Prof. Dr. Anja Mengel, Jan Peters
Die arbeitsrechtliche Implementierung von Compliance-Regeln ist nicht ausreichend, um eine funktionierende effektive Compliance-Struktur im Unternehmen zu etablieren. Die implementierten Regeln müssen vielmehr auch effektiv durchgesetzt werden. Dazu bedarf es einer weitläufigen Überwachung der Einhaltung der Compliance-Regelungen im Unternehmen sowohl gegenüber den Arbeitnehmern als auch gegenüber der Führungsebene.
Effektive Überwachungsmaßnahmen sind von großem Vorteil für das Unternehmen. Sie können
- Haftungsrisiken verringern, indem sie gewährleisten, dass Verstöße aufgedeckt, abgestellt und sanktioniert werden können,
- dienen der Informationsgewinnung über etwaige Schwächen des internen Kontrollsystems im Unternehmen und
- verdeutlichen und verstärken das Compliance-Commitment der Unternehmensleitung.
Dem Arbeitgeber sind bei der Überwachung der Einhaltung der Compliance-Regeln wiederum gewisse Grenzen gesetzt. Insbesondere das verfassungsrechtlich garantierte allgemeine Persönlichkeitsrecht der Arbeitnehmer aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG spielt hier eine wichtige Rolle sowie auf bundesgesetzlicher Ebene das BDSG in Form der Generalregelung in § 26 BDSG. Das Recht ist mangels gesetzlicher Einzelregelungen sehr kasuistisch. Daran hat auch die Datenschutz-Grundverordnung der EU vom 4.5.2016 (DSGVO) nichts geändert; die DSGVO ist am 25.5.2018 in Kraft getreten und das deutsche Recht wurde insbesondere im BDSG zeitgleich entsprechend angepasst. Eine danach getroffene Entscheidung des EuGH wird so verstanden, dass dieser pauschale Kontrollverbote für europarechtswidrig hält; dazu wird die weitere Entwicklung der Rechtsprechung aber noch abzuwarten sein.
Typische Maßnahmen, um die Einhaltung der Compliance-Regeln zu überwachen und Verstöße festzustellen, sind die Kontrolle von
- Unterlagen und
- der von den Arbeitnehmern genutzten Telekommunikation
im Unternehmen.
Für die Prüfung von Papierunterlagen und Dateien ist grundsätzlich zwischen dienstlichen und privaten Unterlagen zu unterscheiden.
2.1 Kontrolle von dienstlichen Unterlagen, Dateien und E-Mails
Der Zugriff auf dienstliche Unterlagen und/oder Akten ist regelmäßig unproblematisch zulässig. Der Arbeitgeber – aber auch Vorgesetzte oder Kollegen – können diese jederzeit herausverlangen und einsehen. Der Arbeitnehmer darf weder die Einsichtnahme noch die Herausgabe der Unterlagen oder Akten verweigern. Ihm steht im Hinblick auf dienstliche Unterlagen und Akten auch nicht sein allgemeines Persönlichkeitsrecht aus Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG zur Seite, da dieses im Hinblick auf rein dienstliche Unterlagen oder Akten nicht betroffen ist.
Ob die dienstlichen Unterlagen oder Akten in Papierform oder in elektronischer Form angelegt sind, ist unerheblich. Die materielle Form der Unterlagen führt zu keiner Änderung des dienstlichen Charakters. Daher gelten für dienstliche Papierdokumente dieselben Regeln wie für Dateien oder dienstliche E-Mails. Denn ist die Privatnutzung verboten, so muss der Arbeitgeber bei einer Kontrolle keine Vorkehrungen treffen, um private Dateien von einer Kontrolle auszunehmen. Er darf ein vertragsgerechtes Verhalten des Arbeitnehmers unterstellen und somit davon ausgehen, dass keine privaten Dateien vorhanden sind.
Bei der Auswertung der Unterlagen und Dateien sowie Mails hat der Arbeitgeber jedoch datenschutzrechtliche Vorschriften zu beachten und z. B. die Inhalte der weisungswidrig privat angelegten Dateien/E-Mails aus der Prüfung auszunehmen, falls diese nicht gerade der Gegenstand der Untersuchung sind. Unerheblich ist bei der Auswertung wiederum, ob die dienstlichen Unterlagen oder Akten in Papierform oder in elektronischer Form angelegt sind. Die Vorgaben zum Recht des Arbeitnehmerdatenschutzes in § 26 BDSG, der bis zur Verabschiedung eines Arbeitnehmerdatenschutzgesetzes die zentrale Norm des Arbeitnehmerdatenschutzes darstellt, setzen für die Anwendung keine automatisierte Auswertung oder Ordnung von Unterlagen voraus – anders als das BDSG im Übrigen. Die Norm erfasst vielmehr nahezu alle Tätigkeiten, die mit Informationen über die Arbeitnehmer im Zusammenhang stehen.
Nach § 26 BDSG dürfen personenbezogene Daten der Arbeitnehmer u. a. dann genutzt werden, wenn dies für die Durchführung des Arbeitsverhältnisses, somit auch die Durchsetzung der sich aus de...