Arbeitnehmerdatenschutz bei internen Untersuchungen

I. Einleitung

Interne Untersuchungen oder Internal Investigations beschreiben einen maßgeblichen Teilbereich eines modernen Compliance Management Systems. Sofern ein Unternehmen Kenntnis über mögliche Rechtsverstöße erhält, sei es in wirtschaftskrimineller Hinsicht oder auch durch persönliches Fehlverhalten einzelner Mitarbeiter, bedarf es einer internen Untersuchung, um diese Vorwürfe aufzuklären. Diese Kenntnis kann auf vielfältige Weise erlangt werden, beispielsweise durch Hinweisgeber, Auffälligkeiten im Rahmen einer internen Revision oder schlicht Zufall. Das prominente Beispiel einer umfangreichen internen Untersuchung ist der Abgasskandal bei VW beginnend im Jahr 2015.

Der Ablauf einer internen Untersuchung lässt sich grob in vier Phasen unterteilen. In der ersten Phase wird der Vorwurf analysiert. Im Anschluss daran wird in der zweiten Phase ein Untersuchungsplan erstellt. Hierbei setzt das Unternehmen ein Untersuchungsteam ein, dass die Vorwürfe überprüfen soll. Dieses Team kann aus eigenen Mitarbeitern und/oder externen Beratern bestehen. Der Untersuchungsplan beinhaltet die zeitliche, inhaltliche und personelle Organisation der Untersuchung. Im Anschluss daran erfolgt als dritte Phase die eigentliche interne Untersuchung mit Datensammlung und -auswertung, E-Discovery, Interviews etc. Den Abschluss bildet die Auswertung der Ergebnisse als vierte Phase, typischerweise dargestellt in einem Abschlussbericht.

Insbesondere während der dritten Phase müssen die Vorgaben des Datenschutzes, insbesondere des Arbeitnehmerdatenschutzes berücksichtigt werden. Verstöße gegen datenschutzrechtliche Bestimmungen können zu erheblichen Sanktionen führen. Neben zivilrechtlichen Ansprüchen betroffener Arbeitnehmer auf Unterlassung und Schadensersatz, drohen unter Umständen scharfe Konsequenzen im Bereich des Straf- und Ordnungswidrigkeitenrechts. 

Wo genau das Spannungsfeld in Bezug auf Arbeitnehmerdatenschutz bei internen Untersuchungen liegt und wie dieses aufgelöst werden kann, soll in diesem Beitrag behandelt werden. Vor der Durchführung von Untersuchungsmaßnahmen sollte daher stets geprüft werden, ob die geplanten Maßnahmen in Hinblick auf die Wahrung des Datenschutzes zulässig sind. Daneben soll der Frage nachgegangen werden, inwieweit Arbeitnehmern Informationsrechte nach der Datenschutzgrundverordnung (DSGVO) zustehen und in welchem Umfang sie Auskunft über ihre verarbeiteten Daten verlangen können.
 

II. Festlegung des Verarbeitungszwecks

Der erste wichtige Schritt bei der Einleitung von internen Untersuchungen ist die Festlegung des Verarbeitungszwecks. Nach Art. 5 Abs. 1 lit. b DSGVO muss dieser bereits vor Einleitung der Untersuchungsmaßnahmen feststehen und so konkret umschrieben werden, dass sämtliche Beteiligte erkennen können, welche Verarbeitungen erfolgen dürfen und welche nicht. Pauschale Zweckangaben wie „Compliance-Maßnahmen“ oder „Betriebsinterne Ermittlungen“ sind nicht ausreichend. 

III. Ermächtigungsgrundlagen für die Datenverarbeitung

Da jede Verarbeitung von personenbezogenen Daten einen Eingriff in das grundrechtlich geschützte allgemeine Persönlichkeitsrecht des Betroffenen darstellt, bedarf es hierfür einer Ermächtigungsgrundlage. Als solche kommen die Einwilligung des Betroffenen sowie gesetzliche Ermächtigungsgrundlagen in Betracht. Unter Umständen können auch Kollektivvereinbarungen, wie Betriebsvereinbarungen, als datenschutzrechtliche Ermächtigungsgrundlage dienen. Der Gestaltungsspielraum ist hier jedoch begrenzt, da das Schutzniveau der DSGVO und des Bundesdatenschutzgesetzes (BDSG) durch die Kollektivvereinbarung nicht abgesenkt werden darf.

1.     Einwilligung

Ob die Einwilligung eine taugliche Rechtsgrundlage darstellt, hängt stark vom Einzelfall ab. Dem Einwilligungsersuchen kann unter Umständen eine unerwünschte Warnfunktion zukommen, die den Untersuchungserfolg gefährdet. Aufgrund des naturgemäß bestehenden Ungleichgewichts zwischen den Parteien im Arbeitsverhältnis, bestehen zudem an der Freiwilligkeit der Einwilligung oft Zweifel. Daher sollte drauf geachtet werden, dass bei dem betroffenen Arbeitnehmer nicht der Eindruck entsteht, er müsse im Falle einer Verweigerung der Einwilligung mit (faktischen) Nachteilen rechnen. Auch die jederzeitige Widerruflichkeit der Einwilligung schmälert eher deren Attraktivität als datenschutzrechtliche Ermächtigungsgrundlage.

2.     Gesetzliche Ermächtigungsrundlagen

Gesetzliche Ermächtigungsgrundlagen für die Verarbeitung von Arbeitnehmerdaten – sowohl zur Aufklärung strafrechtlich relevanter Handlungen als auch arbeitsvertraglicher Pflichtverletzungen – sind in § 26 Abs. 1 BDSG sowie in Art. 6 DSGVO zu finden.

Unabhängig davon, auf welcher gesetzlichen Ermächtigungsgrundlage die Datenverarbeitung beruht, muss diese stets verhältnismäßig sein. Ein wichtiges Kriterium hierbei ist die Erforderlichkeit. Der Zweck der Maßnahme darf nicht in zumutbarer Weise durch andere, mildere Mittel erreicht werden können. Dies muss bei der Auswahl der Untersuchungsmaßnahme berücksichtigt werden. Dabei ist zu prüfen, welches die am wenigsten invasive Maßnahme zur Erreichung des Untersuchungszwecks ist. Des Weiteren ist eine Abwägung der schutzwürdigen Interessen der Betroffenen vorzunehmen. Hierbei ist das Aufklärungsinteresse des Arbeitgebers dem Interesse des betroffenen Arbeitnehmers am Schutz seiner personenbezogenen Daten gegenüberzustellen. Die Interessenabwägung ist stets anhand der Umstände des konkreten Einzelfalls vorzunehmen. Auf Seiten des Arbeitgebers sind der im Raum stehende Vorwurf sowie der jeweilige Verdachtsgrad im Rahmen interner Untersuchungen wichtige Abwägungskriterien.

IV. Durchsuchen von E-Mail-Postfächern

In einer Vielzahl von Fällen rückt die E-Mail-Korrespondenz der Arbeitnehmer in den Fokus interner Untersuchungen. In der Praxis werden oft drohende Compliance-Risiken, wie Insiderhandel, Untreue oder illegale Geschäfte durch eine Analyse des E-Mail-Verkehrs – entweder durch die einfache Durchsicht des E-Mail-Postfachs oder E-Discovery, z.B. der Suche nach bestimmten Stichworten – aufgedeckt.

E-Mails enthalten im Regelfall personenbezogene Daten, so dass es für die Durchsuchung der E-Mail-Postfächer einer datenschutzrechtlichen Ermächtigungsgrundlage bedarf (vgl. oben). Soweit der Arbeitgeber die private Nutzung des dienstlichen E-Mail-Postfachs gestattet oder diese zumindest duldet, ist umstritten, ob er in diesem Fall als Dienstanbieter von Kommunikationsleistungen anzusehen ist und damit dem Fernmeldegeheimnis nach § 3 Abs. 1 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) unterliegt. Das Fernmeldegeheimnis verbietet grundsätzlich die Durchsicht des E-Mail-Postfachs durch den Arbeitgeber. Allenfalls in Ausnahmefällen soll ein Zugriffsrecht bestehen, z.B. bei einem konkreten Verdacht einer Straftat oder wenn durch die Untersuchung erhebliche oder gar für das Unternehmen existentielle Missstände aufgeklärt werden sollen.

Die arbeitsgerichtliche Rechtsprechung verneint inzwischen weit überwiegend die Anwendbarkeit des Fernmeldegeheimnisses auf gemischt genutzte E-Mail-Postfächer. Der Umstand, dass das E-Mail-Postfach auch privat genutzt wird, muss jedoch im Rahmen der Interessenabwägung Berücksichtigung finden. Mangels Vorliegens höchstrichterlicher Rechtsprechung, sollten Unternehmen jedoch bei der Untersuchung gemischt genutzter E-Mail-Postfächer Vorsicht walten lassen. Rechtswidrige Eingriffe in das Fernmeldegeheimnis sind nach § 206 Strafgesetzbuch (StGB) strafbar und werden mit einer Freiheitsstrafe von bis zu fünf Jahren oder einer Geldstrafe belangt. Aufgrund des Strafbarkeitsrisikos sollte von den betroffenen Arbeitnehmern zwingend eine Einwilligung eingeholt werden. Diese schließt als Rechtfertigungsgrund die Rechtswidrigkeit und damit die Strafbarkeit der Handlung – zumindest im Verhältnis zwischen Arbeitgeber und Arbeitnehmer – aus.

V. Informationspflichten im Rahmen interner Untersuchungen

Die DSGVO enthält zudem Informationspflichten, die Unternehmen im Zusammenhang mit internen Untersuchungen zwingend beachten müssen.

Diese sind in den Art. 13 und 14 DSGVO geregelt. Betroffene sind vor bzw. zum Zeitpunkt der Erhebung der personenbezogenen Daten zu informieren. Bei der Erlangung von Informationen von Dritten (z.B. von anderen Arbeitnehmern) hat dies gemäß Art. 14 Abs. 3 DSGVO spätestens nach einem Monat zu erfolgen. In Einzelfällen können Ausnahmen von der Informationspflicht bestehen, wenn eine Ermittlungsmaßnahme ansonsten nicht mehr durchgeführt werden könnte und der Ermittlungszweck vereitelt würde oder wenn besondere Geheimhaltungspflichten, bspw. nach dem Hinweisgeberschutzgesetz (HinSchG) bestehen. Ob eine Ausnahme greift, hängt davon ab, welches Interesse im konkreten Fall überwiegt.

VI. Auskunftsansprüche im Rahmen interner Untersuchungen

Zudem können von Untersuchungsmaßnahmen betroffene Arbeitnehmer Auskunftsansprüche gemäß Art. 15 DSGVO hinsichtlich der von ihnen verarbeiteten personenbezogenen Daten geltend machen. Ein solches Ersuchen kann für Unternehmen einen erheblichen Arbeitsaufwand und ein juristisches Risiko bedeuten. Jedoch bestehen auch hier Ausnahmen von der Auskunftspflicht. Beispielsweise, wenn Drittinteressen, z.B. beim Whistleblowing, einer Offenbarung bestimmter Informationen entgegenstehen oder die Grenzen des Rechtsmissbrauchs überschritten werden. Die Hürden der Annahme eines Rechtsmissbrauchs sind jedoch sehr hoch.

VII. Praxistipps

Arbeitgeber sind gut beraten, bereits in der Planungsphase interner Untersuchungen fachmännischen Rat einzuholen, um Datenschutzverstöße und die dadurch drohenden Konsequenzen möglichst zu vermeiden. 

Datenschutzhinweise für Compliance-Maßnahmen bzw. mögliche Untersuchungsmaßnahmen können Arbeitnehmern schon bei Beginn des Beschäftigungsverhältnisses in Form von Basisinformationen zur Verfügung gestellt werden. Damit können die Informationspflichten bereits recht umfassend erfüllt werden und müssen zu einem späteren Zeitpunkt nur noch um konkrete Informationen für den Einzelfall ergänzt werden. Mitarbeiter oder Dritte, die Ermittlungen durchführen, sollten darüber hinaus konkrete Handlungsanweisungen zum Datenschutz erhalten. 

Aufgrund der umstrittenen Rechtslage sollten sich Arbeitgeber gut überlegen, ob sie ihren Arbeitnehmern die private Nutzung des dienstlichen E-Mail-Postfachs gestatten. Sofern die Nutzung gestattet wird, sollte diese umfassend geregelt werden und u.a. vorzugsweise nur unter der Bedingung gestattet werden, dass der Arbeitnehmer in entsprechende Kontrollen einwilligt. 

Stand: Juni 2024