Das Verbandssanktionengesetz und der Datenschutz

 In Datenschutz
0

Im Frühjahr hatte das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) den Referentenentwurf zum Verbandssanktionengesetz (VerSanG-E) mit dem Titel „Gesetz zur Stärkung der Integrität der Wirtschaft“ veröffentlicht. Damit soll die Sanktionierung von Unternehmen über § 30 OWiG hinaus erfolgen, der bislang nur vorsah, dass Unternehmen oder Verbände mit einer Geldbuße belegt werden können, wenn diesen eine Pflichtenverletzung einer Leitungsperson zugerechnet werden kann. So soll künftig eine angemessene Ahndung von sogenannten Verbandstaten ermöglicht werden.

Der Entwurf für das Verbandssanktionengesetz wurde am 16.6.2020 von der Bundesregierung beschlossen und dem Bundesrat weitergeleitet. Der Bundesrat hat am 18.9.2020 eine Stellungnahme beschlossen und bittet darin, die Regelungen im Hinblick auf eine mögliche Überlastung der Behörden und den Schutz von kleine und mittelständische Unternehmen (KMU) zu überprüfen. Zudem nimmt der Bundesrat einige Änderungen am Wortlaut des Verbandssanktionengesetzes vor. In diesem Beitrag stellen wir die Datenschutz-Fragen der Pläne des Gesetzgebers vor (zum Gesetz allgemein siehe den Überblick bei BHO Legal).

Aufgrund der Möglichkeiten interner Untersuchungen und der Eintragungen in ein Verbandssanktionenregister sollte ein Blick auf die Anforderungen des Datenschutzes geworfen werden und der Umgang des VerSanG-E mit datenschutzrechtlichen Regelungen geklärt werden. Die wichtigsten Themen stellen wir im folgenden Beitrag kurz vor.

Datenverarbeitung bei internen Ermittlungen

Unternehmensinterne Untersuchungen können nach § 17 des Verbandssanktionengesetzes zu einer möglichen Sanktionsmilderung führen, wenn der Verband wesentlich dazu beigetragen hat, dass die Verbandstat aufgeklärt wurde oder ununterbrochen und uneingeschränkt mit den Verfolgungsbehörden zusammenarbeitet. Soweit Unternehmen berechtigt sind, Befragungen von Mitarbeitern durchzuführen und interne Untersuchungen anzuleiten, ist die Verarbeitung von personenbezogenen Daten der betroffenen Personen unvermeidbar. Damit stellt sich die Frage, wie Mitarbeiterinnen und Mitarbeitern (datenschutz-)rechtlich geschützt werden können.

Zur Verarbeitung personenbezogener Daten ist eine datenschutzrechtliche Rechtsgrundlage erforderlich, Betroffenenrechte müssen gewahrt und Datenschutzgrundsätze eingehalten werden. Der Umgang mit den Daten, die im Rahmen der Ermittlungen gesammelt werden, vor diesem Hintergrund nicht einfach zu beantworten:

  • In § 34 VerSanG-E hat der Gesetzgeber eine Rechtsgrundlage geschaffen, die die Verwendung der personenbezogenen Daten in Ermittlungsmaßnahmen ermöglicht. Personenbezogene Daten, die im Verfahren gegen eine natürliche Person wegen einer Verbandstat auch nach dem OWiG und anderen Gesetzen erhoben werden, können danach umfassend im Sanktionsverfahren gegen den Verband verwendet werden. Dafür muss der Verband für die Pflichtverletzung im Sinne von § 3 VerSanG-E verantwortlich sein. . Nur, wenn die Ermittlungsmaßnahmen nicht mit der Verbandsstraftat verbunden sind und nicht der Verband, sondern eine natürliche Person, verantwortlich ist, gelten die allgemeinen datenschutzrechtlichen Regeln.
  • Nach § 17 Abs. 1 Nr. 4 VerSanG-E kann die Verbandssaktion gemildert werden, wenn eine Übergabe sämtlicher Ermittlungsdokumente an die Ermittlungsbehörden erfolgte. Damit wird die Datenübermittlung (Art. 6 Abs. 1 S. 1 lit. c DSGVO) grundsätzlich legitimiert, die Datenerhebung für interne Ermittlungen an sich allerdings nicht gerechtfertigt.
  • Demnach gelten für die Erhebung der Daten durch den Verband im Rahmen interner Untersuchungen die allgemeinen datenschutzrechtlichen Regelungen. Eine Legitimation der Datenerhebung kann daher z.B. durch eine Einwilligung der betroffenen Person erreicht werden (Art. 6 Abs. 1 lit. a DSGVO). Dies stellt hier allerdings aufgrund der Widerrufbarkeit der Einwilligung keine geeignete Rechtsgrundlage dar. Zu denken ist daher insbesondere die Erhebung der personenbezogenen Daten auf der Basis von Art. 6 Abs. 1 S. 1 lit. f DSGVO, wenn sie zur Wahrung der berechtigten Interessen des Unternehmens erforderlich ist und die Interessen oder Grundrechte der betroffenen Person nicht überwiegen. Zudem gelten für die Verarbeitung von noch weitere Anforderungen des Bundesdatenschutzgesetzes: Nach § 26 Abs. 1 S. 2 BDSG dürfen Mitarbeiterdaten nur dann zur Aufdeckung von Straftaten verarbeitet werden, wenn (zu dokumentierende und tatsächliche) Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat. Dabei muss die Verarbeitung zur Aufdeckung erforderlich sein und das schutzwürdige Interesse des Beschäftigten darf nicht überwiegen, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sein. In jedem Einzelfall muss eine Interessen- und Güterabwägung erfolgen.

Verpflichtung der Mitarbeiter zur Aussage bei internen Ermittlungen?

Die Frage, ob eine Aussagepflicht der Mitarbeiter bei internen Ermittlungen besteht, ist derzeit unklar geregelt. Nach § 17 Abs. 1 Nr. 5 VerSanG-E sollen Mitarbeiter vor einer Befragung darüber belehrt werden, dass ihre Angaben in einem Strafverfahren gegen sie verwendet werden können, ihnen das Recht zur Auskunftsverweigerung zusteht und sie einen Rechtsanwalt hinzuziehen können.

Der ursprüngliche Verbandssanktionengesetz-Entwurf vom 15.8.2019 enthielt in § 18 Abs. 1 Nr. 6 VerSanG-E (jetzt § 17) zusätzlich die Regelung, dass die Verbandssanktion gemildert wird, wenn die internen Untersuchungen in Übereinstimmung mit den geltenden Gesetzen durchgeführt werden – dazu zähl(t)en auch die Vorgaben des Datenschutzes. Diese Regelung ist im neuen Entwurf allerdings nicht mehr enthalten und wurde auch nicht in anderer Art und Weise aufgenommen. Daraus lässt sich schließen, dass die Milderung der Sanktion selbst dann erfolgen kann, wenn die Befragung nicht in Übereinstimmung mit den geltenden Gesetzen vorgenommen wurde und die datenschutzrechtlichen Vorgaben bei der Datenerhebung (interne Ermittlung) nicht eingehalten wurden. Warum die strengere Voraussetzung nicht in den neuen Entwurf aufgenommen wurde, wurde nicht erläutert. Unternehmen wird umgekehrt die Sanktionsmilderung erleichtert und der „Anreiz“ zu internen Ermittlungen gefördert. Dass sich das Unternehmen bei Verstößen gegen datenschutzrechtliche Bestimmungen gegenüber den Aufsichtsbehörden verantworten muss (mit hohen Bußgeldrisiken), bleibt aber unberührt.

Das Verbandssanktionenregister und Auskunftsanfragen

Nach § 54 VerSanG-E führt das BMJV ein Verbandssanktionenregister ein, indem unter anderem rechtskräftig verhängte Verbandssanktionen oder Bußgelder veröffentlicht werden. Darin sollen auch die gesamten Daten des verurteilten Verbandes eingetragen werden (also auch Familiennamen, Vornamen und Geburtsdaten der Mitglieder des Vertretungsorgans). Gerichte, Staatsanwaltschaften und sonstigen Behörden sind nach § 56 Abs. 1 VerSanG-E zur Bereitstellung der Informationen verpflichtet. § 56 Abs. 1 VerSanG-E stellt somit die notwendige datenschutzrechtliche Rechtsgrundlage zur Datenübermittlung dar.

Der Verband kann nach § 58 Verbandssanktionengesetz-E Auskunft über die über ihn gespeicherten Informationen beantragen. Da die Auskunft sensible personen- und verbandsbezogene Daten betrifft, sind hier besondere Anforderungen zu stellen. Insbesondere, wenn der Antrag elektronisch gestellt wird, müssen die Regelungen der elektronischen Antragsstellung zu Auskünften (§ 30c BZRG, § 150e GewO) eingehalten werden, um einen ausreichenden Identitätsnachweis sicherzustellen. Für den Fall, dass eine andere Institution als der Verband selbst Auskunft über Informationen aus dem Verbandssanktionenregister beantragt, hat der Gesetzgeber im VerSanG-E weitere Rechtsgrundlagen geschaffen (so etwa §§ 62, 63 VerSanG-E). Hochschulen und andere Forschungseinrichtungen kann Auskunft erteilt werden, soweit dies zur Durchführung wissenschaftlicher Forschungsarbeiten erforderlich ist und das öffentliche Interesse an der Forschungsarbeit dem schutzwürdigen Interesse des Verbands überwiegt, § 62 Abs. 1 VerSanG-E. In jedem Fall sind eine Interessenabwägung vorzunehmen und alle datenschutzrechtlichen Standards einzuhalten. So dürfen die übermittelten Daten ausschließlich für die benannte Forschungsarbeit verwendet werden und sind – wenn möglich – zu anonymisieren. Nur wenn der Forschungszweck die Angaben über persönliche oder sachliche Verhältnisse einer bestimmten Person erfordert, dürfen auch diese Daten herausgegeben werden.

Fazit zum Datenschutz im Verbandssanktionengesetz

  • Die Schwierigkeit des Schutzes von Persönlichkeitsrechte von Mitarbeiter_innen bei verbandsinternen Ermittlungen, also den Datenschutz zu gewährleisten, wurde vom Gesetzgeber nur ansatzweise geregelt, in § 34 VerSanG-E.
  • Lediglich die Verarbeitung der personenbezogenen Daten im Sanktionsverfahren wird im VerSanG-E ausdrücklich legitimiert. Weitere indirekte Regelungen, aus denen mittelbar Datenverarbeitungsbefugnisse hergeleitet werden könnten, finden sich zwar in § 17 Abs. 1 Nr. 4 VerSanG-E oder in § 56 Abs. 1 VerSanG-E. Jene führen aber nicht dazu, dass die Erhebung der Daten bei internen Ermittlungen gerechtfertigt wird – hier gelten demnach die allgemeinen Bestimmungen der DSGVO und des BDSG.
  • Zudem wurde die strenge Voraussetzung der Übereinstimmung mit den geltenden Gesetzen entfernt, sodass eine Sanktionsmilderung durch die Strafverfolgungsbehörden möglich ist, wenn Unternehmen gegen datenschutzrechtliche Bestimmungen verstoßen. Selbst wenn nicht ausbleibt, dass sich die Verbände vor den Datenschutz-Aufsichtsbehörden rechtfertigen müssen (und diese ggf. „aufrechnen“ und hohe Bußgelder verhängen), ist das Signal an ermittelnde Unternehmen, die Einhaltung von Gesetzen nicht zu belohnen, im Blick auf die Betroffenen- und Mitarbeiterrechte (zumindest) zweifelhaft.

Der Verbandssanktionengesetz-Entwurf wird nun dem Bundestag zugeleitet. Von weiteren Überarbeitungen im Gesetzgebungsverfahren ist auszugehen und doch ist es zugleich nicht unwahrscheinlich, dass das Gesetz angesichts der bald endenden Legislaturperiode zügig beschlossen werden soll.

 

Wir halten Sie über die weitere Entwicklung zum Verbandssanktionengesetz natürlich auf dem Laufenden. Ihr Berater: Dr. Matthias Lachenmann, Datenschutzbeauftragter (UDISzert); E-Mail: lachenmann@bho-consulting.com; Telefon: +49 (0) 221 270 956 260

Recent Posts
Contact Us

Not readable? Change text. captcha txt
Formular-handbuch Datenschutzrecht – für PraktikerDatenschutz
Neue Standardvertragsklauseln: die Entwürfe der EU-KommissionDatenschutz