---
name: data-board
description: "Richtet einen sicheren virtuellen Data Room für externe Counsel, Behörden und US-Discovery ein – Zugang, Privilegierung, Protokollierung im Internal Investigations Praxis."
---

# Sicherer Data Room für Counsel und Behörden

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
- Tragende Normen verifizieren: DSGVO Art. 5, 6, 7, 9, 12-22, 25, 28, 30, 32, 33-34, 35, 51-58, 77-83, BDSG §§ 22-25, 26, 30; StPO §§ 53, 97, 102, 110, 136, 137, 152, 153a, BGB §§ 280, 626, BRAO § 43a, GwG, AntiDopG, HinSchG; StPO; HinSchG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Rechtlicher Rahmen

Der virtuelle Data Room (VDR) ist das zentrale Instrument für die kontrollierte Weitergabe von Untersuchungsdokumenten an externe Anwälte, Behörden, US-Counsel oder DOJ/SEC. Die Nutzung eines VDR ermöglicht Need-to-know-Zugangskontrolle, Zugriffsprotokollierung und Wasserzeichnung – alles kritisch für Privilegeschutz, DSGVO-Konformität und Beweiskettensicherheit. Die DSGVO verlangt für den Datentransfer in Drittstaaten nach Art. 46 eine geeignete Garantie (SCC, [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679)). Beschlagnahme von VDR-Inhalten ist möglich (§ 94 StPO), wenn der Anbieter oder seine Server in Deutschland oder der EU ansässig sind.

## Ziel dieses Skills

Dieser Skill stellt den technisch und rechtlich korrekten Aufbau und Betrieb eines VDR für Internal Investigations sicher.

## Arbeitsprogramm

### 1. Auswahl des VDR-Anbieters
- EU-basierter Anbieter bevorzugen (kein US-CLOUD-Act-Risiko bei EU-only-Hosting).
- Zertifizierungen: ISO 27001, SOC 2 Type II.
- Funktionen: Wasserzeichen, View-only-Modus (kein Download), granulare Zugangskontrolle, Audit Trail.
- DSGVO-Konformität: Auftragsverarbeitungsvertrag (Art. 28 DSGVO) abschließen.
- Drittstaatentransfer: wenn US-Anwälte oder DOJ Zugang erhalten, SCC oder anderes Schutzinstrument.

### 2. Zugangskontrolle und Benutzergruppen
- Benutzergruppen definieren: Interne Anwälte, Externe Anwälte, Forensiker, Behörden (nur Faktenbericht), US-Counsel.
- Jede Gruppe sieht nur die Dokumente, die für ihre Rolle bestimmt sind.
- Einzelpersonen-Zugang mit Audit Trail: wer hat wann welches Dokument wie lange geöffnet?
- Zeitlich befristeter Zugang: VDR-Zugang nach Abschluss der Untersuchung automatisch deaktivieren.

### 3. Dokumentenstruktur im VDR
- **Privilegiert – nur interne Anwälte**: Vollbericht, Interviewprotokolle, Rechtsgutachten.
- **Faktenbericht**: für Behörden und externe Berater ohne volles Privilege.
- **Forensik-Ergebnisse**: für IT-Forensiker und technische Berater.
- **Board Materials**: für Aufsichtsrat und Audit Committee.
- **Correspondence**: E-Mail-Verkehr mit Behörden.
- Klare Ordnerstruktur mit Versionsverwaltung; keine Dokumente in falsche Ordner hochladen.

### 4. Wasserzeichen und DRM
- Dynamische Wasserzeichen (Benutzername + Datum + IP) auf allen angezeigten Dokumenten.
- View-only-Modus: kein Download, kein Drucken ohne Genehmigung.
- Screenshot-Schutz: technisch schwer vollständig, aber dokumentiert, dass Schutzmaßnahmen ergriffen wurden.
- Print-Tracking: jeder Druckauftrag wird protokolliert.

### 5. Herausgabe an Behörden
- Vor Herausgabe: Privilegierungsanalyse aller Dokumente in dem für die Behörde freigegebenen Ordner.
- Privilege-Log für alle zurückgehaltenen Dokumente.
- Keine Herausgabe von Dokumenten, die Inhouse-Counsel-Kommunikation enthalten (kein EU-Privilege nach Akzo Nobel, aber deutsches Recht schützt ggf. weitere Kategorien).
- Drittstaaten-Herausgabe (DOJ, SEC): DSGVO Art. 49 Abs. 1 lit. e (Strafverfolgungsausnahme) nur eng; vorher Rechtsberatung.

### 6. DSGVO-Konformität
- Personenbezogene Daten im VDR: Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) aktualisieren.
- Betroffenenrechte: Auskunftsrecht (Art. 15 DSGVO) – kann Betroffener VDR-Dokumente anfordern? § 29 BDSG ermöglicht Einschränkung während laufender Untersuchung.
- Löschplan: nach Abschluss der Untersuchung VDR-Daten nach DSGVO-Grundsätzen löschen.

### 7. Sicherheitsvorfälle
- VDR-Datenpanne: Art. 33 DSGVO – Meldung binnen 72 Stunden an Datenschutzbehörde.
- Verdacht auf unberechtigten Zugriff: sofortige Sperrung des verdächtigen Accounts; Forensik-Log prüfen.
- Backup: tägliches automatisches Backup; Wiederherstellungsplan dokumentieren.

## Normenregister

| Norm | Inhalt | Quelle |
|---|---|---|
| Art. 28 DSGVO | Auftragsverarbeitung | [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) |
| Art. 46 DSGVO | Drittstaatentransfer | [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) |
| Art. 33 DSGVO | Datenpannenmeldung | [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) |
| § 94 StPO | Beschlagnahme | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/stpo/__94.html) |
| EuGH C-550/07 P | Akzo Nobel Privilege | [curia.europa.eu](https://curia.europa.eu/juris/document/document.jsf?docid=83458&doclang=DE) |

## Ausgabeformate

- **VDR-Setup-Checkliste** (Anbieterauswahl, Zugangskontrolle, Wasserzeichen)
- **Benutzergruppen-Matrix** (Rolle × Zugangsberechtigung × Dokumente)
- **Ordnerstruktur-Vorlage** für Untersuchungs-VDR
- **Art. 28-DSGVO-Checkliste** für VDR-Anbieter
- **Herausgabe-Protokoll** für Behörden

Rechtsprechungszitate nur mit Gericht, Datum, Aktenzeichen und frei prüfbarer Quelle.
