Compliance Management im Unternehmen. Martin R. Schulz
Verhängung aufsichtsrechtlicher Maßnahmen durch die zuständigen Aufsichtsbehörden sein. Unangenehme persönliche Nebenfolgen einer strafrechtlichen Verurteilung sind nicht nur etwa die Entziehung der Fahrerlaubnis, des Waffenscheins oder der Wegfall einer Fluglizenz, sondern insbesondere der Entfall der erforderlichen beruflichen Zuverlässigkeit als Geschäftsleiter eines Unternehmens.
206
Von besonderer Relevanz sind insoweit etwa die Maßnahmen, die die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zur Gefahrenabwehr durchführen kann. Erweist sich etwa der Geschäftsleiter eines Kreditinstitutes, eines Finanzdienstleisters oder einer Versicherung aufgrund einer strafrechtlichen Ahndung als nicht hinreichend persönlich zuverlässig, so kann die BaFin gegenüber dem Aufsichtsorgan verlangen, dass dieser Geschäftsleiter abberufen und ersetzt wird. Die BaFin kann auch Mitglieder von Aufsichtsorganen, die nicht über die notwendige Zuverlässigkeit verfügen, abberufen und Befugnisse eines Aufsichtsorgans auf einen Sonderbeauftragten übertragen. Eine solche Beeinträchtigung der erforderlichen persönlichen Zuverlässigkeit ergibt sich häufig aus strafgerichtlichen Verurteilungen aufgrund betriebsbedingter Straftaten und kann im Einzelfall sogar bereits im Falle einer Einstellung eines Strafverfahrens gem. § 153a StPO angenommen werden.
207
In einer Vielzahl von Fällen sind es jedoch auch die Unternehmen selbst, die im Falle ihrer Zertifizierung nach unterschiedlichen Vorschriften Vorteile im Geschäftsverkehr in Anspruch nehmen. So existieren etwa im Außenwirtschaftsrecht Vereinfachungen, sog. allgemeine Genehmigungen, für zertifizierte Empfänger, die insbesondere die Zuverlässigkeit des Empfängerunternehmens voraussetzen. Der Vorteil des Unternehmens liegt somit in dem erleichterten Erhalt von Gütern. Vergleichbare Regelungen gibt es in zahlreichen anderen Bereichen auch, so etwa dem Arzneimittelrecht oder auch dem Luftsicherheitsrecht. Darüber hinaus haben die Aufsichtsbehörden im Wirtschaftsverwaltungsrecht im Zusammenhang mit strafrechtlichen Verurteilungen ein weitgehendes Instrumentarium, das im Einzelfall sogar eine Betriebsschließung ermöglicht (§§ 20 BImSchG, § 35 GewO, §§ 35ff. KWG, §§ 61f. GmbHG, § 396 AktG).
VII. Strafrechtliche Risiken innerhalb des Compliance- Prozesses („failed compliance“)
208
Auch der Compliance-Prozess als solcher enthält nicht unerhebliche Compliance-Risiken für das Unternehmen und seine Verantwortlichen. Da sich der Geschäftsherr bei der Aufklärung mutmaßlicher Compliance-Verstöße durch interne Ermittlungen regelmäßig auf der Seite des Rechts wähnt, wird das Risiko, auch im Rahmen des Aufklärungsprozesses strafrechtlich relevante Fehler zu begehen, entweder ausgeblendet oder jedenfalls gering geschätzt. Die im Rahmen der Durchführung interner Ermittlungen begangenen Verstöße, die sog. „failed compliance“, sind jedoch aufgrund des verfolgten „guten Zwecks“ keinesfalls pauschal gerechtfertigt und werden auch von den Ermittlungsbehörden regelmäßig verfolgt. Tatsächlich besteht hier sogar ein relativ großes Entdeckungsrisiko, da die „Opfer“ derartiger Compliance-Verstöße, etwa der gekündigte Mitarbeiter oder auch der übergangene Betriebsrat aus Gründen der Prävention regelmäßig ein großes Aufklärungsinteresse besitzen und die Verfahren nachhaltig betreiben.
209
Bereits bei einer der Standardmaßnahmen interner Ermittlungen, einer Auswertung des elektronischen Datenbestands (sog. „eSearch“), können etwa die Straftatbestände des Ausspähens von Daten gemäß § 202a Abs. 1 StGB, der Verletzung des Post- oder Fernmeldegeheimnisses gemäß § 206 Abs. 1 StGB sowie auch und insbesondere der unbefugten Datenverarbeitung gemäß § 44 Abs. 1 i.V.m. § 43 Abs. 2 Nr. 1 BDSG verwirklicht werden. Entscheidend ist hierbei die Ausgangsfrage, ob die auszuwertenden elektronischen Daten, etwa der E-Mail-Account des verdächtigen Mitarbeiters, Daten des Unternehmens oder (auch) Daten des Mitarbeiters sind. Nach einer weitverbreiteten Auffassung ist der Arbeitgeber, der seinen Organmitgliedern und Mitarbeitern auch nur die maßvolle private Nutzung der IT-Infrastruktur sowie der Kommunikationsmedien des Unternehmens gestattet oder sie auch nur duldet, als Telekommunikationsanbieter im Sinne des Telekommunikations-gesetzes (TKG) zu qualifizieren und unterliegt damit dem Fernmeldegeheimnis gemäß § 88 TKG. Nach § 3 Nr. 10 TKG ist das nachhaltige Angebot von Telekommunikation mit oder ohne Gewinnerzielungsabsicht bereits ein geschäftsmäßiges Erbringen von Telekommunikationsdiensten und zwar auch dann, wenn das Unternehmen seine Telekommunikationseinrichtungen den Mitarbeitern auch für private und wirtschaftliche Zwecke zur Verfügung stellt. Damit wiederum ist dann der Anwendungsbereich des Straftatbestandes des § 206 StGB, der Verletzung des Post- oder Fernmeldegeheimnisses, eröffnet.233
210
Die Problematik besteht dann darin, dass eine Rechtfertigung insoweit lediglich aus dem Normengeflecht des TKG erfolgen kann, so etwa gemäß § 100 Abs. 1 TKG, wenn der Eingriff zur Beseitigung von Störungen erforderlich ist, oder gemäß § 100 Abs. 3 TKG im Falle des Vorliegens von Anhaltspunkten für eine rechtswidrige Inanspruchnahme eines Telekommunikationsdienstes, etwa im Fall der Leistungserschleichung. Dies ist jedoch im Falle interner Ermittlungen regelmäßig nicht der Fall.
211
Die zwischenzeitlich herrschende Auffassung sieht jedoch den Schutzbereich des TKG im Unternehmenskontext als erst gar nicht eröffnet an. Da § 88 TKG nur die dynamische Übertragung und nicht etwa (auf dem Unternehmensserver) ruhende Mails erfasse und der Arbeitnehmer auch kein Dritter im Sinne von § 3 Nr. 10 TKG sei, sei der Zugriff auf Arbeitsplatzrechner und/oder E-Mails des Mitarbeiters nicht am Fernmeldegeheimnis, sondern nur am Bundesdatenschutzgesetz zu messen mit der Folge, dass sich eine etwaige Strafbarkeit allenfalls aus den §§ 43, 44 BDSG ergebe.234
212
Da die Auswertung elektronischer Daten im Rahmen eines eSearchs auch eine Datenverarbeitung im Sinne von Art. 5 DSGVO ist, besteht jedoch das Risiko einer Ordnungswidrigkeit bzw. einer Strafbarkeit gemäß §§ 41ff. BDSG i.V.m. Art. 83 DSGVO. Ordnungswidrig handelt insoweit, wer vorsätzlich oder fahrlässig unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet. Wird eine derartige Handlung dazu „gegen Entgelt“ oder „in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen“, begangen, so stellt dieser Verstoß zudem auch noch eine Straftat dar. Da nur eine unbefugte Datenerhebung bzw. -verarbeitung (straf-) rechtlich relevant ist, unterliegt eine derartige Compliance-Maßnahme dem Erfordernis einer Rechtfertigung aus dem Datenschutzrecht. Eine solche Rechtfertigung kann im Einzelfall in einer konkreten Einwilligung im Sinne von Art. 7 DSGVO oder etwa aufgrund einer abgeschlossenen Betriebsvereinbarung bestehen, die Voraussetzungen dieser beiden Einwilligungstatbestände sind jedoch komplex.235 Regelmäßig wird eine Rechtfertigung aus § 26 Abs. 1 S. 1 BDSG bzw. bei der Aufdeckung von Straftaten gemeinsam mit § 26 Abs. 1 S. 2 BDSG erforderlich sein. Die Erfüllung der Anforderungen des § 26 BDSG sind jedoch nicht unerheblich und müssen im Detail geprüft und dokumentiert werden. Probleme entstehen in der Praxis regelmäßig bei der gleichzeitigen Auswertung der Daten nicht verdächtiger Mitarbeiter, bei der nicht hinreichenden Dokumentation des erforderlichen Anfangsverdachts, im Falle der Nichteinhaltung des Mitbestimmungsrechts des Betriebsrates oder auch der Nichtberücksichtigung des Verhältnismäßigkeitsprinzips. Eine konkretere Darstellung würde den Rahmen dieses Kapitels jedoch sprengen, so dass auf die Ausführungen im Kapitel 11 (Datenschutz) verwiesen werden muss.
213
Das Risiko einer Strafbarkeit wegen des Ausspähens von Daten gemäß § 202a Abs. 1 StGB durch interne Ermittlungen ist regelmäßig gering, da der Tatbestand des § 202a Abs. 1 StGB lediglich das Ausspähen von Daten umfasst, die besonders gesichert sind, etwa durch einen Kennwortschutz, wofür die Vergabe eines allgemeinen dienstlichen Nutzerpasswortes nicht ausreichend ist.236 Der Tatbestand des § 202a Abs. 1 StGB erfasst in erster Linie das sog. „Hacking“ unter Einsatz von Trojanern oder vergleichbaren Programmen. Werden ausschließlich dienstliche E-Mails „gehackt“, scheidet eine Strafbarkeit gemäß § 202a Abs. 1 StGB bereits deswegen aus, weil derartige E-Mails alleine dem Arbeitgeber zuzuordnen sind.237
214