Digitalforensische Maßnahmen des OLAF Informationsbroschüre https://ec.europa.eu/anti-fraud/
Was ist eine digitalforensische Maßnahme? Unter einer digitalforensischen Maßnahme versteht man die technische Inaugenscheinnahme, Erfassung und Untersuchung digitaler Medien und/oder ihres Inhalts durch OLAF-interne Spezialisten für die Erhebung digitalen Beweismaterials mit Hilfe spezieller forensischer Ausrüstung und Software. Ziel ist die Lokalisierung, Identifizierung, Sammlung und/oder Erfassung von potenziell untersuchungsrelevanten Daten. Letztere können als Beweismittel in Verwaltungs-, Disziplinar- und Strafverfahren verwendet werden. Bei einer solchen Maßnahme darf das OLAF auch Daten sammeln, die nicht forensisch kopiert wurden. Auf welcher Rechtsgrundlage führt das OLAF bei internen Untersuchungen digitalforensische Maßnahmen durch? Nach Artikel 4 Absatz 2 der Verordnung (EU, Euratom) Nr. 883/2013 des Europäischen Parlaments und des Rates ist das OLAF befugt, Kopien aller Schriftstücke und des Inhalts aller Datenträger, die im Besitz der Organe, Einrichtungen und sonstigen Stellen sind, oder Auszüge davon anzufertigen und diese Schriftstücke und Informationen erforderlichenfalls sicherzustellen, um zu gewährleisten, dass keine Gefahr besteht, dass sie verschwinden. Alle Beamten oder sonstigen Bediensteten, Mitglieder eines der Organe oder Einrichtungen, Leiter einer sonstigen Stelle oder Bedienstete sind verpflichtet, in vollem Umfang mit dem OLAF zusammenzuarbeiten. Auf welcher Rechtsgrundlage führt das OLAF bei externen Untersuchungen digitalforensische Maßnahmen durch? Nach Artikel 7 der Verordnung (Euratom, EG) Nr. 2185/96 des Rates hat das OLAF unter denselben Bedingungen wie
die Kontrolleure der einzelstaatlichen Verwaltungen und unter Einhaltung der einzelstaatlichen Vorschriften Zugang zu allen Informationen und Unterlagen (einschließlich Computerdaten), die sich für die ordnungsgemäße Durchführung der Kontrollen und Überprüfungen vor Ort als erforderlich erweisen. Zusätzlich können weitere sektorspezifische Bestimmungen gelten. Was geschieht, wenn der digitale Datenträger personenbezogene Daten enthält, die nicht untersuchungsrelevant sind? Bei digitalforensischen Maßnahmen werden die Grundsätze der Zulässigkeit, Notwendigkeit und Verhältnismäßigkeit im Rahmen der Untersuchung eingehalten. Die Untersuchungsbeauftragten des OLAF sind befugt, auf elektronischen Geräten oder Medien befindliche Daten, die sie als potenziell untersuchungsrelevant ermittelt haben, sicherzustellen oder mit digitalforensischen Mitteln zu erfassen und zwar auch dann, wenn diese personenbezogene, nicht untersuchungsrelevante Daten enthalten. Wie nachfolgend näher ausgeführt wird, greift das OLAF dabei stets nur auf solche Daten zu (und verarbeitet diese), die für die betreffende Untersuchung relevant sind. Wie wird bei einer digitalforensischen Maßnahme im Einzelnen vorgegangen? Die vom OLAF angewandten Verfahren sind im OLAF- Leitfaden für digitalforensische Verfahren (abrufbar unter https://ec.europa.eu/anti-fraud/) beschrieben. Kurz gesagt geht das OLAF wie folgt vor: Der zuständige Untersuchungsbeauftragte des OLAF übergibt der von der digitalforensischen Maßnahme betroffenen Person zusammen mit dieser Broschüre eine vom OLAF-Generaldirektor oder von einem per Befugnisübertragung ermächtigten OLAF-Direktor unterzeichnete Kopie seiner Ermächtigung zur Durchführung einer digitalforensischen Maßnahme und Untersuchung.
Die OLAF-Experten machen Fotos von allen Geräten und Medien, die der digitalforensischen Maßnahme unterzogen werden sollen, und erstellen eine Bestandsliste dieser Geräte und Medien. Die OLAF-Experten erstellen eine digitalforensische Kopie der Daten. Dieses Abbild wird im binären Format mit einem nur einmal existierenden Hashwert gespeichert, durch den die Unversehrtheit des Abbilds und gleichzeitig die des digitalen Mediums und der auf diesem befindlichen Daten sichergestellt wird. Falls es aus technischen Gründen nicht möglich ist, eine digitalforensische Kopie zu erstellen, können die OLAF- Experten das betreffende elektronische Gerät bzw. Medium sicherstellen oder die Daten nur teilweise kopieren. Die OLAF-Experten erstellen abschließend einen Bericht über die digitalforensische Maßnahme, in dem sämtliche Tätigkeiten aufgeführt werden, die für den Zugriff auf die Daten sowie deren Erfassung, Sammlung und Speicherung erforderlich waren. Des Weiteren werden in dem Bericht sämtliche Personen (einschließlich Vertreter nationaler Behörden) aufgeführt, die aktiv an der digitalforensischen Maßnahme beteiligt waren. Letztere werden gebeten, den Bericht zu unterschreiben. Der Bericht wird sodann von den OLAF-Experten, die die digitalforensische Maßnahme durchgeführt haben, sowie von etwaigen vor Ort tätigen Technikern, die ihnen bei der Ausführung ihrer Aufgaben behilflich waren, unterzeichnet. Anschließend wird der Bericht in der betreffenden Fallakte des OLAF abgelegt. Die von der digitalforensischen Maßnahme betroffene Person erhält eine Kopie des Berichts. Was macht das OLAF mit den erfassten bzw. gesammelten Daten? Das OLAF bewahrt die Daten an einem sicheren Ort auf.
Etwaige untersuchungsrelevante Daten werden mittels Stichwortsuche und anderer Suchmethoden ermittelt. Nur die auf diese Weise ermittelten Daten werden der Fallakte zugeführt. Nach Prüfung der Daten erstellen die OLAF-Experten einen Bericht und legen diesen in der Fallakte ab. Das OLAF bewahrt die Daten bis zu 15 Jahre nach Untersuchungsabschluss auf. Daten, die für eine nachfolgende Untersuchung relevant sein können, dürfen für die Zwecke dieser Untersuchung erneut erfasst werden. In einem solchen Fall wird die betroffene Person vorab über Zeitpunkt und Ort der erneuten Erfassung informiert. Datenschutzerklärung Ihre personenbezogenen Daten im Zusammenhang mit dieser Angelegenheit werden gemäß den Artikeln 15 und 16 der Verordnung (EU) 2018/1725 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union und zum freien Datenverkehr in der elektronischen Datei und den Akten des OLAF für die Zwecke der in Artikel 2 des Beschlusses 1999/352/EG, EGKS, Euratom und in der Verordnung (EU, Euratom) Nr. 883/2013 über die Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) genannten Tätigkeiten oder im Zusammenhang mit diesen Tätigkeiten gespeichert. Verarbeitet werden personenbezogene Daten folgender Kategorien: Kontaktdaten, Angaben zur Person, berufliche Daten und Daten in Bezug auf Ihre Beteiligung an dem Fall. Ihre Daten können aus unterschiedlichen Quellen stammen, darunter öffentlich verfügbare Informationen. Ihre Daten können an andere Organe, Einrichtungen oder sonstige Stellen der EU, an zuständige Behörden eines Mitgliedstaats oder Drittlandes sowie an internationale Organisationen übermittelt werden. Das OLAF trifft keine automatisierten Entscheidungen über die von der Datenverarbeitung betroffenen Personen. Ihre Daten werden höchstens 15 Jahre lang gespeichert. Sie sind berechtigt, den Zugang zu Ihren personenbezogenen Daten, die Berichtigung oder Löschung dieser Daten oder die Beschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen oder können aus Gründen, die sich aus ihrer persönlichen Situation ergeben, Widerspruch gegen die Verarbeitung einlegen. Wenn Sie Zugang zu Ihren personenbezogenen Daten beantragen möchten, die in einer bestimmten Datei verarbeitet wurden, geben Sie in Ihrem Antrag bitte das betreffende Aktenzeichen oder eine geeignete Beschreibung an. Entsprechende Anträge sind an den für die Datenverarbeitung Verantwortlichen (OLAF-FMB- Data-Protection@ec.europa.eu) zu richten. Die vollständigen Datenschutzerklärungen für diese und sämtliche anderen Vorgänge des OLAF zur Verarbeitung personenbezogener Daten finden Sie unter https://ec.europa.eu/anti-fraud/. Bei etwaigen Fragen bezüglich der Verarbeitung Ihrer personenbezogenen Daten können Sie sich an den Datenschutzbeauftragten des OLAF (OLAF-FMB-DPO@ec.europa.eu) wenden. Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten können Sie jederzeit Beschwerde beim Europäischen Datenschutzbeauftragten (edps@edps.europa.eu) einlegen.