Datenschutz: Natürliches Konfliktfeld

Ausgabe 05/2013

Durch eine falsch verstandene Compliance können erhebliche Risiken für die Integrität digitaler Daten entstehen. Im schlimmsten Fall bietet der Trendbegriff einen Vorwand für alte Kontrollgelüste der Arbeitgeber. Die Strafen sind gering. Von Katja Schmidt

Das Wort Compliance wabert wie ein Wundermittel durch die Wirtschaftswelt – doch ein einheitliches Verständnis davon, was der Begriff bedeutet, hat sich bisher kaum etabliert. „Von vielen Unternehmen wird Compliance wie eine Monstranz vor sich hergetragen, ohne dass irgendwo definiert wäre, was das eigentlich meint“, sagt Martina Perreng, Referatsleiterin für Individualarbeitsrecht beim DGB-Bundesvorstand. Vorgeblich dreht sich alles darum, sich an Recht und Gesetz zu halten und nach besonders hohen ethischen Ansprüchen zu handeln. Doch Perreng zweifelt daran: „Mein persönlicher Eindruck ist: Wenn es darum geht, Interessen der Arbeitgeber durchzusetzen, sollen die ethischen Kriterien keine so große Rolle spielen.“

Compliance wird zuweilen als Vorwand genutzt, um Arbeitnehmerrechte anzugreifen – beim Datenschutz zum Beispiel. Nicht nur der frühere Bahnchef Hartmut Mehdorn tat sich vor einigen Jahren schwer damit, das Unrecht eines Schnüffelangriffs auf 173 000 Mitarbeiter einzusehen. Mit dem Argument, Korruption bekämpfen zu wollen, waren die Personalstammdaten all dieser Beschäftigten mit Kontoangaben und Adressen von Geschäftspartnern der Bahn abgeglichen worden. Berliner Datenschützer kamen dem Skandal 2008 auf die Spur. Angebliche Notwendigkeiten der Korruptionsbekämpfung bleiben ein Lieblingsargument der Arbeitgeber, wenn sie neue Überwachungsbefugnisse fordern. Seit 2010 hat die Bahn eine Betriebsvereinbarung zum Beschäftigtendatenschutz abgeschlossen.

GROSSER APPETIT AUF DATEN

Martina Perreng betont dagegen, bessere Korruptionsprävention brauche nicht mehr Datenschnüffelei: „Wer in Betrieben Korruption vermeiden will, sollte transparente Abläufe etablieren.“ Klare Vorgaben für die Vergabe von Aufträgen, Vier- oder Sechs-Augen-Kontrolle, bevor Geld fließt, und eine Innenrevision, die darauf achtet, ob die Regeln auch befolgt werden – all das, argumentiert sie, sei auch ohne Konflikt mit den geltenden Datenschutzbestimmungen machbar. Es werde zu viel Energie darauf verwendet, vermuteten Straftaten nachspionieren zu wollen, statt solche Taten von vornherein zu verhindern, kritisiert sie.

Auswertbares Material fällt reichlich an: Der PC speichert, wer sich wann einloggt, das Smartphone liefert Angaben zum Aufenthaltsort – die neue Technik generiert immer neue Daten. Der Appetit der Arbeitgeber auf diese Informationen sei groß, meint Perreng: „Manchmal habe ich den Eindruck: Arbeitgeber sind die reinsten Daten-Junkies.“ Ihre Überwachungsgelüste zielen keineswegs nur auf die Aufdeckung von Korruption oder Fehlverhalten. „Auch verdeckte Verhaltens- und Leistungskontrollen werden technisch immer einfacher“, beobachtet Perreng.

Von Arbeitgeberseite werde Compliance oft als Freibrief interpretiert, konstatiert Peter Wedde, Direktor der Europäischen Akademie der Arbeit in Frankfurt. „Compliance soll dann heißen: Ich darf meine Mitarbeiter mehr kontrollieren.“ Compliance sei aber kein „universeller Zauberstab“ zur Verwirklichung jedes Arbeitgeberwunsches. „Wenn es darum geht, sich an alle Gesetze zu halten, muss das selbstverständlich auch für das Bundesdatenschutzgesetz gelten – und für das Betriebsverfassungsgesetz“, betont der Professor für Arbeitsrecht und Recht der Informationsgesellschaft.

ERLAUBNISVORBEHALT IM GESETZ

Wie speziell der deutsche Rechtsrahmen in Sachen Datenschutz gestaltet ist, mag in der Face­book-Ära, in Zeiten immer schnellerer und einfacherer Bild-, Film- und Textverbreitung im Internet nicht mehr jedem präsent sein. Tatsächlich erlaubt ist im Umgang mit persönlichen Daten anderer Menschen nur, was ausdrücklich gestattet ist. Das Bundesdatenschutzgesetz ist ein Verbotsgesetz mit Erlaubnisvorbehalt. Wedde erläutert: „Jede Verarbeitung personenbezogener Daten ist verboten, es sei denn, sie ist ausdrücklich durch ein Gesetz erlaubt – oder durch eine Betriebsvereinbarung.“ Dass eine Betriebsvereinbarung neue Begehrlichkeiten rechtlich absichern kann, macht die Zustimmung der Arbeitnehmervertretung für die Unternehmen besonders reizvoll. Wedde rät den Arbeitnehmervertretern, sorgsam mit dem Thema umzugehen. Nur weil plötzlich der Compliance Officer auf der Matte steht und glaubt, Korruptionsvorbeugung bedeute, alle E-Mails im Unternehmen durchzuscannen, muss das weder wahr noch rechtens sein. „Ohne konkreten Verdacht hat der Arbeitgeber dazu keinen Anlass“, betont Wedde. Bei tatsächlichem Verdacht auf eine Straftat schließt das Datenschutzgesetz die zweckentfremdete Nutzung von Beschäftigtendaten allerdings nicht aus. Das Prinzip der Verhältnismäßigkeit ist aber auch dann zu wahren.

Wie komplex die Gemengelage sein und wie die Abwägung ausfallen kann, erläutert Wedde mit zwei Beispielen aus seiner Beratungspraxis: Bei einem großen Unternehmen hat es Wettbewerbsverstöße und unerlaubte Preisabsprachen gegeben. Die Firma will den Beteiligten auf die Spur kommen und gespeicherte E-Mails nach Signalwörtern durchsuchen. Vorhanden sind die E-Mails der vorangegangenen zehn Jahre – denn so lange muss der elektronische Geschäftsverkehr inzwischen aufbewahrt werden. Im betroffenen Konzern gibt es eine Betriebsvereinbarung, die den Umgang mit privaten Inhalten im Firmenaccount regelt: Ins Archiv wandern die Mails erst nach einem halben Jahr. So lange hat jeder Mitarbeiter Zeit, seine höchst persönliche Frage an die Personalabteilung zu löschen. Auch die Frage, ob die charmante Kollegin aus der Nachbarabteilung um 12.30 Uhr in die Kantine kommen mag, muss nicht für zehn Jahre aufbewahrt werden.

WENN DIE FINANZPRÜFUNG KOMMT

In der Praxis kümmern sich allerdings viele Mitarbeiter nicht um das Löschen. Sie verlassen sich darauf, was die Betriebsvereinbarung zusichert: Niemand wird die gespeicherten E-Mails ansehen, es sei denn, es kommt eine Finanz-, Steuer- oder Wirtschaftsprüfung. Und nun kommt eben der Compliance Officer, macht seinen Verdachtsfall geltend und will die Mails durchscannen. „Datenschutzrechtlich stellt das eine Zweckänderung dar“, stellt Wedde klar. Einer solchen Zweckänderung könne der Betriebsrat zwar zustimmen – aber nur, „wenn nicht schutzwürdige Interessen der Beschäftigten überwiegen, die dem entgegenstehen“. Im konkreten Fall habe der Betriebsrat entschieden: Wir wollen keine betrügerischen Mitarbeiter schützen – aber die Interessen aller anderen.

Der Kompromiss: Ein externes Anwaltsbüro wurde mit dem Screening beauftragt. Es hatte die Aufgabe, wirklich verdächtige Post aus dem Wust von E-Mails herauszufiltern, in dem die Signalwörter aus anderen Gründen auftauchten. Solchen „Beifang“ bekam niemand im Unternehmen zu Gesicht – nur die wirklich verdächtigen Mails. In einem anderen Fall war ein Unternehmen bereits ins Blickfeld der Staatsanwaltschaft geraten. Hohe Bestechungsgelder sollten in eine europäische Steueroase geflossen sein. Das Unternehmen konnte aber eine Razzia abwenden. Die staatlichen Ermittler ließen die Firma zunächst selbst nach Verdächtigen suchen – erhielten aber die Zusage, dass die relevanten Daten gesichert würden. In dieser Situation stimmte der Betriebsrat einem anonymen E-Mail-Screening nach Signalwörtern zu, machte aber zur Bedingung, die Ergebnisse zu sehen, bevor es zu weiteren personenbezogenen Auswertungen kam. Daten von Menschen, die definitiv nichts mit der Bestechung zu tun haben konnten, etwa weil sie in der Produktion arbeiteten, sollten sofort aussortiert werden.

Tatsächlich habe der anonyme Abgleich dann zwei Treffer erzielt, berichtet Wedde. Bevor Identitäten gelüftet wurden, seien die entsprechenden Abteilungen informiert worden. Die Betroffenen erhielten die Gelegenheit, sich zu äußern: „Die zwei, die an der Bestechung aktiv beteiligt waren, meldeten sich dann mit Anwalt und legten alle Karten auf den Tisch.“

KEIN KLARES BEWEISVERWERTUNGSVERBOT

Was kann passieren, wenn der Arbeitgeber bei einem Datencheck Verstöße findet, die er gar nicht gesucht hat? Dürfte er das Material gegen Mitarbeiter verwendet? Ja, dürfte er – und hätte damit vor Gericht nicht die schlechtesten Chancen, sagt Jurist Wedde: „Es gibt kein klares arbeitsrechtliches Beweisverwertungsverbot im deutschen Arbeitsrecht.“ In einer Auseinandersetzung vor Gericht könne der Arbeitgeber einen solchen Fund vortragen – und auf eine Berücksichtigung durch das Arbeitsgericht rechnen.

Wird hingegen der Arbeitgeber bei Datenschutzverstößen ertappt, bleiben die Sanktionen bislang überschaubar. Jene 50.000 Euro Buße, die das Datenschutzgesetz vorsieht, seien für viele Firmen zu verschmerzen, glaubt Wedde: „Wovor Arbeitgeber sehr viel mehr Angst haben, ist, dass Datenschutzverstöße in die Öffentlichkeit kommen.“ Als Arbeitgeber im Betrieb erlaubte private E-Mails mitzulesen kann zwar einen Verstoß gegen das Fernmeldegeheimnis und damit eine Straftat darstellen. Ermittlungen in diese Richtung gebe es auch immer wieder einmal, sagt der Arbeitsrechtler. Aber er sagt auch: „Ich kenne bisher keinen Fall, in dem eine Staatsanwaltschaft das wirklich zur Anklage gebracht hätte.“

Welche Auswüchse Kontrollgelüste annehmen können, wurde schon 2007 mit dem Skandal um die Bespitzelung von Beschäftigten beim Discounter Lidl offenkundig – eine Zäsur auch für viele Arbeitnehmervertreter. „Bis zur Lidl-Affäre war Datenschutz auf der Prioritätenliste von Betriebsräten weit nach hinten gerutscht“, sagt Matthias Wilke, Geschäftsführer der Datenschutz- und Technologieberatung (dtb) in Kassel, die ausschließlich Betriebsräte berät. Vielleicht habe zunächst die Begeisterung über die Chancen der neuen Technik im Vordergrund gestanden, oder die Diskussionen um das Recht auf informationelle Selbstbestimmung seien zu lange her gewesen, überlegt er. Doch der Skandal um ausgespähte Discounter-Beschäftigte, denen Detektive und Kameras selbst bis zum Toilettengang hinterherschnüffelten, hat viele aufgerüttelt. Wenn die dtb in Kooperation mit dem DGB unter Titeln wie „Unsere Daten gehören uns!“ zum Technologieforum lädt, gehen mittlerweile rund 300 Anmeldungen ein – fast fünfmal so viel wie vor 2007.