Close
Wonach suchen Sie?
Site search
14. Februar 2017 «Lust auf Lunch?»:Beweiserhebung im Umfeld privater E-Mails

Digital Business Law Bites # 22

Mit der Reihe "Digital Business Law Bites" geben wir einen kleinen Einblick in die Fülle unserer Erfahrungen und Klientenprojekte rund um digitale Geschäftsprozesse.

In Untersuchungen von Wettbewerbsbehörden, branchenspezifischen Aufsichtsbehörden oder der Staatsanwaltschaft sind Unternehmen häufig dazu verpflichtet, bei der Ermittlung des Sachverhalts mitzuwirken. Dazu gehört die Beweiserhebung im Rahmen interner Untersuchungen. Zudem muss ein Unternehmen im Vorfeld von Zivilprozessen, bei denen es als Kläger oder Beklagter auftritt, intern Beweise erheben.

Beweisrelevante elektronische Dokumente befinden sich regelmässig in E-Mail-Postfächern oder Archiven. Bei der Durchsuchung von E-Mails und anderen elektronischen Dokumenten zur Beweiserhebung müssen Unternehmen die Privatsphäre ihrer Mitarbeiter respektieren und schützen. Das hindert Unternehmen aber nicht daran, ihrer Mitwirkungspflicht nachzukommen. Obwohl eine Suche nach beweisrelevanten elektronischen Dokumenten auch private E-Mails und persönliche Dokumente von Mitarbeitern zutage fördern kann, ist diese – wenn sie verhältnismässig und schonend erfolgt – datenschutzrechtlich zulässig. Die gezielte Suche nach auf Geschäftsservern gespeicherten privaten E-Mails von Mitarbeiterinnen und Mitarbeitern ist hingegen nur in Ausnahmefällen (in erster Linie bei konkretem Missbrauchsverdacht) zulässig.

Ein Privatnutzungsverbot nützt nur bedingt

Einige Unternehmen verbieten es ihren Mitarbeitern, den geschäftlichen E-Mail Account für den Austausch privater E-Mails zu nutzen. Ist dies der Fall, darf das Unternehmen immerhin vermutungsweise davon ausgehen, dass alle durchsuchten E-Mails geschäftsrelevant und nicht privat sind.

Die meisten Unternehmen erlauben oder dulden aber den Austausch privater E-Mails über Geschäftsadressen. Mitarbeiter verabreden sich über Geschäftsadressen zu Lunch oder Feierabendbier mit Kollegen oder Freunden. Sie organisieren private Networking-Events oder bauen mit Mitarbeitern von Kunden über Jahre ein freundschaftliches Verhältnis auf und fragen in separaten oder als Teil von geschäftlichen E-Mails auch nach deren Befinden.

Ob die Privatnutzung nun erlaubt oder verboten ist – ein Unternehmen muss immer damit rechnen, dass sich in durchsuchten Postfächern und elektronischen Archiven auch private E-Mails von Mitarbeitern befinden. Solche E-Mails darf das Unternehmen zumindest dann nicht hinter dem Rücken des Mitarbeiters durchforsten, wenn der Betroffene nicht am untersuchten Sachverhalt beteiligt war. Doch selbst wenn der Mitarbeiter z. B. unter jenen Personen ist, die die Geschäftsbeziehung mit der Gegenpartei abgewickelt haben, gehören allfällige private E-Mails dieses Mitarbeiters regelmässig nicht zu den beweisrelevanten E-Mails. Das Unternehmen muss sie bei der Untersuchung schonend aussondern. Dies gilt zumindest in den typischen und häufigen Fällen, in denen die Einwilligung der betroffenen Mitarbeiter vorher nicht oder nicht rechtzeitig eingeholt werden kann oder darf (z. B. um die Untersuchung nicht zu vereiteln oder um die Prozessvorbereitung geheim zu halten).

Relevante Postfächer eruieren und kopieren

Im Rahmen interner Untersuchungen ist zunächst zu eruieren, welche Mitarbeiter beweisrelevante E-Mails gesendet oder empfangen haben könnten. Bei kartellrechtlichen Untersuchungen sind dies
z. B. diejenigen Mitarbeiter, die am möglicherweise problematischen Informationsaustausch oder an möglicherweise problematischen Treffen mit Konkurrenten teilgenommen haben. Im Zusammenhang mit Zivilprozessen sind es diejenigen Mitarbeiter, die mit der Gegenpartei bzw. dem relevanten Kunden Geschäfte abgewickelt haben. Deren Postfächer muss das Unternehmen kopieren und sichern, damit die Beweiserhebung nicht durch Löschen von E-Mails behindert oder vereitelt wird.

E-Discovery-Software vergisst

Die Durchsuchung erfolgt idealerweise mittels einer E-Discovery-Software. Diese durchsucht die zuvor kopierten elektronischen Archive und Postfächer automatisch. Anders als Menschen «vergisst» die Software, wenn sie auch private E-Mails scannt und diese gar nicht erst in den Suchresultaten aufführt.

Suchbegriffe definieren

Suchbegriffe sind so zu definieren, dass irrelevante E-Mails mit rein persönlichem Inhalt möglichst gar nicht in den Suchresultaten erscheinen. Die Begriffe sind so zu wählen, dass die Suche auf Informationen abzielt, die für die Untersuchung bzw. zur Prozessvorbereitung im konkreten Fall relevant und daher erforderlich sind. Es scheint eher unwahrscheinlich, dass Mitarbeiter in privaten E-Mails Offerten versenden oder sich darüber austauschen, ob der Kunde bereits bezahlt bzw. die Zahlung oder Abnahme der Lieferung verweigert hat. Nicht auf private E-Mails zielen z. B. Stichworte wie «Kaufvertrag», «bezahlt», «geschuldet», «Kunde X», «Verrechnung», «Verzug», «Mängel», «Preis», «Rabatt» oder «Menge». Zudem empfiehlt sich die Eingrenzung der Suche auf E-Mails von und an den relevanten Konkurrenten oder Kunden bzw. von und an die jeweilige Gegenpartei («@companyname.com»). Die Suche beginnt mit spezifischen Stichworten. Sie kann anschliessend schrittweise auf allgemeinere Stichworte ausgeweitet werden.

Suche und Triage durch Spezialisten

Das Unternehmen sollte ein Team interner oder externer Spezialisten mit der Durchführung der Suche und einer Triage betrauen. Bei der Triage werden Suchresultate weiter eingegrenzt und noch verbleibende E-Mails (und daran angehängte Dokumente) mit rein persönlichem oder irrelevantem Inhalt ausgesondert. Wenn das Unternehmen (interne oder externe) Spezialisten mit der Triage betraut, hält es einen allfälligen Eingriff in die Privatsphäre betroffener Mitarbeiter möglichst gering. Denn es ist unwahrscheinlich, dass die Spezialisten die betroffenen (Verkaufs-) Mitarbeiter oder andere beteiligte Personen (näher) kennen.

Restriktive Zugangsberechtigungen

Die IT-Systeme, auf denen die elektronischen Dokumente gespeichert und durchsucht werden, muss das Unternehmen mit angemessenen technischen und organisatorischen Massnahmen sichern. Dazu gehört auch, dass Zugangsberechtigungen restriktiv vergeben werden. Die Sicherheitsmassnahmen dienen einerseits dem Schutz der Privatsphäre betroffener Mitarbeiter und Dritter (z. B. eines Whistleblowers). Andererseits dienen sie der Geheimhaltung der Untersuchung bzw. der Prozessvorbereitung.

Dokumentation der Suche und Triage

Das Unternehmen muss dokumentieren, welche Suchbegriffe es verwendet hat und wie die Spezialisten bei der Triage vorgegangen sind. So lässt sich später bei Bedarf nachweisen, dass die Suche auf das Notwendige beschränkt worden und schonend erfolgt ist – die Privatsphäre betroffener Personen also respektiert und geschützt worden ist.

Autor: Thomas Steiner