03866 Mitarbeiterscreening
|
Unternehmen unterliegen der Pflicht, gesetzeskonformes Verhalten ihrer Mitarbeiter sicherzustellen und bereits im Vorfeld frühestmöglich etwaigen Gesetzesverstößen der Mitarbeiter entgegenzuwirken. Vor diesem Hintergrund sind Unternehmen in einem gewissen Umfang auf die Durchführung von „Mitarbeiterscreenings” (Mitarbeiterüberwachung) angewiesen. Die rechtlichen Voraussetzungen für solche Screenings sind in der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) mehr oder weniger klar geregelt.
Der Beitrag erläutert die in Betracht kommenden Ermächtigungsgrundlagen und zeigt Wege, den Schutz der personenbezogenen Daten der Mitarbeiter mit dem legitimen Interesse des Arbeitgebers an Überprüfung angemessen in Einklang zu bringen. von: |
Einleitung
In der Vergangenheit wurde die Öffentlichkeit durch zahlreiche Datenschutzskandale im Zusammenhang mit „Mitarbeiterscreenings” erschüttert. Großunternehmen wie die Deutsche Telekom, die Deutsche Bahn, die Deutsche Bank, Lidl und zuletzt auch H&M machten von sich reden und hinterließen einen negativen Eindruck in der Presse hinsichtlich des bei ihnen vorherrschenden Umgangs mit dem Arbeitnehmerdatenschutz. Die Unternehmen hatten nachweislich private Daten in größerem Maße z. T. familiärer und gesundheitlicher Art über ihre Mitarbeiter gesammelt bzw. die Bankverbindungen und Kontobewegungen einiger Mitarbeiter samt etwaiger Ehegatten mit den eigenen Lieferanten abgeglichen, um bspw. etwaige unzulässige Geldflüsse feststellen zu können. Das damalige Vorgehen war nicht ohne Erfolg, denn die Deutsche Telekom konnte auf diese Weise 209 Verdachtsfälle ermitteln, die Deutsche Bahn sogar 300. In Anbetracht der Tatsache, dass eine Vielzahl von Unternehmen von interner Wirtschaftskriminalität betroffen ist, zeigt sich ein nachvollziehbares Interesse der Unternehmen an der Überprüfung ihrer Mitarbeiter. Schließlich ergibt sich im Rahmen geltender Compliance-Anforderungen sogar eine Pflicht, gesetzeskonformes Verhalten sicherzustellen und bereits im Vorfeld frühestmöglich Gesetzesverstößen der Mitarbeiter entgegenzuwirken. Dabei gilt es zunächst zu klären, welche Screeningmethoden denkbar und welche davon datenschutzrechtlich relevant sind. Daran anknüpfend stellt sich die große Frage, wie diese unterschiedlichen Methoden mit den nunmehr durch die DSGVO und § 26 BDSG neu gefassten gesetzlichen Datenschutzvorgaben in Einklang zu bringen sind. Zu guter Letzt muss vorsorglich immer ein Auge auf die Rechtsfolgen und Sanktionen geworfen werden, die bei Verstößen gegen die datenschutzrechtlichen Vorschriften (BDSG und DSGVO) drohen.
In der Vergangenheit wurde die Öffentlichkeit durch zahlreiche Datenschutzskandale im Zusammenhang mit „Mitarbeiterscreenings” erschüttert. Großunternehmen wie die Deutsche Telekom, die Deutsche Bahn, die Deutsche Bank, Lidl und zuletzt auch H&M machten von sich reden und hinterließen einen negativen Eindruck in der Presse hinsichtlich des bei ihnen vorherrschenden Umgangs mit dem Arbeitnehmerdatenschutz. Die Unternehmen hatten nachweislich private Daten in größerem Maße z. T. familiärer und gesundheitlicher Art über ihre Mitarbeiter gesammelt bzw. die Bankverbindungen und Kontobewegungen einiger Mitarbeiter samt etwaiger Ehegatten mit den eigenen Lieferanten abgeglichen, um bspw. etwaige unzulässige Geldflüsse feststellen zu können. Das damalige Vorgehen war nicht ohne Erfolg, denn die Deutsche Telekom konnte auf diese Weise 209 Verdachtsfälle ermitteln, die Deutsche Bahn sogar 300. In Anbetracht der Tatsache, dass eine Vielzahl von Unternehmen von interner Wirtschaftskriminalität betroffen ist, zeigt sich ein nachvollziehbares Interesse der Unternehmen an der Überprüfung ihrer Mitarbeiter. Schließlich ergibt sich im Rahmen geltender Compliance-Anforderungen sogar eine Pflicht, gesetzeskonformes Verhalten sicherzustellen und bereits im Vorfeld frühestmöglich Gesetzesverstößen der Mitarbeiter entgegenzuwirken. Dabei gilt es zunächst zu klären, welche Screeningmethoden denkbar und welche davon datenschutzrechtlich relevant sind. Daran anknüpfend stellt sich die große Frage, wie diese unterschiedlichen Methoden mit den nunmehr durch die DSGVO und § 26 BDSG neu gefassten gesetzlichen Datenschutzvorgaben in Einklang zu bringen sind. Zu guter Letzt muss vorsorglich immer ein Auge auf die Rechtsfolgen und Sanktionen geworfen werden, die bei Verstößen gegen die datenschutzrechtlichen Vorschriften (BDSG und DSGVO) drohen.
1 Verpflichtung des Arbeitgebers zur Prävention
Compliance-Grundlagen
Compliance bezeichnet die Summe aller für ein Unternehmen, seine Organisationsmitglieder und seine Mitarbeiter zumutbaren Maßnahmen, die der Einhaltung von Gesetzen und Normen dienen. Die Verpflichtung dazu lässt sich aus diversen Rechtsnormen, jedenfalls aber aus der allgemeinen Sorgfaltspflicht eines Kaufmanns ableiten. Die diesbezüglich wohl bekannteste Norm dürfte § 91 Abs. 2 AktG sein. Diese verpflichtet den Vorstand einer AG, ein Überwachungssystem einzurichten, damit die den Fortbestand der Gesellschaft gefährdenden Entwicklungen früh erkannt werden. Diese Form des Risikomanagements gilt im gleichen Maße auch für andere Gesellschaftsformen, die eine entsprechende Größe aufweisen, insbesondere für Gesellschaften mit beschränkter Haftung.
Compliance bezeichnet die Summe aller für ein Unternehmen, seine Organisationsmitglieder und seine Mitarbeiter zumutbaren Maßnahmen, die der Einhaltung von Gesetzen und Normen dienen. Die Verpflichtung dazu lässt sich aus diversen Rechtsnormen, jedenfalls aber aus der allgemeinen Sorgfaltspflicht eines Kaufmanns ableiten. Die diesbezüglich wohl bekannteste Norm dürfte § 91 Abs. 2 AktG sein. Diese verpflichtet den Vorstand einer AG, ein Überwachungssystem einzurichten, damit die den Fortbestand der Gesellschaft gefährdenden Entwicklungen früh erkannt werden. Diese Form des Risikomanagements gilt im gleichen Maße auch für andere Gesellschaftsformen, die eine entsprechende Größe aufweisen, insbesondere für Gesellschaften mit beschränkter Haftung.
Zudem zwingt § 130 OWiG Betriebe und Unternehmen zu Aufsichtsmaßnahmen. Danach handelt eine Unternehmensleitung ordnungswidrig, sofern sie Zuwiderhandlungen gegen (gesetzliche) Pflichten, die dem Unternehmensinhaber obliegen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, nicht verhindert. Es droht eine Geldstrafe von bis zu einer Million Euro, wenn die Zuwiderhandlungen nachweislich durch eine hinreichende Aufsicht seitens des Unternehmens zumindest wesentlich erschwert worden wären.
