Elektronische Beweisführung und Vorgehensmodelle
von Thomas Havranek | CEO Klarity
3. Mai 2023
Dieser Beitrag ist in Kooperation mit Klarity Technologies GmbH entstanden
Die elektronische Beweisführung ist eines der Themen, mit dem sich alle Stakeholder im Rechtsbereich zunehmend auseinandersetzen müssen, da immer weniger Papierdaten oder -akten vorliegen und alles zunehmend nicht nur digitalisiert wird, sondern auch einfach alles gespeichert wird.
Wenn es dann zB zu Hausdurchsuchungen kommt, dann ist ein ganzes Serversystem schnell gespiegelt und sichergestellt und Unmengen an Terrabytes von Daten wandern in die Hände von Ermittlern, oder aufgrund interner Verdachtsfälle werden E-Mail Konten rückgesichert und müssen nach Beweismaterial durchsucht werden.
Diese Datenmengen gehen schnell in die Millionen und Abermillionen von Textseiten und andere Daten.
Wenn nun ein Sachverständiger in einem Gutachten niederschreibt, er hätte rund 100 TB Daten analysiert und es seitens des beauftragenden Staatsanwaltes keine Reaktion darauf gibt, dann wird schnell offensichtlich, dass es noch etwas Aufholbedarf bei diesem Thema gibt.
Nur zum schnellen Vergleich: Enron‘s Datensatz umfasste ca. 35 TB, also ein Drittel. Ebenfalls sehr veranschaulichend wieviel Daten eigentlich nur 100 GB sind, ist die folgende Grafik die der eDiscovery Software Anbieter „exterro“ in einem Blog veröffentlicht hat:1
Der Lösungsansatz um mit dieser Datenflut korrekt umzugehen, ist bereits in mehreren Standards ausführlich beschrieben und festgehalten, die international anerkannt sind und daher auch bei uns Gültigkeit haben sollten:
- „Elektronische Beweise in Zivil und Verwaltungsverfahren“:
Diese Richtlinien wurden 2019 vom Europäischen Rat veröffentlicht und beschreiben sehr gut, was bei elektronischen Beweisen zu beachten ist2.
Die darin enthaltene Definition für elektronische Beweise lautet, dass es sich dabei um jeden Beweis handelt der von Daten kommt die sich auf einem Gerät befinden dessen Funktionieren von einer Software, einem Datenspeicher, einem Computer System oder Netzwerk abhängt.
In allen Richtlinien wird ein wesentliches Augenmerk auf die Metadaten gelegt. Dazu muss ausgeführt werden, dass das Auslesen der Metadaten nicht immer von selber und nicht bei jeder Software in derselben Art erfolgt.
Die Software NUIX ist hier zur Zeit sicher eines der bestens geeigneten Tools für die Aufbereitung der Daten, da man darin unter anderem die auszulesenden Metadaten in großem Umfang einstellen kann.
Gerichte werden durch die Richtlinie angehalten, sich aktiv um das Management von elektronischen Beweisen zu kümmern und Experten zur Analyse einzusetzen.
Die Verlässlichkeit der Beweismittel wird als eigenes Kapitel angeführt, wobei hier sehr stark auf die nationalen Jurisdiktionen abgestellt wird.
Weitere Schwerpunktthemen sind Lagerung und Archivierung, sowie Ausbildung und Training.
- ISO/IEC 27037:2012 – Guidelines for identification, collection, acquisition and preservation of digital evidence
Dieser Standard beschäftigt sich mit allen Themen außerhalb der eigentlichen Analyse elektronischer Beweismittel.
Dabei wird korrekt ausgeführt, dass die digitale Beweisführung von drei Grundprinzipien geleitet werden sollte: Relevanz, Verlässlichkeit und Hinlänglichkeit (im Sinne davon, dass ausreichend Datenmaterial da ist um eine effiziente Ermittlung durchzuführen).
Des Weiteren führt der Standard aus, dass elektronische Beweise prüfbar, wiederholbar, reproduzierbar und gerechtfertigt sein müssen.
Prüfbar bedeutet, dass ein unabhängiger Stakeholder nachvollziehen kann, was exakt mit den Daten wann, wie und durch wen passiert ist.
Wiederholbar muss bedeuten, dass jeder Prozess von Datensammlung über Prozessierung zur Analyse unter denselben Konditionen zu denselben Ergebnissen führen muss.
Reproduzierbar bezieht sich darauf, mit unterschiedlichen Applikationen und unter verschiedenen Bedingungen zu denselben Ergebnissen zu kommen.
Hier muss man einschränkend dazu sagen, dass aufgrund der Unterschiedlichkeit der Software Applikationen dies de facto kaum möglich ist.
Gerechtfertigt bedeutet, dass jeder Schritt rechtens sein muss und die Methoden juristisch einwandfrei sind.
- EDRM Modell
Einer der am längsten gültigen und sicher immer noch relevantesten Standards ist das EDRM Modell3:
„Die 2005 von George Socha und Tom Gelbmann gegründete EDRM (Electronic Discovery Reference Model) Community, eine Gruppe Rechts- und eDiscovery-Experten, die 2016 von der Duke Law School und im Oktober 2019 von Mary Mack und Kaylee Walstad übernommen wurde, haben die Schlüsselprozesse des eDiscovery-Prozesses im EDRM-Model zusammengefasst. Das so entstandene Konzept wurde grafisch als EDRM-Diagramm dargestellt und hat sich zum Branchenstandard entwickelt.“4
Dieses Modell stellt den gesamten Prozess der elektronischen Beweisführung bis zur Produktion und Präsentation von Beweisen dar.
Das EDRM-Diagramm stellt einen iterativen Prozess dar. Man kann denselben Schritt mehrmals wiederholen, um zu einem präziseren Ergebnis zu gelangen, oder zu früheren Schritten zurückkehren um seinen Ansatz zu verfeinern, wenn sich ein besseres Verständnis der Daten entwickelt oder sich die Art der Fragestellung ändert.
Identification bedeutet, potenzielle Quellen elektronisch gespeicherter Informationen (in weiterer Folge „ESI“ genannt) ausfindig zu machen und deren Umfang, Breite und Tiefe zu bestimmen.
Preservation bedeuet, sicherzustellen, dass die ESI vor unangemessener Veränderung oder Zerstörung geschützt werden.
Collection ist das Sammeln von ESI zur weiteren Verwendung im E-Discovery-Prozess (Verarbeitung, Überprüfung usw.)
Processing ist die Reduzierung des Volumens der ESI und ihre Umwandlung in Formen, die für die Überprüfung und Analyse besser geeignet sind, falls erforderlich.
Review ist die Bewertung von ESI auf Relevanz und Vertraulichkeit.
Analysis bedeutet, die ESI nach Inhalt und Kontext zu bewerten, einschließlich wichtiger Muster, Themen, Personen und Diskussionen.
Production bedeutet, ESI in geeigneter Form und unter Verwendung geeigneter Bereitstellungsmechanismen an andere weiterzugeben.
Der letzte Schritt ist Presentation, d. h. die Darstellung von ESI vor Publikum (bei Zeugenaussagen, Anhörungen, Gerichtsverhandlungen usw.), insbesondere in nativer oder nahezu nativer Form, um weitere Informationen zu erhalten, bestehende Faktoren oder Positionen zu bestätigen oder ein Publikum zu überzeugen.
- Software – eDiscovery
Ein ganz eigener Bereich der elektronischen Beweisführung ist der türkise Bereich des EDRM Modells; Processing-Review-Analysis. Dieser Bereich ist deswegen von besonderer Relevanz, weil hier durch das Processing, den Review und die Analyse die meiste Manipulation stattfindet.
Im Processing wird je nach System entschieden, welche Daten verwendet werden. Hier unterscheidet man zwei sehr konträre Ansätze:
- Den klassischen Review Ansatz, wonach in einem Early Case Assessement oder mit Hilfe von Predictive Coding entschieden wird, welche Daten in den Review kommen. Diese werden dann in elektronische „Boxen“ – batches – gepackt und dort prüft ein Review Team jede darin enthaltene (Text)Datei. Nach einem weiteren Aussortierungsprozess und je nach Menge ein bis zwei weitere Reviews werden die Daten analysiert bzw. geschieht dies auch oft in einem Prozess. Dieser Ansatz beinhaltet durch den mehrfachen Review, das frühe Aussortieren von Daten ein ernsthaftes Risiko Daten zu übersehen bzw. gar nicht erst zu prüfen, weil zu früh ausgeschieden.
- Den neuen Ansatz, der mit Hilfe von KI, Natural Language Processing, Entity Extraction arbeitet und dadurch grundsätzlich alle (Text-)daten verwendet und diese zielgerichtet durchsucht um möglichst exakt die relevanten Dokumente zu finden.
Der Unterschied zwischen den beiden Ansätzen ist mit einer Suche der Nadel im Heuhaufen zu vergleichen. Im 1. Ansatz, wird der Heuhaufen zumeist willkürlich in mehrere Behältnisse aufgeteilt und jeder durchsucht dieses Gefäß händisch nach der Nadel. Im zweiten Ansatz kommen zwei Personen mit einem starken Metalldetektor und durchsuchen den gesamten Heuhaufen in wesentlich kürzerer Zeit zu daher wesentlich geringeren Kosten.
Aus meiner Sicht ist der 2. Ansatz eher zu empfehlen, da man – auch wenn man es glaubt – zu Beginn zumeist nicht ausreichend Informationen vorhanden sind, um schon zu Wissen, wonach nach man sucht. Der 1.Ansatz funktioniert dann gut, wenn der Sachverhalt und die Suchanforderungen von Beginn an klar sind und bereits „gezielt“ nach be- und entlastenden Inhalten gesucht werden kann.
Jedenfalls ist das Thema elektronische Beweisführung von der technischen Seite absolut durch entsprechende Softwaresysteme abgedeckt. In der tatsächlichen Umsetzung, vor allem in Bezug auf die vorgenannten Standards gibt es noch Verbesserungsbedarf.
Im eingangs genannten Fall, kann zB aufgrund der fehlenden Prüfprotokolle aus der eDiscovery Software nicht nachvollzogen werden, ob der betreffende Sachverständige alle relevanten Dokumente zu seinem Gutachten geprüft hat und auch den Grundsatz der materiellen Wahrheit eingehalten hat.
Das Problem dabei war, dass weder dem Staatsanwalt noch den beteiligten Rechtsanwälten bewusst war, dass solche Protokolle überhaupt abrufbar und verfügbar waren.
Wir haben dann denselben Datensatz über Akteneinsicht vom Rechtsanwalt erhalten und in unser auf IBM Watson basierende Klarity Intelligent Content Investigation (K-ICI) Plattform eingespielt und siehe da: zahlreiche sowohl be- ,aber im speziellen Fall entlastende E-Mails fanden keine Erwähnung im Befund oder Gutachten.
In diesem Vorgehensmodell des „Early Case Managements“ (Datenreduktion), der Trennung von Review und Analysis liegen einige Probleme im etablierten Vorgehensmodell (EDRM). Mit K-ICI wird ein neues, innovatives Vorgehensmodell angeboten.
Aus meiner Sicht stehen einige Probleme in der elektronischen Beweisführung alleine im Zusammenhang des überholten Methodenansatzes computerunterstützte Verfahren primär für die Reduktion der Datenmenge einzusetzen um diese dann manuell abzuarbeiten, versus eines innovativen Ansatzes, die Datenmenge durchaus größer zu belassen und im Analyse- und Review Prozess direkt AI einzusetzen.
Autoreninfo:
Thomas Havranek | CEO Klarity
Steuerberater, CFE, Gerichtssachverständiger, Gründer der ersten österreichischen Firma für Ermittlungen im Bereich Wirtschaftskriminalität, erstes Projekt in Russland 1999, forensische & Betrugsermittlungen für Großkunden in der Finanz-, Bau- und Technologiebranche.
Mehr zu Informationen zu Klarity sowie zu deren Produkte finden sie hier.