Dieselgate
Im Jahr 2015 deckte eine interne Ermittlung den als "Dieselgate" bekannt gewordenen VW-Abgasskandal auf. Es stellte sich heraus, dass das Unternehmen in Millionen von Fahrzeugen eine spezielle Software installiert hatte, um die Abgaswerte bei Tests zu manipulieren. Die Enthüllungen führten zu hohen Geldstrafen für den deutschen Automobilhersteller. Der Skandal schockierte die Verbraucher und warf ein Schlaglicht auf die Praktiken der Automobilindustrie.
Wie läuft eine Interne Ermittlung ab?
Der Prozess einer internen Ermittlung beginnt oftmals mit der Meldung des mutmaßlichen Verstoßes, z. B. über das Hinweisgebersystem.
Dann wird ein Untersuchungsteam gebildet. Für die Zusammensetzung des Teams gibt es keine starren Vorgaben. Üblich ist die Einbindung von Vertretern der Rechtsabteilung, der Compliance-Abteilung, der Innenrevision und ggf. der betroffenen Geschäftseinheit. Auch Externe wie Wirtschaftsprüfer und Rechtsanwälte können hinzugezogen werden.
Mit der Datenanalyse folgt dann der wichtigste Schritt in diesem Prozess, d. h. das Einfrieren, Speichern, Filtern und Analysieren von relevanten Datensätzen. So können beispielsweise E-Mails ausgewertet oder Mitarbeitende befragt werden.
Schließlich werden die Ergebnisse dokumentiert und in einem Bericht zusammengefasst, der der Geschäftsführung vorgelegt wird. Dieser Bericht kann bei Bedarf auch den Behörden vorgelegt werden.
Rechtliche Spannungsfelder bei internen Ermittlungen
Interne Ermittlungen kommen mit einer Reihe von rechtlichen Spannungsfeldern einher, insbesondere im Bereich des Arbeits-, Straf-, Zivil- und Datenschutzrechts.
- Arbeitsrecht
Zu den arbeitsrechtlichen Spannungsfeldern gehören z. B. die Mitwirkungspflicht des Arbeitnehmers, der Kündigungsschutz und die Rechte des Betriebsrats. Arbeitnehmer haben generell eine Mitwirkungspflicht bei Ermittlungen, vor allem wenn es um ihren eigenen Verantwortungsbereich geht. Führungskräfte haben sogar eine höhere Mitwirkungspflicht.
- Strafrecht (insb. Aussageverweigerungsrecht)
Strafrechtlich geht es z. B. um den Umgang mit strafbaren Handlungen und das Aussageverweigerungsrecht. Gem. § 136 Abs. 1 S. 2 StPO haben Beschuldigte in einem Strafverfahren ein Aussageverweigerungsrecht. Gleiches gilt auch in einem Zivilprozess gem. § 384 Nr. 2 ZPO. Jedoch besteht grundsätzlich die arbeitsrechtliche Pflicht zu einer wahrheitsgemäßen Aussage gem. § 241 Abs. 2 BGB oder dem Weisungsrecht des Arbeitgebers gem. § 106 GewO. Sowohl in dem Urteil des LAG Hamm vom 03.03.2009 – 14 Sa 1689/08 als auch dem Urteil des ArbG Saarlouis vom 19.10.1983 – 1 Ca 493/83 wird das Aussageverweigerungsrecht des Arbeitnehmers wegen möglicher Selbstbelastung verneint.
- Zivilrecht
Aus zivilrechtlicher Sicht geht es um Unterlassungs- und Schadensersatzansprüche, die gegen Arbeitnehmer oder Dritte geltend gemacht werden können.
- Datenschutzrecht
Von besonderer Bedeutung ist das Datenschutzrecht, das die Einhaltung der Datenschutzbestimmungen bei der Erhebung, Verarbeitung und Speicherung personenbezogener Daten vorschreibt. Beispielsweise bei der Durchsicht von E-Mails müssen Unternehmen die Datenschutzbestimmungen einhalten.
Festlegung des Zwecks vor der internen Ermittlung
Bevor eine interne Ermittlung, bei der personenbezogene Daten verarbeitet werden, eingeleitet wird, muss die Rechtsgrundlage klar festgelegt sein. Entscheidend sind dabei der Zweck der Untersuchung, die Ziele und die Art und Weise, wie der Verantwortliche von einem möglichen Verstoß Kenntnis erlangt.
Die Zweckbindung nach Art. 5 Abs. 1 lit. b DS-GVO ist im Rahmen interner Untersuchungen sehr wichtig, da sie sicherstellt, dass personenbezogene Daten nur für den klar definierten und rechtmäßigen Zweck verarbeitet werden. Bei internen Ermittlungen müssen alle Beteiligten wissen, zu welchem Zweck personenbezogene Daten verwendet werden, um Missbrauch zu verhindern und die Rechte der Betroffenen zu schützen. Unklare oder zu weit gefasste Zweckangaben könnten zu einer unrechtmäßigen Datenverwendung führen, was einen Verstoß gegen die DS-GVO darstellen würde. Daher muss der Zweck der Verarbeitung personenbezogener Daten im Vorfeld klar und präzise definiert werden.
Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Grundsätzlich ist jede Verarbeitung personenbezogener Daten verboten, es sei denn, es gibt eine ausdrückliche gesetzliche Erlaubnis. Dieses Prinzip gilt auch für interne Ermittlungen. Nach Art. 6 DS-GVO kann die Verarbeitung rechtmäßig sein, wenn eine der im Artikel genannten Bedingungen erfüllt ist, wie z. B. die Einwilligung der betroffenen Person, die Erfüllung einer rechtlichen Verpflichtung oder das berechtigte Interesse des Verantwortlichen.
Einwilligung
Die Einwilligung als Rechtsgrundlage kommt für interne Ermittlungen eher nicht in Betracht. Sie kann den Untersuchungserfolg gefährden und aufgrund des Machtungleichgewichts im Arbeitsverhältnis als unfreiwillig angesehen werden. Arbeitnehmende könnten Nachteile bei Verweigerung fürchten, und die Möglichkeit des Widerrufs macht sie weniger attraktiv für solche Zwecke.
Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei interner Ermittlung ist Art. 6 Abs. 2 i. V. m. § 26 Abs. 1 BDSG. Danach dürfen personenbezogene Daten verarbeitet werden, wenn dies für eine Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Dies schließt auch die Aufklärung von Straftaten und arbeitsvertraglichen Pflichtverletzungen ein. So heißt es in der Norm:
„Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“
Die gewählte Untersuchungsmaßnahme ist dann erforderlich, wenn es keine mildere Maßnahme gibt, die denselben Erfolg der Zweckerreichung mit gleicher Sicherheit erzielt.
Zusätzlich muss noch eine Interessensabwägung durchgeführt werden. Dabei wird das Aufklärungsinteresse des Arbeitgebers gegen das Interesse der betroffenen Arbeitnehmenden im Hinblick auf den Schutz personenbezogener Daten abgewogen. Diese Abwägung erfolgt je nach Einzelfall und berücksichtigt den Vorwurf und den Verdachtsgrad der internen Ermittlung.
Betriebsvereinbarung und berechtigtes Interesse
Als weitere Rechtsgrundlagen für interne Ermittlungen können die Betriebsvereinbarung gemäß § 26 Abs. 4 BDSG oder das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO herangezogen werden.
Bei letzterem würde ein berechtigtes Interesse der Unternehmen in der Legalitätspflicht sowie der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen liegen. Eine Abwägung der Interessen, Grundrechte und Freiheiten der Betroffenen ist dennoch immer im Einzelfall vorzunehmen. Bei besonderen Kategorien personenbezogener Daten wäre Art. 9 Abs. 2 lit. f DS-GVO heranzuziehen.
Handlungsempfehlung
- Bevor eine interne Ermittlung eingeleitet wird, muss der Zweck der Ermittlung klar definiert und dokumentiert werden.
- Bei der Durchführung der internen Ermittlung muss stets eine wirksame Rechtsgrundlage für die Verarbeitung personenbezogener Daten vorhanden sein.
- Eine sorgfältige Interessenabwägung ist notwendig, um die Verarbeitung zu rechtfertigen.
Im zweiten Teil unserer Reihe „Datenschutz und interne Ermittlungen – ein Widerspruch?“ widmen wir uns den Themen der Vereinbarkeit der Anforderungen des Hinweisgeberschutzgesetzes (HinSchG), des Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG), der Rolle des Betriebsrates sowie den zu erfüllenden Informationspflichten.