ales "" & is zhaw mitarbeiter: "zhaw_staff"

Interne Compliance Untersuchungen. Dos & Don’ts

Interne Compliance Untersuchungen sind ein zentraler Bestandteil eines modernen Compliance Management Systems. Werden Compliance Vorfälle untersucht, stellt dies die Unternehmensverantwortlichen und Compliance Officer vor zahlreiche Herausforderungen. Dabei ist es für alle involvierten Personen wichtig, die rechtlichen Rahmenbedingungen für eine interne Untersuchung zu kennen. Der vorliegende Beitrag widmet sich den wichtigsten Dos & Don’ts in den Bereichen Arbeitsrecht, Datenschutzrecht sowie Strafrecht.

I. Spannungsfeld: Persönlichkeitsschutz vs. Interne Untersuchung

Bild 1

Eine widerrechtliche Persönlichkeitsverletzung liegt dann vor, wenn diese nicht durch die Einwilligung des Verletzten, durch überwiegende private oder öffentliche Interessen oder durch Gesetz gerechtfertigt wird (Rechtfertigungsgründe). Geschützt wird damit das informative Selbstbestimmungsrecht, das Recht darüber zu bestimmen, wer welche Informationen über die betroffene Person sammeln, erhalten und verwenden darf. Interne Compliance Untersuchungen gehen regelmässig mit der Sammlung von Informationen einher:

  • Interviews/Verhöre,
  • E-Mail/Nachrichten Screenings,
  • Telefonaufzeichnungen, etc.

Damit greifen interne Compliance Untersuchungen oftmals in den Persönlichkeitsschutz der Mitarbeitenden ein. Interne Compliance Untersuchungen bedürfen daher regelmässig einer Rechtfertigung oder der expliziten Einwilligung des Überwachten.

Hier zeigt sich das Spannungsfeld zwischen Persönlichkeitsschutz und interner Compliance Untersuchung. Einerseits hat das Unternehmen ein legitimes Interesse daran, bei Verdachtsfällen interne Compliance Untersuchungen durchzuführen. Andererseits müssen Mitarbeitende in ihrer Persönlichkeit geschützt werden. Ob ein ausreichend starkes privates Interesse des Unternehmens an der Überwachung und damit auch am entsprechenden Eingriff in die Persönlichkeit des Arbeitnehmers besteht, muss mittels Interessenabwägung im Einzelfall geprüft werden.

II. Arbeitsrecht: Basisregeln für eine interne Compliance Untersuchung

Für den Compliance Officer ist die Kenntnis der arbeitsrechtlichen und arbeitsvertraglichen Grundlagen essenziell, bevor eine interne Compliance Untersuchung durchgeführt wird.

Bild 2

Obligationenrecht: Gemäss dem Obligationenrecht ist die Arbeitgeberin verpflichtet, die Persönlichkeit der Arbeitnehmer zu achten und zu schützen (Art. 328 OR). Mit dem Erlass des Datenschutzgesetzes wurde dieser Schutz durch Art. 328b OR erweitert, welcher die Datenbearbeitung durch die Arbeitgeberin auf jene persönlichen Daten des Arbeitnehmers einschränkt, welche die Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind:

  • Unter dem von der Schutznorm erfassten Bearbeiten, ist jeder Umgang mit Personendaten zu verstehen, unabhängig von den angewandten Mitteln und Verfahren. Insbesondere fällt darunter das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten der Daten.
  • Das Sammeln von Daten kann als Überwachen angesehen werden, wenn damit bestimmte Vorgänge aufgezeichnet werden, welche das Verhalten einer eindeutig zugeordneten Person nachverfolgen. Nicht entscheidend ist, ob die gespeicherten Daten überhaupt von jemandem eingesehen werden, denn das Sammeln und Speichern an sich stellt bereits eine relevante Datenbearbeitung dar.
  • Die zulässige Aufzeichnung von Handlungen eines Arbeitnehmers wird eingeschränkt auf das, was zur Durchführung des Arbeitsverhältnisses erforderlich ist oder die Eignung für das Arbeitsverhältnis betreffen. Reine Neugierde, ein politisches oder ein moralisches Kontrollbedürfnis der Arbeitgeberin genügt nicht, um eine interne Compliance Untersuchung rechtfertigen zu vermögen.
  • Weiter muss die Bearbeitung von Daten verhältnismässig sein und diese dürfen nur für jene Zwecke weiterverwendet werden, für die sie erhoben worden sind.
  • Die Datenbearbeitung hat nach Treu und Glauben zu erfolgen. Entsprechend sind verdeckte Überwachungen und Untersuchungen grundsätzlich unzulässig. Ausnahmen sind nur möglich, wenn der Zweck nicht anders erreicht werden kann.

Arbeitsgesetz. Das Recht auf Überwachung wird eingeschränkt durch Art. 26 ArGV3. Nach der Verordnungsbestimmung sind Verhaltensüberwachungen grundsätzlich unzulässig:

  • Eine «totale» Überwachung ist ausgeschlossen.
  • Dem Arbeitnehmer muss in jedem Fall eine vor Überwachung geschützte Privatsphäre am Arbeitsplatz verbleiben.

Ansonsten beeinträchtigt das Kontrollsystem die psychische Gesundheit und Bewegungsfreiheit des Arbeitnehmers, nebst der bereits erwähnten Persönlichkeitsverletzung.

III. Datenschutz: Zunehmende Verschärfung für interne Compliance Untersuchungen

Die zunehmende Verschärfung des Datenschutzes stellt auch Compliance Officer vor Herausforderungen, welche bei einer internen Compliance Untersuchung zwingend berücksichtigt werden müssen. Da gemäss Art. 328b OR auf das Datenschutzgesetz (DSG) verwiesen wird, ist auch das DSG auf die Bearbeitung von Daten im Arbeitsverhältnis anwendbar. Die allgemeinen Grundsätze des DSG schreiben vor,

  • dass Daten nicht durch illegale Mittel erhoben werden dürfen;
  • die legale Beschaffung nach Treu und Glauben zu erfolgen hat;
  • das Unternehmen Personendaten nur für diejenigen Zwecke verwenden darf, welche bei der Beschaffung den Mitarbeitern bekanntgegeben wurden;
  • der Zweck der Datenerhebung nach dem Grundsatz der Transparenz erkennbar sein muss und der Grundsatz der Verhältnismässigkeit eingehalten werden muss.

Dies bedeutet, dass die Beschaffung von Personendaten und der Zweck ihrer Bearbeitung für die betroffene Person erkennbar sein müssen. Zudem dürfen nur so viele Daten wie nötig, aber nur so wenige wie möglich bearbeitet werden.

Im Datenschutzgesetz ist der Rechtfertigungsgrund der Zustimmung in die Datenbearbeitung oftmals nicht ausreichend, da es im Arbeitsverhältnis meist an der erforderlichen Freiwilligkeit einer solchen Einwilligung mangeln kann. In Branchen ohne Überwachungsverpflichtungen kann sich aber ein Arbeitgeber zuzüglich zur Einwilligung auf ein überwiegendes privates Interesse berufen, während sich in Branchen mit Überwachungsverpflichtungen ein Rechtfertigungsgrund bereits aus dem Arbeitsvertrag allein ergeben kann.

 IV. Strafrecht: Klare Grenzen einer internen Compliance Untersuchung

Bild 3

Im Hinblick auf die Einhaltung der strafgesetzlichen Bestimmungen ist für den Compliance Officer besondere Vorsicht geboten, da deren Verletzung gravierende Folgen haben kann. Bei Anzeichen auf einen Verstoss gegen das Strafgesetzbuch durch einen Mitarbeitenden besteht für den Arbeitnehmer grundsätzlich keine Anzeigepflicht. Es ist jedoch empfehlenswert, zumindest bei einem Verdacht auf Offizialdelikte, Anzeige zu erstatten, um die Gefahr der Mittäterschaft zu verhindern. Die Anordnung einer Überwachung des Mitarbeitenden zur Beweissicherung und Erhärtung des Verdachts ist Sache der zuständigen Strafverfolgungsbehörde.

Werden die Voraussetzungen und Regeln der Überwachung des Strafgesetzbuches verletzt, so steht dem betroffenen Mitarbeiter nebst den zivilrechtlichen Ansprüchen auch die Möglichkeit zu, strafrechtlich gegen den Arbeitgeber vorzugehen. Im Rahmen von internen Compliance Untersuchungen betrifft dies regelmässig:

  • Überwachung von Telefongesprächen (Art. 179bis StGB)
  • Internet- oder E-Mail-Überwachung (Art. 179novies oder 179quater StGB)

Bild 4Interne Compliance Untersuchungen können nicht nur für das Unternehmen, sondern auch für den Compliance Officer gravierende Folgen haben. Werden die gesetzlichen Grundlagen nicht berücksichtigt, drohen privatrechtliche, datenschutzrechtliche wie auch strafrechtliche Konsequenzen. Haben wir Ihr Interesse geweckt? Beim CAS Compliance Investigator (Start: 31.08.2020) vermitteln wir Ihnen alle Insights zu internen Compliance Untersuchungen.

 

Auskunft: Dr. iur Fabio Babey, EMBA (HSG), Zentrum für Wettbewerbs- und Handelsrecht