(Datenschutzrechtliche) Herausforderungen für deutsche Unternehmen in der US e-Discovery

Deutsche Unternehmen, die Vorlageverlangen im Rahmen einer e-Discovery nachkommen müssen, laufen Gefahr, entweder deutsche oder US-amerikanische Vorgaben nicht erfüllen zu können. Neben den datenschutzrechtlichen Vorgaben, wie der Notwendigkeit eine Rechtsgrundlage für Datenverarbeitung und -übertragung vorweisen zu können, bestehen auch arbeits- und telekommunikationsrechtliche Herausforderungen.

Einführung

Der richtige Umgang mit der US-amerikanischen e-Discovery stellt europäische Unternehmen immer wieder vor Herausforderungen. Denn US-amerikanisches Recht weicht in zahlreichen Punkten von europäischen und deutschen Bestimmungen ab. Die Folge: Entweder kann den US-amerikanischen prozessrechtlichen Anforderungen nicht nachgekommen werden oder es droht ein Verstoß gegen deutsche und europäische Gesetze. In den USA beginnt eine umfassende Beweisaufnahme bereits vor Beginn eines gerichtlichen Hauptverfahrens. Kommen Unternehmen der Verpflichtung umfangreiche Informationen an die gegnerische Partei offenzulegen nicht nach, drohen Sanktionen, Geldstrafen und Schadensersatzforderungen. Besonders bei einem Verstoß gegen das litigation hold – die Anordnung potentiell relevante Informationen aufzubewahren – kann der Vorwurf der Beweisvereitelung (spoliation) erhoben werden. Verändert, löscht oder verbirgt eine Partei in diesem Zusammenhang absichtlich Daten oder Dokumente, die als potenzielle Beweismittel in einem Verfahren relevant sein könnten, droht eine Freiheitsstrafe von bis zu zwanzig Jahren.

Die völlige Transparenz im Rahmen einer e-Discovery ist nicht nur aus datenschutzrechtlichen Gesichtspunkten für viele Unternehmen bedenklich. Schon aufgrund der kaum überschaubaren Flut von Daten, Informationen und Dokumenten können ungewollt Geschäftsgeheimnisse oder andere vertrauliche Informationen preisgegeben werden. Zudem setzen auch telekommunikations- und arbeitsrechtliche Regelungen enge Grenzen für die Verarbeitung und Übermittlung personenbezogener Daten.

Datenschutz

Die Datenschutzanforderungen im Rahmen einer e-Discovery sind komplex und erfordern die sorgfältige Abwägung der Rechte der betroffenen Personen mit den Interessen des Datenverarbeiters.

Als Rechtsgrundlage für die Datenverarbeitung kommen insbesondere die Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO und das berechtigte Interesse gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO in Betracht.

An die Erteilung einer wirksamen Einwilligung werden durch das Datenschutzrecht jedoch hohe Anforderungen gestellt. Dies führt dazu, dass ihre Anforderungen im Zusammenhang mit einer e-Discovery kaum zu erfüllen sind.

Besonders problematisch sind Verarbeitungen von E-Mails, da sie häufig personenbezogene Daten von den jeweiligen Empfängern und Absendern oder Dritten enthalten. Ist es einem Unternehmen nicht möglich, alle Betroffenen zu kontaktieren, muss die Einwilligung als Rechtsgrundlage der Verarbeitung ausscheiden.

Soweit eine Einwilligung als Rechtsgrundlage in Betracht kommt, sollte sie eingeholt werden. Dadurch kann die Interessenabwägung bei der Verarbeitung derjenigen personenbezogener Daten, die nicht auf die Einwilligung gestützt werden kann, im Umfang reduziert und zugunsten des Verantwortlichen beeinflusst werden.

Für die Interessenabwägung ist entscheidend, dass die Datenverarbeitung erforderlich zur Verwirklichung des verfolgten Zwecks ist. Das Aussondern selbst offensichtlich für den verfolgten Zweck irrelevanter Daten ist angesichts großer Datenmengen und enger zeitlicher Fristen regelmäßig mit Schwierigkeiten behaftet.

Schließlich kommt es bei der Abwägung mit den Interessen des Betroffenen in besonderer Weise auf die Umstände des Einzelfalls und die ergriffenen Maßnahmen zur Reduzierung der Auswirkungen auf den Betroffenen an. Relevante Aspekte sind beispielsweise, dass es sich lediglich um berufsbezogene Daten handelt. Auch vorherige Filterungen oder Schwärzungen der Dokumente können in die Abwägung einbezogen werden.

Mit einer Rechtsgrundlage für die Verarbeitung ist es nicht getan: Die Übermittlung personenbezogener Daten in Drittländer stellt eine bedeutende Herausforderung im europäischen Datenschutzrecht dar, die ebenfalls einer rechtlichen Grundlage bedarf. Gemäß Art. 45 DSGVO ist sicherzustellen, dass ein angemessenes, d.h. mit dem der EU vergleichbares, Datenschutzniveau in jedem Land besteht, in das Daten übermittelt werden oder von dem aus auf Daten zugegriffen wird. Besonders kritisch ist die Übermittlung in die USA, da aus Sicht der EU dort grundsätzlich kein ausreichendes Datenschutzniveau gegeben ist. Seit 2023 besteht zwar (wieder) ein europäischer Angemessenheitsbeschluss, der allerdings nur für die Datenübertragung an amerikanische Unternehmen gilt, die sich am sog. „EU-US Data Privacy Framework“ (DPF) beteiligen und sich entsprechend zertifiziert haben – die direkte Datenübermittlung an US-Gerichte kann somit nicht auf dieser Grundlage erfolgen.

Für die Übermittlung an Gerichte oder an Unternehmen, die nicht nach dem DPF zertifiziert sind, muss ein vergleichbares Schutzniveau durch zusätzliche Maßnahmen hergestellt werden. In der Regel geschieht dies durch die Verwendung geeigneter Garantien, wie z.B. der Standardvertragsklauseln der EU (Standard Contract Clauses, SCC).

Eine Ausnahme, die eine Datenübermittlung auch in unsichere Drittstaaten rechtfertigen kann, bietet Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit Art. 49 Abs. 1 lit. e DSGVO. Die Voraussetzungen hierfür sind, dass (1) ein berechtigtes Interesse des Verantwortlichen besteht, (2) die Interessen der betroffenen Personen dem nicht entgegenstehen und (3) die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Auf den Empfänger der Daten kommt es nicht an, so dass neben der Übermittlung an ein US-Gericht auch die Übermittlung an eigene oder gegnerische Anwälte möglich ist. Hervorzuheben ist die auch hier bestehende Erforderlichkeitsschwelle: Unterbleiben muss die Datenübermittlung insbesondere dann, wenn das Verfahren mit hinreichender Aussicht auf Erfolg auch ohne die personenbezogenen Daten geführt werden kann.

Diese Ausnahme ist eng auszulegen und die Verpflichtung zur Wahrung eines hohen Schutzniveaus bleibt bestehen. Auch in Fällen, in denen eine Datenübermittlung nach ihr gerechtfertigt ist, müssen verantwortliche Stellen gewährleisten, dass die Rechte und Freiheiten der betroffenen Personen gewahrt bleiben und entsprechende technische und organisatorische Maßnahmen getroffen werden, um die Sicherheit der Daten zu gewährleisten.

Risiken im Telekommunikationsrecht

In der Regel sind E-Mails ein nicht unerheblicher Teil der offenzulegenden Dokumente, da sie umfangreiche Einblicke in innerbetriebliche Vorgänge und Kommunikation mit Außenstehenden gewähren können. Die datenschutz- und telekommunikationsrechtlichen Hürden für die Einsicht in private E-Mails sind in Deutschland jedoch ungleich höher als in Bezug auf rein berufliche Korrespondenz. Erlaubt ein Arbeitgeber die private Nutzung des beruflichen E-Mail-Accounts, ist eine inhaltliche Kontrolle aller E-Mails nämlich grundsätzlich nicht möglich. Dies gilt auch, wenn die private Nutzung zwar nicht ausdrücklich erlaubt ist, aber geduldet wird. Die einfachste Möglichkeit, um dieses Risiko zu vermindern, ist die Untersagung der privaten Nutzung von Internet und E-Mail.  Ein anderer Weg ist die Gestaltung des E-Mail-Systems auf eine Weise, dass berufliche und private E-Mails organisatorisch und/oder technisch voneinander getrennt sind. Dabei verbleibt jedoch das Restrisiko, dass Mitarbeitende die Vorgaben zur Trennung nicht einhalten. Zur Wahrung des Fernmeldegeheimnisses ist jeder Anbieter von öffentlichen oder geschäftsmäßig angebotenen Telekommunikationsdiensten verpflichtet. Weil Arbeitgeber bei erlaubter Privatnutzung nicht bloß Arbeitsmittel bereitstellen, sondern nach bislang herrschender Ansicht geschäftsmäßig Telekommunikationsdienste an Dritte erbringen, nehmen sie nach dieser Ansicht die Rolle eines „Anbieters von Telekommunikationsdiensten“ im Sinne von § 3 Nr. 1 Telekommunikationsgesetz (TKG) ein. Zunehmend wird jedoch auch die gegenteilige Meinung vertreten, wonach es sich nicht um ein geschäftsmäßig an Dritte gerichtetes Angebot handle. Arbeitnehmer seien, auch wenn sie die Telekommunikationsanlagen zu privaten Zwecken nutzen, der Sphäre des Arbeitgebers zuzurechnen und damit keine Dritten. Die erste Ansicht geht demgegenüber davon aus, dass Arbeitnehmer als Dritte gelten, wenn sie über betriebliche IT-Systeme die „Außenwelt“ erreichen. Bedauerlich ist, dass der Gesetzgeber es versäumt hat, im Zuge der TKG-Novelle 2021 Klarheit zu schaffen und diesen Streit durch eine klarstellende Formulierung zu entscheiden. Angesichts der anhaltenden Unklarheit hinsichtlich der Anwendbarkeit des Telekommunikationsrechts auf Arbeitgeber sollten klare Regelungen, welche die private Nutzung – insbesondere von E-Mail-Systemen – betreffen etabliert werden, um unnötige Risiken zu vermeiden. Im Ergebnis sprechen gute Gründe für einen Ausschluss privater E-Mail-Nutzung; mit Blick auf die Anwendbarkeit des TDDDG sowie auf die datenschutzrechtlichen Risiken in der e-Discovery.

Anforderungen des Arbeitsrechts

Innerhalb deutscher Unternehmen ist neben dem Datenschutzbeauftragten in der Regel ebenfalls der Betriebsrat hinzuzuziehen. Bereits der Zugriff auf die E-Mail-Accounts von Mitarbeitenden bietet objektiv die Möglichkeit, die Leistung und das Verhalten der Mitarbeitenden zu überwachen, wobei es nicht auf die Überwachungsabsicht oder die tatsächliche Verwendung zu diesem Zweck ankommt. Dies gilt insbesondere dann, wenn systematische Durchsuchungen mithilfe von spezieller Suchsoftware durchgeführt werden.

Diesbezüglich ist auch darauf hinzuweisen, dass der Betriebsrat aufgrund seines Mitbestimmungsrechts gemäß § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) den Abschluss einer Betriebsvereinbarung hinsichtlich des Umgangs dieser Daten fordern, ferner sogar die Datenübertragung in die USA oder in ein anderes Drittland gerichtlich untersagen lassen kann, wenn er zuvor nicht beteiligt worden ist.

Entsprechende Abstimmungen mit dem Betriebsrat sollten in Unternehmen mit engen Beziehungen zu US-Unternehmen bereits vor einem litigation hold erfolgen, um in einem solchen Fall schnell und angemessen reagieren zu können, ohne den Betriebsrat zu übergehen.

Präventive Maßnahmen als Handlungsempfehlung

Unternehmen haben mithin einige Aspekte bei einer e-Discovery zu beachten. Für Unternehmen mit US-Beziehungen ist es daher unverzichtbar einen internen e-Discovery-Prozess zu etablieren und Vorkehrungen zu treffen, um Rechtsverstöße und Sanktionen zu vermeiden. So lassen sich die Risiken erheblich reduzieren, auch wenn Restrisiken verbleiben. Die Empfehlung der Artikel-29-Datenschutzgruppe (dem Vorläufer des heutigen Europäischen Datenschutzausschuss) aus 2009 ist weiterhin relevant, jedoch zu vage für echte Rechtssicherheit.

Die Auswahl offenzulegender Informationen erfordert ein strukturiertes Vorgehen und eine sachkundige Person, die frühzeitig die Relevanz verschiedener Dokumente und Daten bewerten kann. Eine zu einseitige Bewertung ist zu vermeiden – irrelevante Daten dürfen nicht, potentiell relevante Daten aber müssen übermittelt werden. Um diesen anspruchsvollen Spagat zu bewerkstelligen ist die Einbindung eines juristischen e-Discovery-Experten mit Kenntnissen beider Rechtsordnungen essenziell.

Handelt es sich bei dem deutschen Unternehmen um eine Tochter- oder Muttergesellschaft einer US-Gesellschaft, so ist bereits vor einer etwaigen e-Discovery die jeweilige US-Gesellschaft, auf die bestehenden Herausforderungen aufmerksam zu machen. Auch der Abschluss einer datenschutzrechtlichen internationalen Unternehmensvereinbarung, welche die Aspekte einer e-Discovery einbezieht, ist empfehlenswert. Darüber hinaus sollten zu Beginn einer jeden Zusammenarbeit mit einem US-Unternehmen datenschutzrechtliche Vereinbarungen getroffen werden, damit personenbezogene Daten nicht ohne wirksame Schutzvorkehrungen im Rahmen eines Vorlageverlangens, insbesondere nicht ohne Kenntnis des deutschen Unternehmens, herausgegeben werden. Das frühzeitige Etablieren von konzernweiten Prozessen ermöglicht zudem, die regelmäßig bestehenden Herausforderungen ohne Zeitdruck anzugehen und so schwerwiegende Fehler zu vermeiden.

Verhalten während einer e-Discovery

Auch nach dem Erhalt einer litigation hold-Anweisung gilt es, besonnen zu reagieren. Zunächst müssen alle möglicherweise relevanten Daten umgehend eingefroren werden. Bereits dieses Vorhaben gestaltet sich aufgrund verteilter Speicherorte, großer Datenmengen und heterogener Formate regelmäßig schwierig. Um Datenverluste oder Manipulationen zu vermeiden, ist das frühzeitige Einfrieren der Daten jedoch entscheidend. Die Zusammenarbeit mit einem erfahrenen Service Provider ist auch an dieser Stelle sinnvoll, um Daten fachgerecht zu sichern, aufzubereiten und in durchsuchbare Formate zu überführen.

In der sich anschließenden ersten Filterung werden grob prozessrelevante von irrelevanten Daten getrennt. Bei sensiblen Inhalten muss schon hier eine Pseudonymisierung oder – datenschutzrechtlich vorzugswürdig – Anonymisierung erfolgen. Eine zweite, detailliertere Filterung erfolgt iterativ mit juristischer Prüfung und Schwärzung irrelevanter personenbezogener oder vertraulicher Daten.

Erst danach erfolgt die Offenlegung an die Gegenseite. Frühzeitige Gespräche mit der dieser können helfen, den Umfang der Daten einzugrenzen und datenschutzkonforme Vorgehensweisen abzustimmen. Voraussetzung dafür ist erneut eine genaue Kenntnis des Falls, um realistische Offenlegungstermine und sinnvolle Filterungen festzulegen – etwa durch Fokussierung auf Schlüsselpersonen.

Ergebnis

Bei der Durchführung einer e-Discovery treffen verschiedene Rechtsordnungen und Rechtsverständnisse aufeinander. Diesen Konflikt aufzulösen, ist nicht einfach.

Umso wichtiger ist es, Maßnahmen zu ergreifen, welche den Behörden und dem Betriebsrat aufzeigen, dass die personenbezogenen Daten und die Betroffenen bestmöglich unter gegebenen Voraussetzungen geschützt wurden. Hat ein Unternehmen US-Bezug sollten die Maßnahmen sogar präventiv durchgeführt werden. Diese sind die Grundlage, um im Fall einer e-Discovery besonnen zu reagieren, und über Kompromisslösungen Sanktionen aus dem US-amerikanischen Prozessrecht und dem europäischen Recht zu vermeiden.