open search
close
Compliance Datenschutz Legal Tech

Compliance und Beschäftigtendatenschutz – Teil II: Motivationslage und Realisierung

Print Friendly, PDF & Email

Im ersten Teil unserer Beitragsreihe haben wir die rechtlichen Rahmenbedingungen und unternehmerischen Umsetzungsbedarfe dargestellt. Der zweite Teil stellt die Motivationslage für Unternehmen dar und widmet sich den Implementierungsmöglichkeiten auf betrieblicher Ebene.

Die Sicht der Unternehmensleitung: Warum Compliance?

Für Unternehmen besteht im Zusammenhang mit Compliance wirtschaftlicher Handlungsbedarf, um materielle und immaterielle Schäden von der Gesellschaft abzuwenden.

In materieller Hinsicht drohen Schäden in Millionenhöhe, verschärft durch gestiegene Straf- und Bußgeldzahlungen sowie die angekündigten Maßnahmen zu deren Erweiterung (vgl. bereits Teil I dieses Beitrags). Des Weiteren bestehen haftungsrechtliche Problemstellungen und ist auch die Rechtsverfolgung mit Kosten verbunden. Zuletzt rufen auch interne Ermittlungen (sog. „Internal Investigations“), mit deren Hilfe Compliance-relevante Sachverhalte aufgeklärt werden sollen, weitere Kosten hervor.

Darüber hinaus müssen Unternehmen auch immaterielle Schäden mit in den Blick nehmen. Geraten Compliance-Verletzungen an die Öffentlichkeit, sind Rufgefährdung und Reputationsverlust vorprogrammiert. Ganz zu schweigen von der Gefahr, auch die Geschäftsbeziehungen B2B- und/oder B2C-Bereich massiv zu belasten. Hält sich ein Arbeitgeber zudem nicht an Compliance-Vorgaben, kann sich dies empfindlich auf die Arbeitsmoral der Belegschaft auswirken und potentielle Bewerber abschrecken.


Compliance und Arbeitsrecht – ein weites Feld

Arbeitgeber sehen sich im Bereich Compliance vor verschiedene Hürden gestellt: In organisatorischer Hinsicht müssen sie zunächst sicherstellen, eine Compliance-Organisation zu implementieren, die in einem wirtschaftlich angemessenen Verhältnis zu den Risiken steht und sich auf sämtliche Geschäftsfelder des Unternehmens erstreckt. Weiterhin ist es dringend erforderlich, in Compliance-relevanten Bereichen Informationsdefizite zu beheben. Dem Arbeitgeber kann hier im Rahmen seiner unternehmerischen Freiheit die Einführung betriebsinterner Informationssysteme („Whistleblowing“) oder die Durchführung interner Ermittlungen zur Aufklärung etwaiger Verstöße in Erwägung ziehen.

Die Realisierung der Maßnahmen darf wiederum nur innerhalb der rechtlichen Grenzen stattfinden, Compliance muss also ihrerseits compliant sein. Der Arbeitgeber muss dabei insbesondere im Zusammenhang mit der Prävention, Aufdeckung und Ahndung von Compliance-Verstößen die Rechte seiner Arbeitnehmer wahren – allen voran natürlich deren Persönlichkeitsrechte, steht die Durchführung von Compliance-Maßnahmen im Kontext der Verarbeitung von Beschäftigtendaten im Raum.

Pflichtenprogramm der Unternehmensleitung

Im Spektrum von Compliance treffen die Unternehmensleitung vor allem drei zentrale Pflichten (vgl. zur Leitungsverantwortung des Vorstandes der AG exemplarisch § 76 Abs. 1 AktG): Erstens muss generell auf die Gesetzeskonformität des unternehmerischen Handelns hingewirkt (sog. Legalitätspflicht). Zweitens besteht die Pflicht zur sorgfältigen Unternehmensführung. Verstöße hiergegen sind unter dem Aspekt des Organisationsverschuldens ggf. schadensersatzauslösend. Drittens muss die Unternehmensleitung ihrer allgemeinen Überwachungspflicht nachkommen.

Ihren Pflichten kommt die Unternehmensleitung nach, indem sie ein umfassendes Compliance-System einführt. Folgende Aspekte sollten in diesem Zusammenhang jedenfalls abgedeckt werden:

  • Ermittlung konkreter Risikofelder des Unternehmens
  • Entwicklung eines unternehmensbezogenen Compliance-Programms
  • Bekenntnis der Geschäftsleitung zum Thema Compliance und Kommunikation nach innen und außen (inkl. Information der Belegschaft)
  • Fragen der Willensbildung auf betrieblicher Ebene (Vorliegen notwendiger Beschlüsse, Einbeziehung des Aufsichtsrates etc.)
  • Abstimmung mit unternehmenskulturellen Aspekten (Unternehmensleitbild, interne Richtlinien etc.)
  • Eindeutige Verteilung von Zuständigkeiten
  • Festlegung klarer Berichtslinien
  • Bereitstellung ausreichender Ressourcen (Infrastruktur, Ausstattung des Compliance-Teams etc.)
  • Prozeduralisierungen (regelmäßige Überprüfung der Effektivität des Systems, Fortentwicklung etc.)

Möglichkeiten der Implementierung

Besteht entweder kein Betriebsrat oder trifft den Arbeitgeber keine Pflicht zu dessen Beteiligung, können Compliance-Richtlinien durch Weisung eingeführt werden. Hierbei sind Inhalt und Grenzen des Weisungs- bzw. Direktionsrechts des Arbeitgebers zu beachten (vgl. vor allem §§ 315, 611a BGB sowie § 106 GewO). Besondere Bedeutung kommt hier dem Maßstab des „billigen Ermessens“ des Arbeitgebers zu. Nach gängigem Verständnis sind zu dessen Ermittlung insbesondere die Grundrechte der Arbeitnehmer zu berücksichtigen und mit den berechtigten Belangen des Arbeitgebers abzuwägen. Der Arbeitnehmer muss unbilligen Weisungen nicht nachkommen (vgl. § 275 Abs. 3 BGB, sog. Leistungsverweigerungsrecht). In prozessualer Hinsicht liegt die Beweislast für die Billigkeit beim Arbeitgeber.

Die praktisch relevanteste Möglichkeit, Compliance-Richtlinien zu implementieren, liegt indes in der Einführung im Wege von Betriebsvereinbarungen. Regelungen in Betriebsvereinbarungen sind bereits deshalb sinnvoll, da Kernelemente von Compliance-Systemen der Mitbestimmung unterliegen.

Im Beschäftigtendatenschutzrecht lösen zwei Tatbestände die Mitbestimmung in sozialen Angelegenheiten aus: Zum einen sieht § 87 Abs. 1 Nr. 1 BetrVG eine Mitbestimmungspflicht des Betriebsrates zu Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb vor. Zum anderen muss der Betriebsrat auch ein Recht zur Mitbestimmung gewährt werden, wenn es um die Einführung und Anwendung von technischen Einrichtungen geht, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen (§ 87 Abs. 1 Nr. 6 BetrVG).

Besteht ein Konzernbetriebsrat oder ein Gesamtbetriebsrat, sind zudem die Vorschriften des § 58 Abs. 1 BetrVG bzw. § 50 Abs. 1 BetrVG hinsichtlich der Zuständigkeit zu beachten. Neben den zwingenden Mitbestimmungspflichten im Bereich der sozialen Angelegenheiten hat der Betriebsrat darüber hinaus noch andere Mitbestimmungsrechte, insbesondere solche nach den § 80 (Unterrichtungspflichten), § 98 (Schulungen), § 94 (Personalfragebögen) sowie nach § 95 BetrVG (Auswahlrichtlinien zur Einstellung).

Zwischenergebnis und Ausblick

Eine wohldurchdachte und ausgereifte Compliance-Struktur dient dazu, Nachteile von der Gesellschaft, ihren Organen und Beschäftigten abzuwenden. Dabei müssen Arbeitgeber passgenaue Antworten auf eine Vielzahl komplexer haftungsrechtlicher, organisatorischer und informationstechnischer Fragestellungen finden. Besondere Schwierigkeiten bereiten in der Praxis dabei nicht selten die im Beschäftigtendatenschutzrecht zu beachtenden Vorgaben. Welchen Anforderungen hier Compliance-Maßnahmen genügen müssen, erfahren Sie in Teil III dieser Serie.

350 beiträge

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 65 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Datenschutz Neueste Beiträge

Kopie personenbezogener Mitarbeiterdaten – Keine Pflicht zur Herausgabe umfassender Unterlagen

Nach der DSGVO kann der Arbeitnehmer vom Arbeitgeber eine Kopie der personenbezogenen Daten verlangen, die Gegenstand der Verarbeitung durch den Arbeitgeber sind. Die Reichweite dieses Anspruchs ist nach wie vor umstritten. Eine Klärung durch das BAG ist bislang nicht erfolgt. Nun hat sich das ArbG Bonn (Urteil vom 16.07.2020 – 3 Ca 2026/19) gegen ein weites Verständnis des Anspruchs ausgesprochen und klargestellt, dass nur die…
Betriebsrat Datenschutz Kollektivarbeitsrecht Mitbestimmung Neueste Beiträge

Datenschutz-Folgenabschätzung – zwingender Bestandteil einer „IT-Betriebsvereinbarung“?

Mit der rasant fortschreitenden Digitalisierung sind zwei Themen aus arbeitsrechtlicher Sicht von dauerhafter und erheblicher Bedeutung: Das Recht des Mitarbeiterdatenschutzes und die Mitbestimmung des Betriebsrats bei der Einführung und Anwendung von „technischen Einrichtungen“ im Sinne des § 87 Abs. 1 Nr. 6 BetrVG. Einigkeit besteht dahingehend, dass die Betriebsparteien bei der Wahrnehmung des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG die Vorgaben der…
Datenschutz Neueste Beiträge

Rekord-DSGVO-Bußgeld für die Modekette H&M

Der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar hat gegen die Modekette H&M ein Bußgeld von € 35,3 Mio verhängt. In der Nürnberger Filiale der Modekette war seit Jahren das Privatleben von Beschäftigten systematisch ausgespäht worden. Bereits im Oktober 2019 war bekannt geworden, dass in der Nürnberger Filiale von H&M Führungskräfte sogenannte Welcome-Back-Gespräche mit Beschäftigten geführt hatten, die aus Urlaub oder Krankheit zurückkehrten. Dabei wurden u….
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.