IT-Durchsuchung – Hinweise für Unternehmen

Die Suche nach und Überprüfung von Daten hinsichtlich ihrer Eignung als Beweismittel im Strafverfahren– die sog. IT-Durchsuchung – gehört mittlerweile zum Alltag in Wirtschafts- und IT-Strafrechtsverfahren. Dienstlich genutzte E-Mail-Konten sind für die Strafverfolgungsbehörden ebenso interessant wie Dokumente, die auf einem Laufwerk des Unternehmens abgelegt sind.

Eine IT-Durchsuchung hat allerdings auch viele Verlierer und Problemkreise: Die Geschäftsabläufe des betroffenen Unternehmens werden nachhaltig gestört und die Beschuldigten vor ihren Kollegen bloßgestellt. Die Administratoren stehen unter Zugzwang und die Ermittler haben im Ergebnis mehr Daten, als sie in absehbarer Zeit auswerten können.

1.  Mitwirkung – ein zweischneidiges Schwert

Neben Beschuldigten und Unternehmen als Ganzes stehen typischer Weise Administratoren im Zentrum einer IT-Durchsuchung. Sie sind als Zeugen zur wahrheitsgemäßen Aussage verpflichtet. Dazu gehört auch die Mitteilung von Passwörtern und Schlüsseln. Darüberhinausgehende Mitwirkungspflichten sind jedoch äußerst umstritten.

Ihre Mitwirkung kann zunächst im Interesse des Unternehmens sein. Unterstützt der Administrator die Ermittler beim Suchlauf auf dem Server und bei der Durchsicht einzelner Verzeichnisse, um Speicherorte für beweiserhebliche Daten zu finden, ist die Durchsuchung in den Geschäftsräumen und damit die Störung der Geschäftsabläufe schneller beendet. Eine Kooperation der Administratoren mit den Ermittlern kann in der Regel auch dafür sorgen, dass das Unternehmen sichergestellte Datenträger nach kürzerer Zeit und unversehrt zurückbekommt.

Anderseits können Administratoren durch ihre Mithilfe auch über das Ziel hinausschießen. Die StPO räumt nach herrschender Literaturmeinung Ermittlern keine Befugnis für einen unmittelbaren Zugang zu Cloud Services, die auf Drittservern gehostet werden und sich im außereuropäischen Ausland befinden, ein. Eine Mitwirkung würde den Ermittlern also Zugang zu mehr Beweismitteln verschaffen als nötig.

Administratoren können durch ihre Mitwirkung schließlich auch selbst in die Rolle eines Beschuldigten geraten. Sofern die IT-Durchsuchung nicht die gewünschten Beweismittel hervorbringt, führen Strafverfolgungsbehörden das in der Praxis vereinzelt auf eine Manipulation zurück und sehen darin Anhaltspunkte für eine versuchte Strafvereitelung.

2.  Vorbereitung ist alles

Durchsuchungen stellen für Unternehmen im Geschäftsalltag absolute Ausnahmesituationen dar. Je besser Administratoren und die Unternehmen, für die sie tätig sind, auf eine IT-Durchsuchung vorbereitet sind, desto weniger Risiken bestehen für ihre Administratoren. Grundsätzlich sollten daher bereits im Vorfeld klare Zuständigkeiten und Arbeitsabläufe geschaffen werden, auf die im Falle der Fälle dann zugegriffen werden kann. Einige Grundregeln haben sich hierbei bewährt:

• Zuständige Mitarbeiter des Unternehmens und externe (strafrechtliche) Berater im Voraus benennen.
• Zuständige Personen umgehend von der Durchsuchung informieren und von Anfang an einbinden. Die Ermittler bitten, mit der IT-Durchsuchung zu warten, bis diese, bestenfalls auch ein Rechtsbeistand, vor Ort sind (hierauf besteht allerdings kein Anspruch).
• Durchsuchungsbeschluss aushändigen lassen, kopieren und prüfen: Ist die Suche nach bestimmten Datenträgern und Daten angeordnet? Hat der Ermittlungsrichter relevante Suchbegriffe für einen Suchlauf auf dem Unternehmensserver festgelegt?
• Haben Administratoren einen Überblick, in welcher Form, wo und wie lange Daten im Unternehmen gespeichert werden?
• Es kann sich anbieten, Passwörter bekannt zu geben, um zu verhindern, dass Computer oder Speichermedien beschlagnahmt werden. Ein Zugriff auf Clouddienste im Ausland muss jedoch nicht gewährt werden.
• Sofern vor Ort noch kein Suchlauf auf dem Unternehmensserver stattgefunden hat: Relevante Suchbegriffe für die spätere Durchsicht der Daten abstimmen.
• Den Datenzugriff der Ermittler selbst intern dokumentieren, um später mögliche Rechtsbehelfe begründen zu können.
• Beschuldigte und Zeugen haben das Recht, sich mithilfe eines Anwalts auf eine Vernehmung vorzubereiten. Während der IT-Durchsuchung sollte in der Regel kein Raum für eine Vernehmung zum Tatvorwurf sein. Keine Angaben zur Sache oder informelle Gespräche! Nicht für die IT-Durchsuchung erforderliche Mitarbeiter sollten nicht anwesend sein.
• Bestehen Sie darauf, dass Endgeräte nur versiegelt mitgenommen werden. Die Versiegelung darf erst beseitigt werden und die Auswertung beginnen, wenn eine gerichtliche Entscheidung dazu vorliegt.
• Sofern die Übergabe weiterer Daten vereinbart wird, auf eine möglichst konkrete Fassung hinsichtlich des Umfangs der Daten und der Frist zur Übergabe achten.

Diana Nadeborn Dr. Theresa Friedrich, LL.M.