Compliance-Überwachung bei der Deutschen Bank: Keine Beförderung bei roter Karte

An sich ist es ein alter Hut. Wie fast alle, versteht auch die Deutsche Bank unter dem Begriff "Compliance" die Einhaltung von Regeln, Bestimmungen und Standards. In einem im Internet veröffentlichten circa neunseitigen Memorandum erklärt die Bank ihr Compliance-Managementsystem. Man findet unmissverständlich die üblichen harten Worte: "Wir erwarten von allen Mitarbeitern der Deutschen Bank, dass sie unsere Compliance-Standards einhalten…".

Und weiter: "So wollen wir Regelkonformität mit allen geltenden Gesetzen, Bestimmungen und Standards gewährleisten." Dann kommt das Red-Flag-Überwachungssystem. Dabei werden alle Verstöße gegen Compliance-Anforderungen in spezifischen Bereichen gemeldet. Unorthodox ist der Ansatz, Verstöße nicht nur disziplinarisch mit Ermahnung, Abmahnung und Kündigung zu ahnden, sondern auch bei Leistungsbeurteilungen, Beförderungen und Gehaltserhöhungen zu berücksichtigen.

Der Erfolg scheint dem System Recht zu geben. Nach einer eigenen Bewertung der Bank ist die Zahl der Red-Flag-Vorfälle in den drei wichtigen Abteilungen Corporate Banking, Securities und Global Transaktion Banking im Vergleich zum Vorjahr um 53 Prozent gesunken (Stand Ende 2012). Dass ein solches System nur dann erfolgreich arbeiten kann, wenn die festgestellten Verstöße in einer Datenbank gespeichert werden, versteht sich von selbst.

Das alte Lied: Compliance gegen Datenschutz

Das hat nun aber die Arbeitnehmervertreter der Deutschen Bank hellhörig gemacht. Nach einem Bericht von süddeutsche.de machen sich die Betriebsräte datenschutzrechtliche Sorgen wegen der geplanten Ausweitung des Red-Flag-Systems auf die gesamte Belegschaft – ihnen geht der Kulturwandel des Instituts da wohl ein bisschen zu weit.

Die Belegschaftsvertreter reklamieren ein Mitbestimmungsrecht, wenn "derartige Daten" (gemeint sind offensichtlich personenbezogene Daten aus dem Red-Flag-Überwachungssystem) gesammelt und in einer Datenbank gespeichert werden. Nach dem Willen der Bank-Betriebsräte soll das System ohne Gedächtnis arbeiten.

Es ist das alte Spannungsfeld zwischen Compliance und Datenschutz. Ein Spannungsfeld, an dem im Frühjahr 2013 auch die letzte Initiative der Bundesregierung zur Reform des Arbeitnehmerdatenschutzrechts gescheitert war.

Warum aber sollte die Arbeitnehmervertretung bei einem rein datenschutzrechtlichen Vorgang – dem Speichern und Verarbeiten der personenbezogenen Daten des Red-Flag-Systems – überhaupt mitbestimmen? Datenschutzrechtlich kann sich die Deutsche Bank auf § 32 des Bundesdatenschutzgesetzes (BDSG) berufen, der es erlaubt personenbezogene Daten von Mitarbeitern für die Durchführung des Arbeitsverhältnisses zu erheben, verarbeiten und nutzen. Das umfasst auch die Kontrolle der Leistung und des Verhaltens der Beschäftigten, also inwieweit sie Compliance-Anforderungen einhalten. Vielleicht wäre hier ein Weniger an Mitbestimmung ein Mehr an Compliance?

Lehre aus dem Siemens-Korruptionsskandal

Grundsätzlich ist die Deutsche Bank mit ihrem Red-Flag-Überwachungssystem nicht allein. Auch ThyssenKrupp identifiziert Compliance Risiken im Rahmen der operativen Planung der Konzernunternehmen und zwar vom Vorstand bis hinunter auf die Ebene einzelner Mitarbeiter. Letztendlich sind diese Red-Flag-Systeme Alternativen zu traditionellen Präventions- und Repressionsmechanismen. Es soll Compliance-Risiken bei einzelnen Mitarbeitern präventiv erkennen und entsprechende Personalentscheidungen vorbereiten.

Die Unternehmen ziehen damit die Lehren aus dem bekanntesten deutschen Compliance-Fall, dem Siemens-Korruptionsskandal, dessen arbeitsrechtliche Aufarbeitung mitunter enttäuschend verlaufen ist. Die Arbeitsgerichte taten sich schwer, verhaltensbedingte Kündigungen wegen Korruptionsvergehen zu bestätigen. Zu schwer wog aus Sicht der Arbeitsrichter die Mitverantwortung des Unternehmens (exemplarisch Arbeitsgericht München, Urt. v. 02.10.2008, Az. 13 Ca 17197/07).

Da man den Tätern also nicht ohne weiteres kündigen kann, liegt aus Sicht des Managements wohl nichts näher, als mögliche Compliance-Verletzter erst gar nicht Karriere machen zu lassen.

Der Autor Dr. Jan Tibor Lelley, LL.M. ist Fachanwalt für Arbeitsrecht und Partner bei Buse Heberer Fromm Rechtsanwälte Steuerberater PartG.