DICO veröffentlicht Compliance­standard für interne Untersuchungen

Beitrag als PDF (Download)

Internal Investigations“ gehören mittlerweile zum Pflichtprogramm bei Verdachtsfällen und sind ein Standardelement der Compliancepraxis. Sie sind vielfach aber auch mit erheblicher Rechtsunsicherheit verbunden und für Unternehmen ein „Minenfeld“. Der neue Standard „Interne Untersuchungen“ des DICO – Deutsches Institut für Compliance e.V. erläutert Rechtsrahmen und Fallstricke und liefert eine prozessuale und methodische Richtschnur zu Organisation und Durchführung.

Aufklärung ist mittlerweile keine Frage ­­ des „Ob“!
Interne Untersuchungen sind ein wesentlicher Bestandteil eines funktionierenden Compliancemanagementsystems (CMS). Jedes Unternehmen hat die Pflicht, auftretende Verdachtsmomente unverzüglich aufzuklären, im Fall ihres Fortbestehens diese unmittelbar abzustellen und das festgestellte Fehlverhalten angemessen zu sanktionieren. Im Hinblick auf das „Ob“ der Aufklärung kommt der Unternehmensleitung grundsätzlich kein Ermessen zu (vgl. etwa Wagner, CCZ 2009, 8; Fleischer, NZG 2014, 321; Reichert/Ott, NZG 2014, 241; Ott/Lüneborg, CCZ 2019, 71 (72)). Die Aufklärung von Verdachtsmomenten für compliancerelevantes Fehlverhalten ist regelmäßig die zwingende Voraussetzung dafür, etwaige noch andauernde Rechtsverstöße abzustellen und Wiederholungen in der Zukunft auszuschließen. Darüber hinaus kann die ordnungsgemäße und angemessene Durchführung Vorteile bei der Strafzumessung oder Bußgeldbemessung bedeuten. Für US-Behörden sind die Strukturen sowie die Durchführung von internen Untersuchungen als wesentliche Kriterien bei der Frage der Erhebung einer Anklage sowie der Zumessung von Strafen gegen Unternehmen festgeschrieben (vgl. etwa den Leitfaden „Evaluation of Corporate Compliance Programs, Updated: April 2019“ des Department of Justice (DoJ)), und auch in Deutschland ist die Berücksichtigung von internen Untersuchungen als „Nachtat-Compliancemaßnahme“ zur Erschwerung vergleichbarer zukünftiger Normverletzung im Rahmen der Bemessung der Geldbuße höchstrichterlich bestätigt (BGH, Urteil vom 09.05.2017 – 1 StR 265/16, NZWiSt 2018, 379; mit Anmerkung Jenne/Martens, CCZ 2017, 285 (288)).

Rechtliches Spannungsfeld bei der Durchführung
Jedes Unternehmen sollte daher angemessene Strukturen und Prozesse zur Aufdeckung („Detect“) von sowie zum Umgang („Respond“) mit Verstößen vorhalten. Obwohl interne Untersuchungen mithin zum Standardprogramm zur Vermeidung bestandsgefährdender Risiken und einer guten und verantwortlichen Unternehmensorganisation und -führung gehören, stellt die Durchführung von internen Untersuchungen nach wie vor für alle Beteiligten im Unternehmen eine besondere Herausforderung dar. Das Spannungsfeld aus gesellschaftsrechtlichen Haftungsregelungen, Straf- oder Ordnungswidrigkeitenrecht sowie datenschutz- und arbeitsrechtlichen Fallstricken, gegebenenfalls angereichert durch spezielle aufsichts- oder kapitalmarktrechtliche Regulierung (zur Ad-hoc-Publizitätspflicht nach Art. 17 Verordnung (EU) Nr. 596/2014 (MAR) bei internen Untersuchungen vgl. Mülbert/Sajnovits, WM 2017, 2041 ff.)), gewinnt bei einem mehrere Jurisdiktionen überspannenden Sachverhalt durch den „Wettstreit“ verschiedener Strafverfolgungsbehörden sowie gegebenenfalls konkurrierender nationaler Regelungen weiter an Komplexität. Diese dürfte auch nicht durch die Reform des Rechts der Unternehmenssanktionen und internen Untersuchung (vgl. BT-Drucks. 19/9443) bzw. ein Verbandssanktionengesetz verringert werden.
Die große Koalition hat sich das hehre Ziel gesetzt, durch gesetzliche Vorgaben zu internen Untersuchungen Rechtssicherheit zu schaffen und zugleich gesetzliche Anreize zur Aufklärungshilfe durch „Internal Investigations“ und zur anschließenden Offenlegung der hieraus gewonnenen Erkenntnisse zu setzen. Der vieldiskutierte inoffizielle Entwurf oder Arbeitsstand aus August 2019 bemüht sich um klarstellende Regelungen zu Durchsuchung und Beschlagnahme von bei internen Untersuchungen gewonnenen Erkenntnissen. Außerdem geht es, und zwar mittelbar über die Honorierung lediglich fairer Untersuchungen, um die Frage, in welchem Umfang Mitarbeiter intern im Rahmen von Befragungen Auskünfte geben und sich gegebenenfalls selbst belasten müssen. Nach Monaten des Ressortabstimmungspatts wurde jüngst ein Kompromiss verkündet. Die im Bundesministerium der Justiz und für Verbraucherschutz (BMJV) geplante und derzeit noch umstrittene Trennung von nach der gesetzlichen Konzeption zu honorierender interner Untersuchung bei ununterbrochener und uneingeschränkter Kooperation von der (auch) der Verteidigung dienenden Untersuchung verkennt die praktischen Gegebenheiten und Erfordernisse insbesondere der Vielzahl kleinerer und zeitkritischer Untersuchungen. Die offene Ausgestaltung und Vielzahl unbestimmter Rechtsbegriffe erzeugt zudem nicht die angestrebte Rechtssicherheit, sondern birgt vielmehr weiteres erhebliches Verunsicherungspotential. Immerhin scheint die zuvor vorgesehene, vermeintlich selbstverständliche, praktisch allerdings äußerst problematische Generalklausel, dass interne Untersuchungen „in Übereinstimmung mit den geltenden Gesetzen durchgeführt“ werden müssen, gestrichen. Ungeachtet der mit den geplanten Vorgaben zu „fairen“ Befragungen einhergehenden Vermengung privatrechtlicher Verhältnisse mit strafprozessualen Vorgaben (vgl. etwa Bittmann/Brockhaus/von Coelln/Heuking, NZWiSt 2019, 1 (8)) ist eine weitergehende, praxisorientierte Regelung von Aufbau und Ablauf interner Untersuchungen gleichwohl nicht zu erwarten.

DICO-Standard Interne Untersuchungen
Orientierung liefert der im Herbst 2019 neu gefasste „Standard – Interne Untersuchungen“ des DICO. Ausgehend von der 2015 veröffentlichten DICO-Leitlinie L04 – Interne Untersuchungen wurden weitergehende prozessuale und methodische Branchenstandards durch den Arbeitskreis „Interne Untersuchungen“ erarbeitet und im Rahmen des Projekts „Compliance und Integrität – Kompetenzpaket“ am Via­drina Compliance Center wissenschaftlich angereichert. Der Standard gliedert sich ein in ein vom KBA-NotaSys Integrity Fund gefördertes Gesamtprojekt, das zusätzlich die Entwicklung eines allgemeinen CMS-Standards („basic model“) sowie weiterer neun Compliancestandards zu spezifischen Elementen und Themen umfasst.
Der Standard dient als Leitfaden für interne Untersuchungen und liefert eine praxisorientierte Richtschnur für Unternehmen jedweder Größe oder Branche. Der Fokus gilt dem deutschen Rechtsraum, enthält allerdings ausgewählte Hinweise zu grenzüberschreitenden Sachverhalten.

Ziele, Gründe und rechtliche Hintergründe
Beleuchtet werden zunächst die Ziele und Gründe interner Untersuchungen und wesentliche Grundprinzipien sowie die Funktion im Rahmen des CMS und die rechtlichen Rahmenbedingungen interner Untersuchungen. Aufgrund der herausragenden Bedeutung des Datenschutzes bei internen Untersuchungen werden die seit Mai 2018 umzusetzende Datenschutz-Grundverordnung (DSGVO) und das neugefasste BDSG sowie die damit verbundenen Herausforderungen für eDiscovery und Datenübermittlung an Dritte im EU-Inland und -Ausland und die Auswirkungen der Informationspflichten und anderer Betroffenenrechte nach DSGVO detailliert dargestellt.

Aufbau- und Ablauforganisation
Die erforderliche ordnungsgemäße Durchführung von internen Untersuchungen durch qualifiziertes Personal setzt strukturelle Vorarbeiten im Unternehmen voraus. Aus der Pflicht zur Vermeidung von Zuwiderhandlungen gegen Unternehmenspflichten folgt eine entsprechende Organisationspflicht der Unternehmensleitung für die Aufbau- und Ablauforganisation für interne Untersuchungen. Vorab müssen die Strukturen und Prozesse definiert und dokumentiert werden, die sicherstellen, dass im konkreten Fall Untersuchungen unabhängig und angemessen durchgeführt und dokumentiert werden. Wesentlich sind hierbei insbesondere die Verortung der Verantwortung über die Bestimmung der untersuchungsverantwortlichen Funktion, der Personen und die Festlegung der maßgeblichen Regelungen für den Entscheidungsprozess. Gleichermaßen sind die Abläufe und Prozesse zur Durchführung von internen Untersuchungen – einschließlich einer cross-funktionalen Zusammenarbeit – im Einzelnen festzulegen. Daneben wird in der Praxis regelmäßig ein „Investigation Code“ mit den Grundprinzipien und zentralen internen Verhaltensvorgaben für interne Untersuchungen verfasst.

Durchführung der internen Untersuchung
Die Durchführung der internen Untersuchung beginnt mit der Aufnahme von Anhaltspunkten für relevantes Fehlverhalten und mit der Validierung derselben. Zentrale Bedeutung ist sodann einem dokumentierten Mandat für die interne Untersuchung sowie der Festlegung einer angemessenen Reichweite („properly scoped“) und Zielsetzung beizumessen. Betont wird ferner „begin promptly but be prepared“: Das Untersuchungsteam ist zusammenzustellen, Quellen sind zu definieren und ggf. zu sichern, und ein Ablaufplan ist festzulegen. Ausweislich des Standards können interne Untersuchungen im Einzelfall zwar auch durch unternehmensinterne Untersuchungspersonen „unabhängig“ durchgeführt werden, abhängig von Kritikalität, Komplexität, intern vorhandenem Untersuchungs-Know-how oder schlicht aufgrund ausländischer (behördlicher) Vorgaben könnte indessen der Rückgriff auf die Unterstützung durch Externe – auch unter Berücksichtigung der Auswirkungen der sogenannten Jones-Day-Entscheidungen des BVerfG – erforderlich sein.

Sichtweisen von Staatsanwaltschaft und Bundeskriminalamt
Neu und ausführlich werden im Rahmen des Standards die kritischen Herausforderungen rund um Einbindung oder Kooperation mit Behörden beleuchtet. Um angemessen die von Unternehmen regelmäßig nicht oder unzureichend berücksichtigten Erwartungen und Problemstellungen der Ermittlungsbehörden an parallel oder überschneidend ablaufende interne Untersuchungen abbilden zu können, wurden an dieser Stelle die Sichtweisen von Vertretern von Staatsanwaltschaft und Bundeskriminalamt mitverarbeitet.

Praxisstandards und Hilfestellungen
Abweichend von der Vorgängerfassung der Leitlinie werden im neugefassten Dokument zudem detaillierte Praxisstandards und Hilfestellungen zu den Untersuchungshandlungen im Einzelnen gegliedert nach Hintergrundrecherchen, physischen Dokumenten, elektronischen Dokumenten (strukturierte und unstrukturierte Daten) sowie Befragungen dargestellt. Besonderes Augenmerk verdienen dabei etwa die Ausführungen zur Entscheidung über die Belehrungsinhalte bei Befragungen, abgestuft von Mindestinhalten bei reinen Informationsaufnahmegesprächen zu erweiterten Belehrungsformeln etwa bei Konfrontationsgesprächen. In der Praxis ist hier nach wie vor häufig kein reflektiertes Vorgehen erkennbar, obgleich der konkreten Ausformulierung der Belehrung untersuchungstaktische Bedeutung zukommt und ihr aufgrund des ermittlungsbehördlichen Kollisionspotentials und internationaler Vorgaben besondere Sorgfalt zu widmen ist – nach der wiederholt angekündigten, aber unverändert ausstehenden Gesetzesnovellierung in Deutschland zukünftig sogar in weiter gesteigertem Maße.

Fazit und Ausblick
Im Ergebnis überträgt der neugeschaffene DICO-Standard die zuletzt intensiv aufgeflammte rechtstheoretische Auseinandersetzung in die Praxis. Dabei soll der Diskurs zu internen Untersuchungen mit der Veröffentlichung nicht abgeschlossen sein. Compliance-Praktiker und Wissenschaft sind aufgerufen, an der Weiterentwicklung der Praxisstandards mitzuwirken.

tim.ahrens@de.ey.com

till.schmitt@fvsag.com

Aktuelle Beiträge