Mit der am 25. Mai 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung (DSGVO) und der zeitgleich in Kraft tretenden Neufassung des Bundes-Datenschutzgesetzes (BDSG) werden auch die Regeln über die Verarbeitung von Daten im Rahmen interner Untersuchungen auf eine neue Grundlage gestellt. Der deutsche Gesetzgeber hat für den Bereich des Beschäftigtendatenschutzes von der in Art. 88 Abs. 2 DSGVO eröffneten Möglichkeit, nationale gesetzliche Regelungen zu treffen, in Form des § 26 BDSG Gebrauch gemacht.
Die Neuregelung ist dem bisherigen § 32 BDSG a.F. nachgebildet und soll nach dem Willen des Gesetzgebers ausdrücklich keine Rechtsänderung gegenüber dem vormaligen, durch die Rechtsprechung konkretisierten, Rechtszustand bewirken.
Auswirkungen auf präventive Compliance-Untersuchungen
Für den Bereich präventiver Compliance-Untersuchungen, die nicht auf einem konkreten, personenbezogenen Anfangsverdacht einer Straftat beruhen, bedeutet dies, dass sie nunmehr auf § 26 Abs. 1 Satz 1 (bisher § 32 Abs. 1 Satz 1) BDSG gestützt werden können, da die in § 26 Abs. 1 Satz 2 (entspricht § 32 Abs. 1 Satz 2 alt) enthaltene Sonderregelung für die Aufdeckung von Straftaten keine spezialgesetzliche Sperrwirkung für Vorgänge entfaltet, in denen andere Compliance Verstöße, wie z.B. Ordnungswidrigkeiten oder Verstöße gegen interne Regelungen, zu untersuchen sind.
Untersuchungsmaßnahmen mit präventiver Zielrichtung sind daher auch unter dem neuen Recht möglich. In der Diktion der DSGVO sind sie auf Art. 6 Abs. 1 lit. f) – Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten – zulässig, soweit ihre Erforderlichkeit belegt ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person die berechtigten Interessen des Arbeitgebers nicht überwiegen.
Insoweit gilt auch weiterhin der in der Rechtsprechung des Bundesarbeitsgerichts und des EGMR betonte strenge Verhältnismäßigkeitsgrundsatz, demzufolge die Maßnahme geeignet, erforderlich und angemessen sein muss.
Bei der Erforderlichkeit ist zu prüfen, ob die Maßnahme das mildeste unter mehreren gleichermaßen geeigneten Mitteln darstellt. Im Rahmen der Angemessenheitsprüfung erfolgt eine Interessenabwägung zwischen den berechtigten Interessen des Arbeitgebers und den Interessen des betroffenen Arbeitnehmers.
Mithin ist auch zukünftig von Massen-Datenabgleichen, ungezielten „Fishingexpeditions“ und dauerhaften, vollumfänglichen Überwachungsaktivitäten abzuraten. Die Kontrolle von Nutzungs- oder Metadaten, z.B. bei der Auswertung eines Internetbrowsers zur Überwachung der Einhaltung eines Internet-Nutzungsverbotes, sollte daher allenfalls stichprobenartig in Bezug auf Nutzungszeiten, Nutzungsdauer und Nutzungsart erfolgen. Die zur Dokumentation erfolgende Speicherung dieser Nutzungsdaten ist im Hinblick auf die beabsichtigte weitere Nutzung (z.B. Abmahnung, arbeitsrechtliche Maßnahmen) ebenfalls zeitlich zu limitieren.
Als weiteren Rechtsgrund für die Verarbeitung der Daten sieht Art. 6 Abs. 1 lit. a) DSGVO die Einwilligung der betroffenen Person an. Der neu gefasste § 26 Abs. 2 BDSG enthält insoweit umfangreiche Regelungen, die letztlich dazu führen, dass eine Einwilligung nur dann freiwillig und wirksam zustande gekommen ist, wenn sich für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil ergibt oder die Person und der Arbeitgeber gleich gelagerte Interessen verfolgen. Die Verfolgung gleich gelagerter Interessen mag insbesondere in Kartellverfahren in Betracht kommen, in denen das Unternehmen in einem Kronzeugenantrag zugleich die Wirkungen des Antrags zugunsten der betroffenen Arbeitnehmer geltend macht. Bei anderen internen Ermittlungen stellt sich die Frage, wie diese für den Beschäftigten als „lediglich vorteilhaft“ bezeichnet werden können.
Auswirkungen auf sachverhaltsaufklärende Untersuchungen
Für Untersuchungen, die auf dem Anfangsverdacht einer Straftat beruhen stellt nunmehr § 26 Abs. 1 Satz 2 BDSG die Erlaubnisnorm zur Verfügung. Wie bereits in der „alten Welt“ ist ein Anfangsverdacht i.S.d. § 152 StPO erforderlich, an den jedoch keine überzogenen Anforderungen gestellt werden dürfen.
Zureichende tatsächliche Anhaltspunkte für die Begehung einer Straftat liegen vor, wenn die vor der Datenverarbeitung vorliegenden Informationen und Anhaltspunkte einen Tatsachenkern in sich tragen, der die Begehung von Straftaten als möglich erscheinen lässt. Hierzu müssen noch keine prozessual verwertbaren Beweismittel vorliegen. Beweisanzeichen, Indizien und außerhalb des vermuteten Tatgeschehens liegenden konkrete Tatsachen können es nahelegen, dass ein strafbarer Verstoß vorliegt. Diese reichen aus, auch wenn Schlussfolgerungen zunächst auf Hypothesen beruhen und logisch hergeleitet sind oder aus kriminalistischen und kriminologischen Erfahrungssätzen herzuleiten sind. Im Gegensatz dazu reicht das bloße Vorliegen von Gerüchten, Vorurteilen oder Ahnungen für die Begründung eines strafprozessualen Anfangsverdachts nicht aus. Im Falle von Whistleblowing-Hinweisen sollte daher generell versucht werden, diese vor entsprechenden Dateneingriffen zu plausibilisieren und durch Heranziehung weiterer Informationen zu einem gewissen Grad zu verifizieren.
Auch muss sich der Anfangsverdacht zunächst noch nicht gegen einen einzelnen Beschuldigten, aber zumindest gegen eine bestimmbare, abgrenzbare Personenmehrheit richten. Die Bestimmbarkeit kann sich im Unternehmen aus äußeren Faktoren wie Zugangsbeschränkungen in bestimmten Bereichen, Nutzungs- und Zugangszeiten, z.B. im Schichtbetrieb oder anderen Abgrenzungsmerkmalen ergeben.
Im Falle der Ermittlung wegen Straftatenverdachts ist dieser Anfangsverdacht mit den entsprechenden Tatsachengrundlagen schriftlich zu dokumentieren und in die Interessenabwägung einzubeziehen. Eine solche Interessenabwägung hat auch im Rahmen des § 26 Abs. 1 Satz 2 stattzufinden, da auch der Anfangsverdacht einer Straftat keinen Automatismus unbegrenzter Datennutzung nach sich zieht.
Zwar wird die Aufklärung eines solchen Verdachts regelmäßig für die Zwecke der Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich sein, von der Feststellung der Angemessenheit der Datennutzung im Verhältnis zu den Persönlichkeitsrechten des Betroffenen entbindet der Straftatenverdacht gleichwohl nicht.
Untersuchungshandlungen auf Basis des Geldwäschegesetzes
Untersuchungshandlungen von Kredit- und Finanzinstituten auf der Basis des Geldwäschegesetzes und zur Betrugsprävention (gem. § 25 h Abs. 3 KWG und § 15 Abs. 3 Nr. 2 i.V.m. Abs. 5 GwG) sind darüber hinaus auf den Erlaubnistatbestand des Art. 6 Abs. 1 lit. c) – Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt – zu stützen, unabhängig von der Frage, ob die Untersuchungshandlung dem präventiven oder dem sachverhaltsaufklärenden Tätigkeitsbereich der zentralen Stelle im Institut zuzuordnen ist.
Für den Bereich der Geldwäscheprävention ließe sich darüber hinaus diskutieren, dass die Verpflichteten eine Aufgabe wahrnehmen, die gem. Art. 6 Abs. 1 lit. e) DSGVO im öffentlichen Interesse liegt, da hier durch Gesetz eine sehr weitgehende Aufgabenübertragung an die Verpflichteten als Privatrechtssubjekte erfolgt ist.
Untersuchungen, die nicht im Beschäftigungskontext stehen
Abschließend ist noch darauf hinzuweisen, dass § 26 Abs. 1 BDSG im Beschäftigungsverhältnis die Spezialvorschrift ist, daneben für die Datenverarbeitung zu Zwecken außerhalb des Beschäftigungsverhältnisses aber die übrigen Erlaubnistatbestände der DSGVO und des BDSG weiter anwendbar bleiben. Steht eine Untersuchung mithin nicht im Beschäftigungskontext, sondern dient z.B. der Abwehr von Betrugsattacken von außen oder der Verfolgung und Durchsetzung von Rechtsansprüchen nach der Aufdeckung solcher Vorgänge, kann auf die Erlaubnistatbestände des Art. 6 Abs. 1 lit. c) und lit. f) DSGVO zurückgegriffen werden. Dieser Rückgriff erlaubt dann auch Zugriff auf Daten eines im Beschäftigungsverhältnis stehenden Nutzers, der z.B. mit dem externen Tatverdächtigen kommuniziert hat.
Für den Bereich der Geldwäscheprävention ließe sich darüber hinaus diskutieren, dass die Verpflichteten eine Aufgabe wahrnehmen, die gem. Art. 6 Abs. 1 lit. e) DSGVO im öffentlichen Interesse liegt, da hier durch Gesetz eine sehr weitgehende Aufgabenübertragung an die Verpflichteten als Privatrechtssubjekte erfolgt ist.
Zugriff auf E-Mailkonten von Beschäftigten
Weiterhin nicht explizit geregelt ist der Zugriff auf E-Mailkonten von Beschäftigten im Rahmen von internen Untersuchungsmaßnahmen. Damit bleibt bis auf weiteres auch ungeklärt, ob der Arbeitgeber bei einer gestatteten Privatnutzung der betrieblichen E-Mailzugänge den Beschränkungen des Telekommunikations- bzw. Fernmeldegeheimnisses i.S.d. §§ 88 TKG, 203 StGB unterliegt, mit der Folge, dass ihm de facto jeder Zugriff auf die E-Mails der Mitarbeiter verwehrt wäre. Um die daraus resultierenden Unsicherheiten zu vermeiden und auch datenschutzrechtlich auf der sicheren Seite zu sein, ist es unerlässlich, den Umgang mit E-Mails im Unternehmen klar zu regeln und dabei entweder die private Nutzung vollständig auszuschließen oder aber davon abhängig zu machen, dass die Beschäftigten schriftlich in solche Zugriffe des Arbeitgebers für legitime Unternehmenszwecke einwilligen, die ohne Gestattung der Privatnutzung nach den oben skizzierten Maßstäben auf gesetzlicher Grundlage zulässig wären. Dass eine solche Einwilligung möglich und wirksam ist, weil sie den Beschäftigten mit der Gestattung der Privatnutzung einen Vorteil verschafft, hat der Gesetzgeber in der Begründung zu § 26 Abs. 2 BDSG ausdrücklich hervorgehoben.
Arbeitsrechtliche Mitbestimmungsrechte
Ergänzend sei darauf hingewiesen, dass im Kontext des Beschäftigtendatenschutzes die arbeitsrechtlichen Mitbestimmungsrechte des Betriebsrats unberührt bleiben und für die Vereinbarung kollektiver Regelungen § 26 Abs. 4 BDSG die Möglichkeit entsprechender Vertriebsvereinbarungen, z.B. zur Regelung elektronischer Compliance Kontrollen eröffnet.