Sicherheit

Gefährdung schutzwürdiger betrieblicher Daten durch E-Discovery

E-Discovery-Verfahren der US-Rechtsprechung

In den Vereinigten Staaten und Großbritannien hat sich die „E-Discovery bzw. eDisclosure“ zu einem Rechtsinstrument entwickelt, das die Möglichkeit eröffnet, im Rahmen eines Rechtsstreits zur Beweissicherung auf die gesamten Datenbestände der Gegenpartei zuzugreifen. Die Gerichte der USA weiten ihre Jurisdiktion auch auf Datenbestände aus, die in anderen Staaten verfügbar sind.

Nach US-amerikanischem Recht sind neben E-Mails beweisrelevante Zeichnungen, Grafiken, Tabellen, Fotografien, Sprachnachrichten, Tonband- und Videoaufzeichnungen als auch andere, elektronisch gespeicherte Informationen, z.B. Short Messages Services (SMS)-Nachrichten, einschließlich personenbezogener Daten, herausgabepflichtig. Auf die Herausgabepflichten im Rahmen des US-Patriot Act, des Foreign Intelligence Surveillance Act (FISA) und anderer Rechtsvorschriften im Rahmen der Terror- und Spionageabwehr sowie Bekämpfung der Kriminalität in den USA soll hier nicht weiter eingegangen werden.

Herausgabepflichten und Vernichtungsverbote elektronischer Daten

Zunächst gelten die Offenlegungspflichten für die in den USA verklagten Parteien. Die Offenlegung kann sich auch auf Dokumente erstrecken, die sich im Besitz von Tochtergesellschaften, auch außerhalb der USA befinden, die selbst nicht Partei des Verfahrens sind.

In den USA verklagte Unternehmen sind gut beraten, alle für ein mögliches Verfahren in den USA relevanten Dokumente im Rahmen des „Ligitation Hold“ gegen Vernichtung zu sichern. Dies gilt bereits für ein mögliches gerichtliches Vorverfahren in den USA.

Binding Corporate Rules und Sanktionsmöglichkeiten der US-Gerichte

Da die Vereinigten Staaten über ein weniger ausgeprägtes Datenschutzrecht, insbesondere bei personenbezogenen Daten verfügen, können bei einem E-Discovery-Verfahren, das personenbezogene Daten aus dem Geltungsbereich des Bundesdatenschutzgesetzes einbezieht, Konflikte entstehen. Auch sind bei einem derartigen Verfahren die Datenschutzbestimmungen der EU zu beachten.

Zur Vermeidung von Konflikten bei der Weitergabe von personenbezogenen Daten im Rahmen von Kooperationen zwischen deutschen und US-Unternehmen und des E-Discovery-Verfahrens an Gerichte in den USA sind bereits im Vorfeld möglicher Kooperationen entsprechende Vereinbarungen zu treffen:


  • Dass in einem Verfahren an das Gericht in den USA zu übermittelnden Dokumente begrenzt werden;

  • Vereinbarungen bezüglich der Einsichtnahme durch Dritte zu treffen sind;

  • Vertraulichkeit der Dokumente gewahrt bleibt;

  • nur den Anwälten der Gegenpartei Zugriff auf die übermittelten Dokumente gewährt wird, nicht aber der Gegenpartei selbst.


Diese Vereinbarungen müssen durch eine Betriebsvereinbarung zwischen dem Vorstand des in Deutschland ansässigen Unternehmens und dessen Betriebsrat ergänzt werden. Es ist förmlich festzulegen, dass die personenbezogenen Daten der Mitarbeiter, die an den Partner in die USA weitergeleitet werden, dort nach den Binding Corporate Rules (BCR) und somit nach den Standards des deutschen Datenschutzrechts geschützt werden.

Es kann nicht ausgeschlossen werden, dass in den von US-Gerichten initiierten Verfahren schutzbedürftige betriebliche Daten aller Art, insbesondere Konstruktions- und Kalkulationsunterlagen angefordert werden, deren Herausgabe/Preisgabe eine substantielle Gefährdung des betroffenen Unternehmens darstellen können. Da die Gerichte der USA in diesen Verfahren über eine Reihe von Sanktionsmöglichkeiten, die von sehr hohen Geldbußen bis zur Haft reichen können, verfügen, erscheint es angeraten, die Binding Corporate Rules so auszugestalten, dass diese den Belangen des nationalen und europäischen Datenschutzes und dem Schutz betrieblicher Geheimnisse gerecht werden.

Grenzüberschreitende Durchsuchung von Datenbeständen

Die Bundesrepublik Deutschland hat erklärt, dass Rechtshilfeersuchen nach dem „Common Law“ die Gegenstand eines „Pre-Trial-Discovery-Verfahrens“ (E-Discovery) sind, nach dem „Haager Übereinkommen über die Beweisaufnahme im Ausland (HBÜ)“ nicht erledigt werden. Damit ist klargestellt, dass deutsche Gerichte im Rahmen eines E-Discovery-Verfahrens nicht tätig werden. In der EU befasst sich das Cybercrime Convention Committee mit dem grenzüberschreitenden Zugriff auf Datenbestände aller Art und den damit zusammenhängenden juristischen Problemen, sowohl innerhalb der EU als auch in Drittstaaten. Als Basis für den künftigen grenzüberschreitenden Zugriff auf Datenbestände, auch in der Cloud wird wohl die Budapest Convention (Convention on Cybercrime vom 23.11.2001) dienen.

Die Entwicklung auf diesem Gebiet ist noch längst nicht abgeschlossen und kann durch künftige Forderungen von Drittstaaten auf Zugriff zu europäischen Datenbeständen verschärft werden. Auch kann nicht gänzlich ausgeschlossen werden, dass US-Gerichte in E-Discovery-Verfahren bereits jetzt Datenbestände in Drittstaaten der US-Jurisdiktion unterwerfen und diese damit dem US-Gericht uneingeschränkt zur Verfügung stehen werden.

Gerichtsfestes Dokumenten-Management im Rahmen der Electronic Compliance

Unternehmen, die Geschäftsbeziehungen mit den USA und in Großbritannien pflegen, müssen ständig gewärtig sein, in Zivilprozesse mit Gegnern in den Vereinigten Staaten und Staaten, die das „Common Law“ anwenden, verwickelt zu werden. Derartige Verfahren sind mit einem sehr hohen Risiko und einem ungewissen Ausgang verbunden. Kommt es zu einer Klageerhebung durch einen Prozessgegner in den USA, legt das dortige Gericht innerhalb von 120 Tagen einen Termin fest. Spätestens 21 Tage zuvor müssen sich die Anwälte beider Parteien verständigen. Im Rahmen der ersten Anhörung sind die Rechtsvertreter beider Parteien gefordert, einen Plan zur Herausgabe „Electronically Stored Information – ESI“ vorzulegen.

Das Gericht in den USA kann bereits zu diesem Zeitpunkt bestimmen, welche ESI frühzeitig offenzulegen sind. Daher kommt es bei Geschäftsbeziehungen jeglicher Art mit Unternehmen in den USA darauf an, bereits beim Beginn derartiger Beziehungen die Dokumentenaufwahrung im eigenen Unternehmen so zu gestalten, dass dieses ein mögliches E-Discovery Verfahren in allen Verfahrenszügen unterstützt. Dabei sind auch Binding Corporate Rules bezüglich der Dokumentenbehandlung für beide Parteien verbindlich festzulegen. Als Anhalt können die Technical Reports ISO15489-2 (2001) sowie ISO 18429 (2005) für das Datenmanagement im Unternehmen dienen.

Dabei sollten jedoch auch nationale Rechtsvorschriften für die Aufbewahrung von Geschäftsunterlagen nicht außer acht gelassen werden. Angesichts steigender E-Discovery -Verfahrenszahlen in den USA gewinnt dieser Aspekt US-amerikanischer Rechtsprechung, auch im internationalen Umfeld, immer mehr an Bedeutung, da die Streitwerte in der Regel für deutsche Unternehmen existenzgefährdend sein können. Nicht zuletzt muss jedes nationale Unternehmen von Bedeutung mit Marktpräsenz in den USA damit rechnen, mit einem derartigen, ungewissen Verfahren überzogen zu werden.







Praxishinweise


  • Bei der Aufnahme von Geschäftsbeziehungen mit US-amerikanischen und britischen Unternehmen sind die Forderungen nach einem E-Discovery-festen Dokumentenmanagement-System im eigenen Unternehmen von Bedeutung. Dies gilt auch für deutsche Tochterunternehmen in den USA, Großbritannien und Staaten, die das Common Law anwenden.

  • Kontakte sollten von Anfang an anwaltschaftlich betreut werden, da es sich um ein überaus komplexes Rechtsgebiet mit großem Prozessrisiko und hohen Streitwerten handelt.

  • Das Daten-Management-System ist im Rahmen der nationalen und EU-Vorschriften so zu gestalten, dass es sowohl den Forderungen des nationalen und EU-Datenschutzes als auch des Schutzes eigener Betriebsgeheimnisse gerecht wird.

  • Zweiseitige Abmachungen sind im Rahmen der Binding Corporate Rules (BCR) nach US-Recht gerichtsfest zu gestalten.

  • Bereits bei den ersten Anzeichen für ein E-Discovery Verfahren sind die Maßnahmen für das „Ligitation Hold“ umfassend im eigenen Unternehmen anzuwenden.

  • Europa beginnt ein an das E-Discovery-Verfahren der USA angelehntes Verfahren zu entwickeln, dessen Ausgang noch nicht abgesehen werden kann.







Quellen

1. Cueto, Santiago A.: What Every Corporate Attorney Must Know About European Union E-Discovery Rules;An Update. International Business Law Advisor; Insights on International Litigation & Transactions; Published by Cueto Law Group P.L., Attorneys and Counselors-at-Law, April 22nd, 2011;

2. Electronic Discovery Rules & Statues www.krollontrack.com ©, Inc. Last Revised 03/12;

3. CM 5199/12 COUNCIL OF THE EUROPEAN UNION GENERAL SECRETARIAT, Brussels, 5.11.12;

4. Cybercrime Convention Committee (T-CY) Ad-hoc sub-group on jurisdiction and transborder access to

data Discussion paper transborder access and jurisdiction, Report of the Transborder Group Adopted

by the T-CY, 6 12.12, T-CY (2012)3 Strasbourg (provisional).