Rechtsfragen der Mitarbeite... / 1.3.2 Aufdeckung von Straftaten

Bei der repressiven Kontrolle im Einzelfall sowie für die Implementierung von Revisionsprüfungen oder bei einer unternehmensinternen Investigation, die sich (auch) auf mögliche Straftaten wie z. B. Korruptionsdelikte und Vermögensdelikte im Unternehmen richtet, sind die Maßstäbe des § 26 Abs. 1 Satz 2 BDSG zu beachten.

Für die Verarbeitung personenbezogener Daten im Arbeitsverhältnis, die praktisch immer dann vorliegt, wenn Daten nicht anonymisiert oder jedenfalls pseudonymisiert verarbeitet werden, verlangt § 26 Abs. 1 Satz 2 BDSG erstens einen konkreten Tatverdacht gegen den oder die Arbeitnehmer, dessen/deren personenbezogene Daten für die Ermittlungen genutzt werden. Dabei muss der Tatverdacht auf "tatsächlichen Anhaltspunkten" beruhen und "dokumentiert" werden. Dieser Gesetzeswortlaut wird so verstanden, dass vor der Datenverarbeitung der Tatverdacht schriftlich oder elektronisch festgehalten und – für eine etwaige spätere Prüfung durch die Arbeitsgerichte oder die Aufsichtsbehörden bzw. bei Vorliegen eines kollektiven Tatbestands für die Mitbestimmung des Betriebsrats – vorgehalten werden muss.[1] Ein "dringender Tatverdacht" ist nicht erforderlich.[2] Die Verwertung von Zufallsfunden, die aufgrund solcher Maßnahmen erreicht werden, unterliegt nach der Rechtsprechung des BAG auch dem Maßstab von § 26 Abs. 1 Satz 1 BDSG.[3]

Datenschutzrechtlich problematisch ist, dass der Zweck der Dokumentationspflicht nicht näher festgelegt ist.[4] So bleibt es Arbeitgebern überlassen, selbst zu entscheiden, wie lange die Aufbewahrung der Dokumentation erforderlich und zulässig ist. Bis zu einer Klärung durch die Rechtsprechung bleibt damit letztlich offen, ob dies bis zur rechtskräftigen Beendigung des Arbeitsverhältnisses im Fall einer Kündigung wegen der Straftat oder des Verdachts oder sogar noch länger bis zur nächsten Revision durch die Datenschutzbehörde zulässig ist.

Zweitens muss noch eine Interessenabwägung und Verhältnismäßigkeitsprüfung durchgeführt werden. Insgesamt sind dies erheblich strengere Anforderungen als sie vor Inkrafttreten des § 32 BDSG a. F. zum 1.9.2009 an die Untersuchung von (vermeintlichen) Straftaten im Unternehmen gestellt wurden.

[1] ErfK-Franzen, 19. Aufl. 2019, § 26 BDSG Rn. 38; HWK-Lembke, 8. Aufl. 2018, Art. 88 DSGVO Rn. 49, der auch eine nachträgliche Dokumentation für zulässig erachtet; Gola, 2. Aufl. 2018, Art. 88 Rn. 80 ff..
[2] Vgl. BAG, Urteil v. 20.10.2016, 2 AZR 395/15, NJW 2017 S. 1193, 1194 f.
[3] Vgl. BAG, Urteil v. 22.9.2016, 2 AZR 848/15, NZA 2017 S. 112, 115.
[4] So auch Thüsing, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, S. 37.

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge