Grundregeln bei internen Ermittlungen
Hilfsinspektor CIO
Auch das neue BDSG ist unklar
Er versäumte es aber, für die Praxis klipp und klar zu definieren, was geht und was nicht. "Schon das alte BDSG war unübersichtlich. Es enthielt kaum brauchbare und klare Vorgaben, was genau erlaubt und was verboten ist", kritisiert Tim Wybitul, Experte für Compliance und Datenschutz bei der internationalen Kanzlei Mayer Brown. "Dies erschwert es Managern ganz erheblich, belastbare Entscheidungen über den Arbeitnehmerdatenschutz im Rahmen von Compliance-Maßnahmen in ihrem Unternehmen zu treffen. Diese Unklarheiten bei der Planung interner Ermittlungen wurden durch das neue BDSG nicht beseitigt."
Immerhin aber gibt es einige Grundregeln, die CIOs zeigen, welche Ermittlungsformen zulässig sind. Die wichtigste Regel lautet, dass es nicht erlaubt ist, die Daten vieler einzusehen um einzelne Missetäter dingfest zu machen. Zurückhaltung, gezieltes Vorgehen und Verhältnismäßigkeit der Mittel sind die Gebote der Stunde.
Wenn jemand Mails oder Verbindungsdaten einsehen möchte, müssen tatsächliche Anhaltspunkte vorliegen, warum das notwendig ist. Abstrakte Verdachtsmomente oder der Wunsch, einfach mal zu erfahren, was so läuft, reichen nicht aus. Massen-Screenings wurden bisher oft von spezialisierten IT-Fachleuten und Wirtschaftsprüfungsgesellschaften eingesetzt, zum Beispiel um Kickback-Zahlungen an korrupte Einkaufsmitarbeiter im Firmendatenwust aufzuspüren. Ihre Zulässigkeit war allerdings bereits nach dem alten Datenschutzrecht äußerst umstritten.
Die Gesetzesnovelle macht sie nun fast unmöglich. "Vor allem der systematische Abgleich von Arbeitnehmerdaten mit anderen Quellen ist nur noch zulässig, wenn tatsächliche Anhaltspunkte dafür vorliegen, dass Straftaten begangen worden sind - und sich das Unternehmen bei seinen Ermittlungen auf die tatsächlich betroffenen Abteilungen beschränkt", sagt Wybitul. Auch die Durchsicht von E-Mails oder die Überprüfung von IT-Nutzerprotokollen ohne konkrete Verdachtsmomente dürfte allenfalls noch in Ausnahmefällen erlaubt sein.
Wie aber soll ein CIO reagieren, wenn jemand von der Revision an ihn wegen einer IT-Rasterfahndung heran tritt? "Mittlerweile würde ich sagen, nein, tut mir Leid, das kann ich nicht ohne Anlass machen", sagt der IT-Fachanwalt Schillo. "Erkläre mir bitte, was du tun willst und warum das nötig ist." Die Taten, die aufgeklärt werden sollen, müssen zudem strafbar sein oder schwere Verfehlungen darstellen. Einfache Verstöße gegen den Arbeitsvertrag reichen nicht aus, um so einen Eingriff zu begründen.