© 2016 Deutscher Bundestag WD 3 - 3000 - 047/15 Erhebung personenbezogener Daten bei betriebsinternen Befragungen durch externe Ermittler Ausarbeitung Wissenschaftliche Dienste Ausarbeitungen und andere Informationsangebote der Wissenschaftlichen Dienste geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Der Deutsche Bundestag behält sich die Rechte der Veröffentlichung und Verbreitung vor. Beides bedarf der Zustimmung der Leitung der Abteilung W, Platz der Republik 1, 11011 Berlin. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 047/15 Seite 2 Erhebung personenbezogener Daten bei betriebsinternen Befragungen durch externe Ermittler Verfasser/in: Aktenzeichen: WD 3 - 3000 - 047/15 Abschluss der Arbeit: 04.03.2015 Fachbereich: WD 3: Verfassung und Verwaltung Telefon: + Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 047/15 Seite 3 1. Fragestellung Die vorliegende Fragestellung bezieht sich auf die datenschutzrechtliche Bewertung betriebsinterner Mitarbeiterbefragungen in privaten Unternehmen, die externe Ermittler zum Zweck der Aufklärung von Straftaten durchführen.1 Dabei soll insbesondere geklärt werden, wann von einer Erhebung personenbezogener Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) auszugehen ist und welche datenschutzrechtlichen Vorgaben bei der Einschaltung externer Ermittler gelten. 2. Anwendbarkeit des BDSG 2.1. Private Unternehmen Zunächst stellt sich die Frage, ob das BDSG überhaupt auf betriebsinterne Mitarbeiterbefragungen in privaten Unternehmen Anwendung findet. Die grundsätzliche Bindung von privaten Unternehmen an das BDSG folgt aus § 1 Abs. 2 Nr. 3 i.V.m. § 2 Abs. 4 BDSG, wonach natürliche und juristische Personen des privaten Rechts als „nicht-öffentliche Stellen“ in den Anwendungsbereich des BDSG fallen, wenn sie personenbezogene Daten erheben, verarbeiten und nutzen. Aus § 1 Abs. 2 Nr. 3 BDSG folgt aber insoweit eine Einschränkung, als der Umgang mit personenbezogenen Daten durch Unternehmen nur dann unter das BDSG fällt, wenn er einen Bezug zu Datenverarbeitungsanlagen aufweist oder dateigebunden erfolgt.2 Danach könnte man meinen, bloß mündliche Mitarbeiterbefragungen seien datenschutzrechtlich noch nicht relevant. Insoweit kommt aber die seit 2009 geltende Vorschrift des § 32 BDSG zum Tragen, die den Umgang mit Beschäftigtendaten regelt und eine Ausnahme vom Dateibezug und der automatisierten Datenverarbeitung vorsieht. Nach § 32 Abs. 2 BDSG gilt der Schutz von Beschäftigtendaten auch dann, wenn personenbezogene Daten zum Zwecke des Beschäftigtenverhältnisses erhoben, verarbeitet und genutzt werden, ohne dass sie „automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden“.3 2.2. Personenbezogene Daten Entscheidende Voraussetzung für die Anwendbarkeit des BDSG ist, dass es um den Umgang mit personenbezogenen Daten geht. Um personenbezogene Daten handelt es sich nach § 3 Abs. 1 BDSG bei „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“. Personenbezogene Daten sind von anonymen und pseudonymen Daten abzugrenzen, die keinen Personenbezug aufweisen oder die Bestimmung des Betroffenen wesentlich erschweren oder nur mit unverhältnismäßig großem Aufwand zulassen, § 3 Abs. 6, 7 BDSG. Wann ein datenschutzrechtlich relevanter Personenbezug vorliegt, lässt sich 1 Zur arbeitsrechtlichen Dimension von Mitarbeiterbefragungen siehe Moll, Münchener Anwaltshandbuch Arbeitsrecht (3. Aufl., 2012), Rn. 113 ff. zu § 35; Spehl/Momsen/Grützner, Unternehmensinterne Ermittlungen - Ein internationaler Überblick Teil III: Die Befragung von Mitarbeitern, CCZ 2014, 170 ff. 2 Vgl. dazu Gola/Schomerus, in: Gola/Schomerus (11. Aufl., 2012), BDSG, Rn. 3 zu § 1. 3 Der Beschäftigtendatenschutz kann daher auch bei rein tatsächlichen Maßnahmen, wie z.B. einer Spindkontrolle greifen, vgl. dazu Pötters/Wybitul, Anforderungen des Datenschutzrechts an die Beweisführung im Zivilprozess, NJW 2014, 2074, 2076 mit Hinweis auf die Rechtsprechung des Bundesarbeitsgerichts (BAG). Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 047/15 Seite 4 dabei nicht abstrakt bestimmen, sondern ist stets vom Einzelfall abhängig. So können die Antworten bei Mitarbeiterbefragungen so ausfallen, dass sie eine Zuordnung zu einer bestimmten Person ausschließen, da sie sich z.B. auf einen nicht näher spezifizierten männlichen Mitarbeiter beziehen. Ist allerdings nur ein einziger männlicher Mitarbeiter im Unternehmen beschäftigt, kann eine Zuordnung auch ohne namentliche Nennung leicht erfolgen, so dass der Personenbezug vorliegt. 2.3. Erhebung personenbezogener Daten Das BDSG unterscheidet zwischen verschiedenen Formen des Umgangs mit personenbezogenen Daten, und zwar zwischen der Erhebung, der Verarbeitung und der Nutzung personenbezogener Daten. Nach § 3 Abs. 3 BDSG bedeutet Erheben das Beschaffen von Daten über den Betroffen, das Verarbeiten meint nach § 3 Abs. 4 BDSG das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten und nach § 3 Abs. 5 BDSG ist das Nutzen jede Verwendung personenbezogener Daten, soweit es sich nicht um eine Verarbeitung handelt. Das BDSG knüpft z.T. unterschiedliche Rechtsfolgen an die jeweilige Form des Umgangs mit personenbezogenen Daten (vgl. §§ 13 ff. BDSG), so dass datenschutzrechtlich relevante Vorgänge nicht als Gesamtvorgang betrachtet werden können, sondern kleinteilig aufzugliedern und den jeweiligen Handlungsformen zuzuordnen sind. Bei Mitarbeiterbefragungen würde beispielsweise das schriftliche Festhalten der Antworten ein Speichern im Sinne des § 3 Abs. 4 BDSG darstellen oder das inhaltliche Auswerten der Antworten ein Nutzen im Sinne des § 3 Abs. 5 BDSG mit der Folge, dass die jeweiligen datenschutzrechtlichen Anforderungen zu beachten wären. Die vorliegende Frage setzt allerdings beim vorangehenden Datenumgang an, nämlich bei der Datenerhebung. Eine Erhebung von personenbezogenen Daten im Sinne des § 3 Abs. 3 BDSG setzt ein zielgerichtetes Beschaffen der Daten über den Betroffenen voraus.4 Im Kontext von Mitarbeitergesprächen sind Fallkonstellationen denkbar, die solch ein zielgerichtetes Beschaffen fraglich erscheinen lassen, z.B. wenn keine bestimmten Fragen nach bestimmten Personen gestellt werden, aber die Mitarbeiter entsprechende Angaben machen. Insoweit kommt es darauf an, ob die Mitarbeiter die Angaben unaufgefordert machen (aufgedrängte Information) oder durch den Arbeitgeber veranlasst werden. Da die Beurteilung einer datenschutzrechtlich relevanten Datenerhebung von den Umständen des Einzelfalls abhängt, können insoweit keine allgemeingültigen Aussagen getroffen werden. Wenn der Anlass oder die Umstände eines Mitarbeitergesprächs, z.B. die Aufdeckung einer bestimmten Straftat durch einen externen Ermittler aber die Absicht des Arbeitgebers erkennen lassen, personenbezogene Daten über den fraglichen Vorgang zu beschaffen, dürfte vom Vorliegen einer zielgerichteten Datenerhebung im Sinne des § 3 Abs. 3 BDSG auszugehen sein. 3. Zulässigkeit der Datenerhebung Der Umgang mit personenbezogenen Daten ist nach § 4 Abs. 1 BDSG nur zulässig, soweit „dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt 4 Gola/Schomerus (Fn. 2), Rn. 24 zu § 3. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 047/15 Seite 5 hat“. Die Erhebung von personenbezogenen Daten im Rahmen von betriebsinternen Mitarbeiterbefragungen müsste danach durch Einwilligung des Betroffenen oder durch eine gesetzliche oder andere rechtliche Vorschrift gedeckt sein.5 3.1. Einwilligung, § 4a BDSG Die Anforderungen an die Wirksamkeit einer Einwilligung des Betroffenen sind hoch. Nach § 4a BDSG muss die Einwilligung nach vorheriger Information über den Zweck der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten auf einer freien Entscheidung des Betroffenen beruhen (freie und informierte Einwilligung). Selbst wenn die betroffenen Beschäftigten entsprechend informiert würden, bliebe fraglich, ob ihre Einwilligung freiwillig erfolgte. Aufgrund der abhängigen Beschäftigung und der damit verbundenen strukturellen Unterlegenheit des Beschäftigten dürften an der Freiwilligkeit einer Einwilligung des Beschäftigten – lehnt man sie nicht schon grundsätzlich ab6 – jedenfalls stets Zweifel bestehen, die im konkreten Einzelfall auszuräumen wären. Es erscheint daher sehr fraglich, ob sich die Interessen der Arbeitgeber, „die zulässigen Datenerhebungs- und Verarbeitungsmöglichkeiten über das gesetzlich Erlaubte hinaus mittels Einwilligung zu erweitern“,7 in der Praxis umsetzen lassen. 3.2. Aufdeckung von Straftaten, § 32 Abs. 1 S. 2 BDSG Eine Datenerhebung im Rahmen von betriebsinternen Mitarbeiterbefragungen kann aber auch nach § 32 Abs. 1 S. 2 BDSG zulässig sein.8 Nach § 32 Abs. 1 S. 1 BDSG dürfen personenbezogenen Daten von Beschäftigten (vgl. § 3 Abs. 11 BDSG) erhoben, verarbeitet und genutzt werden, wenn dies zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.9 Einen besonderen Fall des Umgangs mit personenbezogenen Daten zur Durchführung des Beschäftigungsverhältnisses stellt die Aufdeckung von Straftaten dar, die weitergehenden Anforderungen unterliegt. Nach § 32 Abs. 1 S. 2 BDSG dürfen personenbezogene Daten eines Beschäftigten zur Aufdeckung von Straftaten nur dann erhoben, verarbeitet oder genutzt werden, wenn „zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung 5 Siehe dazu auch Erlaubnistatbestände im Arbeitnehmerschutz, Wissenschaftliche Dienste des Deutschen Bundestages (WD 3 - 3000 - 007/13). 6 Ausführlich zum Streitstand Taeger, in: Taeger/Gabler (Hrsg.), BDSG (2. Aufl., 2013), Rn. 63 ff. zu § 4a. 7 Taeger (Fn. 6), Rn. 63 zu § 4a. 8 Zur Bedeutung des § 32 BDSG nicht nur für die Aufdeckung von Straftaten, sondern auch für Compliance-Maßnahmen zur Verhinderung von Straftaten Wybitul, Das neue Bundesdatenschutzgesetz: Verschärfte Regeln für Compliance und interne Ermittlungen, BB 2009, 1582 ff.; Schneider, Investigative Maßnahmen und Informationsweitergabe im konzernfreien Unternehmen und im Konzern, NZG 2010, 1201 ff. 9 Als speziellere Vorschrift geht § 32 BDSG dem § 28 Abs. 1 S. 1 Nr. 1 BDSG grundsätzlich. In Einzelfragen ist das Konkurrenzverhältnis allerdings umstritten, vgl. Zöll, in: Taeger/Gabler (Hrsg.), BDSG (2. Aufl., 2013), Rn. 6 ff. zu § 32. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 047/15 Seite 6 zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind“. Bei betriebsinternen Ermittlungen stehen die Beschäftigten danach unter einem besonderen Schutz. Der Umgang mit ihren personenbezogenen Daten steht zunächst unter dem Vorbehalt, dass konkrete tatsächliche Anhaltspunkte für den Verdacht vorliegen, der Betroffene habe im Beschäftigungsverhältnis eine Straftat begangen.10 Der Arbeitgeber muss also einen berechtigten Anlass für seine „Ermittlungsmaßnahmen“ haben.11 Die den Verdacht begründenden tatsächlichen Umstände hat der Arbeitgeber zu dokumentieren. Darüber hinaus darf der Arbeitgeber nur diejenigen datenschutzrechtlich relevanten Maßnahmen ergreifen, die zur Aufdeckung erforderlich sind, d.h. er muss weniger belastende Maßnahmen vorziehen, die zur Aufdeckung der Straftat gleichermaßen geeignet sind. Wann eine Erforderlichkeit in diesem Sinne anzunehmen ist, hängt wiederum von den Umständen des Einzelfalls ab.12 Die Einzelfallabhängigkeit gilt auch für die weiter vorzunehmende Abwägung zwischen dem Aufklärungsinteresse des Arbeitgebers einerseits und den Interessen des betroffenen Arbeitnehmers an dem Schutz seiner personenbezogenen Daten andererseits. Je konkreter die Verdachtsmomente und je schwerwiegender die vermutete Straftat, desto belastender dürfen die gegenüber dem Betroffenen eingesetzten Maßnahmen sein.13 Schließlich ist zu beachten, dass nach § 4 Abs. 2 S. 1 BDSG der sog. Direkterhebungsgrundsatz gilt, wonach personenbezogene Daten beim Betroffenen zu erheben sind. Ein Abweichen von diesem Grundsatz kommt nach § 4 Abs. 2 S. 2 lit. a) BDSG in Betracht, wenn der verfolgte Geschäftszweck – hier die Aufdeckung von im Beschäftigungsverhältnis begangenen Straftaten – eine Erhebung bei anderen Personen erforderlich macht und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. So könnte beispielsweise eine Mitarbeiterbefragung in „großer Runde“ unter Ausschluss des Betroffenen angesichts der damit verbundenen Prangerwirkung unverhältnismäßig sein. Soweit die personenbezogenen Daten nicht beim Betroffenen, sondern bei anderen Mitarbeitern erhoben werden, ist zudem zu beachten, dass der Arbeitgeber den Betroffenen ggf. benachrichtigen muss. Die Benachrichtigungspflicht gegenüber dem Betroffenen entsteht nach § 33 Abs. 1 BDSG, wenn personenbezogene Daten des Betroffenen erstmals gespeichert werden. In diesem Fall ist der Betroffene über die Datenspeicherung zu informieren, es sei denn, es liegen Ausnahmegründe 10 Für sonstiges Fehlverhalten von Mitarbeitern, das die Schwelle der Strafbarkeit nicht überschreitet, kommt § 32 Abs. 1 S. 1 BDSG zur Anwendung, vgl. Thüsing, Beschäftigtendatenschutz und Compliance (2. Aufl., 2014), Rn. 28 zu § 3. 11 Das Vorliegen eines konkreten Verdachts einer vorgetäuschten Arbeitsunfähigkeit hat das BAG jüngst in einem Fall verneint, da der Beweiswert der Arbeitsunfähigkeitsbescheinigung nicht durch konkrete Anhaltspunkte erschüttert worden sei, vgl. BG, Urt. V. 19.02.2015, Az.: 8 AZR 1007/13. 12 Vgl. Zöll (Fn. 9), Rn. 53 zu § 32. 13 Zur Abwägung der betroffenen Interessen siehe auch BAG NJW 2005, 313, 315; BAG NZA 2008, 1187, 1190; Däubler, Gläserne Belegschaften? (6. Aufl., 2015), Rn. 379f mit Hinweis auf die Unverhältnismäßigkeit einer einwöchigen heimlichen Videoüberwachung zur Aufklärung der Entwendung einer Schachtel Zigaretten. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 047/15 Seite 7 nach § 33 Abs. 2 BDSG vor. Ggf. kann sich der Arbeitgeber bei Datenspeicherungen ohne Kenntnis des Betroffenen zum Zweck der Aufklärung von Straftaten auf sein überwiegendes Aufklärungsinteresse (§ 33 Abs. 2 Nr. 3 BDSG) oder auf die anderweitige Gefährdung des Geschäftszwecks (§ 33 Abs. 2 Nr. 7 lit. b) BDSG) berufen. 4. Externe Ermittler Bei der Einschaltung externer Ermittler stellt sich die Frage, ob besondere datenschutzrechtliche Vorgaben zu beachten sind. Solche besonderen Vorgaben könnten sich aus der sog. Auftragsdatenverarbeitung nach § 11 Abs. 2 BDSG ergeben, wonach der Auftraggeber u.a. dazu verpflichtet ist, den Auftragnehmer sorgfältig auszuwählen und den Auftrag unter Beachtung der Vorgaben aus § 11 Abs. 2 Nr. 1-10 BDSG zu konkretisieren. Eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG liegt aber nicht schon dann vor, wenn überhaupt ein Dritter – hier der externe Ermittler – in datenschutzrechtlich relevante Vorgänge einbezogen wird. Der externe Ermittler wird zwar durch den Arbeitgeber (privatrechtlich) mit den betriebsinternen Ermittlungen beauftragt, eine Auftragsdatenverarbeitung gemäß § 11 BDSG liegt aber nur vor, wenn der Arbeitgeber dem externen Ermittler auch ganz konkrete Datenerhebungen, -verarbeitungen oder -nutzungen vorgibt, die dieser weisungsgebunden durchführen soll.14 Hintergrund dieser Konstruktion der Auftragsdatenverarbeitung ist die klare Zuordnung der für den Datenumgang jeweils verantwortlichen Stelle. Die verantwortliche Stelle ist nach § 3 Abs. 7 BDSG jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder die durch andere im Auftrag vornehmen lässt. Im Rahmen der Auftragsdatenverarbeitung bleibt der Auftraggeber verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG, der Auftragnehmer ist lediglich der „verlängerte Arm“ des Auftraggebers. Bei der Einschaltung externer Ermittler für die Befragung von Mitarbeitern muss der Arbeitgeber aber keine Auftragsdatenverarbeitung im Sinne des § 11 BDSG vorsehen. Insbesondere wenn es nicht um die Erhebung, Verarbeitung oder Nutzung von ganz konkreten personenbezogenen Daten geht, sondern die relevanten Daten gerade durch das eigenverantwortliche Handeln des externen Ermittlers ermittelt werden sollen, dürfte eine Auftragsdatenverarbeitung eher fernliegen. Eine Datenerhebung außerhalb der Auftragsdatenverarbeitung durch externe Ermittler ist damit aber nicht unzulässig. Vielmehr würden diese dann als selbständige verantwortliche Stellen die personenbezogenen Daten der betroffenen Mitarbeiter erheben, verarbeiten und nutzen. Da Arbeitgeber und externer Ermittler in diesem Fall keine „rechtliche Einheit“15 bilden, würde der Informationsaustausch zwischen beiden eine Datenübermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG darstellen, die den Vorgaben des § 16 BDSG entsprechen müsste und nach § 33 Abs. 1 S. 2 BDSG ggf. eine Benachrichtigung des Betroffenen durch den externen Ermittler erfordert. 14 Gola/Schomerus (Fn. 2), Rn. 3 zu § 11. 15 So die Formulierung von Gola/Schomerus (Fn. 2), Rn. 4 zu § 11.