Information und Auskunft nach der DSGVO im ­Rahmen von Internal Investigations

Die Kollision der Ausnahmevorschriften zu Informationspflichten des Verantwortlichen mit dem ­Auskunftsrecht des Betroffenen

Von Barbara Scheben

Beitrag als PDF (Download)

Unternehmensinterne Ermittlungen oder auch ­„Internal Investigations“ sind ein wesentlicher Bestandteil der Governance moderner Unternehmen. Sollten die ­Pläne bezüglich der Einführung eines ganzheitlichen Unternehmensstrafrechts in die Tat umgesetzt werden, ­stiege die Bedeutung dieser Internal Investigations noch ­einmal merklich an. Schließlich steht unter anderem im Raum, dass Unternehmen durch Strafmilderungen ­belohnt werden, wenn sie durch interne Untersuchungen zur Aufklärung des Sachverhalts beitragen.
Für die gesetzeskonforme Durchführung von Internal Investigations sind insbesondere datenschutzrechtliche Belange zu berücksichtigen, da personenbezogene Daten Kern einer jeden Investigation sind. Mit der seit Mai 2018 unmittelbar anwendbaren EU-Datenschutzgrundverordnung (DSGVO) ist der europäische Datenschutz in erheblichem Maß reformiert worden. Damit einher­gegangen sind neue Fragestellungen, zum ­Beispiel, inwieweit der Betroffene einer Internal Investigation über die stattfindenden Maßnahmen informiert werden muss oder hierüber Auskunft verlangen kann. Die DSGVO und das sie ergänzende und konkretisierende Bundesdatenschutzgesetz (BDSG) sehen hierzu einige Regel- und Ausnahmetatbestände vor.

Urteil des Landesarbeitsgerichts Baden-Württemberg
Jüngst hatte sich das Landesarbeitsgericht Baden-Württemberg (LArbG) mit einer solchen Frage zu befassen (LArbG Baden-Württemberg, Urteil vom 20.12.2018, 17 Sa 11/18). Im Rahmen eines Kündigungsschutzverfahrens hatte der Kläger unter anderem Einsicht in die Akte zu einem ihn betreffenden „Compliancecheck“ verlangt und sein Auskunftsrecht gemäß Art. 15 DSGVO gegenüber seinem Arbeitgeber geltend gemacht.
Ohne im Detail auf die Ausführungen des LArbG einzugehen, zeigt das Urteil, welch mächtiges Instrument derartige Auskunftsverlangen für den Betroffenen einer Internal Investigation sein können. So wurde dem Kläger nicht nur arbeitsrechtlich ein Einsichtsrecht gemäß § 83 Abs. 1 S. 1 Betriebsverfassungsgesetz in die betreffende Akte mit dem Hinweis gewährt, diese sei Teil der Personalakte, sondern die Dokumente stünden auch in einem inneren Zusammenhang mit dem Arbeitnehmer. Darüber hinaus wurde auch der Auskunftsanspruch gemäß Art. 15 DSGVO bejaht. Zudem sei der Arbeitgeber zur Übergabe einer Kopie gemäß Art. 15 Abs. 3 DSGVO verpflichtet.
Bemerkenswert sind bereits die Ausführungen des LArbG zur Reichweite des Auskunftsanspruchs und seiner Bestimmtheit. Der Kläger hatte die Herausgabe der über ihn verarbeiteten Leistungs- und Verhaltensdaten verlangt. Das Gericht hielt damit eine ausreichende Konkretisierung im Sinne des Erwägungsgrunds 63 S. 7 der DSGVO für gegeben, was in ersten Urteilsbesprechungen durchaus auf Kritik gestoßen ist (Kielkowski/Zöll, jurisPR-Compl 2/2019 Anm. zu LArbG Stuttgart 17. Kammer, Urteil vom 20.12.2018, 17 Sa 11/18). Gleichzeitig verneinte es das Bestehen von Ausnahmen des Auskunftsrechts. Insbesondere das von der Beklagten angeführte Geheimhaltungsinteresse von Hinweisgebern sei zu allgemein gehalten gewesen.
Inwieweit sich andere Gerichte an dieser Entscheidung orientieren, bleibt abzuwarten. Das LG Köln geht in Sachen Reichweite des Auskunftsanspruchs einen etwas anderen Weg (LG Köln, Urteil vom 18.03.2019 – Az.: 26 O 25/18, wonach sich der Auskunftsanspruch nicht auf sämtliche internen Vorgänge der Beklagten wie etwa Vermerke bezieht. Auch rechtliche Bewertungen oder Analysen stellten insofern keine personenbezogenen Daten in diesem Sinne dar). Dennoch besteht nach dem Urteil des LArbG Anlass, sich das Recht auf Auskunft, die Pflicht zur Information und die zugehörigen Ausnahmetatbestände für den Fall von Internal Investigations genauer anzuschauen.

Informationspflicht und Recht auf Auskunft – Regeln und Ausnahmen
Die DSGVO statuiert die Pflicht zur Information des Betroffenen im Fall der Direkterhebung personenbezogener Daten in Art. 13 DSGVO. Werden personenbezogene Daten hingegen nicht direkt bei dem Betroffenen erhoben, ergibt sich die Pflicht zur Information aus Art. 14 DSGVO. Gemäß Art. 13 Abs. 1 DSGVO sind dem Betroffenen unter anderem Name und Kontaktdaten des Verantwortlichen, die Zwecke der Verarbeitung sowie die Empfänger der personenbezogenen Daten mitzuteilen. Zusätzlich ist er gemäß Art. 13 Abs. 2 DSGVO unter anderem auf die Speicherdauer und seine Betroffenenrechte hinzuweisen.
Im Fall einer dem ursprünglichen Erhebungszweck fremden Weiterverarbeitung hat der Verantwortliche gemäß Art. 13 Abs. 3 DSGVO den Betroffenen über den Zweck der Weiterverarbeitung und die weiteren relevanten Informationen gemäß Abs. 2 zu unterrichten. Die Informationspflichten nach Art. 14 DSGVO entsprechen dem weitestgehend.
Korrespondierend dazu hat der Betroffene nach Art. 15 DSGVO ein Recht auf Auskunft sowie auf Kopie. Dieses beinhaltet unter anderem die Auskunft über den Verarbeitungszweck, die Empfänger der personenbezogenen Daten, die Speicherdauer sowie die Betroffenenrechte. Mit dem Recht auf Auskunft wird dem Betroffenen also Zugang zu den Informationen eröffnet, die der Verantwortliche ihm im Wege der Informationspflicht hätte zur Verfügung stellen müssen.

Ausnahmetatbestände im Überblick
Sowohl zu den Informationspflichten als auch zu dem Recht auf Auskunft existieren jedoch Ausnahmen in ­DSGVO und BDSG. Die nachfolgende Übersicht fasst die Ausnahmetatbestände zusammen, die im Rahmen einer Internal Investigation im Wesentlichen relevant werden können.
Bei näherer Betrachtung der Ausnahmetatbestände fällt auf, dass hier allerdings kein Gleichlauf besteht. So kann beispielsweise eine Ausnahme von der Informationspflicht bestehen, wenn durch die Erteilung der Information die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche beeinträchtigt würde. Eine derartige Ausnahme findet sich mit Blick auf das Recht auf Auskunft allerdings nicht. (Bemerkenswert ist auch die Unterscheidung nach „rechtlichen Ansprüchen“ in ­§ 32 Abs. 1 Nr. 4 BDSG und „zivilrechtlichen Ansprüchen“ in § 33 Abs. 1 Nr. 2 a) BDSG.) Aber kann es sein, dass man einerseits nicht aktiv über eine Verarbeitung informieren muss, andererseits aber auf Nachfrage zur Auskunft verpflichtet ist? Ufert der Auskunftsanspruch also fast schrankenlos aus?
­

Beeinträchtigung anerkannter Geschäftszwecke nach aktueller Rechtslage
In dieser Hinsicht ist ein Blick auf die alte Rechtslage interessant. Die Ausnahmetatbestände des BDSG-alt fielen nämlich deutlich weiter aus als nun unter dem Regime der DSGVO.
Für Datenerhebungen, die nicht bei dem Betroffenen stattgefunden haben, war schon der Ausnahmenkatalog des § 33 Abs. 2 BDSG-alt auf den ersten Blick wesentlich umfangreicher. Im Rahmen von Internal Investigations war insbesondere § 33 Abs. 2 Nr. 7 b) a.F. relevant. Demnach bestand eine Pflicht zur Benachrichtigung des Betroffenen nicht, wenn die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es sei denn, dass das Interesse an der Benachrichtigung die Gefährdung überwiegt.
Mit Blick auf das Auskunftsrecht verwies § 34 Abs. 7 BDSG a.F. ausdrücklich auf einige Ausnahmetatbestände des § 33 Abs. 2 BDSG a.F., insbesondere auch auf den genannten § 33 Abs. 2 Nr. 7 b). Gab es keine Pflicht zur Benachrichtigung über eine Verarbeitung, so gab es auch kein dementsprechendes Recht auf Auskunft. Somit bestand nach der alten Rechtslage ein Gleichlauf bei der Pflicht zur Information (Benachrichtigung) und dem Recht auf Auskunft.
Ein solcher Gleichlauf sollte wohl ursprünglich auch in das BDSG-neu übernommen werden (BT Drucks. 18/11325 vom 24.02.2017, S. 34 f. und S. 104 zu § 34, betreffend die Ausnahme aufgrund einer erheblichen Gefährdung der Geschäftszwecke des Verantwortlichen), ging aber im Laufe des Gesetzgebungsverfahrens verloren (BT Drucks. 18/12084 vom 25.04.2017, S. 8).
Es stellt sich somit die Frage, ob der fehlende Gleichlauf im Rahmen des Regel-Ausnahmeverhältnisses von ­DSGVO und BDSG-neu ein Versehen darstellt, das behoben werden sollte. Aktuell führt dies nämlich im Rahmen von Internal Investigations zu folgendem paradoxen Ergebnis: Unternehmen sind nicht dazu verpflichtet, den Betroffenen zu informieren, wenn dies die Geltendmachung, Ausübung oder Verteidigung (zivil-)rechtlicher Ansprüche beeinträchtigen würde. Gleichwohl müssten sie diese Informationen aber im Rahmen eines Auskunftsverlangens zur Verfügung stellen.

Fazit
Wer sich intensiver mit Informationspflicht und Auskunftsrecht auseinandersetzt, muss feststellen, dass die aktuelle Rechtslage durchaus komplex und zum Teil auch gegenläufig ist. Man kann sich fragen, ob dieses Ergebnis vom Gesetzgeber beabsichtigt war. Unternehmen werden sich mit dieser Situation sorgsam auseinandersetzen müssen. Es ist in jedem Fall anzuraten, die Informationspflichten, das Bestehen des Rechts auf Auskunft und die jeweiligen Ausnahmetatbestände sorgsam zu prüfen. Schrittfehler an dieser Stelle sind nämlich geeignet, den weiten Bußgeldrahmen des Art. 83 Abs. 5 DSGVO zu eröffnen.

bscheben@kpmg.com