Grundregeln bei internen Ermittlungen
Hilfsinspektor CIO
Und wie verfährt man, wenn konkrete Verdachtsmomente gegen einen Einzelnen vorliegen und der Eingriff gut begründet scheint? Dann müssen ein Unternehmensjurist, der Datenschutzbeauftragte und Arbeitnehmervertreter benachrichtigt werden. Wichtig ist es, die Handhabung der Daten sorgfältig zu dokumentieren. Eindeutig private Daten, etwa bestimmte E-Mail-Nachrichten, dürfen nicht eingesehen werden, können aber unter Umständen - für den Fall, dass man sie als Beweismittel eventuell benötigt – digital eingefroren werden.
"Das Problem in solchen Situationen ist oft, dass unter Zeitdruck viel entschieden werden muss, das später gewichtige Folgen haben kann", sagt Franz-Josef Schillo. Wer etwa beim Umgang mit Daten, die als Beweismittel dienen sollen, Fehler macht, riskiert, dass sie in einem Gerichtsverfahren nicht mehr genutzt werden können. Wer Datenschützer oder Betriebsräte nicht einbezieht, riskiert unter Umständen nicht nur juristischen Ärger, sondern belastet die Zusammenarbeit zwischen Fachabteilungen und das Verhältnis zu den Mitarbeitervertretern.
Szenario im Vorfeld überlegen
Um das zu vermeiden, raten Anwälte dazu, kompakte, einfache Handlungsanweisungen für unterschiedliche Szenarien zu entwickeln und diese mit dem Betriebsrat sowie dem Datenschutzbeauftragten abzustimmen. Was passiert, wenn Themen wie "Mitarbeiter gibt Firmengeheimnisse weiter" oder "Externe Behörde ermittelt wegen Korruptionsverdacht" im Raum stehen? Wer muss benachrichtigt werden? Welche Rechte sind in welchem Fall zu berücksichtigen? "Ich muss bei jedem Szenario überlegen, wie ich vorgehe", sagt Schillo. "Wie werden im Fall X die Arbeitnehmerrechte gewahrt, wie wird im Fall Y die Privatheit garantiert? Dann habe ich eine Check- und Beteiligungsliste, die ich abhaken kann, und renne im Ernstfall nicht kopflos herum."
Auch Ex-CIO Jürgen Resch rät den IT-Verantwortlichen, pro-aktiv ihre Hausaufgaben zu machen, damit im Falle eines Falles keine Pannen passieren. "Jeder braucht einen schriftlichen Waschzettel, auf dem all das steht. Es reicht nicht, wenn der CIO das nur im Kopf hat. Vielleicht ist er, wenn genau dieses Wissen gefragt ist, gerade im Urlaub oder aus anderen Gründen nicht zu erreichen", sagt er. "In meiner Zeit bei Bayer war das Vorgehen im Falle eines Falles immer klar geregelt. Das hat dazu geführt, dass alle Abteilungen auch in kniffligen Situationen gut und entspannt zusammenarbeiten konnten."
BDSG - Drei Paragrafen, die Sie kennen sollten |
§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke "Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen." § 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses "Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten ... nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind." § 33 Benachrichtigung des Betroffenen "Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen." Quelle: Bundesdatenschutzgesetz |