Datenschutz bei internen Ermittlungen und Hinweisgebersystemen
BvD-Herbstkonferenz Datenschutz & Behördentag 2021 in München
R. Fleißner & D. Joos
Referenten beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit
Baden-Württemberg
Agenda
1. Hinweisgebersysteme
Bedarf für Hinweisgebersysteme
Whistleblower-Richtlinie der EU und E-HinSchG
Implementierung & Datenschutz
Unterrichtungs- und Auskunftspflichten
Berichtigung, Sperrung, Löschung
Technische und organisatorische Maßnahmen 2. Interne Ermittlungen
Rechtliche Rahmenbedingungen
Datenschutzrechtliche Vorgaben
3. Ratgeber und weiterführende Hinweise
Agenda
1. Hinweisgebersysteme
Bedarf für Hinweisgebersysteme
Whistleblower-Richtlinie der EU und E-HinSchG
Implementierung & Datenschutz
Unterrichtungs- und Auskunftspflichten
Berichtigung, Sperrung, Löschung
Technische und organisatorische Maßnahmen 2. Interne Ermittlungen
Rechtliche Rahmenbedingungen
Datenschutzrechtliche Vorgaben
3. Ratgeber und weiterführende Hinweise
Bedarf für Hinweisgebersystem/Hintergrund Hinweisgebersysteme
Korruptes Verhalten
Vermögens- schädigung Missstände
Bedarf für Hinweisgebersystem/Hintergrund Hinweisgebersysteme
Korruptes Verhalten
Vermögens- schädigung Missstände
Bedarf für Hinweisgebersystem/Hintergrund Hinweisgebersysteme
An wen soll ich mich wenden?
Ich fürchte mich vor persönlichen negativen Folgen
Informationsdefizite Betriebliche Missstände
Vermögensschädigung
Bedarf für Hinweisgebersystem/Hintergrund Hinweisgebersysteme
An wen soll ich mich wenden?
Ich fürchte mich vor persönlichen negativen Folgen
Informationsdefizite Betriebliche Missstände
Vermögensschädigung Aktive Förderung
des Whistleblowing Erhöhung der
Anzeigebereitschaft Umfassender Schutz
Bedarf für Hinweisgebersystem/Hintergrund Begriff
Weitergabe von Informationen
über Verstöße gegen Verhaltenspflichten
an eine hierfür eingerichtete Stelle
Ergänzender Mechanismus zu bestehenden Kanälen wie bspw. Mitarbeitetendenvertretungen, interne Auditoren
Hinweisgebersysteme
Rechtliche Rahmenbedingungen (bisher)
Bisher nur partielle Pflicht zur Einführung von Hinweisgebersystemen
Kreditwesengesetz, § 25 a Abs. 1 S. 3 Nr. 3 Kreditwesengesetz
Finanzdienstleistungssektor, § 4 d Abs. 1 Finanzdienstleistungsaufsichtsgesetz
Schutz von Hinweisgebern jedoch auch nur partiell
§ 17 Abs. 2 Arbeitsschutzgesetz sieht Verbot von Repressalien vor
§ 48 Geldwäschegesetz sieht „Freistellung von zivilrechtlicher und strafrechtlicher Verantwortlichkeit“ vor
Hinweisgebersysteme
Rechtliche Rahmenbedingungen (neu)
EU-Richtlinie 2019/1937 vom 23. Oktober 2019
Zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden - Whistleblowing-RL
Inkraft getreten im Dezember 2019
Umsetzungsrahmen 2 Jahre
Hinweisgeberschutzgesetz liegt im Referentenentwurf (E-HinSchG) vor Inkrafttreten vorgesehen zum 17. Dezember 2021 (?)
Hinweisgebersysteme
Whistleblowing-RL und E-HinSchG Eckpunkte Hinweisgebersysteme
Whistleblower-Richtlinie E-HinSchG Interne Meldestelle einzurichten ab
50 Mitarbeitenden
Behörden und Kommunen mit mehr als 10.000 Einwohnern
Persönlicher Anwendungsbereich Arbeitsverhältnis im privaten und öffentlichen Sektor
Außerdem Verwandte und sonstige
Interne Meldestelle einzurichten ab 50 Mitarbeitenden
(Übergangsvorschrift bis 2023 erst ab 250 Mitarbeitenden?)
Behörden ab 50 Mitarbeitenden Bei Gemeinden LandesR
Persönlicher Anwendungsbereich Berufliche oder dienstliche Tätigkeit
Sonstige Personen, die von einer
Whistleblowing-RL und E-HinSchG Eckpunkte Hinweisgebersysteme
Whistleblower-Richtlinie E-HinSchG Im beruflichen Kontext
Informationen über Verstöße
Sachlicher Anwendungsbereich Verstöße gegen EU-Recht, also insbes. auch DS-GVO
Meldewege
Internes Hinweisgebersystem Externes Hinweisgebersystem
Kein Rangverhältnis der Meldewege, aber Meldung an die Presse im
Informationen im Zusammenhang mit beruflicher oder dienstlicher Tätigkeit
Sachlicher Anwendungsbereich Auch Verstöße gegen nationale Normen
Meldewege
Internes Hinweisgebersystem Externes Hinweisgebersystem Wahlrecht, aber es sollen Anreize geschaffen werden, dass zunächst
Implementierung & Datenschutz, Grundsätze
Spannungsverhältnis zwischen datenschutzrechtlicher Transparenz und Schutz der Identität des Whistleblowers
Erforderlichkeit und Angemessenheit der Datenverarbeitung, Datenerhebung nur für festgelegte, eindeutige und legitime Zwecke (Grundsätze gem. Art. 5 DS-GVO)
Außerhalb einer gesetzlichen Pflicht zur Einrichtung eines Hinweisgebersystems: Meldung in Betracht kommende Personenkreis Zahl der Personen begrenzen kommt mit Whistleblower-RL nicht mehr in Betracht
Hinweisgebersysteme
Implementierung & Datenschutz; Betroffene Daten
Personenbezogene Daten über die Beschuldigten
Personenbezogene Daten des Hinweisgebers: Name, Kontaktdaten ggf. auch indirekt über die Position des Hinweisgebers im
Unternehmen o.ä. (ggf. aber anonyme Ausgestaltung)
Sachverhaltsdarstellung
Personenbezogene Daten über weitere am Sachverhalt beteiligte Betroffene
Hinweisgebersysteme
Implementierung & Datenschutz; Rechtsgrundlagen
Art. 6 Abs. 1 lit. c DS-GVO- Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich
bislang nur in ausgewählten Wirtschaftsbereichen z.B. § 25a Abs. 1 Satz 3 Nr. 3 Kreditwesengesetz
Hinweisgebersysteme
Implementierung & Datenschutz; Rechtsgrundlagen
Änderung mit Whistleblowing-RL:
Pflicht zur Einrichtung von Hinweisgeberstellen nach § 12 E- HinSchGArt. 6 Abs. 1 lit. c DS-GVO
§ 10 E-HinSchG
„Die Meldestellen sind befugt, personenbezogene Daten zu
verarbeiten, soweit dies zur Erfüllung ihrer in den § 13 und § 23 bezeichneten Aufgabe erforderlich ist.“
Prüfen der Stichhaltigkeit von Meldungen
ggf. Ergreifen von Folgemaßnahmen
Hinweisgebersysteme
Implementierung & Datenschutz; Rechtsgrundlagen
Art. 6 Abs. 1 lit. b, Art. 88 DS-GVO, § 26 Abs. 1 BDSG
Neben (teilweise) automatisierter Verarbeitung und Speicherung im Dateisystem sind im Beschäftigtendatenschutz auch handschriftliche Aufzeichnungen erfasst
Hinweisgeber sind idR Beschäftigte iSd § 26 Abs. 8 BDSG
Wertung des § 26 Abs. 1 S. 3 BDSG: Strafrechtlich relevantes Verhalten ist Grundlage für die Datenverarbeitung
Erforderlichkeit der Verarbeitung für das Beschäftigungsverhältnis nicht gegeben
Hinweisgebersysteme
Implementierung & Datenschutz; Rechtsgrundlagen
Art. 6 Abs. 1 lit. a DS-GVO, § 26 Abs. 2 BDSG Einwilligung
Im Beschäftigtenkontext kritisch Freiwilligkeit
Jedenfalls aber nur auf Seite des Hinweisgebers denkbar
Nicht einschlägig auf Seiten des Beschuldigten
Vorab Information erforderlich
Problem der Widerruflichkeit
Keine Einwilligung in die Verarbeitung von Daten Dritter
Abschluss von Kollektivvereinbarungen gem. § 26 Abs. 4 BDSG
nicht möglich für die Verarbeitung von Daten Dritter
Hinweisgebersysteme
Implementierung & Datenschutz; Rechtsgrundlagen
Art. 6 Abs. 1 S. 1 lit. f. berechtigtes Interesse des Unternehmens
Verhütung und Verfolgung von strafbarem Verhalten als berechtigtes Interesse?
Unterscheidung nach Art des Verstoßes:
Interne Verhaltens- oder Ethikregeln des Unternehmens (Keine Abwägung bei unwirksamen Regelungen)
Ein sich gegen das Unternehmen richtender Straftatbestand, Menschenrechtsverletzungen
Meldung von Verstößen außerhalb des „abgewogenen“ Katalogs dürfen nicht weiter verarbeitet werden
Hinweisgebersysteme
Implementierung & Datenschutz; Anonymes Meldesystem?
Hinweisgebersysteme
Ermutigung zur Meldung
Unternehmensschädigung statt Möglichkeit zur internen
Aufklärung
Meldung anderenfalls direkt an externe Stellen
Verleumdungsgefahr
Eingeschränkte
Sachverhaltsaufklärung m/Rückfragemöglichkeit Begünstigung von Missbrauch und Denunziantentum
Implementierung & Datenschutz; Anonymes Meldesystem?
Hinweisgebersysteme
Ermutigung zur Meldung
Unternehmensschädigung statt Möglichkeit zur internen
Aufklärung
Meldung anderenfalls direkt an externe Stellen
Verleumdungsgefahr
Eingeschränkte
Sachverhaltsaufklärung m/Rückfragemöglichkeit
Begünstigung von Missbrauch und Denunziantentum
Whistleblowing-RL und E-
HinSchG sehen keine Pflicht zur Implementierung vor
§ 26 E-HinSchG:
Keine Bearbeitungspflicht bei anonymen Meldungen für externe Meldestellen
Implementierung & Datenschutz
Erforderlichkeit einer Datenschutzfolgeabschätzung gem. Art. 35 Abs.1 DS- GVO?
Grundsätzlich erforderlich bei Form der Verarbeitung, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Daten über potenziell strafrechtlich relevantes Verhalten werden verarbeitet
Für den Hinweisgeber besteht das Risiko, dass seine Anonymität nicht geschützt wird
Beteiligung des Datenschutzbeauftragten
Hinweisgebersysteme
Implementierung & Datenschutz
Externer Betrieb des Hinweisgebersystems (≠ externer Meldekanal)
Einschaltung von externen Dritten grundsätzlich möglich
Nach Art. 8 Abs. 5 Whistleblowing-RL ist das Einschalten von externen Dritten grundsätzlich vorgesehen z.B. Dienstleister für den Betrieb des Hinweisgebersystems
Bewertung im Rahmen der Datenschutz-Folgenabschätzung erforderlich
Hinweisgebersysteme
Implementierung & Datenschutz
Externer Betrieb des Hinweisgebersystems (≠ externer Meldekanal) Eigene Verantwortlichkeit oder Auftragsverarbeitung iSd Art. 28 DS- GVO (weisungsgebunden)?
Lediglich Verwaltung von Hinweisen durch Entgegennahme und Konsolidierung spricht für Auftragsverarbeitung, Briefkasten
Auftragsverarbeitungsvertrag erforderlich
Eigenständiges Treffen von Entscheidungen, Inanspruchnahme von Fachleistungen z.B. Beratungen, Weisungs- und Kontrollmöglichkeiten sind nicht gegeben
eigene Verantwortlichkeit,
ggf. gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO
Hinweisgebersysteme
Implementierung & Datenschutz
Externer Betrieb des Hinweisgebersystems (≠ externer Meldekanal)
Nach Art. 8 Abs. 5 Whistleblower-RL gelten Art. 9 Garantien und Anforderungen dann auch für den beauftragten Dritten
z.B. sichere Konzeption des Meldekanals, kein Zugriff Unbefugter
Bei einem Auftragsverarbeitungsverhältnis müssen insbesondere Garantien für geeignete technische und organisatorische Maßnahmen vorliegen
Außerhalb eines Auftragsverarbeitungsverhältnisses ist eine eigenständige RGL für die Übermittlung erforderlich
Im Konzern besteht kein Konzernprivileg, sodass auch andere Gesellschaften in der Unternehmensgruppe idR Dritte sind RGL für Übermittlung der Daten
erforderlich
Hinweisgebersysteme
Implementierung & Datenschutz
Sonstige Übermittlung an Dritte
Bei personenbezogenen Daten von Beschäftigten grundsätzlich nicht zulässig
Ausnahme: Akteneinsichtsrechte in einem etwaigen
Strafverfahren; Weitergabe zur Verfolgung von Straftaten nach Art.
6 Abs. 1 lit. f DS-GVO iVm § 24 Abs. 1 Nr. 1 BDSG gerechtfertigt.
auch in § 9 E-HinSchG vorgesehen
Hinweisgebersysteme
Unterrichtungs- und Auskunftspflichten
…gegenüber der beschuldigten Person
Personenbezogene Daten werden nicht bei der betroffenen Person selbst erhoben, da Hinweis von Dritten
Unterrichtungspflicht nach Art. 13, Art. 14 DS-GVO bei Verarbeitung von personenbezogenen Daten
Grundsätzlich spätestens innerhalb eines Monats
Unterrichtungspflicht steht im Widerspruch zum Ermittlungsinteresse
Hinweisgebersysteme
Unterrichtungs- und Auskunftspflichten
…gegenüber der beschuldigten Person
Art. 14 sieht auch Angabe der Quelle vor
Über Identität des Hinweisgebers muss informiert werden.
Hinweisgebersystem als Quellenangabe i.d.R. nicht ausreichend (Ausnahme: Ombudsperson, die Berufsgeheimnis unterliegt (?))
Hinauszögern der Unterrichtung kritisch:
Einschätzung, ab welchem Zeitpunkt die Verwirklichung der Ziele der Datenverarbeitung nicht mehr beeinträchtigt sind
Art. 14 Abs. 5 lit. c DS-GVO § 29 Abs. 1 S. 1 BDSG Interessenabwägung ?
Hinweisgebersysteme
Unterrichtungs- und Auskunftspflichten
…gegenüber der beschuldigten Person
Andere Wertung durch Art. 16 Whistleblower-RL
Schutz der Identität des Hinweisgebers
Vertraulichkeit gefordert
Offenlegung der Identität des Hinweisgebers ist nur ausnahmsweise vorgesehen
Keine direkte oder indirekte Preisgabe der Identität
Hinweisgebersysteme
Unterrichtungs- und Auskunftspflichten Auskunftsverlangen gem. Art. 15 DS-GVO
Anspruch besteht seitens Hinweisgeber und seitens beschuldigter Person
Umfasst auch die verarbeiteten Daten sowie die Umstände der Verarbeitung
Recht auf Information über Herkunft der personenbezogenen Daten
Auskunftsverpflichtung kollidiert mit anonymer Meldung seitens Hinweisgeber
Hinweisgebersysteme
Unterrichtungs- und Auskunftspflichten Reichweite des Auskunftsanspruchs
LAG Baden-Württemberg, Urt. v. 20.12.2018 – 17 Sa 11/18 zu Art. 15 DS- GVO:
„Jedenfalls führt auch das Vorliegen eines Geheimhaltungsgrundes nicht zwangsläufig zu dem Recht, die geforderte Auskunft zu verweigern. Das Recht auf Auskunft wird gem. § 34 I iVm § 29 I 2 BDSG nur eingeschränkt,
„soweit“ durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Damit ist eine dem Grundsatz der Verhältnismäßigkeit Rechnung tragende Güterabwägung zwischen dem
Geheimhaltungsinteresse einerseits und dem Auskunftsinteresse andererseits geboten.“
Hinweisgebersysteme
Unterrichtungs- und Auskunftspflichten
Extensive Auslegung des Auskunftsrechts
Zum Schutz der Identität von Informanten kann grundsätzlich die Ausnahme nach § 29 Abs. 1 S. 2 BDSG greifen
Allein die Zusage der Geheimhaltung der Identität ist aber kein hinreichender Grund für Zurückhaltung der Identität des
Hinweisgebers
Abwägung erforderlich
Weitreichende Darlegungspflicht bei Auskunftsverweigerung ( bereits Hinweise auf Identität des Whistleblowers?)
Hinweisgebersysteme
Unterrichtungs- und Auskunftspflichten
Wertung durch Art. 16 Whistleblowing-RL
Bezüglich der Wahrung der Identität des Whistleblowers Vertraulichkeitsgebot
Nicht pauschal alle Dokumente im Hinweisgebersystem sind hiervon erfasst
Art. 16 kann zukünftig die Offenlegung der Identität von Hinweisgebern erschweren bzw. ausschließen
In ErwGr. 84 der Whistleblowing-RL ist eine Aufforderung normiert, die Hinweisgeber über die Beschränkung von Rechten und Pflichten nach Art.
23 DS-GVO zu schützen.
Hinweisgebersysteme
Berichtigung, Sperrung und Löschung
Löschkonzept erforderlich
2 Monate nach Abschluss des Verfahrens;
Ausnahme: die Klärung weiterer rechtlicher Schritte ist erforderlich z.B.
Disziplinarverfahren, Einleitung Strafverfahren
Bei auf Art. 6 Abs. 1 lit. f DS-GVO gestützte Verarbeitung und Meldung von Verstößen außerhalb des Abwägungskatalogs: unverzügliche Löschung
§ 18 Abs. 1 S. 2 Whistleblowing-RL Die Meldungen sollen „nicht länger
aufbewahrt werden als dies erforderlich und verhältnismäßig ist, um die von dieser Richtlinie auferlegten Anforderungen oder andere Anforderungen nach Unionsrecht oder nationalem Recht zu erfüllen“
§ 11 Abs. 4 E-HinSchG: Löschung der Dokumentation nach Abschluss des Verfahrens
Hinweisgebersysteme
Berichtigung, Sperrung und Löschung
Art. 17 Whistleblowing-RL
Keine Relevanz für spezifische Meldung: keine Erhebung oder unverzügliche Löschung
Unbeabsichtigte Erhebung: unverzügliche Löschung
Widerspruchsrecht nach Art. 21 DS-GVO und Recht auf Einschränkung nach Art. 5 lit. 1 d DS-GVO beachten
Hinweisgebersysteme
Technische und organisatorische Maßnahmen
- Intern nicht innerhalb der Personalverwaltung - Berechtigungskonzept
- Verschlüsselungsverfahren
- Protokollierung von Dateneingaben und Löschroutinen
Hinweisgebersysteme
Agenda
1. Hinweisgebersysteme
Bedarf für Hinweisgebersysteme
Whistleblower-Richtlinie der EU und E-HinSchG
Implementierung & Datenschutz
Unterrichtungs- und Auskunftspflichten
Berichtigung, Sperrung, Löschung
Technische und organisatorische Maßnahmen 2. Interne Ermittlungen
Rechtliche Rahmenbedingungen
Datenschutzrechtliche Vorgaben
3. Ratgeber und weiterführende Hinweise
Definitionsversuch: Interne Ermittlungen
Untersuchungsmaßnahmen privatwirtschaftlicher Unternehmen beim Verdacht von Straftaten, Verstoß gegen Gesetze oder zur Aufdeckung vermuteten Fehlverhaltens eigener Beschäftigter
Untersuchung durch externe Kanzleien oder unternehmenseigen denkbar
Ohne hoheitliche Befugnisse
Aus eigenem Antrieb: Zur Kündigungsvorbereitung oder Haftungspriviligierung etc.
Oftmals Mitwirkung an behördlicher oder polizeilicher Aufklärungsarbeit
(Kollektiv-) Arbeitsrechtliche-/ Strafrechtliche und Datenschutzrechtliche Fragestellungen und Konflikte
Interne Ermittlungen
Hintergrund; Interne Ermittlungen
Unternehmensleitung trifft Pflicht zur Aufklärung bei relevanten Verstößen, insbesondere Straftaten („Compliance“)
§§ 130, 30 Ordnungswidrigkeitengesetz pönalisiert Aufsichtspflichtverletzung
§§ 93, 111 Aktiengesetz normiert Überwachungsaufgaben des Aufsichtsrats
Aufklärung kann zu Haftungspriviligierung der Leitungsebene führen
Branchenunterschiede vorhanden; insbesondere in der Finanz- / Kreditbranche höhere Complianceregulation
Interne Ermittlungen
Häufige Mittel bei internen Ermittlungen
Mitarbeiterbefragungen; Zeugen und Verdächtige
Sichtung dienstlicher Unterlagen in elektronischer und Papierform
Durchsuchung von Arbeitsplätzen und Betriebsorten
Sichtung und Auswertung von E-Mailkorrespondenz
IT-Forensische Untersuchungen
Überprüfung, Auswertung oder Abgleich von Belegen, Abrechnungen oder sonstige Revisionsmaßnahmen
RGL & Verhältnismäßigkeit muss für jede Ermittlungsmaßnahme vorliegen
(Bußgeldbewährter) Datenschutz- verstoß oder möglw.
Straftat nach StGB (§§ 202 ff. StGB)
Interne Ermittlungen
RGL für interne Ermittlungen
Private Ermittlungsleistung; keine Anwendung der Ermächtigungen und Befugnisse der StPO
Auch Compliance-Richtlinien oder Konzernregelungen sind keine Rechtsgrundlage für Ermittlungseingriffe
Sarbanes-Oxley Act (?); auch amerikanische Bundesgesetze stellen keine Ermächtigungsgrundlage für Eingriffe in
Persönlichkeitsrechte dar (vgl. BVerfG, 24.04.2013 – 1 BvR 1215/07)
Interne Ermittlungen
RGL für interne Ermittlungen
Entwurf des „Verbandssanktionengesetzes - Gesetz zur Stärkung der Integrität in der Wirtschaft“), § 17 Abs. 1 Nr. 5. VerSanG-E: „Das Gericht soll die Verbandssanktion mildern, wenn (…) die
Befragungen in der verbandsinternen Untersuchung unter
Beachtung der Grundsätze eines fairen Verfahrens durchgeführt werden, insbesondere (…)“
Verbandssanktionengesetz wurde vom BT nicht verabschiedet und ist somit nicht in Kraft getreten
Interne Ermittlungen
RGL für interne Ermittlungen
Einwilligung, Art. 6 Abs. 1 lit. a DS-GVO, § 26 Abs. 2 BDSG
Berechtigte Interessen, Art. 6 Abs. 1 lit. f DSGVO
Rechtliche Verpflichtung, Art. 6 Abs. 1 lit. c DS-GVO
Aufdeckung von Straftaten, § 26 Abs. 1 S. 2 BDSG
(Präventive Compliance-Maßnahmen, § 26 Abs. 1 S. 1 BDSG)
(Kollektivvereinbarung, Art. 88 Abs. 1, Abs. 2 DS-GVO)
Interne Ermittlungen
Einwilligung als RGL
Einwilligung nach Art. 6 Abs. 1 Buchst. a DS-GVO, § 26 Abs. 2 BDSG
(P) Freiwilligkeit der Einwilligung; Freiwilligkeit liegt auch vor, wenn Beschäftigte infolge der Verarbeitung einen rechtlichen oder wirtschaftlichen Vorteil erlangen
Interne Ermittlungen
Freiwilligkeit der Einwilligung
Gleichgerichtete Interessen zwischen Arbeitgeber und Beschäftigte
Beispiele: Einführung eines betrieblichen
Gesundheitsmanagements /Gesundheitsförderung; Erlaubnis zur Privatnutzung der betrieblichen EDV (vgl. BT-Drs. 18/11325, 97)
Interne Ermittlungen
Einwilligung keine taugliche RGL
Freiwilligkeit der Einwilligung bei internen Ermittlungen, insbesondere bei “Verdächtigen” idR. nicht anzunehmen
Zudem ist Einwilligung stets widerruflich; Ermittlung stünde zur Disposition
Denkbar bei Zeugen und Beschäftigten, welche evident nicht verdächtigt warden
Gesamtumstände, auch der Einholung der Einwilligung entscheidend und kritisch zu prüfen
Interne Ermittlungen
Art. 6 Abs. 1 lit. f DS-GVO als RGL
Aufklärungsinteresse als berechtigtes Interesse des Verantwortlichen (?)
Verantwortlicher wird zur Rechtsverteidigung,
Schadensabwehr oder Verfolgung von strafbarem Verhalten tätig
(Vorherige) Interessensabwägung erforderlich
Zumindest oftmals keine überwiegenden Interessen des betroffenen Beschäftigten
Interne Ermittlungen
Art. 6 Abs. 1 lit. f DS-GVO als RGL
Entlastung beschuldigter Beschäftigter möglich
Aber: § 26 Abs. 1 S. 2 BDSG Spezialnorm für Aufdeckung von Straftaten
Art. 6 Abs. 1 lit. f DS-GVO ist kein Auffangtatbestand „durch die Hintertür“
Unterscheidung nach Art des Verstoßes; Anwendung des Art.
6 Abs. 1 lit. f. DSGVO wird bei Verstößen gegen interne Verhaltens- oder Ethikregeln diskutiert (str.)
Interne Ermittlungen
Art. 6 Abs. 1 lit. c DS-GVO als RGL
Unternehmen der Kredit- und Finanzbranche können auf Basis der § 25 h Abs. 3 Kreditwesengesetz und § 15 Abs. 3 Nr. 2
i.V.m. Abs. 5 Geldwäschegesetz rechtliche Verpflichtungen zur Betrugsprävention und Aufklärung von Geldwäsche treffen
“(…) Jede Transaktion, die im Verhältnis zu vergleichbaren Fällen besonders komplex oder groß ist, ungewöhnlich abläuft oder ohne offensichtlichen
wirtschaftlichen oder rechtmäßigen Zweck erfolgt, ist von Instituten im Sinne von Absatz 1 unbeschadet des § 15 des Geldwäschegesetzes mit angemessenen
Maßnahmen zu untersuchen, um das Risiko der Transaktion im Hinblick auf
strafbare Handlungen im Sinne von Absatz 1 Satz 1 überwachen, einschätzen und gegebenenfalls die Erstattung einer Strafanzeige gemäß § 158 der
Strafprozessordnung prüfen zu können“.
Interne Ermittlungen
§ 26 Abs. 1 S. 2 BDSG als RGL
„
Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zudokumentierende tatsächliche Anhaltspunkte den Verdacht
begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung
erforderlich ist und das schutzwürdige Interesse der oder des
Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht
unverhältnismäßig sind“
Interne Ermittlungen
§ 26 Abs. 1 S. 2 BDSG als RGL
Zentrale Norm für Aufklärungsmaßnahmen bei Straftaten in
§ 26 Abs. 1 S. 2 BDSG (spezifischere Vorschriften gem. Art. 88 DS-
GVO)Konkrete Verdachtsmomente („einfacher Anfangsverdacht“ iSd.
§ 152 StPO)
Aufdeckung von Straftaten; kein OWiG oder „nur“ vertragliche Pflichtverletzungen (vgl. LAG Baden-Württemberg, 20.07.2016 - 4 Sa 61/15)
Maßnahmen gegen „betriebsfremde“ Personen nicht von § 26 BDSG abgedeckt; RGL des Beschäftigtenkontexts
Interne Ermittlungen
§ 26 Abs. 1 S. 2 BDSG als RGL
Konkrete Verdachtsmomente, also die „zureichenden
tatsächlichen Anhaltspunkte“ sind vorab zu dokumentieren
„Datenschutzrechtlicher Einleitungsvermerk“ in welchem
Tatverdacht in Textform dokumentiert wird (Zöll, in: Taeger/Gabel, DS-GVO / BDSG, 3. Aufl., 2019, § 26 BDSG, Rn. 69; Fuhlrott, GWR 2020, 23, 24)
Interne Ermittlungen
§ 26 Abs. 1 S. 2 BDSG als RGL
Einleitungsvermerk: „Eine Dokumentation des Verdachts verlangt
§ 32 I 2 BDSG [aF] ebenfalls lediglich insoweit, wie eine Maßnahme
„zur“ Aufdeckung von Straftaten erfolgt“ (vgl. BAG, 22.9.2016 – 2 AZR 848/15)
Kreis der Verdächtigen oder Verdächtiger zu benennen
Indizien und beabsichtigten Ermittlungsmaßnahmen angeben (Fuhlrott, GWR 2020, 23, 24)
Erhaltenen Vorwürfe „zuerst zu plausibilisieren“ (vgl. Lindner, CCZ 2020, 160, 160); ergibt sich auch bereits aus § 26 Abs. 1 S. 2 BDSG und Einleitungsvermerk
Interne Ermittlungen
Einzuhaltende Datenschutzgrundsätze
Grundsatz der Zweckbindung; Erhebungsakt zu einem vorab
eindeutig festgelegten und legitimen Zweck (Art. 5 Abs. 1 lit. b DS-
GVO)Festlegung der Zwecke: Aufklärung des Sachverhalts sowie
Unterstützung der zuständigen Behörden (Klaas, CCZ 2020, 256,
264)Keine Ermittlungen „ins Blaue hinein“
Interne Ermittlungen
Einzuhaltende Datenschutzgrundsätze
Transparenz und Information der beschuldigten Person; Art. 13, 14 DS-GVO
Befragung bei interner Untersuchung stellt Erhebung bei
Betroffenen dar (Naber/Ahrens, CCZ 2020, 36, 41), Art. 13 DS-GVO
Vorrang der Direkterhebung; Datenerhebung beim Betroffenen
Nach Art. 13 DS-GVO ua. über Zweckbestimmung, Verarbeitung oder Nutzung zu unterrichten
Art. 13 Abs. 1 lit. c DS-GVO über RGL der Verarbeitung zu informieren
Interne Ermittlungen
Einzuhaltende Datenschutzgrundsätze
Erhebung bei Dritten; Information nach Art. 14 DS-GVO
Wenn wirksame Untersuchung des Vorwurfs gefährdet, kann die Information der beschuldigten Person temporär aufgeschoben werden Art. 14 Abs. 5 lit. b DS-GVO
Dauerhafte Geheimhaltung unzulässig; beeinträchtigt Verteidigungsrechte
Sobald Grund für Aufschub entfällt, muss Information des Betroffenen nachgeholt werden (Art. 14 Abs. 5 lit. b DS-GVO)
(P) Quellenschutz (str.)
Interne Ermittlungen
Einzuhaltende Datenschutzgrundsätze
Auskunft nach Art. 15 DS-GVO
Einsicht bezieht sich auch auf Akten von „laufenden internen Untersuchung. (…) Hinweisgebers, dem Anonymität zugesichert worden ist [kann] durch Schwärzung oder eine sonstige technische Vorkehrung unkenntlich zu machen, als dass weder die Person des Hinweisgebers erkennbar ist, noch dass Rückschlüsse auf die
Person möglich sind“ (vgl. LAG Baden-Württemberg, 20.12.2018 - 17 Sa 11/18)
Interne Ermittlungen
Einzuhaltende Datenschutzgrundsätze
Richtigkeit nach Art. 5 Abs. 1 lit. d DS-GVO; „Personenbezogene Daten müssen (…) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein“
Betroffenenrechte der Berichtigung, Sperrung und Löschung müssen eingehalten werden
Speicherfrist und Löschroutinen bedenken
Interne Ermittlungen
Einzuhaltende Datenschutzgrundsätze
Einhaltung technisch-organisatorischer Maßnahmen, Art. 32 DS-
GVOFür erhobenen Beschäftigtendaten muss Vertraulichkeit gewährleistet sein
Daten müssen vor Veränderung, Verlust und unberechtigtem Zugriff geschützt werden
Berechtigungskonzept
Verschlüsselung
Interne Ermittlungen
„Bring Your Own Device“-Geräte
Schwierige Sonderfälle bei Nutzung von BYOD-Geräten
Sofern Daten nicht auf Server des AG, wäre Gerät erst
herauszuverlangen (Bartz/Grotenrath, CCZ 2019, 184, 186)
AG hat idR. keine Weisungsbefugnis über das Gerät
RGL für Auslesen der Daten prüfen (str.)
Bei heimlichen Auslesen der Daten Strafbarkeit nach §§ 202 a, 202 c StGB denkbar
Interne Ermittlungen
Teilnahme an Befragung; Interne Ermittlungen
Arbeitsrechtlich wohl anerkannt, dass AG den AN kraft
Direktionsrecht zu Gespräch bitten „und ihn dabei zu seinen ihm übertragenen Aufgaben befragen darf“ (vgl. Fuhlrott/Oltmanns, NZA 2019, 1105, 1109)
Datenschutzrechtliche RGL (?); Einwilligung mit Blick auf Freiwilligkeit bei beschuldigter Person kritisch
Berücksichtigung der Interessen und strafprozessualer
Selbstbelastungsfreiheit des Betroffenen; VerSanG-E sah Pflicht zur Selbstbelastungsbelehrung für Befragungen bei internen Untersuchung vor (§ 18 Abs. 1 Nr. 5 c VerSanG-E)
Interne Ermittlungen
(P) Tonaufzeichnung bei Mitarbeiterbefragung
„Wortgenaues Protokoll“ wird zur Beweissicherung idR. empfohlen
Arbeitsrechtliche Folgefragen: Kann auch ein Wortlaufprotokoll vom Beschäftigten eingefordert werden ? Kann Unterzeichnung verlangt werden ? (vgl. Wilkens, Internal Investigations, mWN.)
Tonaufzeichnung möglich ? Befragungen mithilfe eines
„Diktiergeräts aufzuzeichnen oder zu filmen“; Einwilligung aller Teilnehmer erforderlich (Naber/Ahrens, CCZ 2020, 36, 42)
Hemmt oftmals “Auskunftsbereitschaft” (Krug/Skoupil, NJW 2017, 2378)
§ 201 StGB; Nur per ausdrücklicher Einwilligung denkbar, Aber:
Gesamtumstände der Einholung der Einwilligung sind zu berücksichtigen; Alternative: Gesprächsnotizen möglich
Interne Ermittlungen
Agenda
1. Hinweisgebersysteme
Bedarf für Hinweisgebersysteme
Whistleblower-Richtlinie der EU und E-HinSchG
Implementierung & Datenschutz
Unterrichtungs- und Auskunftspflichten
Berichtigung, Sperrung, Löschung
Technische und organisatorische Maßnahmen 2. Interne Ermittlungen
Rechtliche Rahmenbedingungen
Datenschutzrechtliche Vorgaben
3. Ratgeber und weiterführende Hinweise
Ratgeber zum Beschäftigtendatenschutz des LfDI BW – 4. Auflage: https://www.baden-
wuerttemberg.datenschutz.de/wp-content/uploads/2020/04/Ratgeber-Beschäftigtendatenschutz.pdf
Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz v. 14.8.2018: https://www.datenschutzkonferenz- online.de/media/oh/20181114_oh_whistleblowing_hotlines.pdf
Artikel-29-Datenschutzgruppe Stellungnahme 1/2006 zur Anwendung der EU-Datenschutzvorschriften auf interne Verfahren zur Meldung mutmaßlicher Missstände in den Bereichen Rechnungslegung, interne Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung, Bekämpfung von Korruption, Banken- und Finanzkriminalität: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/wp117_de.pdf
Rumannseder/Behr/Krakow Hinweisgebersysteme, Implementierung in Deutschland, Österreich und der Schweiz, 2. Auflage 2021
Altenbach/Dierkes, „EU-Whistleblowing-Richtlinie und DSGVO“, CCZ 2020, 126 ff.
Dzida/Granetzny, ”Die neue EU-Whistleblowing-Richtlinie und ihre Auswirkungen auf Unternehmen“, NZA 2020, 1201 ff.
Krug/Skoupil, „Befragungen im Rahmen von internen Untersuchungen“, NJW 2017, 2374 ff.
Ratgeber & Fundstellen
Wilkens, “Internal Investigations – Rechte und Pflichten bei der unternehmensinternen Aufklärung von Compliance-Verstößen”, Nomos Schriften zu Compliance 17, 1. Auflage 2020
Fuhlrott/Oltmanns, „Arbeitnehmerüberwachung und interne Ermittlungen im Lichte der Datenschutz- Grundverordnung“, NZA 2019, 1105 ff.
Naber/Ahrens, „Befragung von Mitarbeitern im Rahmen von Internal Investigations – Vorgehensweise und aktuelle Herausforderungen“ CCZ 2020, 36 ff.
Bartz/Grotenrath, „Bring Your Own Device“-Geräte in internen Ermittlungen“, CCZ 2019, 184 ff.
Klaas, „Die datenschutzkonforme Weitergabe von Ermittlungsergebnissen aus internen Untersuchungen – Teil 1: Nationale Behörden“, CCZ 2020, 256 ff.
Lindner, „Datenschutz und Interne Untersuchungen – mal anders“, CCZ 2020, 160 ff.
Fuhlrott, „Der datenschutzrechtliche Einleitungsvermerk bei internen Ermittlungen im Arbeitsverhältnis“
Ratgeber & Fundstellen
Vielen Dank für Ihre
Aufmerksamkeit!
Weitere Informationen zum Datenschutz und zur Informationsfreiheit
finden Sie auf unserer Webseite www.baden-
wuerttemberg.datenschutz.de