Soll die Aufdeckung etwaiger Compliance-Verstöße nicht selbst zum Compliance-Fall werden, gilt es im Rahmen interner Ermittlungen einige Dinge zu beachten.
Es gibt verschiedene Gründe, aus denen Unternehmen interne Ermittlungen anstoßen. Auslöser können z. B. Hinweise aus der Belegschaft oder negative Presseberichte über (vermeintliche) Missstände innerhalb des Unternehmens sein. Auch die inhaltliche Stoßrichtung der Vorwürfe kann variieren und reicht von „lediglich“ unethischen Praktiken bis hin zu strafrechtlich relevantem Verhalten.
Datenauswertung unter Zeitdruck
Allen diesen Szenarien ist allerdings gemein, dass das Unternehmen zur faktischen Aufklärung und rechtlichen Bewertung der erhobenen Vorwürfe unter erheblichem Zeitdruck eine mitunter große Menge personenbezogener Daten auswerten muss. Die Stakeholder – und ggf. auch die Öffentlichkeit – erwarten eine rasche Aufklärung der Verdachtsmomente. Auch gilt es teilweise, einer Vernichtung relevanter Beweismittel zuvorzukommen und ein etwaiges Fehlverhalten möglichst schnell an die zuständigen Behörden zu melden.
Vor diesem Hintergrund besteht zu Beginn interner Ermittlungen die Versuchung, den Sachverhalt möglichst zügig und „unbürokratisch“ aufzuklären, um schnelle Fortschritte zu erzielen. Datenschutzrechtliche Vorgaben werden dabei vielfach als Hindernis wahrgenommen. Sollen die Ermittlungen allerdings nicht selbst zum Compliance-Problem werden, gilt es, dieser Versuchung zu widerstehen und die Datenschutzkonformität aller Ermittlungsmaßnahmen sicherzustellen. Anderenfalls drohen nicht nur behördliche Sanktionen, sondern auch Schadensersatzklagen der Betroffenen und Schwierigkeiten bei der arbeitsrechtlichen Ahndung etwaiger Verstöße, z. B. aufgrund von Beweisverwertungsverboten.
Ziel dieses Beitrags ist es daher, einen Überblick über die zentralen datenschutzrechtlichen Anforderungen zu geben, die es im Rahmen interner Ermittlungen zu beachten gilt:
Einbindung des Datenschutzbeauftragten
Sofern es im Unternehmen einen Datenschutzbeauftragten gibt, ist dieser in alle Überlegungen zur Durchführung interner Ermittlungen einzubeziehen. Besteht ein vertrauensvolles und konstruktives Verhältnis zum Datenschutzbeauftragten, kann das Unternehmen von dessen Expertise profitieren. Ist das Verhältnis dagegen von Konflikten geprägt, ist es erst recht sinnvoll (und rechtlich ohnehin geboten), den Datenschutzbeauftragten von Anfang an einzubinden, um spätere „Querschüsse“ zu vermeiden.
Bestimmung des Untersuchungszwecks
Mit Blick auf den datenschutzrechtlichen Grundsatz der Zweckbindung gilt es sodann, den konkreten Zweck der Ermittlungen zu definieren. Dabei sind die vermuteten Verstöße und die mutmaßlich verantwortlichen Personen von Beginn an so eindeutig wie möglich zu definieren. Ändern sich im Laufe der Untersuchung die Verdachtsmomente, ist auch der Untersuchungszweck entsprechend anzupassen. Die Voraussetzungen einer Zweckänderung gem. Art. 6 Abs. 4 DSGVO werden in den meisten Fällen erfüllt sein.
Eingrenzung der relevanten Datenbestände
Ausgehend von dem konkreten Untersuchungszweck sind im Anschluss diejenigen Datenbestände zu bestimmen, deren Auswertung mit Blick auf das Ermittlungsziel erforderlich erscheint. Dem Grundsatz der Datenminimierung folgend dürfen nur solche personenbezogenen Daten verarbeitet werden, deren Verarbeitung erforderlich ist, um den jeweiligen Verarbeitungszweck zu erreichen.
Soll z. B. das vermeintliche Fehlverhalten eines bestimmten Mitarbeiters im Jahr 2022 aufgeklärt werden, werden die Ermittlungen im Regelfall zunächst auf dieses Kalenderjahr und auf Daten des konkreten Mitarbeiters zu beschränken sein. Es wäre daher z. B. unzulässig, ohne ausreichende Verdachtsmomente die E-Mail-Postfächer aller Mitarbeiter auf bestimmte Stichwörter hin zu durchsuchen. Eine strikte Erforderlichkeitsprüfung ist auch bei der Befragung von Mitarbeitern und der Erhebung von Informationen aus öffentlichen Quellen geboten.
Auch für die Eingrenzung der relevanten Datenbestände gilt allerdings, dass diese dynamisch sein kann und den im Laufe der Ermittlungen zu Tage geförderten Erkenntnissen angepasst werden darf. Mit anderen Worten ist es also zulässig, den Umfang der zu untersuchenden Datenbestände zu erweitern, wenn der Fortgang der Ermittlungen dies erfordert.
Rechtmäßigkeitsprüfung: Auswertung der Daten zulässig?
Ist geklärt, welche Datenbestände zu welchem Zweck ausgewertet werden sollen, stellt sich die Frage nach der datenschutzrechtlichen Rechtsgrundlage für diese Auswertung.
Nur in der Theorie kommen Einwilligungen der Betroffenen und im Hinblick auf die Auswertung von Beschäftigtendaten zudem auch Kollektivvereinbarungen in Betracht. In der Praxis ist von einem einwilligungsbasierten Vorgehen abzuraten. Dies nicht zuletzt deshalb, weil Einwilligungen jederzeit frei widerruflich sind. Kollektivvereinbarungen, die sich als Grundlage für interne Ermittlungen eignen, existieren nur in seltenen Fällen. Auch eine gesetzliche Pflicht, interne Ermittlungen durchzuführen, wird allenfalls in seltenen Fällen bestehen.
Im absoluten Regelfall erfordert die datenschutzrechtliche Rechtfertigung interner Ermittlungen daher eine Interessenabwägung:
- Zur Aufdeckung von Straftaten kann sich das Unternehmen zur Verarbeitung von Beschäftigtendaten auf § 26 Abs. 1 Satz 2 BDSG stützen, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
- In allen übrigen Fällen ist mit Blick auf die jüngere Rechtsprechung des EuGH siehe EuGH, Urteil v. 30. März 2023 – C-34/21 zu § 23 Abs. 1 S. 1 HDSIG). davon auszugehen, dass statt § 26 Abs. 1 Satz 1 BDSG Art. 6 Abs. 1 lit. f) DSGVO auch für Beschäftigtendaten heranzuziehen ist und die Datenverarbeitung gerechtfertigt ist, solange dem berechtigten Interesse des Unternehmens an der Aufklärung des Sachverhalts keine überwiegenden Rechte und Interessen der Betroffenen entgegenstehen.
Erstrecken sich die internen Ermittlungen auch auf besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO, kommen insoweit insbesondere Art. 6 Abs. 1 lit. f) DSGVO i. V. m. Art. 9 Abs. 2 lit. f) DSGVO und § 26 Abs. 3 Satz 1 BDSG als Rechtsgrundlagen in Betracht.
Auswertung von E-Mail-Postfächern
Soll im Rahmen der internen Ermittlungen – wie in vielen Fällen – auch eine Auswertung des Inhalts eines oder mehrerer E-Mail-Postfächer erfolgen, stellt sich neben der Frage der datenschutzrechtlichen Rechtfertigung dieser Datenverarbeitung die zusätzliche Frage, ob der Zugriff auf die E-Mail-Postfächer mit der Wahrung des Fernmeldegeheimnisses vereinbar ist. Das ist jedenfalls dann der Fall, wenn das Unternehmen die private Nutzung des E-Mail-Postfachs wirksam ausgeschlossen hat. Hat das Unternehmen die Privatnutzung seinen Beschäftigten demgegenüber ausdrücklich oder implizit gestattet, ist die Rechtslage nach wie vor nicht abschließend geklärt. Einige Gerichte sind in der Vergangenheit davon ausgegangen, dass der Arbeitgeber in diesem Fall dem Fernmeldegeheimnis unterliegt und somit nicht auf die E-Mails seiner Beschäftigten zugreifen darf. Zwar sprechen die überzeugenderen Argumente gegen diese Sichtweise. Es ist aber in jedem Fall ratsam, eine Risikobewertung vorzunehmen.
Datenschutz-Folgenabschätzung
Gehen mit einer bestimmten Verarbeitung personenbezogener Daten besonders hohe Risiken für die betroffenen Personen einher, ist das Unternehmen gesetzlich dazu verpflichtet, eine sogenannte Datenschutz-Folgenabschätzung durchzuführen und diese zu dokumentieren. Die Erstellung einer Datenschutz-Folgenabschätzung wird im Hinblick auf interne Ermittlungen nicht immer erforderlich sein. Dies wird vielmehr insbesondere davon abhängen, wie umfangreich die relevanten Datenbestände sind. Dennoch ist es sinnvoll, im Einzelfall zu prüfen und ggf. zu dokumentieren, warum keine Verpflichtung besteht, eine Datenschutz-Folgenabschätzung durchzuführen.
Einbindung externer Dienstleister
Im Rahmen größerer interner Ermittlungen werden häufig externe Dienstleister einbezogen. Dies können zum Beispiel spezialisierte Rechtsanwaltskanzleien oder Forensikexperten sein. Sofern unternehmensexterne Dritte Zugriff auf personenbezogene Daten des Unternehmens haben, sollte sichergestellt werden, dass diese Zugriffe rechtskonform sind. Zu diesem Zweck sollte geprüft werden, in welchem Verhältnis (Auftragsverarbeitung, eigenständige Verantwortlichkeit) die externen Dienstleister zu dem Unternehmen stehen und ob die externen Dritten bereits einer gesetzlichen Verschwiegenheitsverpflichtung unterliegen oder ob eine solche vertraglich vereinbart werden sollte.
Erfüllung von Informationspflichten
Dem Grunde nach sind die betroffenen Personen von der Verarbeitung ihrer Person bezogenen Daten im Rahmen der internen Ermittlungen zu informieren. Wurden die Daten – wie im Regelfall – von den Betroffenen selbst erhoben, ergibt sich dies aus Art. 13 DSGVO; im Fall einer zweckändernden Verarbeitung in der Vergangenheit erhobener Daten aus Art. 13 Abs. 2 DSGVO. Werden personenbezogene Daten im Rahmen der Ermittlungen aus anderen Quellen erhoben, folgt die Informationspflicht aus Art. 14 DSGVO. Sind die Betroffenen über die Ermittlungen ohnehin informiert, z. B., weil bereits Interviews mit ihnen geführt wurden, ist die Erfüllung der Informationspflicht für das Unternehmen in der Regel unproblematisch.
Etwas anderes gilt allerdings dann, wenn eine sofortige Information des verdächtigten Personenkreises den Ermittlungserfolg gefährden würde. In diesen Fällen ist zu prüfen, ob die Information der Betroffenen auf Basis der in §§ 29, 32 und 33 BDSG normierten Ausnahmetatbestände ausnahmsweise entbehrlich ist.
Gerichtsfeste Dokumentation
Mit Blick auf den datenschutzrechtlichen Grundsatz der Rechenschaftspflicht ist die Erfüllung der Pflichten gemäß Ziff. 1-7 zuletzt gerichtsfest zu dokumentieren. Wird keine Datenschutz-Folgenabschätzung erstellt, sind insbesondere die Interessenabwägungen gem. § 26 Abs. 1 BDSG und Art. 6 Abs. 1 lit. f) DSGVO zu dokumentieren. Auch hier gilt es, diszipliniert zu bleiben: Wenngleich die Versuchung, den „Papierkram“ im Eifer des Gefechts zunächst liegen zu lassen, verständlich ist, handelt es sich bei der Dokumentationspflicht doch um eine bedeutsame eigenständige Rechtspflicht. Überspitzt gesagt ist es wenig wert, sich während der internen Ermittlungen an alle datenschutzrechtlichen Vorgaben zu halten, wenn man dies im Nachhinein nicht nachweisen kann. Auch bei einem Verstoß gegen die Dokumentationspflicht drohen mitunter empfindliche behördliche Sanktionen.
Unternehmensinterne Richtlinie für die Durchführung interner Ermittlungen erstellen
Das Thema Datenschutz spielt im Rahmen von internen Ermittlungen eine wichtige Rolle. Um für den „Fall der Fälle“ gerüstet zu sein, sind Unternehmen gut beraten, eine unternehmensinterne Richtlinie für die Durchführung interner Ermittlungen zu erstellen, die die bestehenden datenschutzrechtlichen Vorgaben berücksichtigt.