Checkliste für E-Mail-Auswertungen bei internen Ermittlungen
WiJ-Checklisten
1. Ermittlungsumfang definieren
- Konkreten Verdacht dokumentieren Ermittlungsziel präzise formulieren
- Zeitraum und Inhalte der zu untersuchenden E-Mails festlegen
- Betroffene Personen/Abteilungen identifizieren und Rolle definieren
2. Rechtsgrundlagen prüfen
- Privatnutzung erlaubt oder geduldet? Gründe für (Un-)Beachtlichkeit des Fernmeldegeheimnisses dokumentieren (§ 3 TDDDG, § 206 StGB)
- Datenschutzrechtliche Rechtsgrundlagen identifizieren (§ 26 Abs. 1 Satz 2, Abs. 3 BDSG, Art. 6, 9 DSGVO), Betriebsvereinbarungen, IT-Policies
- Unterscheidung zwischen Straftaten, OWis und Vertragsverletzungen beachten
- Prüfung der Notwendigkeit einer DSFA
3. Verarbeitungszwecke prüfen und ggf. festlegen
- Zu welchen Zwecken wurden die in den Postfächern gespeicherten pD erhoben?
- Zulässigkeit des Zwecks: „Eindeutig” und „legitim”? E-Mail-Auswertung von diesem Zweck umfasst?
- Wenn nein: Zweckändernde Verarbeitung zulässig (Art. 6 Abs. 4 DSGVO oder § 24 BDSG)?
4. Technische und organisatorische Maßnahmen planen und implementieren
- Am Umfang orientierte Größe des Ermittlungsteams
- Rollen- und Berechtigungskonzepte innerhalb des Ermittlungsteams
- ggf. Verschlüsselung der Daten gewährleisten Löschfristen für die erhobenen Daten festlegen
- Prozess für den Umgang mit Betroffenenrechten definieren
- TOMs tatsächlich implementieren
5. Stakeholder einbeziehen
- Betriebsrat/Personalrat/Datenschutzbeauftragte einbinden (soweit vorhanden)
- Informationspflichten & Auskunftsrechte gegenüber betroffenen Mitarbeitern prüfen
6. Prozess für die E-Mail-Auswertung definieren
- Suchkriterien und -parameter festlegen
- Stufenweisen Ansatz von eng zu weit definieren; mit engen Suchrahmen beginnen, bei konkreten Hinweisen erweitern
- Jede Entscheidung/Erweiterung zum Ermittlungsumfang im Ermittlungsprozess dokumentieren
- Zeitpunkt, Umfang erteilter Informationen und dokumentieren; ggf. einschlägige eng zu verstehende Ausnahme wegen Verdunkelungsgefahr intensiv und dokumentieren
7. Nachbearbeitung
- Ergebnisse sichern und Prozess laufend evaluieren
- Betroffene nach Abschluss der Ermittlungen umfassend informieren
- Nicht benötigte Daten löschen; Prüfen der Einhaltung festgelegter Löschpflichten