Begriffe wie „Compliance“ bzw. „IT-Compliance“ verunsichern zunehmend Arbeitgeber, v.a. jene, deren Geschäft von der missbrauchsanfälligen Informationstechnologie abhängt. Dennoch hält sich das beharrliche Gerücht, dass Arbeitgeber für die (Straf)taten ihrer Mitarbeiter nicht verantwortlich seien. Letztere Annahme ist ein Trugschluss. Wenn ein Arbeitgeber seine Arbeitnehmer nicht hinreichend überwacht, und diese deshalb Rechtsverstöße begehen (etwa Computerkriminalität), drohen ihm hohe Bußgelder, denn die Missachtung von Aufsichtspflichten ist eine Ordnungswidrigkeit (§ 130 OWiG). Durch einen so genannten EU-Rahmenbeschluss (eine Art Rahmengesetz der Europäischen Union) wurden die Compliance-Anforderungen verschärft. Doch wieweit darf ein Unternehmen bei der Überwachung gehen? Drohen datenschutzrechtliche Bußgelder? Grund genug für ilex Rechtsanwälte, das Problem zu beleuchten.

Übersicht

• Was ist IT-Compliance?
• Wann drohen Bußgelder (§ 130 OWiG)?
• Was ist mit den Mitarbeiterrechten?
• Fazit: Vorsorge zählt!

1. Was ist IT-Compliance?

Frei nach Wikipedia beschreibt der Begriff „IT-Compliance“ die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft (wikipedia: IT-Compliance) durch die jeweilige Unternehmensführung. Allgemeiner gesprochen bedeutet Compliance, dass ein Unternehmen die eigene Rechtstreue überwacht.

Der Oberbegriff Compliance ist daher sehr weitgehend, denn er umschließt die Prävention vor Rechtsverstößen aller Art. Gerade jedoch Unternehmen, die nicht auf den Einsatz moderner Medien wie E-Mail, interne Netzwerke, PDAs und das „World Wide Web“ verzichten können, treffen hier besondere Pflichten, wie z.B. die Beachtung des Bundesdatenschutzgesetzes (kurz: BDSG) oder des Telekommunikationsgesetzes (kurz: TKG).

2. Wann drohen Bußgelder (§ 130 OWiG)?

Was zunächst wie eine freiwillige Selbstkontrolle klingt, ist alles andere als freiwillig. Mittlerweile sind sämtliche Unternehmen gesetzlich dazu verpflichtet, Compliance-Maßnahmen zu ergreifen. Mit anderen Worten: Gelingt einem Mitarbeiter ein Rechtsverstoß u. a. deshalb, weil der Arbeitgeber ihn nicht überwacht hat, muss der Arbeitgeber ein Bußgeld zahlen. So will es § 130 OWiG.

In diesen Bereich schaltete sich der europäische Gesetzgeber ein. Er legte in Artikel 8 des EU Rahmenbeschlusses 2005/222/JI fest, dass Arbeitgeber für IT-Straftaten ihrer Mitarbeiter ebenfalls zu ahnden sind. Dies nahm der deutsche Gesetzgeber zum Anlass, § 130 OWiG generell zu erweitern. Er wollte klarstellen, „dass § 130 OWiG nicht nur Sonderdelikte erfasst, sondern – ebenso wie § 30 OWiG – auch Allgemeindelikte, wenn sie im Zusammenhang mit der Betriebs- oder Unternehmensführung stehen und daher auch die §§ 202a, 202b, 202c, 303a und 303b StGB taugliche Anknüpfungstaten für eine Verantwortlichkeit nach den §§ 30, 130 OWiG sein können“ (BT-Drs. 16/3656, S. 8). Die dort genannten Normen (z.B. § 202a StGB) entstammen alle aus dem Bereich der Computerkriminalität.

Im Ergebnis sind (auch mittelständische) Unternehmer verpflichtet, ihre Mitarbeiter „zu beaufsichtigen“, damit diese keine (Computer-)Straftaten begehen.

3. Was ist mit den Mitarbeiterrechten?

Zu diesem Ergebnis gelangte einst auch der Deutsche Bahn Konzern und überwachte seine Mitarbeiter „in großem Umfang“. Diese „Compliance“-Maßnahmen führten zu einem großen Datenschutzskandal, denn die Mitarbeiterüberwachung ist durch das Arbeitsrecht, insbesondere das Bundesdatenschutzgesetz beschränkt.

Damit stehen (gerade auch mittelständische) Unternehmer vor einem zweiten Problem. Wenn sie zu wenig Compliance betreiben, droht ein Bußgeld nach § 130 OWiG; wenn sie zu viel Compliance betreiben, droht ein Bußgeld nach Bundesdatenschutzgesetz. Wie kann dieses Dilemma aufgelöst werden?

Grundsätzlich besteht hier eine Wechselwirkung zwischen Datenschutz und Compliance. Insoweit gilt der Merksatz: Compliance-Maßnahmen, die gegen das Datenschutzrecht verstoßen, sind dem Arbeitgeber nicht zumutbar. Ihr Nichtergreifen kann demnach auch zu keinem Bußgeld führen.

Doch die Frage, welche Compliance-Maßnahmen datenschutzrechtlich zulässig sind und welche nicht, ist äußerst komplex und bedarf vertiefter Kenntnisse im Arbeits- und Beschäftigtendatenschutzrecht.

4. Fazit: Vorsorge zählt!

Am Ende lautet das Gebot der Stunde „Vorsorge!“. Es lohnt sich, sein Unternehmen „Compliance“-sicher zu machen. Hierbei kann eine ausführliche, anwaltliche Vorberatung hilfreich sein. Unternehmerinnen und Unternehmer sollten mit einem hierauf spezialisierten Rechtsanwalt die Gefahrenquellen des jeweiligen Unternehmens ermitteln und durch Compliance-Maßnahmen minimieren. Hierbei sind stets auch datenschutzrechtliche Normen zu berücksichtigen. Mit diesem Gesamtkonzept können sich Unternehmen sicherer fühlen. Sollte anschließend dennoch ein Bußgeld ausgesprochen werden, ist die Verteidigung viel leichter, da man ja „vorgesorgt“ hat. Aber auch bei Verteidigungen in IT-Strafsachen kann guter anwaltlicher Rat helfen.