Checklisten für interne Untersuchungen (Teil 1)
Die folgenden Checklisten sind Leitfäden für die vielen rechtlichen Fragen, die sich stellen, bevor man mit einer internen Untersuchung beginnen kann. Sie können in ähnlicher Weise auch für sonstige Überwachungsmaßnahmen angewendet werden. Klare Ja-/Nein-Antworten auf die einzelnen Fragen gibt es nicht – sie wären auch irreführend. Die Situationen sind teilweise noch nie gerichtlich, jedenfalls nicht höchstrichterlich geklärt worden. Was den Datenschutzteil anbelangt, hängen die Antworten zumeist vom Einzelfall ab. Kurzum: Ein IT-Leiter sollte im konkreten Fall mit dieser Liste zu seiner Rechtsabteilung gehen, um die verschiedenen Punkte durchzusprechen.
Datenschutz und Strafrecht
1. Was ist der konkrete Gegenstand und Umfang der internen Untersuchung? Wie lassen sich Gegenstand und Umfang bestmöglich eingrenzen? Gibt es schon konkrete Stichworte und einen Zeitraum für die zu durchsuchenden Dokumente? Je weniger Daten durchsucht werden, desto besser.
2. Was soll durchsucht werden? E-Mails, Dokumentenarchive, Instant-Messenger-Nachrichten, SMS-Nachrichten, KommunikationsLog-Files? Sollen auch Interviews stattfinden?
3. Welche Mitarbeiter sind Gegenstand der internen Untersuchung und warum? (Beschuldigte, mögliche Mitwisser, mögliche Zeugen, mögliche Inhaber von relevanten Dokumenten?)
4. In welchen Systemen sind diese Dokumente gespeichert, und wer hat Zugriff auf diese Dokumente?
5. Ist die Privatnutzung für diese Systeme entweder ausdrücklich erlaubt oder geduldet? Gibt es hierzu eine IT-Richtlinie, Nutzungsrichtlinie, Nutzungsvereinbarung, arbeitsver
tragliche Regelung und/oder Betriebsvereinbarung?
6. Wird im Rahmen der internen Untersuchung auf Daten zugegriffen, die gegen unberechtigten Zugriff besonders gesichert sind und deren Zugangssicherung besonders überwunden werden muss?
7. Werden im Rahmen von Untersuchungsmaßnahmen private Daten verändert oder gelöscht?
8. Haben die Mitarbeiter im Vorfeld eine Einwilligung bezüglich der Privatnutzung der Systeme erteilt?
9. Wurden die Mitarbeiter entsprechend der Informationspflicht gemäß Artikel 13 bzw. Artikel 14 DSGVO über die Durchführung von internen Untersuchungs/Überwachungs- und Kontrollmaßnahmen ausreichend und transparent informiert?
10. Auf welcher Rechtsgrundlage der DSGVO und des BDSG dürfen die personenbezogenen Daten der Mitarbeiter für den Zweck der internen Untersuchung verarbeitet werden?
11. Ist es möglich, die Untersuchung auf eine Einwilligung der betroffenen Mitarbeiter zu stützen? (Achtung: Mitarbeitereinwilligungen sind grundsätzlich nicht freiwillig, es sei denn, die betroffenen Mitarbeiter sind leitende Angestellte oder gehören zur Geschäftsführung.)
12. Wird die Untersuchung oder Ermittlung in Zusammenarbeit mit einem externen Dienstleister durchgeführt (zum Beispiel forensischer Dienstleister, E-DiscoveryDienstleister) und wurde mit diesem Dienstleister ein Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO geschlossen?
13. Sind dem Dienstleister schriftliche Anweisungen gegeben worden, wie er die Untersuchung vornehmen soll (Stichworte, Zeitraum etc.) und wie er private oder nicht relevante E-Mails behandeln soll (zum Beispiel „sofort schließen“„nicht lesen“, „nicht kopieren“, „nicht weiterleiten“,
„nicht drucken“)?
14. Werden die Ergebnisse der Untersuchung (zum Beispiel die Ergebnisse der E-MailDurchsuchung oder Interview-Mitschriften bei Mitarbeiterbefragungen) an Dritte übermittelt (an andere Unternehmen der Gruppe, die möglicherweise außerhalb der EU sitzen oder an externe Rechtsberater) und – sofern die Antwort „ja“ist – ist die Zulässigkeit der Übermittlung überprüft worden und ist beim Empfänger, soweit erforderlich, ein angemessenes Datenschutzniveau sichergestellt (Artikel 44 ff. DSGVO)?
15. Werden die Ergebnisse der DokumentenDurchsuchung oder Interview-Mitschriften bei Mitarbeiterbefragungen vor Weiterleitung anonymisiert oder pseudonymisiert?
16. Sind die Aufbewahrungs- und Löschungsfristen für Untersuchungsergebnisse klar, und wird die Löschung von Untersuchungsergebnissen eingehalten und kontrolliert?
17. Hat sich das Unternehmen Gedanken darüber gemacht, dass rechtswidrig erhobene Beweise in einem späteren gerichtlichen Verfahren möglicherweise einem Beweisverwertungsverbot unterliegen und deshalb nicht nutzbar gemacht werden können? 18. Bestehen bei den untersuchten Vergehen mögliche Anzeigepflichten gegenüber staatlichen Strafverfolgungsbehörden?