13.11.2015
Interne Untersuchungen:
Das Ende des Datenschutzes?
12. Tagung der Schweizerischen Expertenvereinigung
«Bekämpfung der Wirtschaftskriminalität»
David Rosenthal
Version 1.01
|
1
13.11.2015
Version 1.01
6. November 2015 |
2
2
13.11.2015
Bedeutung interner
Untersuchungen
— 55% von 400 befragten US-amerikanischen Unternehmen ordneten im Jahr
2013 mind. eine interne Untersuchung an (inkl. Beizug von externen Beratern)
(Umfrage durch Norton Rose Fulbright, 10th Annual Litigation Trends Survey, 2014)
— FINMA: In 45 Fällen wurde 2013 ein Untersuchungsbeauftragter eingesetzt
— In den letzten 10 Jahren erhebliche Zunahme der Medienberichte zu "internen
Untersuchungen"
Version 1.01
6. November 2015 |
3
3
13.11.2015
Bedeutung interner
Untersuchungen
700
Anzahl Medienberichte in der Schweiz zu "internen Untersuchungen"
602
600
471
500
407
400
300
258
232
200
100
0
2005-2006
2007-2008
2009-2010
2011-2012
2013-2014
(Quelle: swissdox.ch, Medienbeobachtung)
Version 1.01
6. November 2015 |
4
4
13.11.2015
Gründe?
— Zunahme der:
— Öffentlich-rechtlichen und strafrechtlichen Regulierung
— Delegation der behördlichen Rechtsdurchsetzung an die betroffenen
Unternehmen
— Medialen und öffentlichen Begleitung bei möglichen Compliance-Problemen
Version 1.01
6. November 2015 |
5
5
13.11.2015
Pflicht zur internen
Untersuchung?
— Aktienrechtliche Pflicht von VR und GL?
— Sorgfaltspflicht bzw. Pflicht zur Wahrung der Interessen des Unternehmens
(Art. 717 Abs. 1 OR)
— VR hat Oberaufsicht über die Geschäftsleitung, namentlich im Hinblick auf
die Befolgung der Gesetze (Art. 716a Abs. 1 Ziff. 5 OR)
— Bundesgericht: "Ergibt sich … der Verdacht falscher oder unsorgfältiger
Ausübung der delegierten Geschäftsführung…, ist der Verwaltungsrat
verpflichtet, sogleich die erforderlichen Abklärungen zu treffen, notfalls durch
Beizug von Sachverständigen" (4C.358/2005, E. 5.2.1)
Version 1.01
6. November 2015 |
6
6
13.11.2015
Pflicht zur internen
Untersuchung?
— Unterlassen kann für VR, GL (Art. 11 StGB) und u.U. das Unternehmen selbst
(Art. 102 StGB) strafrechtliche Folgen haben (wenn Straftaten vorliegen)
— Für regulierte Finanzinstitute im Besonderen:
— Pflicht, FINMA auf Verlangen Auskünfte zu erteilen und über bedeutsame
Vorkommnisse Meldung erstatten zu müssen (Art. 29 FINMAG)
— Implizite Pflicht, bei konkreten Hinweisen Abklärungen durchzuführen, um der
Informationspflicht gemäss FINMAG nachzuleben
Version 1.01
6. November 2015 |
7
7
13.11.2015
Interne Untersuchung?
— Verletzung von öffentlich-rechtlichen Bestimmungen, Strafnormen oder internen
Regeln wird vermutet
— Systematische, vertiefte Ermittlung der Fakten
— Nicht blosse Lageanalyse oder Recherche
— Untersuchung durch privates Unternehmen veranlasst
— Keine behördliche Untersuchung, aber z.T. zusammenhängend
— Mit der Untersuchung werden Externe betraut, die nicht in den Vorfall involviert
waren bzw. sind
— Abgrenzen: Operative Kontrollen, Audits, Vorbereitung für Zivilprozesse
Version 1.01
6. November 2015 |
8
8
13.11.2015
Ablauf
— Document Preservation
— Verhängen eines "Legal Hold" (Vernichtungsstopp)
— Document Collection
— Übergabe an mit der Untersuchung beauftragte Person
— Document Review
— Systematische Sichtung von E-Mails und anderen Unterlagen
— Befragung der involvierten Mitarbeiter
— Berichterstattung
— Fakten, ev. auch rechtliche Würdigung (und selten Empfehlungen)
Version 1.01
6. November 2015 |
9
9
13.11.2015
Und der Datenschutz?
— Meinungswandel im Laufe der letzten Jahre
— Früher: Sichtung von Mitarbeiter-Mails als schwerer Eingriff in die
Privatsphäre, die nur den Behörden erlaubt gewesen sein sollte
— Heute: Berechtigtes Interesse (oder gar gesetzliche Pflicht) von
Unternehmen; interne Aufklärung von Unregelmässigkeiten auch als im
Interesse der Mitarbeiter erachtet
— Das gilt selbst dann, wenn interne Untersuchungen intern nicht geregelt sind
— Als heikel gilt v.a. die Weitergabe von Unterlagen an Behörden im Ausland
— Es geht nicht mehr um das "ob", sondern nur das "wie"
— Interne Untersuchungen gehen zwar oft weit, aber der Eingriff in die
Privatsphäre ist de facto meist moderat
— Beauftragung von externen, nicht beteiligten und in Geheimhaltung geübten
Personen (meist Anwälten) ist für den Datenschutz ein wesentlicher Faktor
Version 1.01
6. November 2015 | 10
10
13.11.2015
Document Preservation &
Collection
— Sicherung der Daten ohne Weiteres zulässig
— Kopien von Mailboxen, Images von Notebook-Festplatten und Handhelds,
Extrakte von Archiven, DMS-Inhalten und Telefonaufzeichnungen, Backups
— Periodische Vernichtung wird ausser Kraft gesetzt
— Legal Hold erfolgt in fortgeschrittenen Unternehmen computergestützt
— Legal Hold dient auch der datenschutzrechtlichen Information der potentiellen
sog. Custodians
— Custodian = "Verwahrer" von Unterlagen (z.B. der Besitzer einer Mailbox)
— Instrument zur Information über Auswertung der Daten und Beizug Dritter
— Kopien müssen sicher verwahrt werden
— Aufbewahrung typischerweise im eigenen Land (Datenschutz, Schutz von
Geschäftsgeheimnissen)
— Immer deutlich mehr Daten als am Schluss benötigt werden
Version 1.01
6. November 2015 | 11
11
13.11.2015
Der Untersuchende
— Mandatsvertrag definiert Ermittlungsauftrag
— Bei Dritten in Übersee: Meist "Processor"-Klauseln der EU (Art. 6 Abs. 2 Bst.
a DSG; bei reinen internen Ermittlungen greift Art. 6 Abs. 2 Bst. d DSG nicht)
— Auftragsdatenbearbeiter nach Art. 10a DSG?
— Folge ist u.a. dass er nicht mehr als "Dritter" gilt
— Er entscheidet darüber, was wie gesammelt und gesichtet wird, steht aber
unter dem Weisungsrecht des Auftraggebers und darf mit den Daten nicht
mehr tun, als der Auftraggeber selbst tun dürfte (daher ist zu prüfen, was in
firmeninternen Reglementen zu internen Untersuchungen steht)
— Er ist als "Mitwirkender" an der Datenbearbeitung für die Einhaltung des DSG
ebenso verantwortlich
— Inhaber der Datensammlung betr. Ermittlungsakten?
— Folge ist u.a. Auskunftspflicht ggü. betroffenen Personen (Art. 8 DSG)
Version 1.01
6. November 2015 | 12
12
13.11.2015
Document Review 1|5
— Setzt ein Review ein Untersuchungsreglement voraus?
— Art. 4 Abs. 3 und 4 DSG erfüllt? Art. 14 DSG anwendbar?
— Ist es nicht normal und muss nicht jeder auch ohne besonderen Hinweis
erwarten, dass mögliche Missbrauchsvorfälle intern untersucht werden?
— Information nur der Custodians? Andere Interne und Externe?
— Schränkt Art. 328b OR einen Review ein?
— Art. 328b OR regelt nur, welche Daten erhoben werden dürfen, nicht, wozu
sie gebraucht werden dürfen
— Steht einem Review nicht entgegen, soweit es um bestehende geschäftliche
Inhalte (oder bewusst auf Firmencomputern abgelegtes Privates) geht
— Verhältnismässigkeitsgrundsatz
— Erfordert ein Aussortieren der irrelevanten, aber auch privaten Inhalte
— Suchbegriffe beschränken den Review typischerweise auf 5-10% der Daten
Version 1.01
6. November 2015 | 13
13
13.11.2015
Document Review 2|5
Version 1.01
6. November 2015 | 14
14
13.11.2015
Document Review 3|5
— Reviews erfolgen i.d.R. mehrstufig
— First-Level-Reviewer erfahren viel über das Leben, Verhalten und die
Persönlichkeit ihrer Custodians
— Normalerweise ohne Beteiligung der betroffenen Personen
— Eingriffe nach Art. 13 DSG gerechtfertigt?
— Verstösse rechtfertigen Sichtung von Geschäftsunterlagen
— Durchsicht erfolgt durch unbeteiligte Dritte; Vertraulichkeit bleibt gewahrt
— Widersprüche nach Art. 12 Abs. 2 Bst. b DSG gibt es kaum
— Reviews sind enorm personalintensiv und daher teuer
— Wirtschaftliches Interesse an einer Beschränkung des Reviews, sofern das
Unternehmen mitreden kann (oft aber überlässt es den Untersuchern freie
Hand, um Unabhängigkeit sicherzustellen)
— Versuch der Automatisierung mit neuen "Big Data"-Techniken
Version 1.01
6. November 2015 | 15
15
13.11.2015
Document Review 4|5
Collection
Referenz-Set
Review
Anwendung
23% responsive
77% non-responsive
15'000
1'000'000
985'000
27% responsive
73% non-responsive
985'000
Predictive Coding – Vor- oder Nachteil für den Datenschutz?
Version 1.01
6. November 2015 | 16
16
13.11.2015
Document Review 5|5
— Unter welchen Umständen dürfen private E-Mails von Mitarbeitern untersucht
werden?
— Versand z.B. von Geschäftsgeheimnissen an privaten Account?
— Privates BYOD-Handy wird z.B. für illegale Aktivitäten während der
Arbeitszeit benutzt, was das Unternehmen feststellen kann?
— Nur bei strafrechtlich relevanter Verhaltensweise?
— Besondere Vorgehensweise bei privaten Mails?
— Sichtung durch eine weitere, unabhängige Person?
— Wie umgehen mit Zufallsfunden?
Version 1.01
6. November 2015 | 17
17
13.11.2015
Andere Untersuchungsmittel?
— Privatdetektive
— Spyware
— BGE 139 II 7: Spyware auf PC als unzulässig weitgehende Überwachung um
zu belegen, dass ein verdächtigter Arbeitnehmer 22 Prozent seiner
Arbeitszeit für private Dinge beanspruchte (richtig: Auswertung von Logs)
— Verletzung von Art. 26 ArGV3 (Verhaltensüberwachung)
— Auswertung weiterer Daten
— z.B. Zutrittskontrollsystem, Sicherheitskameras, auch versteckte Kameras
(dazu Entscheid Bger. 6B_536/2009)
Version 1.01
6. November 2015 | 18
18
13.11.2015
Befragungen
— Gespräch unter der Führung des Untersuchenden
— Mit und ohne Vertreter des Unternehmens (psychologische Wirkung); der
Mitarbeiter bringt aber i.d.R. nicht den eigenen Anwalt mit
— Nicht um Mitarbeiter "ans Messer" zu liefern, sondern die Sache aufzuklären
— Keine eigentlichen Zwangsmittel, aber Pflicht des Mitarbeiters, über
Vorgänge im Unternehmen Auskunft zu geben (ggf. "Amnestieversprechen")
— Untersuchender protokolliert Befragung, tw. mit Aufzeichnung
— Normalerweise keine Kopie für den Befragten
— Vertraulichkeit wird nicht zugesichert; Unternehmen entscheidet über
Verwendung der Auskünfte ("Corporate Miranda Warning" erforderlich)
— Konfrontation mit Ergebnissen des Document Review
— Dient dem "rechtlichen Gehör", aber auch dem Verständnis
— Oft wird auch über Privates gesprochen
Version 1.01
6. November 2015 | 19
19
13.11.2015
Berichterstattung
— Bericht über die Ergebnisse legt viele Namen offen
— Kann die Interessen der Betroffenen erheblich tangieren (Basis für
disziplinarische Massnahmen, zivilrechtliche Forderungen, Bericht an in- und
ausländische Aufsichts- und Strafbehörden)
— Bestreitungen sind i.d.R. im Rahmen der Befragung abgedeckt
— Schriftliche Präsentationen nur mit Codenamen; beschränkte Zirkulation
— Anwendbarkeit des Auskunftsrechts? Ganzer Bericht? Einschränkungen?
— Nicht immer nur zur internen Verwendung
— Können an in- und ausländische Behörden abgegeben werden
— Zusammenfassung auch für die Öffentlichkeit?
— Wie weit schützt eine Schwärzung die Namen der Betroffenen?
— Beauftragung von Schweizer Anwälten, um vom Anwaltsgeheimnis zu profitieren
— Einbezug der Anwälte auch in alle Korrespondenz
Version 1.01
6. November 2015 | 20
20
13.11.2015
Sanktionen?
—
—
—
—
—
Datenschutzrechtliche Zivilklagen (meist kein Thema)
Untersuchung des EDÖB (meist kein Thema)
Aufsichtsrechtliche Folgen (meist kein Thema)
Bussen (kein Thema; Ausnahme: Art. 271 StGB)
Mangelnde Verwertbarkeit von Beweisen im Prozess aufgrund
datenschutzwidriger Beschaffung (kann zum Thema werden, wird aber i.d.R. als
Risiko akzeptiert)
— Streben nach Compliance (eher wichtig)
— Reputationsverlust, Betriebsklima (eher wichtig)
— Abgrenzen
— Art. 271 StGB: Zwangsweise Offenlegungen aus der Schweiz
— Art. 271 StGB: Freiwillige Offenlegungen bei Untersuchung gegen Dritte
— Art. 162 und 273 StGB: Offenlegung von Geschäftsgeheimnissen Dritter
Version 1.01
6. November 2015 | 21
21
13.11.2015
Fazit
— Interne Untersuchungen als Ende des Datenschutzes?
Nein!
— Der Datenschutz steht internen Untersuchungen meist nicht im Wege, wird in
der Praxis aber auch gewahrt
— Wertewandel: Durch externe Stellen durchgeführte "interne" Untersuchungen
bei Verdacht von Unregelmässigkeiten werden inzwischen als
überwiegendes Interesse akzeptiert
— Für Bundesbehörden gesetzlich geregelt: Art. 57l ff. RVOG
— Heikler ist die Offenlegung an ausländische Behörden
— Schwärzung von Mitarbeiternamen in welchen Fällen?
— Pflicht zur Information, Einsichtsgewährung und Widerspruchsmöglichkeit?
— Art. 271 StGB?
Version 1.01
6. November 2015 | 22
22
13.11.2015
Fragen?
David Rosenthal
[email protected]
T +41 43 222 16 69
Homburger AG
Prime Tower
Hardstrasse 201 | CH-8005 Zürich
Postfach 314 | CH-8037 Zürich
www.homburger.ch
Version 1.01
|
23
© Copyright 2024 ExpyDoc
