In den ersten beiden Teilen der Beitragsreihe haben wir das Thema Compliance rechtlich verortet und aufgezeigt, wie Compliance-Strukturen auf betrieblicher Ebene umgesetzt werden können. Der dritte Teil befasst sich schwerpunktmäßig mit der Einhaltung datenschutzrechtlicher Vorgaben bei der Durchführung von Compliance-Maßnahmen gegenüber Beschäftigten.
Datenschutz-Compliance im Lichte der Grundrechtsabwägung
Sollten Compliance-Verstöße aufgedeckt und geahndet werden, läuft die juristische Prüfung der Gerichte letztlich auf eine Abwägung der Interessen von Arbeitgebern und Beschäftigten hinaus. Aufgehängt wird diese Prüfung an dem Merkmal der „Erforderlichkeit“ der Datenverarbeitung (vgl. § 26 Abs. 1 BDSG). Der der deutsche Gesetzgeber fordert in diesem Kontext eine „Abwägung der widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz“. Dies bedeutet, dass die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich gebracht werden, der beide Interessen möglichst weitgehend berücksichtigt.
Schwierigkeiten in der praktischen Handhabung liegen hier weniger im technischen Bereich, da Arbeitgebern oft zahl- und umfangreiche technische Hilfsmittel zur Verfügung stehen, um Verstöße aufzuklären und zu sanktionieren (Versetzung, Abmahnung, ordentliche oder außerordentliche Kündigung, Schadensersatz usw.). Arbeitgeber müssen vielmehr die Herausforderung meisten, die Vorgaben des Gesetzgebers und der Gerichte richtig einzuordnen und umzusetzen.
Grundsatzfrage: Erlaubte Privatnutzung dienstlicher Informations- und Kommunikationstechnik?
Häufig sind sich Arbeitgeber nicht bewusst darüber, dass Compliance-Maßnahmen generell erschwert, wenn nicht sogar ausgeschlossen sind, wenn die Nutzung dienstlicher Informations- und Kommunikationstechnik („IuK“) explizit erlaubt oder jedenfalls geduldet ist (Stichwort: „betriebliche Übung). Dies betrifft einerseits klassische Anwendungsgebiete wie die Überwachung der Telekommunikationsdaten sowie den Zugriff auf E-Mail-Postfächer bei Abwesenheit des betroffenen Arbeitnehmers aufgrund von Krankheit, Urlaub, Mutterschutz etc. Vergleichbare Probleme können sich andererseits aber auch stellen, wenn Beschäftigten erlaubt wird, ihre eigenen privaten Geräte für die dienstliche Nutzung zu verwenden (sog. „Bring Your Own Device“ – BYOD, so etwa bei der Verwendung von Mobiltelefon, Notebook, Tablet, Smart Watch etc.). Darüber hinaus herrscht nach wie vor Rechtsunsicherheit hinsichtlich der Frage, ob Arbeitgeber bei erlaubter Privatnutzung als Telekommunikationsdienstleister anzusehen sind und einem strengen Haftungsregime unterworfen werden können, wenn Beschäftigte bei der Nutzung der IuK des Arbeitgebers Rechtsverstöße begehen. Aus anwaltlicher Sicht muss dringend dazu geraten werden, die Privatnutzung dienstlicher IuK zu untersagen.
Die Vorgaben der Rechtsprechung – ein Abriss
Bei der Prüfung, ob bestimmte Compliance-Maßnahmen rechtskonform durchgeführt werden können, sollten zwingend nicht nur die Rechtsprechungsvorgaben auf deutscher, sondern auch europäischer Ebene berücksichtigt werden. Wenngleich im Rahmen dieses Beitrags keine umfassende Aufarbeitung der Rechtsprechung geleistet werden kann, sollen im Folgenden zumindest einige Linien aufgezeigt werden, die sich in jüngerer Zeit herausgebildet haben.
In Deutschland stehen Arbeitgeber vor dem Problem, den Überblick in einem Dickicht aus Entscheidungen zu behalten. Grundlegend ist zu beachten, dass Arbeitgeber nach Ansicht des BAG (vgl. etwa BAG, Urteil vom 22.09.2016 – 2 AZR 848/15 sowie Urteil vom 29.06.2017 – 2 AZR 597/16) Compliance-Verstöße nicht erst dann aufdecken und verfolgen dürfen, wenn eine Straftatbegehung im Raum steht, mithin in neuralgischen Fällen. Vielmehr können sie auch – und trotz des Wortlauts von § 26 Abs. 1 Satz 2 BDSG – dem Verdacht einer schweren Pflichtverletzung nachgehen. Zudem seien Überwachungsmaßnahmen auch „zur Wahrung eines berechtigten geschäftlichen Interesses“ grundsätzlich denkbar (BAG, Urteil vom 29.06.2017 – 2 AZR 597/16).
In letztgenannter Entscheidung stellte das BAG eine Reihe von Vorgaben für Ermittlungstätigkeiten (sog. „Internal Investigations“) auf:
Steht der Verdacht einer Straftat im Raum (hier greift § 26 Abs. 1 Satz 2 BDSG), bedarf es
- zu dokumentierender (!) tatsächlicher Anhaltspunkte,
- die den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, wobei
- die Verarbeitung zur Aufdeckung erforderlich sein muss und
- das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegen darf, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Die Aufklärung schwerer Pflichtverletzungen unterhalb der Strafbarkeitsschwelle (hier findet § 26 Abs. 1 Satz 1 BDSG Anwendung) erfordert im Fall verdeckter Ermittlungen (Detektiveinsatz, verdeckte Videoüberwachung, heimliches Öffnen des Spinds etc.)
- einen dokumentierten (!) konkreten Verdacht einer schweren Verfehlung (aber nicht im Sinne eines „wichtigen Grundes“ gem. 626 BGB),
- eine räumliche und funktionale Eingrenzung des Kreises der Überwachten,
- das Fehlen anderer, gleichwirksamer, aber das Persönlichkeitsrecht weniger beeinträchtigender Mittel, wobei
- die Schwere des Verdachts nicht außer Verhältnis zum Gewicht des ihn rechtfertigenden Grundes stehen darf.
Wenn diese Voraussetzungen vorliegen, darf sich eine Überwachungsmaßnahme durchaus auch auf unverdächtige Arbeitnehmer erstrecken (vgl. hierzu bereits BAG, Urteil vom 20.10.2016 – 2 AZR 395/15). „Zufallsfunde“ (d.h. aufgedeckte Pflichtverletzungen anderer, zuvor nicht verdächtigter Arbeitnehmer) dürften in der Regel verwertbar sein (so jedenfalls BAG, Urteil vom 22.09.2016 – 2 AZR 848/15). Der Einsatz verdeckter Spähprogramme, die sämtliche Tastatureingaben heimlich protokollieren und Bildschirmfotos („Screenshots“) erstellen, ist hingegen für eine Überwachung ohne konkreten Verdacht, d.h. „ins Blaue hinein“, unzulässig (BAG, Urteil vom 27.07.2017 – 2 AZR 681/16).
Aus europäischer Sicht sind beschäftigtendatenschutzrechtliche Entscheidungen bislang rar gesät. Zweifelsohne besondere Bedeutung entfaltet aber das Bărbulescu-Urteil des EGMR (EGMR, Urteil vom 05.09.2017 – Nr. 61496/08, Bărbulescu/Rumänien). In dem zugrundeliegenden Sachverhalt überprüfte ein Arbeitgeber die untersagte Privatnutzung dienstlicher IT und zeichnete das Nutzungsverhalten eines Arbeitnehmers auf, ohne diesen hiervon in Kenntnis zu setzen. Die hierauf gestützte Kündigung erachtete der EGMR für unwirksam.
Das Gericht nahm den Fall zum Anlass, eine Reihe von Anforderungen aufzustellen, die im Rahmen der Interessenabwägung Berücksichtigung finden müssen. Seitdem müssen Arbeitgeber jedenfalls insbesondere folgende Erwägungen anstellen:
- Wurde der Betroffene über Möglichkeit, Art und Ausmaß von Überwachungsmaßnahmen wegen der Korrespondenz oder sonstiger Kommunikation informiert?
- Welches Ausmaß hat die Überwachung?
- Wie weit dringt die Überwachung in das Privatleben des Arbeitnehmers ein?
- Ist die Überwachung zeitlich begrenzt?
- Wie hoch ist die Anzahl der Personen mit Zugang zu den Überwachungsergebnissen?
- Welche Folgen erwachsen aus Überwachung für den Arbeitnehmer?
- Inwiefern macht der Arbeitgeber von dem Überwachungsergebnis Gebrauch?
- Liegen angemessene Garantien zum Schutz der Arbeitnehmerrechte vor (vor allem bei starken Eingriffen)?
Sollen interne Ermittlungen durchgeführt werden, liegt der Teufel aber – wie so oft – im Detail. Arbeitgeber sollten daher dringend jeden Compliance-Fall gesondert prüfen.
Abschließende Bewertung und Handlungsempfehlung
Das Erfordernis einer umfassenden und wohldurchdachten Datenschutz-Compliance-Struktur tritt immer stärker in das Bewusstsein von Unternehmen. Diese sehen sich angesichts nach wie vor nicht bis ins letzte Detail ausdifferenzierter gesetzlicher Regelungen und einer Fülle von Vorgaben der Rechtsprechung vor die Herausforderung gestellt, den Umgang mit personenbezogenen Daten, insbesondere auch Beschäftigtendaten, in rechtskonformer Weise auszugestalten. Helfen können dabei wohldurchdachtes Compliance-Management-System sowie umfassende interne Regelungen, die auch darauf ausgerichtet sein sollten, das für die Einhaltung der Vorschriften notwendige Datenschutzbewusstsein zu fördern. Hierdurch kann es letztlich gelingen, nicht nur Schäden von dem Unternehmen, seiner Leitungsebene sowie den betroffenen Beschäftigten abzuwenden, sondern insgesamt eine Kultur zu etablieren, die den Datenschutz nicht als lästiges Übel versteht, sondern als notwendiges Mittel zur Herstellung und Aufrechterhaltung guter Arbeitsbedingungen in einer zunehmend digitalisierten Arbeitswelt.