Autoren:Dr. Christoph Werkmeister, RA,
Elena Brandt, Wissenschaftliche Mitarbeiterin
Erscheinungsdatum:23.12.2016
Quelle:juris Logo
Normen:§ 28 BDSG 1990, § 32 BDSG 1990, § 4c BDSG 1990
Fundstelle:jurisPR-Compl 6/2016 Anm. 4
Herausgeber:Prof. Dr. Norbert Nolte, RA
Zitiervorschlag:Werkmeister/Brandt, jurisPR-Compl 6/2016 Anm. 4 Zitiervorschlag

Interne Ermittlungen vor dem Hintergrund der DSGVO

A. Einleitung

Am 25.05.2018 wird die EU-Datenschutz-Grundverordnung (DSGVO) nach zweijähriger Umsetzungsfrist in Kraft treten und damit die bislang geltende EU-Datenschutzrichtlinie ablösen. Um Datenschutz-Compliance zum Zeitpunkt des Inkrafttretens gewährleisten zu können, müssen Unternehmen ihre Datenverarbeitungsmaßnahmen im Laufe des kommenden Jahres an die veränderten Anforderungen anpassen. Die Nichteinhaltung der Vorgaben der DSGVO kann Geldbußen bis zu 20 Mio. Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes nach sich ziehen. Neben der Haftung des Unternehmens kommt auch eine persönliche Haftung des Vorstands, Geschäftsführers oder sonstiger Mitarbeiter, die in Ausübung ihrer Tätigkeit gegen die DSGVO verstoßen, in Betracht. Mit Blick auf das gesteigerte Risiko stehen Policies und Standard Operating Procedures zur Durchführung von unternehmensinternen Ermittlungsmaßnahmen auf dem Prüfstand. Zudem sollten ggf. aktuelle Ermittlungen am Maßstab der DSGVO ausgerichtet werden, um sicherzustellen, dass jetzt gewonnene Ermittlungsergebnisse auch nach dem Inkrafttreten des neuen Rechtsrahmens weiter genutzt werden können.

B. Auswirkungen der DSGVO auf die Durchführung interner Ermittlungen

Bei der Durchführung unternehmensinterner Ermittlungen aufgrund von (vermeintlichem) Fehlverhalten von Mitarbeitern werden zahlreiche Unterlagen (Dokumente, Dateien, E-Mails) durchgesehen und ausgewertet, zusammengeführt und gegebenenfalls an Dritte (z.B. Ermittlungsbehörden oder Gerichte) übermittelt. Hierbei werden personenbezogene Daten der Mitarbeiter und gegebenenfalls Dritter (z.B. Geschäftspartner oder Kunden) verarbeitet. Das Unternehmen muss in diesem Zusammenhang die Erfüllung der datenschutzrechtlichen Anforderungen nach der DSGVO sicherstellen.

1. Unveränderter rechtlicher Maßstab

Unverändert bleibt der grundsätzliche Maßstab zur Durchführung von Ermittlungsmaßnahmen. Personenbezogene Daten dürfen somit auch weiterhin nur bei Vorliegen einer Einwilligung oder einer sonstigen (gesetzlichen) Rechtsgrundlage verarbeitet werden (Art. 6 Abs. 1 Satz 1 DSGVO). Ohne das Vorliegen einer Einwilligung berufen sich Unternehmen bislang in der Regel auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG bzw. auf § 32 Abs. 1 BDSG, wobei das Verhältnis der beiden Normen zueinander umstritten ist.1 Im Ergebnis läuft die Rechtmäßigkeitsprüfung aber gemäß beiden Normen auf eine Rechtsgüterabwägung hinaus. § 28 BDSG wird künftig von der im Wesentlichen deckungsgleichen Norm des Art. 6 Abs. 1 lit. f DSGVO ersetzt. § 32 BDSG wird hingegen wohl als nationale Regelung erhalten bleiben (vgl. Art. 88 DSGVO).

2. Dokumentationspflicht

Der neue Rechtsrahmen nach der DSGVO sieht indes erhöhte Dokumentationspflichten vor. Das Unternehmen muss in der Lage sein, die Einhaltung der Datenschutzgrundsätze nachzuweisen (sog. Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Vor diesem Hintergrund sind bereits zum jetzigen Zeitpunkt besondere Anforderungen an die Dokumentation von Ermittlungsmaßnahmen zu stellen. Andernfalls drohen in der Zukunft Konflikte mit den Vorgaben der DSGVO, selbst wenn die Maßnahme als solche datenschutzrechtlich rechtmäßig war.

3. Zweckänderung

Nach der DSGVO wird zudem in einem besonderen Maße zu berücksichtigen sein, dass der Zweck der Datenverarbeitung bereits im Zeitpunkt der Datenerhebung festgelegt sein muss. Das heißt, wenn personenbezogene Daten von Mitarbeitern im Nachhinein im Rahmen einer unternehmensinternen Ermittlung genutzt werden müssen, muss das vorab klar kommuniziert sein (z.B. im Rahmen von Weisungen oder Unternehmensrichtlinien), oder es sind andere Schutzmaßnahmen zu treffen.

Eine spätere Zweckänderung ist nach neuer Rechtslage nur unter den engen Voraussetzungen des Art. 6 Abs. 4 DSGVO zulässig und setzt in der Regel die „Vereinbarkeit“ mit dem ursprünglichen Zweck voraus, wobei das Gesetz einige Kriterien zur Bestimmung der Vereinbarkeit der Zwecke an die Hand gibt (z.B. Zusammenhang der Datenerhebung, Art der betroffenen Daten, mögliche Folgen der Weiterverarbeitung und Maßnahmen der Datensicherheit). Es wird derzeit diskutiert, inwieweit die vorgenannten eng begrenzten Maßgaben der DSGVO durch nationale Gesetzgebung aufgeweicht werden können. So sieht ein aktueller Gesetzentwurf2 vor, dass eine Zweckänderung über die in der DSGVO geregelten Fälle hinaus u.a. auch dann zulässig sein soll, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist (§ 23 Abs. 2 Nr. 3 BDSG-neu). Diese Ausnahme entspricht der bisherigen Rechtslage (vgl. § 28 Abs. 2 Nr. 1 i.V.m. Abs. 1 Satz 1 Nr. 2 BDSG-alt). Es ist jedoch fraglich, ob der von der DSGVO eröffnete Gestaltungsspielraum eine solche Ausnahme zulässt. Unternehmen sollten sich daher an den restriktiveren Vorgaben der DSGVO orientieren, so dass im Einzelfall zu prüfen ist, zu welchem Zweck die betreffenden Daten ursprünglich erhoben wurden und ob die Voraussetzungen der DSGVO für eine Zweckänderung erfüllt sind.

4. Datenübermittlung in Drittstaaten

Die im Zuge von internen Ermittlungen vorgesehenen Übermittlungen personenbezogener Daten in Drittstaaten (z.B. an eine ausländische Behörde oder Konzerngesellschaften im EU-Ausland) sind nach der DSGVO – ähnlich wie nach dem bisher geltenden Rechtsrahmen – an besondere Maßgaben geknüpft. Personenbezogene Daten dürfen demnach nur dann in einen Drittstaat übermittelt werden, wenn dieser über ein angemessenes Datenschutzniveau verfügt. Ist dies nicht der Fall, können gem. Art. 46 DSGVO geeignete Garantien getroffen werden, um einen adäquaten Schutz personenbezogener Daten sicherzustellen, z.B. durch den Abschluss sog. Standarddatenschutzklauseln oder durch verbindliche konzerninterne Datenschutzvorschriften (Binding Corporate Rules). Darüber hinaus gibt die DSGVO einige eng auszulegende Ausnahmetatbestände vor, die gerade im Rahmen von unternehmensinternen Ermittlungen relevant werden können.

Neu ist insofern die in Art. 49 Abs. 1 Satz 2 DSGVO vorgesehene Ausnahme für (Einzel-)Datentransfers, die eine begrenzte Anzahl von Personen betreffen, wenn und soweit die Übermittlung zur Wahrung zwingender berechtigter Interessen des Unternehmens erforderlich ist und berechtigte Interessen der betroffenen Personen nicht überwiegen. Eine derartige Ausnahme kann insbesondere dann zur Anwendung kommen, wenn Behörden in Drittstaaten (z.B. das US Department of Justice, DOJ) personenbezogene Daten von in der EU ansässigen Unternehmen anfordern. Voraussetzung der Rechtmäßigkeit ist insofern eine umfassende Beurteilung der Umstände der Datenübermittlung durch das übermittelnde Unternehmen, die Ergreifung geeigneter Maßnahmen zum Schutz der Daten sowie die Benachrichtigung der zuständigen Aufsichtsbehörde und des Betroffenen unter Offenlegung der zwingenden berechtigten Interessen. Angesichts der umfangreichen Mitteilungspflichten bleibt allerdings abzuwarten, ob Unternehmen von diesem Ausnahmetatbestand in der Praxis häufig Gebrauch machen werden.

Ein weiterer Ausnahmetatbestand im Zusammenhang mit Drittstaatentransfers ist für den Fall vorgesehen, dass die Übermittlung ins Ausland zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Gemäß Erwägungsgrund 111 der DSGVO greift diese Ausnahme nicht nur im Rahmen von Gerichtsverfahren, sondern ausdrücklich auch bei behördlichen Verfahren. Nach Auffassung der Datenschutzaufsichtsbehörden in Deutschland besteht bislang mit § 4c Abs. 1 Satz 1 Nr. 4 BDSG nur eine Ausnahme für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht, nicht hingegen für behördliche Verfahren.3

Eine Einschränkung für Datenübermittlungen auf Grundlage von Anordnungen ausländischer Behörden oder Gerichte enthält nunmehr allerdings Art. 48 DSGVO, wonach Entscheidungen von ausländischen Gerichten oder Behörden grundsätzlich nur dann anerkannt und durchgesetzt werden sollen, wenn die Maßnahme auf einer internationalen Übereinkunft, z.B. einem Rechtshilfeabkommen, beruht. Es ist u.a. fraglich, welche Auswirkungen der neue Tatbestand auf Datenübermittlungen im Rahmen von vorprozessualen Beweiserhebungsverfahren in den USA (sog. Pre-Trial Discovery) haben wird. Derartige Datenübertragungen sind nämlich von keinem Rechtshilfeabkommen zwischen Deutschland und den USA erfasst.4 Es ist insofern noch nicht abzusehen, ob die deutschen Datenschutzaufsichtsbehörden in diesen Fällen andere Erlaubnistatbestände, die unabhängig von Art. 48 gelten, als einschlägig ansehen.

5. Datenschutzfolgenabschätzung

Neu ist auch die in Art. 35 DSGVO geregelte Verpflichtung zur Durchführung von Datenschutzfolgenabschätzungen, wenn die Verarbeitung personenbezogener Daten aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat. Untersuchungsmaßnahmen betreffen regelmäßig eine Vielzahl von Mitarbeitern des Unternehmens (und ggf. auch Dritte, z.B. Geschäftspartner) und stellen aufgrund der umfassenden Auswertung großer Datenmengen und der möglichen Konsequenzen für die betroffenen Personen im Einzelfall besonders eingriffsintensive Vorgänge dar.

Unternehmen können nach dem neuen Rechtsrahmen somit ggf. zur Durchführung einer Folgenabschätzung vor der Umsetzung weitreichender Untersuchungsmaßnahmen verpflichtet sein. Wird im Zuge der Folgenabschätzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen festgestellt und ergreift das verpflichtete Unternehmen keine Maßnahmen zur Eindämmung des Risikos, muss überdies die zuständige Datenschutzaufsichtsbehörde konsultiert werden (Art. 36 DSGVO). In Zukunft wird bei Compliance-Untersuchungen also vorab zu prüfen sein, ob die Verpflichtung zur Durchführung einer Datenschutzfolgenabschätzung besteht. Sollte dies der Fall sein, müssen die Prozesse hierfür effizient gestaltet sein – ansonsten drohen Verzögerungen aufgrund des komplexen Prüfprogramms, das die DSGVO für die Datenschutzfolgenabschätzung vorsieht.

C. Fazit

Unternehmen müssen bis Mai 2018 ihre Datenverarbeitungsvorgänge an die Vorgaben der DSGVO anpassen. Aufgrund zahlreicher Öffnungsklauseln sind neben der DSGVO auch nationale Datenschutzregelungen zu beachten, die die Anforderungen der DSGVO konkretisieren. Der deutsche Gesetzgeber arbeitet derzeit an entsprechenden, die DSGVO flankierenden Regelungen. Der Rechtsrahmen bleibt damit trotz der mit dem neuen Rechtsrahmen angestrebten Vereinheitlichung v.a. bei internationalen Untersuchungsgegenständen komplex.

Die Pflichten der Unternehmen bei der Verarbeitung personenbezogener Daten werden ab 2018 noch umfangreicher und bergen zugleich wesentlich höhere Haftungsrisiken. Eine umfassende Umsetzung der neuen Vorgaben setzt in der Regel eine lange Vorlaufzeit voraus. Die oben genannten Beispiele verdeutlichen, dass das Thema Compliance-Untersuchungen im Rahmen der Projektplanung eine bedeutsame Rolle spielen sollte. Das betrifft zum einen präventive Maßnahmen sowie zum anderen Standard-Prozesse für Ermittlungen bei konkreten Vorfällen.


Fußnoten


1)

Seifert in: Simitis, BDSG, 8. Aufl. 2014, § 32 Rn. 16 f.; Gola/Schomerus, BDSG, 12. Aufl. 2015, § 32 Rn. 49 ff.

2)

Referentenentwurf des Bundesministeriums des Innern v. 11.11.2016 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU), abrufbar unter https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2016/12/2016-11-11_DSAnpUG-EU-BDSG-neu_Entwurf-2_Ressortabstimmung.pdf (zuletzt abgerufen am 09.12.2016).

3)

Gola/Schomerus, BDSG, § 4c Rn. 7a.

4)

Gola/Schomerus, BDSG, § 4c Rn. 7a.


Das "größte juris zum Festpreis".

juris Spectrum

juris Spectrum

Jetzt hier informieren!