Gesetzmäßiges Handeln im Unternehmen, Schutz des Gesellschaftsvermögens, Verbraucherschutz – hehre Ziele, die zu verfolgen jedermann begrüßen wird. Wenn aber zur Aufdeckung ungesetzlichen Handelns personenbezogene Daten von Arbeitnehmern verarbeitet werden müssen, ist zumindest die öffentliche Meinung merkwürdig widersprüchlich. Und wenn ein Arbeitnehmer Gesetzesverstöße im Unternehmen öffentlich anprangert, halten die deutschen Arbeitsgerichte eine verhaltensbedingte Kündigung für wirksam, während der EuGH dem Whistleblower eine Entschädigung zuspricht. Wie so häufig werden in der Diskussion oft vermeintlich zwingend erscheinende Lösungsvorschläge unterbreitet, ohne die Auswirkungen auf andere Rechtsgüter zu berücksichtigen.
In einigen jüngeren Spezialgesetzen wird das Spannungsfeld zwischen Compliance und Arbeitnehmerschutz stillschweigend zu Lasten des letzteren aufgelöst – weitgehend unbemerkt selbst von weiten Teilen der Fachöffentlichkeit. Nach § 25c KWG müssen Kreditinstitute über Verfahren und Grundsätze zur Verhinderung von Straftaten verfügen. Zu diesem Zweck müssen sie DV-Systeme betreiben, mit Hilfe derer sie einzelne Transaktionen auf ihre Strafbarkeit untersuchen können. § 25c Abs. 2 Satz 2 KWG erlaubt ausdrücklich die Nutzung personenbezogener Daten zu diesem Zweck. Mit dem kürzlich in Kraft getretenen Anlegerschutz- und Funktionsverbesserungsgesetz (AnsFuG) werden persönliche Anforderungen an Mitarbeiter definiert, die in Banken in der Anlageberatung tätig sind. Sie müssen sachkundig und zuverlässig sein. Widrigenfalls kann die BaFin ein Beschäftigungsverbot aussprechen – mit der Folge, dass eine personenbedingte Kündigung des Arbeitsverhältnisses gerechtfertigt ist, nicht anders als wenn einem Kraftfahrer die Fahrerlaubnis entzogen wird. Hier führt der Verbraucherschutz per Gesetz zu einer Verkürzung der Arbeitnehmerrechte.
Im Arbeitnehmerdatenschutz schien es zunächst umgekehrt. Der ursprüngliche Entwurf des Beschäftigtendatenschutzes in §§ 32a bis 32l BDSG verbot nahezu alles, was bisher als erlaubt galt. Im Laufe der Diskussion ist ein vernünftiger Kompromiss gefunden worden: Die verdeckte Videoüberwachung ist verboten. Andererseits bleibt es dabei, dass sowohl die Einwilligung als auch eine Betriebsvereinbarung die Verarbeitung personenbezogener Daten rechtfertigen können, wenn die Spielregeln eingehalten werden. Die Datenerhebung ohne Kenntnis des Betroffenen unterliegt strengen Regeln, die angesichts der fast unbegrenzten Transparenz vieler Social Media zum Teil etwas lebensfremd erscheinen. Vor allem wurde klargestellt, dass die Auswertung von E-Mails auf dem Server nicht dem Telekommunikationsrecht unterliegt, was ohnehin niemand verstanden hat. Die Rechtmäßigkeit der E-Mail-Überwachung ist vielmehr an den Anforderungen des BDSG zu messen. Und das heißt in erster Linie Interessenabwägung und Verhältnismäßigkeit.
Diese Regel ist verallgemeinerungsfähig: Es gibt keinen absoluten Vorrang von Compliance oder Arbeitnehmerschutz. Sowohl die Sicherstellung rechtmäßigen Verhaltens als auch der Persönlichkeitsschutz der Arbeitnehmer haben hohe Priorität. Eingriffe in Arbeitnehmerrechte zur Sicherstellung des gesetzmäßigen Verhaltens in Unternehmen können zulässig sein, aber nur unter strenger Beachtung des Grundsatzes der Verhältnismäßigkeit.