Ewald Kager
Die Basis einer internen Untersuchung sind Informationen aus organisationsinternen und -externen Quellen wie Personen, strukturierten und unstrukturierten elektronische Daten sowie physische Dokumente.
eDiscovery bezeichnet jene Vorgehensweisen, bei denen die elektronischen unstrukturierten Daten eines Unternehmens identifiziert, gesichert, analysiert und durchsucht werden, um diese in internen Untersuchungen, zivil- oder strafrechtlichen Verfahren verwenden zu können. Üblicherweise werden die sichergestellten Daten dabei auf einer eDiscovery-Plattform zur Verfügung gestellt. eDiscovery unterstützt Unternehmen dabei, einen Sachverhalt (z.B. wirtschaftskriminelle Handlungen) soweit wie möglich nachzuweisen oder zu rekonstruieren und so Aussagen dahingehend zu treffen, wer was wann gewusst hat. Um etwaigen Datenverlusten vorzubeugen, sollten Daten im Rahmen einer Untersuchung frühzeitig erfasst und gesichert werden.
Bevor interne Untersuchungen gestartet werden können, müssen folgende Punkte berücksichtigt werden:
Der Hinweis über die Verwendung personenbezogener Daten im Rahmen interner Untersuchungen ist in die Informationen gem. Art. 13 bzw. 14 DSGVO aufzunehmen und den Betroffenen zum Zeitpunkt der Datenerhebung bereitzustellen. Dieser kann auch vor dem Beginn der Untersuchung liegen. Mitarbeiter und bei Geschäftspartnern beschäftigte Personen müssen vorab von dieser Verarbeitungstätigkeit in Kenntnis gesetzt werden.
Als Rechtfertigungsgründe können die Einwilligung der Betroffenen oder das überwiegende berechtigte Interesse des Verantwortlichen dienen. In der Regel wird für die Begründung der Rechtmäßigkeit das überwiegende berechtigte Interesse des Verantwortlichen herangezogen. Konkretisiert sich ein strafrechtlich relevanter Verdacht, besteht das Interesse des Verantwortlichen z.B. in der potenziellen Geltendmachung von Rechtsansprüchen aufgrund von Vertragsverletzungen oder Verstößen gegen Geheimhaltungsverpflichtungen.
Wir empfehlen vorab zu prüfen, ob die Privatnutzung von betrieblichen Mitteln (PCs, Notebooks, Smartphones etc.) gestattet ist und ob diesbezüglich organisationsinterne Richtlinien existieren. Bei einem Verbot der Privatnutzung ist davon auszugehen, dass etwaige Suchen nicht eingeschränkt werden müssen. Werden jedoch private Daten gefunden, so müssen diese umgehend von weiteren Analysehandlungen ausgeschlossen werden. Fehlen Richtlinien zur Privatnutzung oder ist diese explizit erlaubt, sind gewissenhafte datenschutzrechtliche Prüfungen anhand des konkreten Sachverhalts durchzuführen. Dies ist z.B. möglich durch:
Der zentrale Grundsatz der Verhältnismäßigkeit und das Gebot der Anwendung des gelindesten Eingriffsmittels sind hierbei zu beachten. Der eDiscovery-Prozess bei BDO sieht deshalb eine mehrstufige (iterative) Vorgehensweise vor, die sich jeweils an den konkreten Verdachtsmomenten orientiert.
Zum Vergrößern anklickenEwald Kager