Welche Rolle spielt das Hinweisgeberschutzgesetz (HinSchG) bei internen Ermittlungen?
Eine weitere Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen interner Ermittlungen liefert das HinSchG.
Wird aufgrund eines Hinweises aus dem Hinweisgebersystem eine interne Ermittlung eingeleitet, ist die zur Aufklärung des Verstoßes erforderliche Verarbeitung personenbezogener Daten von Beschäftigten grundsätzlich durch Art. 6 Abs. 1 lit. c DS-GVO i. V. m. § 10 HinSchG legitimiert.
Dies schließt auch die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DS-GVO ein, wenn dies zur Erfüllung der Aufgabe erforderlich ist. In diesem Fall muss die Meldestelle gemäß § 22 Abs. 2 BDSG spezifische und angemessene Maßnahmen ergreifen, um die Interessen der betroffenen Person zu wahren.
Wenn die Datenverarbeitung über die Bestimmungen des § 10 HinSchG hinausgeht und nicht mehr zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, beispielsweise wenn ein Unternehmen ein Hinweisgebersystem einführt, ohne dazu verpflichtet zu sein oder wenn Meldungen über die in § 2 des HinSchG genannten Themen hinausreichen muss grundsätzlich eine andere Rechtsgrundlage herangezogen werden.
Existiert keine interne Meldestelle, können die Bestimmungen des HinSchG nicht als Rechtsgrundlage für die Verarbeitung herangezogen werden.
Allgemein zu Besonderheiten mit dem HinSchG: audatis Artikel „Haftung der internen Meldestelle“ und FAQ-Hinweisgeberschutzgesetzt der LfDI Baden-Württemberg
Verbietet das TDDDG die Einsichtnahme in den E-Mail-Verkehr?
Oft ist im Rahmen der internen Ermittlungen die Einsichtnahme der E-Mail-Postfächer notwendig. Der § 3 des Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG) regelt das Fernmeldegeheimnis. Das Fernmeldegeheimnis schützt die Vertraulichkeit der Telekommunikation und verbietet unbefugten Dritten den Zugang zu Kommunikationsinhalten.
Bei Arbeitsverhältnissen stellt sich insbesondere die Frage, ob der Arbeitgeber unter den Anwendungsbereich des § 3 Abs. 2 TDDDG fällt. Damit würden diese dem Fernmeldegeheimnis unterliegen.
Bisher in der Literatur oft vertretene Ansicht
Zuvor oft vertretene Ansicht differenzierte danach, ob die private Nutzung des dienstlichen E-Mail-Accounts gestattet wurde oder nicht.
Szenario 1: Der Arbeitgeber verbietet die private Nutzung des E-Mail-Accounts
Wenn der Arbeitgeber die private Nutzung des E-Mail-Accounts ausdrücklich untersagte, war er berechtigt, die E-Mail-Korrespondenz zu überwachen. Die Rechtmäßigkeit der Kontrolle beurteile sich dann nach der DS-GVO, da der E-Mail-Verkehr i. d. R. personenbezogene Daten enthält. Als Rechtsgrundlage könnten dann wiederum die in Teil 1 unserer Reihe „Datenschutz und interne Ermittlungen – ein Widerspruch?“ genannten Rechtsgrundlagen herangezogen werden.
Szenario 2: Der Arbeitgeber erlaubt die private Nutzung des E-Mail-Accounts
Gestattete der Arbeitgeber hingegen die private Nutzung des E-Mail-Accounts, begab man sich in einem umstrittenen Bereich, der höchstrichterlich noch nicht geklärt ist. So wurde in diesem Fall die Auffassung vertreten, dass der Arbeitgeber durch die Erlaubnis der privaten Nutzung des E-Mail-Accounts als „Anbieter von Telekommunikationsdiensten“ i. S. d. § 3 Nr. 1 TKG (aF) anzusehen sei. Dann würde ein Zugriff auf das E-Mail-Postfach eine Verletzung des Fernmeldegeheimnisses bedeuten, § 3 TDDDG. Dies kann nach § 206 StGB mit einer Freiheits- oder Geldstrafe geahndet werden.
In der Rechtsprechung vertretene Ansicht
Die arbeits- und verwaltungsgerichtliche Rechtsprechung hat in der Vergangenheit den Arbeitgeber als „Anbieter von Telekommunikationsdiensten“ eher abgelehnt und stattdessen die Auffassung vertreten, dass in solchen Fällen die DS-GVO zur Beurteilung der Rechtmäßigkeit heranzuziehen sei.
In einem Urteil des OLG Jena vom 14.09.2021 - 7 U 521/21 wird jedoch die Auffassung vertreten, dass das Fernmeldegeheimnis bei der Erlaubnis der privaten Nutzung von E-Mail-Postfächern anwendbar ist. Das OLG ist sich dennoch bewusst, dass diese Thematik stark umstritten ist.
Einigkeit herrscht demnach an dieser Stelle bei den Gerichten nicht über diese Fragestellung.
Aufsichtsbehörden zum Thema Arbeitgeber als Anbieter von Telekommunikationsdiensten
Nun hat auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) in ihrem 29. Tätigkeitsbericht das Thema aufgegriffen. Sie stellt klar, dass nach Inkrafttreten des TDDDG die deutschen Aufsichtsbehörden (u. a. der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), die LDI NRW sowie weitere Landesdatenschutzbehörden) davon ausgehen, dass Arbeitgeber, die ihren Beschäftigten die private Nutzung von Internet und E-Mail erlauben oder dulden, nicht dem Telekommunikationsrecht unterliegen. Sie wären daher nicht verpflichtet, das Fernmeldegeheimnis gegenüber ihren Beschäftigten zu wahren (29. Tätigkeitsbericht der LDI NRW, S. 76). Die LDI NRW hebt hervor, dass Arbeitgeber, die die private Nutzung gestatten oder dulden, gegenüber ihren Beschäftigten nicht als geschäftsmäßige Telekommunikationsdienstleister auftreten. Diese Argumentation schließt sich demnach den früheren Rechtsprechungen an. Weiterhin erläutert die LDI NRW, dass durch das TDDDG anstelle der telekommunikationsrechtlichen Vorschriften die DS-GVO Anwendung findet. Das würde also dennoch bedeuten, dass für die Einsicht eine Zweckbindung und eine Rechtsgrundlage für den Zugriff auf die personenbezogenen Daten der Beschäftigten vorliegen muss.
Es bleibt abzuwarten, wie sich die Rechtsprechung in dem Bereich noch entwickeln wird. Eine Rechtssicherheit in diesem Zusammenhang besteht nicht, dennoch haben Arbeitgeber mit den Ansichten des BfDI und den Aufsichtsbehörden gute Argumente gegen die Anwendbarkeit der Fernmeldegesetzes.
Welche Rolle spielt der Betriebsrat bei internen Ermittlungen?
Gem. §§ 87 Abs. 1 Nrn. 1, 6 oder 94 Abs. 1 BetrVG stehen dem Betriebsrat Beteiligungs- und Mitbestimmungsrecht in Bezug auf interne Ermittlungen zu. Werden diese Rechte vom Arbeitgeber ignoriert, kann dies die interne Ermittlung erheblich beeinträchtigen. Der Betriebsrat kann u. a. mitbestimmungspflichtige Maßnahmen per einstweiliger Verfügung von den Arbeitsgerichten verbieten.
Dem Betriebsrat stehen insbesondere in sozialen und personellen Angelegenheiten Informations- und Beteiligungsrechte zu.
Ein Beispiel hierfür ist z. B. die Befragung von Mitarbeitenden in Interviews. Dabei muss der Betriebsrat u. a. darüber unterrichtet werden:
- Dass eine Befragung stattfindet
- Den Standort der betroffenen Mitarbeitenden
- Den Gegenstand der Befragung
- Den Verlauf der Befragung
- Das Ausmaß der Ermittlung
Außerdem könnte der Betriebsrat auch ein Mitbestimmungsrecht haben, wenn eine Maßnahme einen kollektiven Regelungscharakter hat, also eine Vielzahl von Arbeitnehmern betrifft, was jedoch selten der Fall bei internen Ermittlungen sein wird.
Allenfalls gilt es vom Arbeitgeber immer im Einzelfall zu prüfen, ob der Betriebsrat Mitbestimmungsrechte gem. § 87 Abs. 1 BetrVG hat, sowie diesen dann rechtzeitig zu informieren.
Welche Informationspflichten stehen den Mitarbeitenden zu?
Bei internen Ermittlungen sind die Informationspflichten gem. DS-GVO zu beachten. Art. 13 und 14 DS-GVO regeln, dass Betroffene bei der Erhebung ihrer personenbezogenen Daten informiert werden müssen, entweder vor oder zum Zeitpunkt der Datenerhebung. Wenn Daten von Dritten erlangt werden, muss die Information spätestens nach einem Monat erfolgen. Ausnahmen bestehen, wenn die Ermittlungsmaßnahmen ansonsten gefährdet wären oder besondere Geheimhaltungspflichten, wie nach dem Hinweisgeberschutzgesetz, greifen. Darüber hinaus haben betroffene Arbeitnehmende gemäß Art. 15 DS-GVO Auskunftsansprüche über ihre verarbeiteten Daten. Diese können jedoch eingeschränkt sein, wenn Interessen Dritter oder Rechtsmissbrauchsgründe vorliegen.
Handlungsempfehlung
- Der Arbeitgeber sollte seine Regelung in Bezug auf die private Nutzung des E-Mail-Postfaches überprüfen, um zu vermeiden, dass bei einer internen Ermittlung das Fernmeldegeheimnis greift.
- Der Arbeitgeber muss den Betriebsrat frühzeitig informieren und prüfen, inwieweit der Betriebsrat bei internen Ermittlungen unterrichtet werden muss sowie welche Mitbestimmungsrechte ihm zustehen.
- Der Arbeitgeber muss sicherstellen, dass er bei internen Ermittlungen die Informationspflichten einhält.