Interne Untersuchungen: Das Ende des Datenschutzes?

Transkript

1 Interne Untersuchungen: Das Ende des Datenschutzes? 12. Tagung der Schweizerischen Expertenvereinigung «Bekämpfung der Wirtschaftskriminalität» David Rosenthal 1

2 2 2

3 Bedeutung interner Untersuchungen 55% von 400 befragten US-amerikanischen Unternehmen ordneten im Jahr 2013 mind. eine interne Untersuchung an (inkl. Beizug von externen Beratern) (Umfrage durch Norton Rose Fulbright, 10th Annual Litigation Trends Survey, 2014) FINMA: In 45 Fällen wurde 2013 ein Untersuchungsbeauftragter eingesetzt In den letzten 10 Jahren erhebliche Zunahme der Medienberichte zu "internen Untersuchungen" 3 3

4 Bedeutung interner Untersuchungen Anzahl Medienberichte in der Schweiz zu "internen Untersuchungen" (Quelle: swissdox.ch, Medienbeobachtung) 4 4

5 Gründe? Zunahme der: Öffentlich-rechtlichen und strafrechtlichen Regulierung Delegation der behördlichen Rechtsdurchsetzung an die betroffenen Unternehmen Medialen und öffentlichen Begleitung bei möglichen Compliance-Problemen 5 5

6 Pflicht zur internen Untersuchung? Aktienrechtliche Pflicht von VR und GL? Sorgfaltspflicht bzw. Pflicht zur Wahrung der Interessen des Unternehmens (Art. 717 Abs. 1 OR) VR hat Oberaufsicht über die Geschäftsleitung, namentlich im Hinblick auf die Befolgung der Gesetze (Art. 716a Abs. 1 Ziff. 5 OR) Bundesgericht: "Ergibt sich der Verdacht falscher oder unsorgfältiger Ausübung der delegierten Geschäftsführung, ist der Verwaltungsrat verpflichtet, sogleich die erforderlichen Abklärungen zu treffen, notfalls durch Beizug von Sachverständigen" (4C.358/2005, E ) 6 6

7 Pflicht zur internen Untersuchung? Unterlassen kann für VR, GL (Art. 11 StGB) und u.u. das Unternehmen selbst (Art. 102 StGB) strafrechtliche Folgen haben (wenn Straftaten vorliegen) Für regulierte Finanzinstitute im Besonderen: Pflicht, FINMA auf Verlangen Auskünfte zu erteilen und über bedeutsame Vorkommnisse Meldung erstatten zu müssen (Art. 29 FINMAG) Implizite Pflicht, bei konkreten Hinweisen Abklärungen durchzuführen, um der Informationspflicht gemäss FINMAG nachzuleben 7 7

8 Interne Untersuchung? Verletzung von öffentlich-rechtlichen Bestimmungen, Strafnormen oder internen Regeln wird vermutet Systematische, vertiefte Ermittlung der Fakten Nicht blosse Lageanalyse oder Recherche Untersuchung durch privates Unternehmen veranlasst Keine behördliche Untersuchung, aber z.t. zusammenhängend Mit der Untersuchung werden Externe betraut, die nicht in den Vorfall involviert waren bzw. sind Abgrenzen: Operative Kontrollen, Audits, Vorbereitung für Zivilprozesse 8 8

9 Ablauf Document Preservation Verhängen eines "Legal Hold" (Vernichtungsstopp) Document Collection Übergabe an mit der Untersuchung beauftragte Person Document Review Systematische Sichtung von s und anderen Unterlagen Befragung der involvierten Mitarbeiter Berichterstattung Fakten, ev. auch rechtliche Würdigung (und selten Empfehlungen) 9 9

10 Und der Datenschutz? Meinungswandel im Laufe der letzten Jahre Früher: Sichtung von Mitarbeiter-Mails als schwerer Eingriff in die Privatsphäre, die nur den Behörden erlaubt gewesen sein sollte Heute: Berechtigtes Interesse (oder gar gesetzliche Pflicht) von Unternehmen; interne Aufklärung von Unregelmässigkeiten auch als im Interesse der Mitarbeiter erachtet Das gilt selbst dann, wenn interne Untersuchungen intern nicht geregelt sind Als heikel gilt v.a. die Weitergabe von Unterlagen an Behörden im Ausland Es geht nicht mehr um das "ob", sondern nur das "wie" Interne Untersuchungen gehen zwar oft weit, aber der Eingriff in die Privatsphäre ist de facto meist moderat Beauftragung von externen, nicht beteiligten und in Geheimhaltung geübten Personen (meist Anwälten) ist für den Datenschutz ein wesentlicher Faktor 10 10

11 Document Preservation & Collection Sicherung der Daten ohne Weiteres zulässig Kopien von Mailboxen, Images von Notebook-Festplatten und Handhelds, Extrakte von Archiven, DMS-Inhalten und Telefonaufzeichnungen, Backups Periodische Vernichtung wird ausser Kraft gesetzt Legal Hold erfolgt in fortgeschrittenen Unternehmen computergestützt Legal Hold dient auch der datenschutzrechtlichen Information der potentiellen sog. Custodians Custodian = "Verwahrer" von Unterlagen (z.b. der Besitzer einer Mailbox) Instrument zur Information über Auswertung der Daten und Beizug Dritter Kopien müssen sicher verwahrt werden Aufbewahrung typischerweise im eigenen Land (Datenschutz, Schutz von Geschäftsgeheimnissen) Immer deutlich mehr Daten als am Schluss benötigt werden 11 11

12 Der Untersuchende Mandatsvertrag definiert Ermittlungsauftrag Bei Dritten in Übersee: Meist "Processor"-Klauseln der EU (Art. 6 Abs. 2 Bst. a DSG; bei reinen internen Ermittlungen greift Art. 6 Abs. 2 Bst. d DSG nicht) Auftragsdatenbearbeiter nach Art. 10a DSG? Folge ist u.a. dass er nicht mehr als "Dritter" gilt Er entscheidet darüber, was wie gesammelt und gesichtet wird, steht aber unter dem Weisungsrecht des Auftraggebers und darf mit den Daten nicht mehr tun, als der Auftraggeber selbst tun dürfte (daher ist zu prüfen, was in firmeninternen Reglementen zu internen Untersuchungen steht) Er ist als "Mitwirkender" an der Datenbearbeitung für die Einhaltung des DSG ebenso verantwortlich Inhaber der Datensammlung betr. Ermittlungsakten? Folge ist u.a. Auskunftspflicht ggü. betroffenen Personen (Art. 8 DSG) 12 12

13 Document Review 1 5 Setzt ein Review ein Untersuchungsreglement voraus? Art. 4 Abs. 3 und 4 DSG erfüllt? Art. 14 DSG anwendbar? Ist es nicht normal und muss nicht jeder auch ohne besonderen Hinweis erwarten, dass mögliche Missbrauchsvorfälle intern untersucht werden? Information nur der Custodians? Andere Interne und Externe? Schränkt Art. 328b OR einen Review ein? Art. 328b OR regelt nur, welche Daten erhoben werden dürfen, nicht, wozu sie gebraucht werden dürfen Steht einem Review nicht entgegen, soweit es um bestehende geschäftliche Inhalte (oder bewusst auf Firmencomputern abgelegtes Privates) geht Verhältnismässigkeitsgrundsatz Erfordert ein Aussortieren der irrelevanten, aber auch privaten Inhalte Suchbegriffe beschränken den Review typischerweise auf 5-10% der Daten 13 13

14 Document Review

15 Document Review 3 5 Reviews erfolgen i.d.r. mehrstufig First-Level-Reviewer erfahren viel über das Leben, Verhalten und die Persönlichkeit ihrer Custodians Normalerweise ohne Beteiligung der betroffenen Personen Eingriffe nach Art. 13 DSG gerechtfertigt? Verstösse rechtfertigen Sichtung von Geschäftsunterlagen Durchsicht erfolgt durch unbeteiligte Dritte; Vertraulichkeit bleibt gewahrt Widersprüche nach Art. 12 Abs. 2 Bst. b DSG gibt es kaum Reviews sind enorm personalintensiv und daher teuer Wirtschaftliches Interesse an einer Beschränkung des Reviews, sofern das Unternehmen mitreden kann (oft aber überlässt es den Untersuchern freie Hand, um Unabhängigkeit sicherzustellen) Versuch der Automatisierung mit neuen "Big Data"-Techniken 15 15

16 Document Review 4 5 Collection Referenz-Set Review Anwendung 15'000 23% responsive 77% non-responsive 1'000' '000 27% responsive 73% non-responsive 985'000 Predictive Coding Vor- oder Nachteil für den Datenschutz? 16 16

17 Document Review 5 5 Unter welchen Umständen dürfen private s von Mitarbeitern untersucht werden? Versand z.b. von Geschäftsgeheimnissen an privaten Account? Privates BYOD-Handy wird z.b. für illegale Aktivitäten während der Arbeitszeit benutzt, was das Unternehmen feststellen kann? Nur bei strafrechtlich relevanter Verhaltensweise? Besondere Vorgehensweise bei privaten Mails? Sichtung durch eine weitere, unabhängige Person? Wie umgehen mit Zufallsfunden? 17 17

18 Andere Untersuchungsmittel? Privatdetektive Spyware BGE 139 II 7: Spyware auf PC als unzulässig weitgehende Überwachung um zu belegen, dass ein verdächtigter Arbeitnehmer 22 Prozent seiner Arbeitszeit für private Dinge beanspruchte (richtig: Auswertung von Logs) Verletzung von Art. 26 ArGV3 (Verhaltensüberwachung) Auswertung weiterer Daten z.b. Zutrittskontrollsystem, Sicherheitskameras, auch versteckte Kameras (dazu Entscheid Bger. 6B_536/2009) 18 18

19 Befragungen Gespräch unter der Führung des Untersuchenden Mit und ohne Vertreter des Unternehmens (psychologische Wirkung); der Mitarbeiter bringt aber i.d.r. nicht den eigenen Anwalt mit Nicht um Mitarbeiter "ans Messer" zu liefern, sondern die Sache aufzuklären Keine eigentlichen Zwangsmittel, aber Pflicht des Mitarbeiters, über Vorgänge im Unternehmen Auskunft zu geben (ggf. "Amnestieversprechen") Untersuchender protokolliert Befragung, tw. mit Aufzeichnung Normalerweise keine Kopie für den Befragten Vertraulichkeit wird nicht zugesichert; Unternehmen entscheidet über Verwendung der Auskünfte ("Corporate Miranda Warning" erforderlich) Konfrontation mit Ergebnissen des Document Review Dient dem "rechtlichen Gehör", aber auch dem Verständnis Oft wird auch über Privates gesprochen 19 19

20 Berichterstattung Bericht über die Ergebnisse legt viele Namen offen Kann die Interessen der Betroffenen erheblich tangieren (Basis für disziplinarische Massnahmen, zivilrechtliche Forderungen, Bericht an in- und ausländische Aufsichts- und Strafbehörden) Bestreitungen sind i.d.r. im Rahmen der Befragung abgedeckt Schriftliche Präsentationen nur mit Codenamen; beschränkte Zirkulation Anwendbarkeit des Auskunftsrechts? Ganzer Bericht? Einschränkungen? Nicht immer nur zur internen Verwendung Können an in- und ausländische Behörden abgegeben werden Zusammenfassung auch für die Öffentlichkeit? Wie weit schützt eine Schwärzung die Namen der Betroffenen? Beauftragung von Schweizer Anwälten, um vom Anwaltsgeheimnis zu profitieren Einbezug der Anwälte auch in alle Korrespondenz 20 20

21 Sanktionen? Datenschutzrechtliche Zivilklagen (meist kein Thema) Untersuchung des EDÖB (meist kein Thema) Aufsichtsrechtliche Folgen (meist kein Thema) Bussen (kein Thema; Ausnahme: Art. 271 StGB) Mangelnde Verwertbarkeit von Beweisen im Prozess aufgrund datenschutzwidriger Beschaffung (kann zum Thema werden, wird aber i.d.r. als Risiko akzeptiert) Streben nach Compliance (eher wichtig) Reputationsverlust, Betriebsklima (eher wichtig) Abgrenzen Art. 271 StGB: Zwangsweise Offenlegungen aus der Schweiz Art. 271 StGB: Freiwillige Offenlegungen bei Untersuchung gegen Dritte Art. 162 und 273 StGB: Offenlegung von Geschäftsgeheimnissen Dritter 21 21

22 Fazit Interne Untersuchungen als Ende des Datenschutzes? Nein! Der Datenschutz steht internen Untersuchungen meist nicht im Wege, wird in der Praxis aber auch gewahrt Wertewandel: Durch externe Stellen durchgeführte "interne" Untersuchungen bei Verdacht von Unregelmässigkeiten werden inzwischen als überwiegendes Interesse akzeptiert Für Bundesbehörden gesetzlich geregelt: Art. 57l ff. RVOG Heikler ist die Offenlegung an ausländische Behörden Schwärzung von Mitarbeiternamen in welchen Fällen? Pflicht zur Information, Einsichtsgewährung und Widerspruchsmöglichkeit? Art. 271 StGB? 22 22

23 Fragen? David Rosenthal T Homburger AG Prime Tower Hardstrasse 201 CH-8005 Zürich Postfach 314 CH-8037 Zürich 23