IT-Durchsuchung – Was Administratoren beachten müssen

Die Gewinnung digitaler Beweismittel durch Datensicherung – die sog. IT-Durchsuchung – gehört zu jedem Wirtschafts- und IT-Strafrechtsverfahren. Dienstlich genutzte E-Mail-Konten sind für die Strafverfolgungsbehörden ebenso interessant wie Dokumente, die auf einem Laufwerk des Unternehmens abgelegt sind. Aber eine IT-Durchsuchung hat viele Verlierer.

Die Geschäftsabläufe des betroffenen Unternehmens werden nachhaltig gestört. Die Beschuldigten sind vor ihren Kollegen bloßgestellt. Die Administratoren stehen unter Zugzwang. Und die Ermittler haben im Ergebnis mehr Daten, als sie in absehbarer Zeit auswerten können.

Mitwirkung – ein zweischneidiges Schwert

Neben den Beschuldigten und den Unternehmen als Ganzes stehen typischer Weise die Administratoren im Zentrum einer IT-Durchsuchung. Sie sind als Zeugen zur wahrheitsgemäßen Aussage verpflichtet. Dazu gehört auch die Mitteilung von Passwörtern und Schlüsseln. Darüber hinausgehende Mitwirkungspflichten sind jedoch äußerst umstritten.

Ihre Mitwirkung kann einerseits im Interesse des Unternehmens sein. Unterstützt der Administrator die Ermittler beim Suchlauf auf dem Server und bei der Durchsicht einzelner Verzeichnisse, um Speicherorte für beweiserhebliche Daten zu finden, ist die Durchsuchung in den Geschäftsräumen schneller beendet. Genauso wichtig kann es für das Unternehmen sein, durch ihre technische Unterstützung die sichergestellten Datenträger so schnell wie möglich und unversehrt zurückzubekommen.

Anderseits können Administratoren durch ihre Mithilfe auch über das Ziel hinausschießen. Ermittler haben keinen unmittelbaren Zugang zu Cloud Services, die auf Drittservern gehostet werden und sich im außereuropäischen Ausland befinden. Eine Mitwirkung würde die IT-Durchsuchung nicht nur beschleunigen, sondern den Ermittlern auch Zugang zu mehr Beweismitteln verschaffen als nötig.

Administratoren können durch ihre Mitwirkung sogar selbst in die Rolle eines Beschuldigten geraten. Sofern die IT-Durchsuchung nicht die gewünschten Beweismittel hervorbringt, interpretieren Strafverfolgungsbehörden dies vereinzelt als Anhaltspunkte für eine versuchte Strafvereitelung.

Vorbereitung ist alles

Je besser Administratoren und die Unternehmen, für die sie tätig sind, auf eine IT-Durchsuchung vorbereitet sind, desto weniger Risiken bestehen für die Administratoren. Selbstverständlich ist jeder Fall anders. Aber einige Grundregeln haben sich bewährt:

  • Zuständige Mitarbeiter des Unternehmens und externe Berater im Voraus benennen.
  • Zuständigen Personen von Anfang an einbinden, ggf. die IT-Durchsuchung kurz aufschieben, bis diese Personen vor Ort sind.
  • Haben Administratoren einen Überblick, in welcher Form, wo und wie lange Daten im Unternehmen gespeichert werden?
  • Durchsuchungsbeschluss prüfen: Ist die Suche nach bestimmten Datenträgern und Daten angeordnet? Hat der Ermittlungsrichter relevante Suchbegriffe für einen Suchlauf auf dem Unternehmensserver festgelegt?
  • Sofern vor Ort noch kein Suchlauf auf dem Unternehmensserver stattgefunden hat, relevante Suchbegriffe für die spätere Durchsicht der Daten abstimmen.
  • Den Datenzugriff der Ermittler selbst dokumentieren, um ggf. Rechtsbehelfe begründen zu können.
  • Beschuldigte wie Zeugen haben das Recht, sich mithilfe eines Anwalts auf eine Vernehmung vorzubereiten. Während der IT-Durchsuchung sollte in der Regel kein Raum für eine Vernehmung zum Tatvorwurf sein.
  • Bestehen Sie darauf, dass Endgeräte nur versiegelt mitgenommen werden. Die Versiegelung darf erst beseitigt werden und die Auswertung beginnen, wenn eine gerichtliche Entscheidung dazu vorliegt.
  • Sofern die Übergabe weiterer Daten vereinbart wird, auf eine möglichst konkrete Fassung hinsichtlich des  Umfangs der Daten und der Frist zur Übergabe achten.