This website requires Javascript for some parts to function propertly. Your experience may vary.

Bereit, bevor es brennt: E-Discovery-Readiness ist Chefsache | Hengeler Mueller News

Argus Eyes – Blog für Interne Untersuchungen, Krisenmanagement und Compliance

17. Februar 2026
Kontakte: Vera Jungkind, Constantin Lauterwein, Fabian Alexander Quast, Sven H. Schneider, Wolfgang Spoerr, Dirk Uwer und Daniel M. Weiß

Bereit, bevor es brennt: E-Discovery-Readiness ist Chefsache

„The readiness is all.“¹ Was für Hamlet galt, gilt heute erst recht für Management und Rechtsabteilungen. In einer digitalisierten Welt werden Rechtsstreitigkeiten und Behördenverfahren nicht mehr nur im Gerichtssaal entschieden, sondern auch auf Servern, in Cloud-Umgebungen und auf den Smartphones der Mitarbeitenden.

Spätestens wenn eine Behördenanfrage, eine Hausdurchsuchung (Dawn Raid) oder eine US-Discovery-Order eingeht, wird aus einem vermeintlichen IT-Thema ein akutes Board-Thema. Dann zählt, ob die organisatorischen und technischen Vorkehrungen stehen, um Löschungen zuverlässig zu verhindern, Daten gerichtsfest zu sichern und die Grundlage für eine rechtssichere Aufklärung zu schaffen. Diese Fähigkeit ist der Kern von E-Discovery-Readiness.

E-Discovery-Readiness bedeutet zusammengefasst, dass ein Unternehmen innerhalb kurzer Zeit revisionsfest" relevante Datenquellen identifizieren, aufbewahren (data preservation), sichern (data collection) und auswerten kann (data review) – jeweils mit klarer Governance und dokumentierten Entscheidungen.

Technologie ist nötig – Governance ist entscheidend

Im Ernstfall werden die entscheidenden Weichen oft in den ersten Tagen gestellt. Wer dann erst Zuständigkeiten klärt, Tools sucht oder die Datenstrukturen ergründet, verliert Zeit – und riskiert unbeabsichtigten Datenverlust.

Aus forensischer Sicht beginnt es mit Data Mapping: Welche Datenquellen existieren – und wo liegen potenziell relevante Daten? Was simpel klingt, ist in der Praxis anspruchsvoll, weil Datenlandschaften fragmentiert sind: E-Mails, Collaboration-Tools wie Microsoft Teams oder Slack, Ticketsysteme, Cloud-Shares, persönliche Mobilgeräte, Backups und "Schatten-IT".

Eine nicht zu unterschätzende Gefahr ist dabei der unbeabsichtigte Verlust von Daten in Folge von automatischen Aufbewahrungs- und Löschroutinen, Gerätewechsel, Chat-Retention, Cloud-Policy-Änderungen oder schlichte „Aufräumaktionen“. Deshalb müssen technische Vorkehrungen (sog. legal bzw. litigation hold) im Bedarfsfall rasch ergriffen werden können, damit relevante Daten nicht gelöscht oder überschrieben werden. Gerade mit Blick auf den US-Kontext ist die technische Umsetzung solcher data preservation Maßnahmen sorgfältig zu dokumentieren, da hier empfindliche Nachteile bis hin zu Sanktionen in laufenden Verfahren mit US-Behörden (z.B. DoJ) drohen.

E-Discovery-Readiness ist keine technologische Fingerübung. Sie ist eine Managementaufgabe. Um Handlungsfähigkeit zu sichern, sollten Aufgaben- und Kompetenzverteilungen zwischen Legal, Compliance, IT, Informationssicherheit und operativen Bereichen vorab definiert, dokumentiert und geübt sein – inklusive Entscheidungsrechten und Eskalationswegen. Für sensible Untersuchungen empfiehlt sich eine unabhängige Steuerung (Steering Committee), bei entsprechender Bedeutung mit Beteiligung eines Mitglieds der Geschäftsführung und klaren Regeln zur Vermeidung von Interessenkonflikten.

Typische Sollbruchstellen – und wie Sie sie vermeiden

1)      Nutzungsrichtlinien „discovery-fest“ machen

Readiness entsteht nicht nur durch Systeme, sondern durch Regeln. Dürfen Mitarbeitende ihre mobilen Geräte dienstlich nutzen (BYOD)? Ist eine private Nutzung des Unternehmens-E-Mail-Accounts oder dienstlicher mobiler Endgeräte erlaubt? Welche Kommunikationskanäle sind zulässig?

Ohne klare IT-Richtlinien, Compliance-Guidelines und falls erforderlich Betriebsvereinbarungen geraten Untersuchungen schnell in Konflikt mit Mitbestimmung, Arbeitsrecht, DSGVO, unter Umständen dem Fernmeldegeheimnis und der Akzeptanz der Belegschaft. Das Ergebnis sind Verzögerungen, eingeschränkte Auswertbarkeit oder zusätzliche Streitfelder – genau dann, wenn Geschwindigkeit zählt.

Das unternehmensinterne Regelwerk sollte so ausgestaltet sein, dass dieses eine rechtssichere Datensicherung und Auswertung ermöglicht, ohne im Ernstfall erst Grundsatzfragen zu öffnen.

2)      Anwaltsprivileg schützen – Deutschland und USA mitdenken

Ein häufig unterschätztes Risiko ist der Verlust des Anwaltsprivilegs bzw. Legal Privilege, insbesondere in US-Kontexten (sog. US-Attorney-Client Privilege / Work Product Doctrine). Auch hier braucht es Governance: privilegierte Kommunikation trennen und kennzeichnen, Zugriffskreise beschränken, externe Rechtsberater bzw. Unternehmensjuristen frühzeitig einbinden und Kommunikations-Prozesse so gestalten, dass versehentliche Offenlegungen unterbunden werden.

Bei Mitarbeiterinterviews zur Sachverhaltsaufklärung sollten standardisiert sog. "Upjohn"-Hinweise erfolgen: Der Anwalt vertritt das Unternehmen (nicht den Mitarbeiter); das Recht auf "Privilege" steht dem Unternehmen zu. Gleichzeitig muss das Vorgehen so gestaltet sein, dass es deutschen Maßstäben (Berufsgeheimnis, Vertraulichkeit, arbeitsrechtliche Grenzen) standhält.

3)      Datenschutz, KI und Datentransfer setzen Leitplanken

Die DSGVO setzt Leitplanken bei der Datenerhebung und -verarbeitung. Wer KI-gestützte Auswertung nutzt, braucht zusätzlich (auch mit Blick auf die EU-KI-Verordnung) Governance, Dokumentation, geeignete Tool-Auswahl, Sicherheitsmaßnahmen und menschliche Kontrolle. Bei Datenübermittlungen in die USA sind weitere Schutzmechanismen vorzusehen (z. B. Standardvertragsklauseln).

4)      KI-Kompetenz aufbauen

E-Discovery ist ohne den Einsatz von KI-Tools nahezu undenkbar. In den letzten Jahren haben sich im Zuge der rasanten Entwicklungen bei der generativen KI und großen Sprachmodellen neue Möglichkeiten ergeben (Large Language Models, etwa GPT/OpenAI, Gemini/Google etc.).

Damit steigen die Anforderungen an KI-Governance und Prozesse der Risikomitigation. Unternehmen sollten sich frühzeitig Gedanken machen, ob diese Kompetenz intern aufgebaut oder externe Beratung hinzugezogen werden soll.

5)      Kommunikation: Die Deutungshoheit wahren

Parallel zur Aufarbeitung läuft die mediale Uhr. Börsennotierte Unternehmen müssen prüfen, ob Ad-hoc-Pflichten nach der Marktmissbrauchsverordnung berührt sind.

Intern wie extern gilt „One Voice“: zentrale Steuerung, Need-to-know-Prinzip, abgestimmte Talking Points, klare Freigabeprozesse und strikte Vertraulichkeit – mit dem Ziel Leaks, Haftungsrisiken und Reputationsschäden zu vermeiden.

Checkliste für Entscheider

  • Governance: Sind Rollen, Entscheidungswege und Prozesse zur Qualitätssicherung (z. B. Vier-Augen-Prinzip) für Untersuchungen vorab definiert?

  • Data Mapping: Gibt es eine aktuelle Übersicht aller Datenquellen (inkl. Mobilgeräte, Cloud, Collaboration-Tools)?

  • Legal Hold: Können systemseitig Lösch- und Retention-Routinen kurzfristig ausgesetzt und die Möglichkeit manueller Datenlöschung unterbunden werden?

  • Richtlinien: Sind Nutzungsregelungen, Kommunikationsrichtlinien und Betriebsvereinbarungen „discovery-fest“?

  • Privilege: Sind Workflows zum Schutz des U.S. Privilege etabliert?

  • KI & Datenschutz: Sind KI-Governance und DSGVO-Compliance vorbereitet?

  • Externe Partner: Gibt es Prozesse zur effizienten Mandatierung (Forensik, Rechtsberatung, Kommunikation)?

  • Dokumentation: Werden Organisation, Entscheidungen und Ablauf revisionssicher dokumentiert?

 

¹ William Shakespeare, Hamlet (Akt V, Szene II).

Zur rechtsstaatlichen Verantwortlichkeit aller Organe der Rechtspflege zur Nutzung von KI am Beispiel interner Untersuchungen
© 2026 HENGELER MUELLER