Datenscreening zur Korruptionsbekämpfung mit dem Datenschutzrecht vereinbar

Der routinemäßige Abgleich von Mitarbeiter- und Kreditorendaten folgt aus der unternehmerischen Pflicht, Korruptions- und Betrugsfälle wirksam zu bekämpfen. Dem Arbeitgeber sind derartige Kontrollmaßnahmen auch gesetzlich vorgegeben. Als generell geltende Norm ist § 130 OWiG von Gewicht. Verletzt der Unternehmer nämlich schuldhaft seine Pflicht zur Verhinderung von gegen den Betrieb gerichteten Straftaten oder Ordnungswidrigkeiten, handelt es selbst ebenfalls ordnungswidrig, wenn die Zuwiderhandlung bei gehöriger Aufsicht verhindert oder wesentlich erschwert worden wäre (§ 130 Abs. 1 OWiG). Spezielle Kontrollverpflichtungen bestehen u.a. im Bereich der Kreditwirtschaft. Complianceregelungen, die auf die Einhaltung zunächst der Gesetze und nachfolgend auch unternehmensinterner Regelungen abzielen, erfordern ebenfalls Kontrollen, damit diese Gesetzestreue auch Betriebswirklichkeit ist.

Eine wirksame Bekämpfung von Korruption und Betrug ist aber ohne den automatisierten Datenabgleich kaum möglich. Die Nutzung von Mitarbeiterdaten zur Korruptionsbekämpfung richtet sich nach den Vorgaben des Bundesdatenschutzgesetzes (BDSG). Rechtgrundlage ist § 28 BDSG Abs. 1 Satz 1 Nr. 1 BDSG. Für die Erfüllung der Zweckbestimmung des Vertrages sind auch Maßnahmen erforderlich, mit denen der Arbeitgeber die Einhaltung der mit dem Arbeitnehmer vereinbarten Arbeitspflichten kontrolliert, d.h. der Vertragszweck berechtigt auch zur Ermittlung von vertragswidrigen Verhalten.

Umstritten ist die Frage, ob die Daten aller Mitarbeiter zum Screening genutzt werden dürfen. Das Bundesverfassungsgericht sieht in seiner aktuellen Entscheidung zur Abfrage von Kreditkartendaten in einem Ermittlungsverfahren (Beschluss vom 17.02.2009 - 2 BvR 1372/07) keinen Eingriff in das Recht auf informationelle Selbstbestimmung, wenn die Daten bei den Unternehmen in einen maschinellen Suchlauf eingestellt, nachfolgend aber nicht der Staatsanwaltschaft zur Verfügung gestellt werden. Denn die Daten Unverdächtiger, so das Bundesverfassungsgericht, würden anonym und spurenlos aus diesem Suchlauf ausgeschieden. Auf jeden Fall ist ein Datenabgleich zur Korruptionsbekämpfung hinsichtlich solcher Mitarbeiter zulässig, die in korruptionsgefährdeten Positionen arbeiten.

Um den Zielkonflikt der Korruptionsbekämpfung auf der einen Seite und der Wahrung der Persönlichkeitsrechte der Mitarbeiter auf der anderen Seite zu lösen, müssen bestimmte datenschutzrechtliche Vorgaben beachtet werden.

Das Verfahren zur Nutzung von Mitarbeiterdaten zur Korruptionsbekämpfung bedarf einer datenschutzkonformen Ausgestaltung. Der datenschutzrechtliche Grundsatz der Datenvermeidung und der Datensparsamkeit erfordert es, den Abgleich möglichst mittels pseudonymisierter Daten durchzuführen. Die Pseudonymisierung hat den Vorteil, dass eine Personalisierung erst bei konkretem Verdacht erfolgt und damit der Kreis der Wissenden auf ein kleinstmöglichstes Maß begrenzt werden kann.

Die Nutzung pseudonymisierter Daten gewinnt insbesondere an Bedeutung, wenn externe Dienstleister für die Datennutzung zu Zwecken der Korruptionsaufdeckung geschaltet werden. Bei der Einschaltung externer Dienstleister ist nämlich zunächst zu prüfen, ob tatsächlich personenbezogene Echtdaten zur Verfügung gestellt werden müssen. Sollte dies gleichwohl der Fall sein, bedarf dieser Auftrag nach § 11 BDSG einer vertraglichen Konkretisierung hinsichtlich der Aufgabenstellung und der vom Dienstleister zu gewährleistenden technisch-organisatorischen Maßnahmen. Im Übrigen fordert diese Regelung des BDSG, die Dienstleister nicht nur sorgfältig auszuwählen, sondern auch zu kontrollieren.

Auch wenn sich aus dem BDSG nicht unmittelbar ableiten lässt, dass die betroffenen Mitarbeiter über die Nutzung ihrer Daten zur Korruptionsbekämpfung zu informieren sind, gebietet jedoch der Grundsatz der vertrauensvollen Zusammenarbeit, dass die Tatsache der Nutzung von personenbezogenen Daten zur Korruptionsbekämpfung bekannt und damit transparent ist.

Über das Verfahren der Nutzung von Mitarbeiterdaten zum Zwecke der Korruptionsbekämpfung ist der betriebliche Datenschutzbeauftragte zwingend im Vorfeld zu informieren. Seine Aufgabe ist es, die Datenschutzkonformität des gesamten Verfahrens zu prüfen und entsprechende Gestaltungshinweise zu geben.

Es empfiehlt sich dringend, die einzelnen Maßnahmen der Datennutzung zur Korruptionsbekämpfung ausreichend zu dokumentieren, um die Recht- und Ordnungsmäßigkeit des Verfahrens gegenüber den internen Kontrollinstanzen wie der Mitarbeitervertretung aber auch gegenüber den Datenschutzaufsichtsbehörden darstellen zu können.

Die Nutzung von Mitarbeiterdaten zum Zwecke der Korruptionsbekämpfung bedarf auch der Einbindung der Mitarbeitervertretung. Erfolgt nämlich die Analyse mittels automatisierter Datenverarbeitung, ist diese nach dem Betriebsverfassungsgesetz gemäß § 87 Abs. 1 Nr. 6 mitbestimmungspflichtig.

Beachtet ein Unternehmen die oben bezeichneten rechtlichen, technischen und organisatorischen Maßnahmen, lässt sich der Zielkonflikt zwischen wirksamer Korruptionsbekämpfung und Datenschutz interessengerecht auflösen.