Datenschutz: Übermittlung von Mitarbeiterdaten

Datensicherheit, Mitarbeiter

Ein Konzernunternehmen darf Mitarbeiterdaten zum Zweck der Aufklärung und Untersuchung von Compliance-Verstößen an ein anderes nur weitergeben, wenn ein „überwiegendes berechtigtes Interesse“ des anderen Konzernunternehmens vorliegt und eine Betriebsvereinbarung abgeschlossen wurde.

Die Datenschutzkommission hat am 14. 12. 2012 die Meldung strafrechtlich relevanter Compliance-Vertsöße von Mitarbeitern einer österreichischen Konzerntochter an die deutsche Konzernmutter unter folgenden Auflagen zugelassen: 

  • Nur maßgebliche Compliance-Verstöße, die Führungskräften oder vergleichbar hochgestellten Mitarbeitern der Konzerntochter angelastet werden, dürfen (über eine whistle blowing hotline oder einen lokalen Compliance Officer) der Konzernmutter zum Zweck der Aufklärung und Untersuchung gemeldet werden. 
  • Die Konzerntochter muss vor der Einführung eines solchen Kontrollsystems eine „angemessene“ Betriebsvereinbarung darüber abschließen (§§ 96, 96a ArbVG). Gibt es keinen Betriebsrat, darf das Kontrollsystem nicht eingeführt werden.
  • Die Untersuchungs-Stelle muss von den anderen Konzernstellen getrennt sein. Nur besonders geschulte und für die Vertraulichkeit der gemeldeten Daten verantwortliche Mitarbeiter dürfen dort tätig werden. 
  • Anonyme Meldungen dürfen nicht gefördert werden. Meldern ist volle Vertraulichkeit hinischtlich ihrer Identität zuzusichern, wenn sie diese angeben. Die Identität eines Melders darf nur offengelegt werden, wenn sich nachträglich herausstellt, dass die Anschuldigung bewusst falsch erhoben wurde.
  • Den Beschuldigten ist Zugang zu den Anschuldigungen zu gewähren. 
  • Gemeldete Daten sind spätestens zwei Monate nach dem Ende der Untersuchung zu löschen.