Checklisten für interne Untersuchungen

Die folgenden Checklisten sind Leitfäden für die vielen Fragen, die man sich stellen muss, bevor man mit einer Untersuchung beginnen kann. Klare Ja/nein-Antworten auf die einzelnen Fragen gibt es nicht - sie wären auch gefährlich. Die Situationen sind, was das Arbeitsrecht anbelangt, zum Großteil noch nie gerichtlich geklärt worden. Was den Datenschutzteil anbelangt, hängen die Antworten zumeist vom Einzelfall ab. Kurzum: Ein IT-Leiter sollte im konkreten Fall mit dieser Liste zu seiner Rechtsabteilung gehen, um die verschiedenen Punkte durchzusprechen.

Checkliste Datenschutz

1. Ist es möglich, die Untersuchung auf eine Einwilligung der zu Untersuchenden zu stützen (Achtung: Teilweise wird die Ansicht vertreten, dass Mitarbeitereinwilligungen nicht freiwillig seien, dies gilt aber grundsätzlich nicht für die Geschäftsführung und leitende Angestellte)? Wenn nein, gibt es einen Rechtfertigungstatbestand für die Untersuchungsmaßnahmen (typischerweise: § 28 Abs. 1 Nr. 2 BDSG)?

2. Sind die Betroffenen von der Untersuchung und insbesondere über die verantwortliche Stelle, die zu verarbeitenden Daten und mögliche Empfänger der Daten informiert worden?

3. Gibt es eine IT-/E-Mail-Richtlinie, die bei der Untersuchung zu befolgen ist?

4. Wurde diese Richtlinie in der Vergangenheit durchgesetzt? (Nichtdurchsetzung des Verbots der privaten Nutzung kann zu einer betrieblichen Übung führen, so dass die private Nutzung erlaubt wäre, wobei dann das Fernmeldegeheimnis auf private E-Mails und die Umstände der Kommunikation Anwendung finden könnte, siehe unten)

5. Wird die Überprüfung durch

   - einen externen Dienstleister durchgeführt und hat der Dienstleister einen Auftragsdatenverarbeitungsvertrag unterzeichnet, § 11 BDSG?

   - einen Mitarbeiter durchgeführt und hat der Mitarbeiter eine Verpflichtung auf das Datengeheimnis unterzeichnet, § 5 BDSG?

6. Sind für eine elektronische Durchsuchung relevante Stichwörter, die helfen sollen, dass lediglich relevante und keine privaten E-Mails herausgefiltert werden, identifiziert worden?

7. Sind dem Dienstleister oder Mitarbeiter schriftliche Anweisungen gegeben worden, wie er die Untersuchung vornehmen soll (Stichworte, Zeitraum etc.) und wie er private oder nicht relevante E-Mails behandeln soll (zum Beispiel "sofort schließen" "nicht lesen”, "nicht kopieren”, "nicht weiterleiten", "nicht drucken")?

8. Werden die Ergebnisse der Untersuchung (zum Beispiel die Ergebnisse der E-Mail-Durchsuchung oder Interviewmitschriften bei Mitarbeiterbefragungen)

   - an Dritte übermittelt (an andere Unternehmen der Gruppe, die möglicherweise außerhalb der EU sitzen) und - sofern die Antwort "ja" ist -,

   - ist die Zulässigkeit der Übermittlung überprüft worden (typischerweise: § 28 Abs. 1 No. 2 BDSG), und

   - ist beim Empfänger ein angemessenes Datenschutzniveau sichergestellt (zum Beispiel durch EG-Standardvertragsklauseln, Safe-Harbor-Zertifizierung oder verbindliche Unternehmensrichtlinien)?

9. Werden die Ergebnisse der E-Mail-Durchsuchung oder Interviewmitschriften bei Mitarbeiterbefragungen vor Weiterleitung anonymisiert oder pseudonymisiert?

10. Sind die Aufbewahrungs- und Löschungsfristen für Untersuchungsergebnisse klar, und wird die Löschung von Untersuchungsergebnissen eingehalten und kontrolliert?

11. Ist dem Datenschutzbeauftragten das Recht zur Vorabkontrolle eingeräumt worden, § 4 d Abs. 5 und 6 BDSG?