Die Verarbeitung personenbezogener Daten zur Aufklärung von Compliance-Fällen stellt Unternehmen bereits innerhalb nationaler Grenzen vor zahlreiche rechtliche Herausforderungen. Weisen der Fall oder die Untersuchung grenzüberschreitende Bezüge auf, sind die rechtlichen Anforderungen besonders streng. Dieser Beitrag weist auf die wesentlichen Risiken hin und zeigt Lösungsansätze auf.
Hintergrund
Kommt in einem Unternehmen der Verdacht auf, dass gegen Gesetze verstoßen wurde oder wird, muss die Unternehmensleitung eine interne Untersuchung durchführen. Wie die interne Untersuchung durchgeführt wird, liegt jedoch grundsätzlich in ihrem Ermessen. Unter dieses „wie“ fallen insbesondere die Maßnahmen, mit denen sich die Unternehmensleitung die Informationen beschafft, die sie zur Aufklärung des Verdachts und zum Umgang mit dem Verstoß benötigt. In der Praxis gehören dazu oft Befragungen, die Prüfung von Dokumenten und Unterlagen sowie die Durchsicht von E-Mail und anderer elektronischer Kommunikation.
Eine Grenze dieses Ermessens bildet das Datenschutzrecht, das den Umgang mit personenbezogenen Daten nur unter bestimmten Bedingungen zulässt. Besonders komplex kann das Geflecht aus (datenschutz-)rechtlichen Anforderungen werden, wenn die Untersuchung grenzüberschreitende Datenzugriffe erfordert. Verstöße gegen datenschutzrechtliche Bestimmungen können erhebliche Bußgelder (bis zu EUR 20 Millionen oder 4 % des Gruppenjahresumsatzes) und Schadensersatzforderungen der betroffenen Personen nach sich ziehen. Außerdem können rechtswidrig erhobene Daten in einem Gerichtsprozess unverwertbar sein. Wird der Verstoß publik, kann der Ruf des Unternehmens Schaden nehmen, in einigen Bereichen können Datenschutzverstöße auch der Vergabe öffentlicher Aufträge entgegenstehen.
Datenschutzrechtliche Anforderungen an Compliance-Untersuchungen im Allgemeinen
Das Datenschutzrecht, seit dem 25. Mai 2018 vor allem durch die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – „DS-GVO“) geregelt, verlangt zunächst die Rechtmäßigkeit der Datenverarbeitung. Darüber hinaus regelt sie einige organisatorische Anforderungen.
Rechtmäßigkeit der Datenverarbeitung durch Aufklärungsmaßnahmen
Ein – deutsches – Unternehmen darf personenbezogene Daten für die Zwecke einer internen Untersuchung nur verarbeiten, wenn ein legitimes Interesse an ihrer Verarbeitung besteht, das von den entgegenstehenden Vertraulichkeitsinteressen der betroffenen Personen nicht überwogen wird. Geht es um die Aufklärung eines Verstoßes durch eine bestimmte Person, insbesondere einen Beschäftigten, sind zudem dokumentierte Anhaltspunkte für den Verstoß erforderlich (Art. 6 Abs. 1 lit. b, f DS-GVO; § 26 Bundesdatenschutzgesetz – „BDSG“). Darüber hinaus muss das Unternehmen die Verarbeitungsprinzipien beachten, insbesondere das Prinzip der Datenminimierung (Art. 5 DS-GVO).
Das legitime Interesse des Unternehmens liegt regelmäßig an der Wahrung der Unternehmensinteressen durch eine umfassende Aufklärung des mutmaßlichen Verstoßes, denn nur in Kenntnis aller relevanten Fakten kann das Unternehmen rationale Entscheidungen darüber treffen, wie es Bußgelder vermeiden oder begrenzen, Schadensersatzansprüche abwehren bzw. selbst geltend machen, regulatorische (Melde-)Pflichten einhalten, den Verstoß abstellen oder ähnliche Verstöße verhindern, und mit der Öffentlichkeit kommunizieren kann. Unternehmen müssen durch eine datenschutzkonforme Gestaltung der Untersuchung sicherstellen, dass die Vertraulichkeitsinteressen der betroffenen Personen bei Durchführung berücksichtigt werden.
Das gilt auch für die Weitergabe personenbezogener Daten innerhalb des Konzerns sowie an Dritte wie Rechts-, PR- oder forensische Berater. Lediglich bei sog. Auftragsverarbeitern – Dienstleistern für bestimmte technische Verarbeitungsprozesse wie insbesondere Datenhosting – ist keine gesonderte Rechtsgrundlage für die Datenweitergabe erforderlich (sondern stattdessen seine Auftragsverarbeitungsvereinbarung, Art. 28 DS-GVO).
Eine rechtsverbindliche Anordnung einer europäischen Behörde stellt in der Regel eine Rechtsgrundlage für die Offenlegung personenbezogener Daten dar (Art. 6 Abs. 1 lit. f DS-GVO). Unverbindliche Aufforderungen zur Zusammenarbeit und Offenlegung sollten dagegen mit besonderer Sorgfalt geprüft werden. Wenn es aber eine ständige Praxis gibt, dass auf solche Aufforderungen zeitnah verbindliche Aufforderungen folgen, oder wenn das Fehlen einer „willigen Zusammenarbeit“ durch erhöhte Geldbußen (oder ähnliche Nachteile) bestraft wird, ist die Offenlegung oft auf der Grundlage legitimer Interessen rechtmäßig (Art. 6 Abs. 1 lit. f DSGVO).
Eine Einwilligung ist als Rechtsgrundlage in aller Regel nicht geeignet. Erstens ist sie jederzeit widerrufbar (Art. 7 DS-GVO). Zwar berührt der Widerruf nicht die Rechtmäßigkeit der Verarbeitung vor dem Widerruf, für die zukünftige (Weiter-)Verarbeitung entfällt durch den Widerruf jedoch zunächst die Rechtsgrundlage. Das „Stapeln“ von Rechtsgrundlagen, insbesondere der Rückgriff auf eine gesetzliche Rechtsgrundlage nach Widerruf einer Einwilligung, sehen deutsche Datenschutzaufsichtsbehörden kritisch. Zweitens ist nach Ansicht der Aufsichtsbehörden bereits fraglich, ob eine im Zusammenhang mit einer Compliance-Untersuchung erteilte Einwilligung eines Beschäftigten als freiwillig gelten kann. Denn Beschäftigte stünden hier unter erheblichem Druck, sodass ihre Einwilligung regelmäßig unfreiwillig und damit unwirksam sei.
Organisatorische Anforderungen
Außerdem müssen Unternehmen organisatorische Anforderungen beachten:
- Werden Daten wie beschrieben an andere Konzerngesellschaften oder Dritte weitergegeben, müssen die beteiligten Gesellschaften u. U. bestimmte Datenverarbeitungsvereinbarungen abschließen (Art. 26, 28 DS-GVO).
- Die betroffenen Personen müssen über die Datenverarbeitung informiert werden, wenn nicht ausnahmsweise eine Ausnahme von der Informationspflicht eingreift, z. B. wegen besonderen Geheimhaltungspflichten oder -bedürfnissen.
- Von vornherein muss das Unternehmen Vorkehrungen treffen, um die bei der internen Untersuchung verarbeiteten Daten sicher aufbewahren und ggf. wieder löschen zu können. Dazu gehört auch die Festlegung von Aufbewahrungs-/Löschfristen bzw. konkreten Kriterien, die die Lebensspanne der Daten bestimmen.
- Insbesondere wenn das Unternehmen innovative Technologien (z. B. Künstliche Intelligenz) einsetzt, um besonders große Mengen von Daten effizient zu verarbeiten, kann die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) bestehen.
Datenschutzrechtliche Anforderungen an grenzüberschreitende Compliance-Untersuchungen
In einer grenzüberschreitenden Untersuchung verkomplizieren sich die oben dargestellten Anforderungen an Rechtsgrundlage und organisatorische Ausgestaltung. Zusätzlich müssen Unternehmen mit Übermittlungsbeschränkungen umgehen.
Nationale Regelungsspielräume im Mitarbeiterdatenschutz
Der Schutz personenbezogener Daten von Beschäftigten ist trotz weitgehender datenschutzrechtlicher Harmonisierung durch die DS-GVO weiterhin in nationalem Recht geregelt. Das führt dazu, dass die Verarbeitung von Beschäftigtendaten in unterschiedlichen Ländern selbst innerhalb der EU an verschiedenen Maßstäben zu messen ist. Für Unternehmen ist es regelmäßig eine erhebliche Herausforderung, im Rahmen einer grenzüberschreitenden Untersuchung Prozesse aufzustellen, die dem nationalen Recht in allen betroffenen (Mitglied-)Staaten gerecht werden.
Das Problem verschärft sich, wenn die Untersuchung auch Länder außerhalb der EU betrifft, die eigene Datenschutzgesetze verabschiedet haben. Dazu gehören inzwischen insbesondere alle BRIC-Staaten, aber auch Länder wie Australien, Nigeria, Japan, Südkorea, Kanada und die Schweiz.
Dabei ist es oft nicht möglich, das – besonders strenge – Datenschutzrecht eines Landes zum „Goldstandard“ zu wählen und dann davon auszugehen, dass so auch die Anforderungen in anderen Ländern erfüllt sein werden. Denn internationale Datenschutzregimes lassen sich nicht ohne Weiteres auf einer linearen Skala von großzügig zu streng einordnen, sondern weichen in verschiedenen Dimensionen voneinander ab. Wie das Beispiel der Einwilligung zeigt, ist das Allheilmittel der einen Rechtsordnung in der anderen gerade nicht das Mittel der Wahl.
Konzernweite Richtlinien
Über das Institut der Interessenabwägung finden auch konzernweite Richtlinien oder Betriebsvereinbarungen Eingang in die datenschutzrechtliche Beurteilung. Diese werden nicht nur, aber vor allem relevant, wenn eine europäische Konzernmutter der Gruppe Richtlinien verordnet, die durch ihre Regelungen die Anforderungen der DS-GVO für alle Konzerngesellschaften verbindlich machen.
In solchen Fällen können ggf. großzügigere lokale Verarbeitungsbefugnisse nicht mehr ohne Risiko genutzt werden. Lokalen Behörden ist es regelmäßig nur schwer zu vermitteln, wenn das Unternehmen zur Aufklärung des Verstoßes weniger Daten verarbeitet als es gesetzlich berechtigt wäre, um eine interne Richtlinie einzuhalten, die sich an den Anforderungen von (aus Sicht der Behörde) ausländischem Recht orientiert.
Übermittlungsbeschränkungen „Outbound“
Das europäische Recht sieht des Weiteren besondere Beschränkungen für die Übermittlung personenbezogener Daten in Drittländer außerhalb von EU und EWR vor, damit die personenbezogenen Daten im Drittland angemessen geschützt bleiben.
Dies ist der Fall, wenn das Datenschutzniveau in dem Drittland von der EU-Kommission offiziell anerkannt wurde (Art. 45 DSGVO) - solche so genannten Angemessenheitsbeschlüsse wurden jedoch nur für eine kleine Anzahl von Ländern erlassen (darunter das Vereinigte Königreich, die Schweiz, Kanada, Argentinien und Japan, aber nicht die USA, Indien, Russland, China, Brasilien, die Türkei oder Australien). Liegt für das jeweilige Land kein Angemessenheitsbeschluss vor, müssen zusätzliche Garantien geschaffen werden, z. B. durch den Abschluss einer Datenschutzvereinbarung auf der Grundlage der EU-Standardvertragsklauseln (Art. 46 DSGVO).
Behörden in Drittländern werden in der Regel jedoch nicht bereit sein, mit einem europäischen Unternehmen Standardvertragsklauseln abzuschließen. Insoweit muss das Unternehmen daher prüfen, ob eine Datenübermittlung auf Grundlage einer der Ausnahmeregelungen des Artikel 49 DS-GVO zulässig ist, insbesondere zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 49 Abs. 1 lit. e DS-GVO). Diese Ausnahmeregelung zielt speziell auf die Verwendung personenbezogener Daten in Gerichtsverfahren ab (z. B. auf eine subpoena), kann aber auch andere Arten von Offenlegungen rechtfertigen (z. B. in Rahmen von sog. monitorships oder Kartellverfahren).
Um ihre Bemühungen um die Einhaltung der DS-GVO nachweisen zu können, sollten Unternehmen personenbezogene Daten generell nur im zwingend erforderlichen Umfang an Behörden oder Gerichte übermitteln. Wenn die Behörde bzw. das Gericht dies akzeptiert, schließt dies die Schwärzung irrelevanter personenbezogener Daten ein (z. B. in Bezug auf Personen, die nicht an der Angelegenheit beteiligt sind).
Übermittlungsbeschränkungen „Inbound“
Auch das Erheben personenbezogener Daten in Drittländern und ihre Verbringung in die EU kann strengen rechtlichen Beschränkungen unterliegen. Wichtige Staaten wie Russland, China und Brasilien haben in ihren Datenschutzgesetzen hohe Anforderungen an die Übermittlung von Daten ins Ausland geregelt. Zum Teil ist zwingend erforderlich, dass die Daten zumindest in Kopie im Inland verbleiben.
Bei der Offenlegung personenbezogener Daten mit Drittlandsbezug sind auch Wechselwirkungen mit dem Common Law-Institut des Legal Privilege zu beachten. Die Freigabe von Informationen kann zu einem Verlust dieses „Privilegs“ und des damit verbundenen Herausgabeschutzes in den USA oder dem UK führen.
Lösungsansätze
Unternehmen sollten die Herausforderungen einer (grenzüberschreitenden) Compliance-Untersuchung daher schon in Zeiten mitdenken, in denen diese noch als nur hypothetisches Problem erscheint. Dazu gehört es insbesondere:
- konzerninterne Datenschutzvereinbarungen so zu gestalten, dass der Austausch von Informationen in Compliance-Untersuchungen abgedeckt und geregelt ist;
- für Compliance-Untersuchungen relevante Prozesse und Organisationsstrukturen vor dem Hintergrund datenschutzrechtlicher Anforderungen (z. B. Datenminimierung, Datenlokalisierung) zu entwerfen;
- Beschaffung und Implementierung von IT-Systemen, die sowohl den praktischen Anforderungen einer grenzüberschreitenden Compliance-Untersuchung (z. B. länderübergreifender Legal Hold) als auch datenschutzrechtlichen Anforderungen (z. B. Segmentierung, Datenminimierung durch elektronische Filterung) genügen können; und
- Konzernrichtlinien, Datenschutzvereinbarungen und -betriebsvereinbarungen so zu fassen, dass unterschiedliche nationale Regelungen berücksichtigt werden können.
Wenn eine konkrete Compliance-Untersuchung ansteht, müssen die datenschutzrechtlichen Anforderungen erst Recht in Planung und Umsetzung des Projekts einfließen. Relevant ist dies insbesondere bei:
- der Zusammenstellung des Projektteams und der Strukturierung der Kooperation zwischen geographischen bzw. gesellschaftsrechtlichen Ebenen;
- möglicherweise anstehendem Datenaustausch mit Behörden, bei denen von vornherein der Umgang mit verbindlichen und unverbindlichen Auskunftsanfragen bedacht werden sollte. Soll (freiwillig) mit einer Behörde kooperiert werden (z. B. im Rahmen eines Kronzeugenantrags oder Monitorships), empfiehlt sich zudem frühzeitiges Erwartungsmanagement im Hinblick auf etwaige Verzögerungen durch Maßnahmen zur Datenminimierung;
- der Dokumentierung der internen Untersuchung, die einerseits so detailliert wie möglich sein sollte, um gegenüber der Datenschutzaufsichtsbehörde die Einhaltung rechtlicher Anforderungen belegen zu können, und andererseits im Bewusstsein um mögliche Einsichts- und Auskunftsrechte betroffener Personen sowie Zugriffsmöglichkeiten durch Behörden erfolgen muss;
- der Erfüllung von Informations- und Transparenzpflichten unter Berücksichtigung von Geheimhaltungspflichten und -bedürfnissen;
- der Beteiligung der relevanten Funktionen in Unternehmen und Konzern, z. B. Compliance Officer, Datenschutzbeauftragter, Menschenrechtsbeauftragter nach dem LKSG etc.; und
- der Erstellung von Budget und Ressourcenplan, insbesondere im Hinblick auf ein aus Forensik- und/oder Datenschutzgründen ggf. gestuftes Review, relevante Berater und (Local) Counsel.
Ausblick
Die rechtlichen Herausforderungen bei der Übermittlung personenbezogener Daten im Zusammenhang mit internen Untersuchungen werden zukünftig noch an Komplexität gewinnen, wenn mehr und mehr Länder – dem Vorbild der DS-GVO folgend – besondere Voraussetzungen für den rechtmäßigen „Export“ von Daten über Ländergrenzen in ihren Gesetzen verankern.
Bemühungen der EU, des UK und einiger anderer Länder, über die gegenseitige Anerkennung „angemessener“ Datenschutzniveaus einen sicheren Raum für den freien Austausch von Daten zu schaffen, sind begrüßenswert, kommen aber nicht schnell genug voran, um große Hoffnungen zu wecken. Hinzu kommt, dass entsprechende Angemessenheitsentscheidungen regelmäßig vor Gerichten angegriffen werden und – wie die Schrems II-Entscheidung im Sommer 2020 gezeigt hat – unvermittelt wegbrechen können.
Währenddessen schaffen immer mehr Regelwerke – von der DS-GVO über die Whistleblower-Richtlinie und das Geldwäschegesetz bis hin zum Lieferkettengesetz – neue Anforderungen an ein konzernweites Risikomanagement. Muttergesellschaften internationaler Konzerne können Compliance-Aufgaben daher immer weniger allein ihren lokalen Töchtern überlassen. Grenzüberschreitende Compliance-Untersuchungen werden daher immer mehr zur Regel, sodass Unternehmen gut beraten sind, für den Fall der Fälle auch datenschutzrechtlich so gut wie möglich vorbereitet zu sein.
Weiterleiten