Datenschutz und Korruptionsprävention

Im Rahmen der Beratung von Unternehmen bei der Bekämpfung und Aufklärung von Korruption und Wirtschaftskriminalität spielt der Datenschutz eine immer größere Rolle. Eine Unternehmenspolitik der Transparenz (im Rahmen sog. Compliance-Richtlinien) darf die Belange der Arbeitnehmer und des Datenschutzes nicht aus den Augen verlieren. Das berechtigte Interesse eines Unternehmens, Straftaten im Betrieb aufzuklären, darf nicht dazu führen, Mitarbeiter auszuspionieren. Diese Gefahr rückte im Zuge durch bekannt gewordene Überwachungsmaßnahmen bei der Deutschen Bahn, der Telekom und bei Lidl ins öffentliche Bewusstsein. Der Gesetzgeber reagierte umgehend auf die Problematik und schuf im Rahmen der Bundesdatenschutznovelle vom 01.09.2009 eine Regelung für den Arbeitnehmerdatenschutz. Der neu eingeführte § 32 BDSG wird auch als "Grundsatzregelung zum Datenschutz der Arbeitnehmer" bezeichnet.

§ 32 BDSG
(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.
(3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.

Durch die Neueinführung des § 32 BDSG wurden die bisher durch die Rechtsprechung erarbeiteten Grundsätze des Datenschutzes im Beschäftigungsverhältnis kodifiziert. Insbesondere wurde in § 32 I S.2 BDSG eine Sonderregelung für die Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten zur Aufdeckung von Straftaten (z.B. Diebstahl und Korruption) eingeführt. Hier gelten nun erhöhte Anforderungen. Die zu einer effektiven Compliance notwendige, schon im Vorfeld stattfindende Verhinderung von Straftaten und sonstigen Rechtsverstößen die im Zusammenhang mit dem Beschäftigungsverhältnis stehen (präventive Maßnahmen), soll laut Gesetzgeber nach der allgemeinen Regelung des § 32 I S. 1 BDSG zu beurteilen sein. In diesem Fall muss der Vorgang für die Durchführung des Beschäftigungsverhältnisses lediglich erforderlich sein. Im Schrifttum wird jedoch vereinzelt gefordert, dass auf Grund des systematischen Zusammenhangs zu § 32 I S.2 BDSG auch bei präventiven Vorgängen die strengeren Voraussetzungen des S. 2 eingehalten werden müssen.

§ 32 II BDSG macht zudem eine Ausnahme von dem Grundsatz, dass das BDSG nur auf automatisierte Daten anwendbar ist. Der Arbeitgeber hat das BDSG nun also auch dann zu beachten wenn es um Daten in Personalakten oder schlichte Telefonnotizen über einen Beschäftigten geht.

Zusammenfassend bleibt auch mit der Neuregelung des § 32 BDSG die Datenerhebung, -verwendung und -nutzung zur Aufklärung von Fehlverhalten der Beschäftigten möglich. Die Aufklärung von beschäftigungsbezogenen Straftaten soll im konkreten Einzelfall zulässig sein, setzt jedoch bestimmte Verdachtsmomente voraus.

Die Bereitstellung sog. Whistleblowing-Hotlines bzw. eines Ombudsmannes zur Korruptionsprävention (www.ombudsmann-strafrecht.de) ist grundsätzlich auch nach der Einführung des § 32 I S.2 BDSG möglich. Bei der Einführung eines entsprechenden Compliance-Programmes darf der Datenschutz jedoch nicht außer Betracht bleiben. Es ist eine individuelle Konzeption erforderlich, die an die jeweiligen betrieblichen Verhältnisse angepasst wird.

Eine allgemeine Datenerhebung beschäftigungsunabhängiger Details aus dem Leben eines Arbeitnehmers wie z.B. ehelich Untreue oder homosexueller Neigungen ist nach § 32 BDSG nicht erlaubt.

Heimliche Maßnahmen sind nur in Ausnahmefällen erlaubt. Um die Verhältnismäßigkeit zu wahren, ist hier insbesondere die Sicherstellung der Vertraulichkeit der Meldung zu gewährleisten und eine organisatorische Trennung der Compliance-Abteilung von der Personalabteilung vorzunehmen.

Verdecktes Massen-Datenscreening ist nach neuer Rechtslage eindeutig unzulässig. Es gibt keinen Generalverdacht gegen alle Mitarbeiter eines Betriebes. Ein Klima des Misstrauens soll vermieden werden.

Lesen Sie zu dieser Thematik auch das Interview mit Dr. Tobias Rudolph im Magazin "Wirtschaft in Mitelfranken" der IHK Nürnberg:
"Lieber Transparenz statt Überwachungsstaat"
schatten