Jusletter IT

IT-Risk und Compliance Governance, Business Alignment, IT-Portfolio-Management und Service Oriented Architecture sind Fachbegriffe, die jeder IT-Leiter versteht. Fragt man sie jedoch nach der Bedeutung von Electronic Discovery oder kurz E-Discovery, so können mit diesem Begriff die wenigsten etwas anfangen.

E-Discovery hat seinen Ursprung in den USA. Nach dem US-amerikanischen Zivilprozessrecht (Federal Rules of Civil Procedure – FRCP) können die Parteien in einem gerichtlichen Vorverfahren, dem sog. «Pre-Trial Discovery», von der Gegenseite die Aufbereitung und Vorlage umfassender Informationen zu allen für den Streitfall (potentiell) relevanten Tatsachen verlangen. Seit dem 1.12.2006 müssen auch elektronisch generierte und gespeicherte Daten auf Aufforderung bereitgestellt werden. Die Formulierung «any designated documents or electronically stored information – including writings, drawings, graphs, charts, photographs, sound recordings, images and other data or data compilations …» lässt da kaum Spielräume offen. Abgeleitet aus dieser Formulierung hat sich daher auch die gebräuchlichste Definition für E-Discovery entwickelt:

Wenn wir heute von E-Discovery in der Praxis sprechen, so sind in der Regel unstrukturierte Daten (Emails, etc.) gemeint. Die strukturierten Daten (Buchhaltungsdaten) werden im Rahmen dieser Betrachtung gerne übersehen. Wenn man von einem umfassenden E-Discovery-Ansatz spricht, sollte man nachfolgend dargestellte gesamthafte Datenbasis mitberücksichtigen.

Der Begriff E-Discovery wird aber in einem weiteren Sinn auch im Zusammenhang mit Untersuchungen von Behörden(external investigations) oder unternehmensinternen Ermittlungen(internal investigations) verwendet, soweit elektronische Daten zwecks Aufklärung eines bestimmten Sachverhalts/Verdachts strukturiert und (grundsätzlich) umfassend durchsucht, gespeichert, analysiert und aufbereitet werden sollen. Dieseexternal/internal investigations stehen im Folgenden im Fokus.¹

Jetzt kann man sich als gelernter Österreicher schon die Frage stellen: «Und was geht das mich an?» Dazu ist die Antwort so klar wie ernüchternd.

Geschäftskontakte in die USA können zur Zuständigkeit von U.S.-amerikanischen Gerichten und Behörden wie der U.S. Securities and Exchange Commission (SEC) oder dem U.S. Department of Justice (DoJ) führen. Damit sind auch österreichische Unternehmen von den Besonderheiten des US-Rechts betroffen. Dies führt dazu, dass jedes international ausgerichtete Unternehmen mit Geschäftstätigkeit in den USA spätestens bei drohenden gerichtlichen Auseinandersetzungen damit rechnen muss, seine elektronischen Daten aufgrund von «Electronic Discovery»-Regelungen als Beweismittel offenlegen zu müssen.

Die Entwicklungen der jüngsten Vergangenheit zeigen, dass, wie so vieles, auch diese amerikanische Vorgehensweise mehr und mehr Einzug im kontinentaleuropäischen Rechtsraum hält. So haben in Deutschland bereits in namhaften Korruptionsverdachtsfällen der jüngsten Vergangenheit die Praktiken der amerikanischen Ermittlungsbehörden Einzug gehalten. Namhafte Unternehmen (wie z.B. Siemens) haben dabei mit der Staatsanwaltschaft «Deals» abgeschlossen und sich verpflichtet, die gegen sie erhobenen Korruptionsvorwürfe selbst durch Beauftragung einer Rechtsanwalts- und einer Wirtschaftsprüfungskanzlei aufzuarbeiten. Im Rahmen dieser Beauftragungen musste schon aufgrund der Glaubwürdigkeit gegenüber der Behörde auch E-Discovery eingesetzt werden. Man darf daher gespannt sein, wann die österreichische Justiz diesen Weg einschlagen wird. Tatsache ist, dass die österreichischen Ermittlungsbehörden diese Entwicklung bislang nicht mitgemacht haben.

Die Anwendungsbeispiele für E-Discovery sind dabei sehr vielfältig. Nachfolgend seien einige Beispiele demonstrativ aufgezahlt:

• Mitarbeiterbetrug
  
• Steuerhinterziehung
  
• Wirtschaftsspionage
  
• Verletzungen von Immaterialgüterrechten (Urheberrechte, Markenrechte etc.)
  
• Preisabsprachen
  
• Geldwäsche
  
• High-Tech Crimes
  
• Insolvenzverfahren
  
• Post-Acquisition Disputes
  
• Forensic Due Diligence
  
• Korruption
  

Die österreichischen Unternehmen nutzen die Möglichkeiten von E-Discovery derzeit vor allem, um sich einerseits in Gerichtsverfahren zu wappnen (beispielsweise Kartellverfahren) bzw. um Malversationen eigener Mitarbeiter und Führungskräfte möglichst effizient und gerichtsfest nachweisen zu können.

E-Discovery als freiwillig oder unfreiwillig eingesetztes Mittel zur Sachverhaltsaufklärung muss selbst rechtskonform erfolgen, um (weitere) Compliance-Verstöße zu vermeiden.«Compliance» meint die Gesamtheit jener Organisationsmaßnahmen, durch welche die Einhaltung von Normen in einem Unternehmen gewährleistet wird. Demnach kann«IT-Compliance» einschränkend als jene Maßnahmen definiert werden, welche die «Einhaltung von gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft» sicherstellen. Die IT-Compliance betrifft sowohl den elektronischen Briefverkehr, die elektronische Buchführung, das Lizenzmanagement, die elektronische Aktführung als auch datenschutzrechtliche Aspekte. Für alle diese Themen von zentraler Bedeutung ist auch die Sicherstellung der IT-Sicherheit, welche durch die regelmäßige Sicherung der Unternehmensdaten und die Möglichkeit, angefertigte Kopien wiederherzustellen, bewirkt wird.

E-Discovery kann in mehrfacher Hinsicht mit rechtlich geschützten Interessen in Konflikt geraten, insbesondere betreffend Persönlichkeitsrechte, den Schutz der Privatsphäre, den Schutz personenbezogener Daten und des Telekommunikationsgeheimnisses. Ein evidentes Spannungsverhältnis besteht dabei zwischen dem Aufklärungsinteresse einerseits und dem Gebot des Datenschutzes und den daraus resultierenden Vorgaben hinsichtlich der Verarbeitung und Übermittlung elektronischer Daten andererseits.

Das österreichische Datenschutzgesetz (DSG) findet insbesondere auch auf private und dienstlich veranlasste E-Mails Anwendung, da beide Arten von E-Mails personenbezogene Daten enthalten. Zu personenbezogenen Daten zählen explizit auch der Name und die E-Mail-Adresse des Mitarbeiters. Nach dem Gesetz ist die «Verwendung» von personenbezogenen Daten im Sinne des § 6 DSG, d.h. die Erhebung und Verwendung mittels EDV, ein datenschutzrechtlicher Vorgang, der auch jede Form elektronischer Unternehmenskorrespondenz einschließlich ihrer Aufbewahrung umfasst. § 212 UGB normiert eine Aufbewahrungsfrist von sieben Jahren für Geschäftsbriefe, welche vermutlich analog auch für E-Mails anwendbar ist.

Das DSG trägt dem Aufklärungsinteresse Rechnung und erlaubt – in engen Grenzen – eine Datenerhebung und Datenübermittlung (auch ins Ausland) auch ohne Zustimmung des Betroffenen. Allerdings ist insbesondere bei «internal investigations» Vorsicht geboten. Hier spielt insbesondere auch das Arbeitsrecht herein. Unbestritten ist, dass E-Discovery nicht als Tool für eine systematische präventive Überwachung genutzt werden darf. Als Grundregel gilt, dass Eingriffe in geschützte Rechtspositionen umso intensiver sein dürfen, je stärker ein Verdacht auf straf- oder zivilrechtliche Verstöße dokumentiert ist. Allerdings muss die Verhältnismäßigkeit gewahrt und der (verbleibende) Schutz des Betroffenen garantiert bleiben, z.B. durch Beiziehung einer Vertrauensperson, des Betriebsrates oder eines betrieblichen Datenschutzbeauftragten. In diesem Zusammenhang spricht man von einem «Modell der stufenweisen Kontrollverdichtung».

Zu berücksichtigen ist, dass die Nutzung von E-Mail-Systemen im Unternehmen für Zwecke einerinternal investigation von der Standardanwendung «SA001 Rechnungswesen und Logistik» nicht umfasst ist und daher eine ergänzende Meldung bei der bzw. Vorabgenehmigung durch die Datenschutzkommission eingeholt werden muss, was ohne entsprechende Vorbereitungsmaßnahmen nicht rechtzeitig gelingen wird.

Zusammenfassend kann man die Fragen, was bei internen Ermittlungsarbeiten im Zusammenhang mit der Analyse von elektronischen Daten aus datenschutzrechtlicher Sicht erlaubt bzw. nicht erlaubt ist, überblicksartig durch nachfolgende Grafik beantworten:

Lohnt es sich, bei all diesem möglichen Ungemach bzw. den damit verbundenen Kosten vor allem für österreichische Unternehmen E-Discovery Tools einzusetzen? Unsere Praxis der letzten Jahre zeigt, dass diese Frage eindeutig mit «Ja» zu beantworten ist. Zunehmende Digitalisierung führt einerseits zu neuen Betrugs- und Verschleierungsmöglichkeiten, deren Aufdeckung ohne «Waffengleichheit» schwierig bis unmöglich ist. Die großen Wirtschaftsstrafverfahren der jüngsten Vergangenheit dokumentieren zudem in beeindruckender Weise die Notwendigkeit von E-Discovery. Mithilfe dieser Tools kann die effiziente und effektive Aufarbeitung komplexer Sachverhalte immens gesteigert werden.

Die österreichischen Unternehmen erkennen diese Vorteile und Nutzen mehr und mehr. Es ist daher davon auszugehen, dass E-Discovery in Zukunft auch im großen Stil bei uns zum Einsatz kommen wird.

Bei der Auswahl des E-Discovery Tools sollte darauf geachtet werden, dass das Tool den Empfehlungen des «EDRM-Model» (Electronic Discovery Reference Model;http://edrm.net/ ) folgt. Dieses «Model» wurde von internationalen Experten auf einer Plattform (open-source) konzipiert und wird laufend weiterentwickelt.

Allgemeines

Barbist/Ahammer (Hrsg.), Compliance in der Unternehmenspraxis, LexisNexis 2009

Bauer/Reimer, Handbuch Datenschutzrecht, facultas.wuv 2009

Dohr/Pollirer/Weiss, Datenschutzrecht², Manz

Fasching, Zivilprozessgesetze², Manz

Jäger/Rödl/Campos-Nave, Praxishandbuch Corporate Compliance, Wiley 2009

Jahnel, Datenschutzrecht, Jan Sramek 2010

Hauschka, Corporate Compliance², Beck 2010

Napokoj (Hrsg.), Risikominimierung durch Corporate Compliance, Manz 2010

Petsche/Mair, Handbuch Compliance, LexisNexis 2010

Rebhahn, Mitarbeiterkontrolle am Arbeitsplatz: Rechtliche Möglichkeiten und Grenzen, Facultas 2009


E-Discovery (aus rechtlicher Sicht)

Artikel 29-Datenschutzgruppe, Arbeitsunterlage 1/2009 über Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (pre-trial discovery) vom 11.02.2009, abrufbar unterhttp://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp158_de.pdf .

Brisch/Laue, E-Discovery und Datenschutz, RDV 2010, 1.

Czernich, Österreichisch-Amerikanisches Zivilprozessrecht, JBl 2002, 613

Junker, Electronic Discovery gegen deutsche Unternehmen, Recht u. Wirtschaft 2008

Hanloser, E-discovery – Datenschutzrechtliche Probleme und Lösungen, in DuD, 2008, 786

Ösbek, Balanceakt E-Discovery – Im Spannungsfeld zwischen Reputationsschäden, rechtlichen Rahmenbedingungen und technischen Möglichkeiten, ZRFC 2009, 213.

Rath/Klug, e-Discovery in Germany? K&R 2008, 596

Sedona Conference Framework for Analysis of Cross-Border Discovery Conflicts: A Practical Guide to Navigating the Competing Currents of International Data Privacy & e-Discovery

Spies/Schröder, Anm. zu US District Court Utah: Deutsches Datenschutzrecht blockiert nicht die US-Beweiserhebung, MMR 2010, 276


E-Discovery (IT-bezogen)

Conrad, E-Discovery revisited: the need for artificial intelligence beyond information retrieval, Artif Intell Law (2010) 18:321 – 345

Attfield/Blandford, Discovery-led refinement in e-discovery investigations: sensemaking, cognitive ergonomics and system design, Artif Intell Law (2010) 18:387 – 412

The EDRM Model,http://edrm.net/

---

Johannes Barbist, Martin Schwarzbartl, Benjamin Weissmann, BINDER GRÖSSWANG, Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien AT
barbist@bindergroesswang.at , http://www.bindergroesswang.at

Ernst & Young Business Advisory Services GmbH, Wagramerstr. 19, 1220 Wien AT
martin.schwarzbartl@at.ey.com ,www.ey.com/AT/de/home

---