Die Beauftragte für den Datenschutz und die Informationsfreiheit

Compliance und Datenschutz

Compliance und Datenschutz werden häufig als unterschiedliche, teils gegensätzliche Anforderungen und Unternehmen verstanden. Richtig verstanden und angewendet zielen beide allerdings darauf ab, Schaden vom Unternehmen abzuwenden.

Der Deutsche Corporate Governance Kodex (DCGK – abgedruckt Bundesanzeiger AT 30.09.2014 B1) bezeichnet mit Compliance die Verantwortung des Vorstands eines Unternehmens für die zu sorgen (Nr. 4.1.3 DCGK). Zu den unternehmensinternen Richtlinien gehören freiwillige Kodizes, wie etwa sog. BCRs (Binding Corporate Rules) und weitere von den Unternehmen selbst erlassene (ethische) Standards und Anforderungen. Letztlich fällt auch die Einhaltung datenschutzrechtlicher Bestimmungen unter den Begriff Compliance, da das Unternehmen auch datenschutzrechtliche gesetzliche und untergesetzliche Bestimmungen einzuhalten hat.

Der DCGK wurde zwar von der Bundesregierung im Jahr 2001 initiiert, ist aber eine von ihr unabhängige Selbstregulierungsmaßnahme der Wirtschaft. Der DCGK und seine späteren Änderungen werden im elektronischen Bundesanzeiger durch das Bundesministerium der Justiz veröffentlicht. Daneben verpflichtet das Aktiengesetz börsennotierte Gesellschaften zu einer jährlichen Erklärung, dass den Empfehlungen des DCGK entsprochen wird oder welche Empfehlungen aus welchem Grund nicht berücksichtigt wurden (§ 161 Aktiengesetz – AktG). Weitere Regelungen, die Compliance fordern, finden sich beispielsweise in § 91 Absatz 2 AktG, wonach der Vorstand einer Aktiengesellschaft zur Einrichtung eines Überwachungssystems verpflichtet wird, oder in § 130 Ordnungswidrigkeitengesetz (OwiG), der eine bußgeldbewehrte Aufsichtspflicht statuiert. Hinzu kommen beispielsweise das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das Transparenz- und Publizitätsgesetz (TransPuG) sowie zahlreiche weitere Gesetze. Auch die Richtlinie der Bundesregierung zur Korruptionsbekämpfung in der Bundesverwaltung stellt eine weitere Rechtsgrundlage für Maßnahmen der Compliance dar.

Allerdings wird der Begriff Compliance lediglich mit Korruptionsbekämpfung gleichgesetzt. Dies ist sicherlich ein sehr wichtiger Bestandteil von Compliance. Tatsächlich gehen die Zwecke der Compliance und die Maßnahmen zu ihrer Verwirklichung aber viel weiter. Denn Compliance bedeutet, Unternehmen und deren Beschäftigte müssen sich insgesamt rechtmäßig verhalten.

Compliance kann ein großes Bündel von Maßnahmen umfassen, die sowohl präventive als auch repressive Elemente enthalten. So fallen darunter z. B. Schulungen von Mitarbeitern, die Einhaltung gesetzlicher Dokumentationspflichten, die Einrichtung einer Whistleblowing-Hotline, elektronische Datenabgleiche von Stammdaten der Beschäftigten mit denen von Lieferanten des Unternehmens (sog. Screening), die Videoüberwachung am Arbeitsplatz oder die Kontrolle der E-Mail- und Internet-Nutzung durch die Beschäftigten.

Die Maßnahmen zur Compliance müssen selbst rechtmäßig sein. Sie dürfen gesetzliche Vorschriften, zu denen auch die datenschutzrechtlichen Bestimmungen gehören nicht verletzen. Da die Maßnahmen aber häufig die Erhebung oder Verarbeitung von Beschäftigtendaten erfordern, entstehen hierdurch Konflikte zwischen Compliance-Management und Beschäftigtendatenschutz. Für eine Compliance-Maßnahme bedarf es daher stets einer Rechtsgrundlage, die den Eingriff in das Recht auf informationelle Selbstbestimmung der Beschäftigten rechtfertigt sowie eine Abwägung zwischen den grundrechtlich geschützten Positionen von Arbeitgeber und Arbeitnehmern.

Eine Rechtsgrundlage kann in § 32 Absatz 1 Satz 2 BDSG bzw. ab dem 25. Mai 2018 in § 26 Absatz 1 Satz 2 BDSG-neu liegen, sofern es um eine repressive Maßnahme geht, das heißt, wenn bereits zu dokumentierende tatsächliche Anhaltspunkte vorliegen, die den Verdacht begründen, ein Beschäftigter habe eine Straftat im Beschäftigungsverhältnis begangen. Das Gesetz verlangt in jedem Einzelfall die Vornahme einer Verhältnismäßigkeitsprüfung, in deren Rahmen abzuwägen ist, ob das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung seiner Daten gegenüber dem Aufklärungsinteresse des Arbeitgebers überwiegt.

Zur Durchführung einer wirksamen Compliance gehört aber nicht nur die Aufklärung von Straftaten im Unternehmen, sondern auch, solche von vornherein zu verhindern. Für Maßnahmen, die diesem Zweck dienen, kann § 32 Absatz 1 Satz 2 BDSG bzw. § 26 Absatz 1 Satz 2 BDSG-neu nicht als Rechtsgrundlage herangezogen werden, da es an dem hierfür notwendigen Verdacht fehlt. Als Rechtsgrundlage für den Eingriff in das informationelle Selbstbestimmungsrecht der Beschäftigten kommt aber eine gesetzliche Grundlage oder eine Dienstvereinbarung in Betracht. Nach § 32 Absatz 1 Satz 1 BDSG bzw. § 26 Absatz 1 Satz 1 BDSG-neu dürfen personenbezogene Daten für Zwecke des Beschäftigungsverhältnisses unter anderem dann erhoben, verarbeitet oder genutzt werden, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Dass hierunter auch Maßnahmen zur Verhinderung von Straftaten oder sonstigen Rechtsverstößen des Beschäftigten fallen können, die im Zusammenhang mit dem Beschäftigungsverhältnis stehen, ergibt sich aus der Gesetzesbegründung zu § 32 BDSG. Wichtig ist jedoch, dass die Vorschrift im Zusammenhang mit dem soeben dargestellten § 32 Absatz 1 Satz 2 BDSG gesehen werden muss. Dieser verlangt eine strikte Verhältnismäßigkeitsprüfung, wenn Anhaltspunkte für eine Straftat bestehen. Im Gegensatz hierzu bestehen bei präventiven Maßnahmen nicht einmal solche Anhaltspunkte. Dennoch sieht das Gesetz eine Verhältnismäßigkeitsprüfung nicht explizit vor. Doch wenn repressive Maßnahmen unter dem Vorbehalt der Abwägung stehen, dann kann für präventive, das heißt verdachtsunabhängige Maßnahmen nichts anderes gelten. Auch vor der Einführung einer präventiven Maßnahme muss also stets die Verhältnismäßigkeit geprüft werden.

Wie die Abwägung im Einzelfall ausfallen wird, hängt insbesondere von der Intensität des Eingriffs in das informationelle Selbstbestimmungsrecht der betroffenen Beschäftigten ab. Diese wiederum variiert je nach Art der Maßnahme und der Art ihrer Durchführung. Umfassende Rechtsprechung existiert diesbezüglich speziell zu der Frage der Zulässigkeit der Videoüberwachung am Arbeitsplatz. Generell ist ein wichtiger Faktor, ob die Maßnahme offen oder verdeckt durchgeführt wird. Zudem ist zu prüfen, ob dem Grundsatz der Datensparsamkeit genüge getan ist. Oft wird eine Datenanalyse zunächst auch mithilfe pseudonymisierter Daten durchführbar sein. All dies sind Fragen, die in die Verhältnismäßigkeitsprüfung mit einzufließen haben.

Häufig beschäftigen Unternehmen mittlerweile Compliance-Beauftragte, die in einigen Unternehmen auch „Compliance Officer (CO)“ genannt werden. Sie werden unter anderem mit der Überwachung und Bewertung von Compliance-Maßnahmen, der Unterstützung der Arbeitnehmer in Bezug auf die Einhaltung der Compliance-relevanten Pflichten und der Berichterstattung an die Unternehmensleitung betraut. Bei Compliance-Maßnahmen sollte darüber hinaus stets der betriebliche Datenschutzbeauftragte mit eingebunden werden, sowohl bei der Durchführung einer konkreten repressiven als auch bei der Planung einer präventiven Maßnahme. Denn der betriebliche Datenschutzbeauftragte hat einerseits die Aufgabe, darauf zu achten, dass Compliance-Maßnahmen datenschutzgerecht ausgestaltet sind, andererseits ist er auch der richtige Ansprechpartner, wenn es um Compliance bezüglich der Umsetzung datenschutzrechtlicher Vorgaben selbst geht. Eine enge Zusammenarbeit mit dem Compliance-Beauftragten ist daher erforderlich.

weitere Informationen: