Arne Klaas, Tim Wybitul, Dr. Markus Wünschelbaum

Checkliste für E-Mail-Auswertungen bei internen Ermittlungen

 

WiJ-Checklisten

1. Ermittlungsumfang definieren

  • Konkreten Verdacht dokumentieren Ermittlungsziel präzise formulieren
  • Zeitraum und Inhalte der zu untersuchenden E-Mails festlegen
  • Betroffene Personen/Abteilungen identifizieren und Rolle definieren

2. Rechtsgrundlagen prüfen

  • Privatnutzung erlaubt oder geduldet? Gründe für (Un-)Beachtlichkeit des Fernmeldegeheimnisses dokumentieren (§ 3 TDDDG, § 206 StGB)
  • Datenschutzrechtliche Rechtsgrundlagen identifizieren (§ 26 Abs. 1 Satz 2, Abs. 3 BDSG, Art. 6, 9 DSGVO), Betriebsvereinbarungen, IT-Policies
  • Unterscheidung zwischen Straftaten, OWis und Vertragsverletzungen beachten
  • Prüfung der Notwendigkeit einer DSFA

3. Verarbeitungszwecke prüfen und ggf. festlegen

  • Zu welchen Zwecken wurden die in den Postfächern gespeicherten pD erhoben?
  • Zulässigkeit des Zwecks: „Eindeutig” und „legitim”? E-Mail-Auswertung von diesem Zweck umfasst?
  • Wenn nein: Zweckändernde Verarbeitung zulässig (Art. 6 Abs. 4 DSGVO oder § 24 BDSG)?

4. Technische und organisatorische Maßnahmen planen und implementieren

  • Am Umfang orientierte Größe des Ermittlungsteams
  • Rollen- und Berechtigungskonzepte innerhalb des Ermittlungsteams
  • ggf. Verschlüsselung der Daten gewährleisten Löschfristen für die erhobenen Daten festlegen
  • Prozess für den Umgang mit Betroffenenrechten definieren
  • TOMs tatsächlich implementieren

5. Stakeholder einbeziehen

  • Betriebsrat/Personalrat/Datenschutzbeauftragte einbinden (soweit vorhanden)
  • Informationspflichten & Auskunftsrechte gegenüber betroffenen Mitarbeitern prüfen

6. Prozess für die E-Mail-Auswertung definieren

  • Suchkriterien und -parameter festlegen
  • Stufenweisen Ansatz von eng zu weit definieren; mit engen Suchrahmen beginnen, bei konkreten Hinweisen erweitern
  • Jede Entscheidung/Erweiterung zum Ermittlungsumfang im Ermittlungsprozess dokumentieren
  • Zeitpunkt, Umfang erteilter Informationen und dokumentieren; ggf. einschlägige eng zu verstehende Ausnahme wegen Verdunkelungsgefahr intensiv und dokumentieren

7. Nachbearbeitung

  • Ergebnisse sichern und Prozess laufend evaluieren
  • Betroffene nach Abschluss der Ermittlungen umfassend informieren
  • Nicht benötigte Daten löschen; Prüfen der Einhaltung festgelegter Löschpflichten

Autorinnen und Autoren

  • Arne Klaas
  • Tim Wybitul
    Tim Wybitul ist Partner einer internationalen Großkanzlei und verteidigt Unternehmen regelmäßig in Bußgeldverfahren wegen DSGVO-Verstößen.
  • Dr. Markus Wünschelbaum
    Dr. Markus Wünschelbaum ist Persönlicher Referent für Policy und Datenstrategie des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Der Beitrag wurde nicht in dienstlicher Eigenschaft verfasst und gibt ausschließlich die persönliche Auffassung des Autors wieder.

WiJ

  • Dr. Ulrich Leimenstoll

    Umweltstrafrecht – besondere Herausforderungen für die Verteidigung und strafrechtliche Beratung

    Produkthaftung, Umwelt, Fahrlässigkeit und Zurechnung

  • Dr. Carolin Raspé , Dr. Roland Stein

    Strafrechtliche Risiken bei der Sanktions-Compliance

    Außenwirtschaftsrecht, Kriegswaffenkontrollrecht

  • Ronja Pfefferl , Henrik Halfmann

    Außerstrafrechtliche Folgen von strafrechtlichen Ermittlungsverfahren

    Individual- und Unternehmenssanktionen