Täglich wächst die Menge der Daten in Unternehmen und auch die Möglichkeiten diese zu missbrauchen. Mit eDiscovery werden Daten lokalisiert, gesichert und durchsucht, um diese als Beweismittel in zivil- oder strafrechtlichen Verfahren verwenden zu können. Unsere Autorin und unser Autor sind Spezialisten in diesem Thema und erläutern den komplexen Ablauf der eDiscovery.
Abgrenzung der eDiscovery von der Digitalen Forensik
Da es sich bei beiden Disziplinen um elektronisch gespeicherte Informationen im Kontext von Untersuchungen handelt, wird oft angenommen, dass sie ein und dasselbe behandeln.
Der Hauptzweck von eDiscovery besteht darin, potentiell relevante Daten und Metadaten zu identifizieren und «forensically sound» sicherzustellen bzw. einzusammeln, d.h. die Daten und Metadaten müssen unversehrt bleiben. Die eingesammelten Daten werden dann nicht im Kontext der Speichermedien oder eines Nutzerverhaltens, sondern nach einem Aufarbeitungsschritt in einer Review-Plattform von den untersuchenden Anwältinnen oder Fachkräften gesichtet, um den relevanten Teil der Dokumente der Gegenpartei offenzulegen bzw. in einen Untersuchungsbericht einfliessen zu lassen.
Das Einsammeln von Daten in der eDiscovery erfordert meist im Kontext von Betrugsermittlungen und Strafverfolgungen die explizite Verwendung forensischer Methoden, z.B. um die Echtheit oder sonstige Beschaffenheit eines Beweisstückes zu überprüfen bzw. bereits gelöschte Daten wiederherzustellen oder schwerer zugänglichen Daten einzusammeln. In der Digitalen Forensik wird z.B. die gesamte Festplatte gespiegelt und nach versteckten Daten gesucht, um zu ermitteln, wer, was, wo und warum an einem Computer oder einer Applikation unternommen hat.
eDiscovery in Rechtsfällen und Untersuchungen
eDiscovery oder eDisclosure hat seinen Ursprung in den Common Law Ländern wie den USA und Grossbritanien, wo in einem breiten Umfang potentiell relevante Daten in Rahmen von Rechtsfällen und internen oder externen Untersuchungen sichergestellt und offengelegt werden müssen.
Im Jahr 2006 wurden in den USA die Federal Rules for Civil Procedures angepasst, welche die Anforderungen an die Beweissicherung, Aufbereitung und Offenlegung von elektronisch gespeicherten Daten (Electronically Stored Information oder kurz ESI) im Rahmen der Pre-Trial Discovery regeln. ESI umfasst ausdrücklich sogenannten unstrukturierten Daten wie E-Mails, Chats, Dokumente auf Laufwerken, Telefonverbindungen und deren Aufzeichnungen. Zudem sind strukturierte Daten aus Applikationen und Datenbanken oft von Relevanz für Untersuchungen und gehören ebenfalls in die Kategorie der ESI.
Im Gegensatz zum Common Law besteht im Civil Law der kontinentaleuropäischen Länder eine wesentlich eingeschränktere Offenlegungspflicht. Allerdings müssen im Rahmen von behördlichen Untersuchungen mittlerweile ähnlich grosse Mengen an Daten sichergestellt und offengelegt werden.
Da die Nutzung von elektronischen Kommunikationsmitteln wie E-Mail, Chat und soziale Medien stetig steigt und die Digitalisierung von Daten und Arbeitsabläufen weiter signifikant zunimmt, sieht man sich bei Untersuchungen oft mit immer grösseren Datenvolumen konfrontiert. Das Volumen der eingesammelten Data liegt in vielen Fällen bei mehreren hundert Gigabytes bis zuweilen Terabytes und auch nach mehreren Schritten zur Datenreduktion verbleiben oft noch mehrere Zigtausende Dokumente zur Sichtung übrig. Für den Review werden hierzu auch bei bereits geringeren Datenmengen spezielle Review-Plattformen verwendet, anstelle die Daten auszudrucken oder in der datenspezifischen Applikation auf Relevanz zu prüfen. Eine Review-Plattform kann grosse Datenmengen verarbeiten, mehrfach vorhandene Daten nachvollziehbar gegeneinander deduplizieren und durchsuchbar machen. Sie bieten typischerweise auch analytischen Methoden (Technology Assisted Review, TAR), die den Review weit über die Verwendung von Suchbegriffen effizient gestalten und möglichst zuverlässige Resultate erzielen.
Aufgrund von Rechtsprechungen (Case Law) und Arbeitsgruppen eines führenden Think Tanks haben sich eDiscovery Best Practice[1] entwickelt, welche die Anforderungen bei der Sicherstellung und Verarbeitung der Daten, dem Review sowie der Produktion konkretisieren. Wichtig ist, dass die Entscheidungen und Resultate dokumentiert werden, um die Nachvollziehbarkeit und Reproduzierbarkeit sicherzustellen. Die Verwendung von gut dokumentierten und eingehaltenen Prozessabläufen sowie einer Review-Plattform ist hierzu unumgänglich.
Nicht zuletzt müssen als relevant identifizierte Daten, in einer sogenannten «Production», an die Gegenpartei oder Behörden, welche oft im Ausland sitzt, herausgegeben werden. Auch diesbezüglich bietet eine Review-Plattform optimierte Funktionen und bewährte Lösungen, um solchen Anforderungen effizient und zuverlässig gerecht zu werden. Die Verarbeitung und Offenlegung unterliegt dabei dem länderspezifischen Datenschutz Gesetzen sowie gegebenenfalls weiteren branchen- und länderspezifischen Gesetzen, die die Offenlegung einschränken bzw. gewisse Schutzmassnahmen erfordern[2].
Für eDiscovery gibt es ein Standard Prozess, welcher nachfolgend im Detail aufgezeigt wird.
Schritte im eDiscovery Prozess
Die einzelnen Schritte des eDiscovery Prozesses können anhand des sogenannten «Electronic Discovery Reference Model (EDRM)»[3] erläutert werden. Die Abfolge ist dabei oft nicht wie dargestellt linear, sondern iterativ. So werden z.B. zu Beginn Daten bestimmter Personen priorisiert und eingesammelt und nach erfolgter Sichtung weitere hinzugezogen. Im Folgenden werden die einzelnen Schritte weiter erläutert.
Electronic Discovery Reference Model
Quelle: edrm.net V3.0, angepasst
Information Governance
Information Governance befasst sich mit der Bereitstellung von im Unternehmen zur Nutzung zugelassenen Kommunikationstechnologien und Applikation sowie dem Management, der Klassifizierung und der Sicherheit von Informationen. Des Weiteren hat die Information Governance Überschneidungen mit dem Records Management, welche die Aufbewahrungsfristen von Informationen im ordentlichen Geschäftsverlauf regelt (Records Retention Management). Bei der Umsetzung werden die Rahmenbedingungen (in Form von Richtlinien und Prozessen) für den konsistenten und geordneten Umgang des Unternehmens und seiner Mitarbeiter mit ESI geschaffen.
Datenidentifizierung (Identification)
Bei der Datenidentifizierung geht es um die Frage, welche Kategorien von Daten potentiell relevant sind und wo und von wem diese gespeichert wurden. Als Erstes werden die möglichen Personen sowie Informations- und Datentypen und -quellen identifiziert:
- Welche Mitarbeiter (Custodians) und/oder Personen stehen im Fokus der Untersuchung, welche sind potentiell relevant?
- Welche Art von Informationen sind von Relevanz, z.B. interne und/oder externe Kommunikation, Marketingmaterial, Transaktionsdaten etc.?
- Sind strukturierte Daten in Datenbanken relevant, wie z.B. Informationen in einem Client-Relationship-Management-Systemen, die aufgrund eines eindeutigen Schlüssels z.B. der Kundennummer, vergleichsweise einfach gefiltert und eingesammelt werden können?
- Welche Arten von unstrukturierte Daten sind relevant, z.B. E-Mails, Chats, Social Media sowie lose Dateien auf Laufwerken, welche typischerweise keine strukturieren Klassifizierung enthalten?
- Werden physische Daten benötigt, wie Archivdaten in Ordnern oder Unterlagen von Mitarbeitern, welche für die eDiscovery jeweils in elektronische Daten durch Scanning umgewandelt werden?
Nach der Identifizierung wird ein Inventar der verfügbaren Informations- und Datenquellen sowie ein Plan zur Beschaffung der Daten erstellt. Von entscheidender Bedeutung ist dabei die Frage, wie vollständig und unversehrt die Daten in den verschiedenen Systemen und Speicherorten sind. In Abwesenheit eines zentralen elektronischen Archives z.B. für E-Mail wird es sehr wahrscheinlich notwendig sein, E-Mails nicht nur vom Server oder der Cloud sondern auch von vorhandenen Backup Tapes, sowie nutzerspezifischen Archiven von der lokalen Festplatte einzusammeln. Zudem kann es sein, dass Mitarbeiter im Untersuchungszeitraum an verschiedenen Standorten bzw. Ländern gearbeitet haben, so dass unterschiedliche Quellen betroffen sind.
Sicherstellung (Preservation)
Im Rahmen von US Rechtsfällen oder externen Untersuchungen haben die betroffenen Unternehmen oft sehr breit ausgelegten Vernichtungsstopps von Unterlagen (Legal Holds) an die Mitarbeiter und IT-Verantwortliche versendet. Dies kann zur Folge haben, dass trotz begrenzter Aufbewahrungsdauer gemäss der Records Retention Policy Unternehmen oftmals nicht nur die für den jeweiligen Fall potentiell relevanten Daten, sondern insgesamt keine Daten mehr löschen. Genau dies ist jedoch gemäss Datenschutz notwendig.
Datenbeschaffung (Collection)
Die Sicherstellung und das Einsammeln von Daten zum Zweck der eDiscovery geht über ursprünglichen Verwendungszweck hinaus und bedarf einer rechtlichen Legitimierung, welche Bestandteil des Collection Prozesses sein sollte[4]. Hierzu muss eindeutig der Grund sowie der Umfang der Collection in Bezug auf Personen, Datentypen und Zeitraum dokumentiert werden. Auf dieser Basis erfolgt die Datenbeschaffung in Zusammenarbeit zwischen dem eDiscovery-Spezialisten und der IT-Abteilung der Unternehmung. Von zentraler Bedeutung sind zudem die folgenden Punkte:
- Verwendung einer digital forensisch konformen Methode
- Dokumentierte, wiederholbare Prozesse
- Überprüfte Collection Resultate und nachvollziehbare Protokolle (Chain of Custody)
- Verwendung von State-of-the-Art Soft- und Hardware
Datenverarbeitung (Processing)
Bei der Datenverarbeitung und -aufbereitung durch den eDiscovery-Spezialisten geht es um die Überführung der Daten in ein einheitliches und lesbares Format, damit diese präzise und effizient mittels einer Review-Plattform gesichtet werden können. Die Daten werden dabei aus Ihrem proprietären Format extrahiert, verschlüsselte Daten soweit möglich entschlüsselt, nicht durchsuchbare Formate mittels OCR («Optical Character Recognition» bzw. optische Zeichen- bzw. Texterkennung) durchsuchbar gemacht. Des Weiteren werden die eingesammelten Daten nach mit den Anwälten vereinbarten Prinzipien Teile ausgeschlossen (Culling) und die Daten dedupliziert. Hierbei unterscheidet man zwischen globaler Deduplizierung (Cross Custodian) vs. Deduplizierung pro Mitarbeiter (Custodian). Zudem wird die Deduplizierung auf Objektebene (E-Mails, Anhänge oder lose Dateien) – oder Familienebene (E-Mail mit Anhang/Anhängen) festgelegt. Zudem gibt es Methoden um nur die längste und vollständigsten E-Mail einer Kommunikationskette anzuzeigen (E-Mail Threading). Die anfänglichen aufeinander aufbauenden E-Mails werden dabei unterdrückt und nur angezeigt, falls Sie nicht genau deckungsgleich mit dem in der vollständigen E-Mailkommunikation sind, z.B. das unabhängige weiterleiten einer Email an eine on mehrere andere Personen (Branches). Die Qualität sowie die Übersichtlichkeit und Nachvollziehbarkeit der Resultate des Email-Threadings können sich dabei erheblich von der eingesetzten Technologie pro Anbieter unterscheiden.
Datensichtung und Analyse (Review and Analysis)
Der Review hat unterschiedliche Phasen und Ziele, welche jeweils vor Beginn in einem Protokoll festgehalten und bei Bedarf weiterentwickelt werden. Am Anfang müssen möglichst rasch und sicher die für den Kern der Untersuchung relevanten Dokumente gefunden werden (Key Document Identification), damit die Risiken und Kosten abgeschätzt werden können (Early Case Assessment). Für die Offenlegung an die Gegenpartei z.B. im Rahmen der US pre-Trial Discovery müssen anschliessend auch alle im weiteren Sinne relevante Dokumente gefunden werden (Relevancy Review). Dabei werden die Dokumente anhand von vorgegebenen Kategorien z.B. als relevant oder nicht relevant markiert (Tagging und Issue Coding).
Studien[5] haben gezeigt, dass der menschliche Review insbesondere bei grossen Datenmengen und Teams an seine Grenzen stösst, da auch bei zeitgleichem Instruieren die Reviewer oft zu unterschiedlichen Bewertungen kommen bzw. Fehlentscheidungen treffen. Nicht nur der Erfahrung und Qualifikation der individuellen Reviewer sowie einem ausgeklügelten Prozess zur Qualitätssicherung kommt grosse Bedeutung zu. Der Einsatz von analytischen Verfahren wie Predictive Coding kann bei richtiger Wahl der Methode und Erfahrung der durchführenden Person nicht nur die Kosten und Zeitbedarf erheblich senken, sondern auch qualitativ besser als ein rein menschlich durchgeführter Review sein.
Datenherausgabe (Production)
Bei der US pre-Trial Discovery werden gemäss des zu Beginn verhandelten Umfangs die als relevant identifizierten Daten der Anwaltskanzlei der Gegenpartei offengelegt. Vor der Datenherausgabe müssen in einem Privileg- sowie Data Privacy-Review noch alle Informationen gefunden werden, die ausgeschlossen oder geschwärzt werden müssen. Die Datenherausgabe an ausländische Behörden bedarf ggf. einer Amthilfe (Administrative Assistance Proceeding). Üblicherweise werden zu Beginn Rahmenbedingungen und Formate für diese Datenlieferungen festgelegt, die strikt eingehalten werden müssen.
Optimale Zusammenarbeit zwischen SpezialistInnen und AnwältInnen
Bereits in der Phase der Datenidentifizierung und -beschaffung arbeiten Anwälte und eDiscovery-Spezialisten eng zusammen. Es gibt unterschiedliche Arten von eDiscovery-Spezialisten, wobei die meisten oft eine rein technische Beratungsfunktion anbieten. Im Bereich der zielgenauen Identifikation von Daten (Key Dokument Identifikation) und dem Keyword Consulting und Review mittels analytischer Methoden gibt es zunehmend weitere Spezialisten, die unter den Instruktionen der Anwälte eine optimale Nutzung der Review-Plattform gewährleisten und zielgerichtet analytische Methoden effektiv und fehlerfrei verwenden. Die inhaltlichen Entscheidungen wie z.B. in Bezug auf dem Untersuchungsrahmen, der Problemstellung sowie der Auswahl und Priorisierung der Custodians werden jedoch von den Anwälten getroffen.
Für einen reibungslosen Ablauf ist es von Vorteil, wenn die Anwälte neben ihren juristischen Kenntnissen auch ein Grundverständnis dieser Konzepte mitbringen oder einen Spezialisten einbeziehen, da diese technischen und methodischen und technologischen Entscheidungen meistens einen signifikanten Einfluss auf den Untersuchungs-Prozess in Bezug auf Umfang, Qualität, Zeitbedarf und Kosten haben. In den USA ist diese Art der Arbeitsteilung und Zusammenarbeit bereits weitgehend etabliert, während man in Europa mangels Angebots und Kenntnis noch weitgehend eine traditionellere Arbeitsteilung zwischen Jurist und technischem eDiscovery Spezialist findet.
Technische eDiscovery-Spezialisten prüfen insbesondere beider Collection, dem Processing und der Produktion die Datenqualität und Vollständigkeit der Datenverarbeitung. Falls etwaige Datenlücken auftreten, müssen die Anwälte informiert und die Ursache analysiert, dokumentiert und wenn möglich behoben werden. In einem Bericht (Exception Report) werden Daten aufgelistet, die während der Datenaufbereitung nicht extrahiert oder aufgrund der Dateigrösse oder anderen Gründen nicht in der Review-Plattform bereitgestellt werden. Die Handhabung der Ausnahmen sollte dabei in einem strikten und gut protokolierten Prozess dokumentiert werden und die Handhabung besondere Ausnahmen (z.B. verschlüsselter oder sehr grosser Daten) mit den Anwälten besprochen werden.
Nur weil die Daten in einer Review-Plattform zur Verfügung stehen, bedeutet dies in den meisten Fällen noch nicht, dass die Gesamtmenge im Review gesichtet werden kann. Die Anwälte werden im besten Fall in Zusammenarbeit mit Spezialisten Suchstrategien und -begriffe (Search Terms) definieren, mit welchen die Datenmenge für den Review so weitgehend wie möglich eingeschränkt werden kann. Die richtige Auswahl und Optimierung der Suchbegriffe sind bei der Vorbereitung des Reviews zentral. Suchbegriffe sollten so vielfältig und breit gefasst sein, dass sie alle Untersuchungsaspekte abdecken, jedoch gleichzeitig möglichst präzise Resultate liefern und auch sogenannte Fehltreffer (False Positives) minimieren. Bei zu breiten Begriffen kann es zur Überflutung mit nicht relevanten Dokumenten führen (low Precision) sowie bei zu spezifischen zum Ausschluss relevanter Dokumente (low Recall). Die Erarbeitung von fallspezifischen linguistischen Modellen in Zusammenarbeit mit den Anwälten kann dieses Problem elegant lösen. Hierdurch wird eine optimale Balance zwischen dem Precision und Recall-Problem geschaffen.
Am Ende des Review-Prozesses fliessen die relevanten Fakten und Feststellungen in den Untersuchungsbericht ein. Oft wird dieser zusätzlich durch andere Informationsquellen (z.B. Mitarbeiterbefragungen, Analyse von strukturierten Daten, etc.) komplementiert. Die relevanten Daten werden als Production an die Anwälte der Gegenpartei bzw. den Behörden ausgehändigt.
Zusammenfassung
eDiscovery ist eine eigenständige Disziplin im Rahmen von Rechtsfällen sowie internen und externen Untersuchungen, welche sich mit der Identifizierung, Sicherstellung, technischen Aufarbeitung sowie dem Review und Produktion der elektronischen Informationen beschäftigt. Sie unterliegt in den Common Law Ländern wie den USA besonderen Regeln, welche bei Fehlern horrende Sanktionen zur Folge haben können. Die Untersuchung von personenbezogenen Daten unterliegt zudem den Europäischen Datenschutz Anforderungen sowie weiteren brachen- und länderspezifischen Restriktionen. Durch den hohen Grad der Fehleranfälligkeit sowie Optimierungsmöglichkeiten setzt sich in Europa immer mehr eine in den USA bereits übliche Arbeitsteilung zwischen dem untersuchenden Anwalt bzw. Experten, dem technischen eDiscovery Dienstleister sowie dem Such- und Analyse-Spezialisten. Spezialisierte eDiscovery Experten können unter Verwendung von analytischen Methoden in der Anfangsphase einer Untersuchung zielsicher kernrelevante Dokumente finden, sowie für die Offenlegung der Daten an die Drittpartei einen effizienten und effektiven Ablauf sicherstellen.
Referenzen
[1] The Sedona Conference Working Group on electronic document retention & production (WG1)
[2] Rosenthal und Zeunert «E.-Discovery und Datenschutz: Herausforderungen und Lösungsansätze für multinationale
Unternehmen» in «E-Discovery und Information Governance” ES Verlag, 2011
[3] https://www.edrm.net
[4] Zeunert, Brupbacher, Dix: “GDPR adds to the risk profile for eDiscovery related preservation and collection activities for
companies”; Conference paper; ABA Cross-Border Discovery Institute, Brussel
[5] TREC Studies at http://trec-legal.umiacs.umd.edu/
Literatur
- ABA Cross-Border Discovery Institute, 2018, Brussels: «GDPR adds to the risk profile for eDiscovery related preservation and collection activities for companies»; Christian Zeunert, Dr. Oliver M. Brupbacher, Dr. Alexander Dix
- Lead article «E-Discovery und Information Governance» ES Verlag, 2011, «E-Discovery und Datenschutz, Herausforderungen und Lösungsansätze für mulitnationale Unternehmen», Christian Zeunert, David Rosenthal
- «Compliance: Aufbau – Management -Risikobreiche» C.F. Müller; Chapter 6 C : «Dokumentenmanagement», 2013
- Article in The Sedona Conference® Journal: «Cross border discovery – practical considerations and solutions for multinationals», 2013
- Senior Editor: The Sedona Conference® International Principles on Discovery, Disclosure & Data Protection, 2011