Standorte anzeigenInternal Investigations: „Ohne digitale Helfer geht es heute nicht mehr“
Interne Untersuchungen dienen dazu, potenzielle Compliance-Verstöße aufzuklären. Was sollten Unternehmen dabei beachten? Wir sprachen mit Tim Ahrens, Partner Forensic & Integrity Services bei EY.
Ausgelöst wird eine interne Untersuchung in der Regel dadurch, dass ein Unternehmen Hinweise auf Compliance-relevantes Fehlverhalten erhält. Das können Verstöße gegen interne Richtlinien oder gegen externe Gesetze und Regularien sein. Ein Großteil der Hinweise erreicht die Unternehmen mittlerweile schriftlich oder per Telefon über Hinweisgeber-Systeme. Die Compliance-Abteilung prüft dann, ob der Hinweis relevant ist, und entscheidet, ob eine interne Untersuchung durchgeführt wird.
Wir haben mit Tim Ahrens, Partner Forensic & Integrity Services bei EY, über die wichtigsten Fragen zum Thema Internal Investigations gesprochen.
Ist das Unternehmen verpflichtet, eine interne Untersuchung durchzuführen?
In vielen Fällen besteht eine gesetzliche Aufklärungspflicht, die sich aus den jeweils relevanten Rechtsvorschriften ergibt, etwa dem Gesellschaftsrecht oder dem Arbeitsrecht. Auch das Hinweisgeberschutzgesetz und das neue Lieferkettengesetz verpflichten Unternehmen dazu, Hinweisen nachzugehen. Interne Untersuchungen sind eigentlich immer rechtlich getrieben. Seitdem das Hinweisgeberschutzgesetz in Kraft getreten ist, sehen wir einen deutlichen Anstieg an internen Untersuchungen.
Welche Vorteile können sich für Unternehmen ergeben?
Wer Vorfälle rasch aufklärt, kann mögliche Schäden für das Unternehmen begrenzen. Außerdem stärkt das Unternehmen seine Compliance-Kultur, indem es zeigt, dass es Hinweise auf Verstöße ernst nimmt und untersucht. Am Ende dient der Abschlussbericht einer internen Untersuchung auch dazu, die bestehenden Prozesse zu überarbeiten. Gibt es Schwachstellen? Welche Kontrollen waren nicht wirksam? Wo und wie sollte die Prävention verbessert werden? So können Unternehmen Optimierungspotenzial identifizieren.
Wie läuft eine interne Untersuchung eigentlich ab?
In der Regel beauftragt die Compliance-Abteilung entweder die interne Revision oder einen externen Dienstleister mit der Untersuchung des Sachverhaltes. Im ersten Schritt geht es darum, diesen aufzuarbeiten. Beispielsweise bei Verdacht auf Reisekostenbetrug würde man sich die Richtlinien und Prozesse ansehen und den Vorgang untersuchen. Passen die Belege zur Reise? Ist alles plausibel dargestellt und im Einklang mit der Richtlinie? In komplexeren Fällen ist meist auch eine sogenannte E-Discovery nötig, bei der man die E-Mail-Kommunikation und digitale Daten im Hinblick auf die Reise analysiert. Gibt es Hinweise, dass der Mitarbeiter gar nicht am vorgegebenen Ort war? Wenn man alle Beweise gesammelt hat, führt man Gespräche mit möglichen Zeugen und ein Gespräch mit der tatverdächtigen Person, konfrontiert sie mit den Ermittlungsergebnissen und schließt die Untersuchung ab. Sofern sich die Vorwürfe bestätigt haben, erfolgen in der Regel Sanktionen gegen den oder die Mitarbeiter:in.
Gibt es Fälle, in denen man die Strafverfolgungsbehörden einschalten muss?
Dass eine interne Untersuchung zu einer Strafanzeige führt, ist eher die Ausnahme, da es nur wenig Delikte gibt, die Unternehmen anzeigen müssen. Es gibt aber Delikte, die das Unternehmen ggf. melden muss, zum Beispiel wenn der Verdacht der Geldwäsche besteht.
Was müssen Unternehmen bei einer internen Untersuchung rechtlich beachten?
Das Unternehmen muss natürlich aufpassen, dass es die Untersuchung immer rechtlich begleitet und selbst keine Compliance-Verstöße bei der Aufklärung begeht. Außerdem sollte man mögliche Fristen im Auge behalten, etwa für eine mögliche außerordentliche Kündigung. Ein dediziertes Gesetz, das die Durchführung von internal Investigations regelt, gibt es in Deutschland nicht. Der rechtliche Rahmen setzt sich aus den verschiedenen Gesetzen zusammen, die bei der Untersuchung zu beachten sind, wie z.B. Datenschutz, Arbeitsrecht, Strafrecht, Gesellschaftsrecht. Somit können Beweise, die das Unternehmen nicht im Einklang mit den verschiedenen Gesetzen erhoben hat, am Ende vor Gericht kaum eingebracht werden.
Können Sie ein paar Beispiele geben?
Nehmen wir die persönliche Befragung: Die Leute, die die Untersuchung durchführen, müssen genau wissen, wann und unter welchen Umständen sie mit dem Mitarbeiter sprechen dürfen. In einigen Unternehmen gibt es dazu Betriebsvereinbarungen, die Befragungen von Mitarbeitern im Rahmen von internen Untersuchungen regeln. Dort kann dann etwa festgelegt sein, dass eine Befragung nur im Beisein des Betriebsrats oder eines Rechtsbeistands und nach Vorankündigung mit bestimmtem Vorlauf erlaubt ist. Auch beim Erheben und Auswerten von physischen wie auch elektronischen Daten muss man sehr vorsichtig sein. Anders als eine Strafverfolgungsbehörde darf das Unternehmen keine privaten Daten von Mitarbeitern auswerten. Und natürlich darf ich kein Gespräch heimlich aufzeichnen, ohne den Betroffenen vorher zu informieren, sonst mache ich mich gegebenenfalls selbst strafbar.
Muss der Betriebsrat vorab informiert werden?
Es gibt kein allgemeines Beteiligungsrecht des Betriebsrats bei internen Untersuchungen. Aus einer Betriebsvereinbarung kann sich unter Umständen eine Informationspflicht ergeben. Dort steht dann, inwieweit wer und in welchem Umfang zu informieren ist – zum Beispiel nur der Betriebsratsvorsitzende oder der Gesamtbetriebsrat. Grundsätzlich sollte das Unternehmen immer prüfen, ob eine Maßnahme aus arbeitsrechtlicher Sicht mitbestimmungspflichtig ist oder der Betriebsrat ein Informationsrecht hat.
Wie aufwändig ist denn eine interne Untersuchung?
Das hängt immer vom Einzelfall ab. Ein einfacher Verstoß gegen die Reisekostenrichtlinie lässt sich häufig schon innerhalb von ein bis zwei Wochen aufklären. Komplexe Ermittlungen, etwa bei Kartellverstößen oder größeren Bestechungsvorwürfen, können dagegen auch mal Jahre dauern. Häufig muss die komplette Kommunikation der Mitarbeiter sichten und umfangreiche Datenanalysen durchführen. Besonders komplex wird es, wenn sich die Vorwürfe auch auf Gesellschaften im Ausland erstrecken, sodass Untersuchungen in verschiedenen Ländern erforderlich sind. Das kostet viel Zeit, weil verschiedene Jurisdiktionen berücksichtigt werden müssen.
Klingt kompliziert. Welche Kompetenzen braucht man dafür?
Sehr verschiedene. Daher sind Internal-Investigations-Teams in größeren Unternehmen und bei externen Spezialisten interdisziplinär aufgestellt. Sie brauchen Mitarbeiter, die sich rechtlich auskennen – und zwar auf allen relevanten Rechtsgebieten. Je nach Compliance-Verstoß vielleicht auch auf einem Spezialgebiet wie dem Umweltrecht. Ein Jurist alleine reicht da meist nicht aus. Außerdem brauchen Sie jemanden, der mit der Buchhaltung vertraut ist, Bilanzen analysieren kann und die steuerrechtlichen Implikationen kennt. Dazu kommen Personen, die für Interviews geschult sind, und Kriminalisten, die wissen, wie man Ermittlungen durchführt und Beweise rechtssicher aufbereitet. Eine ganz wichtige Rolle spielen heute zudem die IT-Forensiker, die Daten von Notebooks, Handys oder anderen Geräten sichern und auswerten.
Schaffen Unternehmen all das überhaupt alleine? Welche Möglichkeiten haben KMUs, die keine eigene Compliance-Abteilung haben?
Natürlich muss man immer abwägen, ob man über die nötigen Kompetenzen und Ressourcen verfügt, um eine interne Untersuchung selbst durchzuführen. Kaum ein KMU beschäftigt IT-Forensiker. Große Unternehmen haben dagegen meist eine eigene Investigations-Abteilung. Aber auch sie entscheiden sich in komplexen Fällen häufig dafür, externe Spezialisten zu beauftragen, sei es eine Wirtschaftsprüfungsgesellschaft oder eine Rechtsanwaltsgesellschaft. Denn wenn eine Untersuchung zu umfangreich ist, stoßen die Unternehmen an ihre Grenzen.
Wie unterstützen digitale Tools und Prozesse bei internen Untersuchungen?
Ohne digitale Helfer geht es heute nicht mehr. Eine interne Untersuchung ist häufig vom Prozess her an eine Revisionsprüfung angelehnt. Daher kommen ähnliche Tools zum Einsatz, wie sie Revisionsabteilungen oder auch Wirtschaftsprüfer nutzen, um beispielsweise Buchhaltungsdaten und Informationen zu Personen und zum Unternehmen grafisch darzustellen. Am Wichtigsten sind aber IT-forensische Tools, etwa zur Wiederherstellung gelöschter Daten auf einem Notebook oder zur Analyse von digitaler Kommunikation sowie Transaktionen in Buchhaltungssystemen.
Welche Rolle spielt dabei KI?
Schon heute wird KI im Bereich E-Discovery eingesetzt, um zum Beispiel Informationen vorzusortieren oder E-Mails auf Inhalte zu durchsuchen, die für die Untersuchung relevant sind. Das spart Zeit und kann die Qualität der Ergebnisse steigern. Eine KI kann insbesondere bei der Datenanalyse unterstützen und Zusammenhänge erkennen, die ein Mensch bei der Durchführung einer internen Untersuchung vielleicht gar nicht sieht. Aber natürlich muss man auch sehr genau wissen wie man die KI richtig nutzt. Nehmen wir zum Beispiel ChatGPT: Wenn Sie dort eine Frage, einen sogenannten Prompt, nicht ganz präzise stellen, erhalten Sie eine Antwort, die gegebenenfalls falsch ist, und es werden relevante Informationen übersehen oder nicht gefunden. Für Unternehmen, die wenig Erfahrung mit internen Untersuchungen haben, ist der Einsatz von ChatGPT unter Umständen eher ein Risiko als eine Hilfe. Künftig werden sicherlich noch viele weitere neue KI-Tools auf den Markt kommen, die Unternehmen bei der Durchführung von internen Untersuchungen unterstützen können. Wir alle müssen lernen, mit ihnen umzugehen und die Tools für uns zu nutzen.
Praxisbezogene Tipps zur Digitalisierung von Prozessen in der Compliance mit einem Fokus auf Informationssicherheit und Datenschutz.
