Datenschutz im Rahmen interner Untersuchungen
Interne Untersuchungen ermöglichen es Unternehmen, Verstösse gegen die Rechtsordnung oder interne Richtlinien durch Mitarbeitende selbst zu ermitteln und zu beurteilen – dies im Gegensatz zu behördlichen Untersuchungen. Dabei ist die Einhaltung datenschutzrechtlicher Grundsätze ein oft vernachlässigtes, aber wesentliches Erfordernis. Welche datenschutzrechtlichen Regeln Arbeitgeber bei internen Untersuchungen beachten müssen und wo Konflikte mit dem Datenschutzrecht auftreten können, soll anhand der folgenden drei Punkte beleuchtet werden.
Beweissicherung
Soll ein Fehlverhalten überprüft werden, so steht die Beweissicherung an erster Stelle: Elektronische Daten, etwa E-Mails, elektronische Dokumentenablagen, Logfiles, Aufzeichnungen, mobile Geräte, etc. gilt es zu sichern. Sofern notwendig, ist in einem weiteren Schritt eine Vernichtung von Daten zu unterbinden («Legal Hold»). Die Massnahmen, die Sie ergreifen (oder auf die Sie verzichten), sollten Sie stets schriftlich dokumentieren und auch begründen. Gegebenenfalls sind bei der Sicherung und anschliessenden Auswertung der Daten ExpertInnen beizuziehen, etwa IT-SpezialistInnen oder eDiscovery-DienstleisterInnen – hier ist darauf zu achten, dass entsprechende Datenschutzvereinbarungen oder Auftragsdatenverarbeitungsverträge abgeschlossen werden.
Informationspflichten
Will man eine/n Mitarbeitende/n überwachen, so ist ihr/ihm dies anzukündigen – dies zum einen in Form einer allgemeinen Regel in einer IT-Nutzungsrichtlinie, einer Datenschutzerklärung für Mitarbeitende oder in einem Mitarbeitendenreglement. Dort kann etwa erklärt werden, dass in Verdachtsfällen ein Einblick in die E-Mails genommen werden kann. Zusätzlich ist auch eine spezifische Information betreffend die Datenbearbeitung im Einzelfall erforderlich – bspw. bei einer konkreten Sichtung eines E-Mail-Postfachs. Diese kann nur dann (vorübergehend) unterlassen werden, wenn sie die Ermittlung gefährden würden. Bei der Auswertung der Daten ist stets die Privatsphäre und Persönlichkeit der Betroffenen zu beachten, d.h. private Daten dürfen nur unter engen Voraussetzungen eingesehen werden.
Datensicherheit, Vertraulichkeit und Verhältnismässigkeit
Im Rahmen von internen Untersuchungen werden sensible Personendaten gesammelt und ausgewertet. Bei deren Bearbeitung ist darum Vorsicht geboten: So sollte die Dateiablage und auch der Verkehr via E-Mail aus Gründen der Datensicherheit und Vertraulichkeit verschlüsselt erfolgen. Ausserdem sollten nur wenige, ausgewählte Personen Zugang zu den Dokumenten haben. Weiter muss die gesamte Untersuchung verhältnismässig sein, sprich geeignet, notwendig und gestützt auf eine Interessenabwägung auch gerechtfertigt.
Interne Untersuchungen können äusserst komplex sein und es ist mitunter darauf zu achten, dass Unternehmen mittels Untersuchungsmassnahmen nicht selbst gegen Rechtsvorschriften verstossen und entsprechend haftbar gemacht werden können. In vielen Fällen empfiehlt es sich daher, externe Unterstützung beizuziehen.
Dr. Michael Hunziker und Dr. Cécile Schmidlin unterstützen Sie gerne in sämtlichen Bereichen des Datenschutzrechts.