Interne Untersuchungen - beck-shop.de DIE FACHBUCHHANDLUNG
Interne Untersuchungen - beck-shop.de DIE FACHBUCHHANDLUNG
Interne Untersuchungen - beck-shop.de DIE FACHBUCHHANDLUNG
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Interne</strong> <strong>Untersuchungen</strong><br />
Praxisleitfa<strong>de</strong>n für Unternehmen<br />
von<br />
Dr. Wolfgang Heckenberger, Dr. Klaus Moosmayer, Niels Hartwig, Rainer-Diethardt Bührer, Dr. Jens Burgard,<br />
Susanne Gropp-Stadler, Dr. Susanne Rabl, Florian Thoma, Dr. Antonie Wauschkuhn, Christina Wolfgramm, Dr.<br />
Mirjam-Dora Weiße<br />
1. Auflage<br />
<strong>Interne</strong> <strong>Untersuchungen</strong> – Heckenberger / Moosmayer / Hartwig / et al.<br />
wird vertrieben von <strong>beck</strong>-<strong>shop</strong>.<strong>de</strong><br />
Thematische Glie<strong>de</strong>rung:<br />
Unternehmensrecht<br />
Verlag C.H. Beck München 2012<br />
Verlag C.H. Beck im <strong>Interne</strong>t:<br />
www.<strong>beck</strong>.<strong>de</strong><br />
ISBN 978 3 406 62819 1<br />
Inhaltsverzeichnis: <strong>Interne</strong> <strong>Untersuchungen</strong> – Heckenberger / Moosmayer / Hartwig / et al.
96<br />
F. Datenschutzrechtliche Rahmenbedingungen<br />
Diensteanbieter kann dabei grds. nicht nur ein „klassischer“ Anbieter wie etwa die<br />
Deutsche Telekom o<strong>de</strong>r Vodafone sein, son<strong>de</strong>rn auch eine Tochtergesellschaft in einem<br />
Konzern, die vergleichbare Leistungen für Konzerngesellschaften erbringt; Diensteanbieter<br />
ist nämlich, wer geschäftsmäßig Telekommunikationsdienste erbringt o<strong>de</strong>r daran<br />
mitwirkt (§ 3 Nr. 6 TKG). Geschäftsmäßiges Han<strong>de</strong>ln setzt ein nachhaltiges Angebot<br />
für Dritte mit o<strong>de</strong>r ohne Gewinnerzielungsabsicht voraus (§ 3 Nr. 10 TKG).<br />
Der Arbeitgeber selbst ist aber grundsätzlich nicht selbst Telekommunikationsanbieter<br />
gegenüber <strong>de</strong>n Arbeitnehmern, wenn diese dienstlich bereitgestellte Kommunikationsmittel<br />
(etwa einen dienstlichen Festnetz- o<strong>de</strong>r Mobilfunkanschluss o<strong>de</strong>r E-<br />
Mail-Account) nutzen und ihnen die private Nutzung nicht gestattet ist – verkürzt<br />
lässt sich das damit begrün<strong>de</strong>n, dass <strong>de</strong>r Arbeitnehmer insoweit nicht „Dritter“ im<br />
Sinn von § 3 Nr. 10 TKG ist. Vielmehr ist er in dieser Situation eingeglie<strong>de</strong>rt in das<br />
Unternehmen und nimmt <strong>de</strong>ssen Funktion wahr, tritt ihm also nicht als Dritter gleichsam<br />
von außen gegenüber.<br />
Zweifelhafter ist die Situation dann, wenn keine Regelungen getroffen wor<strong>de</strong>n<br />
sind o<strong>de</strong>r die private Nutzung von Einrichtungen ausdrücklich zugelassen ist. Ob und<br />
unter welchen Voraussetzungen eine betriebliche Übung privater Nutzung zu einer<br />
abweichen<strong>de</strong>n Beurteilung führt ist im Einzelnen umstritten. Je<strong>de</strong>nfalls aber bei ausdrücklicher<br />
Erlaubnis <strong>de</strong>r privaten Nutzung geht die weit überwiegen<strong>de</strong> Literatur von<br />
<strong>de</strong>r Anwendbarkeit <strong>de</strong>s TKG aus 305 .<br />
3. Beson<strong>de</strong>re Gruppen von Betroffenen<br />
Bei <strong>de</strong>r Durchführung von <strong>Untersuchungen</strong> können sich schließlich weitere Beschränkungen<br />
aus beson<strong>de</strong>ren Funktionen ergeben, die einzelnen Arbeitnehmern<br />
übertragen sind. Zu <strong>de</strong>nken ist an Mitglie<strong>de</strong>r <strong>de</strong>s Betriebsrates und vergleichbarer<br />
Einrichtungen (etwa auch <strong>de</strong>r Jugend- und Auszubil<strong>de</strong>n<strong>de</strong>nvertretung), an<strong>de</strong>rer kollektivarbeitsrechtlicher<br />
Gremien, Mitarbeiter <strong>de</strong>s betriebsärztlichen Dienstes, <strong>de</strong>r<br />
Sozialberatung und <strong>de</strong>r Datenschutzorganisation, <strong>de</strong>ren Kommunikation in beson<strong>de</strong>rer<br />
Weise geschützt ist, um die erfor<strong>de</strong>rliche Vertraulichkeit ihrer Arbeit im Interesse<br />
<strong>de</strong>r beteiligten Betroffenen sicherzustellen.<br />
Auch ohne solche Funktionen kann sich schließlich aus einzelnen Aufgaben ergeben,<br />
dass ein Zugriff auf Daten nicht o<strong>de</strong>r nur eingeschränkt möglich ist – etwa wenn<br />
Mitarbeiter als Insi<strong>de</strong>r zu qualifizieren sind, Umgang mit Verschlusssachen haben<br />
o<strong>de</strong>r hatten o<strong>de</strong>r sonst sensible Sachverhalte bearbeiten.<br />
In <strong>de</strong>r Praxis empfiehlt es sich, einen Prozess vorzusehen, durch <strong>de</strong>n vor <strong>de</strong>m Zugriff<br />
auf Datenbestän<strong>de</strong> eine Klärung erreicht wird: dazu können Mitarbeiter entwe<strong>de</strong>r<br />
selbst nach <strong>de</strong>m Vorliegen von Hin<strong>de</strong>rnissen befragt wer<strong>de</strong>n o<strong>de</strong>r durch kundige<br />
Stellen im Unternehmen ist zu prüfen, ob solche Funktionen und Aufgaben aktuell<br />
bestehen o<strong>de</strong>r in <strong>de</strong>r Vergangenheit bestan<strong>de</strong>n haben.<br />
V. Abschluss <strong>de</strong>r Untersuchung<br />
Sind die Ziele <strong>de</strong>r Untersuchung im engeren Sinn erreicht, also insbeson<strong>de</strong>re Sachverhalte<br />
festgestellt, die dann qualifiziert zu beurteilen sind, stellt sich die Frage,<br />
305 Dagegen – mit einer umfassen<strong>de</strong>n Darstellung <strong>de</strong>r wechselseitigen Argumente – Thüsing, Arbeitnehmerdatenschutz<br />
und Compliance, Rn. 220 ff.<br />
Thoma
V. Abschluss <strong>de</strong>r Untersuchung<br />
wann und wie <strong>de</strong>nn Datenbestän<strong>de</strong> wie<strong>de</strong>r gelöscht wer<strong>de</strong>n können. Ausgangspunkt<br />
hierfür ist die Vorgabe, dass Datenbestän<strong>de</strong> nicht zweckfrei erhoben, verarbeitet und<br />
genutzt wer<strong>de</strong>n dürfen – das Verbot mit Erlaubnisvorbehalt wird eben nicht ein für<br />
alle Mal durch einen Erlaubnistatbestand beseitigt, son<strong>de</strong>rn auch in zeitlicher Hinsicht<br />
nur so lange, wie <strong>de</strong>r Umgang mit personenbezogenen Daten noch erfor<strong>de</strong>rlich<br />
ist. Demgemäß bestimmt § 35 Abs. 2 BDSG, dass personenbezogene Daten grundsätzlich<br />
je<strong>de</strong>rzeit gelöscht wer<strong>de</strong>n können 306 ; sie sind verpflichtend zu löschen, wenn<br />
– die Speicherung unzulässig ist,<br />
– bei bestimmten sensiblen Daten die Richtigkeit nicht von <strong>de</strong>r verantwortlichen<br />
Stelle bewiesen wer<strong>de</strong>n kann,<br />
– bei <strong>de</strong>r Verarbeitung für eigene Zwecke die Kenntnis <strong>de</strong>r Daten für die Erfüllung<br />
<strong>de</strong>s Zwecks <strong>de</strong>r Speicherung nicht mehr erfor<strong>de</strong>rlich ist sowie<br />
– eine nach Ablauf bestimmter Fristen vorgeschriebene Prüfung ergibt, dass eine<br />
fortdauern<strong>de</strong> Speicherung von geschäftsmäßig zum Zweck <strong>de</strong>r Übermittlung verarbeiteten<br />
Daten nicht mehr erfor<strong>de</strong>rlich ist.<br />
Für unternehmensinterne <strong>Untersuchungen</strong> von Be<strong>de</strong>utung ist naturgemäß insbeson<strong>de</strong>re<br />
<strong>de</strong>r dritte Fall. Wann sind nun Daten in diesem Sinn nicht mehr erfor<strong>de</strong>rlich?<br />
Zweck <strong>de</strong>r Untersuchung ist in aller Regel nicht nur die Feststellung von Sachverhalten,<br />
son<strong>de</strong>rn auch <strong>de</strong>ren Bewertung, Beurteilung und ggf. Ahndung. Daher ist zu<br />
differenzieren. Sind Datenbestän<strong>de</strong> ausgewertet, kann aber noch nicht mit hinreichen<strong>de</strong>r<br />
Sicherheit festgestellt wer<strong>de</strong>n, ob sie nochmals herangezogen wer<strong>de</strong>n müssen,<br />
so dürfen sie weiter gespeichert wer<strong>de</strong>n. Ist aber eine hinreichen<strong>de</strong> Trennung in<br />
relevante und nicht relevante Datenbestän<strong>de</strong> möglich, so sind die nicht relevanten<br />
Bestän<strong>de</strong> zeitnah zu löschen. Das gilt etwa, wenn E-Mails nach Filterung und ggf.<br />
manueller Sichtung als für <strong>de</strong>n Untersuchungsgegenstand be<strong>de</strong>utsam klassifiziert<br />
wer<strong>de</strong>n können und eine Ausweitung <strong>de</strong>s Untersuchungsgegenstan<strong>de</strong>s sich auch<br />
danach nicht als notwendig erweist. „Rohdaten“ sind <strong>de</strong>shalb grundsätzlich zeitnah<br />
auszuwerten, Überflüssiges von Relevantem zu trennen. Stellt sich heraus, dass auf<br />
die Auswertung von Datenbestän<strong>de</strong>n insgesamt verzichtet wer<strong>de</strong>n soll, sind diese<br />
Bestän<strong>de</strong> ebenfalls zu löschen.<br />
Ist hingegen die grundsätzliche Relevanz von Datenbestän<strong>de</strong>n festgestellt wor<strong>de</strong>n,<br />
so dürfen diese Bestän<strong>de</strong> nicht nur während <strong>de</strong>r weiteren Auswertung, son<strong>de</strong>rn auch<br />
noch für eine angemessene Zeit danach aufbewahrt wer<strong>de</strong>n, um <strong>de</strong>n unterschiedlichen<br />
Interessenlagen gerecht zu wer<strong>de</strong>n: das Unternehmen muss selbst und eventuell<br />
auch gegenüber Dritten <strong>de</strong>n festgestellten Sachverhalt belegen können. Das umfasst<br />
auch die Darlegung, wie Erkenntnisse gewonnen wur<strong>de</strong>n und wie belastbar sie sind.<br />
Hierfür sind vielfältige Grün<strong>de</strong> <strong>de</strong>nkbar: das Unternehmen muss selbst nachprüfen<br />
können, ob die Untersuchung umfassend genug war, ob festgelegte Prozesse eingehalten<br />
sind und die Untersuchung insgesamt objektiv erfolgt ist. Betroffene wer<strong>de</strong>n<br />
vielfach das Recht haben, über die Untersuchung informiert zu wer<strong>de</strong>n, Auskunfts-<br />
und Einsichtsrechte geltend zu machen o<strong>de</strong>r auch sie entlasten<strong>de</strong> Informationen und<br />
Dokumente zu erhalten. Aufsichtsbehör<strong>de</strong>n wollen ggf. <strong>de</strong>n Gang <strong>de</strong>r Untersuchung<br />
nachvollziehen können.<br />
Nicht zuletzt sind Erkenntnisse aus <strong>Untersuchungen</strong> aufzubewahren, wenn und soweit<br />
sie für strafrechtliche o<strong>de</strong>r zivilrechtliche Auseinan<strong>de</strong>rsetzungen o<strong>de</strong>r Aufgaben<br />
von Behör<strong>de</strong>n von Relevanz sein können – hier zeigt sich zugleich die Notwendigkeit<br />
306 Das gilt nicht, wenn die Löschung durch Aufbewahrungspflichten verhin<strong>de</strong>rt wird o<strong>de</strong>r<br />
schutzwürdige Belange von Betroffenen beeinträchtigen wür<strong>de</strong>.<br />
Thoma<br />
97
98<br />
F. Datenschutzrechtliche Rahmenbedingungen<br />
<strong>de</strong>r Differenzierung, <strong>de</strong>nn eine Aufbewahrung <strong>de</strong>r gesamten Datenbestän<strong>de</strong> lässt sich<br />
etwa nicht damit rechtfertigen, dass noch ein Rechtsstreit anhängig ist, wenn dieser<br />
Rechtsstreit allein sich über Jahre hinzieht, aber nur einen Randaspekt betrifft.<br />
In <strong>de</strong>r praktischen Umsetzung empfiehlt sich, von Beginn <strong>de</strong>r Untersuchung an<br />
entsprechen<strong>de</strong> Prozesse, Prüfzeitpunkte und Metho<strong>de</strong>n festzulegen, um Datenbestän<strong>de</strong><br />
zu klassifizieren und in angemessenen Abstän<strong>de</strong>n darüber entschei<strong>de</strong>n zu können,<br />
ob die weitere Aufbewahrung legitimiert ist o<strong>de</strong>r die Löschungsreife erreicht ist.<br />
VI. Rechte <strong>de</strong>r Betroffenen<br />
Während <strong>de</strong>s gesamten Ganges <strong>de</strong>r <strong>Untersuchungen</strong> sind Rechte <strong>de</strong>r Betroffenen<br />
auf Information und Auskunft, darüber hinaus ggf. auf Berichtigung, Sperrung und<br />
Löschung von Daten zu wahren.<br />
Bereits vorstehend wur<strong>de</strong> wie<strong>de</strong>rholt auf Transparenzanfor<strong>de</strong>rungen verwiesen,<br />
die bereits für sich ausreichen können, Informationspflichten nach § 33 BDSG zu<br />
erfüllen, wenn die <strong>de</strong>n Betroffenen zur Verfügung gestellten Informationen umfassend<br />
und <strong>de</strong>tailliert genug – aber auch verständlich genug – sind. Transparenz ist eine<br />
wesentliche Voraussetzung dafür, dass Betroffene ihre Rechte umfassend wahrnehmen<br />
können und damit letztlich ihren Teil leisten, ihr Persönlichkeitsrecht schützen<br />
zu können.<br />
Bestimmte Informationen sehen §§ 4, 4a BDSG bereits dann vor, wenn Daten<br />
beim Betroffenen erhoben wer<strong>de</strong>n o<strong>de</strong>r er in Datenverarbeitungsvorgänge einwilligen<br />
soll. Hingegen ist <strong>de</strong>r Anwendungsbereich von § 33 BDSG gering, weil er zunächst<br />
nur auf die erstmalige Speicherung von Daten ohne Kenntnis <strong>de</strong>s Betroffenen<br />
abstellt und darüber hinaus eine Reihe von Ausnahmebestimmungen enthält (Abs. 2).<br />
Zu beachten ist, dass das Unternehmen schriftlich festzulegen hat, unter welchen<br />
Voraussetzungen von Benachrichtigungen abgesehen wird.<br />
Der Beginn von <strong>Untersuchungen</strong> ist ein beson<strong>de</strong>rs geeigneter Zeitpunkt, um zu überprüfen,<br />
ob diese Festlegung erfolgt ist, und sie ggf. zu aktualisieren.<br />
Durch die Information wird <strong>de</strong>r Betroffene schließlich in die Lage versetzt, seine<br />
weiteren Rechte wahrzunehmen. Vor allem relevant sind hier das Recht auf Auskunft<br />
(v.a. gemäß § 34 BDSG) und die Rechte auf Berichtigung, Löschung und Sperrung<br />
(§ 35 BDSG).<br />
Die Auskunft muss dabei nur auf Verlangen <strong>de</strong>s Betroffenen erteilt wer<strong>de</strong>n, sich<br />
aber grds. <strong>de</strong>tailliert auf alle zu seiner Person gespeicherten Daten und <strong>de</strong>ren Herkunft<br />
wie auch auf <strong>de</strong>n Zweck <strong>de</strong>r Speicherung und die Empfänger (ggf. in Form von<br />
Kategorien) beziehen. Soweit für unternehmensinterne <strong>Untersuchungen</strong> relevant wird<br />
die Auskunft in <strong>de</strong>r Regel kostenfrei sein müssen.<br />
Auskünfte können u.a. dann zunächst verweigert o<strong>de</strong>r beschränkt wer<strong>de</strong>n, wenn<br />
wesentliche Belange <strong>de</strong>s Unternehmens entgegenstehen – etwa solange Beweismittel<br />
vernichtet wer<strong>de</strong>n könnten o<strong>de</strong>r sonst <strong>de</strong>r Zweck <strong>de</strong>r Untersuchung beeinträchtigt<br />
wer<strong>de</strong>n könnte. Hieran sind aber strenge Maßstäbe anzulegen und die Auskunft ist<br />
baldmöglichst vollständig nachzuholen.<br />
Dem Unternehmen ist zumin<strong>de</strong>st bei einer größeren Zahl von Betroffenen zu empfehlen,<br />
einen Regelprozess vorzusehen, wie mit Auskunftsersuchen umgegangen<br />
wird – etwa, an wen sie zu adressieren sind und wie und wann Auskunft erteilt wird.<br />
Thoma
VII. Auslandsberührung<br />
Gera<strong>de</strong> angesichts <strong>de</strong>r oftmals sensiblen Daten muss auch sichergestellt wer<strong>de</strong>n, dass<br />
Auskunftsberechtigte sicher und zweifelsfrei i<strong>de</strong>ntifiziert wer<strong>de</strong>n, damit nicht an<br />
Unberechtigte Auskünfte erteilt wer<strong>de</strong>n.<br />
Auskünfte auf Berichtigung, Sperrung und Löschung (zur Löschung vgl. schon<br />
oben) sollen ebenso sicherstellen, dass keine nicht mehr erfor<strong>de</strong>rlichen Datenbestän<strong>de</strong><br />
bestehen, Datenbestän<strong>de</strong> unrichtig sind o<strong>de</strong>r Daten weiterverbreitet wer<strong>de</strong>n und so<br />
das Persönlichkeitsrecht beeinträchtigt wird.<br />
Lässt sich eine Löschung technisch nicht o<strong>de</strong>r nur mit erheblichem Aufwand realisieren,<br />
stehen ihr Aufbewahrungspflichten entgegen o<strong>de</strong>r wer<strong>de</strong>n Daten nur mehr im<br />
Interesse <strong>de</strong>s Betroffenen aufbewahrt, so sind die Daten zu sperren, d.h. Zugriffe<br />
durch Anweisung und möglichst weitere technische und organisatorische Vorkehrungen<br />
weitestmöglich auszuschließen.<br />
VII. Auslandsberührung<br />
Oftmals berührt eine Untersuchung auch an<strong>de</strong>re Staaten – etwa weil relevante Projekte<br />
grenzüberschreitend abgewickelt wur<strong>de</strong>n o<strong>de</strong>r Mitarbeiter ausländischer Nie<strong>de</strong>rlassungen<br />
o<strong>de</strong>r Tochtergesellschaften über Wissen und Informationen verfügen,<br />
die für die Untersuchung von Be<strong>de</strong>utung sein können. In solchen Fällen nimmt die<br />
Komplexität <strong>de</strong>r zu beachten<strong>de</strong>n Fragen meist schlagartig zu; die <strong>de</strong>nkbaren Problemkreise<br />
lassen sich dabei im Rahmen dieses Werkes nicht <strong>de</strong>tailliert erörtern. Auf<br />
einige wesentliche Aspekte sei jedoch hingewiesen.<br />
Es liegt auf <strong>de</strong>r Hand, dass bei einer Auslandsberührung an<strong>de</strong>re Rechtsordnungen<br />
berührt sind, die oft eigene Datenschutzbestimmungen treffen – sei es in Form eigenständiger<br />
Datenschutzgesetze o<strong>de</strong>r zumin<strong>de</strong>st in <strong>de</strong>r Form, dass aus <strong>de</strong>r Verfassung<br />
o<strong>de</strong>r aus an<strong>de</strong>ren Gesetzen datenschutzrelevante Regelungen ableitbar sind o<strong>de</strong>r<br />
solche von <strong>de</strong>r Rechtsprechung entwickelt wur<strong>de</strong>n. Dieser Rahmen ist zu ermitteln<br />
und zu beachten, und <strong>de</strong>r Aufwand dafür kann beträchtlich sein. Auch innerhalb <strong>de</strong>r<br />
Europäischen Union sollte hierauf nicht verzichtet wer<strong>de</strong>n: zwar gibt es europäische<br />
Richtlinien zum Datenschutz 307 , aber diese Richtlinien sind zunächst durch alle Mitgliedstaaten<br />
im nationalen Recht umzusetzen – von Mitgliedstaat zu Mitgliedstaat<br />
unterschiedliche Regelungen sind die Folge. Zu<strong>de</strong>m wer<strong>de</strong>n die nationalen Regelungen<br />
wie<strong>de</strong>rum unterschiedlich ausgelegt und angewandt.<br />
Beispiele für <strong>de</strong>rartige Unterschie<strong>de</strong> betreffen etwa die Frage, ob das Datenschutzrecht<br />
nur Daten natürlicher Personen erfasst o<strong>de</strong>r <strong>de</strong>n Schutzbereich auch auf Daten<br />
von Personenvereinigungen und juristischen Personen erstreckt (so etwa in Österreich,<br />
<strong>de</strong>r Schweiz und Italien). Auch bestehen in vielen an<strong>de</strong>ren Staaten Verpflichtungen<br />
gegenüber <strong>de</strong>r Datenschutzaufsicht zur Anzeige o<strong>de</strong>r Genehmigung von Datenerhebungen<br />
o<strong>de</strong>r bestimmten Übermittlungen, für die wie<strong>de</strong>rum unterschiedlich<br />
lange Fristen festgelegt sind.<br />
Die Weitergabe von personenbezogenen Daten an Dritte, insbeson<strong>de</strong>re auch ausländische<br />
Berater, Kanzleien, Behör<strong>de</strong>n und Gerichte ist ebenso wichtigen Beschränkungen<br />
unterworfen. Greifen nicht enge Ausnahmen (vgl. dazu v.a. § 4c BDSG), so<br />
setzt die Übermittlung voraus, dass bei <strong>de</strong>r die Daten empfangen<strong>de</strong>n Stelle ein angemessenes<br />
Datenschutzniveau gewährleistet ist. Faktisch beson<strong>de</strong>rs be<strong>de</strong>utsam ist hier,<br />
dass die USA aus Sicht <strong>de</strong>r Europäischen Union kein solches Schutzniveau aufwei-<br />
307 Vor allem die Richtlinie 95/46/EG.<br />
Thoma<br />
99
100<br />
F. Datenschutzrechtliche Rahmenbedingungen<br />
sen. Eine Klärung <strong>de</strong>r Rahmenbedingungen ist <strong>de</strong>shalb vor allem bei <strong>de</strong>r Beteiligung<br />
von Staaten außerhalb <strong>de</strong>r Europäischen Union dringend angeraten.<br />
Manche Staaten kennen schließlich auch gesetzliche Regelungen (sog. „blocking<br />
statutes“ 308 ), die Wirkungen ausländischer Rechtsvorschriften auf ihrem Territorium<br />
verhin<strong>de</strong>rn o<strong>de</strong>r zumin<strong>de</strong>st einschränken sollen. Hier kann es häufig zu wi<strong>de</strong>rsprüchlichen<br />
Anfor<strong>de</strong>rungen kommen, <strong>de</strong>nen sich ein Unternehmen in unterschiedlichen<br />
Staaten ausgesetzt sieht – etwa eine vor einem US-Gericht beklagte Bank, die sich<br />
auf das Bankgeheimnis in ihrem Herkunftsstaat berufen will. In <strong>de</strong>r Europäischen<br />
Union kennen etwa auch Frankreich und die Schweiz 309 spezifisch auf <strong>de</strong>n Ausschluss<br />
solcher extraterritorialer Einwirkungen gerichtete Bestimmungen.<br />
VIII. Praktische Hinweise<br />
– Zuvör<strong>de</strong>rst: <strong>de</strong>nken Sie an die umgehen<strong>de</strong> Einbindung <strong>de</strong>s betrieblichen Datenschutzbeauftragten,<br />
<strong>de</strong>r Arbeitnehmervertretung und gegebenenfalls auch <strong>de</strong>r Datenschutzaufsicht!<br />
Deren Mitwirkung ist entwe<strong>de</strong>r ohnehin gesetzlich vorgesehen<br />
o<strong>de</strong>r bietet je<strong>de</strong>nfalls zusätzliche Gewähr für ein insgesamt abgewogenes, transparentes<br />
und für alle Beteiligten akzeptables Vorgehen.<br />
– Gehen Sie stets davon aus, dass <strong>de</strong>r Datenschutz relevant ist – angesichts weit gefasster<br />
Definitionen sind Fälle ohne Datenschutzbezug selten.<br />
– Vermei<strong>de</strong>n Sie, Maßnahmen ausschließlich auf die Einwilligung <strong>de</strong>r Betroffenen zu<br />
stützen – greifen die gesetzlichen Erlaubnistatbestän<strong>de</strong> nicht, so ist auch eine Einwilligung<br />
zumin<strong>de</strong>st fragwürdig.<br />
– Klare Regeln zum Umgang mit personenbezogenen Daten (unter Einschluss <strong>de</strong>r<br />
Rückgabe o<strong>de</strong>r Vernichtung) sind mit allen Dritten zu vereinbaren und angemessen<br />
zu kontrollieren.<br />
– Schaffen Sie Transparenz! Compliance-bezogene <strong>Untersuchungen</strong> müssen selbst<br />
compliant sein; machen Sie <strong>de</strong>utlich, welche Schritte warum unternommen wer<strong>de</strong>n,<br />
und erhöhen Sie damit die Akzeptanz <strong>de</strong>r Aktivitäten.<br />
– Beschränken Sie sich auf das Erfor<strong>de</strong>rliche: was ist wirklich notwendig, welche<br />
Personen und welche Datenbestän<strong>de</strong> sind relevant?<br />
– Stellen Sie klar: Daten wer<strong>de</strong>n zu einem bestimmten Zweck genutzt. Dieser Zweck<br />
steht in engem Zusammenhang mit <strong>de</strong>m Gegenstand <strong>de</strong>r Untersuchung – weichen<br />
Sie ihn nicht auf. Regeln Sie <strong>de</strong>n Umgang mit Erkenntnissen, die nicht im Fokus<br />
stehen (Zufallsfun<strong>de</strong>).<br />
– Treffen Sie von Anfang an Vorsorge: wie wer<strong>de</strong>n Daten möglichst zeitnah nach <strong>de</strong>r<br />
Auswertung, spätestens nach <strong>de</strong>m Abschluss <strong>de</strong>r Untersuchung gelöscht? Können<br />
sie schon frühzeitig anonymisiert o<strong>de</strong>r pseudonymisiert ausgewertet wer<strong>de</strong>n?<br />
308 Siehe B.III.<br />
309 §§ 201, 203 schweizerisches StGB.<br />
Thoma
G. Einrichtung einer internen Untersuchungsabteilung und <strong>de</strong>ren<br />
Prozesse<br />
Rainer-Diethardt Bührer<br />
I. Einleitung<br />
Empfiehlt es sich eine unternehmenseigene Untersuchungsabteilung zu etablieren<br />
o<strong>de</strong>r sollten diese Aufgaben extern vergeben wer<strong>de</strong>n?<br />
Je<strong>de</strong>s Unternehmen, das ein effektives Compliance Programm einführt, wird mit<br />
<strong>de</strong>r Frage konfrontiert zu entschei<strong>de</strong>n, wer sich im Unternehmen mit Vorwürfen<br />
nicht regelkonformen Verhaltens befassen sollte. Dies be<strong>de</strong>utet aber auch, dass man<br />
sich über die Vorzüge einer internen Untersuchungsabteilung gegenüber <strong>de</strong>n Möglichkeiten<br />
externer Vergaben klarwer<strong>de</strong>n muss. Welche Grün<strong>de</strong> wür<strong>de</strong>n also eine<br />
Unternehmensleitung davon überzeugen, sich für eine interne anstelle einer externen<br />
Lösung zu entschei<strong>de</strong>n?<br />
II. Grundsätze und Zielsetzung einer internen Untersuchungsabteilung<br />
Grundsätzlich ist festzuhalten, dass die Themen, die zu beachten und zu be<strong>de</strong>nken<br />
sind, von vielen Faktoren abhängen, zum Beispiel von <strong>de</strong>r Art und <strong>de</strong>r Größe <strong>de</strong>s<br />
Unternehmens und <strong>de</strong>n Märkten und Regionen, in <strong>de</strong>nen das Unternehmen tätig ist.<br />
Bevor jedoch auf diese Themen genauer eingegangen wird, sollten innerhalb <strong>de</strong>r<br />
Unternehmensstruktur die Grundprinzipien, die <strong>de</strong>m Aufbau einer Untersuchungsabteilung<br />
zugrun<strong>de</strong> liegen, verankert wer<strong>de</strong>n. Der Grundgedanke einer Untersuchung<br />
bzw. <strong>de</strong>r Sinn und Zweck einer solchen Abteilung ist es, die Verdachtsmomente zu<br />
überprüfen, <strong>de</strong>n Sachverhalt zu untersuchen und die Fakten herauszuarbeiten, die<br />
einen Vorwurf erhärten o<strong>de</strong>r entkräften.<br />
1. Definition einer Compliance Untersuchung<br />
Eine Compliance-Untersuchung kann somit wie folgt <strong>de</strong>finiert wer<strong>de</strong>n:<br />
„Eine Compliance-Untersuchung dient <strong>de</strong>r Feststellung<br />
– ob ein Fehlverhalten o<strong>de</strong>r ein Compliance Verstoß vorgefallen ist<br />
und<br />
– wer die dafür Verantwortlichen sind.“<br />
Die Ziele einer solchen Abteilung sind dabei: Die kostengünstige aber gründliche<br />
Durchführung interner <strong>Untersuchungen</strong> innerhalb eines angemessenen Zeitraums.<br />
Daneben ist ein weiterer wichtiger Aspekt interner <strong>Untersuchungen</strong> die Minimierung<br />
von künftigen Risiken.<br />
Bührer
102<br />
G. Einrichtung einer internen Untersuchungsabteilung und <strong>de</strong>ren Prozesse<br />
2. Herausfor<strong>de</strong>rungen und Überlegungen zur Vorbereitung einer<br />
Entscheidung – Abwägung Kosten gegen Risiken<br />
a) Rechtliche Überlegungen zur Schaffung eines internen „Unternehmens-<br />
Gedächtnisses“<br />
Die Kosten für <strong>de</strong>n Aufbau einer funktionsfähigen internen Untersuchungsabteilung<br />
sind oftmals nicht unbe<strong>de</strong>utend und können auf <strong>de</strong>n ersten Blick abschreckend<br />
wirken. Wenn man diese Kosten jedoch als Teil einer permanenten und effektiven<br />
Compliance Struktur im Unternehmen betrachtet, können diese Aufbaukosten bald<br />
wie<strong>de</strong>r refinanziert wer<strong>de</strong>n. Die Kostendiskussion für eine interne Abteilung geht<br />
einher mit <strong>de</strong>m immer relevanten Thema <strong>de</strong>r Mitarbeiteranzahl und <strong>de</strong>m Druck auf<br />
die Abteilungsführung, diese so niedrig wie möglich zu halten.<br />
Für viele Unternehmen scheint die sogenannte „Übertragung <strong>de</strong>s Risikos“ o<strong>de</strong>r<br />
<strong>de</strong>r Verantwortung auf externe Anbieter <strong>de</strong>shalb eine attraktive Alternative zu sein.<br />
Dies trifft jedoch gewöhnlich auf Unternehmen zu, die über eine kleine o<strong>de</strong>r noch im<br />
Entstehen befindliche Compliance Organisation verfügen. Die Dienste von professionellen<br />
externen Anbietern sind allerdings ebenfalls teuer und <strong>de</strong>ren Nutzung wirft<br />
organisatorische und rechtliche Fragen auf.<br />
b) Vor- und Nachteile eines internen Lösungsansatzes<br />
Ein Vorteil <strong>de</strong>r internen Untersuchungsabteilung gegenüber <strong>de</strong>r externen Lösung<br />
ist die Möglichkeit, ihre Expertise hinsichtlich <strong>de</strong>s eigenen Unternehmens immer<br />
weiter auszubauen und zu nutzen: Zu wissen wo und nach was gesucht und mit wem<br />
gesprochen wer<strong>de</strong>n muss. Dieser Faktor und die daraus resultieren<strong>de</strong> Effektivität sind<br />
auch hinsichtlich <strong>de</strong>r Kostenersparnisse be<strong>de</strong>utsam. Dieser Vorzug, quasi ein sogenanntes<br />
„Unternehmens-Gedächtnis“ aufzubauen, ist ein großer Pluspunkt für <strong>de</strong>n<br />
Aufbau einer internen Untersuchungsabteilung. Ein „Unternehmens-Gedächtnis“<br />
be<strong>de</strong>utet, dass die Untersuchungssabteilung ein spezifisches Wissen über falsche<br />
Praktiken, Warnsignale und weitere Risiken und Schwächen, sowohl personen- als<br />
auch prozessbezogen, ansammelt.<br />
Ein weiterer und be<strong>de</strong>utsamer Vorteil ist, dass allein die Existenz einer professionellen<br />
Untersuchungsabteilung bereits abschreckend auf mögliches Fehlverhalten<br />
wirken kann.<br />
Der größte Nachteil ist, dass sich das Unternehmen je<strong>de</strong>m Risiko, das während einer<br />
Untersuchung entstehen kann, annehmen muss. Es gibt zahlreiche Risiken, angefangen<br />
von <strong>de</strong>n Konsequenzen unvollständiger und unprofessioneller <strong>Untersuchungen</strong><br />
(z.B. wenn <strong>de</strong>r Sachverhalt nicht einwandfrei festgestellt wur<strong>de</strong> und das<br />
Fehlverhalten weiter andauert, o<strong>de</strong>r wenn <strong>de</strong>r Täter nicht ermittelt wer<strong>de</strong>n konnte<br />
und dies das Unternehmen exponiert), bis dahin, dass ein erkanntes Fehlverhalten<br />
aufgrund von Wi<strong>de</strong>rstän<strong>de</strong>n im Unternehmen nicht geahn<strong>de</strong>t wird.<br />
Dies führt zu <strong>de</strong>m nächsten wichtigen Punkt: Eine Untersuchungsabteilung kann<br />
nicht agieren und erfolgreich sein, wenn sie in einem Vakuum arbeitet. Die Durchführung<br />
einer Untersuchung ist ein juristischer Prozess; die Rechte Einzelner können<br />
eingeschränkt wer<strong>de</strong>n und es kann zu erheblichen straf- o<strong>de</strong>r zivilrechtliche Konsequenzen<br />
für diejenigen führen, die direkt o<strong>de</strong>r auch nur indirekt in eine Untersuchung<br />
involviert sind. Außer<strong>de</strong>m können diese <strong>Untersuchungen</strong> auch Auswirkungen auf das<br />
Unternehmen selbst und <strong>de</strong>ren gesetzliche Vertreter nach sich ziehen. Aus diesem<br />
Bührer
III. Lösungskonzept und entsprechen<strong>de</strong> Herausfor<strong>de</strong>rungen<br />
Grund benötigt eine Untersuchungsabteilung die permanente Beratung und Unterstützung<br />
in juristischen Angelegenheiten, von arbeitrechtlichen bis hin zu einer Vielzahl<br />
von straf- und zivilrechtlichen Fragen.<br />
Weiterhin ist es unabdingbar, dass eine Untersuchungsabteilung innerhalb einer<br />
Unternehmenskultur agieren kann, die Integrität auf allen Ebenen <strong>de</strong>s Unternehmens<br />
unterstützt und för<strong>de</strong>rt. Dies verhin<strong>de</strong>rt, dass die Untersuchungsabteilung in<br />
einem „Elfenbeinturm“ agiert, son<strong>de</strong>rn in einem Umfeld, das unmissverständlich die<br />
Botschaft <strong>de</strong>s „Clean Business“ propagiert. Ein wirksames Compliance Programm<br />
und eine soli<strong>de</strong> Compliance Organisation bil<strong>de</strong>n mit Sicherheit einen verlässlichen<br />
Rahmen, um die Untersuchungstätigkeit zu unterstützen und die notwendigen Ressourcen<br />
bereitzustellen.<br />
III. Art und Beschaffenheit <strong>de</strong>s Lösungskonzepts und entsprechen<strong>de</strong>r<br />
Herausfor<strong>de</strong>rungen<br />
III. Lösungskonzept und entsprechen<strong>de</strong> Herausfor<strong>de</strong>rungen<br />
1. <strong>Interne</strong>r Lösungsansatz<br />
Welche interne Struktur sollte eine Untersuchungsabteilung aufweisen? Welche<br />
Einflüsse gibt es: Größe, Struktur und Komplexität <strong>de</strong>s Unternehmens?<br />
Strebt man eine interne Lösung an, ist die zentrale Frage, wo eine solche Abteilung<br />
in <strong>de</strong>r Unternehmensstruktur verankert wer<strong>de</strong>n kann. Dies ist wahrscheinlich die<br />
wichtigste Frage, die das Management bei <strong>de</strong>r Entscheidung zur Einrichtung einer<br />
internen Untersuchungsabteilung beantworten muss. Das Problem ist hierbei nicht,<br />
welches <strong>de</strong>r zahlreichen Mo<strong>de</strong>lle verfolgt wer<strong>de</strong>n sollte, o<strong>de</strong>r wo die Abteilung strukturell<br />
verankert wird, beispielsweise im Finanz/Revisions-Bereich o<strong>de</strong>r im Legal/Compliance-Bereich,<br />
o<strong>de</strong>r ob die Abteilung direkt <strong>de</strong>m oberen Management o<strong>de</strong>r<br />
einem quasi-unabhängigen Komitee zuarbeitet. Wichtiger ist: An wen berichtet die<br />
Abteilung ihre Untersuchungsergebnisse konkret?<br />
Natürlich gibt es keine allgemein gültige Antwort. Viel wird von <strong>de</strong>n Spezifika <strong>de</strong>s<br />
betrachteten Unternehmens abhängen, und die Lösung wird <strong>de</strong>mentsprechend von<br />
Unternehmen zu Unternehmen variieren. Obgleich viele, die sich mit dieser Frage<br />
beschäftigen, schnell mit „je höher <strong>de</strong>sto besser“ antworten, mag es sich unter Umstän<strong>de</strong>n<br />
als kontraproduktiv herausstellen, wenn das Arbeitsumfeld und die relevanten,<br />
unterstützen<strong>de</strong>n Einheiten organisatorisch in unterschiedlichen Bereichen innerhalb<br />
<strong>de</strong>s Unternehmens verankert sind. Aus diesem Grund ist es, unabhängig davon<br />
welches Mo<strong>de</strong>ll ausgewählt wird, notwendig sicherzustellen, dass die Untersuchungsabteilung<br />
zusammen mit einem etablierten, unterstützen<strong>de</strong>n Netzwerk (aus<br />
weiteren Abteilungen) als Teil <strong>de</strong>s Ganzen funktioniert, und dass sie ihre Aufgaben<br />
unparteiisch erfüllen kann.<br />
Dieser Entscheidung liegt die Frage nach <strong>de</strong>r „Unabhängigkeit <strong>de</strong>r <strong>Untersuchungen</strong>“<br />
zugrun<strong>de</strong>. Obgleich sehr viel mehr zu diesem Thema gesagt wer<strong>de</strong>n kann,<br />
ist es im Zuge dieses Kapitels ausreichend, das Folgen<strong>de</strong> hervorzuheben: Anzuerkennen<br />
ist, dass es keine Unabhängigkeit im absoluten Sinn für jedwe<strong>de</strong> Funktion<br />
(o<strong>de</strong>r Tätigkeit) in einem Unternehmen gibt o<strong>de</strong>r geben kann – sogar <strong>de</strong>r Vorstandsvorsitzen<strong>de</strong><br />
eines Unternehmens besitzt Verpflichtungen gegenüber <strong>de</strong>m Vorstand,<br />
dieser wie<strong>de</strong>rum gegenüber <strong>de</strong>m Aufsichtsrat und <strong>de</strong>n Anteilseignern. Was ist also<br />
nun gemeint mit <strong>de</strong>r oft zitierten ‚Unabhängigkeit <strong>de</strong>r <strong>Untersuchungen</strong>’? Eine, und<br />
die in diesem Kontext bevorzugte Antwort ist, dass die durch die Untersuchungsab-<br />
Bührer<br />
103