Ein neues Suchfeld ist eröffnet

Bring your own Device – private Endgeräte im Fokus kartellbehördlicher Ermittlungen
Von Dr. Olivier Gänswein und Renato Fazzone

Beitrag als PDF (Download)

Der Trend zur weitgehenden Digitalisierung des Geschäftslebens zwingt auch die Kartellbehörden zur kontinuierlichen Anpassung ihrer Vorgehensweise bei Durchsuchungen. Diese werden zu E-Raids, fokussiert auf die Erhebung digitalen Beweismaterials. Die Behörden haben ihre Ermittlungskapazitäten im IT-Bereich aufgerüstet und ihre Befugnisse auch im Hinblick auf die Erhebung und Sichtung des elektronischen Datenbestands eines Unternehmens nach und nach neu interpretiert und präzisiert.

Die IT-Infrastruktur wird zunehmend dezentraler. Viele Unternehmen erlauben mittlerweile den Zugriff auf das Unternehmensnetzwerk und das Verarbeiten und Speichern unternehmensinterner Daten auch mittels privater mobiler Endgeräte wie Laptops, Tablets oder Smartphones (sogenannten Bring your own Devices – BYODs). Hierdurch geraten private Endgeräte auch in den Fokus kartellbehördlicher Ermittlungen.

Hintergrund: Die Explanatory Note der Europäischen Kommission

Kartellbehördliche Durchsuchungen werden in Deutschland entweder vom Bundeskartellamt oder der Europäischen Kommission durchgeführt. Während das deutsche Bundeskartellamt schon seit längerem routinemäßig elektronische Daten anhand einer Spezialsoftware auswertet, ist dies bei der Europäischen Kommission erst in jüngerer Zeit systematisch der Fall.

Ihre Vorgehensweise bei Durchsuchungen hat die Europäische Kommission in einer „Explanatory Note“ näher erläutert. Seit 2013 legt diese einen deutlichen Schwerpunkt auf die Durchsuchung der IT-Systeme. Darüber hinaus ist die Europäische Kommission dazu übergegangen, bei ihren Durchsuchungen systematisch elektronische Kopien von elektronischen Dateien sowie elektronische Kopien (Scans) von Papierdokumenten anzufertigen.

Am 11.09.2015 hat die Europäische Kommission eine überarbeitete Fassung ihrer Erläuterungen zu kartellbehördlichen Durchsuchungen veröffentlicht. Wie schon beim Vorgänger liegt der Schwerpunkt der Ergänzungen auf Erläuterungen zum Vorgehen bei der Sichtung des elektronischen Datenbestands, was die überragende praktische Bedeutung von E-Raids für die Aufklärung von Kartellverstößen unterstreicht.

BYODs und kartellbehördliche Durchsuchungen

Erstmals befasst sich die Explanatory Note auch mit BYOD-Endgeräten. Die Europäische Kommission sieht sich berechtigt, umfassend die IT-Umgebung eines Unternehmens zu durchsuchen. Dies schließt auch private Endgeräte (und Speichermedien) ein, die im Unternehmen im Rahmen der Durchsuchung gefunden werden. Damit trägt die Europäische Kommission dem Umstand Rechnung, dass private Endgeräte zunehmend auch zu geschäftlichen Zwecken genutzt werden. Mit Hilfe forensischer Software und/oder Hardware werden solche BYOD-Endgeräte unmittelbar vor Ort anhand einer Stichwortliste durchsucht und relevante Daten kopiert.

Diese Mischung privater und geschäftlicher Belange wirft allerdings auch komplexe Abgrenzungsfragen auf. Denn die Durchsuchungsbefugnisse der Kommission beschränken sich allein auf die geschäftliche Kommunikation. Der Europäische Gerichtshof für Menschenrechte (EGMR) hat an anderer Stelle die Einhaltung des durch Art. 8 EMRK gewährleisteten Schutzes der Privatsphäre bei kartellbehördlichen Durchsuchungen angemahnt.

Die Explanatory Note enthält vor diesem Hintergrund erstmals auch ein ausdrückliches Bekenntnis, dass sich die Europäische Kommission bei ihren Durchsuchungen auch der Einhaltung der EU-Datenschutzverordnung verpflichtet sieht.

Herausforderung BYOD auch für die interne Aufarbeitung von Kartellverstößen

Die Vermischung beruflicher und privater Belange stellt auch die interne Aufarbeitung von Kartellverstößen vor nicht unerhebliche Herausforderungen – in rechtlicher und technischer Hinsicht.

Rechtliche Herausforderungen

Unternehmensinterne Ermittlungen zur Aufklärung mutmaßlicher Kartellverstöße kommen heute nicht mehr ohne die systematische Analyse und Durchsicht des elektronischen Datenbestandes aus (sogenannte E-Discovery).

Bei der Sichtung auch privat genutzter Geräte stellen in rechtlicher Hinsicht das Datenschutzrecht, das Betriebsverfassungsrecht und das Strafrecht Anforderungen, denen mit einer technisch-organisatorischen Trennung privater und unternehmensbezogener Daten sowie vorherigen Individual- und Betriebsvereinbarungen begegnet werden sollte.

Datenschutzrechtlich sind die grundrechtlichen Gewährleistungen des allgemeinen Persönlichkeitsrechts und die einfachgesetzlichen Bestimmungen des Bundesdatenschutzgesetzes zu beachten. Für die Durchführung einer E-Discovery, die auch das private Endgerät des Beschäftigten umfasst, ist daher ein vorheriger, wirksamer Verzicht auf diese Rechte unter Beachtung des Verhältnismäßigkeitsprinzips erforderlich.

Ferner ist im Vorfeld einer E-Discovery darauf zu achten, dass etwaige betriebliche Mitbestimmungsrechte gewahrt bleiben. Dies kann beispielsweise durch Abschluss einer zusätzlichen Betriebsvereinbarung geschehen.

Schließlich setzt auch das Strafrecht einer E-Discovery Grenzen, insbesondere bezüglich der Auswertung privater Kommunikation. Diese unterliegt dem Fernmeldegeheimnis und darf vom Arbeitgeber nicht gesichtet werden. Auch eine Einverständniserklärung des betroffenen Mitarbeiters hilft hier nicht, vielmehr wäre ein Einverständnis aller an dem konkreten Kommunikationsvorgang Beteiligten erforderlich (was in der Praxis eine kaum zu überwindende Hürde darstellen dürfte). Daher ist auf die strikte Trennung privater und geschäftlicher Kommunikation zu achten.

Technische Herausforderungen

Die betriebliche Nutzung privater Endgeräte führt zu einer Hard- und Softwarevielfalt, welche bei einer E-Discovery auch neue technische Herausforderungen mit sich bringt. Die forensische Auswertung wird – gerade auch unter Berücksichtigung von Datenschutzbelangen – durch die sogenannte Consumerization, also die Speicherung von kritischen Daten in Applikationen (Apps) sowie die Geräteverschlüsselung, erschwert. Der Zugriff eines IT-Forensikers beschränkt sich dabei nicht auf beispielsweise SMS-, Messenger- oder E-Mail-Daten. Vielmehr kann je nach Gerät, Konfiguration und Situation durchaus auch Zugriff auf folgende Daten gegeben sein: genutzte Hot Spots oder Netzwerke, verwendete Apps, Systemprotokolle, Bilder, Notizen, Browserhistorie, Cookies, verwendete Suchbegriffe, Kontakte, Anruflisten und, wenn vorhanden, auch Positionsdaten. Die forensische Analyse beispielsweise eines Tablets oder eines Smartphones hat somit nichts mit der linearen oder investigativen Durchsicht von E-Mails oder anderweitigen elektronischen Daten gemeinsam.

Mobile Endgeräte wurden bislang im E-Discovery-Prozess eher stiefmütterlich behandelt und sind selten in die Aufarbeitung eines Sachverhalts eingeflossen. Die Gründe hierfür sind unterschiedlich gelagert. Zum einen reichten bei einer überwiegenden Nutzung der herkömmlichen Geräte (Desktop-Computer oder Laptop) die in einem Unternehmen vorhandenen Daten zur Aufklärung eines Sachverhalts regelmäßig aus. Zum anderen gibt es bislang noch keine Schnittstelle, die es den IT-Forensikern ermöglicht, extrahierte Daten (etwa aus Tablets oder Smartphones) in einer zentralisierten Reviewplattform zu konsolidieren.

Durch die Einbeziehung von mobilen Endgeräten entsteht somit ein Medienbruch, der den Reviewprozess verlangsamt und die Kosten für Unternehmen in die Höhe treibt. Während etwa E-Mails oder elektronische Dateien von Servern oder Computern aufbereitet und in einer zentralen Datenbank zur Durchsicht angeboten werden können, müssen Daten von Tablets und Smartphones mit Hilfe einer weiteren Software zur Durchsicht zur Verfügung gestellt werden. Dadurch erhöht sich der Reviewaufwand, weil kein einheitlich zu durchsuchender Datensatz vorliegt.

Fazit

Auch privat genutzte Endgeräte (BYODs) können im Rahmen einer kartellbehördlichen Durchsuchung sichergestellt und die Daten ausgelesen werden. Dies erweitert die Ermittlungs- und Nachweismöglichkeiten der Behörden. So ließe sich beispielsweise ein Kalendereintrag eines Betroffenen durch Auswertung des mobilen Endgeräts mit seinem tatsächlichen Aufenthaltsort durch die Positionsdaten bestimmen und abgleichen.

Unternehmen, die die Nutzung von BYOD-Endgeräten zulassen, sollten bedenken, dass die Kartellbehörden nunmehr auch auf private Tablets und Smartphones Zugriff nehmen, wenn sie auch beruflich genutzt werden, und Vorkehrungen für den Ernstfall treffen. Insbesondere sollten Maßnahmen ergriffen werden, dass auch für interne Untersuchungszwecke auf BYOD-Endgeräte zugegriffen werden kann.

olivier.gaenswein@linklaters.com

rfazzone@alixpartners.com