Internal Investigations – Buchert Jacob Peter

Datenschutz bei internen Untersuchungen (internal Investigations)

Eine Übersicht

I. Einleitung

  • Interne Untersuchungen (Internal Investigations) sind ein zentraler Bestandteil moderner Compliance-Management-Systeme.
  • Im Fokus steht die Aufklärung von möglichen Rechtsverstößen, die durch Hinweisgeber oder interne Revisionen bekannt werden.
  • Beispiel: Abgasskandal bei VW (2015).
  • Ablauf der internen Untersuchung in vier Phasen:
  1. Analyse des Vorwurfs
  2. Erstellung eines Untersuchungsplans
  3. Durchführung der Untersuchung
  4. Auswertung und Abschlussbericht

II. Festlegung des Verarbeitungszwecks

  • Der Verarbeitungszweck muss gemäß Art. 5 Abs. 1 lit. b DSGVO vor Beginn der Untersuchung festgelegt und konkret beschrieben werden.
  • Pauschale Begriffe sind unzureichend.

III. Ermächtigungsgrundlagen für die Datenverarbeitung

  • Notwendigkeit einer rechtlichen Grundlage für die Verarbeitung personenbezogener Daten.
  • Optionen: Einwilligung des Betroffenen oder gesetzliche Ermächtigungsgrundlagen (z.B. § 26 Abs. 1 BDSG, Art. 6 DSGVO).
  • Erforderlichkeit und Verhältnismäßigkeit der Maßnahme sind entscheidend.

IV. Durchsuchen von E-Mail-Postfächern

  • E-Mail-Korrespondenz kann häufig untersucht werden, um Compliance-Risiken aufzudecken.
  • Datenschutzrechtliche Ermächtigung ist erforderlich.
  • Bei privater Nutzung dienstlicher E-Mails muss auf das Fernmeldegeheimnis geachtet werden.
  • Einwilligung der Mitarbeiter sollte eingeholt werden, um rechtliche Risiken zu vermeiden.

V. Informationspflichten

  • Die DSGVO fordert, dass betroffene Personen vor der Erhebung ihrer Daten informiert werden (Art. 13 und 14 DSGVO).
  • Ausnahmen können bestehen, wenn die Aufklärung sonst gefährdet wird.

VI. Auskunftsansprüche

  • Arbeitnehmer haben das Recht auf Auskunft gemäß Art. 15 DSGVO über ihre verarbeiteten Daten.
  • Ausnahmen von der Auskunftspflicht bestehen in bestimmten Fällen, z.B. zum Schutz von Drittinteressen.

VII. Praxistipps

  • Arbeitgeber sollten rechtlichen Rat einholen, um Datenschutzverstöße zu verhindern.
  • Datenschutzhinweise sollten Mitarbeitern bereits zu Beginn des Beschäftigungsverhältnisses bereitgestellt werden.
  • Regelungen zur privaten Nutzung von dienstlichen E-Mails sollten klar festgelegt werden und die Einwilligung der Mitarbeiter erfordern.

Zusammenfassung

Interne Untersuchungen sind entscheidend für die Einhaltung von Compliance-Vorgaben in Unternehmen und müssen unter Berücksichtigung des Arbeitnehmerdatenschutzes durchgeführt werden. Wichtige Aspekte hierbei sind die Festlegung eines klaren Verarbeitungszwecks, die Einhaltung gesetzlicher Ermächtigungsgrundlagen, insbesondere bei der Durchsuchung von E-Mail-Postfächern, und die Wahrung der Informationspflichten nach der DSGVO. Arbeitnehmer haben Informationsrechte und Auskunftsansprüche, die Unternehmen sorgfältig beachten müssen. Praxistipps empfehlen die frühzeitige Einbeziehung rechtlichen Rats und die klare Kommunikation von Datenschutzrichtlinien an Mitarbeiter.


In folgenden Fällen beraten wir Sie als unsere Auftraggeber:

  • Auditierung und Monitoring
  • Internal Investigations – Interne Ermittlungen
  • Vorträge und (Inhouse-)Schulungen

 
Unsere Köpfe

Dies bedeutet unter anderem folgende Zusatzqualifikationen und Erfahrungen:

  • Fachanwalt / Fachanwältin für Strafrecht
  • Polizeipräsident a.D.
  • Zertifizierte Datenschutzbeauftragte
  • Mitverfasser des Handbuches „Internal Investigations: Ermittlungen im Unternehmen“ 
  • Ombudspersonen für über 60 Unternehmen