Titel
Dialog schliessen

Bitte warten
Daten werden geladen...

Kuselit Rezensionen

Thüsing, Gregor - Arbeitnehmerdatenschutz und Compliance

Titel: Arbeitnehmerdatenschutz und Compliance Cover
Autor: Thüsing, Gregor
Verlag: Verlag C.H. Beck
Ort: München
Jahr: 2010
Seiten: 308
Preis: 79,00
ISBN: 978-3-406-60497-3
Internet: http://www.beck.de/
Rezensent: Schön, Sandra
Quelle: Kuselit Verlag GmbH

 

Der zugleich politisch wie auch rechtlich hochbrisante und nicht zuletzt strukturell komplexe Themenbereich „Compliance“ gelangt gegenwärtig immer tiefer in das Bewusstsein beteiligter Fachkreise. Dies gilt vor allem - aber nicht ausschließlich - in Bezug auf Unternehmen der freien Wirtschaft. Zugleich stößt die Thematik auf ein breit gefächertes Interesse der Öffentlichkeit. Beides erklärt sich vor dem Hintergrund, dass Gesetzesverstöße auf diesem Gebiet mit beträchtlichen Konsequenzen in Gestalt von Schadensersatzforderungen in bis zu sechsstelliger Höhe, Straf- und Bußgeldern sowie ganz empfindlichen Steuernachforderungen unmittelbar verbunden sein können. Allerdings fallen im Vergleich hierzu die mittelbaren Folgen solcherlei unternehmensinterner Rechtsverstöße in Gestalt gravierender Imageverluste bei Lieferanten, Kunden und sonstigen Geschäftspartnern sowie schwindender Motivation der Mitarbeiter noch weitaus negativer ins Gewicht. Als Reaktion auf die vorbezeichneten materiellen Haftungsrisiken und indirekten Schadensfolgen hat dies seitens einer stetig zunehmenden Anzahl von Unternehmen die Einführung umfassender interner Anti-Fraud-Management-Programme[1], Whistleblowing-Systeme[2] sowie Verhaltenskodizes[3] nach sich gezogen. Damit erweist sich mittlerweile Compliance als unverzichtbarer Bestandteil einer vernünftigen wie auch zweckerfüllenden Corporate Governance.

Unter betrieblicher Compliance werden in diesem Kontext jegliche organisatorische Maßnahmen bezeichnet, die gewährleisten, dass rechtliche Vorschriften in dem betreffenden Unternehmen allseitige Beachtung finden. Auf die Spitze getrieben, bedeutet Compliance also im Wesentlichen die Organisation von Gesetzeskonformität bzw. Rechtstreue in einem Unternehmen. Dementsprechend liegen wesentliche Schwerpunkte praktischer Compliance- Arbeit in der Prävention von Gesetzesbrüchen und Verstößen gegen unternehmensinterne Richtlinien, die für unternehmenszugehörige Personen bestimmte Verhaltensweisen verbindlich vorschreiben.

Die Abhandlung von Thüsing wendet sich im Wesentlichen an die Geschäftsleitung von Unternehmen, deren Aufsichtsgremien und Compliance-Officer. Zumindest hinsichtlich der Leitungsorgane eines Unternehmens (Vorstände/Geschäftsführer) besteht einhelliger Konsens, dass auch diesem Personenkreis - neben dem jeweiligen Mitarbeiter, der den Schaden unmittelbar verursacht hat - eine persönliche Haftung wegen Organisationsverschuldens droht, wenn nicht zu gegebener Zeit geeignete organisatorische Maßnahmen initiiert und nachhaltig umgesetzt wurden, um die zweckentsprechende Compliance in dem jeweiligen Unternehmen vollumfänglich zu gewährleisten. Inwieweit diese persönliche Haftung auch in Bezug auf den Compliance-Officer eines Unternehmens Geltung beansprucht, ist eine zur Zeit viel diskutierte Frage von aktuellem Interesse. In seinem bemerkenswerten Urteil vom 17. Juli 2009 (Az.: 5 StR 394/08) bejaht der Bundesgerichtshof die strafrechtlich relevante (Überwacher-)Garantenpflicht eines Leiters der Innenrevision einer Anstalt des öffentlichen Rechtes und bestätigt dessen Verurteilung durch die Vorinstanz zur Betrugsbeihilfe durch Unterlassen. Weiterhin führt der Gerichtshof in den Entscheidungsgründen seines Urteils aus,[4] dass vergleichbare Maßstäbe auch für Compliance-Officer in Unternehmen der freien Wirtschaft anwendbar seien. Die Feststellungen des Gerichtes zur Garantenpflicht des Compliance-Officer sind zugleich in Bezug auf dessen zivilrechtliche Haftungsrisiken von tragender Bedeutung. So können beispielsweise Inhaber gewerblicher Schutzrechte im Verletzungsfalle von dem Compliance-Officer persönlich die Unterlassung der Schutzrechtsverletzung, Auskunftserteilung, Vernichtung rechtsverletzender Produkte wie auch die umfängliche Erstattung der Kosten rechtsanwaltlicher Abmahnungen verlangen und zwar vollkommen unabhängig von einem den Compliance-Officer an der gewerblichen Schutzrechtsverletzung treffenden Verschulden.

In Bezug auf den Schutz personenbezogener Daten unternehmenszugehöriger Arbeitnehmer bewirkt § 32 Bundesdatenschutzgesetz (BDSG) gegenwärtig als Spezialvorschrift zu der allgemeinen Regelung in § 28 BDSG eine erhebliche Verschärfung der datenschutzrechtlichen Grenzen praktischer Compliance – Arbeit. Die vorgenannte Neuregelung stellt eine Reaktion des Gesetzgebers auf die in den Medien wie auch der Öffentlichkeit heftig kritisierten Datenschutzskandale namhafter deutscher Konzerngesellschaften, wie beispielsweise im Hause von Lidl, der Deutschen Telekom oder der Deutschen Bahn, dar. Nach dieser Vorschrift, die der Gesetzgeber mit Wirkung zum 01. September 2009 in das Bundesdatenschutzgesetz im Hinblick auf eine gesetzliche Klarstellung der Bedeutung des Datenschutzes im Beschäftigungsverhältnis sowie der Verwendung personenbezogener Daten zwecks Korruptionsbekämpfung eingeführt hat,[5] dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses lediglich unter bestimmten Voraussetzungen erhoben, verarbeitet oder genutzt werden. § 32 Absatz 1 Satz 1 BDSG stellt damit eine Erlaubnisnorm für die Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten für Zwecke eines Beschäftigungsverhältnisses dar und erfasst insbesondere Maßnahmen zur Verhinderung von Straftaten und anderweitigen Rechtsverstößen. Hierfür muss aber der Umgang mit den Daten für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses stets erforderlich sein. Zu der ganz entscheidenden Frage, was im Einzelnen „erforderlich“ ist, schweigt sich die Neuregelung indessen beharrlich aus. Bislang war nach der vormals geltenden Rechtslage die Datennutzung als erforderlich einzustufen, wenn im Wege einer Interessenabwägung festzustellen war, dass die berechtigten Interessen des Unternehmens auf andere Weise nicht oder nicht angemessen gewahrt werden konnten. Diesbezüglich bleibt abzuwarten, wie Rechtsprechung und Literatur diesen unbestimmten Rechtsbegriff zukünftig konkretisieren werden und damit der Praxis einen gangbaren Weg hinsichtlich der Handhabung personenbezogener Daten in Beschäftigungsverhältnissen aufzeigen. Gleiches gilt in Bezug auf § 32 Absatz 1 Satz 2 BDSG, wonach die Verwendung von Beschäftigtendaten zur Aufdeckung von Straftaten unter abschließend aufgeführten Voraussetzungen zulässig ist.

Das Werk von Thüsing beleuchtet das vorweg skizzierte Spannungsfeld zwischen dem Schutz personenbezogener Daten von Arbeitnehmern einerseits und der Sicherstellung grundlegender unternehmensinterner Compliance andererseits in seinen einzelnen Facetten. Zu Anfang jeden Kapitels findet sich eine komprimierte Zusammenfassung aktueller Literaturhinweise, welche dem interessierten Leser die vertiefte Einarbeitung in sämtliche Fragestellungen des jeweiligen Abschnittes zielführend ermöglicht. Nach einer Einführung in den gesamten Themenbereich, vor allem im Hinblick auf die Systematik des Arbeitnehmerdatenschutzes, werden einzelne Konfliktfelder, wie unter anderem die Zulässigkeit eines elektronischen Datenabgleichs, der Sichtung und Speicherung von Email- Logfiles, von Emails wie auch von Telefonverbindungsdaten sowie der Videoüberwachung diskutiert. Im Anschluss daran findet sich die umfängliche Darstellung möglicher Rechtsfolgen unerlaubter Datenverarbeitung sowie der betriebsverfassungsrechtlichen Zulässigkeit und damit verbundener Mitbestimmungsrechte seitens des Betriebsrates. Eine Vielzahl von Formulierungsvorschlägen für die Abfassung von Betriebsvereinbarungen, graphischen Übersichten sowie Hinweisen für die praktische Compliance- Arbeit runden das Werk glanzvoll ab.

Zusammenfassend stellt die Abhandlung von Thüsing einen entscheidenden Wegbereiter und eine umfassende Hilfestellung für die tagtägliche Bewältigung praktischer Compliance-Arbeit dar, welche die sich Unternehmen darbietenden Lösungsmöglichkeiten für eine datenschutzkonforme Korruptionsbekämpfung ausgiebig eruiert. Es handelt sich um die aktuelle Diskussion eines bemerkenswerten Themas, das für dessen intellektuelle Zielgruppe mehr als empfehlenswert ist. Aus diesem Grund kann das Werk vornehmlich dem mit diesem Themenkomplex befassten Personenkreis, sei es in der Funktion als Geschäftsleitung eines Unternehmens oder als dessen Compliance-Beauftragter, ohne jegliche Vorbehalte zur ausgiebigen Lektüre und als Nachschlagewerk von höchster Aktualität empfohlen werden.

 

Dr. Ass. dipl.-iur. Sandra Schön M.M. (Hagen)

Volljuristin und Mediatorin (Master), Halstenbek



[1] Der Begriff „Anti-Fraud-Management-Programme“ bezeichnet im Allgemeinen die unternehmensinterne Implementierung von Systemen zur Prävention, Ermittlung und adäquaten Reaktion auf betrügerische Geschäftsschädigungen (Wirtschaftskriminalität).

[2] Unter „Whistleblowing-Systemen“ werden Hotlines, die zur internen Korruptionsbekämpfung dienen, verstanden. Mitarbeiter werden seitens des Unternehmens angehalten, Verhaltensverstöße bzw. nicht regelkonformes Verhalten anderer Mitarbeiter über eine eigens zu diesem Zweck eingerichtete Hotline an die Unternehmensleitung zu melden.

[3] Die interne Festlegung bestimmter Regeln für ein erwünschtes Verhalten der Beschäftigten innerhalb des Unternehmens.

[4] Vgl. hierzu im Einzelnen unter Randziffer 27 der Entscheidungsgründe des Urteils.

[5] Bislang hat der Gesetzgeber den Weg zur Schaffung eines eigenständigen Gesetzes zum Arbeitnehmerdatenschutz noch nicht beschritten, wenngleich eine bereichsspezifische Regulierung des Beschäftigtendatenschutzes im Hinblick auf die in den unterschiedlichsten Gesetzen verstreut liegenden Regelungen zu diesem Themenbereich, wie etwa im Betriebsverfassungs-, Bundespersonalvertretungs- oder Telemediengesetz, mehr als wünschenswert wäre. Aufgrund der mit der gegenwärtigen Gesetzeslage verbundenen Rechtsunsicherheit besteht insoweit ausgesprochen dringender Handlungsbedarf. Augenblicklich ist nach Vorlage eines Eckpunktepapiers des bayerischen Ministerrates sowie dem nachfolgend eines Eckpunktepapiers des Bundesinnenministeriums ein erster Referentenentwurf vom Bundesministerium des Innern zum Gesetz zur Regelung des Beschäftigtendatenschutzes vom 28. Mai dieses Jahres in der Diskussion, mit welchem die schwerwiegenden Unsicherheiten bei der Auslegung des § 32 BDSG zugunsten der Korruptionsbekämpfung beseitigt werden sollen. Hiernach wird der Arbeitnehmerdatenschutz in einem eigenen Abschnitt des Bundesdatenschutzgesetzes (§§ 32-32 l Ref-E BDSG) detailliert ausgestaltet. Ein konkretes Gesetzgebungsverfahren in Bezug auf die entsprechende „Nachbesserung“ des Bundesdatenschutzgesetzes wird aller Voraussicht nach auf Bundesebene in der Legislaturperiode 2011 in die Wege geleitet werden.