E-Discovery: deutsche Unternehmensdaten für die USA
Aus Angst vor Sanktionen in den USA bereiten sich deutsche Unternehmen auf eine umfangreiche Datenoffenlegung auch von sensiblen elektronischen Geschäftsunterlagen vor. Hintergrund sind US-amerikanische Gesetze zur sogenannten „E-Discovery“, die schon im Vorfeld eines Gerichtsverfahrens die Offenlegung aller prozessrelevanten Daten inklusive elektronischer Daten von der Gegnerseite verlangen. Von diesem Prozess der elektronischen Aktenoffenlegung können alle deutschen Unternehmen betroffen sein, wenn sie Geschäftsbeziehungen in die USA haben – und entsprechend auch ihre Mitarbeiter. Dieses Verfahren ist mit deutschem Datenschutz nicht vereinbar. Deutsche Unternehmen müssen sich in den meisten Fällen einer E-Discovery beugen, um einen hohen Kostenaufwand und mögliche Sanktionen zu vermeiden.
Sachverhalt & Richtigkeit:
In den USA ist jede Partei im Vorfeld eines Zivilprozesses verpflichtet, der Gegenseite auf Anforderung umfangreiche prozessrelevante Unterlagen herauszugeben. Dieses Verfahren bezeichnet man als Discovery; es ist in den USA alltägliche Praxis. Das Discovery-Verfahren dient dazu, verfahrenserhebliche Beweise zu ermitteln und sicherzustellen. Der Begriff E-Discovery weitet das Verfahren auf elektronische Daten aus.
Auch deutsche Unternehmen können zur Datenoffenlegung verpflichtet werden. Das ist zum Beispiel der Fall, wenn ein rein deutsches Unternehmen Geschäftsbeziehungen in die USA hat und es zu einem Prozess vor einem US-Gericht kommt. Auch wenn ein deutsches Unternehmen einem US-amerikanischen Mutterkonzern angehört oder wenn Unternehmensdaten in einer Cloud von einem US-amerikanischen Unternehmen gespeichert werden, kann das Unternehmen zur Offenlegung sensibler elektronischer Daten gezwungen werden. Auch ein umgekehrter Fall ist bekannt: Ein deutsches Unternehmen hat gegen ein amerikanisches Unternehmen eine Discovery beantragt, obwohl der Prozess in Deutschland geführt wurde. Das Gericht sah sich in dem Fall verpflichtet, die E-Discovery zu erwirken, da es in den USA offenbar kein Verständnis dafür gibt, dass in Deutschland keine Discovery-Verfahren eingesetzt werden. Das deutsche Gericht konnte anschließend nicht nachprüfen, welche Informationen erst durch die E-Discovery ans Licht gekommen waren, berichtet die Börsen Zeitung in 2011.
Tritt einer der beschriebenen Fälle ein und wird auf Herausgabe der Daten bestanden, betrifft dies alle prozessrelevanten Daten. Dazu gehören Mails, Grafiken, Skizzen, Entwürfe, Protokolle sowie sämtliche Metadaten. Die Formulierungen im US-Gesetz sind sehr weit gefasst, so dass de facto jegliche Daten angefordert werden können. Das US-amerikanische Gesetzt besagt, dass – sobald sich ein Rechtsstreit abzeichnet – eine „litigation hold“ gilt. Das bedeutet, dass keine prozessrelevanten Daten vernichtet werden dürfen. Ein drohender Gerichtsprozess kann zum Beispiel schon in der Bemerkung einer Geschäftspartei bei einem Meeting gesehen werden. Kommt es trotzdem zur Vernichtung von „litigation hold“-Daten oder besteht später der Verdacht darauf, da bestimmte Daten nicht gefunden werden können, führt das zu Sanktionen. Dies können Geldbußen, aber auch der sofortige Schuldspruch oder Börsenausschluss sein.
Daraus ergeben sich im Wesentlichen zwei kritische Punkte. Der erste betrifft die Datenspeicherung und Sortierung der Daten, die für das Unternehmen einen enormen Arbeitsaufwand und zusätzliche Kosten bedeuten können. Der zweite Punkt betrifft die Daten an sich. Diese können nämlich auch personenbezogene Informationen enthalten, wenn das Unternehmen seinen Mitarbeitern zum Beispiel gestattet, die firmeneigenen Telekommunikationsmedien (PC, Laptop, Handy) auch teils privat zu nutzen oder von diesen private Nachrichten zu versenden oder ein Mitarbeiter über seinen privaten PC Zugang zu Daten seines Unternehmens hat. Diese Daten fallen nach deutschem Recht unter das Datenschutzgesetz/Fernmeldegeheimnis und dürften eigentlich nicht in die USA übermittelt werden.
Das Haager Übereinkommen soll die Beweisaufnahme im Ausland regeln. Darin erklärt Deutschland, dass es ein „Pre-Trial-Discovery of Documents“ – die vorprozessuale Beweisaufnahme wie die in den USA übliche Sicherstellung von potenziellem Beweismaterial bei der Gegenseite bei der Discovery – nicht unterstützt und über ein deutsches Gericht nicht vollstrecken lässt. Nicht ganz eindeutig geklärt ist, ob elektronisch gespeicherte Informationen (electronic stored information, kurz: ESI) auch unter den Begriff Documents fallen. Dazu fehlt eine Ergänzung im Haager Übereinkommen, das 1970 verfasst wurde, in einer Zeit, in der es noch keine ESI gab. Experten gehen aber davon aus, dass der Grundsatz auch für E-Discovery gilt.
US-Gerichte haben jedoch auch die Möglichkeit, sich direkt an das Unternehmen zu wenden und die Herausgabe der Daten zu verlangen. Eine Berufung des deutschen Unternehmens auf deutsches Recht und das Haager Übereinkommen ist in dem Fall mit einem hohen Begründungsaufwand verbunden und der Ausgang ungewiss.
Um den Personenkreis der Gegenseite, die auf die Daten Zugriff erhalten, einzugrenzen, können nach US-amerikanischem Recht verschiedene Einschränkungen beim Gericht beantragt werden. Möglich wäre beispielsweise eine „Attorneys-Eyes-Only“-Beschränkung, so dass ausschließlich die Anwälte Einblick erhalten oder die Dateneinsicht nur unter Aufsicht des Gerichts erfolgen darf. Diesen Anträgen statt zu geben, liegt jedoch im Ermessen des jeweiligen Gerichts.
Eine E-Disvovery beruht stets auf Gegenseitigkeit. Wer eine Discovery beantragt, muss im Gegenzug ebenfalls seine Daten offenlegen.
Relevanz:
Fakt ist, dass sich deutsche Unternehmen trotz fehlender Rechtsgrundlage und Widerspruch mit deutschem Datenschutz in den meisten Fällen einer E-Discovery beugen, um einen hohen Kostenaufwand und mögliche Sanktionen zu vermeiden, berichten Rechtsanwälte. Das zeigt auch die wachsende Zahl von Angeboten an speziellen IT-Systemen, die ein Wiederauffinden der Daten im Falle einer E-Discovery erleichtern sollen – ein neues Geschäftsfeld der IT-Branche, was die Bedeutung von E-Discovery auch für deutsche Unternehmen zeigt. Deutsche Firmen rüsten sich mit einem solchen IT-System vorbeugend aus, um im Falle eines Falles vorbereitet zu sein.
Das Thema ist auch relevant, weil sowohl große Konzernen als auch mittelständische und kleine Unternehmen mit Geschäftsbeziehungen in die USA betroffen sein können – und entsprechend auch all ihre Mitarbeiter. Bei der Recherche zeigte sich jedoch, dass selbst viele Experten (Anwälte, Ansprechpartner bei Handelskammern) nicht über E-Discovery informiert sind. Es ist demnach davon auszugehen, dass auch viele mittelständische Unternehmen nicht wissen, was ihnen möglicherweise drohen könnte. Diese Unwissenheit können IT-Firmen, die die oben genannten Systeme verkaufen, in ihrem Sinne ausnutzen. Im ungünstigsten Fall kann ein E-Discovery-Verfahren für ein unvorbereitetes mittelständisches Unternehmen den finanziellen Bankrot bedeuten.
Vernachlässigung:
In den Medien wurde in den letzten zwei Jahren laut der Datenbank Genios und Web-Archiven nur sehr vereinzelt zu dem Thema berichtet. Die Börsen Zeitung, Financial Times Deutschland (FTD) und die Frankfurter Allgemeine Zeitung (FAZ) haben seit 2011 jeweils einen Artikel zu dem Thema veröffentlicht. Auch über ein jährlich von Rechtsanwälten und Datenschützern in Berlin veranstaltetes E-Discovery-Forum in Berlin wurde in den Massenmedien nicht berichtet. In spezialisierten Blogs erfährt das Thema etwas mehr Aufmerksamkeit – dass aber deutschen Unternehmensverbänden das Thema unbekannt ist, zeigt, wie wenig Reichweite das Thema im Allgemeinen hat. Die Autoren der wenigen Artikel sind meist selbst Rechtsanwälte, ohne juristische Kenntnisse ist das Thema kaum zu erschließen – ein Hürde für die journalistische Berichterstattung.
Quellen:
Katja Wilke, „Lösch! Mich! Nicht!“, 27.02.2007, Financial Times Deutschland;
Carsten Grau, „US-Urteil beeinflusst deutsche Gerichtsprozesse“, 01.06.2011, Börsen Zeitung und Financial Times Deutschland;
Michael Rath, „Legalität als Grauzone“, 26.04.2012, Frankfurter Allgemeine Zeitung;
Dr. Michael Rath, Kçln,und Saskia Klug, „E-Discovery in Germany?“, Klug und Rath Rechtsanwälte K&R Heft10/2008, GACC New York, http://www.luther-lawfirm.com/download_bibliothek_de/1740.pdf , zuletzt aufgerufen am 1.07.2013;
Andreas Haidinger und Harald Damskis, „Die digitale Informationslebensader“, Siemens IT Solutions, http://www.competence-site.de/filedownload/cns-i?id=i_file_35277 , zuletzt abgerufen am 2.7.2013
Dr. Michael Rath, Vorsitzender E-Discovery Forum und Fachanwalt für IT-Recht, E-Mail-Wechsel am 24.01.2013;
Dr. Alexander Dix, Beauftragter für Datenschutz des Landes Berlin, Gespräch am 01.02.2013;
Carsten Grau, Rechtsanwalt, Gespräch am 04.06.13;
Kommentare:
Dr. Michael Rath, Vorsitzender E-Discovery-Forum und Fachanwalt für IT-Recht:
„Für Unternehmen, auch Mittelständler, wird das Thema immer relevanter, jedenfalls sofern das Unternehmen Auslandsbezug hat und eine gewisse Prozessrelevanz. Gerade Pharmafirmen wie Bayer sind hiervon stark betroffen. Die IT-Tools stammen meistens von US-Anbietern.“
Dr. Alexander Dix, Beauftragter für Datenschutz und Informationsfreiheit des Landes Berlin:
„Prozessrelevante ESI (elektronisch gespeicherte Informationen) können nach amerikanischem Verständnis fast alles sein, die Grenzen sind sehr weit gefasst. E-Discovery kann geschäftsschädigend sein, ein reines Ausforschen des Konkurrenten ist auf dem Weg allerdings nicht möglich. Rechtssprechung und Praxis divergieren in den meisten Fällen. Das Haager Übereinkommen wird von US-Gerichten oder Anwälten meist missachtet und umgangen. Deutsche Unternehmen beugen sich einer E-Discovery, auch wenn sie es rechtlich nicht müssten, um Sanktionen zu verhindern, zum Beispiel Börsenausschluss oder Nachteile im Prozess.“
Carsten Grau, Rechtsanwalt und Autor der Artikel in Börsen Zeitung und FTD:
„Eine E-Discovery ist immer mit einem hohen finanziellen und zeitlichen Aufwand verbunden. Im ungünstigsten Fall kann dies für ein Unternehmen einen erheblichen Schaden bedeuten.“