Auf der Suche nach
der Nadel im Heuhaufen

„ … im Jahr 2005 gab es Facebook für die meisten Menschen noch nicht, „Twitter“ war noch ein Vogelgeräusch, die „Cloud“ war etwas im Himmel, „3G“ war ein Parkplatz im Parkhaus, „Applications“ schickte man an Kollegen und Behörden, und „Skype“ war ein Tippfehler.“

Dieses Zitat von Thomas Friedman verdeutlicht sehr eindrucksvoll, wie rasant sich der private und geschäftliche Alltag gewandelt hat. Die Digitalisierung hat Einzug in nahezu alle Bereiche unseres Lebens gehalten. Kommunikation geschieht überwiegend über E-Mails, Chat-Foren und Social-Media. Selbst Verträge zwischen Unternehmen werden vermehrt nicht mehr in Papierform ausgetauscht, sondern eingescannt und als PDF versandt.
Ein Großteil der Informationen liegt meist nur noch in digitaler Form vor. Die tägliche Datenmenge, die ein einzelner Mitarbeiter erstellt und über E-Mails erhält, wächst scheinbar unaufhaltsam. Digitaler Speicherplatz wird immer günstiger und verleitet Mitarbeiter dazu, Daten dauerhaft zu speichern. Nicht selten werden dabei identische Dokumente mehrfach und an unterschiedlichen Orten abgelegt. Wenn in dieser Datenflut relevante Informationen extrahiert werden müssen, bedarf es Computer-Forensik-Experten und einer hochentwickelten Technologie, um wichtige von unwichtigen Informationen zu trennen. Anhand von zwei unterschiedlichen Beispielfällen wird der Einsatz von IT-Forensik und eDiscovery-Verfahren bei Compliance-Verstößen beschrieben.

Die Welt der elektronischen Daten

Etwa 90% aller geschäftsrelevanten Informationen eines Unternehmens liegen heute nicht mehr in schriftlicher, sondern nur noch in elektronischer Form vor (als sog. „electronically stored information“, kurz ESI). Dieses gespeicherte Datenvolumen wächst ständig; Studien sprechen davon, dass es sich etwa alle zwei Jahre verdoppelt (1). Die Daten stammen aus einer Vielzahl von Datenquellen, existieren in unterschiedlichsten Formaten und sind an verschiedenen Orten gespeichert, etwa auf Servern, externen Datenträgern und mobilen Geräten. Man unterscheidet zwischen strukturierten und unstrukturierten Daten. Strukturierte Daten sind etwa Geschäftsdaten der Finanzbuchhaltung, abgelegt in Datenbanksystemen in einer festgelegten und nachvollziehbaren Struktur. Dies ermöglicht eine effiziente Verwaltung und schnellen Zugriff – und es erleichtert, wenn nötig, auch eine forensische Untersuchung. Demgegenüber lassen sich unstrukturierte Daten sehr viel schwerer erfassen. Zu ihnen gehören Office-Dateien (Textdokumente, Excel-Sheets etc.), aber auch Bilder, Zeichnungen, Grafiken und Bild-/Tondateien aller Art bis hin zu E-Mails – Dateien, die keinem einheitlichen Ablagesystem folgen und auf weit verteilten, heterogenen Speichermedien abgelegt sind. Auf geschäftlichen Computern und Notebooks befinden sich mitunter mehrere Gigabyte an unstrukturierten Daten – bei jedem einzelnen Mitarbeiter. Schnell kommen auf diese Weise Millionen von Dokumenten und E-Mails zusammen, die sich ohne technologische Methoden nicht mehr analysieren und auswerten lassen.
Ein weiterer Unsicherheitsfaktor für Unternehmen im Umgang mit ihren Daten liegt oftmals im Fehlen von systematischen Dokumenten-Management-Programmen („Document Retention Plans“) begründet. Nicht immer legen interne Richtlinien den Umgang mit Daten fest, ihre Erhebung, Speicherung und am Ende ihre endgültige Löschung. Bei einer späteren Verwendung vor Gericht kommt zum Beispiel Löschdaten eine große Bedeutung zu, seien es routinemäßige oder gar vorsätzliche individuelle Löschungen. Somit bergen Unternehmensdaten in ihren unterschiedlichen Ausprägungen ein erhebliches Risiko für das Unternehmen „im Fall der Fälle“.

Der Fall der Fälle tritt ein:

Behördliches Auskunftsverlangen: Beispielfall 1

Das US Department of Justice ermittelt gegen die US-Tochtergesellschaft eine deutschen Kapitalgesellschaft und verlangt Auskunft über ihre Vermarktungspraktiken in den USA und Deutschland seit 2008. Die Ermittlungsbehörde hat 20 Mitarbeiter in den USA und 15 in Deutschland benannt, von denen sämtliche relevante E-Mails, Berichte, Kalkulationen,Kontenbewegungen sowie weitere Unterlagen innerhalb von sechs Wochen einzureichen sind. Bei den angeforderten Daten handelt es sich um nahezu 1 Terabyte an Geschäftsdaten,wobei nicht ausgeschlossen werden kann, dass sich darunter auch private und vertrauliche Informationen der Mitarbeiter befinden. Die Daten liegen auf Servern, PC-Laufwerken und einigen Smartphones in Deutschland.

Intern veranlasste Untersuchung: Beispielfall 2

Über die anonyme Information eines „Whistleblowers“ erhält ein in Deutschland ansässiges Unternehmen konkrete Hinweise auf Unregelmäßigkeiten seines Vertriebes in Süddeutschland. Es soll zu Preisabsprachen mit einem lokalen Wettbewerber, aber auch zu Bestechungszahlungen an diverse Abnehmer auf Kundenseite gekommen sein. In der betroffenen Abteilung arbeiten 12 Angestellte und der beschuldigte Vertriebsleiter. Die Rechtsabteilung des Unternehmens nimmt interne Nachforschungen auf.
Dies sind keine Einzelfälle. Nahezu 50% aller Unternehmen in Deutschland sind bereits Opfer von Wirtschaftsdelikten geworden oder wurden in solche hineingezogen (2). Dabei steigt die Gefahr doloser (unternehmens-schädigender) Handlungen stetig an. Komplexe Geschäftsprozesse, der verbreitete Einsatz neuer Technologien und Systeme, schlechte Arbeitsplatzbedingungen oder Konkurrenzdruck sowie fehlende Kontrollen und Sicherheitseinrichtungen begünstigen den Trend. Nach dem Modell des Betrugs-Dreiecks („Fraud Triangle“) des Soziologen und Kriminologen Donald R. Cressey sind drei Faktoren ausschlaggebend für doloses Handeln:

  • die Gelegenheit, die durch fehlende oder unwirksame Kontrollsysteme gegeben wird,
  • die Motivation, also der Anreiz für die Tat, und
  • die Möglichkeit, sich nach der Tat vor sich selbst rechtfertigen zu können.

Wohl kein Unternehmen kann mit Sicherheit behaupten, dass solche Faktoren bei eigenen Mitarbeitern nicht auch einmal gegeben sein könnten . . .

IT-Forensik effizient durchführen. Praktische Durchführung einer eDiscovery

Eine eDiscovery stellt eine große Herausforderung für das jeweils betroffene Unternehmen
dar – zu immens sind die Unwägbarkeiten zu Beginn, die Ressourcenplanung, das Zeitmanagement, die Kontrolle der Kosten. An einigen „Meilensteinen“ bei der Durchführung der eDiscovery lassen sich jedoch Weichenstellungen vornehmen, die solche Unsicherheiten deutlich reduzieren können. Das beginnt bei der Entwicklung des Projekt-Designs, d.h. der Festlegung des Umfangs
und der einzubeziehenden Datenquellen und Mitarbeiter („Custodians“). Je exakter bereits frühzeitig der Rahmen der Untersuchung eingegrenzt werden kann, desto genauer lassen sich Aufwand und Kosten der eDiscovery kalkulieren. So wird man im Beispielfall 2 zunächst den Hauptverdächtigen untersuchen und das Review erst dann auf die weiteren Angestellten ausweiten, wenn dies angebracht erscheint.

Ein weiterer wichtiger Faktor ist der Einsatz der passenden IT-Infrastruktur, vor allem der Auswertungsplattform. Diese sollte in einer kontrollierbaren Umgebung lokalisiert sein, mit streng geregelten sicheren Zugriffsmöglichkeiten für die Anwälte, Forensik-Experten und Unternehmensvertreter, die am Reviewprozess beteiligt sind.
Der Personaleinsatz ist mithin der wesentlichste Einflussfaktor im Rahmen der in der eDiscovery entstehenden Kosten. Für die verschiedenen Arbeitsschritte sollten jeweils passend qualifizierte Mitarbeiter eingesetzt werden. Die erste Datendurchsicht („First Level Review“) sollte von Projektjuristen vorgenommen werden, welche spezialisiert und kostengünstig in Zusammenarbeit mit den Anwälten eine Vorauswahl der relevanten Daten trifft. Für einen „Second Level Review“ sollten dann die entsprechend spezialisierte Anwaltskanzlei oder erfahrene Analysten zum Einsatz kommen, die die abschließende Bewertung der vorklassifizierten Dokumente vornehmen.

Bei international ausgerichteten eDiscovery Fällen – wie im Fallbeispiel 1 – ist zudem die Vernetzung der Untersuchungsbeteiligten über die Ländergrenzen hinweg ein nicht zu unterschätzender Erfolgsfaktor. Die deutsche Kapitalgesellschaft, die die eDiscovery tragen muss, sollte sich auf die Expertise der hinzugezogenen Partner auch in anderen involvierten Ländern, in unserem Fall der USA, verlassen können. Jedes Land hat seine eigenen Gesetze und Formalien, die unbedingt zu berücksichtigen sind, will man Folgekosten durch Verfahrensfehler vermeiden.

Projektmanagement als Erfolgsfaktor

Wie erfolgreich eine eDiscovery ist, hängt entscheidend vom Projektmanagement ab. Deshalb sollten eDiscovery-Projekte grundsätzlich von erfahrenen Beratern gesteuert werden.Diese sind nicht allein für die Zeitplanung, den Ressourceneinsatz und die Budgetkontrolle verantwortlich, sondern auch für den reibungslosen Verlauf des eDiscovery-Prozesses sowie für die Kommunikation zwischen sämtlichen Beteiligten in allen Phasen der Untersuchung.

Dazu gehören ein transparentes Reporting auf der Basis aktueller Daten und die lückenlose Dokumentation aller Schritte und Entscheidungen. Alle Beteiligten mit der entsprechenden Befugnis sollten sämtliche Ergebnisse aus den bisher erfolgten Untersuchungsschritten direkt abrufen können. Dies hat insbesondere für die internen Vertreter des betroffenen Unternehmens als auch für Kanzleien den großen Vorteil, dass sie sich jederzeit einen Überblick zum gesamten Projektverlauf oder zu detaillierten Einzelfragen verschaffen können. Alle laufenden Anfragen und ihr Beantwortungsstatus sollten genau dokumentiert werden; dies ist besonders wichtig, wenn es personelle Wechsel im Untersuchungsteam gibt. Eine weitere wesentliche Aufgabe des Projektmanagements ist der Datenschutz, insbesondere die Wahrung der Persönlichkeitsrechte der Mitarbeiter, die in die Untersuchung einbezogen sind. Der Datenschutz gilt aber nicht nur den Personen, sondern auch den gesicherten Daten. Sämtliche Speicherorte inklusive der Review-Plattform unterliegen höchsten Sicherheitsstandards und genauesten Zugangsregelungen. Nach Abschluss der Untersuchung muss eine rückstandslose und unwiderrufliche Löschung aller akquirierten Daten in Absprache mit den Verantwortlichen vorgenommen werden.“

Autor

Michael Becker ist in München zugelassener Rechtsanwalt und Managing Director bei CONSILIO / A First Advantage Company. Er unterstützt führende internationale Finanz- und Industrieunternehmen sowie Anwaltskanzleien bei der Planung und dem Management von eDiscovery und Computer-Forensik- Projekten. Michael Becker ist mit der Planung und dem Management bei elektronischen Auswertungsprozessen in Kartellrechts-, Betrugs-, Compliance- und Korruptionsverfahren, Litigation, Arbitration und internen Untersuchungen betraut. Ein besonderes Augenmerk liegt dabei auf den unterschiedlichen internationalen datenschutzrechtlichen Bestimmungen und dem Legal Process Outsourcing. Zuvor arbeitete er als Rechtsanwalt für internationale Wirtschaftskanzleien in Frankfurt, München, Wien und Bukarest.

Teil des ‚COMPLIANCE 2015 – PERSPEKTIVEN EINER ENTWICKLUNG‘

Herausgeber: Berufsverband der Compliance Manager (BCM) e.V.

1) So auch: Interne Studie Consilio, 2013 ( www.de.consilio.com )
2) Laut einer Studie der Martin-Luther-Universität Halle-Wittenberg aus dem Jahr 2014