open search
close
  • Suche
    • Autoren Über uns Kliemt.de Podcast Home
    Compliance Datenschutz

    Compliance und Beschäftigtendatenschutz – Teil I: Rechtliche Rahmenbedingungen

    Print Friendly, PDF & Email

    Compliance – ein Feld, das große Teile der Praxis in Atem hält und vor erhebliche rechtliche und organisatorische Herausforderungen stellt. Gerade auch in Zeiten von Arbeit 4.0 und der Novellierung des europäischen Datenschutzrechtsrahmens sehen sich Unternehmen zwingend mit der Frage konfrontiert, unter welchen Voraussetzungen sie auf die Daten ihrer Arbeitnehmer zugreifen dürfen, um internen oder externen Compliance-Anforderungen zu genügen. Der folgende Beitrag bildet einen ersten Auftakt zur Durchleuchtung dieses gleichermaßen spannenden wie praxisrelevanten Themas, indem er die rechtlichen Rahmenbedingungen und unternehmerischen Umsetzungsbedarfe darstellt.

    Play by the rules: Begriff der „Compliance“

    In der juristischen Diskussion wird der Begriff Compliance gemeinhin verstanden als „Einhaltung, Gesetzestreue, Befolgung und Übereinstimmung” oder auch „die Gesamtheit der Maßnahmen, die das rechtmäßige Verhalten eines Unternehmens, seiner Organe und Mitarbeiter im Hinblick auf alle gesetzlichen und unternehmenseigenen Gebote und Verbote gewährleisten sollen“. Kurzum: Compliance ist gleichzusetzen mit der Erfüllung von Pflichten und regelkonformem Verhalten.

    Gesetzliche Vorgaben und flankierende Selbstregulierung

    Compliance ist dabei keinesfalls bloßer Selbstzweck von Unternehmen. Vielmehr wird ihre Einhaltung von der Rechtsordnung an vielen Stellen gefordert. Den Compliance-relevanten Grundstock gesetzlicher Vorgaben bilden hierbei insbesondere Vorschriften aus dem Straf- und Ordnungswidrigkeitenrecht, Aktiengesetz und GmbH-Gesetz.

    In strafrechtlicher Hinsicht besteht zunächst nach den Grundsätzen der sog. „strafrechtlichen Geschäftsherrenhaftung“ eine Verantwortlichkeit der Führungsebene für eigenes Fehlverhalten. Da es geschäftsleitenden Organen praktisch unmöglich und daher unzumutbar ist, ihren Aufgaben und Pflichten jederzeit und an jedem Ort eigenständig nachzukommen, besteht die Möglichkeit horizontaler und vertikaler Delegation. Hierbei kommt es aber keinesfalls zu einer vollständigen Überleitung von Verantwortlichkeiten. Die Unternehmensleitung kann sich also nicht gänzlich ihrer Überwachungspflichten entledigen. Stattdessen findet eine Transformation in Aufsichts-, Kontroll- und Überwachungspflichten statt.

    Compliance-Verstöße können bereits in strafrechtlicher Hinsicht einige Konsequenzen nach sich ziehen, darunter die Abschöpfung von durch die Tat erlangter Vorteile mittels Verfall (§ 73 Abs. 3 StGB) oder Einziehung (§§ 75, 76a StGB) oder die Beschlagnahme von – unter Umständen auch äußerst sensiblen – Geschäftsunterlagen. Flankierend sieht sich das Unternehmen der Gefahr ausgesetzt, im Falle der Zuwiderhandlung nach § 30 OWiG eine empfindliche Geldbuße zahlen zu müssen. Als taugliche Anknüpfungstat für eine solche Unternehmenssanktionierung kann auch eine Aufsichtspflichtverletzung von Inhabern oder Geschäftsführer eines Betriebs oder Unternehmens dienen, welche nach das Gesetz wiederum gemäß § 130 OWiG mit einem Bußgeld belegt werden kann. Aus dem Zusammenspiel von § 30 Abs. 2 Satz 3 und § 130 Abs. 3 Satz 2 OWiG drohen Unternehmen insgesamt horrende Zahlungsverpflichtungen.

    Mit Spannung bleibt zudem abzuwarten, wie sich die zivilrechtliche Rechtsprechung im Zusammenhang mit der Verletzung von Compliance-Pflichten entwickelt. Jedenfalls das LG München I schien hier eine harte Linie fahren zu wollen, verurteilte es einen Manager wegen der nicht vorgenommenen Implementierung eines angemessenen Compliance-Management-Systems zu einer Schadensersatzzahlung aufgrund Organisationspflichtverletzung in Höhe von 15 Millionen (!) Euro (LG München I, Urteil vom 10.12.2013 – 5 HK O 1387/10; das später beim OLG München – 7 U 113/14 – anhängige Verfahren wurde aufgrund außergerichtlichen Vergleichs beendet).

    Compliance-Pflichten werden Unternehmen zum einem explizit vom Gesetz auferlegt, wobei insbesondere Regelungen im AktG und GmbHG eine Rolle spielen. 93 Abs. 1 Satz 1 und 2 AktG gibt Vorstandsmitgliedern auf, die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Hiervon umfasst sind auch unter der Berücksichtigung angemessener Informationen zum Wohle der Gesellschaft, was notwendig die Durchführung Compliance-relevanter Maßnahmen einschließt. Die Vorschrift wird flankiert von § 91 Abs. 2 AktG. Danach muss der Vorstand geeignete Maßnahmen treffen, insbesondere ein Überwachungssystem einrichten, um den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig zu erkennen. Ähnliche Pflichten bestehen gemäß § 43 Abs. 1 GmbHG auch für den Geschäftsführer einer GmbH.

    Aber auch jenseits der klaren gesetzlichen Vorgaben wird mittlerweile auf die Einhaltung von Compliance gedrängt. Teile der juristischen Literatur sprechen sich dafür aus, eine gesetzliche Obliegenheit zur Einführung angemessener und geeigneter Compliance-Strukturen für sämtliche Unternehmen anzunehmen, soweit es sich nicht um Kleinunternehmen handelt oder kein nennenswertes Geschäftsvolumen bzw. Umsatz vorliegt.

    Neben den gesetzlichen Vorgaben zur Compliance wird das Thema auch im deutschen Corporate Governance Kodex (den aktuellen Novellierungsentwurf können Sie hier abrufen) im Bereich der Selbstregulierung reflektiert. Der deutsche Corporate Governance Kodex dient dem Ziel, Vertrauen der Stakeholder in deutsche börsennotierte Gesellschaften zu fördern. Der Kodex entfaltet zumindest insofern normative Wirkung, als sich Vorstände und Aufsichtsrat der börsennotierten Gesellschaft bei Beitritt zum Kodex zu dessen (Nicht-)Anwendbarkeit zu erklären haben (vgl. z. B. 161 Abs. 1 Satz 1 AktG; sog. „comply or explain“). Vorstand und Aufsichtsrat der börsennotierten Gesellschaft müssen hierbei ausführen, ob und inwiefern die Vorgaben des Kodexes entsprochen und aus welchen Gründen auf bestimmte Empfehlungen verzichtet wird (die jeweiligen Entsprechungserklärungen der im DAX und MDAX gelisteten Unternehmen finden Sie hier).

    Erstes Zwischenfazit und Ausblick

    Bereits die vorangegangene überblicksartige Darstellung verdeutlicht, dass Unternehmen das Thema Compliance keinesfalls unterschätzen sollten. Es geht es dabei nicht nur um die Abwendung materieller, sondern auch immaterieller Schäden, sei es etwa in Gestalt von Reputationsverlusten oder im Hinblick auf etwaige Belastungen von Geschäftsbeziehungen im B2B- und/oder B2C-Bereich.

    Ob die im aktuellen Koalitionsvertrag von CDU/CSU und SPD getroffene Ankündigung, gesetzliche Anreize zur Aufklärungshilfe durch Internal Investigations und zur anschließenden Offenlegung der hierauf gewonnenen Erkenntnisse zu schaffen (dort S. 126), letztlich auch umgesetzt werden, bleibt abzuwarten. Fest steht jedoch: Das Thema Compliance wird zukünftig noch an Bedeutung gewinnen und Unternehmen sind gut beraten, wenn sie sich frühzeitig und umfassend mit den rechtlichen Risiken in ihrem Geschäftsbereich auseinandersetzen. Dies gilt insbesondere auch für den Beschäftigtendatenschutz, der Gegenstand einer Fortsetzung dieses Beitrags wird.

    KLIEMT.Arbeitsrecht



    Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 90 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
    Verwandte Beiträge
    Datenschutz Neueste Beiträge

    Datenschutzrechtliche Auskunftsansprüche im arbeitsgerichtlichen Vergleich miterledigen? – Möglichkeiten & Grenzen

    In arbeitsgerichtlichen Vergleichen sind Erledigungsklauseln Standard. Sie sollen für Klarheit und Rechtssicherheit zwischen den Parteien sorgen. Doch was passiert, wenn ein Arbeitnehmer nach Abschluss eines arbeitsgerichtlichen Vergleichs an einem geltend gemachten datenschutzrechtlichen Auskunftsverlangen nach Art. 15 DSGVO festhält? In einem aktuellen Urteil hat sich das OVG Saarland mit der Frage auseinandergesetzt, ob ein datenschutzrechtlicher Auskunftsanspruch von der Erledigungsklausel in einem arbeitsgerichtlichen Vergleich umfasst ist (OVG…
    Compliance Datenschutz Individualarbeitsrecht Neueste Beiträge

    Deepfakes im Bewerbungsprozess

    Was passiert, wenn KI nicht nur zur Unterstützung, sondern zur Manipulation, etwa in Bewerbungsprozessen, eingesetzt wird? Mit digitalisierten Bewerbungsverfahren, Remote-Recruiting-Prozessen und virtuellen Jobinterviews steigt nicht zuletzt auch das Risiko, dass Bewerber Deepfakes einsetzen. Deepfake-Technologien ermöglichen es, Bewerbungsunterlagen wie Zeugnisse und Referenzschreiben täuschend echt zu fälschen oder gar Vorstellungsgespräche zu manipulieren und sich so einen Vorteil im Bewerbungsprozess zu verschaffen. Für Arbeitgeber stellt sich die Frage,…
    Arbeitsrecht 4.0 Betriebsrat Compliance Datenschutz Neueste Beiträge

    KI im Hinweisgebersystem: Potenziale nutzen, Risiken vermeiden

    Seit Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) sind Unternehmen mit mindestens 50 Beschäftigten verpflichtet, interne Hinweisgebersysteme einzurichten. Immer mehr Arbeitgeber setzen dabei auf Künstliche Intelligenz (KI), um die Bearbeitung von Meldungen zu beschleunigen und effizienter zu gestalten. Doch Vorsicht! Beim KI-gestützten Whistleblowing spielen arbeitsrechtliche Fragen eine wichtige Rolle: vom Beschäftigtendatenschutz über die Mitbestimmungsrechte des Betriebsrats bis hin zu den Grenzen zulässiger Automatisierung. Datenschutz: KI und Beschäftigtendaten rechtssicher…
    Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
    Jetzt anmelden und informiert bleiben.

     

    Die Abmeldung ist jederzeit möglich.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert