AUF EINEN BLICK
eDiscovery ist die strukturierte Verarbeitung elektronischer Beweise nach dem Electronic Discovery Reference Model (EDRM). In deutschen internen Untersuchungen entscheiden weniger die Tools über den Erfolg als die rechtliche Architektur dahinter: Mandatsarchitektur durch externe Verteidiger als Grundvoraussetzung des Beschlagnahmeschutzes, Hosting in der EU, dokumentierte DSFA, gestufter Review nach BAG-Verhältnismäßigkeitsprüfung, menschliche Letztkontrolle bei KI-Auswertungen. Wer die Plattform vor der Architektur wählt, liefert dem Strafverteidiger des Mitarbeiters Munition gegen die spätere Beweisverwertbarkeit — und schwächt gleichzeitig die eigene CMS-Defence im Bußgeldverfahren.
eDiscovery wird in deutschen Inhouse-Abteilungen oft als rein technische Frage behandelt: Welche Plattform, welcher Vendor, welche Lizenz? Das verkennt den Kern. eDiscovery ist eine Verteidigungs- und Beweissicherungs-Architektur. Die Plattform bestimmt nicht, ob ein Sachverhalt aufgeklärt wird — das entscheidet die rechtliche Konstruktion. Die Plattform bestimmt nur, mit welchen Werkzeugen die Aufklärung erfolgt und wie verwertbar das Ergebnis später ist.
Die These dieses Beitrags: Auf dem deutschen Markt entscheidet die Plattform-Wahl 2026 weniger über die Aufklärungs-Geschwindigkeit als über die Beweisverwertbarkeit — und damit über die Höhe des Verbandsbußgeldes nach § 30 OWiG. Eine sauber durchdachte Microsoft-Purview-Architektur unter externer Anwaltsmandatierung ist im typischen mittelständischen Compliance-Mandat verteidigungstauglicher als ein teurer RelativityOne-Aufbau, der die Mandatsarchitektur und DSFA übersieht.
Das Mandatsmodell: Warum die Architektur vor der Plattform kommt
Bevor eine Plattform ausgewählt, ein Custodian identifiziert oder ein Hold ausgesprochen wird, stellt sich die wichtigste Frage jeder internen Untersuchung: Unter wessen Mandat läuft diese Untersuchung?
Die Antwort hat unmittelbare strafrechtliche Konsequenzen. Eine interne Untersuchung, die ohne Einbindung eines externen Strafverteidigers geführt wird — durch Inhouse Counsel allein oder durch eine interne Revisionsabteilung — produziert Unterlagen, die im Fall einer Durchsuchung nach §§ 102 ff. StPO grundsätzlich beschlagnahmefähig sind. Das gilt für Verhörprotokolle, für Review-Ergebnisse und für die interne Zusammenfassung, die dem Vorstand vorgelegt wurde.
Der Beschlagnahmeschutz nach §§ 97, 53 StPO schützt Unterlagen, die sich im Gewahrsam des Strafverteidigers oder Rechtsanwalts befinden und in seiner anwaltlichen Eigenschaft erlangt wurden. Unterlagen, die ausschließlich von internen Teams erstellt oder verwahrt werden, sind von diesem Schutz nicht erfasst.
Der rechtliche Rahmen: § 53 Abs. 1 Nr. 3 StPO begründet das Zeugnisverweigerungsrecht des Rechtsanwalts über das, was ihm in seiner Eigenschaft als Verteidiger anvertraut wurde. § 97 Abs. 1 StPO erstreckt das Beschlagnahmeverbot auf schriftliche Mitteilungen zwischen Beschuldigtem und Zeugnisverweigerungsberechtigtem sowie auf Aufzeichnungen des Zeugnisverweigerers. § 160a Abs. 1 StPO erweitert diesen Schutz auf Ermittlungsmaßnahmen, die sich gegen Berufsgeheimnisträger richten.
Hinzu kommt ein praktisches Risiko bei US-amerikanischen Cloud-eDiscovery-Plattformen: Der US Cloud Act erlaubt US-Behörden, von in den USA ansässigen Anbietern Daten herauszuverlangen, auch wenn diese physisch auf EU-Servern liegen. Für diese Konstellation ist die Mandatsarchitektur keine optionale Ergänzung, sondern das einzige robuste Bollwerk.
Die operative Empfehlung: Externe Strafverteidiger oder Rechtsanwälte mit Wirtschaftsstrafrechts-Expertise sollten von Beginn der Untersuchung an das Mandat halten, die wesentlichen Ergebnisdokumente in ihrem Gewahrsam verwahren und die forensischen Dienstleister in eigenem Namen beauftragen.
eDiscovery als Begriff: was er für deutsche Untersuchungen bedeutet
eDiscovery ist ein Begriff aus dem US-Civil-Litigation-System. In Deutschland gibt es keine vergleichbare zivilprozessuale Discovery-Pflicht. Was aber existiert und in den letzten Jahren stark gewachsen ist, sind drei Anwendungsfälle: interne Untersuchungen, Schiedsverfahren mit angelsächsischer Prägung und Strafverfahren mit großem elektronischen Datenbestand. Für Inhouse Counsel ist der erste Fall der wichtigste — die Konzern-Compliance-Investigation mit hunderten Custodians, Millionen Dokumenten und enger Frist bis zur Behördenmeldung lässt sich ohne strukturierte Verarbeitung nicht führen.
Das EDRM-Modell: Neun Phasen vom Information Governance bis zur Presentation
Der de-facto-Standard für die Strukturierung jeder eDiscovery ist das Electronic Discovery Reference Model. Für die deutsche interne Untersuchung sind vier Phasen zentral. In jeder dieser Phasen stellt sich die Frage nach der Mandatsarchitektur neu: Wer ist Auftraggeber, wessen Gewahrsam entstehen die Unterlagen in?
| EDRM-Phase | Aktivität | Werkzeuge | Verantwortlich |
|---|---|---|---|
| 1. Information Governance | Datenklassifizierung, Retention Policies | DLP-Tools, Microsoft Purview | IT, Compliance |
| 2. Identification | Custodian-Identifikation, Datenquellen-Mapping | Custodian Map, Interview | Untersuchungsteam |
| 3. Preservation | Legal Hold, Löschstopp | Auto-Hold M365/Google Vault | IT, Externe Verteidiger |
| 4. Collection | Forensische Datensicherung, Imaging | Cellebrite, Magnet Forensics, EnCase | Forensik — im Auftrag ext. Anwalt |
| 5. Processing | Indexierung, Deduplizierung, OCR | Nuix Workstation, Relativity Processing | Forensik-Dienstleister |
| 6. Review | Sichtung, Tagging, Privilegien-Markierung | Relativity, Reveal, Everlaw, Purview | Externe Anwälte (Letztkontrolle) |
| 7. Analysis | Pattern-Erkennung, Communication-Mapping | TAR, Active Learning, Concept Clustering | Externe Anwälte |
| 8. Production | Export für Behörden / Dritte | Native Format, Bates-Stamping | Externe Anwälte |
| 9. Presentation | Aufbereitung für Verfahren | Trial Director, Visualization | Strafverteidiger |
Phase Preservation: Legal Hold und das Beweisvereitelungs-Risiko
Der Legal Hold ist die schriftliche Anweisung an alle Custodians und IT-Verantwortlichen, relevante Daten nicht zu löschen. Drei Fehler treten regelmäßig auf: zu spät (Daten sind schon weg), zu eng (nicht alle relevanten Custodians erfasst), zu informell (keine dokumentierte Bestätigung). Ein vierter, strategisch bedeutender Fehler: der Hold ohne Mandatsarchitektur — sämtliche Untersuchungsunterlagen sind im Falle einer späteren Durchsuchung beschlagnahmefähig.
Beweisvereitelungs-Risiken liegen auf drei Schienen: Im Zivilprozess greift § 444 ZPO bei vorsätzlicher Urkundenbeseitigung. Im Bußgeldverfahren schwächt eine schlampige Hold-Architektur die CMS-Defence nach BGH 09.05.2017 – 1 StR 265/16. Im Strafverfahren gegen einzelne Mitarbeiter kann die Beseitigung von Beweismitteln § 258 StGB oder § 274 StGB erfüllen.
Die operativ tragfähigen Hold-Architekturen kombinieren vier Elemente: schriftliche Hold-Notice an alle potenziellen Custodians; gleichzeitige Aktivierung der Auto-Hold-Funktion auf Postfach-Ebene durch IT; Bestätigungs-Pflicht der Custodians; und schriftliche Einbindung des externen Strafverteidigers als Mandatsträger ab dem ersten Hold-Dokument.
Phase Collection: Forensik nach ISO/IEC 27037 und Chain of Custody
Die forensische Sicherung muss zwei Anforderungen erfüllen: technische Vollständigkeit und juristische Beweiskraft. Technisch: bit-genaue Imaging-Kopie mit Hash-Werten (SHA-256-Standard). Juristisch: lückenlose Chain-of-Custody-Dokumentation — jeder Wechsel der Datenträger zwischen Verantwortlichen wird protokolliert. Die forensischen Dienstleister sollten durch den externen Strafverteidiger beauftragt werden, nicht durch das Unternehmen direkt.
Der einschlägige internationale Standard ist ISO/IEC 27037:2012. Ab August 2026 verschärft die EU-eEvidence-Verordnung (VO 2023/1543) das Thema: Sie regelt die grenzüberschreitende Anforderung elektronischer Beweismittel zwischen EU-Mitgliedstaaten und macht die ISO/IEC 27037-Konformität zur faktischen Voraussetzung für die Verwertbarkeit.
Phase Review: Plattform-Wahl für den deutschen Markt
Sieben Plattformen sind auf dem deutschen Markt für interne Untersuchungen relevant (Stand Q1 2026; bei Vendor-Konsolidierungen ist die Aktualität vor Vertragsabschluss zu verifizieren):
| Plattform | Modell | Stärke | Schwäche | EU-Hosting |
|---|---|---|---|---|
| RelativityOne | Cloud-SaaS | Marktführer; integrierte Analytics; KLDiscovery als Reseller mit deutschem Hosting | Hoher Preis; lange Onboarding-Zeit | EU-Region verfügbar |
| Nuix Discover | Hybrid | Schnelle Verarbeitung großer Volumina; starke Forensik-Integration | Steile Lernkurve; lizenzlastig | EU-Hosting möglich |
| Reveal/Brainspace | Cloud-SaaS | Stark in KI/Pattern-Recognition | Vendor-Konsolidierung 2024/25 — laufende Beobachtung | EU-Hosting verfügbar |
| Everlaw | Cloud-SaaS | Moderne Oberfläche; Collaboration-Funktionen | Starke US-Prägung; EU-Hosting eingeschränkt | EU-Region verfügbar |
| Logikcull | Cloud-SaaS | Self-Service; transparente Preise | Begrenzte Skalierung; EU-Hosting-Status verifizieren | Bisher US-fokussiert |
| Microsoft Purview eDiscovery (Premium) | In-Tenant (M365) | Daten verlassen M365-Umgebung nicht; Deduplizierung an der Quelle | Nur M365-Daten; klassische UIs eingestellt 31.08.2025 | EU-Datenresidenz konfigurierbar |
| OpenText Axcelerate | Hybrid | Lange europäische Präsenz; vertraut bei Konzern-IT | Veraltete Oberfläche im Vergleich | EU-Hosting Standard |
Drei Konstellationen für die Auswahl: (1) Kleine bis mittlere Untersuchung mit vollständig in M365 angesiedelten Daten → Microsoft Purview eDiscovery (Premium). (2) Mittlere bis große Untersuchung mit gemischten Datenquellen → RelativityOne oder Nuix Discover. (3) KI-fokussierte Untersuchung mit Mustererkennungs-Schwerpunkt → Reveal mit Brainspace-Integration.
KI in der eDiscovery: TAR, Continuous Active Learning und Generative AI
Drei Generationen sind zu unterscheiden. TAR 1.0 (klassisches Predictive Coding): Der Anwender markiert manuell ein Trainingsset; die Software klassifiziert den Rest. TAR 2.0 (Continuous Active Learning): Die Software lernt im Hintergrund mit jedem getaggten Dokument und priorisiert nach prognostizierter Relevanz. Typische Volumen-Reduktionen: 40 bis 60 Prozent gegenüber linearer Sichtung. CAL ist heute der Standard. GenAI-Review (seit 2023): Generative Sprachmodelle klassifizieren, fassen zusammen und kennzeichnen Privilegien-Verdacht. Sie versprechen Geschwindigkeitssprünge um den Faktor zehn — aber sie produzieren Risiken.
Drei Risiken sind aus Verteidigungs- und Compliance-Sicht zentral: Erklärbarkeit — wenn ein GenAI-System ein Dokument als „nicht privilegiert“ klassifiziert und der Strafverteidiger dies später anzweifelt, muss Modell, Prompt und Trainingsdaten dokumentiert sein. Halluzinationen — generative Modelle erfinden Fakten; bei der Privilegien-Prüfung ist das katastrophal. Datenschutz und staatlicher Zugriff — wenn das Modell auf US-Servern läuft, ist das ein DSGVO-Auslandstransfer und ein potenzieller Cloud-Act-Angriffspunkt.
Die operative Konsequenz: KI-Tools können in der deutschen Praxis genutzt werden — unter vier Bedingungen: menschliche Letztkontrolle bei jedem als „Hot“ oder „Privileged“ markierten Dokument; EU-Hosting des Modells; schriftliche Dokumentation der Modell-Wahl und Konfiguration in der DSFA; und Einsatz unter dem Mandat des externen Strafverteidigers.
DSGVO-Konformität: das Cloud-Problem nach Schrems II
Die meisten relevanten eDiscovery-Plattformen werden von US-Anbietern entwickelt. Auch wenn EU-Hosting zugesichert wird, bleibt das Risiko des US Cloud Act. Das Cloud-Act-Risiko ist nicht nur ein Datenschutzproblem, sondern ein strafrechtliches Beschlagnahmeproblem: Wer Untersuchungsdaten auf einer US-Plattform speichert, hat potenziell eine zweite Angriffsfläche für staatlichen Zugriff geschaffen, die das deutsche Beschlagnahmerecht nicht schließen kann.
Die seit Juli 2023 bestehende EU-US Data Privacy Framework-Adäquanzentscheidung schafft eine neue datenschutzrechtliche Grundlage — aber dieser Status ist fragil; bereits zwei Vorgängerregelungen wurden vom EuGH gekippt. Die operative Empfehlung: EU-Hosting hat Vorrang. Bei jeder eDiscovery, die personenbezogene Daten in größerem Umfang verarbeitet, ist die DSFA nach Art. 35 DSGVO Pflicht.
Inhouse, Outsourcing oder Hybrid
Bei geringer Frequenz (eine bis zwei Untersuchungen pro Jahr) und mittlerem Volumen ist vollständiges Outsourcing typischerweise wirtschaftlich. Die Marktbeobachtung der letzten zwei Jahre zeigt für mittlere Mandate (5–15 Custodians, 100–500 GB) Gesamtkosten zwischen 50.000 und 250.000 EUR. Bei hoher Frequenz (drei oder mehr Untersuchungen pro Jahr) wird der Hybrid-Ansatz attraktiv: eigene Purview-Lizenz für Hold und Erst-Sicherung in M365, externe Forensik-Dienstleister für gemischte Datenquellen, externes Review-Team unter Strafverteidiger-Mandat. Vollständiges Inhouse lohnt nur ab fünf bis zehn Großuntersuchungen pro Jahr.
Inhouse-Counsel-Checkliste: 13 Kriterien für die Anbieter-Auswahl
| # | Kriterium | Mindeststandard |
|---|---|---|
| 0 | Mandatsarchitektur | Externer Strafverteidiger mandatiert; Dienstleister in seinem Auftrag |
| 1 | EU-Datenresidenz | Hosting in EU-Region, schriftlich zugesichert |
| 2 | DPF- oder SCC-Zertifizierung | DPF-Listung + SCCs als Backup |
| 3 | Cloud-Act-Klausel | Anbieter verpflichtet sich, jede US-Behördenanfrage anzufechten |
| 4 | DSFA-Beitrag | Anbieter liefert vorgefertigte DSFA-Bausteine |
| 5 | SOC 2 Type II | Aktuell, nicht älter als 12 Monate |
| 6 | ISO 27001 + ISO 27037 | Aktuell |
| 7 | KI-Funktionalität | TAR 2.0 als Standard, GenAI optional, mit Audit-Logs |
| 8 | Privilegien-Tagging | Tags für §§ 97, 53 StPO-geschützte Unterlagen |
| 9 | Bates-Stamping | Pflicht für Behördenproduktion |
| 10 | Volumen-Pricing | Transparente Staffel, keine Pro-User-Verträge bei einmaligen Untersuchungen |
| 11 | Onboarding-Zeit | Maximal 5 Werktage bis zum aktiven Hold |
| 12 | Support in deutscher Sprache | Mindestens Tier 2 |
Was bei der Behördenkonfrontation aus der eDiscovery wird
Aus Strafverteidigerperspektive zeigen sich am Ende einer Untersuchung typische Fehlermuster: Der Hold war lückenhaft, die Chain of Custody hat Brüche, die KI-Klassifikation lief auf einer US-Plattform ohne dokumentierte Konfiguration, die DSFA fehlte, und die Untersuchung wurde ausschließlich intern ohne externen Strafverteidiger als Mandatsträger geführt — weshalb bei der Durchsuchung sämtliche Untersuchungsunterlagen beschlagnahmt wurden. In all diesen Konstellationen schadet die schlechte Architektur dem Unternehmen mehr als sie ihm in der Aufklärungsphase genutzt hat.
Häufige Fragen
Sind Unterlagen einer internen Untersuchung vor Beschlagnahme geschützt?
Das hängt ausschließlich von der Mandatsarchitektur ab. Unterlagen, die sich im Gewahrsam eines externen Strafverteidigers befinden, sind durch §§ 97, 53 StPO und § 160a StPO geschützt. Unterlagen, die ausschließlich von internen Compliance-Abteilungen erstellt und verwahrt werden, sind grundsätzlich beschlagnahmefähig. Der Schutz entsteht durch die Mandatsarchitektur, nicht durch die Plattform.
Wie baue ich eine eDiscovery für eine interne Untersuchung auf?
In neun Phasen nach dem EDRM. Vorgelagert ist die Mandatsfrage: Wer führt die Untersuchung juristisch? Externer Strafverteidiger als Mandatsträger, interne Teams in der Umsetzung. Dann: Identification der Custodians und Datenquellen, Preservation durch Legal Hold, Collection per forensischer Imaging-Kopie, Processing durch Indexierung und Deduplizierung, Review mit gestufter Sichtung, Analysis durch TAR und Mustererkennung, Production für Behörden, Presentation im Verfahren.
Welche eDiscovery-Anbieter gibt es auf dem deutschen Markt?
Sieben Plattformen sind relevant: RelativityOne (mit KLDiscovery als deutschem Reseller), Nuix Discover, Reveal/Brainspace, Everlaw, Logikcull, Microsoft Purview eDiscovery (Premium) und OpenText Axcelerate. Die Wahl hängt vom Datenvolumen, der Datenherkunft und der Frequenz künftiger Untersuchungen ab. Bei Vendor-Konsolidierungen ist der Anbieter-Status vor Vertragsabschluss zu verifizieren.
Was ist der Unterschied zwischen Relativity und Nuix?
Relativity ist die marktführende Review-Plattform mit starker Analytics-Suite und großer Modul-Bibliothek. Nuix ist stärker in der Datenverarbeitung großer Volumina mit hoher Geschwindigkeit, vor allem in der Forensik-Phase. In der Praxis werden beide oft kombiniert: Nuix für Processing, Relativity für Review.
Wie funktioniert KI in der eDiscovery?
TAR 1.0 (klassisches Predictive Coding) lernt aus einem manuell kodierten Trainingsset. TAR 2.0 (Continuous Active Learning) lernt im Hintergrund mit jedem getaggten Dokument — heute der Standard. GenAI-Tools (seit 2023) sind leistungsfähig, erfordern aber zwingend menschliche Letztkontrolle, EU-Hosting, DSFA-Dokumentation und Einsatz unter Strafverteidiger-Mandat.
Ist eDiscovery DSGVO-konform?
eDiscovery ist DSGVO-konform machbar, wenn drei Bedingungen erfüllt sind: EU-Hosting der Daten, dokumentierte DSFA nach Art. 35 DSGVO und gestufter Review-Prozess. Bei US-Anbietern ist die EU-US Data Privacy Framework-Zertifizierung der wichtigste Anker, ergänzt durch Standardvertragsklauseln und EU-basierte Schlüsselverwaltung. DSGVO-Konformität und Schutz vor staatlichem Zugriff sind zwei verschiedene Fragen.
Was ändert sich durch die Einstellung der klassischen Microsoft-eDiscovery zum 31. August 2025?
Microsoft hat die klassische Inhaltssuche, klassische eDiscovery (Standard) und klassische eDiscovery (Premium) zum 31. August 2025 eingestellt. Es gibt nur noch die neue eDiscovery (Premium)-Lösung im Microsoft Purview-Portal. Inhaltlich ist die neue Lösung leistungsfähiger; der Workflow ist aber neu zu lernen.
Was kostet eine eDiscovery für eine mittlere Untersuchung?
Die Marktbeobachtung der letzten zwei Jahre zeigt für eine mittlere Untersuchung mit 5 bis 15 Custodians und 100 bis 500 GB Datenvolumen Gesamtkosten zwischen 50.000 und 250.000 EUR. Die Aufteilung: 30–40 % Plattformkosten, 40–50 % Personalkosten für die Sichtung, 10–20 % Forensik-Sicherung.
Grundlage: Rechtlicher Überblick
- Interne Untersuchungen im Unternehmen: Der Leitfaden
- Beschuldigtenrechte im Strafverfahren: Handlungsleitfaden
Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar.
Weiterführende Informationen
Dieser Beitrag ist Teil unseres Themenschwerpunkts Interne Untersuchungen im Unternehmen: Der vollständige Leitfaden. Eine vollständige Übersicht mit allen relevanten Aspekten finden Sie hier:
Interne Untersuchungen im Unternehmen: Der vollständige Leitfaden — Vollständiger Überblick
