Die Sicherung und die Auswertung von Daten gehören zu den Kernelementen einer internen Untersuchung. Es ist daher wichtig, schon bei der Vorbereitung zu verstehen, welche (personenbezogenen) Daten im Lauf der Untersuchung benötigt werden, wo diese zu finden sind und welche Bedeutung die Daten haben. Besondere Herausforderungen ergeben sich im Zusammenhang mit Home-Office, Privatnutzung von Betriebsmitteln und bring-your-own-device (BYOD) Lösungen. Die Autoren erörtern praktische Aspekte bei der Sicherung von Daten und ergänzen diese mit betriebsverfassungs- und datenschutzrechtlichen Ausführungen.
1. Nutzerprofil und Daten
Ausgangspunkt einer internen Untersuchung ist der Verdacht einer Rechtsverletzung oder einer Verletzung von internen Vorschriften. Zum Zeitpunkt der ersten Verdachtslage ist häufig noch nicht klar, welche Personen in den Fall involviert sein könnten (sind nur Mitarbeiter oder auch Externe betroffen?), welcher Zeitraum für die Untersuchung relevant sein könnte und welche Fragen beantwortet werden müssen.
Im ersten Schritt sind daher Informationen zum Beschäftigungsverhältnis, zum Aufgabenbereich des Mitarbeiters und zum Identity- und Accessmanagement einzuholen. In der Folge werden die wesentlichen Eckpunkte der Untersuchung festgelegt; folgende Fragen müssen beantwortet werden:
Wie zeitkritisch ist die Untersuchung?
Wer leitet operativ die Untersuchung?
Wie setzt sich das interdisziplinäre Team zusammen?
Wie ist der Untersuchungsgegenstand und der Untersuchungszeitraum definiert?
Sollen externer Berater beigezogen werden?
Welche Informationen bzw Daten sind für den Fall wesentlich?
Der letzte Punkt wird nun genauer betrachtet. Aufgrund der technischen Entwicklung sind relevante Informationen kaum noch in physischer Form vorhanden.
Typischerweise sind Daten aus folgenden Anwendungen bzw Geräten relevant:
Microsoft Outlook (Emails, Kalendereinträge, Aufgaben, Notizen)
Sonstige Kommunikationsdaten (zB WhatsApp, SMS, MS Teams)
ERP-Systeme (zB SAP, Microsoft Dynamics)
HR-Systeme (zB SAP)
CRM-Systeme (zB Salesforce)
Zutrittskontrollsysteme
Zeiterfassungssysteme
Intelligente Multifunktions-Netzwerkdrucker
Notebooks und mobile Geräte (Smartphones, Tablets)
Bei der Vorbereitung der Untersuchung kommt es daher darauf an, zu verstehen, welche Daten mit einem spezifischen Nutzerprofil verbunden sind. Konkret, zu welchen Anwendungen der Mitarbeiter Zugang hat, ob diese für den Fall relevant sein könnten, welche Aussagekraft diese Daten haben und wie insbesondere volatile Daten für eine spätere Auswertung gesichert werden können. Dazu ist ein zentrales Identity- und Accessmanagement hilfreich.
Die Maßnahmen, die zur Datensicherung notwendig sind, müssen rasch und forensisch fundiert gesetzt werden. Nichts ist ärgerlicher, als im Zuge der Untersuchung feststellen zu müssen, dass Daten gelöscht wurden, weil diese nicht rechtzeitig gesichert wurden. Oft ergibt sich die Bedeutung der Daten erst bei der Korrelation von verschiedenen Datenquellen.
Beispiel: In einem Fall ging es um die Frage, wer eine vertrauliche Vereinbarung unberechtigt an Dritte weitergegeben hatte. Im Zuge der Untersuchung kam hervor, dass die Vereinbarung am zentralen Server unter „ABC_1_5_18“ abgespeichert war und in zeitlicher Nähe zur Weitergabe ein Ausdruck eines Dokuments mit der Bezeichnung „ABC_1_5_18“ erfolgte. Möglich war dies durch den Abgleich von Druckaufträgen des Printservers mit am Server gespeicherten Dokumenten. In der Folge fokussierte sich die Untersuchung auf die Person, die den Druckauftrag erteilt hatte.
Vor voreiligen Schlüssen im Zusammenhang mit der Auswertung von Daten wird allerdings gewarnt. Selbst wenn es naheliegend erscheint, dass die Person, die den Druckauftrag erteilt hat, die Vereinbarung auch weitergegeben hat, ist dies damit nicht bewiesen. Objektivierbar war lediglich, dass ein Dokument, mit derselben Bezeichnung wie die unrechtmäßig weitergegebene Vereinbarung von einer Person unter Verwendung eines bestimmten Nutzerprofils ausgedruckt wurde.
Manche Täter verschleiern ihre Handlungen und nützen die Gutgläubigkeit ihrer Kollegen aus. Etwa indem sie sich Zugangsdaten beschaffen und sich mit deren Nutzerprofil einloggen. In einem Fall wurde ein Mitarbeiter, der kurz vor der Pensionierung stand, ersucht, seine Login-Daten zur Verfügung zu stellen. Der Grund dafür war, weil mit seinem Nutzerprofil weitergehende SAP-Berechtigungen verbunden waren. Ihm wurde vorgespielt, die SAP-Berechtigung sei notwendig, um Rechnungen zu prüfen.
2. Forensic Readiness
Größere Unternehmen sollten sich mit den unter Punkt 1. angeführten Überlegungen nicht erst im Anlassfall auseinandersetzen. Sinnvoll ist, rechtzeitig Vorbereitungen für den Fall einer Untersuchung mit digitaler Beweissicherung und Auswertung zu treffen (forensic readiness). Dies deshalb, weil Untersuchungen auch durch Behörden erfolgen können. In solchen Situationen ist es vorteilhaft, wenn Klarheit besteht, welche Daten wo vorhanden sind und wie bei einer freiwilligen Herausgabe oder im Fall einer Hausdurchsuchung zu verfahren ist. Möglicherweise müssen auch zeitnahe eigene Untersuchungen durchgeführt werden. Dann ist es wesentlich zu wissen, welche Aufgaben parallel oder sequenziell zur behördlichen Untersuchung erledigt werden können.
3. Verhindern des Löschens von Daten
Zu Beginn einer Untersuchung ist die wichtigste Maßnahme das Löschen von Daten, insbesondere von Emails zu verhindern bzw. auszusetzen. Dazu wird von einem Administrator in Microsoft Office 365 eine Einstellung vorgenommen, die auf Nutzerseite bewirkt, dass dieser Emails nicht löschen kann (litigation hold). Werden Emails vom Nutzer gelöscht, erscheinen diese zwar für den Nutzer als gelöscht, bleiben aber dennoch erhalten. Der Administrator kann auswählen, ob der litigation hold für den Nutzer sichtbar sein soll oder ob die Einstellung verborgen bleibt.
Das Löschen von Daten muss nicht in der Absicht erfolgen, Beweise zu vernichten. Es kann sich auch um routinemäßiges Löschen oder Überschreiben handeln, zB um festgelegte Aufbewahrungsfristen umzusetzen. Insofern ist es wichtig zu verstehen, für welchen Zeitraum die Untersuchung erfolgen soll und ob für diesen Zeitraum überhaupt noch Daten vorhanden sind.
4. Backups und Wiederherstellen von gelöschten Daten
Auch wenn Daten gelöscht sind, sind diese möglicherweise in on-site oder off-site Backups gespeichert. Bereits gelöschte Daten können oft wiederhergestellt werden, dies gilt jedenfalls für Datenträger und eingeschränkt für Mobilgeräte. Dazu ist ein funktionierendes Bitlocker- und Mobility-Management unabdingbar, im Idealfall kombiniert mit forensischen Endpoint-Lösungen zur Erstsichtung (forensische Triage) und zur auch Beweissicherung.
5. Forensisches Konservieren von Daten
Sinnvollerweise werden zunächst alle Sicherungsmaßnahmen gesetzt, die zentral und ohne Beteiligung von betroffenen Mitarbeitern erfolgen können. Damit bleibt die Untersuchung geheim und es besteht keine Gefahr, dass Daten absichtlich gelöscht werden. Zentral können etwa Daten gesichert werden, die sich auf Unternehmensservern oder Cloud Anwendungen wie zB Microsoft 365 und Microsoft Azure befinden. Die Sicherung erfolgt, indem eine möglichst originalgetreue Kopie der Daten erstellt wird (forensic snapshot in time).
Nach Abschluss der zentralen Sicherungsmaßnahmen können die de-zentralen Sicherungsmaßnahmen durchgeführt werden. Darunter fallen firmeneigene Notebooks, Smartphones und Tablets. Die Sicherstellung erfolgt durch Übergabe oder Fernsicherung mittels Endpoint-Agents. Bei der Verwendung von Endpoint-Agents ist auch eine schnelle Erstsichtung möglich.
Beim physischen Sicherstellen von Notebooks, Smartphones und Tablets und beim nachfolgenden Kopieren der Daten ist darauf zu achten, dass diese entsprechend den best practices der digitalen Forensik konserviert werden und durch Prüfsummen (hashes) identifiziert werden können. Dies gilt auch bei zentralen Sicherungen oder Cloud-Backups. Damit wird sichergestellt und dokumentiert, dass die Daten unverfälscht und originalgetreu übergeben bzw kopiert wurden und im Laufe der Untersuchung auch nicht verändert werden (chain of custody).
Erfolgt die Datensicherung nicht lege artis, könnte der Beweiswert beeinträchtigt und der Vorwurf der Manipulation oder Kontamination der Daten erhoben werden.
Ein Zugriff auf unternehmenseigene Notebooks, Smartphones und Tablets ist immer dann geboten, wenn davon auszugehen ist, dass sich auf den Geräten Informationen befinden, die nicht (zentral) abgelegt wurden. Beispielsweise wurden in einem kartellrechtlichen Fall in einer WhatsApp-Gruppe Informationen zu Preisen zwischen Mitbewerbern ausgetauscht.
6. Home-Office/Teleworking
Die Arbeit im Home-Office bringt neue Herausforderungen für interne Untersuchungen. Der Arbeitnehmer unterliegt zwar der Pflicht, sämtliche Arbeitsprodukte herauszugeben bzw seinem Arbeitgeber zu überlassen. Dies gilt auch für Dokumente, die sich in seinen privaten Räumlichkeiten befinden. Dem Arbeitgeber kommt aber kein Recht zu, die privaten Räumlichkeiten des Arbeitnehmers zu betreten. Die Überprüfung dieser Verpflichtung ist – wenn der Arbeitnehmer behauptet, nicht im Besitz der Dokumente zu sein – daher faktisch nicht möglich.
Etwas anders gelagert ist die Herausgabe von betrieblichen Notebooks und Smartphones. Hier liegt das Risiko darin, dass der Arbeitnehmer Kenntnis von der Untersuchung erlangt und er aufgrund der fehlenden Anwesenheit im Unternehmen den physischen Zugriff des Arbeitgebers auf Notebooks und Smartphones verzögern kann. Die gewonnene Zeit kann dann zum Löschen oder Zerstören genützt werden. Es hängt daher maßgeblich vom Geschick des Untersuchungsleiters ab, die Beweissicherung so zu gestalten, dass ein Zugriff auf die Hardware in einer Weise erfolgt, die ein temporäres Zurückbehalten bzw Löschen nicht erlaubt.
7. Bring-your-own device (BYOD) und Privatnutzung von Betriebsmitteln
Der Zugriff auf private Geräte ist für Arbeitgeber grundsätzlich nicht zulässig. Ausgenommen wäre ein auf dem Gerät definierter geschäftlicher Bereich, sofern ein Zugriff auf diesen Bereich für den Fall einer Untersuchung vereinbart wurde. Von derartigen BYOD-Lösungen ist abzuraten, sie stellen nicht nur ein Sicherheitsrisiko dar, sondern sind bei fehlender Kooperation durch den Mitarbeiter der Untersuchung gänzlich entzogen. Grundsätzlich ist auch zu empfehlen, die Privatnutzung von Betriebsmitteln zu untersagen, da nicht nur erhöhte Sicherheitsrisiken bestehen, sondern im Fall einer Untersuchung die Beweissicherung und insbesondere die nachfolgende Auswertung durch die Vermischung von geschäftlichen Daten mit privaten Daten erheblich komplizierter wird.
8. Betriebsverfassungsrecht
Im Zusammenhang mit internen Untersuchungen wird immer wieder die Ansicht vertreten, dass der Betriebsrat beigezogen werden müsse. Auch wenn im Einzelfall eine freiwillige Beiziehung aus unternehmenspolitischen Gründen sinnvoll sein kann, gibt es für eine verpflichtende Beiziehung keine rechtliche Grundlage. § 96 Abs 1 ArbVG sieht für gewisse betriebliche Maßnahmen vor, dass sie der Zustimmung des Betriebsrates bedürfen. Zu diesen zustimmungspflichtigen Maßnahmen zählen auch Kontrollmaßnahmen, die die Menschenwürde berühren. Die bloße Sicherung von Daten ist allerdings schon objektiv nicht geeignet Arbeitnehmer zu kontrollieren. Eine Kontrolle im Sinn des Arbeitsverfassungsgesetzes ist nur in Verbindung mit einer Auswertung der Daten möglich. Zudem erfordert die Kontrollmaßnahme eine gewisse Dauerhaftigkeit, diese ist bei zeitlich abgegrenzten Untersuchungen nicht gegeben. Auch wenn es zu einer Auswertung der Daten käme, würde dies nichts am Ergebnis ändern: Unter dem Begriff der Kontrollmaßnahme sind nämlich nur generelle und nicht individuelle Maßnahmen zu verstehen. Das heißt, Untersuchungsmaßnahmen erfüllen nur dann den Tatbestand des § 96 ArbVG, wenn es sich um betriebsbezogene kollektive Kontrollen handelt. Das ist aber bei der einzelfallbezogenen Aufklärung von Vorwürfen, die sich gegen individuelle Mitarbeiter richten nicht der Fall.
9. Datenschutz
Die Sicherung betrieblicher Kommunikationsdaten fällt aufgrund des vorhandenen Personenbezugs unter den Anwendungsbereich des Art 4 DSGVO. Auch ohne Auswertung der Daten liegt beim Sichern der Daten ein Erfassen bzw Speichern von personenbezogenen Daten vor. Der Zweck der Datenverarbeitung liegt in der Aufklärung von Verdachtsmomenten hinsichtlich einer Gesetzesverletzung.
Da die zu verarbeitenden Daten ursprünglich für andere Zwecke erfasst wurden (etwa zum Abwickeln einer Lieferantenbeziehung), stellt die Nutzung dieser Daten für eine interne Untersuchung eine Zweckänderung dar. Die Weiterverarbeitung dieser Daten bedarf daher einer (neuerlichen) Rechtfertigung gemäß Art 6 ff DSGVO. Deshalb ist vor Durchführung einer Untersuchung im Einzelfall die Rechtfertigung gemäß Art 6 Abs 1 lit a bis f DSGVO zu prüfen und zu dokumentieren.
IT-Dienstleister, Sachverständige und Anwälte, die personenbezogene Daten auf Weisung des Unternehmens sichern und später auswerten, sind Auftragsverarbeiter. Mit ihnen ist eine Vereinbarung über die Auftragsverarbeitung abzuschließen.
Die Datenverarbeitung ist zulässig, wenn zumindest einer der in Art 6 Abs 1 DSGVO aufgezählten Gründe vorliegt. Einschlägig ist Art 6 Abs 1 lit f DSVGO, demnach ist eine Datenverarbeitung erlaubt, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Im konkreten Fall ist eine Interessenabwägung durchzuführen. Weiters ist zu bedenken, dass als Begleitmaßnahme der Betroffene zu informieren ist. Der Informationspflicht muss aber nicht sofort nachgekommen werden, wenn die Mitteilung den Zweck der Untersuchung vereiteln könnte. In diesem Fall ist die Mitteilung nachzuholen, sobald dies ohne Gefährdung der Untersuchung möglich ist.
Weiters muss die interne Untersuchung in das Datenverarbeitungsverzeichnis des Unternehmens und in das des Auftragsverarbeiters aufgenommen werden. Im Fall der nachfolgenden Auswertung der Daten muss durch das Unternehmen als Verantwortlicher eine Datenschutz-Folgenabschätzung vorgenommen werden.
10. Strafrecht
Personen, die von der Untersuchung betroffen sind, haben in erster Linie arbeitsrechtliche Konsequenzen vor Augen. Sollten Mitarbeiter darüber hinaus versuchen, die Untersuchung durch die Vernichtung von Dokumenten und Daten zu torpedieren, kommen auch strafrechtliche Konsequenzen in Betracht. Dies gilt insbesondere dann, wenn Behörden in die Untersuchung involviert sind. Zu denken ist an Datenbeschädigung, Urkundenunterdrückung, Beweismittelunterdrückung und Fälschung eines Beweismittels.
11. Dokumentation
Die gesicherten und ausgewerteten Daten sind eine wesentliche Basis für den Bericht. Der festgestellte Sachverhalt muss sich schlüssig auf die Beweisergebnisse rückführen lassen. Auch wenn keine Beweismittel für ein Gerichtsverfahren gesammelt werden sollen, sollte schlüssig nachvollziehbar sein, weshalb bestimmte Beweismittel erhoben wurden und auf welche Beweismittel verzichtet wurde. Auch außerhalb eines Gerichtsverfahrens kann es dazu kommen, dass der Bericht von betroffenen Mitarbeitern hinterfragt wird. Überhaupt empfiehlt es sich die Sicherung und Auswertung von Beweisen, einschließlich der Beweiswürdigung und die Verfassung des Berichts mit Blick auf die Grundsätze der Zivil- bzw Strafprozessordnung durchzuführen. Zwar gibt es für unternehmensinterne Untersuchungen keinen eignen gesetzlichen Rahmen, die Qualität eines Berichtes tritt aber zu Tage, wenn der Bericht die Grundlage für arbeitsrechtliche Maßnahmen oder für eine Anzeige bildet. Die Untersuchung unterliegt dann im gerichtlichen Verfahren einer indirekten Nachprüfung. Möglicherweise enthält der Bericht sogar kreditschädigende Behauptungen, die sich nicht auf Beweisergebnisse rückführen lassen. Interne Untersuchungen sollten daher von Personen geführt werden, die nicht nur Unternehmenserfahrung, sondern auch anwaltliche Prozesserfahrung haben. Idealerweise wird ein Bericht so verfasst, dass der Bericht – würde es sich um ein Urteil handeln – nicht durch ein Rechtsmittel erfolgreich bekämpft werden könnte.
Wien, November 2023
Robert Eichler / Gernot Schmied
Rechtsanwalt Dr. Robert Eichler ist Experte auf den Gebieten Compliance, Corporate Governance, Interne Untersuchungen und Management Disputes. Mit seiner langjährigen Erfahrung als Senior Vice President Internal Audit & Compliance der OMV bringt er umfassende Expertise in diese Bereiche ein. In seiner mehr als 10-jährigen Tätigkeit für den OMV-Konzern leitete er zahlreiche investigative Untersuchungen und globale Revisionsprüfungen, seine Tätigkeit umfasste auch die laufende Beratung von Vorstands- und Aufsichtsratsmitgliedern in Fragen der Compliance und Corporate Governance. Vor seiner Tätigkeit bei OMV war Robert Eichler Partner bei Wolf Theiss Rechtsanwälte, niedergelassener Rechtsanwalt in Bukarest und Foreign Lawyer bei Covington & Burling in New York. In der Zeit von 2008 bis 2010 managte er erfolgreich die Abwehr von Massenklagen, die rund 50.000 Arbeitnehmer gegen ihr Unternehmen richteten. Robert Eichler hält laufend Fachvorträge, er war als externer Lektor am Institut für Unternehmensrecht der Wirtschaftsuniversität Wien tätig und als Visiting Lecturer der U.N. Anti-Corruption Academy.
IT-Ziviltechniker und Gerichts-SV DDipl.-Ing. Mag.rer.soc.oec. Gernot Schmied ist Informatiker, Physiker, Betriebswirt, zertifizierter Compliance Officer und Auditor mit 23 Jahren Erfahrung in freiberuflicher Tätigkeit. Viele dieser Tätigkeiten liegen an der Schnittstelle von Technologie und Recht. Schwerpunkte seiner Tätigkeit liegen bei Beantwortung herausfordernder Fragestellungen in Gutachten zur digitalen Forensik, bei der Beratung sowie der interdisziplinären forensischen Begleitung von internen Untersuchungen und bei der Prüfung präventiver Vorkehrungen („forensic readiness“). Darüber hinaus ist Gernot Schmied einer der wenigen international tätigen Experten für Fragestellungen der Multimedia-Forensik (Audio, Video, Foto und Screenshots).