Compliance Management im Unternehmen. Martin R. Schulz

Чтение книги онлайн.

СКАЧАТЬ Betriebsrat aus Gründen der Prävention regelmäßig ein großes Aufklärungsinteresse besitzen und die Verfahren nachhaltig betreiben.

      209

Bereits bei einer der Standardmaßnahmen interner Ermittlungen, einer Auswertung des elektronischen Datenbestands (sog. „eSearch“), können etwa die Straftatbestände des Ausspähens von Daten gemäß § 202a Abs. 1 StGB, der Verletzung des Post- oder Fernmeldegeheimnisses gemäß § 206 Abs. 1 StGB sowie auch und insbesondere der unbefugten Datenverarbeitung gemäß § 44 Abs. 1 i.V.m. § 43 Abs. 2 Nr. 1 BDSG verwirklicht werden. Entscheidend ist hierbei die Ausgangsfrage, ob die auszuwertenden elektronischen Daten, etwa der E-Mail-Account des verdächtigen Mitarbeiters, Daten des Unternehmens oder (auch) Daten des Mitarbeiters sind. Nach einer weitverbreiteten Auffassung ist der Arbeitgeber, der seinen Organmitgliedern und Mitarbeitern auch nur die maßvolle private Nutzung der IT-Infrastruktur sowie der Kommunikationsmedien des Unternehmens gestattet oder sie auch nur duldet, als Telekommunikationsanbieter im Sinne des Telekommunikations-gesetzes (TKG) zu qualifizieren und unterliegt damit dem Fernmeldegeheimnis gemäß § 88 TKG. Nach § 3 Nr. 10 TKG ist das nachhaltige Angebot von Telekommunikation mit oder ohne Gewinnerzielungsabsicht bereits ein geschäftsmäßiges Erbringen von Telekommunikationsdiensten und zwar auch dann, wenn das Unternehmen seine Telekommunikationseinrichtungen den Mitarbeitern auch für private und wirtschaftliche Zwecke zur Verfügung stellt. Damit wiederum ist dann der Anwendungsbereich des Straftatbestandes des § 206 StGB, der Verletzung des Post- oder Fernmeldegeheimnisses, eröffnet.233

      210

      Die Problematik besteht dann darin, dass eine Rechtfertigung insoweit lediglich aus dem Normengeflecht des TKG erfolgen kann, so etwa gemäß § 100 Abs. 1 TKG, wenn der Eingriff zur Beseitigung von Störungen erforderlich ist, oder gemäß § 100 Abs. 3 TKG im Falle des Vorliegens von Anhaltspunkten für eine rechtswidrige Inanspruchnahme eines Telekommunikationsdienstes, etwa im Fall der Leistungserschleichung. Dies ist jedoch im Falle interner Ermittlungen regelmäßig nicht der Fall.

      211

Die zwischenzeitlich herrschende Auffassung sieht jedoch den Schutzbereich des TKG im Unternehmenskontext als erst gar nicht eröffnet an. Da § 88 TKG nur die dynamische Übertragung und nicht etwa (auf dem Unternehmensserver) ruhende Mails erfasse und der Arbeitnehmer auch kein Dritter im Sinne von § 3 Nr. 10 TKG sei, sei der Zugriff auf Arbeitsplatzrechner und/oder E-Mails des Mitarbeiters nicht am Fernmeldegeheimnis, sondern nur am Bundesdatenschutzgesetz zu messen mit der Folge, dass sich eine etwaige Strafbarkeit allenfalls aus den §§ 43, 44 BDSG ergebe.234

      212

Da die Auswertung elektronischer Daten im Rahmen eines eSearchs auch eine Datenverarbeitung im Sinne von Art. 5 DSGVO ist, besteht jedoch das Risiko einer Ordnungswidrigkeit bzw. einer Strafbarkeit gemäß §§ 41ff. BDSG i.V.m. Art. 83 DSGVO. Ordnungswidrig handelt insoweit, wer vorsätzlich oder fahrlässig unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet. Wird eine derartige Handlung dazu „gegen Entgelt“ oder „in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen“, begangen, so stellt dieser Verstoß zudem auch noch eine Straftat dar. Da nur eine unbefugte Datenerhebung bzw. -verarbeitung (straf-) rechtlich relevant ist, unterliegt eine derartige Compliance-Maßnahme dem Erfordernis einer Rechtfertigung aus dem Datenschutzrecht. Eine solche Rechtfertigung kann im Einzelfall in einer konkreten Einwilligung im Sinne von Art. 7 DSGVO oder etwa aufgrund einer abgeschlossenen Betriebsvereinbarung bestehen, die Voraussetzungen dieser beiden Einwilligungstatbestände sind jedoch komplex.235 Regelmäßig wird eine Rechtfertigung aus § 26 Abs. 1 S. 1 BDSG bzw. bei der Aufdeckung von Straftaten gemeinsam mit § 26 Abs. 1 S. 2 BDSG erforderlich sein. Die Erfüllung der Anforderungen des § 26 BDSG sind jedoch nicht unerheblich und müssen im Detail geprüft und dokumentiert werden. Probleme entstehen in der Praxis regelmäßig bei der gleichzeitigen Auswertung der Daten nicht verdächtiger Mitarbeiter, bei der nicht hinreichenden Dokumentation des erforderlichen Anfangsverdachts, im Falle der Nichteinhaltung des Mitbestimmungsrechts des Betriebsrates oder auch der Nichtberücksichtigung des Verhältnismäßigkeitsprinzips. Eine konkretere Darstellung würde den Rahmen dieses Kapitels jedoch sprengen, so dass auf die Ausführungen im Kapitel 11 (Datenschutz) verwiesen werden muss.

      213

Das Risiko einer Strafbarkeit wegen des Ausspähens von Daten gemäß § 202a Abs. 1 StGB durch interne Ermittlungen ist regelmäßig gering, da der Tatbestand des § 202a Abs. 1 StGB lediglich das Ausspähen von Daten umfasst, die besonders gesichert sind, etwa durch einen Kennwortschutz, wofür die Vergabe eines allgemeinen dienstlichen Nutzerpasswortes nicht ausreichend ist.236 Der Tatbestand des § 202a Abs. 1 StGB erfasst in erster Linie das sog. „Hacking“ unter Einsatz von Trojanern oder vergleichbaren Programmen. Werden ausschließlich dienstliche E-Mails „gehackt“, scheidet eine Strafbarkeit gemäß § 202a Abs. 1 StGB bereits deswegen aus, weil derartige E-Mails alleine dem Arbeitgeber zuzuordnen sind.237

      214

Auch bei der Durchführung von Compliance-Interviews bestehen strafrechtliche Risiken. Einerseits ist das Beschaffen von Daten auch auf diesem Wege eine Datenerhebung im Sinne von Art. 5 DSGVO mit der Folge, dass auch hier das Risiko eines Verstoßes gegen die §§ 40ff. BDSG (s.o.) besteht. Andererseits werden in der Praxis im Rahmen der Durchführung von Compliance-Interviews häufig Handlungen vorgenommen, die rechtlich lediglich einem Amtsträger zustehen, etwa die Erteilung einer Belehrung im Sinne von § 136 StPO, die Durchsuchung des Befragten während des Interviews oder die Beschlagnahme mitgebrachter (privater) Gegenstände. Auch wenn der Ermittler sich hierbei nicht als Amtsträger geriert, was allerdings im Falle einer sog. mock dawn raid durchaus vorkommen soll, kann hier der Tatbestand der Amtsanmaßung gemäß § 132 Var. 2 StGB, die sog. „Amtshandlungsanmaßung“, erfüllt sein. Nach der Rechtsprechung muss eine derartige Handlung nicht einmal alle Voraussetzungen einer rechtmäßigen Amtshandlung erfüllen, es komme nur darauf an, ob die Handlung einem objektiven Beobachter als hoheitliches Handeln erscheine.238

      215

Auch die Ermittlung und Speicherung privater telefonischer Verbindungsdaten oder gar die Durchführung konkreter Abhörmaßnahmen ist in der Compliance-Praxis bereits beobachtet worden. Das insoweit unbefugte Verarbeiten von personenbezogenen (Verbindungs-)Daten verstößt bereits gegen die DSGVO; wird ein solcher Verstoß etwa von einem Dienstleister entgeltlich begangen, so ist auch der Straftatbestand des § 42 BDSG erfüllt. Dass derartige Maßnahmen ebenfalls die Straftatbestände des § 206 StGB sowie der Verletzung der Vertraulichkeit des Wortes gemäß § 201 Abs. 1 StGB erfüllen, liegt insoweit auf der Hand.239 Wendet der Geschäftsherr für derartige – strafrechtlich relevante – Maßnahmen dann auch noch Mittel des Unternehmens auf, bezahlt er also mitunter sechsstellige Beträge an externe Dienstleister für eine derartige „Aufklärung“, so besteht darüber hinaus auch noch das Risiko der Untreue gemäß § 266 Abs. 1 StGB durch die Bezahlung derart rechtswidriger Ermittlungsmaßnahmen aus dem Unternehmensvermögen.240

      1 Erlass des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) v. 27.4.1998, hierzu später ausführlicher. 2 KonTraG, Gesetz v. 27.4.1998, BGBl. I 1998, 786. 3 KorrBekG, Gesetz v. 13.8.1997, BGBl. I 1997, 2038. 4 Gesetz zur Bekämpfung der Korruption v. 20.11.2015, BGBl. I 2015, 2025. 5 48. Strafrechtsänderungsgesetz vom 23.4.2014, BGBl. I 2014, 410 (Geltung ab dem 1.9.2014). 6 BGBl. I 2016, 1254; in Kraft seit dem 4.6.2016; vgl. BT-Drucks. 18/6446; Beschluss des СКАЧАТЬ