open search
close
Compliance Datenschutz

Compliance und Beschäftigtendatenschutz – Teil I: Rechtliche Rahmenbedingungen

Print Friendly, PDF & Email

Compliance – ein Feld, das große Teile der Praxis in Atem hält und vor erhebliche rechtliche und organisatorische Herausforderungen stellt. Gerade auch in Zeiten von Arbeit 4.0 und der Novellierung des europäischen Datenschutzrechtsrahmens sehen sich Unternehmen zwingend mit der Frage konfrontiert, unter welchen Voraussetzungen sie auf die Daten ihrer Arbeitnehmer zugreifen dürfen, um internen oder externen Compliance-Anforderungen zu genügen. Der folgende Beitrag bildet einen ersten Auftakt zur Durchleuchtung dieses gleichermaßen spannenden wie praxisrelevanten Themas, indem er die rechtlichen Rahmenbedingungen und unternehmerischen Umsetzungsbedarfe darstellt.

Play by the rules: Begriff der „Compliance“

In der juristischen Diskussion wird der Begriff Compliance gemeinhin verstanden als „Einhaltung, Gesetzestreue, Befolgung und Übereinstimmung” oder auch „die Gesamtheit der Maßnahmen, die das rechtmäßige Verhalten eines Unternehmens, seiner Organe und Mitarbeiter im Hinblick auf alle gesetzlichen und unternehmenseigenen Gebote und Verbote gewährleisten sollen“. Kurzum: Compliance ist gleichzusetzen mit der Erfüllung von Pflichten und regelkonformem Verhalten.

Gesetzliche Vorgaben und flankierende Selbstregulierung

Compliance ist dabei keinesfalls bloßer Selbstzweck von Unternehmen. Vielmehr wird ihre Einhaltung von der Rechtsordnung an vielen Stellen gefordert. Den Compliance-relevanten Grundstock gesetzlicher Vorgaben bilden hierbei insbesondere Vorschriften aus dem Straf- und Ordnungswidrigkeitenrecht, Aktiengesetz und GmbH-Gesetz.

In strafrechtlicher Hinsicht besteht zunächst nach den Grundsätzen der sog. „strafrechtlichen Geschäftsherrenhaftung“ eine Verantwortlichkeit der Führungsebene für eigenes Fehlverhalten. Da es geschäftsleitenden Organen praktisch unmöglich und daher unzumutbar ist, ihren Aufgaben und Pflichten jederzeit und an jedem Ort eigenständig nachzukommen, besteht die Möglichkeit horizontaler und vertikaler Delegation. Hierbei kommt es aber keinesfalls zu einer vollständigen Überleitung von Verantwortlichkeiten. Die Unternehmensleitung kann sich also nicht gänzlich ihrer Überwachungspflichten entledigen. Stattdessen findet eine Transformation in Aufsichts-, Kontroll- und Überwachungspflichten statt.


Compliance-Verstöße können bereits in strafrechtlicher Hinsicht einige Konsequenzen nach sich ziehen, darunter die Abschöpfung von durch die Tat erlangter Vorteile mittels Verfall (§ 73 Abs. 3 StGB) oder Einziehung (§§ 75, 76a StGB) oder die Beschlagnahme von – unter Umständen auch äußerst sensiblen – Geschäftsunterlagen. Flankierend sieht sich das Unternehmen der Gefahr ausgesetzt, im Falle der Zuwiderhandlung nach § 30 OWiG eine empfindliche Geldbuße zahlen zu müssen. Als taugliche Anknüpfungstat für eine solche Unternehmenssanktionierung kann auch eine Aufsichtspflichtverletzung von Inhabern oder Geschäftsführer eines Betriebs oder Unternehmens dienen, welche nach das Gesetz wiederum gemäß § 130 OWiG mit einem Bußgeld belegt werden kann. Aus dem Zusammenspiel von § 30 Abs. 2 Satz 3 und § 130 Abs. 3 Satz 2 OWiG drohen Unternehmen insgesamt horrende Zahlungsverpflichtungen.

Mit Spannung bleibt zudem abzuwarten, wie sich die zivilrechtliche Rechtsprechung im Zusammenhang mit der Verletzung von Compliance-Pflichten entwickelt. Jedenfalls das LG München I schien hier eine harte Linie fahren zu wollen, verurteilte es einen Manager wegen der nicht vorgenommenen Implementierung eines angemessenen Compliance-Management-Systems zu einer Schadensersatzzahlung aufgrund Organisationspflichtverletzung in Höhe von 15 Millionen (!) Euro (LG München I, Urteil vom 10.12.2013 – 5 HK O 1387/10; das später beim OLG München – 7 U 113/14 – anhängige Verfahren wurde aufgrund außergerichtlichen Vergleichs beendet).

Compliance-Pflichten werden Unternehmen zum einem explizit vom Gesetz auferlegt, wobei insbesondere Regelungen im AktG und GmbHG eine Rolle spielen. 93 Abs. 1 Satz 1 und 2 AktG gibt Vorstandsmitgliedern auf, die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Hiervon umfasst sind auch unter der Berücksichtigung angemessener Informationen zum Wohle der Gesellschaft, was notwendig die Durchführung Compliance-relevanter Maßnahmen einschließt. Die Vorschrift wird flankiert von § 91 Abs. 2 AktG. Danach muss der Vorstand geeignete Maßnahmen treffen, insbesondere ein Überwachungssystem einrichten, um den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig zu erkennen. Ähnliche Pflichten bestehen gemäß § 43 Abs. 1 GmbHG auch für den Geschäftsführer einer GmbH.

Aber auch jenseits der klaren gesetzlichen Vorgaben wird mittlerweile auf die Einhaltung von Compliance gedrängt. Teile der juristischen Literatur sprechen sich dafür aus, eine gesetzliche Obliegenheit zur Einführung angemessener und geeigneter Compliance-Strukturen für sämtliche Unternehmen anzunehmen, soweit es sich nicht um Kleinunternehmen handelt oder kein nennenswertes Geschäftsvolumen bzw. Umsatz vorliegt.

Neben den gesetzlichen Vorgaben zur Compliance wird das Thema auch im deutschen Corporate Governance Kodex (den aktuellen Novellierungsentwurf können Sie hier abrufen) im Bereich der Selbstregulierung reflektiert. Der deutsche Corporate Governance Kodex dient dem Ziel, Vertrauen der Stakeholder in deutsche börsennotierte Gesellschaften zu fördern. Der Kodex entfaltet zumindest insofern normative Wirkung, als sich Vorstände und Aufsichtsrat der börsennotierten Gesellschaft bei Beitritt zum Kodex zu dessen (Nicht-)Anwendbarkeit zu erklären haben (vgl. z. B. 161 Abs. 1 Satz 1 AktG; sog. „comply or explain“). Vorstand und Aufsichtsrat der börsennotierten Gesellschaft müssen hierbei ausführen, ob und inwiefern die Vorgaben des Kodexes entsprochen und aus welchen Gründen auf bestimmte Empfehlungen verzichtet wird (die jeweiligen Entsprechungserklärungen der im DAX und MDAX gelisteten Unternehmen finden Sie hier).

Erstes Zwischenfazit und Ausblick

Bereits die vorangegangene überblicksartige Darstellung verdeutlicht, dass Unternehmen das Thema Compliance keinesfalls unterschätzen sollten. Es geht es dabei nicht nur um die Abwendung materieller, sondern auch immaterieller Schäden, sei es etwa in Gestalt von Reputationsverlusten oder im Hinblick auf etwaige Belastungen von Geschäftsbeziehungen im B2B- und/oder B2C-Bereich.

Ob die im aktuellen Koalitionsvertrag von CDU/CSU und SPD getroffene Ankündigung, gesetzliche Anreize zur Aufklärungshilfe durch Internal Investigations und zur anschließenden Offenlegung der hierauf gewonnenen Erkenntnisse zu schaffen (dort S. 126), letztlich auch umgesetzt werden, bleibt abzuwarten. Fest steht jedoch: Das Thema Compliance wird zukünftig noch an Bedeutung gewinnen und Unternehmen sind gut beraten, wenn sie sich frühzeitig und umfassend mit den rechtlichen Risiken in ihrem Geschäftsbereich auseinandersetzen. Dies gilt insbesondere auch für den Beschäftigtendatenschutz, der Gegenstand einer Fortsetzung dieses Beitrags wird.

351 beiträge

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 65 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Datenschutz Neueste Beiträge

Kopie personenbezogener Mitarbeiterdaten – Keine Pflicht zur Herausgabe umfassender Unterlagen

Nach der DSGVO kann der Arbeitnehmer vom Arbeitgeber eine Kopie der personenbezogenen Daten verlangen, die Gegenstand der Verarbeitung durch den Arbeitgeber sind. Die Reichweite dieses Anspruchs ist nach wie vor umstritten. Eine Klärung durch das BAG ist bislang nicht erfolgt. Nun hat sich das ArbG Bonn (Urteil vom 16.07.2020 – 3 Ca 2026/19) gegen ein weites Verständnis des Anspruchs ausgesprochen und klargestellt, dass nur die…
Betriebsrat Datenschutz Kollektivarbeitsrecht Mitbestimmung Neueste Beiträge

Datenschutz-Folgenabschätzung – zwingender Bestandteil einer „IT-Betriebsvereinbarung“?

Mit der rasant fortschreitenden Digitalisierung sind zwei Themen aus arbeitsrechtlicher Sicht von dauerhafter und erheblicher Bedeutung: Das Recht des Mitarbeiterdatenschutzes und die Mitbestimmung des Betriebsrats bei der Einführung und Anwendung von „technischen Einrichtungen“ im Sinne des § 87 Abs. 1 Nr. 6 BetrVG. Einigkeit besteht dahingehend, dass die Betriebsparteien bei der Wahrnehmung des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG die Vorgaben der…
Datenschutz Neueste Beiträge

Rekord-DSGVO-Bußgeld für die Modekette H&M

Der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar hat gegen die Modekette H&M ein Bußgeld von € 35,3 Mio verhängt. In der Nürnberger Filiale der Modekette war seit Jahren das Privatleben von Beschäftigten systematisch ausgespäht worden. Bereits im Oktober 2019 war bekannt geworden, dass in der Nürnberger Filiale von H&M Führungskräfte sogenannte Welcome-Back-Gespräche mit Beschäftigten geführt hatten, die aus Urlaub oder Krankheit zurückkehrten. Dabei wurden u….
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.