DSGVO – Enge Grenzen bei Mitarbeiterüberwachung

Durch das Inkrafttreten der Datenschutzgrundverordnung (DSGVO) Ende Mai 2018 bleiben die Anforderungen an den Datenschutz bei einer internen Ermittlung unverändert hoch. Neu ist dagegen die drohende Geldbuße von mehreren Millionen Euro bei Nichteinhaltung der gesetzlichen Bestimmungen. Wie sich Unternehmen bei internen Untersuchungen gesetzeskonform verhalten, erläutert Anna-Katharina Horn, Rechtsanwältin und Leiterin des Bereichs Legal Services & E-Discovery bei reThinkLegal.

Durch eine interne Ermittlung wird das Verhalten der Mitarbeiter kontrolliert. Unternehmen ermitteln intern, um Lücken aufzudecken und vergangenes Fehlverhalten zu identifizieren. Mitarbeiter können nicht nur gegen interne Richtlinien verstoßen, sondern auch strafrechtlich relevantes Verhalten an den Tag gelegt haben. Beweise oder Indizien dieser Verstöße finden sich in der Korrespondenz, in Dokumenten und in sonstigen Unterlagen. Eine Sichtung dieser Daten ist für den Nachweis des Fehlverhaltens unumgänglich. Zur Durchführung einer internen Untersuchung müssen Daten (Emails, Dateien, etc.) des Mitarbeiters erhoben und verarbeitet, gegebenenfalls auch genutzt werden. Personenbezogene Daten des Mitarbeiters werden hiervon meistens miterfasst.

Der Schutz personenbezogener Daten
Dem Bundesdatenschutzgesetz (BDSG) liegen vier Prinzipien zugrunde: der Verhältnismäßigkeitsgrundsatz, der Zweckbindungsgrundsatz, das grundsätzliche Verbot des Erhebens und Verwendens personenbezogener Daten und das Transparenzgebot. Zu personenbezogenen Daten gehören sowohl nach altem BDSG als auch nach der DSGVO sämtliche Daten, die eine Person identifizieren können. Das sind beispielsweise Name, Geburtsdatum oder Kontonummer. Diese dürfen nur dann verwendet werden, wenn die Verantwortlichen nachweisen können, dass die Verwendung der Daten zur Aufklärung des Sachverhalts geeignet, erforderlich und angemessen ist.

Datenverwendung zur internen Ermittlung
Grundsätzlich sind diese personenbezogenen Daten besonders geschützt und dürfen nicht einfach ohne Weiteres verwendet werden. Das deutsche Datenschutzrecht erlaubte in bestimmten Fällen hiervon jedoch Ausnahmen. Zunächst konnte die betroffene Person ihre Einwilligung geben. Auch eine Rechtsvorschrift konnte als Legitimation dienen, sofern sie die Verwendung vorsah oder zwingend voraussetzte.

In Bezug auf eine betriebsbedingte Verwendung von personenbezogenen Daten hat der Gesetzgeber explizit Ausnahmen gewährt. Danach waren zum einen die Erhebung und Verwendung von Daten zum Zwecke der allgemeinen Verhaltens- und Leistungskontrollen erlaubt. Zum anderen durften bei konkreten Anhaltspunkten einer Straftat die Daten des betroffenen Mitarbeiters entsprechend verwendet werden. Auch eine Betriebsvereinbarung konnte die Verwendung personenbezogener Daten legitimieren. Das Nichtbefolgen dieser gesetzlichen Anforderungen hätte mit einer Geldbuße von bis zu 300 000 Euro geahndet werden können.

Neuerungen durch die DSGVO
Im nun geltenden Datenschutzrecht finden sich diese Voraussetzungen fast wortgleich wieder. Die rechtmäßige Verarbeitung personenbezogener Daten kann sich aus verschiedenen gesetzlich niedergeschriebenen Voraussetzungen ergeben, z. B. wenn die betroffene Person einwilligt oder ein öffentliches Interesse an der Verarbeitung besteht. Jedoch dürfen die Mitgliedstaaten die Anforderungen an die Datenverarbeitung im Rahmen eines Beschäftigtenverhältnisses selbst festlegen.

Der deutsche Gesetzgeber hat davon in dem neuen Bundesdatenschutzgesetz Gebrauch gemacht. Neben der europäischen DSGVO ist zeitgleich ein neues BDSG in Deutschland in Kraft getreten. Die Voraussetzungen im neuen deutschen Gesetz sind quasi wortgleich mit den bereits bekannten Voraussetzungen aus dem alten deutschen Gesetz. Danach darf ein Unternehmen für Zwecke des Beschäftigungsverhältnisses die Daten seiner Mitarbeiter verarbeiten. Im Weiteren darf der Arbeitgeber zur Aufdeckung einer Straftat personenbezogene Daten verarbeiten, wenn tatsächliche Anhaltspunkte den Verdacht hierzu begründen. Auch im Rahmen der DSGVO kann die Geschäftsleitung mit dem Betriebsrat in einer Betriebsvereinbarung die Sichtung der Mitarbeiterdaten regeln.

Eine wirkliche Änderung ist also nicht in den Voraussetzungen einer legitimen Verwendung personenbezogener Daten zu finden, sondern in der Sanktionierung einer illegitimen Verwendung. Denn bei Nichteinhaltung der Vorgaben drohen nun schmerzhafte Bußgelder in Höhe von bis zu 20 Mio. Euro.

Fazit
Um eine legitime interne Ermittlung durchzuführen, müssen das Erheben, das Verarbeiten und das Nutzen der personenbezogenen Daten rechtmäßig sein. Ein Datenschutzexperte sollte möglichst früh involviert und die jeweiligen Abwägungen, Erwägungen und Einschätzungen schriftlich dokumentiert werden. Nur so können die getroffenen Entscheidungen und die Verwendung personenbezogener Daten auch nachträglich überprüft und deren Rechtmäßigkeit bestätigt werden. An diesen Anforderungen hat sich auch durch die Einführung der DSGVO überhaupt nichts geändert. Es bleibt abzuwarten, wie die Datenschutzbehörden künftig Verstöße gegen die Anforderungen einer legitimen internen Untersuchung kontrollieren und sanktionieren werden.