eDiscovery - Untersuchungen in Zeiten der DSGVO

Daten sind das Fundament jeder Untersuchung

Die Basis einer internen Untersuchung sind Informationen aus organisationsinternen und -externen Quellen wie Personen, strukturierten und unstrukturierten elektronische Daten sowie physische Dokumente.

eDiscovery

eDiscovery bezeichnet jene Vorgehensweisen, bei denen die elektronischen unstrukturierten Daten eines Unternehmens identifiziert, gesichert, analysiert und durchsucht werden, um diese in internen Untersuchungen, zivil- oder strafrechtlichen Verfahren verwenden zu können. Üblicherweise werden die sichergestellten Daten dabei auf einer eDiscovery-Plattform zur Verfügung gestellt. eDiscovery unterstützt Unternehmen dabei, einen Sachverhalt (z.B. wirtschaftskriminelle Handlungen) soweit wie möglich nachzuweisen oder zu rekonstruieren und so Aussagen dahingehend zu treffen, wer was wann gewusst hat. Um etwaigen Datenverlusten vorzubeugen, sollten Daten im Rahmen einer Untersuchung frühzeitig erfasst und gesichert werden.

Voraussetzungen 

Bevor interne Untersuchungen gestartet werden können, müssen folgende Punkte berücksichtigt werden:

  • Vorliegen konkreter Verdachtsmomente
  • Beachtung datenschutzrechtlicher Bestimmungen
  • Prüfung organisationsinterner Vorgaben zur Privatnutzung
  • Beachtung rechtlicher Bestimmungen (z.B. Arbeitsrecht, Datenschutz) 
  • Abstimmung mit dem Betriebsrat

Datenschutzrechtliche Bestimmungen

Der Hinweis über die Verwendung personenbezogener Daten im Rahmen interner Untersuchungen ist in die Informationen gem. Art. 13 bzw. 14 DSGVO aufzunehmen und den Betroffenen zum Zeitpunkt der Datenerhebung bereitzustellen. Dieser kann auch vor dem Beginn der Untersuchung liegen. Mitarbeiter und bei Geschäftspartnern beschäftigte Personen müssen vorab von dieser Verarbeitungstätigkeit in Kenntnis gesetzt werden.
Als Rechtfertigungsgründe können die Einwilligung der Betroffenen oder das überwiegende berechtigte Interesse des Verantwortlichen dienen. In der Regel wird für die Begründung der Rechtmäßigkeit das überwiegende berechtigte Interesse des Verantwortlichen herangezogen. Konkretisiert sich ein strafrechtlich relevanter Verdacht, besteht das Interesse des Verantwortlichen z.B. in der potenziellen Geltendmachung von Rechtsansprüchen aufgrund von Vertragsverletzungen oder Verstößen gegen Geheimhaltungsverpflichtungen.

Privatnutzung von betrieblichen Mitteln

Wir empfehlen vorab zu prüfen, ob die Privatnutzung von betrieblichen Mitteln (PCs, Notebooks, Smartphones etc.) gestattet ist und ob diesbezüglich organisationsinterne Richtlinien existieren. Bei einem Verbot der Privatnutzung ist davon auszugehen, dass etwaige Suchen nicht eingeschränkt werden müssen. Werden jedoch private Daten gefunden, so müssen diese umgehend von weiteren Analysehandlungen ausgeschlossen werden. Fehlen Richtlinien zur Privatnutzung oder ist diese explizit erlaubt, sind gewissenhafte datenschutzrechtliche Prüfungen anhand des konkreten Sachverhalts durchzuführen. Dies ist z.B. möglich durch:

  • Einbeziehen der Betroffenen bei der Durchsicht der Daten
  • Prüfen der Metadaten, um potenziell private Daten zu identifizieren und auszuschließen
  • Auffordern der Betroffenen, private Daten vor der Untersuchung durch Kennzeichnung auszuschließen

Empfehlungen für die praktische Umsetzung

  • Implementierung von Richtlinien/Vorgaben technischer, organisatorischer und rechtlicher Natur zur Privatnutzung betrieblicher Mittel
  • Ergänzung der Informationen gem. Art. 13 bzw. 14 DSGVO (Informationspflichten gegenüber betroffenen Personen) um die Verwendung personenbezogener Daten im Rahmen von  internen Untersuchungen
  • Implementierung geeigneter Maßnahmen zur Kennzeichnung privater Daten bzw. zur Abgrenzung von geschäftlichen Daten (z.B. mittels Mobile-Device-Management)
  • Frühzeitige Beiziehung von IT-forensischen und (datenschutz-)rechtlichen Experten

Unsere Methodologie

Der zentrale Grundsatz der Verhältnismäßigkeit und das Gebot der Anwendung des gelindesten Eingriffsmittels sind hierbei zu beachten. Der eDiscovery-Prozess bei BDO sieht deshalb eine mehrstufige (iterative) Vorgehensweise vor, die sich jeweils an den konkreten Verdachtsmomenten orientiert.

Zum Vergrößern anklicken