Interne Untersuchungen: Das Ende des Datenschutzes?

Ähnliche Dokumente
Schreckgespenst -Review: Wie damit umgehen?

Entwicklungen im privaten Datenschutzrecht (April 2013 bis März 2015)

DSGVO: Kann sie in der Schweiz durchgesetzt werden?

Automatisierte Einzelentscheide: mehr den Computern? ISSS Zürcher Tagung David Rosenthal 27. Juni Version 2.01

Modul 3, 13. Oktober DSGVO Geltungsbereich, Bearbeitungsgrundsätze, Informationspflichten. David Rosenthal

Auswirkungen der Datenschutz- Revisionen auf Treuhänder. David Vasella 23. Oktober 2018

Geltungsbereich: Für wen in der Schweiz gilt die DSGVO und inwieweit?

Die Allmacht des gefühlten Datenschutzes und die Folgen EIRP Symposium 2016

Die GDPR aus der Sicht des Service Providers Und was das Schweizer Recht dazu sagt

Das neue DSG: Was uns erwartet

Der Versicherer, der Versicherte und der Anwalt, die Schwierigkeiten einer Dreiecksbeziehung

Oberaufsicht über die mit der Geschäftsführung betrauten Personen (Art. 716a Abs. 1 Ziff. 5 OR)

Schweizerisches Bundesverwaltungsrecht

Datenschutz im Arbeitsrecht im Kontext mit neuen Medien und sozialen Netzwerken Zürich,

EU-Datenschutz- Grundverordnung

Schweizerisches Bundesverwaltungsrecht

Konkordanztabelle: Vorentwurf DSG / Reform des Europarats / Reform der Europäischen Union

Datenschutz / Bankgeheimnis versus Abklärungspflichten im Zusammenhang mit der Geldwäscherei

Videoüberwachungsreglement

Reglement über die konsolidierte Aufsicht

Institut für Völkerrecht Lieferung von Bankdaten ins Ausland

IDAG und VIDAG Was ist neu? Informationsrechte

L Beweisrecht. (Art StPO)

Reglement Prüfungsausschuss. Bernerland Bank AG. Gültig ab 20. Juli 2015

Datenschutz und Qualitätssicherung

Datenschutzrecht - Schauen Sie genau hin! Michael Tschudin / Claudia Keller

Luftfrachtkartell Publikation, Einsichtnahme, Datenschutz, Geschäftsgeheimnisse

Vertretung (Art. 718 Abs. 1 Satz 1 OR) Einzelvertretungsbefugnis und -vertretungsmacht nach Gesetz (Art. 718 Abs. 1,

Datenschutz in der Volksschule

Reglement über die Videoüberwachung von gemeindeeigenen Liegenschaften und Infrastrukturen

SGVW-Tagung 18. Juni 2015 Bruno Knüsel, Steuerverwalter des Kantons Bern

Merkblatt Ermittlungsinstrumente

Das neue Datenschutzrecht - nur zusätzlicher administrativer Aufwand oder auch eine Chance für Schweizer Unternehmen?

Musterreglement Überwachungsreglement Videoüberwachung

Grenzüberschreitende Datenbearbeitung

Datenschutz-Richtlinie der SenVital

Tendenzen im Datenschutz: Mehr Privatsphäre oder mehr Administration?

vom 5. November 2014 (Stand am 1. Januar 2015)

Meldungen und Gesuchen zu solchen Treffen und generell deren Durchführung. Diese Wegleitung begründet keine Rechtsansprüche.

DSGVO und DSG-Revision: Wie umgehen damit?

Stellungnahme. zur Konsultation 17/2009 Mindestanforderungen an. Compliance und die weiteren Verhaltens-, Organisations- und

Reglement über die Videoüberwachung

Compliance und Ethik im Betrieb

Informationen zur Verarbeitung personenbezogener Daten von Geschäftspartnern

Vereinbarung über die Auftragsdatenverarbeitung

Reglement zur Videoüberwachung der Gemeinde Dorf. vom 2. Dezember 2014

Compliance Investigations aus arbeitsrechtlicher Sicht

Reglement zur Videoüberwachung. der Politischen Gemeinde Buchs ZH vom 1. Januar 2014

Datenschutz in der beruflichen Vorsorge

(Schutz bei Meldung von Unregelmässigkeiten am Arbeitsplatz)

Reglement Videoüberwachung vom 1. März 2013

für unsere Kunden, Lieferanten und Geschäftspartner

Informationen zur Verarbeitung personenbezogener Daten im Rahmen des Bewerbungsverfahrens

DSGVO und DSG-Revision

DSGVO und DSG-Revision

Informationen zur Verarbeitung personenbezogener Daten von Lieferanten gültig ab Mai 2018

GDPR: Chancen und Herausforderung für Schweizer Unternehmen

Good Corporate Governance: Compliance als Bestandteil des internen Kontrollsystems

Bericht der Revisionsstelle an den Stiftungsrat

Charter Audit Committee. Schindler Holding AG. Anhang II

DATENSCHUTZBEAUFTRAGTER Schwyz Obwalden Nidwalden. Öffentlichkeitsprinzip vs. Archivwesen (Datenschutz)

Bericht der Revisionsstelle an den Stiftungsrat

Organ-Verantwortlichkeiten

Auftragsverarbeitungsvereinbarung gemäß Art 28 DSGVO

Fair Miteinander! Fachtagung für Betriebsräte im Facility- und Industrieservice

Das Datenschutzgesetz im privaten Bereich. Zwischenbilanz und offene Fragen fünf Thesen David Rosenthal, 27. April 2012

VORSORGE in globo M. Spreitenbach. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2016

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung

AIPPI Swiss Day For your eyes only? Attorney-client privilege im internationalen Kontext. Andri Hess 31. Mai 2012

Wilfried Lehner. Kontrolle illegaler Arbeitnehmerbeschäftigung (KIAB) - Verfahrensrecht. Überblick Kontrollverfahren I. Kontrolle gem BAO 143,144

Internet am Arbeitsplatz

Merkblatt für Schweizer Unternehmen

OGD Schweiz Arbeitshilfe für Behörden zur Publikation von Daten

Kontrolle des betrieblichen Datenschutzes nach der Datenschutzgrundverordnung

Grundlagenschulung Datenschutz

Gewährsartikel: «Wildcard» für die Regulierung durch die FINMA?

REGLEMENT VIDEOÜBERWACHUNG DER GEMEINDE HORW VOM 13. MÄRZ 2008

Die ExOne Gesellschaft. Kodex für Ethik und Geschäftsgebaren (in der geänderten Fassung vom 26. März 2013)

Datenschutz im Arbeitsrecht inkl. Nutzung von Social Media

ISSS Zürcher Tagung 2011

Observationen im Sozialversicherungsrecht

4. Bekampfung der Geldwascherei und der Terrorismusfinanzierung

Die Datenschutzgrundverordnung

Kölner FIW Seminar, 2013

Wie gläsern dürfen Patientinnen sein?

Smart Farming. Persönlichkeits- und datenschutzrechtliche Überlegungen zum Einsatz von Drohnen in der Landwirtschaft

Schutz von Hinweisgebern (Whistleblower-Richtlinie)

Werbung und Online-Marketing nach der DSGVO Was ist, was war, was sein wird

Dr. iur. Rebekka Riesselmann-Saxer. Datenschutz im privatrechtlichen Arbeitsverhältnis

Datenschutzbeauftragte isd DSGVO. (Data Protection Officer DPO)

Unser Umgang mit Ihren Daten und Ihre Rechte Informationen nach Art. 13, 14 und 21 der EU-Datenschutz-Grundverordnung (DSGVO) für unsere Kunden

Verhaltenskodex Eurofoil Paper Coating GmbH

SWX Swiss Exchange Organisationsreglement

Botschaft zum DSG Profiling, Einzelentscheidungen, Datenübermittlung ins Ausland. RA Dr. David Vasella, CIPP/E 7. November 2017

Compliance Check I Übergreifende Datenschutzfunktionen (nur DSGVO) Formular D.1

DATENSCHUTZ in der Praxis

Transkript:

Interne Untersuchungen: Das Ende des Datenschutzes? 12. Tagung der Schweizerischen Expertenvereinigung «Bekämpfung der Wirtschaftskriminalität» David Rosenthal 1

2 2

Bedeutung interner Untersuchungen 55% von 400 befragten US-amerikanischen Unternehmen ordneten im Jahr 2013 mind. eine interne Untersuchung an (inkl. Beizug von externen Beratern) (Umfrage durch Norton Rose Fulbright, 10th Annual Litigation Trends Survey, 2014) FINMA: In 45 Fällen wurde 2013 ein Untersuchungsbeauftragter eingesetzt In den letzten 10 Jahren erhebliche Zunahme der Medienberichte zu "internen Untersuchungen" 3 3

Bedeutung interner Untersuchungen 700 600 Anzahl Medienberichte in der Schweiz zu "internen Untersuchungen" 602 500 471 400 407 300 200 258 232 100 0 2005-2006 2007-2008 2009-2010 2011-2012 2013-2014 (Quelle: swissdox.ch, Medienbeobachtung) 4 4

Gründe? Zunahme der: Öffentlich-rechtlichen und strafrechtlichen Regulierung Delegation der behördlichen Rechtsdurchsetzung an die betroffenen Unternehmen Medialen und öffentlichen Begleitung bei möglichen Compliance-Problemen 5 5

Pflicht zur internen Untersuchung? Aktienrechtliche Pflicht von VR und GL? Sorgfaltspflicht bzw. Pflicht zur Wahrung der Interessen des Unternehmens (Art. 717 Abs. 1 OR) VR hat Oberaufsicht über die Geschäftsleitung, namentlich im Hinblick auf die Befolgung der Gesetze (Art. 716a Abs. 1 Ziff. 5 OR) Bundesgericht: "Ergibt sich der Verdacht falscher oder unsorgfältiger Ausübung der delegierten Geschäftsführung, ist der Verwaltungsrat verpflichtet, sogleich die erforderlichen Abklärungen zu treffen, notfalls durch Beizug von Sachverständigen" (4C.358/2005, E. 5.2.1) 6 6

Pflicht zur internen Untersuchung? Unterlassen kann für VR, GL (Art. 11 StGB) und u.u. das Unternehmen selbst (Art. 102 StGB) strafrechtliche Folgen haben (wenn Straftaten vorliegen) Für regulierte Finanzinstitute im Besonderen: Pflicht, FINMA auf Verlangen Auskünfte zu erteilen und über bedeutsame Vorkommnisse Meldung erstatten zu müssen (Art. 29 FINMAG) Implizite Pflicht, bei konkreten Hinweisen Abklärungen durchzuführen, um der Informationspflicht gemäss FINMAG nachzuleben 7 7

Interne Untersuchung? Verletzung von öffentlich-rechtlichen Bestimmungen, Strafnormen oder internen Regeln wird vermutet Systematische, vertiefte Ermittlung der Fakten Nicht blosse Lageanalyse oder Recherche Untersuchung durch privates Unternehmen veranlasst Keine behördliche Untersuchung, aber z.t. zusammenhängend Mit der Untersuchung werden Externe betraut, die nicht in den Vorfall involviert waren bzw. sind Abgrenzen: Operative Kontrollen, Audits, Vorbereitung für Zivilprozesse 8 8

Ablauf Document Preservation Verhängen eines "Legal Hold" (Vernichtungsstopp) Document Collection Übergabe an mit der Untersuchung beauftragte Person Document Review Systematische Sichtung von E-Mails und anderen Unterlagen Befragung der involvierten Mitarbeiter Berichterstattung Fakten, ev. auch rechtliche Würdigung (und selten Empfehlungen) 9 9

Und der Datenschutz? Meinungswandel im Laufe der letzten Jahre Früher: Sichtung von Mitarbeiter-Mails als schwerer Eingriff in die Privatsphäre, die nur den Behörden erlaubt gewesen sein sollte Heute: Berechtigtes Interesse (oder gar gesetzliche Pflicht) von Unternehmen; interne Aufklärung von Unregelmässigkeiten auch als im Interesse der Mitarbeiter erachtet Das gilt selbst dann, wenn interne Untersuchungen intern nicht geregelt sind Als heikel gilt v.a. die Weitergabe von Unterlagen an Behörden im Ausland Es geht nicht mehr um das "ob", sondern nur das "wie" Interne Untersuchungen gehen zwar oft weit, aber der Eingriff in die Privatsphäre ist de facto meist moderat Beauftragung von externen, nicht beteiligten und in Geheimhaltung geübten Personen (meist Anwälten) ist für den Datenschutz ein wesentlicher Faktor 10 10

Document Preservation & Collection Sicherung der Daten ohne Weiteres zulässig Kopien von Mailboxen, Images von Notebook-Festplatten und Handhelds, Extrakte von Archiven, DMS-Inhalten und Telefonaufzeichnungen, Backups Periodische Vernichtung wird ausser Kraft gesetzt Legal Hold erfolgt in fortgeschrittenen Unternehmen computergestützt Legal Hold dient auch der datenschutzrechtlichen Information der potentiellen sog. Custodians Custodian = "Verwahrer" von Unterlagen (z.b. der Besitzer einer Mailbox) Instrument zur Information über Auswertung der Daten und Beizug Dritter Kopien müssen sicher verwahrt werden Aufbewahrung typischerweise im eigenen Land (Datenschutz, Schutz von Geschäftsgeheimnissen) Immer deutlich mehr Daten als am Schluss benötigt werden 11 11

Der Untersuchende Mandatsvertrag definiert Ermittlungsauftrag Bei Dritten in Übersee: Meist "Processor"-Klauseln der EU (Art. 6 Abs. 2 Bst. a DSG; bei reinen internen Ermittlungen greift Art. 6 Abs. 2 Bst. d DSG nicht) Auftragsdatenbearbeiter nach Art. 10a DSG? Folge ist u.a. dass er nicht mehr als "Dritter" gilt Er entscheidet darüber, was wie gesammelt und gesichtet wird, steht aber unter dem Weisungsrecht des Auftraggebers und darf mit den Daten nicht mehr tun, als der Auftraggeber selbst tun dürfte (daher ist zu prüfen, was in firmeninternen Reglementen zu internen Untersuchungen steht) Er ist als "Mitwirkender" an der Datenbearbeitung für die Einhaltung des DSG ebenso verantwortlich Inhaber der Datensammlung betr. Ermittlungsakten? Folge ist u.a. Auskunftspflicht ggü. betroffenen Personen (Art. 8 DSG) 12 12

Document Review 1 5 Setzt ein Review ein Untersuchungsreglement voraus? Art. 4 Abs. 3 und 4 DSG erfüllt? Art. 14 DSG anwendbar? Ist es nicht normal und muss nicht jeder auch ohne besonderen Hinweis erwarten, dass mögliche Missbrauchsvorfälle intern untersucht werden? Information nur der Custodians? Andere Interne und Externe? Schränkt Art. 328b OR einen Review ein? Art. 328b OR regelt nur, welche Daten erhoben werden dürfen, nicht, wozu sie gebraucht werden dürfen Steht einem Review nicht entgegen, soweit es um bestehende geschäftliche Inhalte (oder bewusst auf Firmencomputern abgelegtes Privates) geht Verhältnismässigkeitsgrundsatz Erfordert ein Aussortieren der irrelevanten, aber auch privaten Inhalte Suchbegriffe beschränken den Review typischerweise auf 5-10% der Daten 13 13

Document Review 2 5 14 14

Document Review 3 5 Reviews erfolgen i.d.r. mehrstufig First-Level-Reviewer erfahren viel über das Leben, Verhalten und die Persönlichkeit ihrer Custodians Normalerweise ohne Beteiligung der betroffenen Personen Eingriffe nach Art. 13 DSG gerechtfertigt? Verstösse rechtfertigen Sichtung von Geschäftsunterlagen Durchsicht erfolgt durch unbeteiligte Dritte; Vertraulichkeit bleibt gewahrt Widersprüche nach Art. 12 Abs. 2 Bst. b DSG gibt es kaum Reviews sind enorm personalintensiv und daher teuer Wirtschaftliches Interesse an einer Beschränkung des Reviews, sofern das Unternehmen mitreden kann (oft aber überlässt es den Untersuchern freie Hand, um Unabhängigkeit sicherzustellen) Versuch der Automatisierung mit neuen "Big Data"-Techniken 15 15

Document Review 4 5 Collection Referenz-Set Review Anwendung 15'000 23% responsive 77% non-responsive 1'000'000 985'000 27% responsive 73% non-responsive 985'000 Predictive Coding Vor- oder Nachteil für den Datenschutz? 16 16

Document Review 5 5 Unter welchen Umständen dürfen private E-Mails von Mitarbeitern untersucht werden? Versand z.b. von Geschäftsgeheimnissen an privaten Account? Privates BYOD-Handy wird z.b. für illegale Aktivitäten während der Arbeitszeit benutzt, was das Unternehmen feststellen kann? Nur bei strafrechtlich relevanter Verhaltensweise? Besondere Vorgehensweise bei privaten Mails? Sichtung durch eine weitere, unabhängige Person? Wie umgehen mit Zufallsfunden? 17 17

Andere Untersuchungsmittel? Privatdetektive Spyware BGE 139 II 7: Spyware auf PC als unzulässig weitgehende Überwachung um zu belegen, dass ein verdächtigter Arbeitnehmer 22 Prozent seiner Arbeitszeit für private Dinge beanspruchte (richtig: Auswertung von Logs) Verletzung von Art. 26 ArGV3 (Verhaltensüberwachung) Auswertung weiterer Daten z.b. Zutrittskontrollsystem, Sicherheitskameras, auch versteckte Kameras (dazu Entscheid Bger. 6B_536/2009) 18 18

Befragungen Gespräch unter der Führung des Untersuchenden Mit und ohne Vertreter des Unternehmens (psychologische Wirkung); der Mitarbeiter bringt aber i.d.r. nicht den eigenen Anwalt mit Nicht um Mitarbeiter "ans Messer" zu liefern, sondern die Sache aufzuklären Keine eigentlichen Zwangsmittel, aber Pflicht des Mitarbeiters, über Vorgänge im Unternehmen Auskunft zu geben (ggf. "Amnestieversprechen") Untersuchender protokolliert Befragung, tw. mit Aufzeichnung Normalerweise keine Kopie für den Befragten Vertraulichkeit wird nicht zugesichert; Unternehmen entscheidet über Verwendung der Auskünfte ("Corporate Miranda Warning" erforderlich) Konfrontation mit Ergebnissen des Document Review Dient dem "rechtlichen Gehör", aber auch dem Verständnis Oft wird auch über Privates gesprochen 19 19

Berichterstattung Bericht über die Ergebnisse legt viele Namen offen Kann die Interessen der Betroffenen erheblich tangieren (Basis für disziplinarische Massnahmen, zivilrechtliche Forderungen, Bericht an in- und ausländische Aufsichts- und Strafbehörden) Bestreitungen sind i.d.r. im Rahmen der Befragung abgedeckt Schriftliche Präsentationen nur mit Codenamen; beschränkte Zirkulation Anwendbarkeit des Auskunftsrechts? Ganzer Bericht? Einschränkungen? Nicht immer nur zur internen Verwendung Können an in- und ausländische Behörden abgegeben werden Zusammenfassung auch für die Öffentlichkeit? Wie weit schützt eine Schwärzung die Namen der Betroffenen? Beauftragung von Schweizer Anwälten, um vom Anwaltsgeheimnis zu profitieren Einbezug der Anwälte auch in alle Korrespondenz 20 20

Sanktionen? Datenschutzrechtliche Zivilklagen (meist kein Thema) Untersuchung des EDÖB (meist kein Thema) Aufsichtsrechtliche Folgen (meist kein Thema) Bussen (kein Thema; Ausnahme: Art. 271 StGB) Mangelnde Verwertbarkeit von Beweisen im Prozess aufgrund datenschutzwidriger Beschaffung (kann zum Thema werden, wird aber i.d.r. als Risiko akzeptiert) Streben nach Compliance (eher wichtig) Reputationsverlust, Betriebsklima (eher wichtig) Abgrenzen Art. 271 StGB: Zwangsweise Offenlegungen aus der Schweiz Art. 271 StGB: Freiwillige Offenlegungen bei Untersuchung gegen Dritte Art. 162 und 273 StGB: Offenlegung von Geschäftsgeheimnissen Dritter 21 21

Fazit Interne Untersuchungen als Ende des Datenschutzes? Nein! Der Datenschutz steht internen Untersuchungen meist nicht im Wege, wird in der Praxis aber auch gewahrt Wertewandel: Durch externe Stellen durchgeführte "interne" Untersuchungen bei Verdacht von Unregelmässigkeiten werden inzwischen als überwiegendes Interesse akzeptiert Für Bundesbehörden gesetzlich geregelt: Art. 57l ff. RVOG Heikler ist die Offenlegung an ausländische Behörden Schwärzung von Mitarbeiternamen in welchen Fällen? Pflicht zur Information, Einsichtsgewährung und Widerspruchsmöglichkeit? Art. 271 StGB? 22 22

Fragen? David Rosenthal david.rosenthal@homburger.ch T +41 43 222 16 69 Homburger AG Prime Tower Hardstrasse 201 CH-8005 Zürich Postfach 314 CH-8037 Zürich www.homburger.ch 23

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback