Betriebsrat, Arbeitnehmerdatenschutz, BDSG und DSGVO: Checkliste für eDiscovery Aufgaben in Europa

-

“Sammeln Sie einfach die Daten, schicken Sie sie uns, und wir kümmern uns darum.“

Haben Sie das schon einmal gehört?

Vorbei sind die Zeiten, in denen internationale Rechtsberater dem freien Datenverkehr rund um den Globus den Vorrang vor den aktuellen Compliance-Vorschriften einräumen konnten, die jetzt für die Bewegung dieser Daten selbst gelten. Leider erlauben europäische Unternehmen auch heute noch die ungefilterte und unverarbeitete Übermittlung von Daten in Gerichtsverfahren außerhalb des Geltungsbereichs der Datenschutz-Grundverordnung, trotz der bestehenden Strafen.

Neben dem Schutz personenbezogener Daten, die in den Bereich der Exportkontrolle, des Bankgeheimnisses, des Schutzes des geistigen Eigentums und anderer durch die DSGVO geregelter Daten fallen, sind wir als eDiscovery-Berater mehr denn je gefordert, unsere Kunden und deren Rechtsbeistand über die heute verfügbaren sinnvollen, robusten und sicheren Methoden zu beraten.

In diesem Zusammenhang geht es darum, den richtigen Ansatz, die richtigen Arbeitsabläufe und die geeigneten Tools zu nutzen, die alle eine sehr wichtige Rolle bei der Bewältigung der Datenschutzproblematik spielen. Je nach Verfahren und Technologie müssen auch die Herausforderungen der Kommunikation berücksichtigt werden. Wer informiert wen, bis wann, und welche Rolle haben die Mitarbeiter?

In diesem Artikel stellen wir eine sinnvolle Struktur für einen eDiscovery-Prozess im Kontext des internationalen Datenschutzes vor. Unserer Meinung nach sollte dieser Prozess die folgenden Punkte berücksichtigen:

Stufe 1: Data Mapping, Identifizierung und Scoping

Daten-Mapping

Durch die frühzeitige Einbeziehung aller Beteiligten ist es in der Regel möglich, die relevanten Datenquellen, auf die man abzielen muss, schnell zu identifizieren und zu lokalisieren. Einige der zu berücksichtigenden Interessengruppen sind:

  • Datenschutz
  • Datensicherheit
  • IT
  • Arbeitnehmervertreter
  • Die Rechtsabteilung
  • Betriebsrat (für alle ausserhalb Deutschlands nochmals die Definition:eine betriebliche Organisation in vielen europäischen Ländern, die die Arbeitnehmer vertritt und als Ergänzung zu den Gewerkschaften auf lokaler oder betrieblicher Ebene fungiert)

Falls vorhanden, kann auf eine Datenlandkarte verwiesen oder eine Befragung der Beteiligten durchgeführt werden. Eine Datenlandkarte sollte mindestens Folgendes enthalten:

  • Gezielte Datenverwahrer
  • Ihre geografische Lage und rechtlichen Anforderungen
  • Die ihnen zugewiesenen Geräte oder Konten
  • Alle Informationen, die im Zusammenhang mit der Datenerhebung selbst diskutiert und behandelt werden müssen

Backup-Systeme und Daten von Mitarbeitern, die das Unternehmen verlassen haben, sind in der Regel kritisch und problematisch, vor allem wegen der Zeit, die für die Wiederherstellung der Daten benötigt wird. Es wird jedoch empfohlen, dass Unternehmen mit einer ständig aktualisierten und erneuerten Hardwareausstattung ihre Geräte ab einer bestimmten Hierarchiestufe automatisch per Imaging sichern (z. B. im Falle von Hardware-Leasing).

Identifizierung

Dank der immer stärkeren Nutzung zentralisierter Cloud-Systeme wie Microsoft 365 sind wir mehr und mehr in der Lage, Daten vom E-Mail-Server direkt zu identifizieren, zu sichern und forensisch zu extrahieren. In den USA wird dies als Legal Hold bezeichnet, ein Prinzip des „Einfrierens“ der E-Mail-Daten zur Beweissicherung. Wir beobachten auch, dass Kunden sich selbst bedienen“, insbesondere bei kleineren Untersuchungen, da die eDiscovery-Suchwerkzeuge in diesen Cloud-Lösungen immer mehr Funktionen bieten.

Scoping

In einem frühen Stadium des Gesamtprozesses sollte der Betriebsrat technisch und inhaltlich eingebunden werden. In der Regel bedarf die Verwertung und Nutzung von Daten der Aufsicht und Zustimmung des Betriebsrats.

Die verwendeten und eingesetzten Technologien, insbesondere im Bereich der IT und der Forensik, haben in der Regel sehr tiefgreifende Auswirkungen auf als privat eingestufte Daten (wie z.B. ein Netzwerkordner mit Bildern von der letztjährigen Weihnachtsfeier). Daher ist es unerlässlich, transparent und offen über die geplante Strategie, die Möglichkeiten zur Entschärfung der verarbeiteten Daten und deren Tiefe sowie die Methoden zum Schutz der Daten im Falle einer Übertragung zu informieren.

In jeder Hinsicht spielt der Betriebsrat nicht nur eine kommunikative Rolle gegenüber den Mitarbeitern des Unternehmens, die für die Untersuchung als relevant erachtet werden, sondern auch eine entscheidende Rolle bei der Erzielung eines Erfolges, da der Betriebsrat die Datenverarbeitungs- und -übermittlungsabläufe aus mehreren Gründen leicht genehmigen oder ablehnen kann.

Bei internen Ermittlungen, insbesondere in Deutschland und Europa, ist es wichtig, ein Gleichgewicht zwischen Datenschutz, dem Einsatz der richtigen forensischen Werkzeuge, Prioritäten und Fristen seitens der Gerichte herzustellen. Mit dem kranken Ansatz „Sammeln Sie einfach die Daten, schicken Sie sie uns, und wir kümmern uns darum“ ist die Untersuchung bereits gefährdet. Wenn dann noch die Schweiz mit ihrem Bankgeheimnis und den Sperrgesetzen oder Frankreich mit seinen neuesten Anti-Korruptions-/AML-Anforderungen hinzukommen, wird es schnell kompliziert!

Stufe 2: Extraktion, Verarbeitung und Einspeisung

Extraktion

Nach dem erfolgreichen Scoping der Daten und der Festlegung der Parameter für die Extraktion müssen Fragen der IT-Sicherheit geklärt werden, z. B. technische und organisatorische Maßnahmen zum Schutz der Daten und der zugehörigen Dokumentation oder Arbeitsabläufe.

Die IT-Sicherheit spielt für Unternehmen eine immer wichtigere Rolle, wenn es darum geht, wo, wie und von wem die Daten verarbeitet werden. Standards wie ISO27001 und andere sollten immer vorhanden sein und geprüft werden. Auch ist es ratsam, den Forensik-Dienstleister hinsichtlich seiner eigenen technischen und organisatorischen Maßnahmen einer ersten Prüfung zu unterziehen.

Im Umfeld des Forensikdienstleisters können verschiedene Cloud-Angebote verfügbar sein. Da diese meist auf Systemen wie Azure und AWS basieren, spielt die Frage nach dem geografischen Standort der Daten eine wichtige Rolle. Anbieter mit unterstützenden Ressourcen außerhalb des Geltungsbereichs der GDPR sollten kritisch beäugt werden.

Verarbeitung

Ist alles technisch und rechtlich geklärt und liegt die Zustimmung des „Data Custodian“ vor, können die Daten erhoben werden. In den meisten Fällen ist es ratsam, eine vollständige Kopie der Daten zu erhalten, um die Verteidigungsfähigkeit und Zulässigkeit vor Gericht zu gewährleisten.

Wir als forensische Berater erstellen in der Regel ein vollständiges Abbild, indem wir eine vollständige Kopie einer Festplatte Bit für Bit erstellen, mit der Möglichkeit, gelöschte Daten wiederherstellen zu können. Oder wir wählen einen gezielteren Ansatz, der manchmal die perfekte Antwort auf Datenschutzbedenken ist.

Im Jahr 2021 sind die uns zur Verfügung stehenden Tools sehr gut in der Lage, bestimmte Daten auszulassen (z. B. den Ordner „Bilder“). Darüber hinaus können bei einer Fallprüfung bestimmte Dateitypen und vordefinierte Bereiche (wie Datenbereiche oder fallspezifische Schlüsselwörter) bei der Extraktion ein- oder ausgeschlossen werden.

Wir arbeiten immer mit dem Ziel der gerichtlichen Verwertbarkeit, aber nach dem Prinzip der Datensparsamkeit ist es üblich, dass Daten bei der Extraktion anonymisiert oder pseudonymisiert werden. Auch hier könnte der Betriebsrat der letzte Inhaber der anonymisierten oder pseudonymisierten Namen der Datenverwahrer und ihrer Quellen sein.

Einspeisung

In einem weiteren Schritt werden die Daten für die klassische Datenverarbeitung eingelesen, was auch als „Indizierung“ bezeichnet wird. In dieser Phase haben wir die Möglichkeit, relevante personenbezogene Informationen (PII) zu identifizieren, einschließlich Daten wie Religion, ethnische Zugehörigkeit und Geschlecht.

Als Dienstleister ist der Prozess der Datenbereinigung zunächst dann erfolgreich, wenn es uns gelingt, die Datenmenge, die später in einer Dokumentenüberprüfungsplattform landet, stark zu reduzieren. De-Nisting, Deduplizierung, E-Mail-Threading und andere gezielte Metadaten-Culling-Maßnahmen können nach unseren Methoden und Erfahrungen das Datenvolumen um bis zu 90 % reduzieren.

Der wichtigste Faktor ist jedoch die Übertragung personenbezogener Daten innerhalb der verbleibenden 10 %. Innerhalb der verbleibenden 10 % kann es zu Fehlalarmen kommen – denken Sie daran, dass es in US-Verfahren nicht unüblich ist, dass die Gegenseite die Freigabe der gesamten Dokumentenüberprüfungspopulation (die Daten, die in den Überprüfungsdatenpool hochgeladen wurden) verlangt.

Wie lassen sich also zeitliche Beschränkungen und Datenschutzbelange miteinander vereinbaren?

Stufe 3: Hosting, Überprüfung und Aufbereitung der Daten

Bei Sandline verlassen wir uns in den meisten Fällen auf die Verarbeitung und das Hosting der Daten „im Land“ sowie auf die Vorfilterung, um eine datenschutzwidrige Übermittlung in ein Drittland definitiv auszuschließen. Dies geschieht entweder über unsere eigenen Serverfarmen in Deutschland, Taiwan und den USA, oder wir greifen auf eine mobile Instanz oder einen Cloud-Knoten zurück.

Ziel ist es, ein Maximum an Daten im Land zu halten und dennoch Rechtsabteilungen und Anwälten außerhalb des Landes die Möglichkeit zu geben, diese zu analysieren. Dabei können unsere Kunden stets Technologien wie die automatische Schwärzung und vordefinierte maschinelle Lernmodelle nutzen, um die Echtheit der Überprüfung zu erkennen.

In vielen Fällen gehen wir auch mit einer ausgewogenen Mischung aus Technologie und menschlicher Überprüfung vor, bei der wir fortschrittliche Technologien zum Nutzen des Falles einsetzen – einschließlich Budget und menschlicher Überprüfung – und gleichzeitig Datenschutzvorkehrungen treffen, um falsch-positive Ergebnisse während der Dokumentenprüfung zu reduzieren.

Was bedeutet dies letztendlich für Sie und Ihre eDiscovery-Landschaft?

Wenn Sie planen, mit einem eDiscovery-Berater zusammenzuarbeiten, ist es wichtig, die Zusammenarbeit zu Beginn des Falles zu beginnen, wenn sich viele Entscheidungen und Anforderungen verschieben können, wie z. B. Prioritäten, Optionen, Umfang und vor allem die Geografie und der Inhalt der gesuchten Daten.

Es ist auch hilfreich, einen Partner zu haben, der mit dem Betriebsrat für kleine, mittlere oder große Unternehmen eng zusammengearbeitet hat. Wie wir bereits besprochen haben, ist die Kenntnis der Betriebsratszusammenarbeit ein wichtiger Bestandteil des Erfolgs.

Wir bei Sandline bieten die Erfahrung, die Lösungen und die Unterstützung, um Rechtsteams dabei zu helfen, sich sicher in der komplizierten Welt der globalen eDiscovery zurechtzufinden und Klarheit zu schaffen, die letztendlich Ihre Fälle weiterbringt.

Sind Sie an einer Zusammenarbeit mit Sandline interessiert? Kontaktieren Sie uns noch heute.