Aufsatz : Screening von Beschäftigtendaten ohne und mit Anlass : aus der RDV 3/2014, Seite 119 bis 128
Gerade beim Screening von Beschäftigtendaten klaffen der Anspruch des Datenschutzrechts und die betriebliche Praxis bisweilen weit auseinander: In den Unternehmen sind verschiedenste Screenings insbesondere als Compliance-Maßnahmen alltägliche Praxis. Gleichzeitig wird der Abgleich von Beschäftigtendaten in der Wissenschaft teilweise sehr kritisch gesehen („betriebliche Rasterfahndung“). Die Unternehmen wandern also auf einem dünnen Grad. Zu viel an Screening birgt datenschutzrechtliche Risiken, zu wenig kann den Vorwurf unzureichender Compliance-Anstrengungen begründen. Der Beitrag unternimmt die – auch angesichts weitgehend fehlender Rechtsprechung – überfällige Grenzziehung.
I. Einleitung
Zunächst zur Begriffsbildung: Screening ist ein schillernder Begriff, der keineswegs allein oder auch nur in erster Linie datenschutzrechtlich geprägt ist. Man denke an das medizinische Screening als Suche nach bestimmten Krankheiten bzw. gesundheitlichen Risiken („Mammographie-Screening“). Allgemeiner beschreiben lässt sich Screening als systematisches Testverfahren, das eingesetzt wird, um innerhalb eines definierten Prüfbereichs Elemente herauszufiltern, die bestimmte Eigenschaften aufweisen.[1] In das Datenschutzrecht ist der Begriff vor allem aus der englisch-sprachigen Terminologie des Compliance-Bereichs gelangt. In der eigenen Begriffswelt des Datenschutzrechtes entspricht Screening am ehesten dem Datenabgleich, kann aber auch Elemente des Scoring enthalten – dazu später noch näher.
Dass Screenings von Beschäftigtendaten zur Bekämpfung von insbesondere Korruption, Insiderhandel oder Kartellverstößen durchgeführt werden, ist schon länger und auch nach den Skandalen bei Bahn und Telekom weiterhin völlig üblich.[2] Die Praxis hat bereits Eingang selbst in arbeitsrechtliche Standardwerke ohne datenschutzrechtlichen Schwerpunkt gefunden.[3] Rechtsprechung ist jedoch wenig vorhanden. Das Arbeitsgericht Berlin hat sich – soweit ersichtlich als einziges und dann im Rahmen eines Kündigungsschutzprozesses – geäußert. Es hält Datenabgleiche recht allgemein etwa zum Zwecke der Korruptionsbekämpfung für zulässig.[4]
Die gelebte Praxis trifft jedoch weiterhin auf Widerspruch von Datenschützern. So werden zumindest „anlasslose“ oder permanente Massenscreenings de lege lata verbreitet als unzulässig erachtet.[5] Der einstweilen gescheiterte Entwurf des Gesetzes für den Beschäftigtendatenschutz, der in § 32d BDSG-E eine gesetzliche Regelung des „Datenabgleichs“ vorsah, wurde noch deutlicher kritisiert: Er erweitere die Möglichkeiten „betrieblicher Rasterfahndung“ weit über das heute zulässige Maß hinaus.[6]
Während die Diskussion um den Datenabgleich allgemein weiter schwelt, aber etwas an Aktualität verloren hat, ist mit dem sogenannten Terrorlisten-Screening in jüngerer Zeit ein Brandherd hinzugekommen. Hier geht es um den Abgleich von Beschäftigten, aber auch Kunden, mit den im Anhang der EU-Verordnungen Nr. 881/2002, 2580/2001, 753/2011 aufgeführten Personen. Der BFH hat entschieden, dass dieser Abgleich, soweit Beschäftigte betroffen sind, nach § 32 Abs. 1 S. 1 BDSG zulässig ist.[7] Die Literatur stimmt ganz überwiegend[8] zu.
II. Rechtfertigungsbedürftige Erhebungs- und Verarbeitungsvorgänge (§ 4 Abs. 1 BDSG)
Vor der rechtlichen Würdigung steht die Klärung des Sachverhaltes. Was geschieht bei einem Datenabgleich?[9] Der klassische Abgleich ist ein reiner Verarbeitungsvorgang bereits vorhandener Daten. Der Zugriff erfolgt hier meist auf die zulässigerweise bereits vorher gespeicherten Stammdaten des Beschäftigten (Name, Alter, Geschlecht, Adresse etc.).[10] In seiner einfachsten Form erfolgt der Abgleich dieser Daten als reiner Feldvergleich. Verschiedene Felder einer Tabelle werden nebeneinander gelegt und auf Übereinstimmungen untersucht. Der Einsatz moderner Datenverarbeitungsanlagen ist hier nicht zwingend erforderlich, der Vergleich könnte – bei Einsatz einer ausreichenden Zahl von Mitarbeitern – auch manuell erfolgen. Ein Beispiel eines solchen Feldvergleichs ist etwa der Abgleich von Konto daten von Auftragnehmern und Mitarbeitern, wie er bei der Deutschen Bahn vorgenommen wurde. Ebenfalls als Datenabgleich begreifen lässt sich etwa die Durchsuchung von E-Mails nach bestimmten Stichwörtern – hier mag es etwa um die Vermeidung diskriminierender Kommunikation gehen.
Komplexere Abgleich gehen fließend in Data-Mining-Technologien über. Der erste Schritt in diese Richtung ist eine unscharfe Suche – „Meyer“ und „Mayer“ werden als Übereinstimmung gemeldet. Der nächste Analyseschritt ist die Verknüpfung verschiedener Daten miteinander. Als Treffer wird etwa auch angezeigt, wenn verschiedene Felder bestimmte Muster in Relation zueinander erfüllen. Der Schritt zu den sog. Big-Data-Analysen ist vollzogen, sobald an Stelle eines Vergleichs der Felder eine statistische Analyse von Auffälligkeiten tritt. Auch hier bleiben häufig Elemente des Abgleichs im Sinne eines Vergleichs erhalten. Datensätze von einem Arbeitnehmer und einem Auftragnehmer mögen etwa dann als Treffer angesehen werden, wenn eine Reihe von Verdachtskriterien erfüllt ist. Diese können etwa sein, dass der Arbeitnehmer für die Vergabe eines Auftrages zuständig war, der Auftrag am Ende des Jahres erfolgte und annährend das Budget, über das der Beschäftigte für das Jahr noch verfügen konnte, ausschöpfte, der Beschäftigte in der Vergangenheit wiederholt so gehandelt hat, der Auftragnehmer in unmittelbarer Nähe des Wohnortes des Beschäftigten seinen Sitz hat, sowie kein anderer Beschäftigter jemals einen Auftrag an diesen Auftragnehmer vergeben hat. Hier geht es dann um „Scoring-Verfahren“. Analysen dieser Form sind etwa nach § 25c Abs. 2 S. 1 Gesetz über das Kreditwesen (KWG) gefordert.[11]
Ergänzt werden kann der bloße Vergleich durch die Erhebung von Daten im Vorfeld als selbstständigen, vorgelagerten Vorgang. Interessant ist hier etwa das Aufdecken von persönlichen Beziehungen. Aus sozialen Netzwerken, Diskussionsforen, aber auch etwa aus den Mannschaftsaufstellungen von Vereinen auf deren Homepage oder in der Lokalpresse lassen sich mittels Software umfangreiche mutmaßliche „Beziehungsnetzwerke“ erstellen. Diese Daten sind für die Aufklärung von Korruption oder etwa Insidertrading höchst wertvoll. Die Vergabe von Aufträgen an Facebook-Freunde wäre sicherlich ein Grund, näher hinzusehen; kauft oder verkauft ein Mannschaftskamerad immer im richtigen Moment Wertpapiere von Emissionen, die der Beschäftigte betreut, kann dies ein Hinweis auf die Weitergabe von Insiderinformationen sein. Umgekehrt ist mit der Sammlung derartiger Daten ein weitgehender Eingriff in die Privatsphäre des Beschäftigten verbunden. Ferner droht – sind sie einmal vorhanden – ihr Missbrauch auch für gänzlich andere Zwecke. Hier ist die rechtliche Zulässigkeit regelmäßig zweifelhaft – dazu noch unten (IV.).
III. Rechtfertigung des Abgleichs als solchem
Auch wenn aber nur bereits vorhandene Daten verglichen werden, bedarf der Datenabgleich als solcher gemäß § 4 Abs. 1 BDSG der Rechtfertigung. Spezielle Rechtfertigungstatbestände für Datenabgleiche bestehen nicht – eine § 52 SGB II, der den Datenabgleich durch Sozialversicherungsträger erlaubt, vergleichbare Regelung fehlt. Spezielle – und in ihrem Anwendungsbereich vorgehende[12] – Rechtfertigungsgrundlage ist § 25c Abs. 2 S. 2 KWG. Auch diese erfasst aber nur Datenoperationen allgemein, nicht jedoch speziell Datenabgleiche. Einen speziellen Rechtfertigungstatbestand für Datenabgleiche sah der gescheiterte Entwurf des Gesetzes zum Beschäftigtendatenschutz (§ 32d BDSG-E)[13] vor. Danach durfte der Arbeitgeber zur Aufdeckung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen durch Beschäftigte im Beschäftigungsverhältnis, insbesondere zur Aufdeckung von Straftaten nach den §§ 266, 299, 331 bis 334 StGB, einen automatisierten Abgleich von Beschäftigtendaten in anonymisierter oder pseudonymisierter Form mit von ihm geführten Dateien durchführen. Ergibt sich ein Verdachtsfall, hätten die Daten personalisiert werden dürfen. Da dies jedoch nicht Gesetz geworden ist, müssen einstweilen die allgemeinen Tatbestände des BDSG herangezogen werden.
Denn auch Normen, welche die Datenverarbeitung im Sinne des § 4 Abs. 1 Var. 3 BDSG anordnen, sind nicht vorhanden. Die Bedeutung des Datenabgleichs liegt in erster Linie im Bereich der Compliance, d.h. der Sicherstellung der Rechtstreue. Maßnahmen hierfür zu ergreifen ist zwar eine gesetzliche Pflicht: Nach § 130 OWiG ist es erforderlich, geeignete und zumutbare Maßnahmen zu ergreifen, um Rechtsverletzungen aus dem Unternehmen heraus zu verhindern.[14] Ferner sind die Vorstandsmitglieder einer Aktiengesellschaft auch aktienrechtlich gehalten, geeignete und zumutbare Vorkehrungen zur Überwachung nachgeordneter Unternehmensangehöriger (vertikale Überwachungspflicht) sowie von Vorstandskollegen (horizontale Überwachungspflicht) zu treffen.[15]
Es gilt also im Ergebnis derselbe Maßstab:[16] Es sind die erforderlichen und zumutbaren Maßnahmen zur Verhinderung von Rechtsverstößen zu ergreifen. Als eine solche Maßnahme wird die Durchführung von Datenabgleichen angesehen.[17] Dennoch regeln die einschlägigen Normen den Umfang und die Reichweite der Datenverarbeitungsprozesse nicht selbst. Sie lösen den Konflikt zwischen Datenschutz und Rechtstreue nicht und sind daher nicht unmittelbar Grundlage der Verarbeitung – anders etwa als § 52 SGB II. Dennoch bleibt die Tatsache, dass die Datenerhebung zur Erfüllung einer gesetzlichen Pflicht erfolgt, für die Abwägung der Interessen nicht ohne Folgen. Soweit sich aus dem Gesetz ergibt, dass der Gesetzgeber bestimmten Interessen eine besondere Bedeutung zugemessen hat, kann dies auch im Datenschutzrecht Berücksichtigung finden (dazu noch unten III.3.a). Auch im Bereich des Terrorlisten-Screenings geht die herrschende Meinung nicht davon aus, dass die einschlägigen europäischen Regelungen unmittelbar Grundlage der Datenerhebung und -verarbeitung sind. Der BFH stützt sie auf § 32 BDSG [18], in der Literatur wird auch § 28 Abs. 1 S. 1 Nr. 2 BDSG herangezogen[19].
Auch im Übrigen bleibt der Rückgriff auf die allgemeinen Tatbestände des BDSG nötig. Welcher der Tatbestände indes genau einschlägig ist, ist von sekundärer Bedeutung und in erster Linie von dogmatischem Interesse[20]. Denn unabhängig vom jeweiligen Tatbestand entscheidet stets die Abwägung der jeweiligen Interessen gegeneinander über die Zulässigkeit des Verarbeitungsvorgangs. Es ist praktische Konkordanz zwischen den betroffenen Interessen herzustellen. Hierbei hat keiner der Belange einen automatischen Vorrang. Weder sind also Datenabgleiche per se unzulässig, noch sind sie als Mittel der Compliance stets zulässig. Lediglich soweit der Gesetzgeber im Rahmen seines Umsetzungsspielraumes Interessen gegeneinander gewichtet hat, ist dies auch in der Abwägung zu berücksichtigen. Der Spielraum des Gesetzgebers ist dabei im Bereich der nichtöffentlichen Verarbeitung jedoch schon von Verfassungs wegen klein: Was er dem einen Grundrechtsträger gibt, nimmt er dem anderen[21]. Auch europarechtlich kann den einzelnen Mitgliedsstaaten kein wesentlicher Umsetzungsspielraum bei der Austarierung der Grundrechte gegeneinander zukommen, weil ansonsten das Ziel eines einheitlichen europäischen Standards, das notwendig für einen Markt ist (vgl. Erwägungsgründe 8-9), nicht erreicht werden kann. Die Richtlinie 95/46/EG gibt den Mitgliedsstaaten zwar einen gewissen (vgl. Erwägungsgrund 9), aber begrenzten Spielraum.
1. Einschlägige Rechtfertigungstatbestände: §§ 32, 28 BDSG
Auch wenn es nicht von letztlich entscheidender Bedeutung ist: Dogmatisch bestimmt sich der einschlägige Rechtfertigungsgrund richtigerweise in erster Linie nach der Person des Betroffenen. Gegenüber Lieferanten, Kunden und sonstigen Geschäftspartnern gilt § 28 Abs. 1 S. 1 Nr. 1 oder – meist – Nr. 2 BDSG. Die Verarbeitungsvorgänge gegenüber Beschäftigten sind nach zutreffender und überwiegender Ansicht nach § 32 Abs. 1 BDSG zu rechtfertigen, soweit sie in Zusammenhang mit dem Beschäftigungsverhältnis stehen[22]. Das ist nicht etwa nur dann der Fall, wenn das Beschäftigungsverhältnis ansonsten nicht durchgeführt werden kann, sondern bereits schlicht dann, wenn der Beschäftigte in seiner Rolle als solcher und nicht etwa als Kunde betroffen ist[23]. Für sensitive Daten gilt, weil sie nach Ansicht des BAG nicht im Anwendungsbereich des § 32 BDSG liegen, § 28 Abs. 6 BDSG[24].
In der Praxis dient der Datenabgleich in erster Linie als Compliance-Werkzeug. Hier fällt die – zur Abgrenzung der Tatbestände von § 32 Abs. 1 BDSG nötige – Unterscheidung von präventivem und repressivem Vorgehen schwer. Oft wird ein konkreter Verdacht, dass Straftaten oder Vertragsverletzungen begangen werden, fehlen. Andererseits dient die Durchsuchung immer auch dazu, eventuelle Verstöße aufzuklären. Der Datenabgleich dient insofern auch repressiven Zwecken. Ein sehr großes Unternehmen in der Baubranche mag beispielweise sicher wissen, dass in seinem Auftragsbestand immer ein gewisser Teil „Scheinaufträge“ etwa an Beschäftigte oder ihre Angehörigen sind. Es geht also zumindest auch um die Aufklärung von Straftaten wie Untreue (§ 266 StGB). Gleichzeitig wird ein Verdacht gegen einen konkreten Beschäftigten fehlen.
Problematisch ist diese „latent repressive“ Zielrichtung von Screenings wegen des Wortlautes von § 32 Abs. 1 S. 2 BDSG. Danach dürfen zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat. Zu dokumentierende tatsächliche konkrete Anhaltspunkte werden nach dem Gesagten kaum vorhanden sein. Das ist jedoch kein Hinderungsgrund: Erstens überwiegt bei dem Zweck der Compliance und dem Fehlen konkreter Anhaltspunkte für Straftaten der präventive Zweck. Die Literatur unterstellt ohnehin einhellig, dass Datenabgleiche zu Compliance-Zwecken rein präventiv sind[25]. Zweitens kann § 32 Abs. 1 S. 2 BDSG bei Fehlen konkreter Anhaltspunkte für nur geringfügige Eingriffe keine Sperrwirkung entfalten. Der Arbeitgeber könnte dann die Spesenquittungen eines Mitarbeiters nicht mehr mit dem Ziel durchsehen, Betrug durch falsche Abrechnungen aufzudecken, weil er vor der Durchsicht hierfür noch keine konkreten Anhaltspunkte hat. Das muss er daher noch auf § 32 Abs. 1 S. 1 BDSG stützen können. Das Beispiel zeigt: Die Funktion des § 32 Abs. 1 S. 2 BDSG ist nicht, § 32 Abs. 1 S. 1 BDSG zu sperren, sondern durch die erhöhten Voraussetzungen weitergehende Eingriffe zu erlauben[26]. Das kommt im Wortlaut freilich kaum zum Ausdruck. Der Entwurf des Beschäftigtendatenschutzgesetzes (§ 32d Abs. 3 BDSG-E), der das Erfordernis konkreter Anhaltspunkte wegließ, war hier besser. Die Aufklärung von Vertragsverletzungen unterhalb der Schwelle von Straftaten, beispielweise der Abgleich von Geschäften zweier Mitarbeiter, um Verstöße gegen ein betriebliches Vier-Augen-Prinzip aufzudecken, kann auf Grundlage des § 32 Abs. 1 S. 1 BDSG gerechtfertigt werden. Auch Zwecke der Personalführung – dazu sogleich – fallen hierunter.
Als Rechtfertigungsgrund ausscheiden wird regelmäßig die Einwilligung. Ihre Freiwilligkeit ist im Arbeitsverhältnis ganz allgemein zweifelhaft[27]. Auch wenn hier bisweilen zu streng gewertet wird – eine Einwilligung dürfte insbesondere dort ausscheiden, wo der Arbeitgeber ein für den Beschäftigten erkennbares, erhebliches Eigeninteresse an ihrer Erteilung hat. Das ist bei Compliance Maßnahmen der Fall – hierzu ist der Arbeitgeber gesetzlich verpflichtet. Ferner sind pauschal gehaltene Erklärungen, die dem Betroffenen die Möglichkeit nehmen, zu erkennen, worauf sich seine Einwilligung konkret bezieht, unzulässig (vgl. auch § 4a Abs. 3 BDSG)[28]. Eine allgemeine Einwilligung „für Zwecke der Compliance“ kann es daher nicht geben. Eine genaue Darlegung der jeweiligen Maßnahme wäre wiederum kontraproduktiv. Dadurch würden zu viele Möglichkeiten, die Kontrolle zu umgehen, geschaffen.
2. Legitime Zwecke des Abgleichs
In der Praxis dient der Datenabgleich in erster Linie als Compliance-Werkzeug, hier zumeist mit gemischt präventivrepressiver Tendenz. Im Einzelfall sind auch andere berechtigte Interessen denkbar. So mag z.B. der Arbeitgeber zur Umsetzung seines Personalschulungskonzepts herausfinden wollen, wer von seinen Arbeitnehmern im vergangenen Jahr noch nicht an einer Schulung teilgenommen hat. Auch das kann durch den Abgleich der Personaldatenbank mit der Liste der Schulungsteilnehmer geschehen.
Eine Beschränkung auf die Aufdeckung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen durch Beschäftigte im Beschäftigungsverhältnis, wie sie § 32d Abs. 3 BDSG vorgesehen hätte, ist daher tendenziell zu eng. Andere berechtigte Interessen des Arbeitgebers können schon europarechtlich nicht ohne weiteres ausgenommen werden, weil dann der Rechtfertigungsgrund des berechtigten Interesses, den Art. 7 lit.f. der Richtlinie vorsieht, nicht zur Verfügung stünde. Die Norm wäre also wieder ein Fall für die Konformauslegung jedenfalls dahin, dass eine Vertragsverletzung so schwerwiegend doch nicht sein müsste.
3. Angemessenheit im Einzelfall
Über die Zulässigkeit der einzelnen Maßnahmen bestimmt erst die Abwägung der Interessen im Einzelfall – Screening ist weder per se zulässig noch per se unzulässig[29]. Dass jedenfalls ein Datenabgleich nicht per se unzulässig sein kann, zeigt § 52 SGB II. Denn wenn der Abgleich dort zur Verhinderung von Sozialversicherungsbetrug zulässig ist, muss er erst recht zur Verhinderung von ähnlich bedeutenden Straftaten zu Lasten des Arbeitgebers zulässig sein. Denn neben das Interesse des Staates treten dann noch die Grundrechte des Arbeitgebers. Auch aus § 25c Abs. 2 S. 1 KWG wird man diese Schlussfolgerung ziehen können. Der Abgleich wird dort nicht ausdrücklich genannt, dürfte aber von der klaren Intention des Gesetzgebers als moderne Analysemethode gewollt sein. Verfehlt wäre demgegenüber der Umkehrschluss, dass im Übrigen die Anwendung moderner Analysemethoden nicht gewollt ist. Der Gesetzgeber hat gerade klargestellt, dass auch hier die allgemeine Abwägung der Interessen gilt und in dem Fall den Einsatz moderner Analysemethoden zulässt[30]. Für vergleichbare Fälle gilt daher Vergleichbares. In ähnliche Richtung deuten auch etwa § 9 Abs. 2 Nr. 2 Geldwäschegesetz (GWG), der ebenfalls die Einbeziehung moderner Datenverarbeitungstechnik in die Compliancebemühungen erfordert. Auch darin dürfte der zu verallgemeinernde Rechtsgedanken zum Ausdruck kommen, dass selbstverständlich auf aktuelle Mittel zuzugreifen ist, um Compliance zu sichern.
Die Schlussfolgerung, dass der Einsatz von Screening als zeitgemäßer Analysemethode vom Gesetzgeber durchaus gewollt ist und auch im Einklang mit dem bestehen Datenschutzrecht steht, ist auch europarechtlich abgesichert: Erwägungsgrund 33 der § 25c Abs. 2 KWG zu Grunde liegenden Richtlinie 2005/60/EG[31] legt nahe, dass die allgemeinen datenschutzrechtlichen Grundsätze Anwendung finden. Denn dort wird für die Weitergabe von Informationen an Drittländer klargestellt, dass die Vorgaben der Richtlinie 95/46/EG gelten. Entsprechend wird man davon ausgehen müssen, dass die Richtlinie 2005/60/EG auch im Übrigen in den Grenzen des bestehen Datenschutzregimes hält.
a) Gewichtung des Interesses des Verantwortlichen
Auch im Übrigen lässt sich aus den Entscheidungen des Gesetzgebers an vielen Stellen ableiten, wo er besonderen Wert auf Compliance legt und entsprechend auch die Maßnahmen des Arbeitgebers zur Sicherstellung dieser ein erhöhtes Gewicht haben. Teilweise kommt dann noch das grundrechtlich geschützte Eigeninteresse des Arbeitgebers an der Verhinderung von Rechtsverstößen hinzu.
Von besonderer Bedeutung ist insbesondere die Verhinderung von Straftaten. Handlungen, die unter Strafe gestellt sind, ist die Gesellschaft nicht hinzunehmen bereit; gegen ihn gerichtete Straftaten muss auch der Arbeitgeber in aller Regel nicht dulden. Gleichzeitig hat, wer gegen ein Strafgesetz verstößt, den Anlass für die Untersuchung gesetzt und muss sie hinnehmen. Entsprechend erlaubt § 32 Abs. 1 S. 2 BDSG ihm gegenüber besonders weitgehende Maßnahmen. Auch das Kartellrecht bzw. die Verhinderung von Kartellverstößen dürfte von besonderer Bedeutung sein. Das lässt sich an den massiven Geldbußen, die für Verstöße verhängt werden, festmachen (vgl. Art. 23 der Verordnung (EG) 1/2003, § 81 GWB). Gleiches gilt für das Verbot des Insiderhandels (§ 14 WpHG), das sogar strafbewehrt ist (§ 38 WpHG).
Aus der besonderen Bedeutung des Interesses alleine folgt freilich noch nicht die Notwendigkeit, technische Mittel wie einen Datenabgleich anzuwenden. Denkbar ist es auch, die notwendige Compliance auf andere Weise – etwa stichprobenartige Untersuchungen durch die Innenrevision im Einzelfall – sicherzustellen. Auch rein präventive Maßnahmen wie Zeichnungsrichtlinien, ein Vier-Augen-Prinzip oder ein System der Job-Rotation[32] können Alternativen sein. Das ist in der Abwägung zu berücksichtigen. Was hier angemessen ist, hängt in der Abwägung von Eingriffsintensität für den Betroffenen, der Effektivität der einzelnen Methode und ihrer – aus Kostensicht für den Arbeitgeber interessanten – Effizienz ab. Gerade letzteres spricht freilich häufig für den Datenabgleich[33]. Dass der Gesetzgeber IT-gestützte Compliance als jedenfalls in einigen Bereichen effektiv ansieht, kann man aus §§ 25c Abs. 2 KWG, 9 Abs. 2 Nr. 2 GWG, wo sie recht deutlich gefordert wird, entnehmen. Andererseits: Je weniger effektiv der Datenabgleich ist, desto geringer wiegt auch das Interesse des Arbeitgebers an seiner Umsetzung[34].
b) Gewichtung des Betroffeneninteresses
In einem zweiten Schritt ist die mit dem Abgleich verbundene Schwere des Eingriffs in die Privatsphäre des Betroffenen zu ermitteln. Das Gewicht eines Eingriffs hängt unter anderem davon ab, welche Inhalte von dem Eingriff erfasst werden, insbesondere welchen Grad an Persönlichkeitsrelevanz die betroffenen Informationen je für sich und in ihrer Verknüpfung mit anderen aufweisen[35]. Hier spielt es also insbesondere eine Rolle, wie sensibel die jeweiligen Daten sind. Der Vergleich von Kontonummern oder gar Zahlungen ist problematischer als etwa der Abgleich der Namen von Beschäftigten und Schulungsteilnehmern. Je eher eine bestimmte Information ohnehin im Unternehmen allgemein bekannt ist – wie beispielweise der Name – desto weniger problematisch ist ihr Abgleich.
Hinsichtlich der Eingriffsintensität ist zudem grundlegend zwischen Treffern und Nicht-Treffern zu unterscheiden. Für die Nicht-Treffer bleiben die Wirkung des automatischen Datenabgleiches und damit die Eingriffsintensität gering[36]. Keine natürliche Person nimmt ihre – beim Arbeitgeber ohnehin gespeicherten – Daten wahr. Das BVerfG geht in der Entscheidung zum Kfz-Kennzeichen sogar soweit, bei den Nicht-Treffern keinerlei Grundrechtseingriff als gegeben anzusehen. Voraussetzung sei, dass gesichert ist, dass die Daten anonym bleiben und sofort spurenlos und ohne die Möglichkeit, einen Personenbezug herzustellen, gelöscht werden[37]. Soweit kann man freilich bei den hier interessierenden Fällen aus zwei Gründen nicht gehen. Erstens kommt es auf der Ebene des einfachen Rechts für den Tatbestand des § 4 Abs. 1 BDSG nur darauf an, ob in dem Moment personenbezogene Daten verarbeitet werden. Das ist bei einem Datenabgleich der Fall. Zweitens verbleibt beim Beschäftigten- oder Lieferantenscreening der Effekt einer abstrakten Verhaltenskontrolle. Der Arbeitgeber weiß, dass die Nicht-Treffer dem Suchmuster eben nicht unterfallen. Auch das ist ein personenbezogenes Datum, weil normalerweise der Arbeitgeber jedes Mitglied der untersuchten Gruppe kennt. Damit gewinnt die Information „Nicht-Treffer“ einen Bezug zu jedem Mitglied der Gruppe. Diese Information ginge erst dann verloren, wenn der Abgleich lediglich mit einer vom Arbeitgeber nicht kontrollierten und einsehbaren, automatisch ausgewählten StichprobenGruppe durchgeführt würde. Dann wäre die Eingriffsintensität tatsächlich noch geringer. Auch im Übrigen bleibt aber festzuhalten, dass die Eingriffsintensität jedenfalls beim Abgleich weniger sensibler Daten für Nicht-Treffer verhältnismäßig gering ist.
Anders ist die Lage selbstverständlich für die Treffer. Sie werden angezeigt und als solche auch wahrgenommen. Sie trifft – je nach dem Zweck des Screenings – zum Teil ein schwerwiegender Verdacht. Sie müssen sich dann regelmäßig weiteren Untersuchungen stellen. Auch wenn diese separat zu rechtfertigen sind, ist der Eingriff in ihre Rechte bereits durch den Abgleich erheblich. Auch hier hängt aber selbstverständlich einiges von dem konkreten Zweck des Abgleichs ab. Es macht einen Unterschied, ob der Geldwäsche verdächtige Beschäftigte herausgefiltert werden sollen oder diejenigen, die im vergangenen Jahr keine Schulung besucht haben.
aa) Veranlassung
Auch einen schweren Eingriff muss der Beschäftigte jedoch dann hinnehmen, wenn er durch die Begehung einer Straftat hierfür selbst den Anlass durch eine schuldhafte Vertragsverletzung oder gar eine Straftat gesetzt hat. Hier gilt die Ratio von § 32 Abs. 1 S. 2 BDSG.
Der Gedanke der Veranlassung trägt freilich nur gegenüber dem Schuldigen, nicht aber gegenüber Treffern, die tatsächlich unschuldig sind. Die Streuwirkung erhöht also die Eingriffsintensität. Zwar macht die Möglichkeit, dass auch ein „unschuldiger“ Treffer produziert wird, den Abgleich noch nicht unzulässig. Das ergibt sich für den Bereich der Aufdeckung von Straftaten daraus, dass selbst § 32 Abs. 1 S. 2 BDSG für schwerwiegende Eingriffe nur den zu dokumentierenden Verdacht einer Straftat, nicht aber deren tatsächliches Vorliegen fordert. Es reicht also ein hinreichender Verdachtsgrad. Dieser ist aus zwei Richtungen wiederum im Einzelfall im Rahmen der Abwägung zu ermitteln: Je schwerer der mögliche Verstoß, desto niedriger der erforderliche Verdachtsgrad[38]. Umgekehrt ist der Abgleich umso eher gerechtfertigt, je aussagekräftiger der Treffer ist. Zeigt der Abgleich, dass der Beschäftigte Zahlungen an sich selbst angewiesen hat, ist die Aussagekraft sehr hoch. Bei der Anwendung von Scoringverfahren – also wenn das Vorliegen bestimmter Kriterien nur auf eine erhöhte Wahrscheinlichkeit für das Vorliegen eines bestimmten Verhaltens hindeutet – kann dies anders sein. Nicht erforderlich ist auch im Bereich des § 32 Abs. 1 S. 2 BDSG, dass der konkrete Verdacht bereits vor dem Abgleich vorlag (vgl. oben III.1.).
Soweit es lediglich um die Aufklärung von Vertragsverletzungen geht, gilt § 32 Abs. 1 S. 1 BDSG, der keinen bestimmten Verdacht fordert. Auch hier gilt aber, dass Maßnahmen zur Aufklärung von Vertragsverletzungen umso eher gerechtfertigt sind, desto treffgenauer sie nur diejenigen liefern, die tatsächlich verstoßen haben.
Der Gedanke der Veranlassung trägt natürlich nur gegenüber den Treffern. Dass der Eingriff durch die zahlreichen „Nicht-Treffer“ nicht veranlasst wurde, wiegt dennoch nicht besonders schwer. Der Eingriff ihnen gegenüber ist von relativ geringer Intensität. Er kann durchaus durch das Inte resse des Arbeitgebers an einem Abgleich gerechtfertigt werden, ohne dass die Veranlassung durch den Betroffenen hinzukommt.
bb) Kumulierter Effekt von Abgleichen:
Überwachungsdruck Bei der Abwägung ist der jeweilige Abgleich nicht (nur) isoliert zu betrachten, es ist vielmehr auch die Gesamtzahl, Umfang und Häufigkeit anderer Abgleiche und sonstiger Überwachungsmaßnahmen zu berücksichtigen. Das ist in der Literatur implizit anerkannt, da dort festgestellt wird, es reichten periodische, verdachtsunabhängige Stichproben sowie die Verfolgung konkreter Verdachtsfälle als Alternative zur „Totalüberwachung“ aus[39]. Sachlich geht es darum, den insgesamt auf die Arbeitnehmer wirkenden Überwachungsdruck zu ermitteln.
cc) Position und Zahl der Beschäftigten
Eine Rolle spielt ferner, wie viele[40] und welche Beschäftigte in den Abgleich einbezogen werden. Aktienhändler, Investment-Banker, Underwriter einer Versicherung oder Einkäufer eines Baukonzerns haben hier mehr hinzunehmen als der Schlosser am Band oder die Putzkraft. Je verantwortungsvoller die Position, je umfassender die an sie knüpfenden rechtlichen Pflichten, desto eher ist eine Überprüfung durch einen Datenabgleich zulässig. Personen in den bezeichneten Positionen haben sie zum Einen freiwillig und in Kenntnis der schwierigen Compliance-Anforderungen übernommen. Zum anderen sind sie auch eher in der Lage, ihre datenschutzrechtlichen Rechte wahrzunehmen. Ferner muss auch die absolute Zahl der einbezogenen Beschäftigten möglichst klein gehalten werden, weil jeder Abgleich als solcher einen – wenn auch geringen – Eingriff darstellt. Es ist daher durchaus naheliegend, den Abgleich zumeist auf die Personen zu beschränken, die tatsächlich die Möglichkeit zu entsprechenden Rechtsverletzungen hatten[41]. Eine diskriminierende Auswahl sollte aber vermieden werden[42]. Sinnvoll ist es also regelmäßig, nach objektiven Kriterien wie der Position auszuwählen, nicht aber nach personenbezogenen „Risikomerkmalen“ wie Alter, Betriebsangehörigkeit oder Geschlecht.
dd) Pseudonymisierung, Anonymisierung
§ 32d Abs. 3 BDSG-E sah vor, dass die Daten zunächst in pseudo- oder anonymisierter Form abgeglichen und erst bei Vorliegen eines Verdachtsfalls repersonalisiert werden sollten. Ein solches Vorgehen ist schematisch kaum sinnvoll; wird direkt auf ohnehin beim Arbeitgeber gespeicherte Daten zugegriffen, macht eine Anonymisierung keinen Sinn, weil die Daten im Original erhalten bleiben müssen. Sie ist nur bei abgestuftem Vorgehen anzuwenden, wenn also zunächst aus den Datenbanken ein neuer Datensatz zur Durchführung des Abgleiches erstellt wird[43]. Die Pseudonymisierung bzw. Anonymisierung ist dann insbesondere bei der Weitergabe an Dritte gefordert. So wird das Risiko von Datenlecks oder eines Missbrauchs der Daten verringert.
Sie verringert im Übrigen auch sonst die Eingriffsintensität und ist grundsätzlich angezeigt. Wenn allerdings der Eingriff ohnehin sehr gering ist, kann sie wegen der mit ihr verbundenen Kosten für den Arbeitgeber unverhältnismäßig sein.
c) Abwägung
Die Abwägung der betroffenen Interessen bestimmt im Ergebnis über die Zulässigkeit der Maßnahme. Hier werden in der Literatur verbreitet recht strenge Kriterien angelegt. Insbesondere der verdachtsunabhängige Abgleich von Daten sämtlicher Beschäftigter wird als Totalüberwachung für grundsätzlich unzulässig gehalten[44]. Periodische, verdachtsunabhängige Stichproben sowie die Verfolgung konkreter Verdachtsfälle reichten aus[45].
Es ist sicherlich richtig, dass in vielen Fällen eine dauerhafte Überprüfung nicht erforderlich ist. Ein ständiger Abgleich sämtlicher Zahlungen mit den Konten der Beschäftigten etwa dürfte meist unnötig sein. Hier genügt der Abgleich beispielsweise am Jahresende. Anderes kann jedoch zum Beispiel gelten, wenn es um die Vermeidung von Insider-Trading geht. Hier kann es erforderlich sein, Transaktionen in Echtzeit zu überprüfen. Ferner wird es häufig unverhältnismäßig sein, regelmäßig die Konten von Personen zu überprüfen, die Zahlungen nicht anweisen können oder sonst auch nicht besonders korruptionsgefährdet sind[46]. Im Einzelfall können aber durchaus auch hier Überprüfungen möglich sein, nämlich dann, wenn es vorstellbar ist, dass ein solcher Kollege mit einem Verfügungsberechtigten zur Schädigung des Unternehmens zusammenwirkt.
Tendenziell geht es jedoch zu weit, im Zusammenhang mit verdachtsunabhängigen Datenabgleichen von einer Totalüberwachung zu sprechen. Die Verhaltenskontrolle, welcher auch die Nicht-Treffer unterworfen werden, ist beim Abgleich punktuell. Sie bezieht sich auf den Umstand, für den der jeweilige Abgleich aussagekräftig ist. Das ist qualitativ überhaupt nicht mit dem Überwachungsdruck beispielsweise durch eine Videoüberwachung zu vergleichen. Eine Videoüberwachung erfasst schlichtweg jedes Handeln und damit auch private Momente während der Arbeit[47]. Demgegenüber liefert der Datenabgleich dem Arbeitgeber bei Anwendung als Compliance-Mittel bei Nicht-Treffern nur einzelne Daten mit explizit beruflichem Bezug – nämlich das Indiz, dass der Nicht-Treffer wohl keine Straftat oder keinen schwere Vertragsverstoß begangen hat. Anders als bei der Videoüberwachung besteht gerade nicht das Problem, dass sich der Beschäftigte während seiner gesamten Tätigkeit beobachtet fühlt und deshalb in seiner Persönlichkeitsentfaltung eingeschränkt wird. Die Funktion des Datenschutzrechtes als Vorfeldschutz des Persönlichkeitsrechtes ist wegen der punktuellen Information nicht betroffen. Der Beschäftigte wird einzig in seiner Freiheit, Vertragsverletzungen oder Straftaten zu begehen, eingeschränkt. Genau das wird aber – außerhalb der Intimsphäre – weder vom Persönlichkeitsrecht noch vom Datenschutzrecht geschützt. Auch bei der Videoüberwachung wird dieser Aspekt allenfalls als Reflex des Schutzes des Persönlichkeitsrechts im Übrigen geschützt.
Ein „Anlass“ im Sinne eines konkreten Verdachts ist für die Durchführung des Abgleiches daher nicht zu fordern. Ausreichen muss vielmehr, dass nach der Lebenserfahrung derartige Verstöße vorkommen können[48]. In Anlehnung an die Rechtsprechung zu § 130 OWiG kann eine ComplianceOrganisation insbesondere darauf ausgerichtet sein, Fehler zu beheben, die bereits in der Vergangenheit gemacht worden sind[49].
Eine viel schwierigere Frage ist, ob der Arbeitgeber nicht andere, weniger einschneidende und ihm zumutbare Möglichkeiten zur Sicherstellung der Compliance hat. Auch Zeichnungsrichtlinien sind beispielsweise ein Mittel der Compliance. Es führt jedoch nicht weiter, den Arbeitgeber einfach darauf zu verweisen. Rechtlich erforderlich ist ein ganzes System der Compliance, das sich aus rein präventiven Elementen wie Zeichnungsrichtlinien, aber auch der nachfolgenden Kontrolle ihrer Einhaltung zusammensetzt. Bei der Schaffung dieses Systems der Compliance kommt dem Arbeitgeber ein durch die Berufsfreiheit (Artt. 15, 16 EuGRC, 12 Abs. 1 GG) geschützter Einschätzungsspielraum zu. Er muss letztlich entscheiden, welchen Umfang dieses System hat, auch wenn er dabei an die Grenzen des Datenschutzrechts gebunden ist. Eines der Mittel, die ihm dabei zu Gebote stehen, ist der Datenabgleich. Dieser ist ein anerkannter Baustein des Werkzeugkastens. Das ergibt sich schon aus den gesetzlichen Normen der §§ 52 SGB II, 25c Abs. 2 KWG, 9 Abs. 2 Nr. 2 GWG.
Bestätigt wird die Einordnung von Datenabgleichen als Standardmaßnahmen der betrieblichen Praxis durch einen Blick auf die Alternativen. Diese sind in vielen Fällen eingriffsintensiver. Das gilt beispielsweise für die stichprobenartige Überprüfung einzelner Mitarbeiter an Stelle des Abgleichs berufsbezogener Daten des gesamten betroffenen Mitarbeiterkreises: Die umfassende Prüfung der Einhaltung von Compliance-Anforderungen kann durchaus erfordern, die Arbeitsweise eines ganzen Jahres oder gar eines noch längeren Zeitraums zu durchleuchten. Geprüft werden könnte bspw. jede Transaktion eines Traders, jede Auftragsvergabe eines Einkäufers, jeder Außenkontakt bei möglichen Kartellverstößen. Das greift qualitativ ganz anders in das Persönlichkeitsrecht ein als ein Datenabgleich. Das Verhalten der betroffenen Mitarbeiter wird umfassend geprüft. Viele Informationen, deren Einbeziehung beim Datenabgleich nicht notwendig gewesen wäre, werden ausgebreitet. Zudem werden sie auch – anders als beim Datenabgleich – tatsächlich von einem anderen Menschen wahrgenommen. Wegen dieser hohen Eingriffsintensität – wenn auch gegenüber Wenigen – können Stichproben sogar insgesamt die schwerwiegendere Maßnahme sein – trotz der großen Zahl von Arbeitnehmern, die vom Datenabgleich betroffen sind. Zudem haben bei Stichproben die einzelnen Mitarbeiter typischerweise keinen Anlass für die Überprüfung gesetzt. Daher kann das Verhältnismäßigkeitsprinzip sogar die Durchführung eines vorgeschalteten Datenabgleichs erfordern, um zunächst Verdachtsfälle für die nähere Untersuchung zu ermitteln.
Leitlinie für die Zulässigkeit des einzelnen Datenabgleichs kann damit in der Praxis durchaus § 32d Abs. 3 BDSG-E sein. Anders als es viele Stimmen in der Literatur meinen[50], würde dessen Inkrafttreten die Möglichkeiten des Datenabgleichs nicht erweitern. Der Entwurf gibt insofern lediglich den Status quo dessen wieder, was heute zumindest zulässig ist. Es lässt sich nach geltendem Recht durchaus die Faustregel aufstellen, dass zur Aufdeckung von Straftaten und schweren Vertragsverletzungen ein Datenabgleich regelmäßig zulässig ist:
- Das Interesse des Arbeitgebers wiegt in diesen Fällen schwer. Im Bereich des Kartellrechts, des Insiderhandels, der Geldwäsche oder auch der Korruptionsbekämpfung hat der Gesetzgeber selbst zum Ausdruck gebracht, dass der Arbeitgeber zur Verhinderung von Verstößen auch mit modernen technischen Methoden tätig werden muss.
- Die Eingriffsintensität ist beim Abgleich vorhandener Daten für Nicht-Treffer gering. Auch ohne näheren Verdacht ist der Arbeitgeber ihnen gegenüber berechtigt, die Begehung schwerer Vertragsverletzungen zu überprüfen. Auch im Vergleich mit anderen Maßnahmen wie individuellen Prüfungen ist die Eingriffsintensität des Datenabgleichs gering.
- Treffer haben, soweit sie die Verstöße begangen haben, den Anlass für die Maßnahme gesetzt und müssen die weiteren Folgen hinnehmen.
Problematisch wird der Abgleich aber dennoch dann, wenn
- die Streuwirkung, d.h. die Zahl der unschuldigen Treffer zu groß ist. Denn diese Treffer haben eben keinen Anlass für nähere Untersuchungen gesetzt.
- der Überwachungsdruck insgesamt zu groß wird. Zielloses Überprüfen ist ebensowenig zulässig wie ständige Überprüfungen, die keinen weiteren Erkenntnisgewinn mehr bringen. Der Arbeitgeber muss vielmehr in jedem Einzelfall sehr genau prüfen, ob die Maßnahme erforderlich ist oder ob Alternativen bestehen. Er muss insbesondere bei der Einrichtung einer Compliance-Organisation auch präventive Maßnahmen vorsehen, um die Notwendigkeit von Datenabgleichen nicht ins Unendliche wachsen zu lassen. Insofern hat er jedoch eine Einschätzungsprärogative.
Der Abgleich für andere Zwecke – etwa die Aufklärung weniger schwerwiegender Vertragsverletzungen oder Abgleiche rein informativer Natur – kann nur im Einzelfall beurteilt werden. Auch sie sind aber nicht per se unzulässig, § 32d Abs. 3 BDSG-E wäre insofern zu eng. Bei Abgleichen zu rein informativen Zwecken ist zu berücksichtigen, dass der Eingriff regelmäßig gering ist, wenn es um den Abgleich ohnehin bekannter Informationen beruflichen Gehaltes geht. Man denke etwa an das eingangs gegebene Beispiel des Abgleichs der Beschäftigten mit der Teilnahme an Schulungen, soweit es um Zwecke der Personalentwicklung geht. Vergleichbare Fälle werden aber selten sein.
Problematischer wird ein Datenabgleich auch, je mehr er vom reinen „Feldvergleich“ hin zu Scoring-Methoden geht. Statistische Analysen erlauben es, aus großen Mengen von personenbezogenen Daten – etwa der E-Mail Kommunikation des Beschäftigten – beispielsweise Wahrscheinlichkeiten für Kartellverstöße oder Zusammenhänge mit diesen aufzudecken. Diese Analysen sind aus zwei Gründen problematisch: Sie beziehen erstens große Datenmengen ein und greifen so insgesamt auf einen erheblichen Teil des Arbeitslebens des Beschäftigten zu – der E-Mail Account ist das Paradebeispiel. Zweitens können die Analysen Informa tionen zu Tage fördern, die so weder für den Beschäftigten noch einen unbefangenen menschlichen Leser erkennbar wären und tiefgreifende Schlüsse auf die Persönlichkeit des Beschäftigten zulassen.
In der rechtlichen Bewertung ist zu unterscheiden: Diese Analysen sind weniger problematisch, wenn es tatsächlich um das Auffinden von Indizien für schwerwiegende Verstöße des Beschäftigten geht. Das Datenschutzrecht soll gerade keinen straffreien Raum schaffen (III.3.a)), weshalb auch die Durchforstung von Daten eines wesentlichen Teils des Berufslebens im Einzelfall noch zu rechtfertigen ist. Es handelt sich um Daten nicht der Intim-, sondern der beruflichen Sphäre. Anders als beim Einsatz eines Privatdetektivs, werden die Daten außerdem nicht im Einzelnen von einem Menschen wahrgenommen. Sie werden nur unter einem ganz bestimmten Aspekt maschinell durchgesehen. Erst das Ergebnis gelangt zur Kenntnis eines Menschen. Auch hier ist aber eine genaue Betrachtung des Einzelfalls erforderlich.
Das gilt erst Recht, soweit andere, weniger schwerwiegende Zwecke verfolgt werden. Hier ist die Grenze der Zulässigkeit regelmäßig überschritten, wenn die Analyse, etwa des E-Mail Verkehrs des Beschäftigten, Informationen ganz anderer Art – über seine Leistung, sein Krankheits risiko, seine Persönlichkeitsstruktur – liefern soll. Vor dieser Ausspähung der Privatsphäre, der Aufdeckung von Persönlichkeitsmerkmalen, soll das Datenschutzrecht gerade schützen. Der Beschäftigte hat das Recht, insofern keiner Totalüberwachung unterworfen zu werden.
3. Information und Auskunft
Die Verwendung von Stammdaten oder sonstiger beim Arbeitgeber bereits vorhandener Daten für einen Datenabgleich kann eine Änderung des bisherigen Zwecks darstellen, die nach verbreiter Ansicht analog § 33 BDSG eine Benachrichtigungsspflicht auslöst[51].
IV. Erhebung weiterer Daten vor
Zum heutigen Zeitpunkt weitgehend ungeklärt ist, inwiefern der Arbeitgeber weitere Informationen, etwa aus sozialen Netzwerken, von kommerziellen Datenhändlern oder aus dem Internet, in den Abgleich einstellen kann. In Betracht gezogen werden könnte auch, den Beschäftigten etwa nach Namen und sonstigen Daten seiner Angehörigen zu fragen. Gerade beim Kampf gegen Korruption oder Insiderhandel besteht durchaus ein Interesse, Freunde und Angehörige der Beschäftigten einzubeziehen.
Diese Erhebung weiterer Daten ist ein separat zu rechtfertigender Vorgang (§ 4 Abs. 1 BDSG) – sind sie einmal erhoben, gelten für den Abgleich die obigen Maßstäbe. Die wesentliche Rechtfertigungshürde wird jedoch bereits bei der Erhebung liegen. Sie ist datenschutzrechtlich hochproblematisch. Im Regelfall dürfte gelten, dass der Arbeitgeber nicht nach den Angehörigen des Beschäftigten fragen darf. Denn das darf er noch nicht einmal, um Insiderhandel zu verhindern, obwohl hier gesetzliche Meldepflichten auch für Angehörige bestehen (§ 15a WpHG)[52]. Die Zurückhaltung ist auch berechtigt: Ansonsten drohte eine Einschränkung der freien Entfaltung der Persönlichkeit, wenn etwa der Beschäftigte fürchtet, Nachteile zu erleiden, weil er in einer gleichgeschlechtlichen Lebenspartnerschaft lebt. Auch Daten aus dem Internet und sozialen Netzwerken dürften allenfalls im Einzelfall dann erhoben werden dürfen, wenn sie öffentlich zugänglich sind (§ 28 Abs. 1 S. 1 Nr. 3 BDSG). Ansonsten gilt das Gebot der Direkterhebung (§ 4 Abs. 2 BDSG). Auch bei der Erhebung öffentlich zugänglicher Daten besteht aber die Gefahr, dass bereits die Möglichkeit einer solchen Datensammlung die freie Entfaltung der Persönlichkeit des Beschäftigten, etwa bei der Nutzung sozialer Netzwerke, einschränkt. Ferner bringt die Erhebung der Daten die Gefahr des Missbrauchs auch für andere Zwecke mit sich. Sie kann nur im Einzelfall beim Vorliegen bereits konkreter Anhaltspunkte gegen Beschäftigte und bei schweren Vorwürfen zulässig sein – also praktisch im Rahmen des § 32 Abs. 1 S. 2 BDSG. Ein Datenabgleich wird dann freilich kaum noch Sinn machen. Auch dann ist sicherzustellen, dass die Daten nicht für andere Zwecke verwandt oder eingesehen werden können und nach dem Abgleich sogleich gelöscht werden.
V. Mitbestimmung (§ 87 Abs. 1 Nr. 6 BetrVG)
Abgleich – und auch die Erhebung von Daten im Vorfeld – unterliegen der Mitbestimmung des Betriebsrates gemäß § 87 Abs. 1 Nr. 6 BetrVG. Sie kann im Einzelfall oder auch allgemein durch eine Betriebsvereinbarung ausgeübt werden. Für die Praxis ist letzteres zu empfehlen. Zwar kann damit nach heute ganz überwiegender Meinung von dem Standard des BDSG nicht abgewichen werden[53]. Dennoch können hier klarere Regeln und betriebsinterner Frieden geschaffen werden. Außerdem kann die Betriebsvereinbarung das umfängliche Compliance-Konzept des Arbeitgebers dokumentieren.
VI. Fazit
Datenabgleiche werden in der Literatur verbreitet zu kritisch gesehen. Sie sind ein wichtiges, vom Gesetzgeber anerkanntes und als solches gewolltes Compliance-Werkzeug. In der betrieblichen Praxis kann man sich an der Regelung des § 32d Abs. 3 BDSG-E orientieren. Es gilt die Faustregel, dass zur Aufdeckung von Straftaten und schweren Vertragsverletzungen ein Datenabgleich regelmäßig zulässig ist. Dabei müssen jedoch auch der Überwachungsdruck, der insbesondere durch andere Abgleiche herrscht, die Streuwirkung des Abgleiches sowie mögliche Alternativen berücksichtigt werden. Auch für andere Zwecke ist ein Abgleich nicht schlechthin ausgeschlossen. Es bedarf jedoch einer Einzelfallabwägung, die häufig zur Unzulässigkeit des Abgleichs führen wird.
Vom Abgleich als solchem zu trennen ist die Erhebung weiterer Daten zu seiner Durchführung im Vorfeld. Diese und insbesondere der Zugriff auf Daten aus dem Privatbereich des Beschäftigten – etwa von seiner Facebook-Seite – ist hochproblematisch und meist unzulässig. Lediglich bei einem konkreten, schwerwiegenden Verdacht mag die Datenerhebung in Betracht kommen. Ein Datenabgleich ist dann freilich kaum noch erforderlich.
Dr. Johannes Traut
Dr. Johannes Traut ist Rechtsanwalt bei CMS Hasche Sigle in Köln. Zuvor war er als wissenschaftlicher Mitarbeiter am Institut für Arbeitsrecht und Recht der Sozialen Sicherheit der Universität Bonn tätig. Er ist Autor verschiedener Fachbeiträge zum Beschäftigtendatenschutz und hält Vorträge zu Themen aus diesem Bereich.
[1] Vgl. wikipedia.de, Stichwort „Screening“, eingesehen am 19.12.2013.
[2] Vgl. nur Maschmann, NZA-Beil. 2012, 50, 51; Kock/Francke, NZA 2009, 646, 647; Salvenmoser/Hauschka, NJW 2010, 331; Kort, DB 2011, 651, 653; Jacobs, ZfA 2012, 215, 222; Thüsing, Arbeitnehmerdatenschutz und Compliance, 1. Aufl. 2010, Rn. 165ff.; Neundorf, in: Hauschka, Corporate Compliance, 2. Aufl. 2010, § 30 Rn. 34.
[3] Vgl. etwa ErfK/Kania, 14. Aufl. 2014, § 87 Rn. 51; Gola/Schomerus, BDSG, 11. Aufl. 2012, § 32 Rn. 25, 27; § 3a Rn. 10a.
[4] ArbG Berlin v. 18.2.2010 – 38 Ca 12879/09, Rn. 20 ff.
[5] Seifert, in: Simitis, BDSG, 7. Aufl. 2011, § 32 Rn. 103, 108; Kock/ Francke, NZA 2009, 646, 648; unklar Kort, DB 2011, 651, 653.
[6] Seifert, in: Simitis, BDSG, 7. Aufl. 2011, § 32 Rn. 108; Tinnefeld/ Petri/Brink, MMR 2010, 727, 731; kritisch auch Hjort, AiB 2010, 639, 642.
[7] BFH v. 19.6.2012 – VII R 43/11, RDV 2012, 303.
[8] Roeder/Buhr, BB 2012, 193; dies., BB 2011, 1333; Gleich, DB 2013, 1967.
[9] Näher hierzu auch Bierekoven, CR 2010, 203; Brink/Schmidt, MMR 2010, 592.
[10] BAG v. 23.8.2012 – 8 AZR 804/11, Rn. 38; differenzierend Seifert, in: Simitis, 7. Aufl. 2011, § 32 Rn. 61 f.
[11] Boos/Fischer/Schulte-Mattler/Achtelik, KWG, 4. Aufl. 2012, § 25c Rn. 18; vgl. auch die Begründung, BR-Drucks. 168/08, S. 108 f.
[12] Vgl. nur Boos/Fischer/Schulte-Mattler/Achtelik, KWG, 4. Aufl. 2012, § 25c Rn. 20.
[13] Weiterhin abrufbar auf der Website des Bundesinnenministeriums auf: http://www.bmi.bund.de/cae/servlet/contentblob/1286172/publicationFile/95297/Entwurf_Beschaeftigtendatenschutz.pdf.
[14] Für § 130 OWiG vgl. nur Rogall, in: Karlsruher Kommentar, OWiG, 3. Aufl. 2006, § 130 Rn. 36; Bohnert, OWiG, 3. Aufl. 2010, § 130 Rn. 20; Thüsing/Forst, in: Thüsing, BDSG, § 2 Rn. 10; Greeve, in: Hauschka, Corporate Compliance, 2. Aufl. 2010, § 25 Rn. 126.
[15] Großkomm AktG/Hopt, 4. Aufl. 1999, § 93 Rn. 107; MünchKommAktG/Spindler, 3. Aufl. 2008, § 93 Rn. 82; KölnKommAktG/Mertens/ Cahn, § 93 Rn. 80 ff.; Fleischer, AG 2003, 291; ders. NZG 2003, 449; Thüsing, Arbeitnehmerdatenschutz und Compliance, 1. Aufl. 2009, Rn. 16; Greeve, in: Hauschka, Corporate Compliance, 2. Aufl. 2010, § 5 Rn. 126.
[16] Vgl. auch Greeve, in: Hauschka, Corporate Compliance, 2. Aufl. 2010, § 25 Rn. 129.
[17] Greeve/Hauschka, BB 2007, 165; Bergmoser/Theusinger/Gushurst, BB 2008, Special Nr. 5, S. 10; vgl. auch Thüsing, Arbeitnehmerdatenschutz und Compliance, 1. Aufl. 2010, Rn. 165 ff.
[18] BFH v. 19.6.2012 – VII R 43/11, RDV 2012, 303.
[19] Roeder/Buhr, BB 2012, 193; dies., BB 2011, 1333; Gleich, DB 2013, 1967
[20] Vgl. bereits Pötters/Traut, RDV 2012, 132, 133 f.
[21] Vgl. umfangreich Pötters/Traut, RDV 2012, 132, 133 f.
[22] Gola/Schomerus, BDSG, 11. Aufl. 2012, § 32 Rn. 25; Kort, DB 2011, 651, 653; Jacobs, ZfA 2012, 215, 222; Thüsing, Arbeitnehmerdatenschutz und Compliance, 1. Aufl. 2010, Rn. 77.
[23] Dazu schon Pötters/Traut, RDV 2012, 132, 133.
[24] BAG v. 7.2.2012 – 1 ABR 46/10, RDV 2012, 192.
[25] Vgl. etwa Kort, DB 2011, 651, 653.
[26] BT-Drs. 16/13657, S. 21. Ähnlich wie dies auch bei Normen der StPO gilt – schwerwiegendere Eingriffe müssen konkreter umrissen werden und engeren Tatbestandsvoraussetzungen unterliegen. In diesem Sinne hat der BAG auch die Formel, die später Vorbild des § 32 Abs. 1 S. 2 BDSG wurde (vgl. BT-Drs. 16/13657, S. 21), für den schweren Eingriff der Videoüberwachung entwickelt (BAG NZA 2008, S. 1187).
[27] Prominent etwa Däubler, Gläserne Belegschaften, 2010, S. 107; vgl. auch Thüsing, Arbeitnehmerdatenschutz und Compliance, 1. Aufl. 2010, Rn. 126 m.w.N.
[28] OLG Celle v. 14.11.1979 – 3 U 92/79, NJW 1980, 347, 348; Schaffland/Wiltfang, BDSG, § 4a Rn. 11; Simitis, in: ders., BDSG, 7. Aufl. 2011, § 4a Rn. 77; Mengel, Compliance und Arbeitsrecht, 2009, S. 202; Zimmermann, RDV 2006, 242, 244; Thüsing, Arbeitnehmerdatenschutz und Compliance, 1. Aufl. 2010, Rn. 131.
[29] Vgl. nur Gola/Schomerus, BDSG, 11. Aufl. 2012, § 32 Rn. 25; Maschmann, NZA-Beil. 2012, 50, 51; Kock/Francke, NZA 2009, 646, 647; Salvenmoser/Hauschka, NJW 2010, 331; Kort, DB 2011, 651, 653; Jacobs, ZfA 2012, 215, 222; Thüsing, Arbeitnehmerdatenschutz und Compliance, 1. Aufl. 2010, Rn. 165ff.; Neundorf, in: Hauschka, Corporate Compliance, 2. Aufl. 2010, § 30 Rn. 34.
[30] BR-Drs. 168/08, S. 109.
[31] Grundlage des deutschen Gesetzes, vgl. BR-Drs. 168/08, S. 107.
[32] Vgl. beispielsweise den Katalog bei Greeve, in: Hauschka, Corporate Compliance, 2. Aufl. 2010, § 25 Rn. 133.
[33] Jacobs, ZfA 2012, 215, 222; vgl. auch Kort, DB 2011, 651, 653.
[34] Salvenmoser/Hauschka, NJW 2010, 331, 335.
[35] Vgl. dazu BVerfG v. 4.4.2006 – 1 BVR 518/02, BVerfGE 115, 320; BVerfGE 100, 313, 376; BVerfGE 107, 299, 319 f.; BVerfGE 109, 279, 353
[36] Kock/Francke, NZA 2009, 646, 648; Salvenmoser/Hauschka, NJW 2010, 331, 333; Thüsing, Arbeitnehmerdatenschutz und Compliance, 1. Aufl. 2010, Rn. 189ff.; zur Videoüberwachung BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 Rn. 21; Pötters/Traut, RDV 2013, 132, 135.
[37] BVerfG v. 11. 3. 2008 – 1 BvR 2074/05, BVerfGE 120, 378; ähnlich BVerfG v. 17.2.2009 – 2 BvR 1372/07 u.a., NJW 2009, 1405 Rn. 19.
[38] BT-Drs. 16/13657, S. 21; Gola/Schomerus, BDSG, 11. Aufl. 2012, § 3a Rn. 27; Seifert, in: Simits, BDSG, 7. Aufl. 2011, § 32 Rn. 104.
[39] Kock/Francke, NZA 2009, 646, 648; Jacobs, ZfA 2012, 215, 222.
[40] Vgl. Kock/Francke, NZA 2009, 646, 648.
[41] Kock/Francke, NZA 2009, 646, 648; Salvenmoser/Hauschka, NJW 2010, 331, 335.
[42] Vgl. Thüsing, Arbeitnehmerdatenschutz und Compliance, 1. Aufl. 2009, Rn. 149ff.
[43] Gola/Schomerus, BDSG, 11. Aufl. 2012, § 3a Rn. 10a.
[44] So etwa Kort, 2011, 651, 653; Kock/Francke, NZA 2009, 646; Jacobs, ZfA 2012, 215, 222; Tinnefeld/Petri/Brink, MMR 2010, 727, 731.
[45] Kock/Francke, NZA 2009, 646, 648; Jacobs, ZfA 2012, 215, 222.
[46] Kock/Francke, NZA 2009, 646,
[47] Vgl. dazu Pötters/Traut, RDV 2012, 132, 133 ff.
[48] Ähnlich weit Diller, BB 2009, 438, 439; Thüsing, Arbeitnehmerdatenschutz und Compliance, 1. Aufl. 2009, Rn. 192.
[49] OLG Düsseldorf wistra 1999, 115, 116; wistra 1991, 39; OLG Zweibrücken NStZ-RR 1998, 311 f.; OLG Köln wistra 1994, 315; Rogall, in: Karlsruher Kommentar, OWiG, Rn. 41
[50] Seifert, in: Simitis, BDSG, 7. Aufl. 2011, § 32 Rn. 108; Tinnefeld/ Petri/Brink, MMR 2010, 727, 731; Maschmann, NZA-Beilage 2012, 50, 54 f.; kritisch auch Hjort, AiB 2010, 639, 642.
[51] Vgl. Gola/Schomerus, BDSG, 11. Aufl. 2012, § 33 Rn. 16; Dix in: Simitis, BDSG, 7. Aufl. 2011, § 33 Rn. 13; a.A. Diller, BB 2009, 438, 439; Thüsing, Arbeitnehmerdatenschutz und Compliance, 1. Aufl. 2010, Rn. 449.
[52] Mengel, Compliance und Arbeitsrecht, 1. Aufl. 2009, Rn. 42.
[53] Sokol, in: Simits, BDSG, 7. Aufl. 2011, § 4 Rn. 17; Gola/Schomerus, BDSG, 11. Aufl. 2012, § 4 Rn. 10; Pötters/Traut, RDV 2013, 132, 139 alle m.w.N.