合规违规和内部调查：是否允许访问通信内容？

fabiha01

pb合规性

自 2023 年 12 月 17 日起，拥有 50 多名员工的公司必须根据《举报人保护法》（HinSchG）第 12 条实施内部报告点。如果举报机构收到合理的信息，表明存在《HinSchG》第 2 条所定义的违规行为，则举报机构或相关公司有义务采取后续措施（《HinSchG》第 18 条）。后续措施尤其包括通过内部调查澄清涉嫌违规行为。

无论是否存在内部报告办公室，法人实体（特别是股份公司和有限公司）的管理层都有义务从合规角度调查和纠正可能存在的合规违规行为。由于有义务遵守合法性（=公司有义务遵守适用法律），如果存在继续违反法律的可能性，则尤其适用。

通常，公司管理层无权决定是否进行内部调查。但具体调查措施、调查深度等还有设计的余地。

内部调查是合规管理的核心组成部分，但在合规违规方面往往会带来重大风险（例如数据保护违规、调查结果的合法可用性等）。

本文重点介绍内部调查的组织以及与评估员工（电子）通信内容相关的符合数据保护方法的要求。

数据保护的法律起点
在启动导致处理个人数据的内部调查之前，以及在适用的情况下，在艺术含义内改变目的之前， 6（4）GDPR，必须明确处理的法律依据。在评估法律依据时，始终取决于内部调查的原因、追求的目标以及控制者（GDPR 第 4 条第 7 款）意识到可能存在违规行为的渠道。

如果根据向内部报告办公室发送的合理提示启动内部调查，则根据《条例》第 14 条对个人数据（员工的）进行必要的处理以澄清违规行为通常是合法的。 GDPR 6（1）（c）条与 HinSchG 第 10 条结合规定。这包括处理特殊类别的个人数据（GDPR 第 9 条）。但在这种情况下，报告办公室必须根据 BDSG 第 22（2）条实施具体和适当的措施来保护数据主体的利益。

如果没有内部报告办公室，HinSchG 的规定就不能作为处理的法律依据。无论内部调查是基于向内部报告办公室的举报还是基于其他合规违规迹象而启动，新加坡商业传真列表 只要处理对于实施或终止雇佣关系是必要的，联邦数据保护法 (BDSG) 第 26 条第 1 款第 1 句都将作为处理的进一步法律依据。内部调查绝不能“秘密”进行。相反，必须存在具体且合理的怀疑，并且违规行为必须与整体相关（最低限度门槛）。

如果内部调查还旨在揭露员工可能存在的犯罪行为，则还必须考虑《联邦数据保护法》（BDSG）第 26 条第 1 款第 2 句的要求。在这些案件中，需要有《刑事诉讼法》第 152 条第 2 款规定的初步怀疑（实际证据）。此外，必须根据每个个案情况进行利益平衡，并且整个措施必须遵守比例原则。

如果由于欧洲法院 2023 年 3 月 30 日 C 34/21 的裁决（我们报告）而导致 BDSG 第 26（1）节将来不再适用，则处理操作（根据 HinSchG 第 10 节，内部报告办公室未执行的操作）必须基于适当设计的工作协议（参见 BDSG 第 26（4）节）或根据第 6（1）条第 1 句的合法利益。 f GDPR。后者也适用于第三方（例如外部通信伙伴）的个人数据。毫无疑问，由于有义务遵守法律要求，并且为了建立、行使或辩护法律索赔而进行处理，控制者在这方面拥有合法权益。控制者的合法利益超过数据主体的利益、基本权利和自由的程度必须根据具体情况进行评估。如果在此背景下特殊类别的个人数据也受到影响，则还必须以 GDPR 第 9（2）（f）条作为处理的法律依据。

电信保密问题
如果雇主允许或容忍私人使用工作电子邮件账户，那么雇主在多大程度上应被视为电信服务提供商（《电信法》第 3 条）并因此必须保持电信保密，多年来一直存在争议。

目前，电信保密受到《电信和电信媒体数据保护和隐私保护法》（TTDSG）第 3 节第 3 款的管制，违反该法将根据《德国刑法》第 206 条予以处罚。关于雇佣关系，最高法院仍未明确如果允许员工将其工作电子邮件帐户用于私人目的，雇主是否必须保持电信保密。尽管有很多证据表明，即使允许私人使用工作电子邮件账户，雇主也不应被视为电信服务提供商（《电信法》第 3 条），但监管机构，在某些情况下，法院仍然认为，公司在这些情况下必须遵守电信保密规定。这样做的后果是，如果雇主的公司通信系统中包含私人通信内容，则会对通信内容的评估产生阻碍作用。如果真是这样，内部调查的成功和整个合规组织的有效性将受到严重损害。

我们在此不想深入讨论雇员背景下的电信保密问题，但应该始终牢记，一旦传输过程完成，接收者记下了内容并有意将消息保存在雇主的通信系统中或将其留在那里，通信内容就不再受到电信保密的保护。这至少适用于通信系统在雇主自己的服务器上运行并且通信数据托管在那里的情况。但是，如果使用外部提供商，由于缺乏控制，电信保密性仍然适用（参见2009 年 6 月 16 日 BVerfG 判决 - 2 BVR 902/06）。

因此，为了确保内部调查能够迅速且合法地进行，我们仍然强烈建议公司严格禁止私自使用公司通讯媒体，或者在工作协议或指南中制定具体规定，规范内部调查的程序。如果要在有限的范围内允许私人使用，建议仅在员工同意必要的数据处理（垃圾邮件和病毒过滤器、授权安排、合规性相关分析等）且私人内容与工作相关内容明确分开的前提下才允许。如果未经同意，则禁止私人使用，只允许商业使用。