Interne Untersuchungen? – Bitte nur mit Datenschutz!

Viele Unternehmen bekennen sich zur weltweiten Bekämpfung von Korruption in all ihren Erscheinungsformen, unterstützen nationale und internationale Anstrengungen und lehnen jegliches korruptes Verhalten ab.
Wie bei allen anderen im Unternehmen anstehenden Aufgaben kann die Geschäftsleitung den Aufbau und den Betrieb eines Compliance-Management-Systems delegieren. In der Regel übernimmt diese Aufgabe ein Compliance-Officer oder je nach Ausgestaltung und Größe des Unternehmens, ein Chief Compliance Officer, welche dann als Hauptakteure eines eines Compliance-Management-Systems (CMS) für die Einhaltung von gesetzlichen Vorschriften eintreten, in dem sie zusammen mit allen anderen Beschäftigten des Unternehmens dafür Sorge tragen, dass sowohl unternehmensinterne Richtlinien/Anweisungen als auch gesetzliche Regelungen sichergestellt und überwacht werden.

Dies damit einhergehende Verarbeitung von teilweise sehr sensiblen Informationen über die betroffenen Personen bedingt, dass der Datenschutzbeauftragte auch im Bereich des Compliance intensiv eingebunden werden muss.

Der „Arbeitskreis Interne Untersuchungen & Hinweisgebersysteme“ des „Deutschen Instituts für Compliance (DICO) stellt in seiner neuesten Veröffentlichung „Interne Untersuchungen in Deutschland – 2022“ an vielen Themen fest, dass das Thema Datenschutz eine große Schnittmenge auch zu der Thematik der internen Untersuchungen hat.

Die nicht repräsentative Studie stützt sich auf eine fragebogenbasierte Online-Umfrage mit insgesamt 87 Fragen zum Thema „Interne Untersuchungen“. Angefragt wurden von der DICO e.V. etwa Unternehmen, die Vertreter:innen in den Arbeitskreis „Interne Untersuchungen & Hinweisgebersysteme“ des DICO e. V. entsandt haben oder Mitglieder des VDMA e. V. Insgesamt haben 103 Unternehmen an der Umfrage teilgenommen, es haben aber nicht alle Befragten alle Fragen beantwortet.

Folgende Aspekte bewegen sich in der Schnittmenge von Compliance und Datenschutz:
1. Datenschutz als Herausforderung für interne Untersuchungen
Die Unternehmen aus der Studie sehen ganz überwiegend (fast 85 Prozent) die ansteigenden Datenschutzanforderungen als größte Herausforderung für interne Untersuchungen.

2. Datenschutz als Trainings-Thema
Mit knapp 76 Prozent wird Interviewführung als das wichtigste Themengebiet betrachtet, in dem Trainings angeboten werden. Datenschutz ist mit 44 Prozent das zweitwichtigste Thema, gefolgt von Kommunikation mit 32 Prozent.

3. Datenschutz als Aspekt in (Befragungs-)Protokollen
Bei knapp 26 Prozent der befragten Unternehmen beinhaltet das Protokoll auch eine Datenschutzerklärung oder sie wurde den Befragten vorab herausgegeben.

4. Fernmeldegeheimnis vs. Zugriff auf E-Mail-Postfächer

Erlaubt oder duldet das Unternehmen die private Nutzung von E-Mail-Postfächern, unterliegt dies nicht nur weiter gehenden datenschutzrechtlichen Beschränkungen, sondern des Weiteren möglicherweise auch dem Fernmeldegeheimnis (diese Frage ist seit längerem streitig). Hieraus können sich bei einem Zugriff auf die Daten Beschränkungen und insbesondere strafrechtliche Risiken ergeben.

4. Datenschutz als wachsender Themenkomplex (bspw. Hinweisgeberschutz)
In der Zukunft sehen die an der Studie beteiligten Unternehmen u. a. die folgenden Bereiche als wachsende Themenkomplexe: Cybercrime (80 Prozent), Menschenrechte/ESG-Themen (74 Prozent), HR-Themen (67 Prozent) und die Aufklärung von Datenschutzverstößen (41 Prozent). Insofern scheint der Datenschutz eher als Herausforderung bei der internen Untersuchung denn als ein eigenes Untersuchungsfeld gesehen zu werden.

Insbesondere unter diesem Aspekt kann auch die Publikation „Korruptionsbekämpfung – Ein Leitfaden für Unternehmen“ für alle Datenschutzbeauftragten als Lektüre empfohlen werden. Der Leitfaden ist als Gemeinschaftsprojekt unter Beteiligung von Alliance for Integrity, Deutsches Global Compact Netzwerk sowie des Deutschen Instituts für Compliance e.V. entstanden. Auf mehr als 100 Seiten beleuchten nationale Compliance-Expertinnen und Experten verschiedene Aspekte rund um das Thema Korruptionsprävention, darunter rechtliche Grundlagen, Whistleblowing, Compliance in Grauzonen, Digitalisierung und vieles mehr.

Für Datenschutzbeauftragte besonders interessant dürfte das Kapitel 3.7 „Interne Untersuchungen“ sein. Aber auch die Lektüre der übrigen Kapitel dürfte dem Datenschutzbeauftragten ein größeres „Systemverständnis“ und eine bessere „Schnittstellenarbeit“ ermöglichen, so dass der gesamte Leitfaden nicht nur Datenschutzbeauftragten empfohlen werden kann, die „über den Tellerrand schauen“ wollen, sondern generell allen Beteiligten, die eine Schnittstelle zum unternehmenseigenen Compliance Management System darstellen.

(Foto: Song_about_summer – stock.adobe.com)







Letztes Update:27.11.22

  • Archivieren oder Löschen

    Löschen oder Archivieren: BayLfD bietet Arbeitspapier

    Ein effektives Datenschutzmanagement erfordert vom Verantwortlichensich nicht nur Gedanken um die Zulässigkeit der Datenerhebung zu mache. Der datenschurzkonforme Umgang muss sich auf den gesamten Lebenszyklus von personenbezogenen Daten erstrecken und damit auch den Vorgang des Löschens. Generell sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist oder ihre Kenntnis für die speichernde Stelle „zur Erfüllung ihrer

    Mehr erfahren
  • Auskunft erstreckt sich auf Identität derEmpfänger

    EuGH konkretisiert Auskunftsrecht: Identität der Empfänger sind offenzulegen

    Mit dem Auskunftsrecht gem. Art. 15 DS-GVO hat der Verordnungegeber eine Grundlage dafür geschaffen, dass andere Betroffenenrechte (wie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, aber auch das Widerspruchsrecht) überhaupt gezielt geltend gemacht werden können. Die praktische Wirksamkeit dieser „nachgelagerten“ Betroffenenrechte hängen oftmals davon ab, wie weit das Recht auf Auskunft verstanden wird. Möchte

    Mehr erfahren
  • Protokollierung von Cyber-Angriffen

    Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen

    Immer häufiger werden Cyber-Angriffe auf Unternehmen und Regierungen bekannt, die folgenschwere Konsequenzen für die Betroffenen auslösen. Die meisten IT-Systeme in Organisationen verfügen über Möglichkeiten, um ein Audit-Logging zu aktivieren. Bereits mit den Standardeinstellungen werden dabei in der Regel alle wichtigen Ereignisse aufgezeichnet. Damit dabei aber keine gigantischen Datenmengen entstehen, die nur mit hohem Aufwand zu verarbeiten

    Mehr erfahren