E-Discovery, Compliance und Anti-Korruptions-Policies

RA und Fachanwalt IT-Recht Dr. Jens Bücking, Stuttgart

 

Nach einer Umfrage aus dem Mai 2011 äußert die Mehrheit der deutschen Unternehmensjuristen ihre Besorgnis über die Zunahme von Rechtstreitigkeiten und Korruptionsermittlungen, insbesondere nun auch vor dem Hintergrund anwendbarer Bestimmungen in ausländischen Rechtsordnungen.

Jüngstes Beispiel ist die Einführung des UK Bribery ACT am 01.07.2011. Dieses neue Gesetz sieht unter anderem die Einführung eines Straftatbestandes vor, wenn keine „angemessenen Vorkehrungen“ zur Korruptionsprävention getroffen sind; angesprochen sind hier sowohl der öffentliche wie auch der private Sektor. Es drohen empfindliche Sanktionen – von Bußgeldern über Geldstrafen bis hin zu Freiheitsstrafen von bis zu 10-jähriger Dauer.

In wirtschaftlicher Hinsicht wesentlich bedeutender als die Haftung einzelner „Handelnder“ dürften jedoch die betriebswirtschaftlichen Folgen durch Imageverlust und Vertrauenseinbußen bei einem Öffentlichwerden entsprechender Vorgänge sein.

Nach dem neuen Gesetz sind es insbesondere sechs Bereiche, die für die „angemessenen Vorkehrungen“  von Relevanz sind, darunter das Risk Assessment und Dokumentations- / Transparenzpflichten, um Klarheit zu erlangen, wo und mit wem man zusammen arbeitet. Weiter aufgeführt werden eine klare Kommunikation der Unternehmensrichtlinien und Prozeduren sowie eine strenge Überwachung und Kontrolle der Antikorruptions- und Antibetrugsmaßnahmen, um deren Wirksamkeit sicher zu stellen.

Vergleichbar der Zögerlichkeit bei Einführung der deutschen Außenprüfungsvorschriften der GDPdU im Jahre 2002 befinden sich auch hier die Betroffenen noch in Angststarre. Bisher setzt kaum ein Unternehmen rechnergestützte Monitoring- und Revisionsverfahren im Rahmen einer detaillierten Compliance-Strategie ein.

Oft fehlt auch einfach der Überblick:

Etwa 180 gesetzliche Anforderungen wirken in Deutschland auf die Prozesse und System in einem Unternehmen ein. Darunter befinden sich branchen- oder größenspezifische Regelwerke (WPHG, BAFIN, FDA-Bestimmungen, MaRisk, MiFID, EU-Vermittlerrichtlinie …), unternehmensorganisatorische Vorgaben (Basel II, Solvency II, KonTRAG, AktG, HGB, BilReg …), Vorgaben für die Rechnungslegung, Buchführung und Archivierung und Prüfung (GoBS, HGB, GDPdU, IDW RS / PS, MoReq II), verstreute E-Mail-Archivierungsvorschriften, Bestimmungen aus dem Arbeitsrecht (BetrVG, wie das Betriebsverfassungsgesetz und die BildschArbV…), aus dem Datenschutzrecht (BDSG, TMG, TKG und den entsprechenden Landesdatenschutzgesetzen), des Weiteren landesspezifische Gesetze wie die 8. EU-Richtlinie, SOX, APAG etc.

Neben diesen Rahmenbedingungen als verbindliche gesetzliche Untergrenze kommen auf Unternehmensebene aber noch weitere Überlegungen und Motivationen hinzu:

  • In rechtlicher Hinsicht besteht oft Interesse an einem vollständigen Journaling zum Schutz vor Veränderung oder zur Einhaltung von Compliance-Vorschriften, und zwar in Form des Komplettabgriffs oder der Selektion.
  • In technischer Hinsicht verlangen die Administratoren im Rahmen des Mailbox-Managements eine Verlagerung von Daten in Langzeitarchive und die Integration in Konzepte wie Tiered Storage.
  • In strategischer Hinsicht ist die Integration der Daten in ein ECM-Konzept und die entsprechende Klassifizierung von Bedeutung, beispielsweise in Kundenakten / Geschäftsvorfälle / sonstige Qualifikation bzw. Klassifizierung / Prozesse…

Ein verantwortungsbewusstes Informationsmanagement stellt heutzutage Tage einen essentiellen Bestandteil einer hinreichend sicheren Unternehmensstrategie dar. Dies gilt insbesondere in Zeitalter von Cloud-Computing. Trotz der Flexibilität und der Kostenfaktoren birgt Cloud-Computing zahlreiche Risiken, die es so in der Vergangenheit im Zusammenhang mit dem elektronischen Informationsmanagement noch nicht gegeben hat. Dies betrifft insbesondere die Vertraulichkeit, Unversehrtheit und jederzeitige Verfügbarkeit von betriebskritischer Information.

Ferner gilt dies für die Daten- und IT-Sicherheit sowie den Geheimnisschutz einschließlich der Geschäftsgeheimnisse. Besonders sensible und risikobehaftete Bereiche stellen hier die personenbezogenen und steuerrelevanten Daten sowie die Forschungs- und Entwicklungsdaten dar.

Für steuerrelevante Daten sind Bußgelder bis zu 250 TEUR für jeden Einzelfall der Zugriffsverhinderung oder der unzulässigen Datenverlagerung ins Ausland vorgesehen.

Die Rechtsprechung sieht es inzwischen als Selbstverständlichkeit an, dass unternehmenskritische und insbesondere auch beweiserhebliche Dokumente bei den Unternehmen vorgehalten werden. Ist dies nicht der Fall kann ein Prozess bereits wegen Beweisfälligkeit verloren gehen. Von Unternehmen wird erwartet, dass sie die Verfügbarmachung elektronischer Dokumente in geordneter Weise gewährleisten können oder aber entsprechende Nachteile – bis hin zu gesetzlichen Sanktionen –  zu erwarten haben.

Oft genug entscheiden derlei Dokumente einen Rechtsstreit, indem sie eine Anspruchsposition substantiieren oder eine Gegenposition beweisrechtlich widerlegen. Insbesondere Unternehmen mit effektiver Geschäftstätigkeit im UK und den USA sehen sich der besonderen Bedeutung (und erheblichen Sanktionsfolgen) eines lückenlosen und beweissicheren Dokumentmanagement ausgesetzt. Dementsprechend wurden die Zivilprozessordnungen bspw. im UK (Oktober 2010) ergänzt um Regelungen zur elektronischen Bereitstellung. Im Zuge dieser Entwicklungen wurden zugleich neue Sanktionen für Vertraulichkeits- und Datenschutzverletzungen implementiert.

Hier geht es nicht allein um den Reputationsschaden und finanzielle Einbußen, wenn vertrauliche Daten verloren gehen, gestohlen werden oder kompromittiert werden; vielmehr implizieren schwere Verletzungen des Personendatenschutzes inzwischen hohe Strafsanktionen. Bspw. im UK ist es seit April 2010 möglich, die entsprechenden Sanktionen für jeden Einzelfall auf bis zu 500000 Pfund festzusetzen.

Dasselbe gilt für die Gesetzeslage zur Vermeidung von Bestechungen. Die Haftung wurde im April 2011 erheblich verschärft für Fälle, in denen Unternehmen nicht hinreichende Vorkehrungen gegen Bestechungen getroffen haben. Verstöße werden – nach oben hin offen – mit erheblichen Strafzahlungen belegt. Zur Entlastung ist es erforderlich belegen zu können, dass die betroffene Organisation rechtzeitig adäquate Verfahrensmechanismen zur Vermeidung von Korruption im Unternehmen eingeführt hat, sowohl technisch wie auch organisatorisch und rechtlich in Gestalt einer Anti-Korruptions-Policy, die sich zugleich widerspiegeln muss in der Vorhaltung sicherer und geeigneter Dokumente und der Dokumentation ihrer Einhaltung.

Die Forderung nach pro-aktiven Audits, um möglichen Verstößen auf die Spur zu kommen, ist also von höchster Wichtigkeit und impliziert die Heranziehung elektronischen Beweismaterials gleichermaßen wie interne Untersuchungen derlei Beweismittel benötigen, um eine hinreichende Vorkehrung nach Außen hin dokumentieren zu können, wenn es um die Aufspürung und Sanktionierung der entsprechenden Compliance-Vorschriften geht.

Auch der sog. elektronische Betrug hat dramatisch an Ausbreitung gewonnen. Das Ausspähen von Betriebsgeheimnissen, der Verlust von Daten durch entsprechende Angriffe etc. verursachen schon jetzt allein in den UK jährlich Schäden in Höhe von mehr als 10 Milliarden Pfund.

Vor diesem Hintergrund arbeiten heutzutage unabdingbar die Abteilungen IT und Recht zusammen an der Schaffung und Implementierung neuer Policies und belastbarer Geschäftsprozesse.