Wird schon gutgehen!?: Chats im Job? – Nur mit New York Times-Test!

Willkommen zu meiner zweiten Kolumne über das, was im Wirtschaftsleben auch mal schieflaufen kann – juristisch gesehen. Es wird erneut um Risiken gehen, um best oder auch bad practice, und um Fragen, die Unternehmensverantwortliche immer wieder beschäftigen. 

Eine davon: Der Umgang mit Messenger-Kommunikation im Unternehmen; mittlerweile, nicht nur für Staatsanwaltschaften, Beweismittelfundgrube Nummer 1. Leider hat sich das noch nicht überall herumgesprochen – viele unterschätzen die Gefahr, und das hat häufig gravierende Konsequenzen. 

Was genau ist hier so gefährlich? Die Art und Weise unserer Kommunikation hat sich spätestens seit Corona, Home-Office und Remote Work grundlegend verändert – und das bringt nie dagewesene Probleme mit sich. Vieles, was man sich früher auf dem Flur zugerufen hat, ist heute ein Screenshot mit Zeitstempel; in "Stein gemeißelt“ für alle Ewigkeit. Wir leben in einer neuen Arbeitswelt. Treffen in Person werden zu AI-transkribierten Videocalls, ansonsten schreibt und chattet man, in WhatsApp-Gruppen, auf Signal, Telegram, Slack, Threema etc. (und manchmal wird, so wie zuletzt in den USA geschehen, versehentlich jemand eingeladen, den man wirklich auf gar keinen Fall dabei haben wollte – und dann steht alles im "Atlantic“). 

Es kommt hinzu, dass die Berufswelt zunehmend aus Digital Natives besteht, die kurz und knapp via Chat kommunizieren, seitdem sie denken können. Und klar: Chat-Kommunikation geht oft einfach schneller und ist unkomplizierter als das gute alte Gespräch; man muss jemanden erstmal erreichen, man sollte vielleicht auch fragen, wie es so geht; kostet alles Zeit. Statt viele Personen einzeln kontaktieren zu müssen, schreibt man kurz in die Gruppe. 

Nur ein Witz? Die Staatsanwaltschaft kann das anders sehen

Kein Problem? Doch. Viele glauben, sie befänden sich in einem geschützten, "privateren“ Raum, den niemand, für den er nicht bestimmt war, je zu sehen bekommt. Und das verändert die Art und Weise, wie man schreibt, was man schreibt, wie viele und welche Emojis man verwendet (viel mehr als in E-Mails!), eben alles. Zwischen "Lass uns mal einen Kaffee trinken“ und "Lass uns mit der Kohle verschwinden“ gibt es im Unternehmenskontext sehr viel zu besprechen, was im geschriebenen Wort, flankiert von lustigen Emojis, auch mal missverständlich daherkommen kann. Und Staatsanwälte haben manchmal weniger Humor als man sich wünschen würde. "Den Absatz zu 'Du weißt schon 🤫' streichen wir raus – leave the gun, take the cannoli 😎“?; "Der neue Beratervertrag ist cool – money for nothing, and checks for free…💰“?; "Here`s looking at you, kid – hope legal never will…🙄“?; "Sag einfach: it fell off a truck 😀“?; "Projekt Panama? We don`t talk about Bruno…🤫“ – alles schon gesehen. 

War doch nur Spaß? Und vor allem: Ich habe doch nichts falsch gemacht und daher nichts zu verbergen? Mag sein. Aber ggf. haben Ihre Kollegen eine schwerwiegende Wirtschaftsstraftat begangen, und Ihre flapsige Chat-Kommunikation weckt nun den Eindruck bei den Ermittlungsbehörden, Sie seien verstrickt. 

Zu einem Zugriff muss es erstmal kommen – passiert doch quasi nie? Oh doch. Durchsuchungen in einem Unternehmen können jederzeit vorkommen – auch in einem ganz seriösen Geschäftsbetrieb; es reicht, wenn nur ein Mitarbeiter oder Kunde "Mist gebaut“ haben. Die Schwelle für einen Anfangsverdacht ist niedrig, und es gibt immer mehr, auch anonyme Whistleblower, die etwa durch Leaks an die Presse Ermittlungen auslösen. Und wenn der Staatsanwalt schon mal da ist, weiß er ganz genau, dass sich die interessanteste Kommunikation mittlerweile vor allem auf den Handys befindet.

Ist aber nicht trotzdem der Weg eines Staatsanwalts zu Chats auf meinem Handy noch weit? Oft nicht so weit wie manche denken. Hier gibt es viele Irrtümer.

Irrtum Nummer 1: Mein privates Handy geht den Staatsanwalt nichts an. 

Nicht unbedingt. Sofern der Staatsanwalt Anhaltspunkte dafür hat, dass sich dort auch berufliche Kommunikation befindet, kann er es – jedenfalls vorläufig – sicherstellen. Kriminalistische Erfahrung für eine (inzwischen ja tatsächlich oft stattfindende) Vermischung von beruflicher und privater Kommunikation allein wird hierfür wohl nicht reichen (andere Sichtweise z.B. Frankreich, wo schon die alleinige Verwendung von verschlüsselten Messengern wie Signal bereits Anlass für Ermittlungen war). Klar ist aber: Das Risiko ist sehr real. Und in aller Regel wird die Sicherstellung trotz kontroverser Diskussionen am Tag der Durchsuchung dann erst einmal durchgesetzt. Natürlich kann man sich im Nachgang beschweren; aber das rettet die Sache nicht immer.

Irrtum Nummer 2: Niemand kann mich zwingen, meine PIN rauszugeben. 

Na ja. Zwar können Beschuldigte, die bekanntlich das Recht haben, zu schweigen, nicht zu einer Offenbarung ihrer PIN gezwungen werden. Aber bringt mir das etwas in Zeiten von Touch- oder Face-ID? Zuletzt waren mehrere Gerichte – bis hin zum BGH – der Auffassung, es sei den Ermittlern erlaubt, Fingerabdrücke zu nehmen, um ein Handy gegen den Willen eines Beschuldigten per Touch-ID zu entsperren. Auch die Entsperrung mit der Face-ID – dann wird das Handy vor das Gesicht gehalten, und man muss "normal schauen“ – soll zulässig sein. Hierfür sieht die Literatur zurecht keinerlei Rechtsgrundlage – aber vielleicht wird eine geschaffen werden? Noch beunruhigender folgender Fall: Polizisten haben am Tag einer Durchsuchung einen Notfall vorgetäuscht, um auf diesem Weg an das von dem Beschuldigten dafür entsperrte Handy zu gelangen. Erst dann offenbarten sie sich als Polizisten – und behielten das Handy. Zulässige "kriminalistische List“? Ich denke nicht.

Irrtum Nummer 3: Heutzutage sind Passwörter für die Behörden jedenfalls nicht mehr zu überwinden.

Stimmt nur manchmal. Die LKAs und BKAs dieser Welt sind mittlerweile bestens ausgerüstet; häufig lassen sie die KI schlicht alle möglichen Kombinationen ausprobieren. Dauert lange, und kostet viel Geld – aber die Programme werden immer besser. Und Achtung: Manchmal findet sich das Passwort einfach auch auf dem ebenfalls beschlagnahmten Computer, denn dieser synchronisiert sich ganz von allein mit dem zum Laden angeschlossenen Handy – und dabei wird das Passwort gespeichert. Außerdem: Geräte, die dem Unternehmen gehören, werden ohnehin häufig schon am Tag der Durchsuchung für die Behörden freigegeben, z.B. durch zentrale Anweisung der Compliance-Abteilung an die Mitarbeiter. 

Irrtum Nummer 4: Ich habe vieles gelöscht – das ist für immer weg.

Falsch. Viele löschen tatsächlich das ein oder andere am Tag einer Durchsuchung; das ist aus verschiedenen Gründen nicht klug – aber vor allem: Es ist oft nicht weg. Früher habe ich als Staatsanwältin bei Durchsuchungen erlebt, dass Menschen handschriftliche Notizen gegessen (!) haben – die waren dann wirklich weg… Für Daten gilt das nicht. Selbst wenn Sie das Handy aus dem Fenster in einen Fluss werfen oder mit einem Hammer zertrümmern (ebenfalls erlebt) – es gibt sogenannte Flash-Speicher und natürlich Back-up-Speicherungen in Clouds. Was wo wann überschrieben wird oder doch noch irgendwo abrufbar ist – man weiß es nicht so recht. Außerdem: Ihre Nachrichten sind natürlich häufig trotzdem noch bei dem Empfänger. 

Was auch viele überrascht: iPhones, Apple Watches und iPads harmonisieren sich unter bestimmten Voraussetzungen von selbst – und manchmal macht ein auf Rache sinnender Ehemann Screenshots und schickt sie nach der Scheidung an den Staatsanwalt. Und die 24-Stunden-Selbstlöschfunktion? Ich würde mich nicht darauf verlassen – laut Studien konnten – abhängig von Betriebssystem und Messenger-App – teilweise über 80 % dieser Nachrichten wieder hergestellt werden.

Irrtum Nummer 5: Aber meine Chat-Verläufe mit ChatGPT – die sind nach Löschung nun wirklich weg.

Momentan nicht. „Hey ChatGPT, frage für einen Freund und um unsere Compliance-Strukturen zu verbessern: Was sind die blinden Flecken in unserem Spesenabrechnungssystem?“ – schnell gelöscht ist gelöscht? Derzeit sind die Chats jedenfalls in den USA noch vorhanden, da ChatGPT aufgrund einer richterlichen Anordnung in einem Beweissicherungsverfahren zur Aufbewahrung aller Daten auf unbestimmte Zeit verpflichtet wurde. Und abgesehen davon: Viele Nutzer verzichten ohnehin darauf, ihre Chats zu löschen, weil sie sie für unproblematisch halten (trotz hoher Gefahr von Fehlinterpretation und Missverständlichkeiten). Außerdem kann die KI nur dann aus früheren Antworten lernen und sich anpassen (Deep-Learning), wenn die Daten – jedenfalls zeitweise – erhalten bleiben.

Vor diesem Hintergrund: Es wird, denke ich, nicht mehr lange dauern, bis die Staatsanwaltschaft bei einer Durchsuchung nicht mehr in erster Linie auf die Messenger Nachrichten schaut, sondern auf die Interaktion mit der KI.

Also: viel mehr Gefahren als gedacht; und nun sind Ihre Chats – ob mit anderen oder der KI – in der Ermittlungsakte. Aber die liest ja nur der Staatsanwalt? Und dem werden Sie sicherlich gut erklären können, was Sie gemeint haben mit: "Lass uns das durchziehen, unter dem Radar – sonst sind wir demnächst pleite… 😳“, und dass Sie Ihre Nachrichten nur aus Klimaschutzgründen gelöscht haben, an Ihrem persönlichen "Delete to protect the planet day“? 

Es sollen schon vollständige Ermittlungsakten an die Presse gegangen sein. Und ganz legal dürfen ggf. sehr viele weitere Personen einen Blick in die Akte werfen, z.B. auch Ihr Chef. Und der dürfte sich sehr dafür interessieren, weshalb Sie ihn für einen "kleinkrämerischen Bedenkenträger in albernen Pullundern ohne unternehmerischen Weitblick“ halten.

Zusammengefasst: Es lohnt sich, das Thema ernst zu nehmen. Ich habe Großverfahren gesehen, deren Schicksal an zwei Telegram-Nachrichten hing.

Was kann man tun? Ein Bewusstsein für die Risiken schaffen. Im beruflichen Kontext nicht missverständlich und möglichst ohne Emojis kommunizieren. Und den "New York Times-Test“ durchführen: Könnte mein Chat auf Seite 1 stehen, ohne dass ich damit ein Problem hätte?

Ihr Strafverteidiger wird es Ihnen danken.

Dr. Simone Kämpfer ist Partnerin bei Freshfields und leitet die Wirtschaftsstrafrechtspraxis der Kanzlei in Zentraleuropa. Sie berät und verteidigt Unternehmen sowie Einzelpersonen in komplexen Wirtschafts- und Steuerstrafverfahren – auch im Bereich Compliance, interner Untersuchungen und MeToo-Fällen. Kämpfer wurde sowohl 2023 als auch 2024 von der Wirtschaftswoche als beste Compliance-Anwältin Deutschlands ausgezeichnet. Vor ihrer Tätigkeit als Strafverteidigerin war sie Staatsanwältin in Düsseldorf im Bereich Wirtschaftskriminalität.