Compliance-Spagat – BDSG versus eDiscovery
"Die ursprünglich nur aus US-Verfahren bekannte elektronische forensische Datenanalyse (kurz: eDiscovery) nimmt auch in Deutschland an Bedeutung zu. Schätzungsweise 90% aller potenziell relevanten Daten liegen auch in elektronischer Form vor, doch der Zugriff auf elektronische Daten im Rahmen einer eDiscovery gestaltet sich nicht nur tatsächlich, sondern auch rechtlich schwierig: Es müssen nicht nur große Datenmengen durchsucht, sondern auch die Rechte der betroffenen Mitarbeiter beachtet werden. Michael Magotsch, Partner bei DLA Piper, nimmt den Konflikt mit dem Bundesdatenschutzgesetz (BDSG) genauer unter die Lupe.
"
Die ursprünglich nur aus US-Verfahren bekannte elektronische forensische Datenanalyse (kurz: eDiscovery) nimmt auch in Deutschland an Bedeutung zu. Schätzungsweise 90% aller potenziell relevanten Daten liegen auch in elektronischer Form vor, doch der Zugriff auf elektronische Daten im Rahmen einer eDiscovery gestaltet sich nicht nur tatsächlich, sondern auch rechtlich schwierig: Es müssen nicht nur große Datenmengen durchsucht, sondern auch die Rechte der betroffenen Mitarbeiter beachtet werden. Michael Magotsch, Partner bei DLA Piper, nimmt den Konflikt mit dem Bundesdatenschutzgesetz (BDSG) genauer unter die Lupe.
„
Das Bundesdatenschutzgesetz (BDSG) erlaubt Zugriffe auf persönliche Daten – worunter auch rein geschäftliche E-Mails zählen – nur unter bestimmten Voraussetzungen. Bei Verstößen drohen neben Bußgeldern von bis zu 300 000 Euro auch strafrechtliche Sanktionen. Hinzu kommen Schadensersatzforderungen der Betroffenen sowie häufig negative Presseberichte.
Anknüpfungspunkte von eDiscovery im Unternehmen
Das Recht auf Discovery, die heutzutage häufig als eDiscovery durchgeführt wird, gilt bei einem drohenden Rechtsstreit in den USA sowohl für dort tätige deutsche Unternehmen als auch für deutsche Tochtergesellschaften von US-amerikanischen Unternehmen. Dabei ist schon vor dem eigentlichen Rechtsstreit sämtliches potenziell relevantes Material der Gegenpartei oder auch einer ermittelnden Aufsichtsbehörde – etwa bei Compliance-Ermittlungen – vorzulegen. Im Falle der Zuwiderhandlung drohen empfindliche Sanktionen durch die US-amerikanischen Gerichte, die von prozessualen bis zu gravierenden strafrechtlichen Sanktionen reichen können.
Bei unternehmensinternen Voruntersuchungen in compliance-relevanten Bereichen kommt eDiscovery dann in Betracht, wenn durch die Sichtung der elektronisch verfügbaren Daten relevante Verstöße nachgewiesen werden können. Auch beim Verdacht von sonstigen Straftaten eines Mitarbeiters im Beschäftigungsverhältnis kann eDiscovery angewandt werden.
Vereinbarkeit von BDSG und eDiscovery
Nach dem BDSG sind Erhebung, Verarbeitung, Nutzung und Übertragung von persönlichen Daten von Beschäftigten grundsätzlich verboten. Es sei denn, es liegt die Einwilligung des Betroffenen vor oder der Umgang mit den Daten ist kraft Rechtsvorschrift erlaubt. US-gesetzliche Berichtspflichten deutscher (an einer US-amerikanischen Börse notierter) Unternehmen sind keine Rechtsvorschriften im Sinne von § 4 Absatz 1 BDSG. Das Einholen von Einwilligungen ist zwar möglich, in den skizzierten Fällen aber schwierig zu handhaben. Gerade im Rahmen einer groß angelegten eDiscovery, bei der die Daten hunderter Beschäftigter gefiltert werden, ist dies praktisch kaum durchführbar.
Dennoch können eDiscovery-Maßnahmen auch nach Erlaubnisnormen des BDSG zulässig sein. eDiscovery im Rahmen einer aus den USA initiierten Discovery, beispielsweise auf Grund von Whistleblower-Regelungen, kann durch § 28 Absatz 1 Nr. 2 BDSG zur Verteidigung berechtigter Interessen des Unternehmens gerechtfertigt sein. Auch die Offenlegung von Daten zur Korruptionsbekämpfung wird vielfach nach § 32 Absatz 1 Satz 1 BDSG gerechtfertigt sein, weil das Unternehmen ein berechtigtes Interesse an der Aufklärung und Aufdeckung von Fehlverhalten hat. Diese Rechtfertigung dürfte daneben auch in anderen compliance-relevanten Bereichen greifen.
Im Rahmen der Verfolgung von Straftaten durch Mitarbeiter reicht grundsätzlich ein Anfangsverdacht aus, um ein Vorgehen nach § 32 Absatz 1 Satz 2 BDSG zu rechtfertigen. Es muss sich aber um Straftaten handeln, die einen Bezug zum Beschäftigungsverhältnis haben und die keine reinen Bagatelldelikte sind. Eine Abstimmung mit der zuständigen Datenschutzbehörde ist in jedem Fall sinnvoll.
Besondere Bedeutung kann im Rahmen der eDiscovery auch Tarifverträgen oder Betriebsvereinbarungen zukommen, da in diesen der Umgang mit den Beschäftigtendaten – abweichend vom BDSG – geregelt werden kann. Automatische Stichpunktsuchen gewährleisten weiter, dass nur in solche Dokumente Einsicht genommen wird, die wahrscheinlich einen Bezug zum gesuchten Themenkomplex aufweisen. Besondere Probleme entstehen, wenn die private Nutzung von E-Mail etc. im Unternehmen erlaubt ist. Denn in diese privaten Daten darf generell keine Einsicht genommen werden.
Grenzüberschreitender Datentransfer
Ein weiteres Dauerthema ist der grenzüberschreitende Datentransfer. Gern wird dabei ignoriert, dass Staaten wie die USA nicht als Drittland mit angemessenem Datenschutzniveau gelten. Der Transfer von Daten unterliegt daher erheblichen Einschränkungen. Unternehmen sollten deshalb die Daten im Inland sorgfältig sichten und aufbereiten und im Vorfeld genau prüfen, welche Daten sie in die USA transferieren müssen. Geprüft werden muss weiter, ob Safe-Harbor-Abkommen vorliegen oder zumindest durch die EU-Kommission gebilligte Standardvertragsklauseln beim Datentransfer genutzt werden.
Fazit
Die Bedeutung von eDiscovery wird auch in deutschen Verfahren weiter zunehmen. Konflikte mit dem BDSG lassen sich in der Regel aber durch einen vorausschauenden und verantwortungsvollen Umgang mit Beschäftigtendaten lösen.
„