Internal Investigations – Buchert Jacob Peter

E-Mail-Auswertung in Internal Investigations

Die Auswertung dienstlicher E-Mail-Postfächer ist in vielen Untersuchungen ein wesentlicher Baustein der Beweissicherung. Sie ist zugleich einer der rechtlich sensibelsten Bereiche, insbesondere wenn private Nutzung erlaubt oder zumindest geduldet ist. Hintergrund ist die in Deutschland lange kontrovers diskutierte Frage, ob Arbeitgeber dadurch in den Anwendungsbereich des Fernmeldegeheimnisses geraten und wie dies mit der DSGVO zusammenspielt. Im Kontext des Telekommunikationsrechts wird dabei u. a. § 3 TDDDG und strafrechtlich § 206 StGB (Verletzung des Post- oder Fernmeldegeheimnisses) diskutiert.

In der datenschutzrechtlichen Praxis ist entscheidend: Unabhängig von der dogmatischen Debatte ist eine E-Mail-Auswertung nur zulässig, wenn sie auf eine tragfähige Rechtsgrundlage gestützt, in ihrem Umfang begrenzt und in einem transparenten, dokumentierten Prozess umgesetzt wird. Häufig relevante Anknüpfungspunkte sind Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) sowie im Beschäftigungskontext § 26 BDSG. Bei Verdacht auf Straftaten kommt § 26 Abs. 1 Satz 2 BDSG regelmäßig als spezielle Erlaubnisnorm in Betracht; bei besonderen Kategorien personenbezogener Daten sind zusätzlich die Voraussetzungen des Art. 9 DSGVO zu prüfen.

Privatnutzung, IT-Policy und Transparenz

Wenn private Nutzung des dienstlichen E-Mail-Accounts im Unternehmen gelebt wird, muss die Organisation besonders klar regeln, mit welchen Datenverarbeitungen im Compliance- und Untersuchungsfall zu rechnen ist. Bewährt haben sich eindeutige IT-Policies und Datenschutzhinweise nach Art. 13, 14 DSGVO, die Compliance-Zwecke (z. B. Aufklärung von Regelverstößen, Schutz der Unternehmensintegrität) konkretisieren, ohne rein abstrakt zu bleiben. Zu unbestimmte Zweckangaben sind riskant; praxistauglicher ist eine Zweckkategorie, die beispielhaft erläutert (z. B. „Aufdeckung von Compliance-Verstößen wie Datenschutzverletzungen oder Korruptionshinweisen“), sodass Betroffene die Verarbeitung realistischer einschätzen können.

Unternehmen, die Privatnutzung in angemessenem Umfang zulassen möchten, sollten den Umfang konkret definieren, Beispiele aufnehmen und klar beschreiben, was die Grenze überschreitet. Technisch kann zudem eine Trennung durch separate Ordnerstrukturen unterstützt werden. Für den Untersuchungsfall reduziert das spätere Streit über Erwartungshaltungen und verbessert die Verhältnismäßigkeitsprüfung.

Datenminimierung und stufenweises Vorgehen

Art. 5 Abs. 1 lit. c DSGVO verlangt Datenminimierung. In der E-Mail-Auswertung kollidiert dieser Grundsatz gefühlt häufig mit dem Aufklärungsinteresse. Praktikabel wird er durch ein stufenweises Vorgehen: Start mit einem eng begrenzten Suchrahmen (Schlüsselpersonen, definierter Zeitraum, konkrete Suchbegriffe) und Ausweitung nur bei belastbaren Hinweisen. Ein sinnvoller Ansatz ist eine Negativabgrenzung „ex ante“: Das Unternehmen definiert im Vorfeld, welche Bereiche oder Nachrichtentypen nicht relevant sein sollen, und trennt „nice to know“ von „need to know“. Jede Erweiterung wird begründet und dokumentiert; zugleich sollten Abbruchkriterien festgelegt werden, um eine unangemessene Ausweitung zu verhindern.

Informationspflichten und Ausnahmen

Grundsätzlich sind betroffene Personen nach Art. 13 bzw. Art. 14 DSGVO zu informieren. In Untersuchungen können jedoch Konstellationen entstehen, in denen eine sofortige Information eine Warnwirkung entfaltet oder Verdunklungsmaßnahmen begünstigt. Ob und in welchem Umfang Informationen im Einzelfall zurückgestellt werden dürfen, ist stets sorgfältig zu prüfen und eng zu begründen. In Betracht kommen je nach Konstellation auch gesetzliche Einschränkungen nach dem BDSG, etwa § 29 Abs. 1 BDSG, die jedoch eng auszulegen sind und eine belastbare Dokumentation erfordern.

Betroffenenrechte und Auskunft (Art. 15 DSGVO)

Das Auskunftsrecht nach Art. 15 DSGVO gewinnt in internen Ermittlungen regelmäßig an Bedeutung – insbesondere bei Konflikten im Arbeitsverhältnis. Für die Praxis ist daher wichtig, bereits zu Beginn einen Prozess vorzusehen, der Auskunftsanträge strukturiert bearbeiten kann: Zugriffshandlungen protokollieren, Zwecke und Empfänger dokumentieren, Abwägungen nachvollziehbar festhalten und prüfen, welche Informationen ohne Gefährdung der Untersuchung offengelegt werden können. Nach Abschluss der Ermittlungen ist regelmäßig mit umfassenderen Auskunftsbegehren zu rechnen. Eine differenzierte Betrachtung, die Rechte Dritter, den Schutz von Hinweisgebern und die Integrität der Untersuchung berücksichtigt, ist hier zentral. Vertiefend: Art. 15 DSGVO und Hinweisgeberinteressen.

Hinweis: Eine E-Mail-Auswertung ist in aller Regel ein dynamischer Prozess. Ändert sich der Sachverhalt durch neue Erkenntnisse, kann sich auch die datenschutzrechtliche Bewertung (Rechtsgrundlage, Zweck, Umfang, Informationskonzept) ändern. Entscheidend ist, dass diese Anpassungen nicht „ad hoc“ erfolgen, sondern geplant, begründet und dokumentiert werden – insbesondere mit Blick auf eine mögliche spätere Überprüfung durch Behörde oder Gericht.

Praxisleitfaden: strukturierter Prozess für E-Mail-Auswertungen

Ein belastbarer Untersuchungsprozess orientiert sich an klaren Schritten. Im Folgenden ein praxistaugliches Raster, das sich für die E-Mail-Auswertung in internen Ermittlungen bewährt hat.

  1. Ermittlungsumfang definieren
    Konkreten Verdacht dokumentieren, Ermittlungsziel präzise formulieren, Zeitraum und Inhalte festlegen sowie betroffene Personen/Abteilungen identifizieren und Rollen klären (Beschuldigter, Zeuge, Dritter).
  2. Rechtsgrundlagen prüfen
    Privatnutzung erlaubt/geduldet und Relevanz telekommunikationsrechtlicher Aspekte (u. a. § 3 TDDDG, § 206 StGB) nachvollziehbar dokumentieren; datenschutzrechtliche Rechtsgrundlagen bestimmen (§ 26 BDSG, Art. 6 und 9 DSGVO), Betriebsvereinbarungen/IT-Policies berücksichtigen; zwischen Straftaten, OWi und Vertrags-/Richtlinienverstößen differenzieren; DSFA-Bedarf prüfen (Art. 35 DSGVO).
  3. Zwecke und Zweckänderung sauber herleiten
    Prüfen, zu welchen Zwecken die Daten ursprünglich erhoben wurden; ist die E-Mail-Auswertung vom Zweck umfasst? Wenn nicht: Zulässigkeit der Zweckänderung prüfen (Art. 6 Abs. 4 DSGVO bzw. § 24 BDSG).
  4. TOM und Governance umsetzen
    Teamgröße am Umfang ausrichten; Rollen- und Berechtigungskonzepte festlegen; Protokollierung, Verschlüsselung und sichere Ablage; Löschfristen definieren; Prozess für Betroffenenrechte und Informationspflichten festlegen; Umsetzung der TOM tatsächlich sicherstellen (Art. 32 DSGVO).
  5. Stakeholder einbeziehen
    Datenschutzbeauftragte, ggf. Betriebsrat/Personalrat einbinden; arbeitsrechtliche Rahmenbedingungen und Mitbestimmung prüfen (z. B. § 80 Abs. 2 BetrVG, § 87 Abs. 1 BetrVG). Vertiefend: Arbeitsrecht & Datenschutzrecht.
  6. Suchprozess definieren und stufenweise steuern
    Suchkriterien festlegen; mit engem Rahmen beginnen und nur bei konkreten Hinweisen erweitern; jede Entscheidung und Erweiterung dokumentieren; Informationszeitpunkt und Ausnahmen (z. B. bei Verdunkelungsgefahr) eng begründen und dokumentieren.
  7. Nachbearbeitung
    Ergebnisse sichern, Prozess evaluieren, Betroffene nach Abschluss umfassend informieren, nicht benötigte Daten löschen und Einhaltung festgelegter Löschpflichten prüfen.

Interviews, Befragungen und Dokumentation

Dokumente und Kommunikationsdaten erklären selten den gesamten Kontext. Deshalb sind Interviews häufig entscheidend, um Chronologie, Zuständigkeiten, Motive und Kontrolllücken zu verstehen. Für eine belastbare Untersuchung sind eine saubere Interviewvorbereitung, klare Rollen (Interviewführung/Protokoll), fairer Umgang sowie eine strukturierte Dokumentation zentral. Ziel ist Erkenntnisgewinn, ohne unzulässigen Druck auszuüben, und stets mit Blick auf arbeitsrechtliche Grenzen. Vertiefend: Internal Investigations Interviews.

Die Dokumentation muss trennscharf zwischen Fakten, Quellenlage und Bewertungen unterscheiden. Das erhöht die Nachvollziehbarkeit und reduziert Folgekonflikte, etwa bei Auskunftsbegehren nach Art. 15 DSGVO oder in arbeitsrechtlichen Auseinandersetzungen. Je klarer Methodik, Abwägungen und Zugriffshandlungen protokolliert sind, desto besser kann das Unternehmen seine Entscheidungskette erklären.

Rechtlicher Rahmen im Überblick

Datenschutzrecht

Interne Ermittlungen verarbeiten regelmäßig personenbezogene Daten. Maßgeblich sind insbesondere die Grundsätze der Art. 5 DSGVO (Zweckbindung, Datenminimierung, Integrität/Vertraulichkeit) sowie die Rechtsgrundlagen nach Art. 6 DSGVO. Im Beschäftigungskontext ist § 26 BDSG häufig zentral; bei Verdacht auf Straftaten wird § 26 Abs. 1 Satz 2 BDSG besonders relevant. Enthalten Postfächer oder Dokumente besondere Kategorien personenbezogener Daten, sind zusätzlich Art. 9 Abs. 1 und Abs. 2 DSGVO zu berücksichtigen. Transparenzpflichten (Art. 13, 14 DSGVO) und Betroffenenrechte (u. a. Art. 15 DSGVO) sollten von Anfang an in ein praxistaugliches Konzept übersetzt werden. Ergänzend: Datenschutz bei internen Untersuchungen.

Arbeitsrecht und Mitbestimmung

Interne Untersuchungen betreffen häufig Beschäftigte unmittelbar. Daher sind arbeitsrechtliche Leitplanken (Verhältnismäßigkeit, Gleichbehandlung, Fristen für Folgemaßnahmen) und Mitbestimmung zu prüfen. Je nach Untersuchungsdesign können Beteiligungsrechte des Betriebsrats relevant sein, insbesondere nach § 80 Abs. 2 BetrVG (Unterrichtung) und § 87 Abs. 1 BetrVG (Mitbestimmung). Die Einbindung sollte so erfolgen, dass Untersuchungsintegrität und Vertraulichkeit gewahrt bleiben.

Strafrechtliche Schnittstellen

Viele Sachverhalte berühren das Strafrecht (z. B. Betrug, Untreue, Korruption) oder OWi-rechtliche Pflichten. Das wirkt sich auf die Einordnung des Sachverhalts, die Auswahl von Maßnahmen und die Gestaltung des Abschlussberichts aus. Für Unternehmen ist wichtig, dass interne Ermittlungen methodisch sauber bleiben und keine unnötigen Risiken erzeugen, etwa durch unkontrollierte Datenverarbeitungen oder unklare Rollen. Vertiefend: Internal Investigations und Strafrecht.

ISO/TS 37008 und anerkannte Leitlinien

Für interne Untersuchungen existieren zunehmend Leitlinien, die Good Practice strukturieren. Die ISO/TS 37008 bietet hierbei Orientierung für Planung, Durchführung, Dokumentation und Nachbereitung interner Untersuchungen. Solche Standards ersetzen keine Rechtsprüfung, unterstützen aber eine konsistente Governance und eine nachvollziehbare Methodik, insbesondere in komplexen Organisationen oder bei mehreren Standorten. Eine Einordnung finden Sie unter ISO/TS 37008.

FAQ

Was ist der Unterschied zwischen Compliance Audit und Internal Investigation?

Ein Compliance Audit prüft präventiv Strukturen, Prozesse und Kontrollen (Angemessenheit und Wirksamkeit). Eine Internal Investigation ist anlassbezogen und klärt einen konkreten Verdacht auf – mit Beweissicherung, Interviews, Dokumentation und Abschlussbericht.

Welche Rechtsgrundlagen sind für die Auswertung von E-Mails relevant?

Typisch sind Art. 6 Abs. 1 lit. b oder lit. f DSGVO sowie im Beschäftigungskontext § 26 BDSG; bei Straftatverdacht insbesondere § 26 Abs. 1 Satz 2 BDSG. Bei besonderen Kategorien personenbezogener Daten ist Art. 9 DSGVO zu berücksichtigen. Zusätzlich können telekommunikationsrechtliche Aspekte (z. B. § 3 TDDDG) und § 206 StGB diskutiert werden, insbesondere bei Privatnutzung.

Müssen Beschäftigte vor der Untersuchung informiert werden?

Grundsätzlich bestehen Informationspflichten nach Art. 13 bzw. Art. 14 DSGVO. Ob, wann und in welchem Umfang eine konkrete Einzelfallinformation erfolgen muss, hängt vom Untersuchungsdesign und möglichen Risiken (z. B. Verdunkelung) ab und ist eng zu prüfen und zu dokumentieren.

Wie wird Datenminimierung in der Praxis umgesetzt?

Durch stufenweises Vorgehen: Start mit engem Suchrahmen (Schlüsselpersonen, Zeitraum, Suchbegriffe) und Ausweitung nur bei belastbaren Hinweisen. Zusätzlich hilft eine Negativabgrenzung im Vorfeld („nicht relevante“ Bereiche definieren) und das konsequente Need-to-know-Prinzip.

Welche Rolle spielt Art. 15 DSGVO (Auskunft) in internen Ermittlungen?

Auskunftsanträge können den Untersuchungsprozess erheblich beeinflussen. Deshalb sollten Zugriffe und Zwecke von Beginn an dokumentiert werden und ein Prozess zur Bearbeitung von Betroffenenrechten feststehen. Nach Abschluss der Ermittlungen ist häufig mit umfangreicheren Auskunftsbegehren zu rechnen.

Wann ist eine Datenschutz-Folgenabschätzung (DSFA) sinnvoll oder erforderlich?

Wenn die geplanten Maßnahmen voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen begründen, etwa bei systematischer Auswertung großer Datenbestände oder umfangreichen Monitoring-Konstellationen. Grundlage ist Art. 35 DSGVO; die Prüfung sollte frühzeitig erfolgen und dokumentiert werden.

Kontaktieren Sie unsere Experten für Internal Investigations und Audits

Diese Ansprüche an verfahrenstechnisches Wissen, Compliance Erfahrung und diskretes Vorgehen vereint unser interdisziplinäres Team aus spezialisierten Juristen und Ermittlern. Wir stehen Ihnen bundesweit zur Verfügung.

  • Rechtsanwalt & Geschäftsführer Dr. Rainer Buchert
  • Rechtsanwalt, Fachanwalt für Strafrecht & Geschäftsführer Frank M. Peter
  • Rechtsanwältin, Fachanwältin für Strafrecht & Geschäftsführerin Dr. Caroline Jacob

Dies bedeutet unter anderem folgende Zusatzqualifikationen:

  • Polizeipräsident a. D.
  • Fachanwälte für Strafrecht
  • Zertifizierte Datenschutzbeauftragte
  • Vertrauenspersonen von über 70 Unternehmen
  • Forensische Erfahrung von Ermittlungsverfahren und Hauptverhandlungen von über 25 Jahren

Kontaktieren Sie uns – Ihre Spezialisten für Internal Investigations, Compliance in Frankfurt am Main und bundesweit
Telefon: 069 710 33 033
E-Mail: info@investigations-audits.de

In folgenden Fällen beraten wir Sie als unsere Auftraggeber:

  • Auditierung und Monitoring
  • Internal Investigations – Interne Ermittlungen
  • Vorträge und (Inhouse-)Schulungen

 
Unsere Köpfe

  • Rechtsanwalt Dr. Rainer Buchert
  • Rechtsanwältin und Fachanwältin für Strafrecht Dr. Caroline Jacob
  • Rechtsanwalt und Fachanwalt für Strafrecht Frank M. Peter

Dies bedeutet unter anderem folgende Zusatzqualifikationen und Erfahrungen:

  • Fachanwalt / Fachanwältin für Strafrecht
  • Polizeipräsident a.D.
  • Zertifizierte Datenschutzbeauftragte
  • Mitverfasser des Handbuches „Internal Investigations: Ermittlungen im Unternehmen“ 
  • Ombudspersonen für über 60 Unternehmen
zur Übersicht