Arne Klaas, Tim Wybitul, Dr. Markus Wünschelbaum

Checkliste für E-Mail-Auswertungen bei internen Ermittlungen

 

WiJ-Checklisten

1. Ermittlungsumfang definieren

  • Konkreten Verdacht dokumentieren Ermittlungsziel präzise formulieren
  • Zeitraum und Inhalte der zu untersuchenden E-Mails festlegen
  • Betroffene Personen/Abteilungen identifizieren und Rolle definieren

2. Rechtsgrundlagen prüfen

  • Privatnutzung erlaubt oder geduldet? Gründe für (Un-)Beachtlichkeit des Fernmeldegeheimnisses dokumentieren (§ 3 TDDDG, § 206 StGB)
  • Datenschutzrechtliche Rechtsgrundlagen identifizieren (§ 26 Abs. 1 Satz 2, Abs. 3 BDSG, Art. 6, 9 DSGVO), Betriebsvereinbarungen, IT-Policies
  • Unterscheidung zwischen Straftaten, OWis und Vertragsverletzungen beachten
  • Prüfung der Notwendigkeit einer DSFA

3. Verarbeitungszwecke prüfen und ggf. festlegen

  • Zu welchen Zwecken wurden die in den Postfächern gespeicherten pD erhoben?
  • Zulässigkeit des Zwecks: „Eindeutig” und „legitim”? E-Mail-Auswertung von diesem Zweck umfasst?
  • Wenn nein: Zweckändernde Verarbeitung zulässig (Art. 6 Abs. 4 DSGVO oder § 24 BDSG)?

4. Technische und organisatorische Maßnahmen planen und implementieren

  • Am Umfang orientierte Größe des Ermittlungsteams
  • Rollen- und Berechtigungskonzepte innerhalb des Ermittlungsteams
  • ggf. Verschlüsselung der Daten gewährleisten Löschfristen für die erhobenen Daten festlegen
  • Prozess für den Umgang mit Betroffenenrechten definieren
  • TOMs tatsächlich implementieren

5. Stakeholder einbeziehen

  • Betriebsrat/Personalrat/Datenschutzbeauftragte einbinden (soweit vorhanden)
  • Informationspflichten & Auskunftsrechte gegenüber betroffenen Mitarbeitern prüfen

6. Prozess für die E-Mail-Auswertung definieren

  • Suchkriterien und -parameter festlegen
  • Stufenweisen Ansatz von eng zu weit definieren; mit engen Suchrahmen beginnen, bei konkreten Hinweisen erweitern
  • Jede Entscheidung/Erweiterung zum Ermittlungsumfang im Ermittlungsprozess dokumentieren
  • Zeitpunkt, Umfang erteilter Informationen und dokumentieren; ggf. einschlägige eng zu verstehende Ausnahme wegen Verdunkelungsgefahr intensiv und dokumentieren

7. Nachbearbeitung

  • Ergebnisse sichern und Prozess laufend evaluieren
  • Betroffene nach Abschluss der Ermittlungen umfassend informieren
  • Nicht benötigte Daten löschen; Prüfen der Einhaltung festgelegter Löschpflichten

Autorinnen und Autoren

  • Arne Klaas
  • Tim Wybitul
    Tim Wybitul ist Partner einer internationalen Großkanzlei und verteidigt Unternehmen regelmäßig in Bußgeldverfahren wegen DSGVO-Verstößen.
  • Dr. Markus Wünschelbaum
    Dr. Markus Wünschelbaum ist Persönlicher Referent für Policy und Datenstrategie des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Der Beitrag wurde nicht in dienstlicher Eigenschaft verfasst und gibt ausschließlich die persönliche Auffassung des Autors wieder.

WiJ

  • Dr. Carolin Raspé , Dr. Roland Stein

    Strafrechtliche Risiken bei der Sanktions- Compliance Teil 1

    Außenwirtschaftsrecht Kriegswaffenkontrollrecht

  • Sigrid Mehring-Zier

    Wirtschaftsvölkerstrafrecht in der europäischen Praxis – und Deutschland?

    Auslandsbezüge EU Internationales Strafrecht Rechtshilfe

  • Jakob Lehners

    Digitale Akteneinsicht in der Untersuchungshaft

    Straf- und Bußgeldverfahren (inklusive OWi-Verfahren)