Forensische Datenanalyse erfordert wegen immer größerer Datenmengen systematisches Vorgehen. In der Zukunft könnten rein technische Softwareanalysen die Belastung der Untersuchung durch Voreingenommenheit vermeiden. Aber auch schon jetzt sollte das Untersuchungsteam die Möglichkeit offenhalten, dass sich eine mögliche Verdachtshypothese nicht bestätigt.
Wenn es darum geht, mögliche Verfehlungen von Mitarbeitern (einschließlich Management) zu untersuchen, werden vor Allem die Daten (E-Mail, Kalendereinträge, Dateien) des Mitarbeiters untersucht. Aufgrund des stetig wachsenden Datenvolumens ist dies vor Allem eine technische und organisatorische Herausforderung.
Datenschutzrechtlich sind interne Untersuchungen eigentlich gar keine Herausforderung (soweit deutsches Recht Anwendung findet). Es ist nämlich nicht Sinn der Datenschutzgrundverordnung oder des Bundesdatenschutzgesetzes, Zugriff auf vom Mitarbeiter produzierte Daten zu verhindern, erst recht nicht, wenn der Verdacht rechtswidriger oder sogar krimineller Handlungen besteht. So insbesondere das Bundesarbeitsgericht mit Urteil vom 23. August 2018 (2 AZR 133/18), dass die Aussage prägte „Datenschutz ist kein Tatenschutz“. Auch, wenn Daten unter Verstoß gegen Bestimmungen des Datenschutzes generiert, gespeichert und verarbeitet werden, hindert dies nicht daran, etwaige Erkenntnisse aus der Auswertung der Daten zur Durchsetzung von Ansprüchen zu nutzen.
Die wachsende Datenmenge ist hingegen schon eine Herausforderung. Hierbei gilt es, systematisch vorzugehen. Zunächst müssen die Daten forensisch gesichert werden, damit sich das Unternehmen später nicht dem Vorwurf der Manipulation aussetzt. Eine vollständige, unbearbeitete Kopie aller Daten muss als Beweismaterial erstellt und vollkommen unberührt gelassen werden. Anhand einer weiteren, angefertigten Kopie werden die Daten zunächst systematisch erfasst und jede Datei mit einem unveränderbaren Zahlencode versehen (Hash-Code). Die Datei lässt sich dann inhaltlich nicht mehr ändern, ohne, dass sich der Zahlencode verändert. Dies ist vergleichbar mit dem Prinzip einer Blockchain, bei der auch jede Änderung – wenn sie denn überhaupt möglich ist – nachvollzogen werden kann. Danach werden die reinen Systemdateien, also solche, die nicht Nutzer-, sondern Maschinen – generiert sind, herausgefiltert. Wichtig ist natürlich, dass die Metadaten, die zu den Nutzerdateien gehören, im zu untersuchenden Datenvolumen verbleiben. Diese enthalten Informationen wie Autor, letztes Änderungsdatum, Speicherdatum, Dateiformat etc.
Die Nutzergenerierten Daten können nun durchsucht werden. Da sie mit Hash-Codes versehen sind, ist nachvollziehbar, ob es sich weiterhin um die ursprünglichen Dateien handelt oder ob sie zwischenzeitlich bearbeitet wurde. Trotz der vorherigen Aussortierung von Systemdateien wird die Datenmenge, auch, wenn es sich nur um die Daten eines Mitarbeiters handelt mehrere hundert Megabyte betragen.
Diese Daten können nun, wenn die Datenmenge noch übersichtlich ist und insbesondere der zu untersuchende Verdacht in eine bestimmte Richtung weist, händisch durchsucht werden. Jedes gängige Archivierungsprogramm erlaubt dazu Stichwortsuche. Bei größeren Datenvolumina kommen Analyseprogramme zur Anwendung. Solche werden insbesondere beim in Common Law – Systemen üblichen Document Reviews eingesetzt. Die Programme ermöglichen in der Regel das Zuordnen von Hash-Codes, das Herausfiltern von Systemdateien sowie die systematische Analyse der Daten anhand von Stichwortlisten oder sogar mit Vorgabe von vermuteten Sachverhaltsbausteinen. Bei Letzterem kann die Software dann sinnverwandte Dateien herausfiltern. Die Ergebnisse werden mehrmals von Anwalts-Teams geprüft und deren Prüfresultate wieder in die Suche eingespielt, damit die Software dazulernt und die Suche verfeinern kann. Dieses Verfahren nennt man TAR Technology Assisted Review. Natürlich wird die Analyse dadurch wesentlich effizienter.
Stellt sich bei einer solchen Analyse heraus, dass am anfänglich angenommenen Verdacht nichts dran ist, wurden also keine Beweise gefunden, ist davon auszugehen, dass der Verdacht unbegründet ist. Diese Möglichkeit sollte sich jedes Team, das eine solche Untersuchung durchführt, offenhalten. Es sollte insbesondere auch nach entlastenden Beweisen, beispielsweise nach Motiven für das verdächtige Verhalten, die dieses rechtfertigen könnten, Ausschau halten.
Tut dies das Team nicht, tritt der so genannte „Inertiaeffekt“ ein, ein sehr menschliches Phänomen, das aber das Analyseergebnis schwächt. Der Inertiaeffekt bedeutet, dass der Mensch immer nach positiven Bestätigungen seiner vorher getroffenen Entscheidungen sucht, bewußt und unbewußt. Er verschließt sich somit alternativen Handlungssträngen, weil diese im Widerspruch zu einer von ihm vorher getroffenen Entscheidung stehen könnten. Der Analyst verliert damit seine Voreingenommenheit. Es besteht die Gefahr, dass er oder das Team sich verrennt, also in die falsche Richtung ermittelt. Insbesondere bei unternehmensinternen Untersuchungen muss dies kritisch ins Auge gefasst werden. Falsche Beschuldigungen können nicht wieder gut zu machende Schäden verursachen.
Das Analyseteam sollte also auch gelegentlich die Perspektive wechseln und versuchen, die analysierten Daten kritisch zu würdigen. Wenn es beispielsweise zahlreiche Kommunikationsdaten (WhatsApp, Messenger, E-Mail) festgestellt hat aber keine zwischen angeblichen Mitgliedern einer Bande. Oder zwischen diesen angeblichen Mittätern keinerlei Tat-bezogene Kommunikation feststellen konnte, sollte dies eigentlich den Glauben an eine anfänglich gesetzte Ermittlungshypothese erschüttern.
Dieses Risiko, wegen Voreingenommenheit zu einem falschen Ergebnis zu kommen, ließe sich natürlich vermeiden, indem man die Software alle Daten objektiv untersuchen ließe, ohne ihr also Vorgaben zu machen. Die Aufgabenstellung an die Software hieße dann: „Untersuche diese Daten bitte und beschreibe, wer, was, wann getan hat. Zeige bis zu fünf Handlungsalternativen auf.“ Noch realistischer würde eine solche Analyse, wenn die Software zusätzlich Zugriff auf externe Daten hätte und somit das Geschehen in einen größeren Zusammenhang setzen könnte. Natürlich kann diese reine von künstlicher Intelligenz betriebene Untersuchung nur dann ein Bild oder mehrere Bilder der Wahrheit abbilden, wenn die Software wirklich alle Daten kennt, also auch die aus Mobilen Geräten (Handy, Laptop, Tablet) einschließlich etwaiger Bewegungsdaten und Daten aus Cloud-Speichern.
Eine solche reine maschinengestützte Untersuchung wäre vollkommen Vorurteils- und Voreingenommenheitsfrei. Leider wird sie erst in ein paar Jahren möglich sein. Dann könnten aber Ermittler, Analysten, Anwälte und Gerichte solch maschinengestützte Analysen als Benchmark heranziehen, um fortwährend die eigenen Ermittlungshypothesen kritisch zu testen. Denn wenn diese in den vom Computer analysierten Handlungsalternativen nicht vorkommt, ist es eher naheliegend dass der Mensch falsch liegt.
Deutsch 
English (UK)