Betrugs- und Korruptionsbekämpfung zur Herstellung von Compliance - Arbeits- und datenschutzrechtliche Sicht
Beitrag in
Der Betrieb Nr. 22, 4. Juni 2010, S. 1235 ff.
von Rechtsanwalt Sebastian Heldmann LL.M.
RA Sebastian Heldmann LL.M., Oldenburg (Oldb)
Betrugs- und Korruptionsbekämpfung zur Herstellung von Compliance aus arbeits- und datenschutzrechtlicher Sicht
I. Einleitung
Doch bei der Implementierung von Überwachungssystemen stecken Unternehmen in einem Dilemma: Auf der einen Seite unterliegen sie der Verpflichtung zur Herstellung von Compliance; kommen die Organe einer Aktiengesellschaft dieser Verpflichtung nicht nach, haften sie gem. § 93 Abs. 2 AktG für den Fall eines unzureichenden Risiko- bzw. Compliance-Managements sogar persönlich und gesamtschuldnerisch gegenüber dem Unternehmen. Auf der anderen Seite sind bei der Einführung von Überwachungsmaßnahmen zahlreiche Vorschriften des Arbeitsrechts und des Datenschutzrechts zu beachten, bei deren Missachtung gleichermaßen erhebliche Konsequenzen drohen, die von Unterlassungs- und Schadensersatzansprüchen bis hin zu strafrechtlichen Sanktionen reichen.[1] Unternehmensleitungen bewegen sich also auf einem schmalen Grad, wenn sie einerseits effiziente Compliance-Systeme implementieren müssen, dabei aber die Rechte der zu überwachenden Personen streng zu wahren haben. Der genauen Analyse, wozu die Pflichten zur Implementierung von Überwachungssystemen berechtigten und welche Grenzen aus Schutzgesetzen zu beachten sind, hat für das Compliance-Management folglich eine erhebliche Bedeutung.
II. Compliance: Teil der Good Corporate Governance
Grundzüge einer Compliance-Organisation lassen sich aus den Regelungen des § 91 Abs. 2 AktG entnehmen. Nach der Gesetzesbegründung des KonTraG[4] strahlt die aktienrechtliche Pflicht zum Risikomonitoring aus § 91 Abs. 2 AktG auch auf andere Kapitalgesellschaften aus, sodass sich eine Pflicht zum Aufbau eines Risikomanagements - je nach ihrer Größe und Struktur - auch für die GmbH aus § 43 Abs. 1 GmbHG oder die Genossenschaft aus § 34 GenG ergibt.[5] Die rechtsdogmatische Anknüpfung ist aber wohl nicht die ‚Ausstrahlungswirkung‘ des § 91 Abs. 2 AktG, sondern eher die allgemeine Sorgfaltspflicht des Kaufmanns, wie sie sich schon in § 347 HGB finden lässt.
§ 91 Abs. 2 AktG begründet die Pflicht des Vorstands, Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.[6] Auch unterhalb einer Existenzbedrohung greifen verbindliche Vorgaben für die Errichtung und den Betrieb einer Compliance-Organisation. So bestimmt § 130 OWiG eine Verpflichtung der Unternehmensleitung zur Ergreifung von Aufsichtsmaßnahmen, um Verstöße durch Mitarbeiter gegen betriebsbezogene Straf- und Ordnungswidrigkeitsnormen zu verhindern.[7]
Die Anforderungen werden für risikogeneigte Branchen gesetzlich und aufsichtsrechtlich konkretisiert. So findet sich in Umsetzung der Richtlinie für Märkte für Finanzinstrumente (MiFID)[8] die Verpflichtung zur Compliance für den Wertpapierhandel i.w.S. in § 33 WpHG.[9] Um den Bestimmungen in §§ 14, 20a WpHG gerecht zu werden, wonach Finanzdienstleister Insidergeschäften und Marktmanipulationen vorzubeugen und einen ordnungsgemäßen Wertpapierhandel sicherzustellen haben, müssen diese Unternehmen für wirksame interne Überwachungs- und Kontrollorganisationen sorgen.[10] § 12 Wertpapierdienstleistungs-Verhaltens- und Organisationsverordnung (WpDVerOV) konkretisiert die diesbezüglichen Organisationspflichten. Kreditinstitute haben die Pflicht aus § 25a KWG zur Implementierung eines angemessenen und wirkungsvollen Risikomanagements und die aufsichtsrechtlichen Mindestanforderungen an das Risikomanagement (MaRisk)[11] zu beachten.
Nicht nur Banken und Versicherungen, sondern immer mehr sonstige Kapitalgesellschaften gehen wegen der allgemeinen aktienrechtlichen Pflicht zur Einrichtung von Risikomanagementsystemen selbst dann dazu über, auch eine Compliance-Organisation aufzubauen und Compliance-Beauftragte zu bestellen, wenn sie dazu nicht ausdrücklich verpflichtet sind.[12]
III. Arbeitsrecht- und Datenschutzrecht als Grenzen interner Kontrollmaßnahmen
Bei Maßnahmen zur Gewährleistung von Compliance, insbesondere zur Verhinderung und Aufdeckung von Rechtsverstößen durch Mitarbeiter, müssen die Unternehmen zum einen Mitwirkungsrechte der Arbeitnehmervertretung nach dem BetrVG beachten. Zum anderen ist das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG zu berücksichtigen, das seine einfachrechtliche Ausgestaltung im Bundesdatenschutzgesetz (BDSG) gefunden hat.
1. Mitbestimmungsrechte des Betriebsrates
Fragen der Ordnung des Betriebes und des Verhaltens der Arbeitnehmer im Betrieb (§ 87 Abs. 1 Nr. 1 BetrVG) unterliegen ebenso wie die Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen (§ 87 Abs. 1 Nr. 6 BetrVG), der qualitativen Mitbestimmung des Betriebsrates.
a) § 87 Abs. 1 Nr. 1 BetrVG
Vom Mitbestimmungsrecht hinsichtlich der Fragen der Ordnung des Betriebes und des Verhaltens der Arbeitnehmer im Betrieb wird die gesamte Gestaltung des Zusammenlebens der Arbeitnehmer im Betrieb erfasst.[13] Maßnahmen des Arbeitgebers, die sich nur auf die Erbringung der Arbeitsleistung des Arbeitnehmers beziehen oder in sonstiger Weise das Verhältnis des Arbeitnehmers zum Arbeitgeber betreffen, scheiden aus dem Mitbestimmungstatbestand des § 87 Abs. 1 Nr. 1 BetrVG aus.[14] Denkbar ist die Mitbestimmung nach Nr. 1 aber bei der Einführung von Verhaltenskodizes (Ethik-Richtlinien, Whistleblowing-Klausel)[15] sowie bei betrieblichen Regelungen zum Umgang mit Verdachtskündigungen.[16] Eine Mitbestimmung im Zusammenhang mit dem Datenabgleich zur Korruptionsbekämpfung (Mitarbeiterscreening) besteht nicht.[17]
b) § 87 Abs. 1 Nr. 6 BetrVG
§ 87 Abs. 1 Nr. 6 BetrVG bezieht sich auf alle technischen Einrichtungen, die durch Beobachtung oder Beaufsichtigung der Arbeitnehmer Rückschlüsse auf das Verhalten oder die Leistung der betroffenen Arbeitnehmer zulassen.[18] Nach dem BAG unterliegt bereits die Datenauswertungsmöglichkeit dem Mitbestimmungsrecht.[19]
2. Datenschutzrechtliche Grundsätze
Werden bei Maßnahmen zur Betrugs- und Korruptionsbekämpfung Beschäftigtendaten i.S.d. §§ 3 Abs. 1 und 11, 27 Abs. 1 BDSG erhoben, verarbeitet oder genutzt, ist das BDSG zu beachten; es dient umfassend dem Schutz personenbezogener Daten auch im Arbeitsverhältnis.[20] Eine personenbezogene Daten verarbeitende Maßnahme zur Betrugs- und Korruptionsbekämpfung ist aufgrund des Verbots mit Erlaubnisvorbehalt gem. § 4 Abs. 1 BDSG datenschutzrechtlich nur zulässig, wenn der Betroffene eingewilligt hat oder das BDSG bzw. andere Rechtsvorschriften den Umgang mit den Daten erlaubt bzw. anordnet.
a) Einwilligung der Arbeitnehmer
In die Erhebung, Verarbeitung und Nutzung personenbezogener Daten können Arbeitnehmer bei Beachtung der aus § 4a BDSG folgenden Anforderungen einwilligen und damit einen Erlaubnistatbestand herbeiführen (§ 4 BDSG). Im Rahmen von Arbeitsverhältnissen hat die Einwilligung wegen des damit verbundenen Verwaltungsaufwands und der jederzeitigen Widerrufsmöglichkeitnur eine nachrangige Bedeutung.[21] Im Übrigen ist die „Freiwilligkeit" der Arbeitnehmereinwilligung, wie sie in § 4a BDSG gefordert ist, problematisch.[22] Es wird die Ansicht vertreten, dass eine Einwilligung durch Arbeitnehmer den Anforderungen an die Freiwilligkeit nicht genügen könne, weil die Entscheidungsfreiheit der Arbeitnehmer aufgrund der existenziellen Bedeutung des Arbeitsverhältnisses und der damit einhergehenden Abhängigkeit vom Arbeitgeber faktisch eingeschränkt sei[23] und die Arbeitnehmer im Verhältnis zum Arbeitgeber nicht über die erforderliche rechtsgeschäftliche Autonomie verfügen würden.[24]
Soweit geht die strukturelle Unterlegenheit der Arbeitnehmer jedoch nicht, ihnen Handlungsautonomie gegenüber dem Arbeitgeber gänzlich abzusprechen. Soweit sie keinen Zwängen aus dem Abhängigkeitsverhältnis unterliegen, können sie wirksam in die Erhebung, Verarbeitung und Nutzung ihrer Daten durch den Arbeitgeber einwilligen;[25] insofern gibt es „keine Bereichsausnahme für das Arbeitsrecht".[26] Allerdings wäre die Einwilligung aller Arbeitnehmer erst „die halbe Miete", weil Mitbestimmungsrechte des Betriebsrates eingreifen, wenn die Maßnahme einen „kollektiven Tatbestand" darstellt.[27]
b) Betriebsvereinbarung
Eine Betriebsvereinbarung kann eine „andere Rechtsvorschrift" i.S.d. § 4 Abs. 1 BDSG darstellen.[28] Dabei müssen sich die Betriebspartner im Rahmen ihrer Regelungskompetenz bewegen und die Persönlichkeitsrechte der Arbeitnehmer wahren (§ 75 Abs. 2 BetrVG).[29] Praktisch ist kaum ein Fall denkbar, in dem eine interne Kontrollmaßnahme erst durch eine Betriebsvereinbarung zulässig wird.[30]
c) Gesetzliche Erlaubnistatbestände des BDSG
aa) Erlaubnis gemäß § 32 BDSG
Zur Ausfüllung des durch § 4 BDSG definierten Erlaubnisvorbehalts könnte der am 1. 9. 2009 in Kraft getretene § 32 BDSG in Betracht kommen.[31] Diese Norm regelt speziell den Datenschutz der Beschäftigten und enthält somit eine zentrale Grundregel für die Gewinnung und den Umgang mit Daten der nun in § 3 Abs. 11 BDSG definierten „Beschäftigten". Nur wenn der Umgang mit den Daten entweder für die Entscheidung über die Begründung oder die Beendigung oder für die Durchführung eines Beschäftigungsverhältnisses erforderlich ist, dürfen dafür Beschäftigtendaten nach § 32 Abs. 1 Satz 1 BDSG erhoben, verarbeitet und genutzt werden.[32] Eine datenschutzrelevante Compliance-Maßnahme wird danach als erforderlich angesehen, wenn berechtigte Interessen des Arbeitgebers vorliegen, die auf andere Weise nicht oder nicht angemessen gewahrt werden können.[33] Aufgrund der gezeigten Verpflichtung von Unternehmen zur Ergreifung organisatorischer Maßnahmen zur Sicherstellung der Beachtung sämtlicher Ge- und Verbote durch ihre Beschäftigten ist die Datenerhebung, -verarbeitung und -nutzung zur Verhinderung von Straftaten und Ordnungswidrigkeiten für Arbeitgeber von erheblicher Bedeutung. Die Zulässigkeit der Verarbeitung von Beschäftigtendaten zum Zwecke der Verhinderung von Straftaten und sonstigen Rechtsverstößen im Zusammenhang mit dem Beschäftigungsverhältnis folgt demnach aus § 32 Abs. 1 Satz 1 BDSG.
§ 32 Abs. 1 Satz 2 BDSG gestattet eine Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten, wenn es für die Aufdeckung von Straftaten erforderlich ist und schutzwürdige Interessen der Beschäftigten nicht überwiegen. Dafür müssen zu dokumentierende tatsächliche Anhaltspunkte vorliegen, die den Verdacht begründen, dass im Beschäftigungsverhältnis eine Straftat begangen wurde. Die Schwere der vorgeworfenen Straftat ist ebenso zu würdigen, wie die Intensität des Verdachts.[34]
Bei der repressiven Verfolgung von Straftaten richtet sich die Zulässigkeit datenschutzrelevanter Maßnahmen des Arbeitgebers nach § 32 Abs. 1 Satz 2 BDSG. Für die Aufdeckung von Ordnungswidrigkeiten, Verstößen gegen das Kartellrecht, gegen interne Richtlinien oder sonstige Vertragsverletzungen ist diese Regelung jedenfalls nach ihrem Wortlaut nicht heranzuziehen.[35] Insoweit ist fraglich, ob Arbeitgeber im Umkehrschluss derartige Verstöße nicht verfolgen dürfen oder ob nicht mangels Regelung für das Beschäftigungsverhältnis dann auf die allgemeine Erlaubnisnorm zurückgegriffen werden kann.
bb) Erlaubnis gemäß § 28 BDSG
Im Rahmen von Anstellungsverhältnissen regelte bisher allein § 28 Abs. 1 BDSG die Zulässigkeit der Datenverarbeitung.[36] Das Erheben, Speichern und Nutzen von Daten für eigene Geschäftszwecke ist hiernach zulässig, wenn dies entweder i. S. von § 28 Abs. 1 Nr. 1 BDSG dem Zweck des Arbeitsverhältnisses dient oder aber nach § 28 Abs. 1 Nr. 2 BDSG der Wahrung der berechtigten Interessen des Arbeitgebers.[37]
Für die Datenverarbeitung in Beschäftigungsverhältnissen ist § 32 BDSG im Anwendungsbereich des BDSG lex specialis.[38] Aus den Gesetzgebungsmaterialien geht hervor, dass § 32 BDSG den § 28 Abs. 1 BDSG insgesamt verdrängen soll.[39] Tatsächlich bleibt § 28 BDSG in Fällen der Erhebung und Verarbeitung solcher Beschäftigtendaten anwendbar, deren Verarbeitungszweck nicht im Zusammenhang mit dem Beschäftigungsverhältnis stehen (z.B. die Herstellung von Compliance), und die auch nicht gem. § 32 Abs. 1 Satz 2 BDSG „zur Aufdeckung von Straftaten" erforderlich sind, sondern etwa zur Aufdeckung von Kartellverstößen oder Vertragsverletzungen.[40]
3. Verstöße
Sollte eine Maßnahme zur Herstellung von Compliance trotz der Erlaubnistatbestände in den §§ 28 Abs. 1 und 32 BDSG wegen Fehlens einer datenschutzrechtlichen Erlaubnis unzulässig sein oder gegen eine betriebsverfassungsrechtliche Mitbestimmungspflicht verstoßen haben, fragt sich, ob die in unzulässiger Weise erlangten Kenntnisse vom Arbeitgeber genutzt werden dürfen.
Allein aus einem Verstoß gegen Vorschriften des BDSG bzw. gegen Mitbestimmungsrechte des Betriebsrates folgt kein prozessuales Beweisverwertungsverbot hinsichtlich dieser erlangten Informationen.[41] Im Einzelfall kommt ein Beweisverwertungsverbot in Betracht, wenn durch die Maßnahme des Arbeitgebers das allgemeine Persönlichkeitsrecht eines Mitarbeiters erheblich verletzt wurde.[42]
Verstoßen Arbeitgeber mit ihren Maßnahmen der Betrugs- und Korruptionsbekämpfung gegen Vorschriften des BDSG, kann dies gem. § 43 BDSG als Ordnungswidrigkeit mit einem Bußgeld von bis zu 300.000 € und höher (Abschöpfung des wirtschaftlichen Vorteils) geahndet werden. Strafbar sind nach § 44 BDSG vorsätzliche Verstöße, die gegen Entgelt oder in Bereicherungs- oder Schädigungsabsicht begangen wurden.[43]
Daneben können den Betroffenen nach § 7 BDSG und § 823 Abs. 1 BGB Schadensersatzansprüche zustehen. Außerdem kann Unterlassung von künftigen unverhältnismäßigen Maßnahmen verlangt werden, §§ 823, 1004 BGB.[44]
Ohne die erforderliche Zustimmung des Betriebsrates sind die jeweiligen Maßnahmen unwirksam[45] und können Unterlassungsansprüche des Betriebsrates auslösen.[46]
IV. Ausgewählte Maßnahmen der Mitarbeiterkontrolle
1. Systematischer Datenabgleich („Screening")
Bei einem Screening werden mit spezieller Software die Stammdaten von Arbeitnehmern und Lieferanten (z.B. Kontonummern, Adressen) verglichen. Das soll Anhaltspunkte dafür liefern, ob Arbeitnehmer unrechtmäßig Gelder für angebliche Aufträge des Arbeitgebers auf eigene Konten überwiesen haben. Im Einkauf sind typische „Red Flags" etwa, wenn Lieferanten identische Adressen wie Mitarbeiter aufweisen. Buchungen zu ungewöhnlichen Zeiten oder auf selten genutzte Konten könnten einen ersten Verdacht erregen.[47]
Screening ist zwar ein eher grobgliedriges Instrument zur Korruptionsbekämpfung. Gleichwohl können durch Mitarbeiterscreenings „schwarze Schafe" gefunden werden, wie die Maßnahmen der Deutschen Bahn AG oder der Deutschen Telekom AG[48] zeigten.
a) Arbeitsrechtliche Aspekte
Das Mitbestimmungsrecht des Betriebsrates aus § 87 Abs. 1 Nr. 1 BetrVG wird dann ausgelöst, wenn das Ordnungsverhalten der Arbeitnehmer betroffen ist. Der Zweck des Screenings ist die Feststellung, ob Arbeitnehmer sich arbeitsvertragsgemäß verhalten. Mitbestimmungsrechte des Betriebsrats aus Nr. 1 bestehen bei Screenings nicht.[49]
Bei der Einführung und Anwendung von technischen Überwachungseinrichtungen steht dem Betriebsrat ein Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG zu. Die zum Datenabgleich regelmäßig eingesetzte Software stellt eine technische Einrichtung i.S.d. der Vorschrift dar. Wenn beim Screening Informationen über das Verhalten erhoben und aufgezeichnet werden, ist die dabei eingesetzte Software zur Überwachung geeignet und bestimmt.[50] Auch die Auswertung der Daten ist mitbestimmungspflichtig, wenn verhaltens- oder leistungsbezogene Daten programmgemäß gesichtet, sortiert, zusammengestellt oder miteinander in Beziehung gesetzt werden, um damit Aussagen über Verhalten von Arbeitnehmern zu erlangen.[51] Das EDV-gestützte Screening unterfällt damit dem Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG.
b) Datenschutzrechtliche Aspekte
Das Datenschutzrecht zieht derartigen Maßnahmen enge Grenzen, auch wenn bei einem Screening keine neue Daten erhoben, sondern nur vorhandenes Datenmaterial miteinander abgeglichen, also genutzt wird. Auch die Nutzung i.S.v. § 3 Abs. 5 BDSG ist nur zulässig, wenn eine Erlaubnis vorliegt. Die Erlaubnis von Screening-Maßnahmen könnte sich aus § 32 BDSG, daneben aus § 28 BDSG ergeben. Die maßgebliche Erlaubnisnorm ist anhand des Zwecks des Screenings zu ermitteln.
aa) § 32 Abs. 1 Satz 1 BDSG
Verfolgt der Arbeitgeber mit der Durchführung des Screenings rein präventive Ziele, müssen die Voraussetzungen des § 32 Abs. 1 Satz 1 BDSG erfüllt sein. Hiernach ist die Erhebung, Verarbeitung und Nutzung von Daten im Rahmen des Beschäftigungsverhältnisses zulässig, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Die Datenverarbeitung zur Wahrnehmung der Arbeitgeberinteressen ist dabei vom Erlaubnistatbestand gedeckt.[52] Der Arbeitgeber darf solche Daten erheben und verarbeiten, die zur Ausübung des Direktionsrechts sowie zur Leistungs- und Verhaltenskontrolle der Beschäftigten erforderlich sind.[53] Hiervon ist auch die Datenverarbeitung zur Ermittlung von Verdachtsfällen für strafrechtlich relevantes Verhalten der Beschäftigten erfasst, einschließlich der verdachtsunabhängigen Aufklärung von Straftaten.
bb) § 32 Abs. 1 Satz 2 BDSG
Zielt der Arbeitgeber mit der Durchführung des Screenings auf die Aufdeckung von Straftaten, ist § 32 Abs. 1 Satz 2 BDSG anwendbar, der insoweit der „Weiterverfolgung" von Verdachtsfällen dient, wobei Daten hier allerdings nur erhoben, verarbeitet und genutzt werden dürfen, wenn ein durch tatsächliche Anhaltspunkte begründeter Verdacht besteht. § 32 Abs. 1 Satz 2 BDSG wirkt damit der Perpetuierung von unbegründeten Verdächtigungen entgegen, da eine Datenverarbeitung unzulässig ist, wenn sich erste Verdachtsmomente nicht erhärten lassen.[54]
cc) § 28 Abs. 1 Satz 1 Nr. 2 BDSG
Liegen konkrete Hinweise darauf vor, dass eine beschäftigte Person gegen Rechtsvorschriften verstoßen wird, die keinen Straftatbestand im Sinne von § 32 Abs. 1 Satz 2 BDSG erfüllen, folgt die Zulässigkeit des Screening aus § 28 Abs. 1 Satz 1 Nr. 2 BDSG.[55]
dd) Verhältnismäßigkeitsprüfung
Der auch im Datenschutzrecht geltende Grundsatz der Verhältnismäßigkeit gestattet datenverarbeitenden Stellen die Nutzung personenbezogener Daten nur soweit, wie dies zur Erreichung des angestrebten Zweckes geeignet, erforderlich und angemessen ist. Auch wenn im Anwendungsbereich des § 32 Abs. 1 Satz 1 BDSG anders als bei § 32 Abs. 1 Satz 2 BDSG kein direkter Hinweis auf die Pflicht zur Prüfung der Verhältnismäßigkeit enthalten ist, gilt der Grundsatz auch hier.[56] Eine andere Auffassung würde der Intention des Gesetzgebers zuwider laufen, wonach durch das Gesetz zur Änderung datenschutzrechtlicher Vorschriften[57] gerade der Schutz personenbezogener Daten in Beschäftigungsverhältnissen bezweckt ist.[58] Kommt § 28 Abs. 2 Satz 1 Nr. BDSG zur Anwendung, genügt die Feststellung der Erforderlichkeit.
2. Überwachung der E-Mail- und Internetnutzung
Für die Bewertung der Zulässigkeit von Überwachungen der E-Mail- und Internetnutzung ist es ausschlaggebend, ob der Arbeitgeber die Privatnutzung dieser Medien zugelassen hat oder nicht.[59]
a) Kontrolle dienstlicher E-Mail- und Internetnutzung
Ist den Arbeitnehmern die E-Mail- und Internetnutzung nur zu dienstlichen Zwecken gestattet, können sich die Grenzen einer Kontrolle im Rahmen einer Compliance-Maßnahme aus dem BDSG ergeben. Die Zulässigkeit einer Überwachung der Telekommunikation am Arbeitsplatz könnte sich aus § 32 BDSG ergeben. Dabei wird das Interesse des Arbeitgebers regelmäßig dahin gehen, Verkehrsdaten (Datum, Uhrzeit von Versand/Empfang der E-Mail sowie ggf. das übermittelte Datenvolumen) zu erfassen, zu speichern und zu nutzen.[60] Aber auch die auf § 32 BDSG gestützte Überwachung der dienstlichen Telekommunikation muss erforderlich und verhältnismäßig sein. Die Erfassung des Inhalts der Kommunikation ist als dauerhafte und schrankenlose „Totalüberwachung" nicht zulässig.
b) Kontrolle gestatteter privater E-Mail- und Internetnutzung
Erlaubt der Arbeitgeber seinen Arbeitnehmern die private Nutzung von dienstlicher E-Mail-Accounts und des Internets am Arbeitsplatz, greifen die Sonderregelungen des TKG. Der Arbeitgeber wird nach h.M. zum „Diensteanbieter" i.S. des § 3 Nr. 6 TKG.[61] Damit unterliegt der Arbeitgeber, der seinen Arbeitnehmern die private TK-Nutzung gestattet, den Verpflichtungen des TKG. Die Vorschriften des BDSG sind demgegenüber nur subsidiär anwendbar.[62] Der Arbeitgeber ist zur Wahrung des Fernmeldegeheimnisses (§ 88 TKG) verpflichtet, dem neben dem Inhalt der Telekommunikation auch die Tatsache unterliegt, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die Tatsache erfolgloser Verbindungsversuche. Das Fernmeldegeheimnis verpflichtet dazu, die Erfassung und Verwendung von Daten auf das für das Erbringen des Telekommunikationsdienstes erforderliche Maß zu beschränken (§ 88 Abs. 3 Satz 1 TKG).[63]
Verkehrsdaten dürfen in engen Grenzen zur Missbrauchskontrolle geprüft werden, Inhalte der E-Mail- und Internetkommunikation dürfen nur in begründeten absoluten Ausnahmefällen untersucht werden, etwa bei konkreten Verdachtsmomenten im Hinblick auf die Begehung einer Straftat.[64]
Werden bei der E-Mail- und Internetkommunikation dienstliche mit privaten E-Mails durchmischt, führt dies zu einem umfassenden Einsichts- und Kontrollverbot auch der betrieblichen Korrespondenz. Eine unzulässige Kontrolle der E-Mail-Kommunikation am Arbeitsplatz kann für den Arbeitgeber empfindliche zivilrechtliche (Schadensersatzansprüche) und strafrechtliche (§ 201 StGB: Verletzung der Vertraulichkeit des Wortes; § 202 StGB: Verletzung des Briefgeheimnisses; § 202 a StGB: Ausspähen von Daten; § 206 StGB: Verletzung des Fernmeldegeheimnisses) Folgen haben.[65] Dieser Konsequenzen sollte sich der Arbeitgeber bei der Erlaubnis oder Duldung privater Nutzung dienstlicher E-Mail-Adressen bewusst sein.
c) Kollektivrechtliche Regelungen
Besteht ein Betriebsrat, ist dessen Beteiligung an der betrieblichen Gestaltung der Überwachungsmaßnahmen zur Wahrung der Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG erforderlich.[66]
3. Telefonüberwachung
Auch bei der Prüfung der Zulässigkeit der Telefonüberwachung in einem Anstellungsverhältnis ist zunächst festzustellen, ob der Arbeitgeber seinen Arbeitnehmern die Telefone auch für Privatgespräche zur Verfügung stellt.
a) Telefonüberwachung bei nur dienstlich gestatteter Nutzung
Erhält ein Arbeitnehmer einen Telefonanschluss nur zur dienstlichen Nutzung, ergeben sich die Grenzen der Zulässigkeit von Überwachungsmaßnahmen wieder aus dem BDSG. Die Erhebung von Verkehrsdaten zu dem Zweck, eine Kosten- und Wirtschaftlichkeitskontrolle durchzuführen, ist grundsätzlich zulässig.[67] Weiterhin sind Kontrollen zur Überprüfung von unerlaubter Privatnutzung gestattet - in diesem Rahmen darf auch die vollständige Zielrufnummer erfasst werden.[68]
b) Telefonüberwachung bei gestatteter Privatnutzung
Ist die Privatnutzung der betrieblichen Telefonanlage gestattet, entsteht zwischen dem Arbeitgeber und seinen Arbeitnehmern nach h.M. ein Anbieter-Nutzerverhältnis im telekommunikationsrechtlichen Sinne, die zu einer Bindung des Arbeitgebers an das Fernmeldegeheimnis nach § 88 TKG führt.[69] Die Erhebung von Verkehrsdaten i.S.d. §§ 3 Nr. 30, 96 TKG ist nur dann zulässig, wenn die private Telefonnutzung gegen Kostenerstattung erfolgt und die Verkehrsdaten für die Abrechnung benötigt werden (§ 88 Abs. 3 S. 1 und 2 TKG).[70] Im Umkehrschluss bedeutet dies, dass bei kostenfreier Nutzungsmöglichkeit Verkehrsdaten nicht erhoben werden dürfen.[71] Nur zur Störungsbeseitigung (§ 100 Abs. 1 TKG) oder zur Aufdeckung sowie dem Unterbinden von Leistungserschleichungen (§ 100 Abs. 3 TKG) dürfen notwendige Daten erhoben werden.
Ist zwischen dienstlicher und privater Telefonkommunikation technisch nicht zu unterscheiden, darf der Arbeitgeber aus den vorgenannten Grundsätzen keine Verkehrsdaten erheben, weil ansonsten auch die Verkehrsdaten privater Telefonate betroffen sein würden.
c) Kollektivrechtliche Regelungen
Werden Verbindungsdaten bei einem Telefongespräch von einer technischen Vorrichtung automatisch erfasst, liegt eine mitbestimmungspflichtige Maßnahme nach § 87 Abs. 1 Nr. 6 BetrVG vor.[72]
IV. Zusammenfassung
Unternehmensleitungen sind schon aufgrund der aus der Sorgfaltspflicht abgeleiteten Legalitätspflicht zur Bekämpfung von Betrugs- und Korruptionsfällen verpflichtet. Für Aktiengesellschaften und in besonderem Maße für Kreditinstitute und Versicherungen ergibt sich eine Pflicht zur Implementierung einer angemessenen Compliance-Organisation aus dem Gesetz, teilweise auch aus spezifischen aufsichtsrechtlichen Vorschriften. Bei der Umsetzung dieser mit einer Schadensersatzdrohung bewehrten Pflicht bewegen sich Unternehmensleitungen oft in einer rechtlichen Grauzone. Jede beabsichtigte Maßnahme zur Herstellung von Compliance eines Arbeitgebers, bei der personenbezogene Daten von Beschäftigten erhoben, verarbeitet oder genutzt werden, muss im Einzelfall mit großer Sorgfalt einer Prüfung unterzogen werden, inwiefern den Interessen und Pflichten der Unternehmen unter Wahrung der gesetzlichen Vorgaben genügt werden kann. Auch wenn bezüglich sämtlicher Maßnahmen generell gilt, dass permanente „Rasterungen" der Arbeitnehmer unzulässig und die Mitbestimmungsrechte des Betriebsrates zu wahren sind, bestehen für Arbeitgeber auch im Lichte des novellierten Datenschutzrechts hinreichende Möglichkeiten, Betrugs- und Korruptionsvergehen gegen das eigene Unternehmen oder aus dem Unternehmen heraus zum Nachteil Dritter rechtskonform zu verhindern und Compliance im Allgemeinen herzustellen.
[1] Barton, RDV 2009 S. 200 (201).
[2] Mengel/Hagemeister, BB 2006 S. 2466 m.w.N.
[3] http://www.corporate-governance-code.de/ger/kodex/1.html.
[4] BT-Drs. 13/9712, S. 15.
[5] Siehe dazu etwa Barton RDV 2009 S. 200; Taeger, in: Hoffmann/Kitz/Leible, IT-Compliance, 2009, S. 46 (54).
[6] Vgl. auch §§ 317 Abs. 4, 321 Abs. 4 HGB.
[7] Vgl. Hauschka/Greeve, BB 2007 S. 165 (166).
[8] Richtlinie 2004/39/EG vom 21. 4. 2004, ABl. EG Nr. L 145/1; siehe dazu Röh, BB 2008 S. 398; Schlicht, BKR 2006 S. 469.
[9] Barton, RDV 2009 S. 200 (201).
[10] Veil, WM 2008 S. 1093; Mengel/Hagemeister, BB 2006 S. 2466 (2467).
[11] Vgl. ausführlich Lüth, Mindestanforderungen an das Risikomanagement, 2009; Wingendorf, Risikopolitik öffentlich-rechtlicher Kreditinstitute, 2009.
[12] Dazu grundlegend Schmidt, Compliance in Kapitalgesellschaften, 2010.
[13] BAG vom 24. 3. 1981 - 1 ABR 32/78, DB 1981 S. 1882.
[14] Richardi, BetrVG, 12. Aufl. 2010, § 87 Rdn. 174; BAG vom 27. 1. 2004 - 1 ABR 7/03, NZA 2004 S. 556.
[15] Siehe BAG vom 22. 7. 2009 - 1 ABR 40/07, DB 2008 S. 2485; Kort, in: FS Buchner, 2009, S. 477; Hussler/Schneider, RdA 2009 S. 319; Mückel, EWiR 2009 S. 101.
[16] Trittin/Fütterer, ArbuR 2010 S. 62.
[17] Vgl. ArbG Dessau vom 17. 6. 2009 - 1 BV 1/09, GWR 2009 S. 331; siehe sogleich unter IV. 1.
[18] Richardi, a.a.O. (Fn14), § 87 Rdn. 478.
[19] BAG vom 14. 9. 1984 - 1 ABR 23/82, DB 1984 S. 2513.
[20] Wank, in Erfurter Kommentar, 10. Aufl. 2010, Einl. BDSG, Rdn. 2, 11 ff. BDSG.
[21] So auch Schmidt, RDV 2009 S. 193 (194). Zur Inhaltskontrolle einer formularmäßigen Einwilligungserklärung Kock/Francke, NZA 2009 S. 646 (647) m.w.N.
[22] Ausführlich Trittin/Fischer, NZA 2009 S. 343 (344); Schmidt, RDV 2009 S. 193 (194); Taeger, in: Taeger/Gabel, BDSG-Kommentar, 2010, § 4a Rdn. 58 ff.
[23] Vgl. BVerfG vom 28. 1. 1992 - 1 BvR 1025/82, NZA 1992 S. 270 zur „Freiwilligkeit" im Arbeitsverhältnis.
[24] Vgl. dazu Schmidt, BB 2009 S. 1295 (1298); Backes/Eul/Guthmann/Martwich/Schmidt, RDV 2004 S. 156 (159); Büllesbach, in: Roßnagel, Handbuch Datenschutzrecht, 2003, Kap. 6.1, Rdn. 14; Gola, RDV 2002 S. 109 (110); Simitis, in: Simitis, BDSG, § 4a Rdn. 64 ff.
[25] Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, S. 65; Busche, in: Taeger/Wiebe, Inside the Cloud, 2009, S. 61 (65); Taeger, a.a.O. (Fn. 22), § 4a Rdn. 59 ff.
[26] Thüsing/Lambrich, BB 2002 S. 1146 (1150).
[27] Grundlegend Fitting, BetrVG, 25. Aufl. 2010, § 87 Rdn. 14 ff.
[28] Wank, a.a.O. (Fn. 20), § 4 BDSG Rdn. 2 m.w.N.
[29] BAG vom 27. 5. 1986 - 1 ABR 48/84, DB 1986 S. 2080.
[30] Kock/Francke, NZA 2009 S. 646 (647) m.w.N.
[31] Vgl. zur Neuregelung Deutsch/Diller, DB 2009 S. 1462; Wybitul, BB 2009 S. 1582.
[32] Siehe dazu Taeger, a.a.O. (Fn. 22), § 28 Rdn. 46, und § 32.
[33] Vgl. BT-Drs. 16/13657, S. 35 m.w.N.
[34] Winteler, Betrugs- und Korruptionsbekämfung vs. Arbeits- und Datenschutzrecht, in Taeger/Wiebe (Hrsg.), Inside the Cloud, 2009, S. 467 (470).
[35] Vgl. auch Wybitul, BB 2009 S. 1582 (1584).
[36] Zum Vergleich alten/neue Rechtslage Schmidt, RDV 2009 S. 193 ff.; ausführlich zur Rechtslage vor Einführung des Beschäftigtendatenschutzes in § 32 BDSG Mester, Arbeitnehmerdatenschutz, 2000, S. 97 ff.
[37] Vgl. BAG vom 22. 10. 1986 - 2 AZR 537/06, DB 1987 S. 1048; Heckmann, jurisPK-Internetrecht, Kapitel 7, Rdn. 54.
[38] So auch Schmidt, RDV 2009 S. 193 (195); Wolf/Horn, BB 2009 S. M1; a.A. Vogel/Glas, DB 2009 S. 1747 (1750 ff.).
[39] BT-Drs. 16/13657, S. 34.
[40] Ausführlich zum Verhältnis der Vorschriften zueinander Schmidt, RDV 2009 S. 193; Vogel/Glas, DB 2009 S. 1747 (1750 ff.); Gola/Jaspers, RDV 2009 S. 212 (213); Kock/Franke, NZA 2009 S. 646; Taeger, a.a.O. (Fn. 22), § 28 Rdn. 67, und Zöll, ebenda, § 32 Rdn. 5 ff.
[41] Grundlegend dazu BAG vom 13. 12. 2007 - 2 AZR 537/06, DB 2008 S. 1633; Kock/Francke, NZA 2009 S. 646 (651); a.A. Bayreuther, NZA 2005 S. 1038 (1043).
[42] BAG vom 23. 4. 2009 - 6 AZR 189/08, DB 2009 S. 1936.
[43] Siehe auch Kock/Francke, ArbRB 2009 S. 110 (112).
[44] Vgl. Kock/Francke, ArbRB 2009 S. 110 (112).
[45] Richardi, a.a.O. (Fn. 14), § 87 Rdn. 101 ff.
[46] BAG vom 27. 3. 2003 - 2 AZR 51/02, DB 2003 S. 2230.
[47] Winteler, a.a.O. (Fn. 34), S. 467 (472).
[48] Vgl. Der Spiegel, Heft 7/2009 S. 74.
[49] So auch Diller, BB 2009 S. 438; Kock/Francke, NZA 2009 S. 646 (649); a.A. Winteler, a.a.O. (Fn. 34), S. 467 (472).
[50] BAG vom 27. 1. 2004 - 1 ABR 7/03, DB 2004 S. 1733.
[51] Steinkühler, BB 2009 S. 129; a. A. Diller, BB 2009 S. 438 (439).
[52] Schmidt, RDV 2009 S. 193 (197).
[53] BT-Drs. 16/13657, S. 36.
[54] Schmidt, RDV 2009 S. 193 (197).
[55] Zur Anwendbarkeit des § 28 neben § 32 BDSG auch Gola/Jaspers, RDV 2009 S. 212.
[56] Schmidt, RDV 2009 S. 193 (198); a.A. Vogel/Glas, DB 2009 S. 1747 (1751).
[57] BGBl. I 2009 S. 2814.
[58] BT-Drs. 16/13657, S. 35.
[59] Heckmann, a.a.O. (Fn. 37), Rdn. 4.
[60] Beckschulze/Henkel, DB 2001 S. 1491; Heckmann, a.a.O. (Fn. 37), Rdn. 61.
[61] Koch, NZA 2008 S. 911 (912); Wolf/Mulert, BB 2008 S. 442 (445).
[62] Heckmann, a.a.O. (Fn. 37), Rdn. 72, sowie ausführlich Zöll, in: Taeger/Gabel, BDSG-Kommentar, 2010, § 32 Rdn. 34 ff.
[63] Schimmelpfennig/Wenning, DB 2006 S. 2290.
[64] Schmidt, BB 2009 S. 1295 (1296); Seffer/Schneider, ITRB 2007 S. 264 (265).
[65] Siehe dazu etwa Wellhöner/Byers, BB 2009 S. 2310
[66] Vgl. BAG vom 27. 5. 1986 - 1 ABR 48/84, DB 1986 S. 2080.
[67] Mengel, BB 2004 S. 1445 (1448) m.w.N.
[68] LAG Düsseldorf vom 30. 4 1984 - 10 (12) TaBV 10/84, DB 1984 S. 2624; zur inhaltlichen Kontrolle von Gesprächen Schmidt, BB 2009 S. 1295 (1299).
[69] Zöll, a.a.O. (Fn. 62), § 32 Rdn. 34 ff.; Munz, in: Taeger/Gabel, BDSG-Kommentar, 2010, § 88 TKG Rdn. 20 ff.; Wolf/Mulert, BB 2008 S. 442 (445) m.w.N.
[70] Mengel, BB 2004 S. 2014 (2016) m.w.N.
[71] So auch Winteler, a.a.O. (Fn. 34), S. 467 (475).
[72] Vgl. BAG vom 11. 11. 1998 - 7 ABR 47/97, DB 1999 S. 1457.