Schreckgespenst -Review: Wie damit umgehen?

Transkript

1 Schreckgespenst -Review: Wie damit umgehen? Tagung des VSUJ David Rosenthal

2 Es kann jeden treffen Unternehmen wird in eine internationale Zivilklage verwickelt Pre-Trial Discovery in den USA: Vorab-Austausch aller potenziell relevanter Unterlagen, über die das Unternehmen verfügt, auch in der Schweiz Production Order: Gericht ordnet Herausgabe von Unterlagen an Case Assessment: Anwälte müssen den Sachverhalt ermitteln Verdacht auf Verfehlungen innerhalb des eigenen Unternehmens Im Rahmen einer internen Untersuchung müssen zur Ermittlung die s der vom Verdacht betroffenen Personen gesichtet werden Unternehmen wird Ziel einer Behördenuntersuchung im In- oder Ausland Document Production Request: Eine Strafverfolgungs- oder Aufsichtsbehörde verlangt die Herausgabe von zahlreichen Unterlagen Eine Behörde beschlagnahmt in einer Hausdurchsuchung auch die Inhalte der Server; auch das Unternehmen will sich vom Inhalt Kenntnis verschaffen 2

3 3

4 Herausforderungen Technisch und organisatorisch Datenbeschaffung (Quellen, Qualität, Formate, Verschlüsselung, etc.) Hohe Volumen (technische Verarbeitungszeit, Zeit für Review) Zeitdruck (Sofortmassnahmen, Dauer des Reviews, externe Deadlines) Hohe Kosten (Aufbereitung der Daten, Kosten für externe Reviewer) Verständnis der Inhalte (Sprache, Fachinformationen) Koordination der zahlreichen beteiligten Stellen Rechtlich Datenschutz (Mitarbeiter, Dritte) Arbeitsrecht Geheimnisschutz (eigene und fremde Geheimnisse, supervisory privilege) Art. 271 StGB (verbotene Handlungen für einen fremden Staat) Beachtung auch des ausländischen Rechts 4

5 Der Ablauf 5

6 Review Reviews können unterschiedlichsten Zwecken dienen Erste Einschätzung des Falls bzw. der Unterlagen (early case asssessment) Suche nach klar irrelevanten Inhalten zwecks Aussonderung (culling) Suche nach für den Fall relevanten Inhalten Schwärzung (redactions) oder Aussonderung von privaten oder sonst zu schützenden Inhalten Datenschutz und Arbeitsrecht Berufsgeheimnisse, eigene und fremde Geschäftsgeheimnisse Legal Privilege, Supervisory Privilege Kombinierter Review oder separate(r) Review(s) durch unterschiedliche Teams Reviews (ausser ECA und culling) erfolgen über zwei oder mehr "Levels" Es kann immer dasselbe System als Review-Plattform benutzt werden Alle Schritte sind vollständig zu dokumentieren und protokollieren 6

7 7

8 8

9 Predictive Coding Collection Referenz-Set Review Anwendung 15'000 23% responsive 77% non-responsive 1'000' '000 27% responsive 73% non-responsive 985'000 9

10 Aufgabenteilung Interne Stellen Externe Dienstleister Richtlinien für -Reviews Initiierung des Legal Hold Identifikation der "Custodians" Beizug der Informatik und anderen internen Datenquellen Organisation und Bereitstellung der zentral gespeicherten Daten InformationBetreuung Mitarbeiter Mitwirkung bei der Festlegung der Suchstrategie Für den Review nötige Angaben Erstellen forensischer Kopien von Notebook-Festplatten, etc. System zur Speicherung der Daten und Durchführung des Reviews Dokumentation des Reviews, Log Festlegung der Suchstrategie Filterung der Daten, "Culling" 1st Level Review 2nd Level Review Produktion Ergebnisbericht 10

11 Datenschutz Meinungswandel im Laufe der letzten Jahre Früher: Sichtung von Mitarbeiter-Mails als schwerer Eingriff in die Privatsphäre, die nur den Behörden erlaubt gewesen sein sollte Heute: Berechtigtes Interesse (oder gar gesetzliche Pflicht) von Unternehmen; interne Aufklärung von Unregelmässigkeiten auch als im Interesse der Mitarbeiter erachtet Das gilt selbst dann, wenn interne Untersuchungen intern nicht geregelt sind Als heikel gilt v.a. die Weitergabe von Unterlagen an Behörden im Ausland Es geht nicht mehr um das "ob", sondern nur um das "wie" Untersuchungen und E-Discovery gehen zwar oft weit, aber der Eingriff in die Privatsphäre ist de facto meist moderat (auf das Nötige beschränkt) Beauftragung von externen, nicht beteiligten und in Geheimhaltung geübten Personen (meist Anwälten) ist für den Datenschutz ein wesentlicher Faktor 11

12 Datenschutz Grundsatz der Transparenz und Zweckbindung (Art. 4 Abs. 3 und 4 DSG) Allgemeine Information, konkrete Information Soweit nicht aus den Umständen damit gerechnet werden muss Grundsatz der Verhältnismässigkeit (Art. 4 Abs. 2 DSG) Bearbeitung nur soweit für den Zweck nötig und für die Betroffenen zumutbar Parallel dazu: Fürsorgepflicht (Art. 328 OR) Auskunfts- und Widerspruchsrecht (Art. 8 DSG, Art. 12 Abs. 2 Bst. b DSG) Beschränkung der Bekanntgabe ins Ausland (Art. 6 DSG) Sichere Drittstaaten (Art. 6 Abs. 1 DSG) Vertragliche Datenschutzgarantien (Art. 6 Abs. 2 Bst. a DSG) Durchsetzung von Ansprüchen vor Gericht (Art. 6 Abs. 2 Bst. d DSG) Auftragsdatenbearbeitung (Art. 10a DSG) 12

13 Weitere Bestimmungen Aufsichts-, straf- und zivilrechtlicher Geheimnisschutz Legal Privilege: Etablierte Standards und Vorgehensweise Berufsgeheimnis: In der Regel keine Flexibilität (z.b. Bankkundendaten) Geschäftsgeheimnisse: Reichweite vertraglicher Geheimhaltungspflichten oft unklar; bei Geheimnisherrn aus der Schweiz greift auch Art. 273 StGB Supervisory Privilege: Praxis noch offen (Art. 42c Abs. 5 FINMAG) Art. 271 StGB Grundsatz: Keine Beweiserhebung für ausländische Verfahren auf Schweizer Territorium ohne Schweizer Behörden (d.h. ohne Amts- oder Rechtshilfe) Ausnahmen Bewilligung (im Gesetz oder im Einzelfall durch den Bund) Freiwillige Lieferung eigener Unterlagen im eigenen Verfahren Ausländische Unterlagen, die in der Schweiz nur gelagert werden 13

14 Schlussbemerkung Steht ein -Review an, muss es meist schnell gehen Interne Organisation vorbereiten und Kontakte knüpfen Abläufe und Verantwortlichkeiten definieren (Task Force, Legal Hold, etc.) Mitarbeiter schon vorab in allgemeiner Weise informieren Nur spezialisierte Review-Systeme einsetzen Können auf dem Markt gemietet werden (heute eine Commodity) Projektorganisation und Know-how betr. -Reviews sind zentral Fehlt auch bei externen Anwälte (selbst aus den USA) noch oft Leerläufe und falsche Herangehensweisen können sehr teuer werden Anwälte insbesondere aus den USA nicht einfach laufenlassen Themen wie Datenschutz und 271 früh adressieren; sie kennen das oft nicht Verhältnismässigkeit sicherstellen, Kostenkontrolle 14

15 Danke für Ihre Aufmerksamkeit. David Rosenthal T Homburger AG Prime Tower Hardstrasse 201 CH-8005 Zürich Postfach 314 CH-8037 Zürich P735500v1