Internal Investigations und Datenschutzrecht in Frankfurt – interne Ermittlungen nach DSGVO und BDSG

Interne Untersuchungen, auch Internal Investigations, dienen der Aufklärung konkreter Verdachtslagen im Unternehmen. Sie können Schäden begrenzen, Pflichtverletzungen beenden, arbeitsrechtliche und strafrechtliche Entscheidungen vorbereiten und die Compliance-Kultur stärken. Gleichzeitig verarbeitet jede interne Untersuchung personenbezogene Daten: von Hinweisgebenden, betroffenen Personen, Zeugen, Führungskräften, Beschäftigten aus angrenzenden Bereichen und teilweise auch von Geschäftspartnern oder Dritten.

Damit wird Datenschutzrecht bei Internal Investigations zu einem zentralen Qualitätsmaßstab. Wer DSGVO, BDSG und Hinweisgeberschutzgesetz nicht von Beginn an in das Untersuchungskonzept integriert, riskiert Beweisprobleme, Auskunftskonflikte, Betriebsratsstreitigkeiten, Bußgelder, Schadensersatzforderungen und eine Schwächung der Verteidigungsposition. Datenschutz ist dabei kein Hindernis für interne Ermittlungen. Richtig verstanden schafft er den Rahmen, in dem Aufklärung belastbar, verhältnismäßig und später verteidigbar durchgeführt werden kann.

Die Kanzlei Buchert Jacob Peter in Frankfurt am Main unterstützt Unternehmen bundesweit bei internen Ermittlungen mit datenschutzrechtlicher Schnittstelle. Wir verbinden Compliance-Beratung, strafrechtliche Unternehmensberatung, Wirtschaftsstrafrecht, Unternehmensverteidigung, Hinweisgebersysteme und forensische Sachverhaltsaufklärung zu einem strukturierten Untersuchungsprozess.

Interne Untersuchung mit personenbezogenen Daten?

Wenn ein Hinweis, eine Compliance-Meldung oder ein Verdachtsfall E-Mails, Beschäftigtendaten, Interviews oder digitale Forensik betrifft, sollte die Untersuchung von Beginn an DSGVO-konform strukturiert werden. Buchert Jacob Peter unterstützt Unternehmen in Frankfurt am Main und bundesweit bei Rechtsgrundlagen, Beweissicherung, Datenschutzdokumentation und rechtlicher Bewertung.

Kontakt zur Kanzlei aufnehmen

Warum Datenschutz das Rückgrat jeder Internal Investigation ist

Der Ausgangspunkt jeder datenschutzkonformen internen Untersuchung liegt in Art. 5 DSGVO. Die dort geregelten Grundsätze dürfen nicht abstrakt bleiben. Sie müssen in Untersuchungsauftrag, Suchstrategie, Datenzugriff, Interviewdokumentation, Berechtigungskonzept, Reporting, Löschung und Abschlussbericht praktisch umgesetzt werden.

Zweckbindung bedeutet, dass personenbezogene Daten nur zur Aufklärung konkret definierter Sachverhalte verarbeitet werden. Eine Investigation darf nicht dazu genutzt werden, beiläufig weitere Themen zu durchsuchen, für die kein Untersuchungsauftrag besteht. Datenminimierung verlangt, Suchräume, Zeiträume, betroffene Personen, Keywords und Datenkategorien so eng wie möglich zu fassen. Integrität und Vertraulichkeit erfordern gesicherte Datenräume, rollenbasierte Zugriffe, Protokollierung und eine nachvollziehbare Chain of Custody.

Auch Richtigkeit, Speicherbegrenzung und Rechenschaftspflicht sind praktisch relevant. Ermittlungsdaten dürfen nicht ungeprüft als Tatsache behandelt werden. Rohdaten, Review-Sets und Beweisstücke müssen voneinander getrennt werden. Löschpunkte sind früh festzulegen. Jede wesentliche Entscheidung muss so dokumentiert sein, dass sie später gegenüber Geschäftsleitung, Datenschutzaufsicht, Gericht, Betriebsrat oder Ermittlungsbehörde nachvollziehbar bleibt.

Wann Datenschutz bei internen Ermittlungen besonders relevant wird

Datenschutzrechtliche Fragen entstehen nicht erst bei groß angelegter E-Discovery. Schon die Entgegennahme einer Meldung über ein Hinweisgebersystem kann sensible personenbezogene Daten enthalten. Gleiches gilt für Beschwerden über eine Ombudsperson, interne Audit-Hinweise, Personalvorgänge oder Compliance-Meldungen aus Konzerngesellschaften.

• personenbezogene Daten von Hinweisgebenden, Betroffenen, Zeugen und Führungskräften
• E-Mail-Auswertung, Chat-Analyse, Logfile-Auswertung und digitale Forensik
• Zugriff auf Laufwerke, Dokumentenmanagementsysteme, Spesen-, Zutritts- oder Arbeitszeitdaten
• Vertraulichkeit nach HinSchG, Need-to-know-Prinzip und anonymisierte Befragungstechnik
• internationale Datenzugriffe, Drittlandtransfers, KI-gestützte Forensik und Beweisverwertung

Gerade bei Verdacht auf Betrug, Untreue, Korruption, Datenschutzverstöße, Manipulationen oder schwerwiegende Pflichtverletzungen greifen mehrere Schutzrichtungen ineinander. Das Unternehmen hat ein legitimes Aufklärungsinteresse. Betroffene Personen haben Datenschutz- und Persönlichkeitsrechte. Hinweisgebende haben einen besonderen Vertraulichkeitsschutz. Beschäftigte können arbeitsrechtlich und strafrechtlich betroffen sein. Diese Interessen müssen nicht gegeneinander ausgespielt, sondern methodisch geordnet werden.

Rechtsgrundlagen: DSGVO und BDSG maßnahmenscharf begründen

Für eine Internal Investigation genügt es nicht, pauschal auf „die DSGVO“ oder „Compliance“ zu verweisen. Jede wesentliche Verarbeitung muss eine konkrete Rechtsgrundlage haben. Das betrifft Interviews, E-Mail-Sichtungen, Logfile-Auswertungen, forensische Sicherungen, Datenexporte, Berichtswesen, Weitergaben an Gremien, Informationen an Behörden und die spätere Archivierung von Beweismitteln.

In Betracht kommt häufig Art. 6 Abs. 1 lit. f DSGVO, wenn ein berechtigtes Interesse an der Aufklärung erheblicher Regel- oder Gesetzesverstöße besteht. Dieses Interesse kann im Schutz des Unternehmens, der Beschäftigten, der Gesellschafter, der Geschäftspartner oder Dritter liegen. Erforderlich bleibt eine dokumentierte Interessenabwägung. Je intensiver der Eingriff, desto genauer müssen Zweck, Verdacht, Datenumfang, Zugriffskreis und Schutzmaßnahmen begründet werden.

Art. 6 Abs. 1 lit. c DSGVO kann relevant sein, wenn eine rechtliche Verpflichtung besteht, etwa im Zusammenhang mit Hinweisgeberverfahren, gesetzlichen Organisationspflichten, Aufsichtsanforderungen oder konkreten behördlichen Vorgaben. Art. 6 Abs. 1 lit. b DSGVO kann in Betracht kommen, wenn die Verarbeitung unmittelbar zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Bei Beschäftigtendaten ist § 26 BDSG besonders zu beachten, insbesondere bei der Aufdeckung von Straftaten oder schwerwiegenden Pflichtverletzungen.

Besondere Vorsicht gilt bei besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO, etwa Gesundheitsdaten, Gewerkschaftsbezug, religiöse Angaben oder andere besonders geschützte Informationen. Solche Daten dürfen nur verarbeitet werden, wenn ein Ausnahmetatbestand greift und erhöhte Schutzmaßnahmen vorgesehen sind. Für die Praxis empfiehlt sich eine Rechtsgrundlagen-Matrix, die jede Maßnahme der internen Untersuchung einzeln abbildet: Zweck, Datenkategorie, betroffene Personengruppe, Rechtsgrundlage, Abwägung, technische und organisatorische Maßnahmen, Löschpunkt.

Informationspflichten und Auskunftsrechte während der Untersuchung

Art. 13 und Art. 14 DSGVO regeln Informationspflichten gegenüber betroffenen Personen. Art. 15 DSGVO gibt betroffenen Personen ein Auskunftsrecht. In Internal Investigations entsteht daraus eine typische Spannung: Einerseits verlangt Datenschutzrecht Transparenz. Andererseits können zu frühe oder zu weitgehende Informationen die Beweissicherung gefährden, Hinweisgeber offenlegen oder die Untersuchung vereiteln.

§ 29 BDSG kann in bestimmten Konstellationen eine Beschränkung oder Zurückstellung von Informationen rechtfertigen, wenn andernfalls schützenswerte Interessen gefährdet würden. Das ersetzt aber keine Prüfung im Einzelfall. Unternehmen sollten früh festlegen, welche Informationen wann, an wen und in welchem Umfang erteilt werden. Aufschübe, Teilinformationen und spätere Nachinformationen müssen dokumentiert werden.

Besonders sensibel ist der Auskunftsanspruch nach Art. 15 DSGVO während laufender Untersuchungen. Er kann nicht pauschal ignoriert werden. Gleichzeitig darf die Beantwortung nicht dazu führen, dass Hinweisgeberidentitäten, vertrauliche Ermittlungsansätze, Rechte Dritter oder Beweissicherungsinteressen verletzt werden. Sinnvoll ist ein zentral gesteuertes Anfrage-Management mit juristischer Prüfung, Versionierung der Antworten und dokumentierter Abwägung.

Hinweisgeberschutz und Datenschutz: Vertraulichkeit nach HinSchG

Das Hinweisgeberschutzgesetz schützt die Identität der hinweisgebenden Person, betroffener Personen und weiterer in der Meldung genannter Personen. Ohne tragfähige Grundlage darf die Identität des Hinweisgebers nicht offengelegt werden. Das gilt nicht nur für die direkte Namensnennung. Auch Kontextangaben, Interviewfragen, kleine Personenkreise oder unbedachte Dokumentenweitergaben können mittelbare Rückschlüsse ermöglichen.

Für Unternehmen bedeutet dies: Meldestelle und Investigation-Team sollten klare, getrennte Rollen haben. Nicht jede Information aus der Meldestelle gehört in den vollständigen Kreis der Ermittler. Maßgeblich ist das Need-to-know-Prinzip. Interviews sollten so vorbereitet werden, dass sie den Untersuchungszweck erreichen, ohne unnötige Hinweise auf die Quelle der Meldung zu geben.

Wenn eine Identitätsweitergabe ausnahmsweise unvermeidbar erscheint, sind Rechtsgrundlage, Erforderlichkeit, mögliche Einwilligung in Textform und Schutzmaßnahmen sorgfältig zu prüfen. Die Entscheidung gehört in den Investigations-Record. Buchert Jacob Peter unterstützt Unternehmen bei der Gestaltung von Hinweisgebersystemen, bei der Auditierung von CMS und Hinweisgebersystemen sowie bei internen Untersuchungen nach Whistleblower-Meldungen.

Hinweis: Datenschutz und Beweisverwertung zusammendenken

Datenschutzfehler in Internal Investigations können nicht nur Bußgeld- oder Schadensersatzrisiken auslösen, sondern auch die Verwertbarkeit von Erkenntnissen schwächen. Deshalb sollten Rechtsgrundlage, Suchstrategie, Zugriffskonzept, Interviewdokumentation, Löschkonzept und Verteidigungsstrategie früh abgestimmt werden.

Mitarbeiterinterviews datenschutzrechtlich sauber führen

Mitarbeiterinterviews sind personenbezogene Datenverarbeitung. Bereits die Einladung, die Befragung, die Antworten, das Protokoll und die spätere Bewertung enthalten Daten über die befragte Person und häufig auch über Dritte. Deshalb sollte vor oder zu Beginn des Interviews eine kurze Datenschutzinformation erteilt werden, soweit dies die Untersuchung nicht unzulässig gefährdet.

Diese Information sollte Zweck der Befragung, Kategorien verarbeiteter Daten, Empfänger oder Zugriffskreise, Speicherfristen, Betroffenenrechte und den Umgang mit Vertraulichkeit erläutern. Die Befragung selbst muss auf den Untersuchungszweck begrenzt bleiben. Ein Fragenkatalog kann sinnvoll sein, darf aber nicht zu schematisch eingesetzt werden, wenn dadurch unnötige Daten erhoben werden.

Auch die Protokollierung ist datenschutzrechtlich relevant. Wortnahe Protokolle können für die spätere Bewertung wichtig sein. Gleichzeitig enthalten sie häufig Verdachtsmomente, Einschätzungen, Aussagen über Dritte und Angaben zu Hinweisgebern. Zugriffe sollten daher rollenbasiert geregelt und technisch beschränkt werden. Rechtsbeistand ist nicht in jedem Fall zwingend, kann aber bei strafrechtlicher Nähe, Selbstbelastungsrisiken oder besonderer Betroffenheit sinnvoll sein.

Protokolle, Rohnotizen und Zugriffskonzepte

Interviewprotokolle sollten versioniert, gegen unbefugte Änderung geschützt und klar einem Verfahren zugeordnet werden. Rohnotizen, Live-Sheets oder Zwischendokumente sind nur so lange aufzubewahren, wie sie für die Erstellung, Prüfung und Freigabe des Protokolls erforderlich sind. Danach ist zu prüfen, ob sie gelöscht oder gesperrt werden müssen.

Ein Zugriffskonzept sollte festlegen, wer Protokolle lesen, bearbeiten, exportieren oder in Berichte übernehmen darf. Dabei ist zwischen Working Set, Review Set und Evidence Set zu unterscheiden. Nicht jede Aussage gehört in den Abschlussbericht. Nicht jede Person im Unternehmen benötigt vollständigen Zugriff auf alle Interviewinhalte. Gerade bei sensiblen Hinweisen schützt ein enges Berechtigungskonzept sowohl die Betroffenen als auch die Belastbarkeit der Untersuchung.

E-Mail-Auswertung, E-Discovery und digitale Forensik

E-Mail-Auswertung, E-Discovery, Chat-Review, Logfile-Auswertung und digitale Forensik gehören zu den datenschutzrechtlich riskantesten Maßnahmen einer internen Untersuchung. Sie dürfen nicht pauschal und grenzenlos durchgeführt werden. Vor dem Zugriff müssen Verdacht, Rechtsgrundlage, Untersuchungsziel, betroffene Datenkategorien, Zeitraum, Suchparameter und Zugriffskreis dokumentiert werden.

Private Inhalte sind besonders zu berücksichtigen und soweit möglich auszuschließen. Ob und in welchem Umfang private Nutzung betrieblicher Systeme erlaubt oder geduldet war, spielt für die Bewertung eine wichtige Rolle. Suchbegriffe und Filter sollten eng gefasst werden. Trefferlisten können in einem gestuften Review zunächst pseudonymisiert oder durch einen besonders beschränkten Kreis gesichtet werden, bevor Inhalte breiter ausgewertet werden.

Forensische Sicherungen sollten technisch sauber und rechtlich nachvollziehbar erfolgen. Exportvorgänge, Kopien, Hashwerte, Zugriffe, Löschungen und Weitergaben sind zu protokollieren. So lassen sich Beweisverwertungsrisiken reduzieren und Ergebnisse später gegenüber Gerichten, Datenschutzaufsicht, Abschlussprüfern oder Behörden erläutern.

Legal Hold und Chain of Custody

Ein Legal Hold dient dazu, relevante Daten vor Veränderung, Überschreibung oder Löschung zu sichern. Er ist sinnvoll, wenn zu erwarten ist, dass bestimmte Daten später als Beweismittel, Entscheidungsgrundlage oder Prüfungsunterlage benötigt werden. Auch ein Legal Hold muss aber verhältnismäßig sein. Er darf nicht zu einer unbegrenzten Vorratsspeicherung ohne Bezug zum Untersuchungsauftrag führen.

Die Chain of Custody dokumentiert, wer wann welche Daten erhoben, gesichtet, kopiert, exportiert, verändert, gesperrt oder gelöscht hat. Sie verbindet technische Forensik mit rechtlicher Verteidigbarkeit. Für eine Defensible Investigation ist sie zentral, weil sie später erklärt, warum die gewonnenen Erkenntnisse authentisch, vollständig und nicht manipuliert sind.

KI-gestützte Forensik und EU-KI-Verordnung

KI-gestützte Forensik kann bei großen Datenmengen hilfreich sein. Systeme können Dokumente priorisieren, Muster erkennen, Dubletten identifizieren, Kommunikationscluster bilden oder Review-Prozesse beschleunigen. Datenschutzrechtlich und arbeitsrechtlich sind dabei klare Leitplanken erforderlich.

Zunächst ist zu prüfen, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist. Das liegt nahe, wenn umfangreiche Datenbestände automatisiert analysiert werden, besondere Datenkategorien betroffen sind, Verhaltensmuster ausgewertet werden oder die Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen begründet. Zusätzlich kann die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG betroffen sein, wenn technische Einrichtungen zur Leistungs- oder Verhaltenskontrolle eingesetzt werden.

Auch die EU-KI-Verordnung ist mitzudenken. Bei arbeitsbezogenen Auswertungen können Hochrisiko-Konstellationen in Betracht kommen, insbesondere wenn KI-Systeme dazu dienen, Verhalten oder Leistung von Beschäftigten zu überwachen oder zu bewerten. Je nach Ausgestaltung sind Risikomanagement, Dokumentation, Qualitätskontrolle, menschliche Aufsicht, Protokollierung und Audit-Trails erforderlich. Unternehmen sollten keine Schatten-Uploads, keine nicht freigegebenen KI-Tools und keine unkontrollierten Drittlandübermittlungen zulassen. Erforderlich ist ein geschützter Workspace mit klarer KI-Governance.

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Art. 32 DSGVO verlangt technische und organisatorische Maßnahmen, die dem Risiko der Verarbeitung angemessen sind. Bei Internal Investigations sind die Risiken regelmäßig erhöht, weil Verdachtsdaten, Beschäftigtendaten, Hinweisgeberinformationen, Kommunikationsinhalte und teilweise besondere Kategorien personenbezogener Daten verarbeitet werden.

Zu den zentralen Maßnahmen gehören ein Rollen- und Berechtigungskonzept, strenges Need-to-know, Vier-Augen-Prinzip, Verschlüsselung bei Speicherung und Übertragung, gesicherte Forensik-Container, Pseudonymisierung, Masking in der Sichtungsphase, Zugriffprotokollierung, Exportkontrolle, Löschprotokolle und Monitoring. Hinzu kommen NDAs, Investigator-Guidelines, Schulungen und Geheimhaltungsstufen.

Bei Art. 9-Daten oder besonders sensiblen Sachverhalten kann eine erhöhte Schutzstufe erforderlich sein. Das kann etwa separate Speicherschichten, restriktivere Freigaben, getrennte Review-Teams oder eine besondere Freigabe für Exporte umfassen. TOMs sollten nicht nur abstrakt beschrieben, sondern für die konkrete Untersuchung umgesetzt und dokumentiert werden.

Drittlandtransfers bei internationalen Untersuchungen

Internationale Untersuchungen betreffen häufig Konzerngesellschaften, externe Forensikdienstleister, Cloud-Systeme oder Rechtsberater in mehreren Ländern. Sobald personenbezogene Daten in Drittländer übermittelt oder aus Drittländern zugänglich gemacht werden, sind Art. 44 ff. DSGVO zu beachten. Das gilt auch für Supportzugriffe, Remote-Reviews oder Datenräume mit internationalen Zugriffsmöglichkeiten.

Bei Staaten ohne Angemessenheitsbeschluss kommen regelmäßig Standardvertragsklauseln, ein Transfer Impact Assessment und zusätzliche technische Maßnahmen in Betracht. Besonders relevant sind Ende-zu-Ende-Verschlüsselung, Schlüsselverwaltung in der EU, Zugriffsbeschränkungen, Protokollierung, Sub-Prozessoren-Prüfung, Speicherorte und Supportstrukturen.

Die Entscheidung über internationale Datenflüsse sollte im Untersuchungsrecord dokumentiert werden. Dazu gehören Zweck, Datenkategorien, Empfänger, Rechtsgrundlagen, Schutzmaßnahmen, technische Architektur und Verantwortlichkeiten. Eine solche Dokumentation ist nicht nur für Datenschutzaufsichtsbehörden relevant, sondern auch für Audit, Gericht, Aufsichtsrat und interne Compliance-Gremien.

Betriebsrat, Datenschutz und interne Ermittlungen

In Unternehmen mit Betriebsrat sind Datenschutz und Mitbestimmung eng miteinander verbunden. Der Betriebsrat kann insbesondere bei technischen Auswertungen, standardisierten Fragebögen, strukturierten Interviewleitfäden oder Maßnahmen zur Leistungs- und Verhaltenskontrolle beteiligt sein. § 87 Abs. 1 Nr. 6 BetrVG ist zu prüfen, wenn technische Einrichtungen objektiv geeignet sind, Verhalten oder Leistung von Beschäftigten zu überwachen.

§ 94 BetrVG kann bei Personalfragebögen oder standardisierten Erhebungen relevant werden. Eine Rahmen-Betriebsvereinbarung zu Betriebsrat und Compliance kann helfen, Zwecke, Rollen, Datenkategorien, Auswertungswege, Zugriffsrechte, Transparenz, Löschung und Fast-Track-Regelungen für akute Verdachtsfälle vorab zu klären.

Nicht jede interne Untersuchung löst automatisch ein umfassendes Teilnahmerecht des Betriebsrats aus. Einzelne Maßnahmen können aber mitbestimmungspflichtig sein. Übersehene Mitbestimmung kann Untersuchungen verzögern, Unterlassungsansprüche auslösen und die Akzeptanz der Untersuchung schwächen.

Dokumentation, Löschung und Defensible Investigation

Eine Defensible Investigation ist eine Untersuchung, die nicht nur inhaltlich, sondern auch prozessual verteidigbar ist. Sie kann später erklären, warum welche Daten erhoben, gesichtet, gespeichert, weitergegeben, gesperrt oder gelöscht wurden. Das ist für Datenschutzaufsicht, Arbeitsgericht, Straf- und Bußgeldverfahren, interne Gremien und Abschlussprüfer von Bedeutung.

Ein vollständiger Investigations-Record enthält den Untersuchungsauftrag, die Rechtsgrundlagen-Matrix, Interessenabwägungen, DSFA-Prüfung, Betriebsratsbeteiligung, TOMs, Suchstrategie, Keyword-Sets, Zugriffskonzepte, Interviewprotokolle, Reporting, Lösch- und Sperrkonzept sowie die Definition von Working Set, Review Set und Evidence Set.

Das Löschkonzept sollte pro Datenkategorie festlegen, wann Daten gelöscht, gesperrt oder als Beweisstück rechtssicher archiviert werden. Nicht mehr erforderliche Rohdaten sind zu löschen. Beweisstücke können länger aufzubewahren sein, wenn arbeitsrechtliche, zivilrechtliche, strafrechtliche oder aufsichtsrechtliche Verfahren zu erwarten sind. Entscheidend ist eine begründete und dokumentierte Differenzierung.

Risiken fehlerhafter datenschutzrechtlicher Gestaltung

Datenschutzfehler in internen Untersuchungen können weitreichende Folgen haben. In Betracht kommen Bußgeldrisiken, Schadensersatzansprüche, Unterlassungsansprüche, arbeitsgerichtliche Beweisprobleme, Konflikte mit dem Betriebsrat, Verletzungen der HinSchG-Vertraulichkeit und Reputationsschäden.

Hinzu kommt die strafrechtliche und bußgeldrechtliche Verteidigungsperspektive. Unklare Datenzugriffe, unstrukturierte Berichte oder ungeschützte Kommunikationswege können Beschlagnahmerisiken erhöhen und die Unternehmensverteidigung schwächen. Bei Verdacht auf wirtschaftsstrafrechtliche Sachverhalte, Steuerstraftaten oder Organisationsverschulden sollte die Untersuchung deshalb nicht isoliert datenschutzrechtlich, sondern zugleich verteidigungsstrategisch geplant werden.

Fehler entstehen häufig durch zu breite Datensammlungen, unklare Rechtsgrundlagen, fehlende Dokumentation, unzureichende Trennung von Rollen, nicht geregelte KI-Nutzung, ignorierte Auskunftsansprüche, fehlende Löschpunkte oder unbedachte Weitergabe von Hinweisgeberinformationen. Eine datenschutzfeste Investigation reduziert diese Risiken und stärkt die Belastbarkeit der Ergebnisse.

Der datenschutzrechtlich professionelle Ablauf in fünf Phasen

Für Internal Investigations mit Datenschutzbezug empfiehlt sich ein strukturierter Ablauf, der Aufklärung, Beweissicherung, Vertraulichkeit, Arbeitnehmerrechte und Datenschutz verbindet.

• 1. Scoping und Rechtsgrundlagen-Matrix: Verdacht, Untersuchungsauftrag, Datenkategorien, betroffene Personengruppen, Rechtsgrundlagen, Interessenabwägungen, HinSchG-Bezug und mögliche DSFA-Pflicht werden definiert.
• 2. Daten- und Zugriffskonzept: Suchräume, Systeme, Berechtigungen, Need-to-know, Rollen, technische Schutzmaßnahmen, Betriebsratsbezug und internationale Zugriffe werden festgelegt.
• 3. Beweissicherung, Legal Hold und Forensik: Relevante Daten werden rechtlich und technisch kontrolliert gesichert. Chain of Custody, Protokollierung und Exportkontrolle sichern die spätere Nachvollziehbarkeit.
• 4. Interviews, Review und Auswertung: Mitarbeiterinterviews, E-Mail-Reviews, Logfile-Analysen und Dokumentenauswertungen erfolgen zweckgebunden, verhältnismäßig und dokumentiert.
• 5. Bericht, Löschung, Remediation und Lessons Learned: Der Abschlussbericht trennt Fakten, Bewertung und Maßnahmen. Nicht erforderliche Daten werden gelöscht oder gesperrt; Beweisstücke werden rechtssicher archiviert.

Leistungen von Buchert Jacob Peter bei Internal Investigations und Datenschutzrecht

Buchert Jacob Peter unterstützt Unternehmen in Frankfurt am Main und bundesweit bei Internal Investigations mit datenschutzrechtlicher Schnittstelle. Der Schwerpunkt liegt nicht auf isolierter Datenschutzberatung, sondern auf der rechtssicheren Verbindung von Aufklärung, Beweissicherung, Compliance, Arbeitsrecht, Datenschutz und strafrechtlicher Risikoperspektive.

Unsere Leistungen umfassen Privacy-by-Design für Untersuchungen, Rechtsgrundlagen-Matrix, Musterinformationen nach Art. 13 und Art. 14 DSGVO, Auskunftsleitfäden für Art. 15 DSGVO, DSFA-Prüfung, TOM-Konzept, E-Discovery mit DSGVO-Leitplanken, Drittlandtransfer-Prüfung, KI-Governance bei forensischen Auswertungen, Betriebsrats- und Meldestellen-Schnittstellen, HinSchG-Vertraulichkeit, Abschlussberichte mit Datenschutz-Anhang sowie Remediation und Lessons Learned.

Besonders wichtig ist dabei der Blick auf mögliche Folgekonflikte: arbeitsrechtliche Maßnahmen, Datenschutzbeschwerden, Auskunftsanfragen, Betriebsratsverfahren, Strafanzeigen, behördliche Verfahren, interne Gremienentscheidungen und Reputationsschutz. Eine gut strukturierte Investigation schafft nicht nur Erkenntnisse. Sie schafft eine tragfähige Grundlage für verantwortliche Unternehmensentscheidungen.

Internal Investigation datenschutzfest aufsetzen

Eine interne Untersuchung sollte Fakten klären, ohne durch unklare Datenzugriffe, fehlende Rechtsgrundlagen oder unzureichende Dokumentation neue Risiken zu schaffen. Wir unterstützen bei DSGVO/BDSG-Prüfung, E-Discovery, Interviews, HinSchG-Vertraulichkeit, Betriebsratsfragen und belastbarer Dokumentation.

Mehr zu Internal Investigations

FAQ: Internal Investigations und Datenschutzrecht

Welche DSGVO-Rechtsgrundlage trägt eine Internal Investigation?

Eine einheitliche Rechtsgrundlage für jede Internal Investigation gibt es nicht. Häufig kommt Art. 6 Abs. 1 lit. f DSGVO in Betracht, wenn ein berechtigtes Interesse an der Aufklärung erheblicher Regel- oder Gesetzesverstöße besteht. Art. 6 Abs. 1 lit. c DSGVO kann einschlägig sein, wenn rechtliche Verpflichtungen oder behördliche Anforderungen betroffen sind. Bei Beschäftigtendaten ist § 26 BDSG zusätzlich maßnahmenscharf zu prüfen. Entscheidend sind Erforderlichkeit, Verhältnismäßigkeit und dokumentierte Interessenabwägung.

Welche Rolle spielt § 26 BDSG bei internen Untersuchungen?

§ 26 BDSG ist bei der Verarbeitung von Beschäftigtendaten besonders relevant. Er kann Datenverarbeitungen im Beschäftigungsverhältnis und unter bestimmten Voraussetzungen auch zur Aufdeckung von Straftaten oder schwerwiegenden Pflichtverletzungen erfassen. Die Norm darf aber nicht pauschal als Freibrief verstanden werden. Die Verarbeitung muss erforderlich sein, der Verdacht muss tragfähig sein und der Zugriff muss verhältnismäßig bleiben. Zusätzlich sind die Grundsätze der DSGVO zu beachten.

Müssen Betroffene sofort nach Art. 13 oder Art. 14 DSGVO informiert werden?

Grundsätzlich bestehen Informationspflichten nach Art. 13 und Art. 14 DSGVO. In laufenden internen Untersuchungen kann jedoch eine Spannung zwischen Transparenz, Beweissicherung und Vertraulichkeit entstehen. Unter bestimmten Voraussetzungen kann eine Information zurückgestellt oder beschränkt werden, wenn sonst schützenswerte Interessen gefährdet würden. Das muss im Einzelfall geprüft und dokumentiert werden. Nach Wegfall des Hindernisses ist eine Nachinformation zu prüfen.

Dürfen Hinweisgeber im Rahmen einer internen Untersuchung identifiziert werden?

Die Identität von Hinweisgebern ist nach dem Hinweisgeberschutzgesetz besonders geschützt. Ohne tragfähige Grundlage oder wirksame Einwilligung darf sie grundsätzlich nicht offengelegt werden. Unternehmen müssen auch mittelbare Rückschlüsse vermeiden, etwa durch Kontextangaben, zu enge Interviewfragen oder unbedachte Dokumentenweitergaben. Meldestelle und Untersuchungsteam sollten getrennte Rollen haben. Maßgeblich ist ein striktes Need-to-know-Prinzip.

Sind E-Mail-Screenings bei Internal Investigations zulässig?

E-Mail-Screenings können bei konkretem Verdacht zulässig sein, wenn Rechtsgrundlage, Zweck, Datenkategorien, Zeitraum, Suchbegriffe und Zugriffskreis vorher definiert und dokumentiert werden. Pauschale oder anlasslose Vollauswertungen sind besonders riskant. Private Inhalte müssen berücksichtigt und soweit möglich ausgeschlossen werden. Ein gestufter Review, Pseudonymisierung und begrenzte Zugriffsrechte können die Verhältnismäßigkeit stärken. Jede Auswertung sollte forensisch und datenschutzrechtlich nachvollziehbar dokumentiert werden.

Wann braucht ein Unternehmen eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist zu prüfen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen mit sich bringt. Das kann bei umfangreichen Datenanalysen, KI-gestützter Forensik, besonderen Kategorien personenbezogener Daten oder systematischer Auswertung von Beschäftigtendaten naheliegen. Die DSFA sollte vor Beginn der Verarbeitung erfolgen. Sie beschreibt Risiken, Zwecke, Schutzmaßnahmen und verbleibende Restrisiken. Der Datenschutzbeauftragte sollte einbezogen werden, sofern ein solcher benannt ist.

Welche TOMs sind bei internen Ermittlungen erforderlich?

Erforderlich sind technische und organisatorische Maßnahmen, die dem Risiko der Untersuchung angemessen sind. Typisch sind Zugriffsbeschränkungen, Need-to-know, Vier-Augen-Prinzip, Verschlüsselung, Pseudonymisierung, Masking, Protokollierung, Exportkontrolle und Löschkonzepte. Bei sensiblen Daten können erhöhte Schutzstufen nötig sein. Auch organisatorische Maßnahmen wie NDAs, Investigator-Guidelines und Schulungen sind wichtig. Entscheidend ist, dass die Maßnahmen nicht nur beschrieben, sondern tatsächlich umgesetzt und dokumentiert werden.

Was gilt bei internationalen Datenübermittlungen?

Bei internationalen Untersuchungen sind Art. 44 ff. DSGVO zu beachten, sobald personenbezogene Daten in Drittländer übermittelt oder dort zugänglich gemacht werden. Bei Ländern ohne Angemessenheitsbeschluss können Standardvertragsklauseln, Transfer Impact Assessment und zusätzliche technische Maßnahmen erforderlich sein. Speicherorte, Sub-Prozessoren und Supportzugriffe sind zu prüfen. Verschlüsselung und Schlüsselverwaltung in der EU können wichtige Schutzmaßnahmen sein. Die Entscheidung über Datenflüsse sollte dokumentiert werden.

Kann der Betriebsrat bei datenschutzrelevanten Internal Investigations mitbestimmen?

Ja, einzelne Maßnahmen können mitbestimmungspflichtig sein. Besonders relevant ist § 87 Abs. 1 Nr. 6 BetrVG, wenn technische Einrichtungen eingesetzt werden, die objektiv zur Leistungs- oder Verhaltenskontrolle geeignet sind. Auch standardisierte Fragebögen oder stark formalisierte Erhebungen können Beteiligungsrechte auslösen. Nicht jede Untersuchung begründet automatisch ein umfassendes Teilnahmerecht. Eine Rahmen-Betriebsvereinbarung kann dennoch sinnvoll sein, um Verfahren, Datenzugriffe und Fast-Track-Regeln vorab zu klären.

Dürfen Betroffene Auskunft nach Art. 15 DSGVO verlangen?

Ja, betroffene Personen können grundsätzlich Auskunft nach Art. 15 DSGVO verlangen. Bei laufenden Untersuchungen muss aber geprüft werden, ob und in welchem Umfang Auskunft erteilt werden kann, ohne Rechte Dritter, Hinweisgebervertraulichkeit oder Beweissicherung zu gefährden. § 29 BDSG kann in bestimmten Fällen eine Beschränkung rechtfertigen. Eine pauschale Ablehnung ist riskant. Sinnvoll ist ein zentral gesteuerter und juristisch geprüfter Auskunftsprozess.

Wie lange dürfen Ermittlungsdaten gespeichert werden?

Ermittlungsdaten dürfen nur so lange gespeichert werden, wie dies für den Untersuchungszweck, arbeitsrechtliche Maßnahmen, zivilrechtliche Ansprüche, Verteidigung, gesetzliche Pflichten oder behördliche Verfahren erforderlich ist. Ein Löschkonzept sollte pro Datenkategorie konkrete Lösch- oder Sperrzeitpunkte festlegen. Nicht mehr benötigte Rohdaten sind zu löschen. Beweisstücke können gesondert rechtssicher archiviert werden. Die Entscheidung sollte dokumentiert und regelmäßig überprüft werden.

Ist KI in internen Untersuchungen erlaubt?

KI kann in internen Untersuchungen eingesetzt werden, wenn Rechtsgrundlage, Zweck, Datenflüsse, Tool-Freigabe, Sicherheitsniveau und menschliche Kontrolle geklärt sind. Bei hohem Risiko ist eine DSFA zu prüfen. Je nach Ausgestaltung können Pflichten aus der EU-KI-Verordnung und Mitbestimmungsrechte des Betriebsrats relevant werden. Besonders kritisch sind Schatten-Uploads, unkontrollierte Drittlandübermittlungen und Systeme ohne ausreichende Protokollierung. Unternehmen sollten KI-gestützte Forensik nur in einem geschützten, dokumentierten und freigegebenen Rahmen nutzen.

Kontaktieren Sie uns – Ihre Anwälte für Internal Investigations, Datenschutz und Compliance in Frankfurt am Main und bundesweit

Unsere Kanzlei Buchert Jacob Peter unterstützt Unternehmen, Geschäftsführungen, Vorstände und Compliance-Verantwortliche bei internen Ermittlungen mit datenschutzrechtlichem Bezug. Wir verbinden strafrechtliche Unternehmensberatung, Wirtschaftsstrafrecht, Datenschutzsensibilität, Erfahrung mit Hinweisgebersystemen und forensische Sachverhaltsaufklärung zu einem strukturierten und rechtssicheren Untersuchungsprozess.

• Rechtsanwalt Dr. Rainer Buchert, Polizeipräsident a. D.
• Rechtsanwalt Frank M. Peter, Fachanwalt für Strafrecht
• Rechtsanwältin Dr. Caroline Jacob, Fachanwältin für Strafrecht
• Prof. Dr. Christoph Buchert, Of Counsel
• Weitere Rechtsanwälte der Kanzlei Buchert Jacob Peter

Dies bedeutet unter anderem folgende Zusatzqualifikationen und Erfahrungen:

• Fachanwalt / Fachanwältin für Strafrecht
• Zertifizierter Verteidiger im Wirtschaftsstrafrecht (DSV)
• Zertifizierte Bilanzierungsexperten (Steuer-Fachschule Dr. Endriss)
• EU-Datenschutzbeauftragte
• Polizeipräsident a. D.
• Ko-Autorinnen und Ko-Autoren des Standardwerks Internal Investigations: Ermittlungen im Unternehmen (C.F. Müller Wirtschaftsrecht)

Telefon: 069 710 33 330
E-Mail: kanzlei@dr-buchert.de

Mehr dazu: Internal Investigations, interne Ermittlungen, Compliance-Beratung, strafrechtliche Unternehmensberatung, Hinweisgebersysteme, Wirtschaftsstrafrecht, Steuerstrafrecht