Datenschutz bei internen Ermittlungen und Hinweisgebersystemen

(1)

Datenschutz bei internen Ermittlungen und Hinweisgebersystemen

BvD-Herbstkonferenz Datenschutz & Behördentag 2021 in München

R. Fleißner & D. Joos

Referenten beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit

Baden-Württemberg

(2)

Agenda

1. Hinweisgebersysteme

 Bedarf für Hinweisgebersysteme

 Whistleblower-Richtlinie der EU und E-HinSchG

 Implementierung & Datenschutz

 Unterrichtungs- und Auskunftspflichten

 Berichtigung, Sperrung, Löschung

 Technische und organisatorische Maßnahmen 2. Interne Ermittlungen

 Rechtliche Rahmenbedingungen

 Datenschutzrechtliche Vorgaben

3. Ratgeber und weiterführende Hinweise

(3)

Agenda

(4)

Bedarf für Hinweisgebersystem/Hintergrund Hinweisgebersysteme

Korruptes Verhalten

Vermögens- schädigung Missstände

(5)

Bedarf für Hinweisgebersystem/Hintergrund Hinweisgebersysteme

Korruptes Verhalten

Vermögens- schädigung Missstände

(6)

Bedarf für Hinweisgebersystem/Hintergrund Hinweisgebersysteme

An wen soll ich mich wenden?

Ich fürchte mich vor persönlichen negativen Folgen

Informationsdefizite Betriebliche Missstände

Vermögensschädigung

(7)

Bedarf für Hinweisgebersystem/Hintergrund Hinweisgebersysteme

An wen soll ich mich wenden?

Ich fürchte mich vor persönlichen negativen Folgen

Informationsdefizite Betriebliche Missstände

Vermögensschädigung Aktive Förderung

des Whistleblowing Erhöhung der

Anzeigebereitschaft Umfassender Schutz

(8)

Bedarf für Hinweisgebersystem/Hintergrund Begriff

 Weitergabe von Informationen

 über Verstöße gegen Verhaltenspflichten

 an eine hierfür eingerichtete Stelle

 Ergänzender Mechanismus zu bestehenden Kanälen wie bspw. Mitarbeitetendenvertretungen, interne Auditoren

Hinweisgebersysteme

(9)

Rechtliche Rahmenbedingungen (bisher)

Bisher nur partielle Pflicht zur Einführung von Hinweisgebersystemen

 Kreditwesengesetz, § 25 a Abs. 1 S. 3 Nr. 3 Kreditwesengesetz

 Finanzdienstleistungssektor, § 4 d Abs. 1 Finanzdienstleistungsaufsichtsgesetz

Schutz von Hinweisgebern jedoch auch nur partiell

 § 17 Abs. 2 Arbeitsschutzgesetz sieht Verbot von Repressalien vor

 § 48 Geldwäschegesetz sieht „Freistellung von zivilrechtlicher und strafrechtlicher Verantwortlichkeit“ vor

Hinweisgebersysteme

(10)

Rechtliche Rahmenbedingungen (neu)

EU-Richtlinie 2019/1937 vom 23. Oktober 2019

Zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden - Whistleblowing-RL

 Inkraft getreten im Dezember 2019

 Umsetzungsrahmen 2 Jahre

Hinweisgeberschutzgesetz liegt im Referentenentwurf (E-HinSchG) vor Inkrafttreten vorgesehen zum 17. Dezember 2021 (?)

Hinweisgebersysteme

(11)

Whistleblowing-RL und E-HinSchG Eckpunkte Hinweisgebersysteme

Whistleblower-Richtlinie E-HinSchG Interne Meldestelle einzurichten ab

50 Mitarbeitenden

Behörden und Kommunen mit mehr als 10.000 Einwohnern

Persönlicher Anwendungsbereich Arbeitsverhältnis im privaten und öffentlichen Sektor

Außerdem Verwandte und sonstige

Interne Meldestelle einzurichten ab 50 Mitarbeitenden

(Übergangsvorschrift bis 2023 erst ab 250 Mitarbeitenden?)

Behörden ab 50 Mitarbeitenden Bei Gemeinden LandesR

Persönlicher Anwendungsbereich Berufliche oder dienstliche Tätigkeit

Sonstige Personen, die von einer

(12)

Whistleblowing-RL und E-HinSchG Eckpunkte Hinweisgebersysteme

Whistleblower-Richtlinie E-HinSchG Im beruflichen Kontext

Informationen über Verstöße

Sachlicher Anwendungsbereich Verstöße gegen EU-Recht, also insbes. auch DS-GVO

Meldewege

Internes Hinweisgebersystem Externes Hinweisgebersystem

Kein Rangverhältnis der Meldewege, aber Meldung an die Presse im

Informationen im Zusammenhang mit beruflicher oder dienstlicher Tätigkeit

Sachlicher Anwendungsbereich Auch Verstöße gegen nationale Normen

Meldewege

Internes Hinweisgebersystem Externes Hinweisgebersystem Wahlrecht, aber es sollen Anreize geschaffen werden, dass zunächst

(13)

Implementierung & Datenschutz, Grundsätze

 Spannungsverhältnis zwischen datenschutzrechtlicher Transparenz und Schutz der Identität des Whistleblowers

 Erforderlichkeit und Angemessenheit der Datenverarbeitung, Datenerhebung nur für festgelegte, eindeutige und legitime Zwecke (Grundsätze gem. Art. 5 DS-GVO)

 Außerhalb einer gesetzlichen Pflicht zur Einrichtung eines Hinweisgebersystems: Meldung in Betracht kommende Personenkreis Zahl der Personen begrenzen  kommt mit Whistleblower-RL nicht mehr in Betracht

Hinweisgebersysteme

(14)

Implementierung & Datenschutz; Betroffene Daten

 Personenbezogene Daten über die Beschuldigten

 Personenbezogene Daten des Hinweisgebers: Name, Kontaktdaten ggf. auch indirekt über die Position des Hinweisgebers im

Unternehmen o.ä. (ggf. aber anonyme Ausgestaltung)

 Sachverhaltsdarstellung

 Personenbezogene Daten über weitere am Sachverhalt beteiligte Betroffene

Hinweisgebersysteme

(15)

Implementierung & Datenschutz; Rechtsgrundlagen

Art. 6 Abs. 1 lit. c DS-GVO- Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich

 bislang nur in ausgewählten Wirtschaftsbereichen z.B. § 25a Abs. 1 Satz 3 Nr. 3 Kreditwesengesetz

Hinweisgebersysteme

(16)

Implementierung & Datenschutz; Rechtsgrundlagen

Änderung mit Whistleblowing-RL:

Pflicht zur Einrichtung von Hinweisgeberstellen nach § 12 E- HinSchGArt. 6 Abs. 1 lit. c DS-GVO

§ 10 E-HinSchG

„Die Meldestellen sind befugt, personenbezogene Daten zu

verarbeiten, soweit dies zur Erfüllung ihrer in den § 13 und § 23 bezeichneten Aufgabe erforderlich ist.“

 Prüfen der Stichhaltigkeit von Meldungen

 ggf. Ergreifen von Folgemaßnahmen

Hinweisgebersysteme

(17)

Implementierung & Datenschutz; Rechtsgrundlagen

Art. 6 Abs. 1 lit. b, Art. 88 DS-GVO, § 26 Abs. 1 BDSG

 Neben (teilweise) automatisierter Verarbeitung und Speicherung im Dateisystem sind im Beschäftigtendatenschutz auch handschriftliche Aufzeichnungen erfasst

 Hinweisgeber sind idR Beschäftigte iSd § 26 Abs. 8 BDSG

 Wertung des § 26 Abs. 1 S. 3 BDSG: Strafrechtlich relevantes Verhalten ist Grundlage für die Datenverarbeitung

 Erforderlichkeit der Verarbeitung für das Beschäftigungsverhältnis nicht gegeben

Hinweisgebersysteme

(18)

Implementierung & Datenschutz; Rechtsgrundlagen

 Art. 6 Abs. 1 lit. a DS-GVO, § 26 Abs. 2 BDSG Einwilligung

 Im Beschäftigtenkontext kritisch Freiwilligkeit

 Jedenfalls aber nur auf Seite des Hinweisgebers denkbar

 Nicht einschlägig auf Seiten des Beschuldigten

 Vorab Information erforderlich

 Problem der Widerruflichkeit

 Keine Einwilligung in die Verarbeitung von Daten Dritter

 Abschluss von Kollektivvereinbarungen gem. § 26 Abs. 4 BDSG

 nicht möglich für die Verarbeitung von Daten Dritter

Hinweisgebersysteme

(19)

Implementierung & Datenschutz; Rechtsgrundlagen

Art. 6 Abs. 1 S. 1 lit. f. berechtigtes Interesse des Unternehmens

Verhütung und Verfolgung von strafbarem Verhalten als berechtigtes Interesse?

Unterscheidung nach Art des Verstoßes:

 Interne Verhaltens- oder Ethikregeln des Unternehmens (Keine Abwägung bei unwirksamen Regelungen)

 Ein sich gegen das Unternehmen richtender Straftatbestand, Menschenrechtsverletzungen

 Meldung von Verstößen außerhalb des „abgewogenen“ Katalogs dürfen nicht weiter verarbeitet werden

Hinweisgebersysteme

(20)

Implementierung & Datenschutz; Anonymes Meldesystem?

Hinweisgebersysteme

Ermutigung zur Meldung

Unternehmensschädigung statt Möglichkeit zur internen

Aufklärung

Meldung anderenfalls direkt an externe Stellen

Verleumdungsgefahr

Eingeschränkte

Sachverhaltsaufklärung m/Rückfragemöglichkeit Begünstigung von Missbrauch und Denunziantentum

(21)

Implementierung & Datenschutz; Anonymes Meldesystem?

Hinweisgebersysteme

Ermutigung zur Meldung

Unternehmensschädigung statt Möglichkeit zur internen

Aufklärung

Meldung anderenfalls direkt an externe Stellen

Verleumdungsgefahr

Eingeschränkte

Sachverhaltsaufklärung m/Rückfragemöglichkeit

Begünstigung von Missbrauch und Denunziantentum

Whistleblowing-RL und E-

HinSchG sehen keine Pflicht zur Implementierung vor

§ 26 E-HinSchG:

Keine Bearbeitungspflicht bei anonymen Meldungen für externe Meldestellen

(22)

Implementierung & Datenschutz

Erforderlichkeit einer Datenschutzfolgeabschätzung gem. Art. 35 Abs.1 DS- GVO?

 Grundsätzlich erforderlich bei Form der Verarbeitung, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

 Daten über potenziell strafrechtlich relevantes Verhalten werden verarbeitet

 Für den Hinweisgeber besteht das Risiko, dass seine Anonymität nicht geschützt wird

 Beteiligung des Datenschutzbeauftragten

Hinweisgebersysteme

(23)

Implementierung & Datenschutz

Externer Betrieb des Hinweisgebersystems (≠ externer Meldekanal)

 Einschaltung von externen Dritten grundsätzlich möglich

 Nach Art. 8 Abs. 5 Whistleblowing-RL ist das Einschalten von externen Dritten grundsätzlich vorgesehen z.B. Dienstleister für den Betrieb des Hinweisgebersystems

 Bewertung im Rahmen der Datenschutz-Folgenabschätzung erforderlich

Hinweisgebersysteme

(24)

Implementierung & Datenschutz

Externer Betrieb des Hinweisgebersystems (≠ externer Meldekanal) Eigene Verantwortlichkeit oder Auftragsverarbeitung iSd Art. 28 DS- GVO (weisungsgebunden)?

 Lediglich Verwaltung von Hinweisen durch Entgegennahme und Konsolidierung spricht für Auftragsverarbeitung, Briefkasten

Auftragsverarbeitungsvertrag erforderlich

 Eigenständiges Treffen von Entscheidungen, Inanspruchnahme von Fachleistungen z.B. Beratungen, Weisungs- und Kontrollmöglichkeiten sind nicht gegeben

eigene Verantwortlichkeit,

ggf. gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO

Hinweisgebersysteme

(25)

Implementierung & Datenschutz

Externer Betrieb des Hinweisgebersystems (≠ externer Meldekanal)

 Nach Art. 8 Abs. 5 Whistleblower-RL gelten Art. 9 Garantien und Anforderungen dann auch für den beauftragten Dritten

z.B. sichere Konzeption des Meldekanals, kein Zugriff Unbefugter

 Bei einem Auftragsverarbeitungsverhältnis müssen insbesondere Garantien für geeignete technische und organisatorische Maßnahmen vorliegen

 Außerhalb eines Auftragsverarbeitungsverhältnisses ist eine eigenständige RGL für die Übermittlung erforderlich

 Im Konzern besteht kein Konzernprivileg, sodass auch andere Gesellschaften in der Unternehmensgruppe idR Dritte sind  RGL für Übermittlung der Daten

erforderlich

Hinweisgebersysteme

(26)

Implementierung & Datenschutz

Sonstige Übermittlung an Dritte

 Bei personenbezogenen Daten von Beschäftigten grundsätzlich nicht zulässig

 Ausnahme: Akteneinsichtsrechte in einem etwaigen

Strafverfahren; Weitergabe zur Verfolgung von Straftaten nach Art.

6 Abs. 1 lit. f DS-GVO iVm § 24 Abs. 1 Nr. 1 BDSG gerechtfertigt.

auch in § 9 E-HinSchG vorgesehen

Hinweisgebersysteme

(27)

Unterrichtungs- und Auskunftspflichten

…gegenüber der beschuldigten Person

 Personenbezogene Daten werden nicht bei der betroffenen Person selbst erhoben, da Hinweis von Dritten

 Unterrichtungspflicht nach Art. 13, Art. 14 DS-GVO bei Verarbeitung von personenbezogenen Daten

 Grundsätzlich spätestens innerhalb eines Monats

 Unterrichtungspflicht steht im Widerspruch zum Ermittlungsinteresse

Hinweisgebersysteme

(28)

Unterrichtungs- und Auskunftspflichten

…gegenüber der beschuldigten Person

 Art. 14 sieht auch Angabe der Quelle vor

 Über Identität des Hinweisgebers muss informiert werden.

Hinweisgebersystem als Quellenangabe i.d.R. nicht ausreichend (Ausnahme: Ombudsperson, die Berufsgeheimnis unterliegt (?))

 Hinauszögern der Unterrichtung kritisch:

Einschätzung, ab welchem Zeitpunkt die Verwirklichung der Ziele der Datenverarbeitung nicht mehr beeinträchtigt sind

 Art. 14 Abs. 5 lit. c DS-GVO  § 29 Abs. 1 S. 1 BDSG Interessenabwägung ?

Hinweisgebersysteme

(29)

Unterrichtungs- und Auskunftspflichten

…gegenüber der beschuldigten Person

Andere Wertung durch Art. 16 Whistleblower-RL

 Schutz der Identität des Hinweisgebers

 Vertraulichkeit gefordert

 Offenlegung der Identität des Hinweisgebers ist nur ausnahmsweise vorgesehen

 Keine direkte oder indirekte Preisgabe der Identität

Hinweisgebersysteme

(30)

Unterrichtungs- und Auskunftspflichten Auskunftsverlangen gem. Art. 15 DS-GVO

 Anspruch besteht seitens Hinweisgeber und seitens beschuldigter Person

 Umfasst auch die verarbeiteten Daten sowie die Umstände der Verarbeitung

 Recht auf Information über Herkunft der personenbezogenen Daten

 Auskunftsverpflichtung kollidiert mit anonymer Meldung seitens Hinweisgeber

Hinweisgebersysteme

(31)

Unterrichtungs- und Auskunftspflichten Reichweite des Auskunftsanspruchs

LAG Baden-Württemberg, Urt. v. 20.12.2018 – 17 Sa 11/18 zu Art. 15 DS- GVO:

„Jedenfalls führt auch das Vorliegen eines Geheimhaltungsgrundes nicht zwangsläufig zu dem Recht, die geforderte Auskunft zu verweigern. Das Recht auf Auskunft wird gem. § 34 I iVm § 29 I 2 BDSG nur eingeschränkt,

„soweit“ durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Damit ist eine dem Grundsatz der Verhältnismäßigkeit Rechnung tragende Güterabwägung zwischen dem

Geheimhaltungsinteresse einerseits und dem Auskunftsinteresse andererseits geboten.“

Hinweisgebersysteme

(32)

Unterrichtungs- und Auskunftspflichten

 Extensive Auslegung des Auskunftsrechts

 Zum Schutz der Identität von Informanten kann grundsätzlich die Ausnahme nach § 29 Abs. 1 S. 2 BDSG greifen

 Allein die Zusage der Geheimhaltung der Identität ist aber kein hinreichender Grund für Zurückhaltung der Identität des

Hinweisgebers

 Abwägung erforderlich

 Weitreichende Darlegungspflicht bei Auskunftsverweigerung ( bereits Hinweise auf Identität des Whistleblowers?)

Hinweisgebersysteme

(33)

Unterrichtungs- und Auskunftspflichten

Wertung durch Art. 16 Whistleblowing-RL

 Bezüglich der Wahrung der Identität des Whistleblowers Vertraulichkeitsgebot

 Nicht pauschal alle Dokumente im Hinweisgebersystem sind hiervon erfasst

 Art. 16 kann zukünftig die Offenlegung der Identität von Hinweisgebern erschweren bzw. ausschließen

 In ErwGr. 84 der Whistleblowing-RL ist eine Aufforderung normiert, die Hinweisgeber über die Beschränkung von Rechten und Pflichten nach Art.

23 DS-GVO zu schützen.

Hinweisgebersysteme

(34)

Berichtigung, Sperrung und Löschung

 Löschkonzept erforderlich

 2 Monate nach Abschluss des Verfahrens;

Ausnahme: die Klärung weiterer rechtlicher Schritte ist erforderlich z.B.

Disziplinarverfahren, Einleitung Strafverfahren

 Bei auf Art. 6 Abs. 1 lit. f DS-GVO gestützte Verarbeitung und Meldung von Verstößen außerhalb des Abwägungskatalogs: unverzügliche Löschung

 § 18 Abs. 1 S. 2 Whistleblowing-RL Die Meldungen sollen „nicht länger

aufbewahrt werden als dies erforderlich und verhältnismäßig ist, um die von dieser Richtlinie auferlegten Anforderungen oder andere Anforderungen nach Unionsrecht oder nationalem Recht zu erfüllen“

 § 11 Abs. 4 E-HinSchG: Löschung der Dokumentation nach Abschluss des Verfahrens

Hinweisgebersysteme

(35)

Berichtigung, Sperrung und Löschung

 Art. 17 Whistleblowing-RL

 Keine Relevanz für spezifische Meldung: keine Erhebung oder unverzügliche Löschung

 Unbeabsichtigte Erhebung: unverzügliche Löschung

 Widerspruchsrecht nach Art. 21 DS-GVO und Recht auf Einschränkung nach Art. 5 lit. 1 d DS-GVO beachten

Hinweisgebersysteme

(36)

Technische und organisatorische Maßnahmen

- Intern nicht innerhalb der Personalverwaltung - Berechtigungskonzept

- Verschlüsselungsverfahren

- Protokollierung von Dateneingaben und Löschroutinen

Hinweisgebersysteme

(37)

Agenda

(38)

Definitionsversuch: Interne Ermittlungen

 Untersuchungsmaßnahmen privatwirtschaftlicher Unternehmen beim Verdacht von Straftaten, Verstoß gegen Gesetze oder zur Aufdeckung vermuteten Fehlverhaltens eigener Beschäftigter

 Untersuchung durch externe Kanzleien oder unternehmenseigen denkbar

 Ohne hoheitliche Befugnisse

 Aus eigenem Antrieb: Zur Kündigungsvorbereitung oder Haftungspriviligierung etc.

 Oftmals Mitwirkung an behördlicher oder polizeilicher Aufklärungsarbeit

(Kollektiv-) Arbeitsrechtliche-/ Strafrechtliche und Datenschutzrechtliche Fragestellungen und Konflikte

Interne Ermittlungen

(39)

Hintergrund; Interne Ermittlungen

 Unternehmensleitung trifft Pflicht zur Aufklärung bei relevanten Verstößen, insbesondere Straftaten („Compliance“)

 §§ 130, 30 Ordnungswidrigkeitengesetz pönalisiert Aufsichtspflichtverletzung

 §§ 93, 111 Aktiengesetz normiert Überwachungsaufgaben des Aufsichtsrats

 Aufklärung kann zu Haftungspriviligierung der Leitungsebene führen

Branchenunterschiede vorhanden; insbesondere in der Finanz- / Kreditbranche höhere Complianceregulation

Interne Ermittlungen

(40)

Häufige Mittel bei internen Ermittlungen

 Mitarbeiterbefragungen; Zeugen und Verdächtige

 Sichtung dienstlicher Unterlagen in elektronischer und Papierform

 Durchsuchung von Arbeitsplätzen und Betriebsorten

 Sichtung und Auswertung von E-Mailkorrespondenz

 IT-Forensische Untersuchungen

 Überprüfung, Auswertung oder Abgleich von Belegen, Abrechnungen oder sonstige Revisionsmaßnahmen

RGL & Verhältnismäßigkeit muss für jede Ermittlungsmaßnahme vorliegen

(Bußgeldbewährter) Datenschutz- verstoß oder möglw.

Straftat nach StGB (§§ 202 ff. StGB)

Interne Ermittlungen

(41)

RGL für interne Ermittlungen

 Private Ermittlungsleistung; keine Anwendung der Ermächtigungen und Befugnisse der StPO

 Auch Compliance-Richtlinien oder Konzernregelungen sind keine Rechtsgrundlage für Ermittlungseingriffe

 Sarbanes-Oxley Act (?); auch amerikanische Bundesgesetze stellen keine Ermächtigungsgrundlage für Eingriffe in

Persönlichkeitsrechte dar (vgl. BVerfG, 24.04.2013 – 1 BvR 1215/07)

Interne Ermittlungen

(42)

RGL für interne Ermittlungen

 Entwurf des „Verbandssanktionengesetzes - Gesetz zur Stärkung der Integrität in der Wirtschaft“), § 17 Abs. 1 Nr. 5. VerSanG-E: „Das Gericht soll die Verbandssanktion mildern, wenn (…) die

Befragungen in der verbandsinternen Untersuchung unter

Beachtung der Grundsätze eines fairen Verfahrens durchgeführt werden, insbesondere (…)“

 Verbandssanktionengesetz wurde vom BT nicht verabschiedet und ist somit nicht in Kraft getreten

Interne Ermittlungen

(43)

RGL für interne Ermittlungen

 Einwilligung, Art. 6 Abs. 1 lit. a DS-GVO, § 26 Abs. 2 BDSG

 Berechtigte Interessen, Art. 6 Abs. 1 lit. f DSGVO

 Rechtliche Verpflichtung, Art. 6 Abs. 1 lit. c DS-GVO

 Aufdeckung von Straftaten, § 26 Abs. 1 S. 2 BDSG

 (Präventive Compliance-Maßnahmen, § 26 Abs. 1 S. 1 BDSG)

 (Kollektivvereinbarung, Art. 88 Abs. 1, Abs. 2 DS-GVO)

Interne Ermittlungen

(44)

Einwilligung als RGL

 Einwilligung nach Art. 6 Abs. 1 Buchst. a DS-GVO, § 26 Abs. 2 BDSG

 (P) Freiwilligkeit der Einwilligung; Freiwilligkeit liegt auch vor, wenn Beschäftigte infolge der Verarbeitung einen rechtlichen oder wirtschaftlichen Vorteil erlangen

Interne Ermittlungen

(45)

Freiwilligkeit der Einwilligung

 Gleichgerichtete Interessen zwischen Arbeitgeber und Beschäftigte

 Beispiele: Einführung eines betrieblichen

Gesundheitsmanagements /Gesundheitsförderung; Erlaubnis zur Privatnutzung der betrieblichen EDV (vgl. BT-Drs. 18/11325, 97)

Interne Ermittlungen

(46)

Einwilligung keine taugliche RGL

 Freiwilligkeit der Einwilligung bei internen Ermittlungen, insbesondere bei “Verdächtigen” idR. nicht anzunehmen

 Zudem ist Einwilligung stets widerruflich; Ermittlung stünde zur Disposition

 Denkbar bei Zeugen und Beschäftigten, welche evident nicht verdächtigt warden

 Gesamtumstände, auch der Einholung der Einwilligung entscheidend und kritisch zu prüfen

Interne Ermittlungen

(47)

Art. 6 Abs. 1 lit. f DS-GVO als RGL

 Aufklärungsinteresse als berechtigtes Interesse des Verantwortlichen (?)

 Verantwortlicher wird zur Rechtsverteidigung,

Schadensabwehr oder Verfolgung von strafbarem Verhalten tätig

 (Vorherige) Interessensabwägung erforderlich

 Zumindest oftmals keine überwiegenden Interessen des betroffenen Beschäftigten

Interne Ermittlungen

(48)

Art. 6 Abs. 1 lit. f DS-GVO als RGL

 Entlastung beschuldigter Beschäftigter möglich

 Aber: § 26 Abs. 1 S. 2 BDSG Spezialnorm für Aufdeckung von Straftaten

 Art. 6 Abs. 1 lit. f DS-GVO ist kein Auffangtatbestand „durch die Hintertür“

 Unterscheidung nach Art des Verstoßes; Anwendung des Art.

6 Abs. 1 lit. f. DSGVO wird bei Verstößen gegen interne Verhaltens- oder Ethikregeln diskutiert (str.)

Interne Ermittlungen

(49)

Art. 6 Abs. 1 lit. c DS-GVO als RGL

 Unternehmen der Kredit- und Finanzbranche können auf Basis der § 25 h Abs. 3 Kreditwesengesetz und § 15 Abs. 3 Nr. 2

i.V.m. Abs. 5 Geldwäschegesetz rechtliche Verpflichtungen zur Betrugsprävention und Aufklärung von Geldwäsche treffen

“(…) Jede Transaktion, die im Verhältnis zu vergleichbaren Fällen besonders komplex oder groß ist, ungewöhnlich abläuft oder ohne offensichtlichen

wirtschaftlichen oder rechtmäßigen Zweck erfolgt, ist von Instituten im Sinne von Absatz 1 unbeschadet des § 15 des Geldwäschegesetzes mit angemessenen

Maßnahmen zu untersuchen, um das Risiko der Transaktion im Hinblick auf

strafbare Handlungen im Sinne von Absatz 1 Satz 1 überwachen, einschätzen und gegebenenfalls die Erstattung einer Strafanzeige gemäß § 158 der

Strafprozessordnung prüfen zu können“.

Interne Ermittlungen

(50)

§ 26 Abs. 1 S. 2 BDSG als RGL

„

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu

dokumentierende tatsächliche Anhaltspunkte den Verdacht

begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung

erforderlich ist und das schutzwürdige Interesse der oder des

Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht

unverhältnismäßig sind“

Interne Ermittlungen

(51)

§ 26 Abs. 1 S. 2 BDSG als RGL

 Zentrale Norm für Aufklärungsmaßnahmen bei Straftaten in

§ 26 Abs. 1 S. 2 BDSG (spezifischere Vorschriften gem. Art. 88 DS-

 GVO)Konkrete Verdachtsmomente („einfacher Anfangsverdacht“ iSd.

§ 152 StPO)

 Aufdeckung von Straftaten; kein OWiG oder „nur“ vertragliche Pflichtverletzungen (vgl. LAG Baden-Württemberg, 20.07.2016 - 4 Sa 61/15)

 Maßnahmen gegen „betriebsfremde“ Personen nicht von § 26 BDSG abgedeckt; RGL des Beschäftigtenkontexts

Interne Ermittlungen

(52)

§ 26 Abs. 1 S. 2 BDSG als RGL

 Konkrete Verdachtsmomente, also die „zureichenden

tatsächlichen Anhaltspunkte“ sind vorab zu dokumentieren

 „Datenschutzrechtlicher Einleitungsvermerk“ in welchem

Tatverdacht in Textform dokumentiert wird (Zöll, in: Taeger/Gabel, DS-GVO / BDSG, 3. Aufl., 2019, § 26 BDSG, Rn. 69; Fuhlrott, GWR 2020, 23, 24)

Interne Ermittlungen

(53)

§ 26 Abs. 1 S. 2 BDSG als RGL

 Einleitungsvermerk: „Eine Dokumentation des Verdachts verlangt

§ 32 I 2 BDSG [aF] ebenfalls lediglich insoweit, wie eine Maßnahme

„zur“ Aufdeckung von Straftaten erfolgt“ (vgl. BAG, 22.9.2016 – 2 AZR 848/15)

 Kreis der Verdächtigen oder Verdächtiger zu benennen

 Indizien und beabsichtigten Ermittlungsmaßnahmen angeben (Fuhlrott, GWR 2020, 23, 24)

 Erhaltenen Vorwürfe „zuerst zu plausibilisieren“ (vgl. Lindner, CCZ 2020, 160, 160); ergibt sich auch bereits aus § 26 Abs. 1 S. 2 BDSG und Einleitungsvermerk

Interne Ermittlungen

(54)

Einzuhaltende Datenschutzgrundsätze

 Grundsatz der Zweckbindung; Erhebungsakt zu einem vorab

eindeutig festgelegten und legitimen Zweck (Art. 5 Abs. 1 lit. b DS-

 GVO)Festlegung der Zwecke: Aufklärung des Sachverhalts sowie

Unterstützung der zuständigen Behörden (Klaas, CCZ 2020, 256,

 264)Keine Ermittlungen „ins Blaue hinein“

Interne Ermittlungen

(55)

Einzuhaltende Datenschutzgrundsätze

 Transparenz und Information der beschuldigten Person; Art. 13, 14 DS-GVO

 Befragung bei interner Untersuchung stellt Erhebung bei

Betroffenen dar (Naber/Ahrens, CCZ 2020, 36, 41), Art. 13 DS-GVO

 Vorrang der Direkterhebung; Datenerhebung beim Betroffenen

 Nach Art. 13 DS-GVO ua. über Zweckbestimmung, Verarbeitung oder Nutzung zu unterrichten

 Art. 13 Abs. 1 lit. c DS-GVO über RGL der Verarbeitung zu informieren

Interne Ermittlungen

(56)

Einzuhaltende Datenschutzgrundsätze

 Erhebung bei Dritten; Information nach Art. 14 DS-GVO

 Wenn wirksame Untersuchung des Vorwurfs gefährdet, kann die Information der beschuldigten Person temporär aufgeschoben werden Art. 14 Abs. 5 lit. b DS-GVO

 Dauerhafte Geheimhaltung unzulässig; beeinträchtigt Verteidigungsrechte

 Sobald Grund für Aufschub entfällt, muss Information des Betroffenen nachgeholt werden (Art. 14 Abs. 5 lit. b DS-GVO)

 (P) Quellenschutz (str.)

Interne Ermittlungen

(57)

Einzuhaltende Datenschutzgrundsätze

 Auskunft nach Art. 15 DS-GVO

 Einsicht bezieht sich auch auf Akten von „laufenden internen Untersuchung. (…) Hinweisgebers, dem Anonymität zugesichert worden ist [kann] durch Schwärzung oder eine sonstige technische Vorkehrung unkenntlich zu machen, als dass weder die Person des Hinweisgebers erkennbar ist, noch dass Rückschlüsse auf die

Person möglich sind“ (vgl. LAG Baden-Württemberg, 20.12.2018 - 17 Sa 11/18)

Interne Ermittlungen

(58)

Einzuhaltende Datenschutzgrundsätze

 Richtigkeit nach Art. 5 Abs. 1 lit. d DS-GVO; „Personenbezogene Daten müssen (…) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein“

 Betroffenenrechte der Berichtigung, Sperrung und Löschung müssen eingehalten werden

 Speicherfrist und Löschroutinen bedenken

Interne Ermittlungen

(59)

Einzuhaltende Datenschutzgrundsätze

 Einhaltung technisch-organisatorischer Maßnahmen, Art. 32 DS-

 GVOFür erhobenen Beschäftigtendaten muss Vertraulichkeit gewährleistet sein

 Daten müssen vor Veränderung, Verlust und unberechtigtem Zugriff geschützt werden

 Berechtigungskonzept

 Verschlüsselung

Interne Ermittlungen

(60)

„Bring Your Own Device“-Geräte

 Schwierige Sonderfälle bei Nutzung von BYOD-Geräten

 Sofern Daten nicht auf Server des AG, wäre Gerät erst

herauszuverlangen (Bartz/Grotenrath, CCZ 2019, 184, 186)

 AG hat idR. keine Weisungsbefugnis über das Gerät

 RGL für Auslesen der Daten prüfen (str.)

 Bei heimlichen Auslesen der Daten Strafbarkeit nach §§ 202 a, 202 c StGB denkbar

Interne Ermittlungen

(61)

Teilnahme an Befragung; Interne Ermittlungen

 Arbeitsrechtlich wohl anerkannt, dass AG den AN kraft

Direktionsrecht zu Gespräch bitten „und ihn dabei zu seinen ihm übertragenen Aufgaben befragen darf“ (vgl. Fuhlrott/Oltmanns, NZA 2019, 1105, 1109)

 Datenschutzrechtliche RGL (?); Einwilligung mit Blick auf Freiwilligkeit bei beschuldigter Person kritisch

 Berücksichtigung der Interessen und strafprozessualer

Selbstbelastungsfreiheit des Betroffenen; VerSanG-E sah Pflicht zur Selbstbelastungsbelehrung für Befragungen bei internen Untersuchung vor (§ 18 Abs. 1 Nr. 5 c VerSanG-E)

Interne Ermittlungen

(62)

(P) Tonaufzeichnung bei Mitarbeiterbefragung

 „Wortgenaues Protokoll“ wird zur Beweissicherung idR. empfohlen

 Arbeitsrechtliche Folgefragen: Kann auch ein Wortlaufprotokoll vom Beschäftigten eingefordert werden ? Kann Unterzeichnung verlangt werden ? (vgl. Wilkens, Internal Investigations, mWN.)

 Tonaufzeichnung möglich ? Befragungen mithilfe eines

„Diktiergeräts aufzuzeichnen oder zu filmen“; Einwilligung aller Teilnehmer erforderlich (Naber/Ahrens, CCZ 2020, 36, 42)

 Hemmt oftmals “Auskunftsbereitschaft” (Krug/Skoupil, NJW 2017, 2378)

 § 201 StGB; Nur per ausdrücklicher Einwilligung denkbar, Aber:

Gesamtumstände der Einholung der Einwilligung sind zu berücksichtigen; Alternative: Gesprächsnotizen möglich

Interne Ermittlungen

(63)

Agenda

(64)

 Ratgeber zum Beschäftigtendatenschutz des LfDI BW – 4. Auflage: https://www.baden-

wuerttemberg.datenschutz.de/wp-content/uploads/2020/04/Ratgeber-Beschäftigtendatenschutz.pdf

 Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz v. 14.8.2018: https://www.datenschutzkonferenz- online.de/media/oh/20181114_oh_whistleblowing_hotlines.pdf

 Artikel-29-Datenschutzgruppe Stellungnahme 1/2006 zur Anwendung der EU-Datenschutzvorschriften auf interne Verfahren zur Meldung mutmaßlicher Missstände in den Bereichen Rechnungslegung, interne Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung, Bekämpfung von Korruption, Banken- und Finanzkriminalität: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/wp117_de.pdf

 Rumannseder/Behr/Krakow Hinweisgebersysteme, Implementierung in Deutschland, Österreich und der Schweiz, 2. Auflage 2021

 Altenbach/Dierkes, „EU-Whistleblowing-Richtlinie und DSGVO“, CCZ 2020, 126 ff.

 Dzida/Granetzny, ”Die neue EU-Whistleblowing-Richtlinie und ihre Auswirkungen auf Unternehmen“, NZA 2020, 1201 ff.

 Krug/Skoupil, „Befragungen im Rahmen von internen Untersuchungen“, NJW 2017, 2374 ff.

Ratgeber & Fundstellen

(65)

 Wilkens, “Internal Investigations – Rechte und Pflichten bei der unternehmensinternen Aufklärung von Compliance-Verstößen”, Nomos Schriften zu Compliance 17, 1. Auflage 2020

 Fuhlrott/Oltmanns, „Arbeitnehmerüberwachung und interne Ermittlungen im Lichte der Datenschutz- Grundverordnung“, NZA 2019, 1105 ff.

 Naber/Ahrens, „Befragung von Mitarbeitern im Rahmen von Internal Investigations – Vorgehensweise und aktuelle Herausforderungen“ CCZ 2020, 36 ff.

 Bartz/Grotenrath, „Bring Your Own Device“-Geräte in internen Ermittlungen“, CCZ 2019, 184 ff.

 Klaas, „Die datenschutzkonforme Weitergabe von Ermittlungsergebnissen aus internen Untersuchungen – Teil 1: Nationale Behörden“, CCZ 2020, 256 ff.

 Lindner, „Datenschutz und Interne Untersuchungen – mal anders“, CCZ 2020, 160 ff.

 Fuhlrott, „Der datenschutzrechtliche Einleitungsvermerk bei internen Ermittlungen im Arbeitsverhältnis“

Ratgeber & Fundstellen

(66)

Vielen Dank für Ihre

Aufmerksamkeit!

Weitere Informationen zum Datenschutz und zur Informationsfreiheit

finden Sie auf unserer Webseite www.baden-

wuerttemberg.datenschutz.de

(67)