E-Raids: Die Schlüsselrolle der IT bei kartellbehördlichen Durchsuchungen

Praxishinweis

Dawn Raids sind stets auch „E-Raids“. Kartellbehörden fordern bei Durchsuchungen regelmäßig als erstes den Zugriff auf interne wie externe Server, den Zugang zu digitalen Endgeräten und zur Cloud-Infrastruktur. Die betroffenen Unternehmen sind bei Durchsuchungen der Europäischen Kommission verpflichtet, diesen Zugang ohne schuldhafte Verzögerungen einzuräumen. Verstöße können und werden mit hohen Geldbußen von bis zu einem Prozent des weltweiten Gesamtumsatzes geahndet. So kostete ein fahrlässiger Fehler bei der Sperrung von E-Mail-Konten den tschechischen Energieversorger EPH EUR 2,5 Mio. (EuG, Rs. T-272/12 – EPH).

Die aktualisierten Erläuterungen der Europäischen Kommission zum Verfahren bei Durchsuchungen sprechen insoweit eine klare Sprache. Die Botschaft richtet sich an die Unternehmensführung und an Compliance-Verantwortliche: Haben Sie in Ihrem Unternehmen organisatorisch sichergestellt, dass bei kartellbehördlichen Durchsuchungen ein uneingeschränkter Zugang zur IT-Infrastruktur besteht? Dass E-Mail-Konten kurzfristig gesperrt und Festplatten vom Netz genommen werden können? Gehört Ihrem Dawn Raid Response Team ein kartellrechtlich geschulter IT-Spezialist mit Administratorrechten an? Ist gewährleistet, dass die Kartellbehörde auf private Endgeräte (Smartphones, Tablets) zugreifen kann, soweit diese auch für berufliche Zwecke genutzt werden? Haben Sie einen eigenständigen Zugriff auf alle ausgelagerten Teile der Unternehmens-IT oder ist zumindest sichergestellt, dass Ihr externer Provider einen solchen Zugriff im Durchsuchungsfall rasch und mit den notwendigen Rechten zur Verfügung stellt? Die aktualisierten Erläuterungen der Europäischen Kommission sind ein guter Anlass, diese Fragen an die eigene Compliance-Organisation zu richten und Vorkehrungen zu treffen, falls eine oder mehrere Fragen bislang mit Nein beantwortet werden.

Aktualisierung zur Verfahrensweise bei Dawn Raids

Im September 2015 hat die Generaldirektion Wettbewerb der Europäischen Kommission aktualisierte Erläuterungen zur Verfahrensweise bei Durchsuchungen veröffentlicht (Link). Sie verdeutlichen, dass der Fokus bei kartellbehördlichen Durchsuchungen zunehmend auf der IT-Infrastruktur des durchsuchten Unternehmens liegt.

Wesentliche Punkte der Aktualisierung sind: Private Endgeräte (Smartphones, Tablets) sind Gegenstand der Durchsuchung, wenn sie auch zu beruflichen Zwecken genutzt und in den Unternehmensräumlichkeiten vorgefunden werden (Ziff. 10). Dies betrifft insbesondere Unternehmen, in denen „bring your own device“ gelebt wird. Erst recht gilt dies für unternehmenseigene Endgeräte, die dem Mitarbeiter auch zur privaten Nutzung überlassen werden. Bei einem solchen Zugriff auf private oder privat genutzte Endgeräte stellen sich komplexe Fragen, insbesondere des Persönlichkeits- und Datenschutzrechts sowie des grundrechtlich geschützten Telekommunikationsgeheimnisses der betroffenen Mitarbeiter. Diese Fragen sollten in Ruhe vorab und nicht erst in der Durchsuchungssituation beantwortet werden. Cloud Services werden in den aktualisierten Erläuterungen ausdrücklich als Bestandteil der IT-Infrastruktur genannt, der durchsucht werden kann (Ziff. 10). Schwierigkeiten können hier insbesondere dann auftreten, wenn der Cloud Service nicht auf unternehmenseigenen, sondern auf Drittservern gehostet wird, die sich ggf. sogar im außereuropäischen Ausland befinden.

Darüber hinaus enthalten die aktualisierten Erläuterungen weitere Klarstellungen zum Beweissicherungsverfahren und zum Auswahlprozess bei kartellbehördlichen Durchsuchungen. Die Europäische Kommission wird Dokumente stets in ihrer Gesamtheit („technical entirety“) sichern, selbst wenn sich ihr Augenmerk nur auf einen Dokumententeil (z. B. einen von mehreren Anhängen einer E-Mail) richtet. Erst bei der sich anschließenden Erstellung der Verfahrensakte wird das einzelne Beweisdokument isoliert (Ziff. 16). Gelingt es der Kartellbehörde nicht, alle Unterlagen und Daten während des geplanten Durchsuchungszeitraums zu sichten, verfährt die Europäische Kommission wie folgt: Sie kann die noch nicht gesichteten Daten in einem versiegelten Umschlag mitnehmen („sealed envelope procedure“) und die Sichtung in den Räumlichkeiten der Kartellbehörde fortsetzen. Dem betroffenen Unternehmen gibt sie die Gelegenheit, bei der Öffnung des Siegels und der anschließenden Sichtung anwesend zu sein. Sie kann aber auch auf eine Fortsetzung der Sichtung verzichten und den versiegelten Umschlag wieder zurückgeben. Schließlich kann sie den versiegelten Umschlag im betroffenen Unternehmen belassen und die Sichtung zu einem späteren Zeitpunkt in den Unternehmensräumlichkeiten fortsetzen.

Elektronische Dokumente werden von der Europäischen Kommission gegenwärtig regelmäßig nicht mehr ausgedruckt, sondern nur noch in elektronischer Form mitgenommen. Physische Unterlagen werden eingescannt und so ebenfalls in eine elektronische Form gebracht. Nach Abschluss der Durchsuchung (bzw. der sich anschließenden Sichtung) erstellt die Europäische Kommission eine DVD mit den potentiell beweiserheblichen Daten der Verfahrensakte (Ziff. 15). Wichtig ist, dass das betroffene Unternehmen eine Kopie der Unterlagen bzw. Daten, die von der Europäischen Kommission mitgenommen werden, nach den aktualisierten Erläuterungen nicht automatisch, sondern nur auf Nachfrage erhält (Ziff. 14). In den Erläuterungen zwar unerwähnt, aber ebenso wichtig ist, dass die Dateien der DVD jeweils mit einem digitalem Fingerabdruck (sog. Hashwert) versehen sind, der Manipulationen an den Daten sichtbar werden lässt.

Fazit

E-Raids sind ein wesentlicher Bestandteil kartellrechtlicher Dawn Raids – nicht nur in Europa, sondern weltweit. Schwierigkeiten, die bei E-Raids auftreten können, lassen sich vorhersehen und durch geeignete organisatorische Vorkehrungen vermeiden. Es lohnt sich: Das Risiko bußgeldbewehrten Fehlverhaltens bei Durchsuchungen wird so deutlich verringert. Und Ihr Dawn Raid Response Team kann sich auf seine eigentlichen Aufgaben konzentrieren.

Bei Fragen zum Thema kontaktieren Sie bitte: Dr. Axel von Walter Dr. Christian Heinichen