Herausforderungen bei internen Compliance-Untersuchungen für die Compliance-Verantwortlichen

Worum geht es genau bei internen Compliance-Untersuchungen?

Dr. Hastenrath: Mit sogenannten Internal Investigations werden frühzeitig mögliche Rechtsverstöße mit unternehmensinternen Maßnahmen aufgespürt. Wenn es dennoch zu Rechtsverstößen kommt – wie beispielsweise im Diesel-Abgasskandal – dann müssen derartige Vorwürfe intern aufgearbeitet werden.

Wer ist für eine Compliance-Untersuchung im Unternehmen verantwortlich?

Dr. Hastenrath: Üblicherweise ist für solche Untersuchungen die Compliance-Abteilung beziehungsweise der Compliance Officer zuständig. Dabei ist die Zusammenarbeit mit weiteren Schnittstellen wie Datenschutzbeauftragten, der Revisionsabteilung, Personalabteilung oder dem Betriebsrat erforderlich.

Was kann ein Auslöser für eine interne Compliance-Untersuchung sein?

Dr. Hastenrath: Oft ist es ein Hinweis, der intern oder extern – teilweise anonym – bei dem Unternehmen eingeht. Darauf muss das Unternehmen aufbauen und Nachforschungen anstellen. Hinweise können auch aus betriebsinternen Prüfungen wie der Revisionsprüfung oder durch allgemeine Prozesse wie dem Reporting stammen.

Wie sollte eine Compliance-Untersuchung aufgebaut werden?

Dr. Hastenrath: Zunächst muss man sich über den Aufbau der Compliance-Untersuchung Gedanken machen, um nicht konzeptlos zur Tat zu schreiten. Juristen, die die Funktion des Compliance Officers in Unternehmen bekleiden, verfügen oft nicht über die nötige Ausbildung, was eine systematische Analyse betrifft. Wenn man durch einen Hinweis den ersten Anknüpfungspunkt hat, muss dieser genau analysiert und daraufhin die Untersuchung geplant werden.

Einer der häufigsten Fehler bei der Untersuchung ist nämlich vorschnelles Handeln. Bei Eingang eines Hinweises muss etwa versucht werden, diesen mit dem Hinweisgeber auf dessen Plausibilität zu prüfen. Denn es gibt auch Hinweise, an denen nichts dran ist. Dann müssen bei der weiteren Untersuchung rechtliche Rahmenbedingungen wie Datenschutzregeln beachtet werden. Das Ganze geschieht unter erheblichem Zeitdruck, da Unternehmen natürlich daran gelegen ist, möglichst schnell einen Beleg zu finden, der beweist, dass das Unternehmen nicht in Gesetzesbrüche verwickelt ist.

Anschließend sind Planung und Durchführung der Gesamtuntersuchung an die Hand zu nehmen. Dazu gehören namentlich Mitarbeiterbefragungen, E-Discovery, Krisenmanagement und Kommunikation. Häufig steht nämlich bereits die Presse vor der Tür und erwartet eine Stellungnahme vom Unternehmen.

Der Abschluss enthält einen Untersuchungsbericht mit wichtigen Informationen zu weiteren Schritten. Regelmäßig muss das Compliance Management System (CMS) angepasst werden, um kein Organisationsverschulden nach §130 OWiG zu begehen.

Welche Herausforderungen gibt es bei internen Compliance-Untersuchungen?

Dr. Hastenrath: Wie bereits erwähnt baut die Presse häufig Druck auf, da Vorfälle oft schneller an die Öffentlichkeit geraten als man denkt. Zeitdruck ist die erste große Herausforderung für Unternehmen.

Es muss außerdem ganz genau geplant werden, wie mit dem Hinweisgeber umgegangen wird, denn auf der einen Seite fordert der Hinweisgeber oftmals weitreichenden Schutz vor möglichen Repressalien, auf der anderen Seite kann er mit Weitergabe seines Hinweises an Aufsichtsrat, Inhaber, Presse oder Staatsanwaltschaft drohen. Es ist daher gründlich abzuwägen, in wieweit der Hinweisgeber Zusicherungen überhaupt erhalten kann und sollte, und wie genau er über mögliche Erkenntnisse der internen Ermittlungen in Kenntnis gesetzt werden sollte. Bei der Aufklärung des Hinweises müssen Gesetze beachtet werden. Denken Sie beispielsweise an Arbeitnehmerrechte, Datenschutzrechte und prozessuale Grenzen. Die Informationen müssen so erhoben werden, dass sie im Prozess verwendet werden dürfen. Wenn das Unternehmen beispielsweise seinen Mitarbeitern die private Nutzung der Rechner erlaubt, ist fraglich, ob man überhaupt Zugriff auf E-Mails anfordern darf oder ob man so gegen Gesetze wie das Telemedien- oder Telekommunikationsgesetz verstoßen würde.

Eine weitere Herausforderung ist die Gesprächsführung mit Mitarbeitern, die unter Wahrung der Gesetze sowie mit dem notwendigen Fingerspitzengefühl geführt werden müssen.

Bei internen Untersuchungen kann die Nutzung von Datenbanken wie Lexis Diligence^® von LexisNexis durchaus sinnvoll sein, um Informationen, zum Beispiel des Hinweisgebers soweit es sich nicht um rein interne Informationen handelt, auf deren Werthaltigkeit zu prüfen. Auch stellt sich am Ende der Ermittlung die Frage, wie das Ermittlungsergebnis möglichst revisionssicher, also nicht manipulierbar, dokumentiert werden kann. Auch hier kann eine technische Unterstützung durch Produkte wie die von LexisNexis hilfreich sein, um den Sorgfalts- und Dokumentationspflichten unternehmensseitig nachzukommen.

Mit welchen Konsequenzen müssen Unternehmen rechnen, wenn Fehler bei internen Untersuchungen gemacht werden?

Dr. Hastenrath: Fehler führen meist dazu, dass es für Unternehmen sehr teuer wird, da dann beträchtliche Bußgelder anfallen. Weitere Folgen können Reputationsschäden sein. Die Rückgewinnung des Vertrauens der Verbraucher kann ebenfalls ganz erhebliche Kosten nach sich ziehen.

Auch der Abschlussbericht, der von der Staatsanwaltschaft beziehungsweise vom Gericht oftmals gelesen werden kann, da er in der Regel nicht rechtlich privilegiert ist und somit dem behördlichen beziehungsweise gerichtlichen Zugriff entzogen wäre, kann das Unternehmen belasten. Es ist eine Gratwanderung wie ein solcher Bericht formuliert wird und erfordert spezifisches Know-How, besonders wenn eine persönliche Haftung im Raum steht.

Warum ist das Thema so schwierig für viele Compliance-Officer, die eine juristische Ausbildung haben?

Dr. Hastenrath: Der Grund liegt oft auf der Hand: Interne Compliance-Untersuchungen sind nicht Teil der traditionellen Ausbildung. Juristen können Gesetze lesen und anwenden, Rechtsgutachten schreiben. Aber diese forensischen Fälle, bei denen man Daten auswerten muss, sich mit der Kommunikation beschäftigt und all das noch auf nationaler sowie internationaler Ebene – wird bisher in der juristischen Ausbildung sträflich vernachlässigt.

Besteht hier also eine Ausbildungslücke?

Dr. Hastenrath: Ja, definitiv. Und diese Lücke muss geschlossen werden, da es sonst sehr teuer für Unternehmen werden kann. Ich nenne Ihnen einen klassischen Fall zur Illustration: Die Staatsanwaltschaft war im Unternehmen und hat einen Raum versiegelt. Am nächsten Tag war das Siegel gebrochen, nach Unternehmensaussage unwissentlich durch die Putzfrau. Die Staatsanwaltschaft schenkte dem Unternehmen keinen Glauben und setzte eine höhere Strafe von rund 30 % an. Konkret hätte hier der Compliance Officer in einem Notfallplan darauf hinweisen müssen, dass versiegelte Räume keinesfalls von Mitarbeitern betreten werden dürfen.

Genauso fatal wären große Löschungsaktionen, bevor die Staatsanwaltschaft Prüfungen vornehmen kann. Man benötigt eine tiefergehende Ausbildung, die sich genau mit solchen Praxisbeispielen beschäftigt.

Was sollte man Ihrer Meinung nach gegen die Ausbildungslücke für Compliance Officer tun?

Dr. Hastenrath: Es ist sinnvoll, sich als Compliance Officer ein Netzwerk zu schaffen, in dem man sich austauschen kann. Eine tiefergehende Ausbildung macht ebenfalls Sinn, da beispielsweise in beiden ISO-Normen (ISO 19600 und 37001) steht, dass Compliance Officer entsprechend ausgebildet sein müssen. Darin sollten Unternehmen investieren, damit zumindest Red Flags bekannt sind und der grobe Prüfungsablauf bei internen Untersuchungen beherrscht wird.

Die ZHAW (Züricher Hochschule für angewandte Wissenschaften) hat einen Master in Compliance für Compliance-Praktiker der DACH-Region entwickelt. Eines der Module, die auch separat besucht werden können, heißt Compliance Investigation und führt mit hochrangigen Praktikern durch die einzelnen Bereiche von Analyse, Planung, Durchführung und Abschluss.

Wer diesen Kurs erfolgreich durchlaufen hat, wird sein Unternehmen erheblich sicherer und besser durch mögliche Untersuchungen führen und im besten Fall dem Unternehmen viel Geld und Reputationsverluste ersparen.