Interdisziplinäre Beratung an der Schnittstelle

Die besondere Stärke der Kanzlei beweist sich an der Schnittstelle der Tätigkeitsschwerpunkte. In Ermittlungsverfahren der Aufsichtsbehörde und Bußgeld-Risiken der DSGVO können durch das Criminal Compliance-Standbein z.B. auch das gesamte Argumentationspotential des Allgemeinen Strafrechts und Besonderheiten des Ordnungswidrigkeitenrechts fruchtbar gemacht werden. Auseinandersetzungen mit der Aufsichtsbehörde erschöpfen sich nicht in Verhältnismäßigkeitserwägungen und Verhandlungen um die Höhe der Sanktion. Die Synergie-Effekte der Rechtsgebiete reichen jedoch noch deutlich weiter: Das Datenschutzrecht ist sowohl Beratungsgegenstand als auch selbst Verteidigungsmittel.

Gerade strafrechtliche Berater haben durch ihre Nähe zum vermeintlichen Konflikt zwischen „Freiheit und Sicherheit“ von jeher Berührungspunkte zum Datenschutz. Aktuell wird in der Corona-Krise zudem mit „Freiheit vs. Gesundheit“ ein weiteres (angebliches) Gegensatzpaar aufgebaut. Diskussionen um Infizierten-Tracing zeigen, dass Datenschutz schnell als Luxusgut präsentiert wird, das einem reibungslosen „Zusammenwirken von Staat und Wirtschaft“ im Weg stehe. Das informationelle Selbstbestimmungsrecht wird aus beiden Richtungen tangiert.

Unternehmen als verlängerter Arm des Staates

Ursprünglich stand noch klar im Vordergrund, den Informationshunger des Staates zu begrenzen. Neben die abwehrrechtliche Funktion des Datenschutzrechts treten heute aber gleichberechtigt Herausforderungen im nicht-öffentlichen Bereich. Dies gilt nicht nur aufgrund des wirtschaftlichen Wertes von Kunden- und Nutzungsdaten und Missbrauchsrisiken aus eigenem kommerziellem Antrieb der Verantwortlichen. Gerade im Compliance-Bereich agieren die Unternehmen vielmehr häufig als verlängerter Arm des Staates.

Die Ressourcenknappheit der Strafverfolgungsbehörden führt auch im Strafrecht zu „Privatisierungstendenzen“. Von Unternehmen wird bei Verdachtsfällen (und weit in deren Vorfeld) inzwischen wie selbstverständlich erwartet, interne Sachverhaltsaufklärung zu betreiben und diese dann als Kooperationspartner an die Strafverfolgungsbehörden weiterzureichen. Bei dieser Entscheidung sind bekanntlich nicht nur eigene – insoweit disponible – Interessen betroffen, sondern insbesondere auch personenbezogene Daten der Beschäftigten.

Datenschutz und Compliance in Einklang bringen

Entsprechend gilt es bei allen Compliance-Maßnahmen, neben der Rechtsgrundlage selbst auch Informationspflichten und Betroffenenrechte mitzudenken, bei der Zusammenarbeit mit externen Dienstleistern ferner auch Auftragsverarbeitungsverhältnisse, ggf. die grenzüberschreitende Übermittlung und andere Risiken. Das Datenschutzrecht ist aber keineswegs „Verhinderer von Compliance“. Richtig eingesetzt können z.B. streng an der Erforderlichkeit des Untersuchungsgegenstands orientierte Keywords sowohl die Belange Betroffener schützen als auch ein uferloses Ausfransen der Untersuchung verhindern.

Internal Investigations sind jedoch nur eine Erscheinungsform eines breiteren Konfliktfelds: Staatliche Sozialkontrolle erfolgt durch sog. Strafverfolgungsvorsorge inzwischen weit im Vorfeld eines Anfangsverdachts. Da der Staat dabei an eigene Grenzen stößt, nimmt er die Privatwirtschaft in die Pflicht. Beispiele sind die Grundstoffüberwachung, das Kontenabrufverfahren, sehr umfassend und branchenübergreifend auch die Geldwäschebekämpfung und unterschiedliche Erscheinungsformen einer Vorratsdatenspeicherung. Aktuell sind vor allem soziale Netzwerke durch erneute Ausweitungen des NetzDG betroffen. In vielen Fällen sind derartige Pflichten nicht hinreichend bestimmt. Gleichzeitig ist jedoch die Nicht- oder Schlechterfüllung bereits bußgeldbewehrt. Auch hier kann das Datenschutzrecht Grenzen aufzeigen.