Jusletter IT

Compliance und Datenschutz

  • Author: Thomas Petri
  • Category: Short Articles
  • Region: Germany
  • Field of law: Data Protection
  • Collection: Conference proceedings IRIS 2010
  • Citation: Thomas Petri, Compliance und Datenschutz, in: Jusletter IT 1 September 2010
Der vorliegende Beitrag charakterisiert Compliance zunächst als schillernden, aber unscharfen Begriff. In weiterer Folge wird Datenschutz als Schutzgegenstand, aber genauso als Maßstab für Compliance herausgearbeitet. Den Abschluss des Beitrags bildet eine datenschutzrechtliche Bewertung des § 32 deutsches Bundesdatenschutzgesetz (BDSG) anhand von Fallbeispielen.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Was ist Compliance?
  • 2.1. Akteure
  • 2.2. Charakter von unternehmensinternen Vorgaben
  • 2.3. Umsetzung von Compliance
  • 3. Datenschutz
  • 3.1. Datenschutz als Schutzgegenstand von Compliance
  • 3.2. Datenschutz als Maßstab für Compliance
  • 4. Datenschutzrechtliche Bewertung des § 32 BDSG anhand von Fallbeispielen

1.

Einleitung ^

[1]

«Die in jüngster Zeit bekannt gewordenen Bespitzelungen von Arbeitnehmern beim Discounter Lidl und der Fast-Food-Kette Burger King, bei Novartis, Lufthansa oder der Deutschen Telekom zeigen, dass der Arbeitnehmer verstärkt als Risikopartner, nicht aber als Partner wahrgenommen wird.»1

[2]

Welche Datenerhebungen zur Umsetzung von Compliance stellen Datenschutzverstöße dar? Welche Maßnahmen zur Kontrolle bzw. Überwachung von Beschäftigten sind datenschutzrechtlich zulässig oder sogar aus rechtlichen Gründen geboten?2 Es gibt Anlässe genug, sich mit dem Verhältnis zwischen Compliance und Datenschutz zu befassen. Dazu ist zunächst zu klären, was unter Compliance verstanden werden soll. Ihre rechtliche Beurteilung sollte auf mindestens vier Determinanten des Schutzgegenstands, der Akteure, des Charakters der Vorgaben und der Umsetzungsmaßnahmen bezogen werden. Non-Compliance hängt in der Regel mit der Vernachlässigkeit von Faktoren ab, die einer oder mehrerer dieser Determinanten zuzuordnen sind (2.). Schließlich ist auf die Rolle des Datenschutzes als Gegenstand und als Maßstab von Compliance (3.) einzugehen und zu klären, welche Antworten hierzu der neu in Kraft getretene § 32 BDSG geben kann (4.).

2.

Was ist Compliance? ^

[3]

Der Begriff Compliance wird häufig als die Gesamtheit der organisatorischen Maßnahmen verstanden, die erforderlich sind, damit sich ein Unternehmen im Ganzen rechtskonform verhält.3 Dabei ist ein Unternehmen «compliant», wenn seine Leitung sich nicht nur verbal zu Rechtstreue bekennt, sondernaktiv tätig wird, um eine rechtskonform handelnde Organisation zu gewährleisten. Als eine relevante gesetzliche Legitimationsgrundlage wird häufig § 91 Abs. 2 AktG zitiert, wonach der Vorstand einer Aktiengesellschaft «geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten (hat), damit denFortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.» In Deutschland hat im Jahr 2002 eine von der Bundesjustizministerin eingerichtete Regierungskommission einenDeutschen Corporate Governance Kodex [DCGK] verabschiedet, der sich mit dem Thema Compliance bei börsennotierten Gesellschaften befasst. Ziffer. 4.1.3 DCGK definiert Compliance wie folgt:

[4]

«Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungenund der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance).»

[5]

Der Schutzgegenstand von Compliance ist also nicht nur die Einhaltung von zwingenden gesetzlichen Vorgaben. Je nachdem was unter «unternehmensinternen Regeln» zu verstehen ist, verlangt Compliance auch das Hinwirken auf die Einhaltung einer Vielzahl von Regeln, die nicht vom deutschen Gesetzgeber vorgegeben sind. Der DCGK selbst enthält neben der Zusammenfassung gesetzlicher Regelungen Empfehlungen und Anregungen, wie börsennotierte Gesellschaften im Sinne der Einhaltung «international und national anerkannter Standards guter und verantwortungsvoller Unternehmensführung» geleitet und überwacht werden sollten.4 Er verlangt auch, dass Vorstand und Aufsichtsrat «im Einklang mit den Prinzipien der sozialen Marktwirtschaft für den Bestand des Unternehmens und seine nachhaltige Wertschöpfung sorgen (Unternehmensinteresse).5 »

[6]

Compliance ist damit einunscharfer Begriff , weil er heute weit mehr als die Einhaltung von Gesetzen durch die Unternehmensleitung bedeutet. Er umfasst die organisatorischen Maßnahmen eines Unternehmens zur Einhaltung von allen Regeln, die das Ziel haben, im weitesten Sinne Schaden von sich abzuwenden.

2.1.

Akteure ^

[7]

Compliance betrifft alle Mitglieder eines Unternehmens, teilweise auch weitere Personen außerhalb des Unternehmens.6

[8]

Zuvörderst trägt dieUnternehmensleitung eine gesteigerte Verantwortung für das rechtmäßige Handeln des Unternehmens. Zur Umsetzung von Compliance werden zunehmend Compliance-Abteilungen oderCompliance-Officer eingesetzt, früher wurde diese Aufgabe oft von derinternen Revision wahrgenommen. Einem Compliance-Officer kann unter bestimmten Voraussetzungen eine strafrechtliche Garantenstellung zukommen, sofern er seine dienstlichen Pflichten vernachlässigt und dies zu strafrechtlich relevanten Schäden führt.7 Die von der Unternehmensleitung erlassenen unternehmensinternen Regelwerke betreffen in der Regel dieBeschäftigten , die als Adressaten die Ge- und Verbote zu beachten haben. Sie sehen sich zugleich Überwachungsmaßnahmen der Unternehmensleitung ausgesetzt, die der Compliance dienen sollen. Unter Umständen werden derartige Regelwerke aufgrund von gesetzlichen Mitbestimmungsrechten mit der betrieblichenBeschäftigtenvertretung abzustimmen sein. Statuiert die Unternehmensleitung für die Beschäftigten beispielsweise eine Meldepflicht bei Rechtsverstößen, richtet sie in der Regel eine Stelle ein, die solche Meldungen entgegennimmt und verarbeitet. Derartige Meldungen sind die Meldenden oft heikel, insbesondere wenn die Mitteilungen direkte Vorgesetzte betrifft. Funktionsvoraussetzung für ein Meldewesen ist deshalb in aller Regel die Zusicherung von Vertraulichkeit. Um diese Vertraulichkeit zu gewährleisten nehmen nicht selten «neutrale», externeOmbudsleute die Rolle der Meldestelle wahr. In den eingangs erwähnten Datenschutzskandalen erfolgte die Beschäftigtenkontrolle häufig nicht allein durch die Compliance-Abteilung. Vielmehr wurdenexterne Dienstleister eingeschaltet, was nicht generell rechtswidrig sein muss, aber stets zu einer besonders sorgfältigen Prüfung der Rechtmäßigkeit der Maßnahme Anlass gibt.

2.2.

Charakter von unternehmensinternen Vorgaben ^

[9]

Der Unternehmensleitung stehen in der Regel mehrere Optionen zur Verfügung, wie sie Beschäftigte auf Compliance-Richtlinien verpflichtet.

[10]

Zunächst kann sie von ihrem beschäftigungsvertraglichenDirektionsrecht Gebrauch machen. Dieses Weisungsrecht gibt dem Beschäftigungsgeber im Rahmen der Billigkeit die Möglichkeit, die beschäftigungsrechtlichen Vertragspflichten der Beschäftigten näher zu konkretisieren, vgl. § 106 GewO, § 315 BGB. Als eine wesentliche Grenze dieser einseitigen Regelungsbefugnis hat er insbesondere die Grundrechte der Beschäftigten zu beachten. Neue Verpflichtungen für die Beschäftigten kann der Beschäftigungsgeber durch sein Weisungsrecht nicht schaffen.8 Die Unternehmensleitung kann Compliance-Regeln auch im Wege vonbeschäftigungsvertraglichen Vereinbarungen verbindlich einführen. Dieser Weg kann geboten sein, wenn für Beschäftigte neue Pflichten begründet werden sollen, die vom Direktionsrecht nicht mehr abgedeckt sind. Standardisierte vertragliche Compliance-Regeln, wie sie in Großunternehmen üblich sind, unterliegen der allgemeinen Inhaltskontrolle für Standardarbeitsbedingungen gemäß §§ 305 ff. BGB. Compliance-Regeln können schließlich auch im Rahmen einerBetriebsvereinbarung bzw. Dienstvereinbarung eingeführt werden. Aus datenschutzrechtlicher Sicht stellt eine solche Kollektivvereinbarung eine Rechtsvorschrift im Sinne des § 4 Abs. 1 BDSG dar. Sie kann damit auch bestimmte Verarbeitungen personenbezogener Daten legitimieren, die durch gesetzliche Vorschriften nicht gerechtfertigt wären. Allerdings sieht § 75 Abs. 2 BetrVG dazu vor, dass die Betriebspartner das allgemeine Persönlichkeitsrecht der im Betrieb beschäftigten Arbeitnehmer «zu schützen und zu fördern» haben. Betriebsvereinbarungen müssen mithin im Einklang mit höherrangigem Recht stehen und insbesondere mit dem grundrechtlich gewährleisteten allgemeinen Persönlichkeitsrecht vereinbar sein.9 Entsprechendes gilt für Dienstvereinbarungen bei öffentlichen Stellen.

2.3.

Umsetzung von Compliance ^

[11]

Ein Unternehmen verhält sich compliant, wenn alle seine Akteure rechtskonform handeln. Um dies zu erreichen, werden typischerweise mindestens drei Arten10 von organisatorischen Maßnahmen getroffen.

[12]

Zu organisatorischen Maßnahmen gehört es regelmäßig, eineSensibilisierung für Compliance-Themen bei Management und Beschäftigten zu erzeugen. Dies kann unter anderem durch vertragliche Festlegungen, einen unternehmenseigenen Ethikkodex, durch besondere Weisungen und Schulungen geschehen. Die Einhaltung unternehmensinterner Vorschriften wird überdies durchÜberwachungsmaßnahmen kontrolliert. Für die rechtliche Beurteilung derartiger Maßnahmen ist es relevant, ob sie zur (meist) nachträglichen Aufklärung eines konkreten Schadensfalls erfolgt, ob sie eine verdachtsfreie Kontrolle darstellt oder zu rein präventiven Zwecken erfolgt. Beispiele hierzu sind Whistleblower-Hotlines, Screenings und Drogentests. Ergeben solche Ermittlungen Verstöße, muss das Unternehmen entscheiden, ob es gegenüber dem BetroffenenSanktionen verhängt.

3.

Datenschutz ^

3.1.

Datenschutz als Schutzgegenstand von Compliance ^

[13]

Soweit Compliance die Einhaltung von Gesetzen betrifft,zählt Datenschutz zum Schutzgegenstand von Compliance. Es ist selbstverständlich, dass bei der Verarbeitung personenbezogener Daten datenschutzgesetzliche Regelungen insbesondere des BDSG (oder des einschlägigen LDSG) ebenso wie andere Gesetze eingehalten werden.

[14]

Compliance-Maßnahmen mit Bezug auf den Schutzgegenstand Datenschutz sind die Erstellung eines Verfahrensverzeichnisses nach §§ 4d, 4e BDSG, die Bestellung eines betrieblichen Datenschutzbeauftragten nach § 4f BDSG, die Verpflichtung der Beschäftigten auf das Datengeheimnis nach § 5 BDSG, Schulungen nach § 4g Abs. 1 Nr. 2 BDSG, die Vorabkontrolle nach § 4d Abs. 5, 6 BDSG sowie die laufende Kontrolle nach § 4g Abs. 1 Nr. 1 BDSG. In gewisser Weise verordnet das BDSG damit ausdrücklich eine ganze Reihe organisatorischer Maßnahmen zum Schutz des Persönlichkeitsrechts von Personen, die von der unternehmenseigenen Verarbeitung personenbezogener Daten betroffen sein können. Das Erstellen einer Privacy Policy11 oder das Durchführen von Audits12 sind nicht unmittelbar gesetzlich geforderte Vollzugsmaßnahmen, die ebenfalls der Datenschutz-Compliance dienen.

3.2.

Datenschutz als Maßstab für Compliance ^

[15]

Geht der Schutzgegenstand der unternehmenseigenen «Compliance» über die Einhaltung gesetzlicher Vorschriften hinaus, kann bereits diese «überschießende Compliance» durchaus gegen geltendes Datenschutzrecht verstoßen. Der Schutzgegenstand von Compliance muss seinerseits rechtskonform sein. Im Rahmen der datenschutzrechtlichen Bewertung empfiehlt es sich deshalb, alle in Betracht kommenden Determinanten darauf hin zu überprüfen, welche Faktoren zu einem Non-Compliance-Fall geführt haben.

[16]

Der Gesetzgeber hält die Unternehmen einiger Wirtschaftsbranchen zwar ausdrücklich dazu an, innerorganisatorische Maßnahmen zu treffen.13 Leider hat er es insoweit bis Mitte des Jahres 2009 versäumt, dazu konkrete Datenverarbeitungsregeln zu erlassen.14 Bei der Implementierung von Compliance ist deshalb darauf zu achten, dass sich verantwortliche Stellen sich zu Compliancefragen so positionieren, dass sie sich selbst nicht in Widerspruch zum deutschen Recht setzen. Notfalls müssen internationale Standards an das deutsche Datenschutzrecht angepasst werden.15

[17]

In den Datenschutzaffären der vergangenen beiden Jahre hat der Bundesgesetzgeber nunmehr endlich einen hinreichenden Grund gesehen, die seit Jahren verschiedentlich geforderte16 gesetzliche Regelung des Beschäftigtendatenschutzes endlich in Angriff zu nehmen. Hierzu hat er bislang lediglich einen neuen § 32 BDSG verabschiedet, dessen Regelungsgehalt nicht nur Arbeitnehmer, sondern auch sonstige Beschäftigte erfasst.17 Allerdings kündigte die Bundesregierung der 16. Legislaturperiode an, diese Vorschrift lediglich als einen ersten Schritt zur gesetzlichen Verankerung des Arbeitnehmerdatenschutzes zu begreifen.18

4.

Datenschutzrechtliche Bewertung des § 32 BDSG anhand von Fallbeispielen ^

[18]

Fallbeispiele von massenhaften Kontodatenabgleichen, Drogenscreenings und Whistleblower - Meldesystemen (Hotlines und internetbasierten Meldeplattformen) zeigen, dass § 32 BDSG nur bedingt hilft, um datenschutzrechtliche Fragen zu Compliance zu beantworten.

[19]

§ 32 Abs. 1 BDSG kann zu mehr Rechtsklarheit führen, wenn eine verantwortliche Stelle allein die nachträgliche Aufdeckung von Straftaten anstrebt. Die Vorschrift wurde eingeführt, um denmassenhaften Abgleich von Kontodaten beschäftigter Personen mit anderen Kontodatenbeständen (z.B. von Lieferanten) zu begrenzen. Derartige Massenabgleichverfahren können in der Praxisnur maschinell durchgeführt werden. Ihnen kommt qualitativ eine andere erhebliche (objektive) Grundrechtsbedeutung zu als Maßnahmen, die sich lediglich auf eine bestimmte Person beziehen. Die serielle Erfassung von Informationen führt zu einer großen Streubreite der Maßnahme, steigert das Risiko eines Missbrauchs und kann das Gefühl aller (potentiell) Betroffenen des Überwachtseins erzeugen.19 Ein Screening hat jedenfalls für «Trefferfälle» ein erhebliches Eingriffsgewicht. Solche Trefferfälle begründen einen Verdacht, der sich Prüferfahrungen zufolgeüberwiegend nicht bestätigt . Insoweit geht es fehl, hinsichtlich massenhafter Kontodatenabgleiche generell einen Vorrang von Arbeitgeberinteressen an der Korruptionsbekämpfung anzunehmen.20 Was die Erforderlichkeit des Abgleichs anbelangt, können nach § 32 Abs. 1 Satz 1 allenfalls Personen überprüft werden, dieaufgrund ihrer Funktion korruptionsrelevante Handlungen vornehmen können. Sofern man nicht meint, dass das Trennungsgebot nach Nr. 8 der Anlage zu § 9 Satz 1 von vorneherein einen Abgleich von Beschäftigtendaten und Kundendaten verbiete,21 muss sichergestellt sein, dass dieschutzwürdigen Belange der betroffenen Personen («Trefferfälle»)verfahrensrechtlich gewahrt sind. Dazu ist beispielsweise zuvor zu klären, welche Anschlussermittlungen an Treffer geknüpft werden, unter welchen Voraussetzungen die personenbezogenen Daten der «Trefferfälle» gespeichert werden dürfen und wann sie gelöscht werden müssen usw. Spätestens wenn Nachermittlungen zu einem Trefferfall nicht zu einer Erhärtung des Verdachts von Fehlverhalten führen, sind die Daten gemäß § 35 Abs. 2 Nr. 3 BDSG unverzüglich zu löschen.

[20]

Soweit Maßnahmen die Aufklärung eines vergangenen Rechtsverstoßesunterhalb der Strafbarkeitsschwelle betreffen, ist es bereits klärungsbedürftig, ob sie nach § 32 Abs. 1 Satz 1 BDSG möglich oder aufgrund von Wertungswidersprüchen zu Satz 2 unzulässig sind. Soll eine Kontrollmaßnahme sowohl präventiv als auch zur Aufklärung von Straftaten dienen, gibt § 32 Abs. 1 BDSG keine Hilfestellung, inwieweit Abs. 1 Satz 1 oder Satz 2 anzuwenden ist. Für präventiv wirkende Maßnahmen stellt Satz 1 im Übrigen keine nennenswerte Konkretisierung gegenüber § 28 Abs. 1 Nr. 1 BDSG dar. DasVerbot des Drogenkonsums (Alkoholkonsum eingeschlossen) beispielsweise ist ein häufiger Bestandteil von Ethikrichtlinien.22 Datenschutzrechtlich relevant sind vor Allem die Regelungen zurKontrolle der Einhaltung von Drogenkonsumverboten. Nach der Rechtsprechung des Bundesarbeitsgerichts ist ein Arbeitnehmerregelmäßig nicht verpflichtet,im laufenden Arbeitsverhältnisroutinemäßigen Blutuntersuchungen zur Klärung der Frage zuzustimmen, ob er alkohol- oder drogenabhängig ist.23 Nach der bisherigen Rechtsprechung ungeklärt sind die heute in der Praxis weiterhin streitigen Fragen, ob und unter welchen Bedingungen ein Beschäftigungsgeberbei der Einstellung Blutuntersuchungen zur Abklärung von Drogenabhängigkeit verlangen kann. Hierzu wird vertreten, dass ein Beschäftigungsgeber anlässlich einer Einstellungsuntersuchung einen Drogentest bereits dann verlangen kann, wenn eine Alkohol- oder Drogenabhängigkeit des Bewerbers seine Eignung für den Arbeitsplatz entfallen lässt.24 Nach anderer Auffassung sind Drogentests nahezu generell unzulässig.25

[21]

Hilft der neue § 32 BDSG in solchen Fällen? Bei Drogentests aufGrundlage einer Betriebsvereinbarung findet § 32 BDSG keine Anwendung, weil sie eine Rechtsvorschrift im Sinne des § 4 Abs. 1 BDSG darstellt und § 32 BDSG andere Rechtsvorschriften regelmäßig unberührt lässt.26 Bei der Beurteilung der Frage ist die Verpflichtung der Betriebspartner nach § 75 Abs. 2 BetrVG zu berücksichtigen, die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern. Die Durchführung von generellen Drogentestsohne Ansehung der Schadensneigung der konkreten Beschäftigung wäre vor diesem Hintergrund wohl datenschutzrechtlich unzulässig. Kontrollen, dieauf Grundlage eines Arbeitsvertrags erfolgen bzw. aus dem Direktionsrecht abgeleitet werden sollen, sind demgegenüber an § 32 BDSG zu messen. Die Vorschrift soll die von der Rechtsprechung erarbeiteten Grundsätze des Datenschutzes im Beschäftigungsverhältnis zusammenfassen und dabei § 28 Abs. 1 Nr. 1 BDSG verdrängen, der die Erhebung und Verwendung von Daten zur Vertragserfüllung betrifft.27 § 32 Abs. 2 BDSG stellt zumindest klar, dass die grundsätzliche Einschränkung des Anwendungsbereichs des BDSG auf automatisierte Verarbeitungen und Verarbeitungen in oder aus nichtautomatisierten Dateien für das Beschäftigungsverhältnis nicht gelten soll. Bei nicht auf automatisierte Datenverarbeitung basierenden Drogentests würde § 32 Abs. 1 BDSG Anwendung finden, während § 28 Abs. 1 BDSG nicht anwendbar wäre. Eine weitergehende Hilfe dürfte § 32 Abs. 1 BDSG jedoch kaum bieten. Im Gegenteil wirft er die Schwierigkeit auf, durch eine sachgerechte Auslegung von § 32 Abs. 1 Satz 1 BDSG Wertungswidersprüche zu Abs. 1 Satz 2 zu vermeiden. Die Einrichtung vonWhistleblower-Meldesystemen (Hotlines und internetbasierten Meldeplattformen) etwa wirft datenschutzrechtliche Probleme auf, weil und soweit sie die anonyme Meldung vonvorhandenen Missständen ermöglichen sollen. Auch sie dienen damit in erster Linie nicht präventiven Zwecken, sondern der Aufklärung vonbegangenen Rechtsverstößen. Jedenfalls soweit es um die Meldung von angeblichen Straftaten geht, sind die Verarbeitungsprozesse an § 32 Abs. 1 Satz 2 BDSG zu messen. Während bei Hotlines eine rechtskonforme Verfahrensausgestaltung denkbar ist, findet bei einerinternetbasierten Meldeplattform nahezu zwangsläufigzunächst eine Erfassung von personenbezogenen Daten «angeschwärzter Personen» statt, bevor sie gesichtet und bewertet werden. Derartige Plattformen sind damit zwangsläufig auf die Erfassung überschießender personenbezogener Daten gerichtet und genügen insoweit jedenfalls nicht den Anforderungen des § 32 Abs. 1 Satz 2 BDSG.

[22]

Insgesamt gesehen bietet § 32 BDSG keinen wesentlichen Beitrag zu einem angemessenen Arbeitnehmerdatenschutz. Insbesondere werden vorbeugende Maßnahmen nicht normenklar geregelt. Es wäre deshalb folgerichtig, wenn der angekündigte Weg einer weitergehenden gesetzlichen Regelung des Arbeitnehmerdatenschutzes beschritten wird, wie es im Koalitionsvertrag der Bundesregierung der 17. Legislaturperiode vorgesehen ist.28


Thomas Petri, Bayerischer Landesbeauftragte für den Datenschutz
Wagmüllerstraße 18
80538 München, DE
dsb@datenschutz-bayern.de

  1. 1 Blickpunkt Bundestag Spezial, Datenschutz im Informationszeitalter, 5 (Berlin, Oktober 2008). Zu den Vorfällen bei der Telekom vgl. Deutsche Telekom, Datenschutzbericht 2008, S. 6-11, zur Aufarbeitung seitens des Konzerns 12-22.
  2. 2 Vgl. Presseerklärung Innenministerium BW vom 6.11.2009: «Einstellungstests bei der Daimler AG: Abstimmung der Datenschutzaufsichtsbehörden läuft». Die Behörde sah sich dabei veranlasst, ausdrücklich darauf hinzuweisen, dass die Rechtslage ungeklärt sei und die Bewertung als Datenschutzskandal nicht rechtfertige.
  3. 3 Vgl. Meier-Greve, BB 2009, 2555 u.a. mit Hinweis auf Peltzer/Müller, Die Haftung von Vorstand, Aufsichtsrat, Wirtschaftsprüfer, 2008, § 4, Rn. 111; Wisskirchen/Lützeler, AuA 2009, 509 ff.; Wybitul, BB 2009, 1582.
  4. 4 Vgl. Regierungskommission, Deutscher Corporate Governance Kodex, Fassung vom 18.6.2009, Präambel.
  5. 5 DCGK, Präambel, 2.
  6. 6 Beispielsweise war Gegenstand der Presseberichterstattung, dass die Deutsche Bahn zur Korruptionsbekämpfung die Kontonummern der Gehaltskonten ihrer Mitarbeiter durch eineexterne Sicherheitsfirma mit den Konten ihrer Lieferanten und Dienstleister abgleichen ließ. Zum Sachverhalt vgl. Diller, BB 2009, S. 438. Von der Spähaktion betroffen waren nicht nur Beschäftigte der Bahn, sondern auch deren Partner(innen), vgl. Bauer in JUVE Rechtsmarkt 03/09, S. 59. Zur rechtlichen Bewertung siehe nachfolgend unter Abschnitt 3.
  7. 7 Vgl. BGH v. 17.7.2009 – 5 StR 394/08.
  8. 8 Ganz h.M., vgl. Meyer, NJW 2006, 3605, 3608, zustimmend Mengel, Compliance und Arbeitsrecht, München 2009, Kap.1 Rn. 4 mit zahlreichen Nachweisen.
  9. 9 St. Rspr. vgl. z.B. BAGE 111, 173, zu B I 2 a der Gründe, m.w.N. – Betriebliche Videoüberwachung II.
  10. 10 Ähnlich Fox, DuD 2008, 409, 410.
  11. 11 Dazu Petri, in Bäumler/Breinlinger/Schrader (Hg), Datenschutz von A bis Z (Loseblatt), Stichwort Privacy Policy.
  12. 12 Vgl. statt vieler Ulmer, RDV 2008, 15 ff.
  13. 13 Beispielsweise § 33 WpHG für den Bereich des Wertpapierhandels zur Vermeidung des Insiderhandels. Dazu vgl. statt vieler Karg, CuA 2009, S. 13 ff.; Scherp/Stief BKR 2009, 404 ff.
  14. 14 So zu Recht Karg, CuA 11/2009, 13, 14.
  15. 15 Auf diesen Aspekt weist Mengel, Compliance und Arbeitsrecht, München 2009, Kap. 3 Rn. 4 zu Recht hin.
  16. 16 Angesprochen ist damit auch die stets wiederkehrende Forderung nach einem Arbeitnehmerdatenschutzgesetz insbesondere in der abgelaufenen Legislaturperiode, vgl. Deutscher Bundestag, Entschließung vom 28. März 2007, BT-Drs. 16/4882; Antrag der Fraktion der FDP, Schutz von Arbeitnehmerdaten durch transparente und praxisgerechte Regelungen gesetzlich absichern, BT-Drs. 16/12670; Antrag der Fraktion Die Linke, Datenschutz für Beschäftigte stärken, BT-Drs. 16/11376; Antrag der Fraktion der FDP, Datenschutz im nichtöffentlichen Bereich verbessern, BT-Drs. 16/9452, S. 4-5; Antrag der Fraktion Bündnis90/Die Grünen: «Persönlichkeitsrechte abhängig Beschäftigter sichern – Datenschutz am Arbeitsplatz stärken.», BT-Drs. 16/9311; Antrag der Fraktion Bündnis90/Die Grünen, Rechte der Beschäftigten von Discountern verbessern, BT-Drs. 16/9101; Anfrage der Fraktion der FDP, Arbeitnehmerdatenschutz, BT-Drs. 16/8939 mit Antwort der BReg, BT-Drs. 16/9178; zur Fachliteratur vgl. z.B. Mester, Arbeitnehmerdatenschutz – Notwendigkeit und Inhalt einer gesetzlichen Regelung, Oldenburg 2008, Fazit auf 329.
  17. 17 Zum Beschäftigtenbegriff vgl. die neue Legaldefinition in § 3 Abs. 11 BDSG.
  18. 18 Vgl. BT-Drs. 16/12011, 53.
  19. 19 Gefestigte Rechtsprechung, vgl. z.B. BVerfGE 107, 299, 328.
  20. 20 So aber offenbar Diller, BB 2009, S. 439. Sofern er nachfolgende Voraussetzung als erfüllt ansehen sollte, tut er dies stillschweigend.
  21. 21 So Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, 3. Aufl. 2010, § 28, Rn. 28.
  22. 22 Vgl. dazu u.a. Bengelsdorf, Das Alkohol- und Drogenverbot der Betriebsparteien, in Bauer u.a. (Hg.), Festschrift für Herbert Buchner, München 2009, 108 ff.
  23. 23 BAG, NJW 2000, 604 ff.
  24. 24 So im Ergebnis Diller/Powietzka, NZA 2001, 1227 ff.
  25. 25 Vgl. Wedde in Sommer u.a. (Hg), Im Netz@work, 2003, 68 f.
  26. 26 Vgl. BT-Drs. 16/13657, S. 35. Die dort ebenfalls erwähnte Einwilligung müsste freiwillig sein, was im Arbeitsverhältnis häufig nicht gegeben sein dürfte, vgl. Karg, CuA 11/2009, S. 13, 14 mit Hinweis auf die entsprechende Auslegungspraxis der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich.
  27. 27 Vgl. BT-Drs. 16/13657, 34 f.
  28. 28 Vgl. Koalitionsvertrag zwischen CDU, CSU und FDP der 17. Legislaturperiode, «Wachstum. Bildung. Zusammenhalt», 106/132 unter «Arbeitnehmerdatenschutz».