverarbeitung (vgl. § 26 Abs. 1 BDSG). Der der deutsche Gesetzgeber fordert in diesem Kontext eine „Abwägung der widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz“. Dies bedeutet, dass die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich gebracht werden, der beide Interessen möglichst weitgehend berücksichtigt.

Schwierigkeiten in der praktischen Handhabung liegen hier weniger im technischen Bereich, da Arbeitgebern oft zahl- und umfangreiche technische Hilfsmittel zur Verfügung stehen, um Verstöße aufzuklären und zu sanktionieren (Versetzung, Abmahnung, ordentliche oder außerordentliche Kündigung, Schadensersatz usw.). Arbeitgeber müssen vielmehr die Herausforderung meisten, die Vorgaben des Gesetzgebers und der Gerichte richtig einzuordnen und umzusetzen.

Grundsatzfrage: Erlaubte Privatnutzung dienstlicher Informations- und Kommunikationstechnik?

Häufig sind sich Arbeitgeber nicht bewusst darüber, dass Compliance-Maßnahmen generell erschwert, wenn nicht sogar ausgeschlossen sind, wenn die Nutzung dienstlicher Informations- und Kommunikationstechnik („IuK“) explizit erlaubt oder jedenfalls geduldet ist (Stichwort: „betriebliche Übung). Dies betrifft einerseits klassische Anwendungsgebiete wie die Überwachung der Telekommunikationsdaten sowie den Zugriff auf E-Mail-Postfächer bei Abwesenheit des betroffenen Arbeitnehmers aufgrund von Krankheit, Urlaub, Mutterschutz etc. Vergleichbare Probleme können sich andererseits aber auch stellen, wenn Beschäftigten erlaubt wird, ihre eigenen privaten Geräte für die dienstliche Nutzung zu verwenden (sog. „Bring Your Own Device“ – BYOD, so etwa bei der Verwendung von Mobiltelefon, Notebook, Tablet, Smart Watch etc.). Darüber hinaus herrscht nach wie vor Rechtsunsicherheit hinsichtlich der Frage, ob Arbeitgeber bei erlaubter Privatnutzung als Telekommunikationsdienstleister anzusehen sind und einem strengen Haftungsregime unterworfen werden können, wenn Beschäftigte bei der Nutzung der IuK des Arbeitgebers Rechtsverstöße begehen. Aus anwaltlicher Sicht muss dringend dazu geraten werden, die Privatnutzung dienstlicher IuK zu untersagen.

Die Vorgaben der Rechtsprechung – ein Abriss

Bei der Prüfung, ob bestimmte Compliance-Maßnahmen rechtskonform durchgeführt werden können, sollten zwingend nicht nur die Rechtsprechungsvorgaben auf deutscher, sondern auch europäischer Ebene berücksichtigt werden. Wenngleich im Rahmen dieses Beitrags keine umfassende Aufarbeitung der Rechtsprechung geleistet werden kann, sollen im Folgenden zumindest einige Linien aufgezeigt werden, die sich in jüngerer Zeit herausgebildet haben.

In Deutschland stehen Arbeitgeber vor dem Problem, den Überblick in einem Dickicht aus Entscheidungen zu behalten. Grundlegend ist zu beachten, dass Arbeitgeber nach Ansicht des BAG (vgl. etwa BAG, Urteil vom 22.09.2016 – 2 AZR 848/15 sowie Urteil vom 29.06.2017 – 2 AZR 597/16) Compliance-Verstöße nicht erst dann aufdecken und verfolgen dürfen, wenn eine Straftatbegehung im Raum steht, mithin in neuralgischen Fällen. Vielmehr können sie auch – und trotz des Wortlauts von § 26 Abs. 1 Satz 2 BDSG – dem Verdacht einer schweren Pflichtverletzung nachgehen. Zudem seien Überwachungsmaßnahmen auch „zur Wahrung eines berechtigten geschäftlichen Interesses“ grundsätzlich denkbar (BAG, Urteil vom 29.06.2017 – 2 AZR 597/16).

In letztgenannter Entscheidung stellte das BAG eine Reihe von Vorgaben für Ermittlungstätigkeiten (sog. „Internal Investigations“) auf:

Steht der Verdacht einer Straftat im Raum (hier greift § 26 Abs. 1 Satz 2 BDSG), bedarf es

  • zu dokumentierender (!) tatsächlicher Anhaltspunkte,
  • die den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, wobei
  • die Verarbeitung zur Aufdeckung erforderlich sein muss und
  • das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegen darf, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Die Aufklärung schwerer Pflichtverletzungen unterhalb der Strafbarkeitsschwelle (hier findet § 26 Abs. 1 Satz 1 BDSG Anwendung) erfordert im Fall verdeckter Ermittlungen (Detektiveinsatz, verdeckte Videoüberwachung, heimliches Öffnen des Spinds etc.)

  • einen dokumentierten (!) konkreten Verdacht einer schweren Verfehlung (aber nicht im Sinne eines „wichtigen Grundes“ gem. 626 BGB),
  • eine räumliche und funktionale Eingrenzung des Kreises der Überwachten,
  • das Fehlen anderer, gleichwirksamer, aber das Persönlichkeitsrecht weniger beeinträchtigender Mittel, wobei
  • die Schwere des Verdachts nicht außer Verhältnis zum Gewicht des ihn rechtfertigenden Grundes stehen darf.

Wenn diese Voraussetzungen vorliegen, darf sich eine Überwachungsmaßnahme durchaus auch auf unverdächtige Arbeitnehmer erstrecken (vgl. hierzu bereits BAG, Urteil vom 20.10.2016 – 2 AZR 395/15). „Zufallsfunde“ (d.h. aufgedeckte Pflichtverletzungen anderer, zuvor nicht verdächtigter Arbeitnehmer) dürften in der Regel verwertbar sein (so jedenfalls BAG, Urteil vom 22.09.2016 – 2 AZR 848/15). Der Einsatz verdeckter Spähprogramme, die sämtliche Tastatureingaben heimlich protokollieren und Bildschirmfotos („Screenshots“) erstellen, ist hingegen für eine Überwachung ohne konkreten Verdacht, d.h. „ins Blaue hinein“, unzulässig (BAG, Urteil vom 27.07.2017 – 2 AZR 681/16).

Aus europäischer Sicht sind beschäftigtendatenschutzrechtliche Entscheidungen bislang rar gesät. Zweifelsohne besondere Bedeutung entfaltet aber das Bărbulescu-Urteil des EGMR (EGMR, Urteil vom 05.09.2017 – Nr. 61496/08, Bărbulescu/Rumänien). In dem zugrundeliegenden Sachverhalt überprüfte ein Arbeitgeber die untersagte Privatnutzung dienstlicher IT und zeichnete das Nutzungsverhalten eines Arbeitnehmers auf, ohne diesen hiervon in Kenntnis zu setzen. Die hierauf gestützte Kündigung erachtete der EGMR für unwirksam.

Das Gericht nahm den Fall zum Anlass, eine Reihe von Anforderungen aufzustellen, die im Rahmen der Interessenabwägung Berücksichtigung finden müssen. Seitdem müssen Arbeitgeber jedenfalls insbesondere folgende Erwägungen anstellen:

  • Wurde der Betroffene über Möglichkeit, Art und Ausmaß von Überwachungsmaßnahmen wegen der Korrespondenz oder sonstiger Kommunikation informiert?
  • Welches Ausmaß hat die Überwachung?
  • Wie weit dringt die Überwachung in das Privatleben des Arbeitnehmers ein?
  • Ist die Überwachung zeitlich begrenzt?
  • Wie hoch ist die Anzahl der Personen mit Zugang zu den Überwachungsergebnissen?
  • Welche Folgen erwachsen aus Überwachung für den Arbeitnehmer?
  • Inwiefern macht der Arbeitgeber von dem Überwachungsergebnis Gebrauch?
  • Liegen angemessene Garantien zum Schutz der Arbeitnehmerrechte vor (vor allem bei starken Eingriffen)?

Sollen interne Ermittlungen durchgeführt werden, liegt der Teufel aber – wie so oft – im Detail. Arbeitgeber sollten daher dringend jeden Compliance-Fall gesondert prüfen.

Abschließende Bewertung und Handlungsempfehlung

Das Erfordernis einer umfassenden und wohldurchdachten Datenschutz-Compliance-Struktur tritt immer stärker in das Bewusstsein von Unternehmen. Diese sehen sich angesichts nach wie vor nicht bis ins letzte Detail ausdifferenzierter gesetzlicher Regelungen und einer Fülle von Vorgaben der Rechtsprechung vor die Herausforderung gestellt, den Umgang mit personenbezogenen Daten, insbesondere auch Beschäftigtendaten, in rechtskonformer Weise auszugestalten. Helfen können dabei wohldurchdachtes Compliance-Management-System sowie umfassende interne Regelungen, die auch darauf ausgerichtet sein sollten, das für die Einhaltung der Vorschriften notwendige Datenschutzbewusstsein zu fördern. Hierdurch kann es letztlich gelingen, nicht nur Schäden von dem Unternehmen, seiner Leitungsebene sowie den betroffenen Beschäftigten abzuwenden, sondern insgesamt eine Kultur zu etablieren, die den Datenschutz nicht als lästiges Übel versteht, sondern als notwendiges Mittel zur Herstellung und Aufrechterhaltung guter Arbeitsbedingungen in einer zunehmend digitalisierten Arbeitswelt.

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 90 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
ESG Internationales Arbeitsrecht Neueste Beiträge

Update Nachhaltigkeitsberichterstattung: CSRD nun auch in Deutschland

Gut eineinhalb Jahre hat es gedauert, nun wurde der Referentenentwurf des Bundesministeriums für Justiz (BMJ) für ein deutsches Umsetzungsgesetz der europäischen CSRD-Richtlinie (CSRD) am 22. März 2024 veröffentlicht. In diesem setzt das BMJ die Richtlinie im Wesentlichen 1:1 um. Doch was bedeutet das für in Deutschland ansässige Unternehmen? Die deutsche Umsetzung der CSRD Hinter dem Akronym „CSRD“ steckt die als „Corporate Social Responsibility Directive“ benannte…
Compliance ESG Internationales Arbeitsrecht Neueste Beiträge

EU-Verordnung für entwaldungsfreie Produkte bringt „versteckte“ arbeitsrechtliche Sorgfaltspflichten

Am 30. Juni 2023 trat die EU-Verordnung zu entwaldungsfreien Lieferketten, die EU Deforestation Regulation (im Folgenden „EUDR“) in Kraft. Anders als der Name vielleicht vermuten lässt, ergeben sich aus dieser Regelung nicht nur umweltbezogene, sondern auch arbeitsrechtliche Sorgfaltspflichten in der Lieferkette. Insbesondere dann, wenn Sie in den Branchen Herstellung und Handel mit (bestimmten) Lebensmitteln oder Holz- und Papierprodukten, als Automobilzulieferer oder Hersteller technischer Bauteile aktiv…
Compliance Individualarbeitsrecht Neueste Beiträge Vergütung

Hoffnung für Honorarkräfte im Bildungssektor?

In einem bislang wenig beachteten Urteil des Bundessozialgerichts ist ein Senat von seiner langjährigen gefestigten Rechtsprechung zur Selbständigkeit von Musikschullehrkräften abgewichen. Aufgrund der kleinen Zielgruppe war das Interesse an dieser Entscheidung gering. Nun zeigt sich, dass die Deutsche Rentenversicherung Bund (DRV Bund) einen Umschwung in der Rechtsprechung vermutet und alle öffentlichen und privaten Bildungseinrichtungen ins Visier nimmt – zu Unrecht nach Ansicht des Landessozialgerichts Hamburg….
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert