Gesetzlich korrekt aufbewahren – aber wie?

Was Storage-Admins über Aufbewahrungspflichten und Legal Holds wissen müssen

Ein Legal Hold, auch bekannt als Litigation Hold, ist ein Vorgang aus der angloamerikanischen Gerichtsbarkeit. Im Zuge dieses Vorgangs bereitet sich eine Organisation intern durchführt, um sich auf ein mögliches Ermittlungsverfahren beziehungsweise Gerichtsverfahren vorzubereiten.

Ein Legal Hold wird dann von der Rechtsabteilung des Unternehmens initiiert. Die Mitarbeiter müssen alle Daten aufbewahren, praktischerweise in unveränderbarer Form, die für den Rechtsstreit relevant sein könnten. Unternehmen, die dies versäumen, müssen mit Sanktionen rechnen. Gerade im internationalen Geschäft können hohe Geldstrafen und Anwaltskosten hinzukommen. Zudem kann das Nichteinhalten der Vorschriften im Rahmen eines Ermittlungsverfahrens auch das Gerichtsverfahren ungünstig beeinflussen.

Wenn eine solche Sperrung von Daten und Zugriffen auf diese angeordnet wird, senden die Verantwortlichen eine Benachrichtigung an Dateneigentümer, Storage-Administratoren und andere Beteiligte. Die Mitteilung sollte exakt beschreiben, welche Daten aufbewahrt werden müssen und wie mit diesen Daten umzugehen ist. Eine gerichtsfeste Sperrung kann sich auf eine Vielzahl von Daten beziehen: E-Mails, Textnachrichten, Textdateien, Tabellenkalkulationen, Datenbanken, Systemprotokolle, Bilder, persönliche und öffentliche Kalender, Sprachnachrichten und vieles andere mehr. 

Auch wenn der Großteil der Daten heute elektronisch vorliegt, können auch physische Daten wie Broschüren, Notizen oder gedruckte E-Mail-Nachrichten betroffen sein, wobei diese typischerweise beschlagnahmt werden.

Die Speicherung von Daten im Rahmen eines Rechtsstreits kann eine Herausforderung darstellen. Die Anfragen nach Daten sind nicht vorhersehbar und können sehr umfangreich sein.

Unter anderem haben Exchange-Server Funktionen zum Einfrieren von Mails: In-Place Hold und Litigation Hold. Sie sollen die Funktionen liefern, die Rechtsabteilung und Speicheradministratoren für den Fall eines Ermittlungsverfahrens benötigen.

Speicheradministratoren können dabei helfen, Datenquellen und -typen zu identifizieren, nach Daten zu suchen, Maßnahmen zur Aufbewahrung der Daten zu ergreifen oder die Daten zu sammeln und der Rechtsabteilung zur weiteren Analyse zu übergeben.

Die Speicherung von Daten im Rahmen eines Rechtsstreits kann eine Herausforderung darstellen. Die Anfragen nach Daten sind nicht vorhersehbar und können sehr umfangreich sein. Oft beziehen sie sich auf Informationen und Speichersysteme, die über die Grenzen des Rechenzentrums hinausgehen. Außerdem können während der Dauer des Rechtsstreits immer wieder neue Anfragen nach Daten eintreffen, falls die Untersuchungen weitere Erkenntnisse zutage fördern.

5 Schritte zur Speicherung vor dem Legal Hold-Prozess

IT-Administratoren können sich auf die Herausgabe von Daten im Rahmen von Ermittlungsverfahren vorbereiten. Diese Vorbereitung auf die Legal-Hold-Speicherung kann Administratoren helfen, auf Anfragen zur Aufbewahrung von Dokumenten adäquat zu reagieren. Administratoren sollten sich deshalb mit den folgenden fünf Schritte auf ein Ermittlungsverfahren vorbereiten:

1. Zusammenarbeit mit der Rechtsabteilung. Die Rechtsabteilung kann hilfreich sein, wenn Administratoren die Speicherarchitektur und die Strategie zur Verwaltung der Daten auch in Vorbereitung auf Rechtsstreitigkeiten planen möchten. Speicheradministratoren sollten sich von der Rechtsabteilung beraten lassen, welche Richtlinien zu Data Governance, Datenaufbewahrung und anderen Speicherverwaltungsstrategien sicher umgesetzt werden sollten. Die Administratoren sollten auch alle von der Rechtsabteilung angebotenen Schulungen zu Themen wie E-Discovery, Aufbewahrungspflichten, polizeilichen und gerichtlichen Beschlagnahmungen und – falls zutreffend – Legal Holds in Anspruch nehmen.
2. Vorausplanung für Ermittlungsverfahren. Administratoren sollten einen alle Abläufe für die Speicherung, Beschaffung und die Absicherung aller rechtlich relevanten Daten definieren, dokumentieren und testen. Sie sollten außerdem im Voraus wissen, wie sie jedes Datensystem in diese Abläufe einbeziehen und zwar unabhängig davon, ob es sich um einen On-Premises-Speichersysteme (Dateiserver, Backup-Systeme, Archiv-Systeme) oder Cloud-Speicherdienste (Microsoft 365, Google Drive, E-Mail-Server oder Content-Management-Dienste wie Box oder Dropbox) handelt.
3. Implementieren einer Data-Governance-Strategie. Speicheradministratoren sind häufig für die Umsetzung der Data-Governance-Strategie verantwortlich. Sie sollten mit den Data-Governance-Richtlinien und deren Umsetzung vertraut sein und sicherstellen, dass die Speicherung stets den internen Datenstandards entspricht. Speicheradministratoren können auch als Datenverantwortliche (englisch Custodian, wobei das deutsche Wort Kustos, wie man es von Museen und Schlössern kennt, zwar genau die Aufgabe beschreibt, sich aber in der IT-Branche nicht so richtig durchsetzen will) benannt werden. Die Storage-Admins unterstützen gegebenenfalls die Verantwortlichen während einer gerichtlichen Verfügung. Sie sollten daher auch mit solchen Aufgaben vor und während eines Ermittlungsverfahrens vertraut sein.
4. Umsetzung und Aktualisierung der Strategie zur Datenaufbewahrung. Administratoren müssen wissen, wie die Richtlinien zur Datenaufbewahrung für die verschiedenen Datenquellen, einschließlich Backups und Archive, gelten, und sie müssen in der Lage sein, diese Richtlinien für die Zieldaten außer Kraft zu setzen, sobald ein Legal-Hold angeordnet wird, beziehungsweise eine Untersuchung beginnt. Sie müssen sicherstellen, dass niemand Daten, die der gesetzlichen Aufbewahrungspflicht unterliegen, ändern oder zerstören kann. Administratoren sollten mit jeder Software vertraut sein, die zur Verwaltung der Datenaufbewahrung eingesetzt wird, und wissen, wie Metadaten behandelt werden müssen. Sie sollten wissen, wie sie mit bestimmten Plattformen und Diensten arbeiten müssen, die Funktionen zur Verwaltung der Datenspeicherung enthalten.
5. Berücksichtigung der gesetzlichen Aufbewahrungsfristen. Speicheradministratoren müssen sicherstellen, dass die Daten ihres Unternehmens vor allen Ereignissen geschützt sind, die diese Daten gefährden oder zu deren Verlust führen könnten. Das ist hinsichtlich der Sicherheit, der Einhaltung von Vorschriften und der Integrität der Daten während des Ermittlungsverfahrens wichtig. Wichtig ist zum Beispiel eine Infrastruktur für die Sicherung und Wiederherstellung von Daten, um Datenverluste zu verhindern. Die Speicheradministratoren müssen auf bestimmte Verhaltensweisen von Mitarbeitern achten, die zu Datenverlusten führen könnten. So ist beispielsweise das Entfernen von Sicherungslaufwerken oder die Entsorgung alter Computergeräte nicht erlaubt, denn sie könnten noch wichtige Daten enthalten. Selbst wenn das Unternehmen die Daten nicht mehr für den Geschäftsbetrieb benötigt, unterliegen sie unter Umständen den Aufbewahrungsrichtlinien.

5 Schritte, die im Falle eines Ermittlungsverfahrens zu ergreifen sind

Der Verantwortlichen für die Datenspeicher konzentriert sich üblicherweise auf elektronische Daten, obwohl die Aufbewahrungspflicht in der Regel auch für physische Daten, zum Beispiel Ausdrucke, gilt. Je nach den Umständen muss der Administrator möglicherweise einen der folgenden fünf Schritte ausführen:

1. Unmittelbares Reagieren. Erhalten Speicheradministratoren eine Mitteilung über ein laufendes Ermittlungsverfahren, sollten sie die Anweisungen in diesem Schreiben befolgen, insbesondere in Bezug auf die zu bewahrenden Daten. Während des Ermittlungsverfahrens sollten die Administratoren alle benannten Personen regelmäßig informieren und die Daten entsprechend der Anforderung einfrieren. In Absprache mit der Rechtsabteilung müssen die Administratoren den Ermittlern und den Beteiligten die Informationen geben, die sie zum Verständnis der Daten und der Speicherumgebung benötigen. Die Speicheradministratoren müssen dem Rechtsteam die Details zur Verfügung stellen, um einen vertretbaren Prüfpfad aufrechtzuerhalten, der die zur Aufbewahrung der Daten unternommenen Schritte dokumentiert.
2. Identifizieren und Suchen der angeforderten Daten. Die Speicheradministratoren und andere Mitarbeiter der IT-Abteilung sollten die angeforderten Daten identifizieren und dann ausfindig machen, die an verschiedenen Orten gespeichert sein können. Im Sperrvermerk können auch bestimmte Arten von Metadaten angegeben sein. Die Speicheradministratoren sollten in der Lage sein, alle irrelevanten Daten herauszufiltern, um das Risiko einer Überbelichtung zu minimieren.
3. Aufbewahren der angeforderten Daten. Nach dem Auffinden der Daten müssen die Speicheradministratoren Maßnahmen ergreifen, um die Daten zu bewahren. Die Datenaufbewahrung kann die Erstellung von Spiegelkopien (Mirrors) oder Snapshots oder die Sperrung von Backups und Archiven umfassen. Gesetzliche Sperrvermerke geben oft eine Zeitspanne an, so dass Administratoren diese als eines der Kriterien verwenden können. Gegebenenfalls sollten Administratoren die normal geplanten Lösch- und Vernichtungsvorgänge, die Teil der Aufbewahrungsstrategie sind, aussetzen und die Benutzer daran hindern, die Zieldaten zu ändern oder zu löschen. Möglicherweise müssen die Administratoren auch neue Daten aufbewahren, die für den Discovery-Prozess relevant sind.
4. Sammeln und Bereitstellen der angeforderten Daten. Speicheradministratoren müssen die aufbewahrten Daten möglicherweise in einem unveränderlichen Repository sammeln. Ein wichtiges Stichwort sind hier WORM (Write Once Read Many)-Medien. Bemerkenswert ist, dass dies bei einzelnen Anbietern auch in der Cloud möglich ist. Möglicherweise müssen sie die Daten an ein anderes Repository weiterleiten oder der Rechtsabteilung Zugang gewähren, damit sie die Daten prüfen kann.
5. Aufhebung der Sperrfrist für die aufbewahrten Daten. Nach Ablauf der Sperrfrist teilt die Rechtsabteilung den Beteiligten mit, dass sie die Daten freigeben können. Die Speicheradministratoren sollten dann die Sperrung aufheben und die ursprünglichen Aufbewahrungsrichtlinien wieder in Kraft setzen. Sie sollten die Daten nicht einfach löschen.

In deutschen Wirtschaftsraum wird zudem strenger zwischen Speicherung, Sicherung (Backup) und Archivierung unterschieden. Archive sind in ihrer eigentlichen Definition nicht dafür gedacht, Daten veränderbar zu speichern. Werden geschäftliche und potenziell juristisch relevante Daten auch schon dann, wenn sie vergleichsweise jung sind, in Archiven abgelegt, ist ein Großteil der aufgeführten Schritte getan.

Für die Archivierung eignen sich Bandlaufwerke mit WORM-Funktionen, CD-ROM und Datenträger, die sich durch ein physisches technologisches Merkmal nicht verändern lassen. Kombiniert mit einer sicheren Aufbewahrung erfüllen solche Datenträger die gesetzliche Aufbewahrungspflicht. Sie können zudem leicht an die (berechtigten!) Personen der Ermittlungsorgane ausgehändigt werden.

In jedem Fall ist es unerlässlich, dass alle Maßnahmen, die den Zugriff beziehungsweise die Beschränkung desselben auf die geschäftskritischen Unternehmensdaten im Zusammenhang mit einem Ermittlungsverfahren betreffen, mit der Rechtsabteilung und den externen Juristen abgestimmt sind. Speicheradministratoren sollten sich darüber hinaus genau mit ihrem Anteil an der Verantwortung vertraut machen, der im Arbeitsvertrag beziehungsweise bei externen in der entsprechenden Vereinbarung definiert ist – und im Zweifelsfalle auf juristischen Beistand beharren.