Internal Investigations – Buchert Jacob Peter

Internal Investigations & Datenschutzrecht

Rechtssichere Aufklärung nach DSGVO, BDSG, HinSchG – mit Buchert Jacob Peter

Interne Untersuchungen (Internal Investigations) klären Verdachtslagen auf, schützen Unternehmen vor Schäden und stärken die Compliance-Kultur. Gleichzeitig verarbeiten sie zwangsläufig personenbezogene Daten – von Hinweisgebenden über Beschuldigte bis hin zu Zeug:innen. Wer hier die DSGVO, das BDSG und das Hinweisgeberschutzgesetz (HinSchG) nicht passgenau beachtet, riskiert Beweisprobleme, Bußgelder und Haftungsfolgen.

Buchert Jacob Peter richtet Internal-Investigations so aus, dass Aufklärung und Datenschutz Hand in Hand laufen: sauber begründet, dokumentiert, verhältnismäßig – und damit belastbar gegenüber Aufsichtsbehörden, Gerichten und Betriebsrat.

1) Datenschutz ist das Rückgrat jeder Internal Investigation

Kernprinzipien nach Art. 5 DSGVO:

  • Zweckbindung: Daten nur zur Aufklärung der konkret definierten Sachverhalte nutzen.
  • Datenminimierung: So viel wie nötig, so wenig wie möglich – Suchräume und Suchbegriffe eng fassen.
  • Richtigkeit & Integrität: Korrekte Erhebung, forensisch saubere „Chain of Custody“.
  • Speicherbegrenzung: Lösch- und Sperrkonzept von Beginn an festlegen.
  • Transparenz & Rechenschaft: Prozesse, Entscheidungen und Abwägungen nachvollziehbar dokumentieren.

2) Rechtsgrundlagen – belastbar wählen und sauber begründen

Je nach Maßnahme kommen in der Praxis typischerweise in Betracht:

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Aufklärung erheblicher Regel- oder Gesetzesverstöße, Schutz des Unternehmens und Dritter.
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): z.B. Pflichten nach HinSchG/LkSG, Aufsichts- oder Ermittlungsanforderungen.
  • Art. 6 Abs. 1 lit. b DSGVO: wenn der Datenzugriff unmittelbar zur Durchführung eines Beschäftigungsverhältnisses erforderlich ist.
  • Beschäftigtendaten: § 26 BDSG bleibt relevant, muss aber DSGVO-konform angewandt und eng begründet werden.
  • Besondere Kategorien (Art. 9 DSGVO): Nur mit Ausnahmetatbestand (z. B. Geltendmachung/Rechtsverteidigung nach Art. 9 Abs. 2 lit. f) und erhöhten Schutzmaßnahmen.

Praxis-Tipp: Rechtsgrundlage maßnahmenscharf begründen (Interview, E-Mail-Sichtung, Log-Auswertung etc.), Abwägung protokollieren und mit TOMs (Art. 32 DSGVO) unterlegen.

3) Informationspflicht (Art. 13/14) & Auskunft (Art. 15) – mit Vertraulichkeit vereinbaren

Grundsätzlich bestehen Informations- und Auskunftsrechte. Gleichzeitig schützt das HinSchG die Vertraulichkeit der Identität der hinweisgebenden Person. Außerdem erlaubt § 29 BDSG ein Zurückstellen oder Beschränken von Informationen, wenn andernfalls schützenswerte Interessen (z. B. Vertraulichkeit, Beweissicherung) vereitelt würden.

So gelingt der Spagat:

  • Frühzeitig einen Informations- & Auskunftsleitfaden festlegen (Was, wann, an wen?).
  • Zulässige Aufschübe/Teilmitteilungen dokumentieren; nach Wegfall des Hindernisses nachinformieren.
  • Identität der Hinweisgebenden nie offenlegen (auch keine mittelbaren Rückschlüsse).
  • Anfrage-Management zentral steuern, Antworten juristisch prüfen und versionieren.

4) Mitarbeiterinterviews – datenschutzrechtliche Checkliste

  • Notice & Fairness: Kurze Datenschutz-Info (Art. 13), Zweck, Kategorien, Speicherfristen, Rechte.
  • Scope: Fragenkatalog bezieht sich nur auf erforderliche Tatsachen.
  • Protokollierung: Wortnahe Notiz, Freigabeprozess, Zugriff rollenbasiert.
  • Rechtsbeistand: Kein Automatismus, aber oft sinnvoll (Waffengleichheit, Qualität, Verwertbarkeit).
  • Betriebsrat: Mitbestimmung kann berührt sein (z. B. standardisierte Fragebögen).
  • Löschung: Rohnotizen/Livesheets nach Übertrag in das freigegebene Protokoll löschen.

5) E-Mail- und Datenanalysen (E-Discovery) – scharf, aber verhältnismäßig

  • Rechtsgrundlage & Verdacht vor dem Zugriff dokumentieren; private Anteile strikt ausschließen.
  • Suchfilter/Keyword-Sets eng; Trefferlisten zunächst pseudonymisiert sichten (Need-to-know).
  • Logfiles & Chain of Custody lückenlos führen.
  • Beweisverwertung sichern: rechtmäßige Erhebung + Verhältnismäßigkeit = geringes Risiko von Verwertungsverboten.

6) KI-gestützte Forensik – DSGVO, BetrVG & EU-KI-Verordnung beachten

KI kann Muster erkennen und Review beschleunigen – datenschutz- und arbeitsrechtlich aber nur mit Leitplanken:

  • DPIA/DSFA (Art. 35 DSGVO) prüfen (Risiken für Rechte und Freiheiten).
  • Mitbestimmung (§ 87 Abs. 1 Nr. 6 BetrVG) bei leistungs-/verhaltensbezogener Auswertung.
  • KI-Governance: Zweckbindung, Trainings-/Inference-Daten, Fehler- & Bias-Kontrollen, menschliche Aufsicht, Audit-Trails.
  • Technischer Rahmen: Geschützter Workspace, keine Schatten-Uploads, keine unzulässigen Drittländer.
  • EU-KI-Verordnung: Bei arbeitsbezogener Auswertung i. d. R. Hochrisiko-System → zusätzliche Pflichten (u. a. Risikomanagement, Dokumentation, Qualitätssicherung).

7) Technische & organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO

  • Rollen & Rechte: Strenges Need-to-know, Vier-Augen-Prinzip, Berechtigungsmanagement.
  • Datensicherheit: Verschlüsselung „at rest“/„in transit“, HSM/Key-Policy, gesicherte Forensik-Container.
  • Pseudonymisierung/Masking in der Sichtungsphase.
  • Protokollierung & Monitoring: Zugriff, Export, Löschung.
  • Lösch- & Sperrkonzept: Stufenmodell (Working Set → Review Set → Evidence Set).
  • Vertraulichkeit: NDAs, Investigator-Guidelines, Schulungen, Geheimhaltungsstufen.
  • Besondere Kategorien: Erhöhte Schutzstufe (z. B. separate Speicherschicht, restriktive Freigaben).

8) Drittlandtransfers – internationale Untersuchungen absichern

  • Art. 44 ff. DSGVO beachten; bei „unsicheren“ Drittländern SCCs + Transfer Impact Assessment und zusätzliche technische Maßnahmen (End-to-End-Verschlüsselung, Schlüssel in der EU).
  • Anbieterprüfung: Sub-Prozessoren, Speicherorte, Supportzugriffe.
  • Dokumentation: Entscheidungs- & Maßnahmenprotokoll für Audit/Behörde.

9) Dokumentation, Löschung, „Defensible Investigation“

  • Investigations-Record: Rechtsgrundlagen, Interessenabwägungen, DSFA, Betriebsratsbeteiligung, TOMs, Suchstrategie, Interview-Protokolle, Reporting.
  • Löschpunkt pro Datenkategorie definieren; Beweisstücke rechtssicher archivieren, alles andere fristgerecht löschen.
  • Schlussbericht: Fakten, Bewertung, Maßnahmen, Datenschutz-Anhang (was erhoben, warum, wie geschützt, wann gelöscht).

10) Leistungen von Buchert Jacob Peter

  • Privacy-by-Design für Untersuchungen: Rechtsgrundlagen-Matrix, Mustertexte (Art. 13/14), Auskunftsleitfaden, DSFA, TOM-Katalog.
  • Forensik & E-Discovery mit DSGVO-Leitplanken, Drittland- und KI-Compliance.
  • Betriebsrats- und Meldestellen-Schnittstelle: Verfahren, Rollen, Governance.
  • Remediation & Lessons Learned: Richtlinien, Schulungen, Datensparsamkeit, Löschkonzepte.

Kontakt: Buchert Jacob Peter Rechtsanwälte, Kaiserstraße 22, 60311 Frankfurt am Main · Tel. 069 710 33 330

FAQ – Internal Investigations & Datenschutz (SEO)

1) Welche DSGVO-Rechtsgrundlage trägt eine Internal Investigation?
Meist Art. 6 Abs. 1 lit. f (berechtigtes Interesse) oder lit. c (rechtliche Pflicht). Beschäftigtendaten nach § 26 BDSG DSGVO-konform anwenden.

2) Müssen Betroffene sofort informiert werden?
Grundsätzlich ja – Art. 13/14 DSGVO. Bei Gefährdung der Aufklärung erlaubt § 29 BDSG ein Aufschieben/Teilinformieren; dokumentieren und später nachholen.

3) Dürfen Hinweisgeber identifiziert werden?
Nein. HinSchG schützt Identitäten strikt. Auch indirekte Hinweise vermeiden (Kontext-Anonymisierung, Need-to-know).

4) Sind E-Mail-Screenings zulässig?
Ja, bei konkretem Verdacht, enger Zweckbindung und verhältnismäßigem Vorgehen. Private Inhalte bleiben tabu.

5) Brauchen wir eine Datenschutz-Folgenabschätzung (DSFA)?
Wenn ein hohes Risiko für Rechte/Freiheiten besteht (z. B. großflächige Auswertung, KI-Einsatz) – Art. 35 DSGVO prüfen und ggf. durchführen.

6) Welche TOMs sind Pflicht?
Mindestens Zugriffsbeschränkung, Verschlüsselung, Protokollierung, Pseudonymisierung, Löschkonzept – abgestimmt auf Risiko und Datenart.

7) Was gilt bei internationalen Datenabflüssen?
Art. 44 ff. DSGVO, SCCs, Transfer Impact Assessment und ggf. zusätzliche technische Maßnahmen. Speicherorte/Sub-Prozessoren prüfen.

8) Kann der Betriebsrat mitbestimmen?
Ja, z. B. bei Technik zur Leistungs-/Verhaltenskontrolle (§ 87 Abs. 1 Nr. 6 BetrVG) oder standardisierten Fragebögen. Frühzeitig einbinden.

9) Dürfen Betroffene Auskunft nach Art. 15 DSGVO verlangen?
Ja. Bei laufender Ermittlung kann die Auskunft gemäß § 29 BDSG gerechtfertigt beschränkt werden; Begründung dokumentieren.

10) Wie lange dürfen Ermittlungsdaten gespeichert werden?
Nur solange erforderlich. Löschpunkte je Datenkategorie festlegen; Beweisstücke gesondert, rechtssicher archivieren.

11) Ist KI in Untersuchungen erlaubt?
Ja – mit DSFA, klaren Spielregeln und meist Hochrisiko-Pflichten nach der EU-KI-Verordnung. Betriebsrat beachten.

12) Was sind typische Datenschutzfehler?
Unklare Rechtsgrundlage, zu breite Datensammlungen, fehlende Dokumentation, mangelnde Trennung von Rollen, ignorierte HinSchG-Vertraulichkeit.