Version 2.0 | Stand: 20. April 2026 | Letzte vollständige Aktualisierung: April 2026 | Nächste Überprüfung: Oktober 2026
Auf einen Blick: Interne Untersuchungen im Unternehmen
Eine interne Untersuchung im Unternehmen ist die eigenverantwortliche Aufklärung eines Compliance-Verdachts durch externe Strafverteidiger — Rechtsgrundlage sind §§ 91, 93 AktG, § 43 GmbHG und § 130 OWiG. Sofortmaßnahmen: Mandat an externe Strafverteidiger, Legal Hold, DSFA nach Art. 35 DSGVO, keine Mitarbeiter-Kommunikation mit Behörden ohne Abstimmung. Kein Legal Privilege für interne Untersuchungsunterlagen (BVerfG, Beschl. v. 27.06.2018 – 2 BvR 1405/17).
Was tun, wenn ein Hinweisgeber meldet, ein leitender Mitarbeiter habe systematisch Rechnungen manipuliert? Oder wenn die Staatsanwaltschaft ankündigt, morgen früh um 6 Uhr mit einem Durchsuchungsbeschluss zu erscheinen? Interne Untersuchungen gehören heute zu den anspruchsvollsten Aufgaben eines General Counsel — und zu den risikoreichsten, wenn sie falsch geführt werden. Dieser Leitfaden gibt Ihnen einen strukturierten Überblick über Ablauf, Rechtsgrundlagen und typische Fallstricke. Das Thema Interne Untersuchungen Unternehmen ist dabei von zentraler Bedeutung.
Was ist eine interne Untersuchung im Unternehmen und wann ist sie erforderlich?
Eine interne Untersuchung (Internal Investigation) ist ein strukturierter, dokumentierter Prozess, mit dem ein Unternehmen eigenverantwortlich einen Verdacht auf Fehlverhalten aufklärt — bevor, während oder nach dem Einschalten staatlicher Behörden. Sie dient gleichzeitig der Sachverhaltsaufklärung, der Schadenbegrenzung und der Demonstration von Compliance-Ernsthaftigkeit gegenüber Behörden.
Eine interne Untersuchung ist typischerweise erforderlich, wenn:
- ein Hinweis über das Hinweisgeberschutzsystem (HinSchG) eingeht, der auf strafrechtlich relevantes Verhalten deutet,
- Revisionsbefunde oder Forensikberichte auf systematische Unregelmäßigkeiten hinweisen,
- Behörden (Staatsanwaltschaft, BaFin, Kartellamt) Ermittlungen einleiten oder ankündigen,
- eine Dawn Raid (Hausdurchsuchung) stattgefunden hat,
- ein Mitarbeiter oder Geschäftspartner belastendes Material nach außen trägt,
- das Unternehmen kooperieren möchte, um Bußgeldminderungen nach § 30 OWiG oder den einschlägigen Kartell-Leniency-Programmen zu erzielen.
Der häufigste Fehler in der Praxis ist nicht das Zu-spät-Handeln, sondern das Handeln ohne klares anwaltliches Mandat, ohne Datenschutzkonzept und ohne vorherige Sicherung der Verteidiger-Kommunikation. Die drei Weichen werden in den ersten 48 Stunden nach einem Hinweis gestellt.
Rechtsgrundlagen interner Untersuchungen in Deutschland
In Deutschland existiert kein einheitliches Gesetz, das interne Untersuchungen regelt. Die Rechtsgrundlage ergibt sich aus einem Zusammenspiel gesellschafts-, ordnungswidrigkeiten-, datenschutz-, arbeits- und strafprozessrechtlicher Normen. Wer die dogmatische Verankerung kennt, kann Mandatsgrenzen und Beschlagnahmerisiken präzise einschätzen.
Gesellschaftsrecht — die Pflichtentrias
Die zentrale Aufklärungspflicht der Unternehmensleitung folgt aus der Legalitätspflicht (§§ 76 Abs. 1, 93 Abs. 1 AktG für die AG; § 43 Abs. 1 GmbHG analog für die GmbH) und der Überwachungspflicht nach § 91 Abs. 2 AktG. Bei hinreichenden Verdachtsmomenten für compliancerelevantes Fehlverhalten steht der Unternehmensleitung beim „Ob“ der Aufklärung grundsätzlich kein Ermessen zu — die Rechtsprechung spricht von der sog. Pflichtentrias „Aufklären – Abstellen – Ahnden“. Das „Wie“ unterliegt der Business Judgment Rule (§ 93 Abs. 1 S. 2 AktG). Die Folge einer Verletzung dieser Pflicht ist eine persönliche Schadensersatzhaftung des Vorstands bzw. Geschäftsführers mit Beweislastumkehr (§ 93 Abs. 2 S. 2 AktG, § 43 Abs. 2 GmbHG). Das LG München I hat diese Haftung im sog. Neubürger-Urteil (Urt. v. 10.12.2013 – 5 HK O 1387/10) beispielhaft konkretisiert.
Ordnungswidrigkeitenrecht
§ 30 OWiG ermöglicht Unternehmensgeldbüßen bis zu 10 Mio. EUR bei vorsätzlichen und bis zu 5 Mio. EUR bei fahrlässigen Anknüpfungstaten (§ 30 Abs. 2 OWiG). Darüber hinaus kann nach § 30 Abs. 3 i.V.m. § 17 Abs. 4 OWiG der aus der Tat gezogene wirtschaftliche Vorteil zusätzlich abgeschöpft werden — die gesetzliche Obergrenze wird dann faktisch durchbrochen. Prominente Fälle wie die Siemens-Bußgelder (395 Mio. EUR) belegen, dass die realen Sanktionssummen weit oberhalb der nominellen Obergrenze liegen können.
§ 130 OWiG sanktioniert die Aufsichtspflichtverletzung des Betriebsinhabers: Wer zumutbare Aufsichtsmaßnahmen unterlässt, haftet selbst bußgeldrechtlich — auch dann, wenn der eigentliche Verstoß von einem Mitarbeiter begangen wurde. Der BGH hat entschieden, dass bei der Bemessung der Unternehmensgeldbuße nach § 30 OWiG ein effizientes Compliance-Management-System sanktionsmildernd zu berücksichtigen ist und auch die nachträgliche Optimierung bußgeldrelevant wirkt (BGH, Urt. v. 09.05.2017 – 1 StR 265/16). Mit Urteil vom 06.03.2024 – 1 StR 308/23 hat der 1. Strafsenat zudem klargestellt, dass wegen jeder rechtlich selbständigen Anknüpfungstat eine gesonderte Geldbuße nach § 30 Abs. 1 OWiG festzusetzen ist — bei Serientaten kann das die Gesamtbelastung vervielfachen.
Zur Rolle des Compliance Officers und dessen Haftungsrisiken im Kontext von Ordnungswidrigkeitenverfahren vgl. den Leitfaden zur Compliance Officer Haftung.
Bußgeld- und Haftungsrahmen auf einen Blick
| Norm | Adressat | Rahmen | Besonderheit |
|---|---|---|---|
| § 30 Abs. 2 Nr. 1 OWiG | Unternehmen, vorsätzliche Anknüpfungstat | Bis 10 Mio. EUR | Durch § 30 Abs. 3 i.V.m. § 17 Abs. 4 OWiG Abschöpfung des wirtschaftlichen Vorteils zusätzlich |
| § 30 Abs. 2 Nr. 2 OWiG | Unternehmen, fahrlässige Anknüpfungstat | Bis 5 Mio. EUR | Wie oben |
| § 130 OWiG | Betriebsinhaber, Aufsichtspflichtverletzung | Bis 1 Mio. EUR (Vorsatz); bei § 30-Anknüpfung bis 10 Mio. EUR | § 9 OWiG überträgt die Pflicht auf Organe und Leitungspersonen |
| § 93 Abs. 2 AktG / § 43 Abs. 2 GmbHG | Vorstand / Geschäftsführer | Voller Schadensersatz, Beweislastumkehr | ARAG/Garmenbeck-Rechtsprechung: Aufsichtsrat ist grundsätzlich zur Geltendmachung verpflichtet |
| Art. 83 Abs. 5 DSGVO | Verantwortlicher | Bis 20 Mio. EUR oder 4 % weltweiter Jahresumsatz | Der jeweils höhere Betrag greift |
| § 40 HinSchG | Beschäftigungsgeber | Bis 50.000 EUR (je Verstoß); 20.000 EUR für Nicht-Einrichtung | Seit 02.07.2023 |
| § 371 AO | Steuerpflichtige (nur Steuerstraftaten) | Strafbefreiung bei vollständiger Nacherklärung | Nicht für allgemeine Straftaten; strenge Vollständigkeitspflicht |
Datenschutzrecht
Untersuchungsmaßnahmen, die personenbezogene Daten verarbeiten, müssen mit DSGVO und BDSG vereinbar sein. Zentrale Norm ist § 26 BDSG: Die Verarbeitung zur Aufdeckung von Straftaten ist nur zulässig, wenn dokumentierte Anhaltspunkte bestehen, die Maßnahme verhältnismäßig ist und weniger einschneidende Mittel nicht ausreichen. Für systematische Datenerhebungen im Rahmen interner Untersuchungen ist nach Art. 35 DSGVO zu prüfen und bei voraussichtlich hohem Risiko für die Betroffenen eine Datenschutz-Folgenabschätzung (DSFA) erforderlich. DSGVO-Bußgelder reichen nach Art. 83 Abs. 5 DSGVO bis zu 20 Mio. EUR oder 4 % des weltweiten Konzernumsatzes.
Arbeitsrecht
Die Mitwirkungs- und Auskunftspflicht des Arbeitnehmers folgt aus §§ 666, 675 BGB, § 241 Abs. 2 BGB sowie dem Direktionsrecht des Arbeitgebers (§ 106 GewO). Der nemo-tenetur-Grundsatz gilt im Arbeitsverhältnis nicht unmittelbar. Das BVerfG hat im Gemeinschuldner-Beschluss (Beschl. v. 13.01.1981 – 1 BvR 116/77, BVerfGE 56, 37) jedoch klargestellt, dass Aussagen, die unter Auskunftszwang erlangt werden, im Strafverfahren einem Verwertungsverbot unterliegen, wenn keine gesetzliche Ausnahmeregelung existiert. Für die Befragungs-Praxis bedeutet das: Arbeitsrechtliche Auskunftspflicht ist grundsätzlich möglich; bei strafrechtlicher Selbstbelastungsgefahr ist eine Einzelfallprüfung erforderlich. Unter Zwang erlangte Angaben können strafprozessual unverwertbar sein.
Strafprozessrecht — Beschlagnahmeschutz
§§ 97, 148 StPO regeln den Schutz der Verteidigerkommunikation. Zentrale Grenze: Das Beschlagnahmeverbot greift nur, wenn das betroffene Unternehmen Beschuldigter oder beschuldigtenähnlich ist. Bei einer reinen Compliance-Beratung ohne konkrete Verteidigungsdimension besteht kein umfassender Beschlagnahmeschutz — das hat das BVerfG in den Jones-Day-Beschlüssen vom 27.06.2018 (2 BvR 1405/17 u.a.) bestätigt und der EGMR mit Urteil vom 21.11.2024 (Kock u.a./Deutschland und Jones Day/Deutschland, Nr. 1022/19 und 1125/19) final bekräftigt. Praxisfolge: Kein automatischer Schutz allein wegen einer internen Untersuchung. Wer den Beschlagnahmeschutz anstreben will, sollte das Mandat explizit als Strafverteidigungsmandat ausgestalten und die Dokumentation entsprechend segmentieren.
Wie läuft eine interne Untersuchung ab? (Phasen)
Eine professionell geführte interne Untersuchung gliedert sich typischerweise in fünf Phasen:
Phase 1: Initialanalyse und Mandatserteilung (Tag 1–3)
Sobald ein Verdacht besteht, muss unverzüglich ein externes Anwaltsteam mandatiert werden. Externe Strafverteidiger können den Schutz der Verteidigerkommunikation stärken; ein automatischer Beschlagnahmeschutz ist damit nicht sichergestellt. Maßgeblich sind Beschuldigtenstatus, Verteidigungsbezug, Mandatszuschnitt und Dokumententrennung. Internen Rechtsabteilungen fehlt in Deutschland der erforderliche Unabhängigkeitsstatus. Das Mandat sollte schriftlich erteilt werden und explizit die Strafverteidigungs- bzw. Beratungskomponente benennen.
Phase 2: Beweissicherung und Document Hold (Tag 1–5)
Parallel zur Mandatserteilung wird ein sogenannter Legal Hold ausgesprochen: Alle betroffenen Mitarbeiter und IT-Systeme werden angewiesen, relevante Unterlagen nicht zu löschen. E-Mails, Messengerdaten, Buchhaltungsbelege und Reisekostenabrechnungen werden forensisch gesichert. Jede Verzögerung bei diesem Schritt kann als Beweismittelvereitelung gewertet werden.
Phase 3: Dokumentenanalyse und Forensik (Woche 1–4)
Anhand der gesicherten Daten wird der Sachverhalt rekonstruiert. IT-Forensiker und Wirtschaftsprüfer werden je nach Komplexität einbezogen. In größeren Verfahren kommen e-Discovery-Plattformen (z. B. Relativity, Nuix) zum Einsatz, die eine effiziente Durchsuchung großer Datenmengen ermöglichen.
Phase 4: Mitarbeiterbefragungen (Woche 2–6)
Befragungen von Zeugen und Beschuldigten erfolgen nach klarem Befragungsprotokoll. Hierzu gehört die Vorabinformation über Rechte und Pflichten. Der nemo-tenetur-Grundsatz (niemand ist verpflichtet, sich selbst zu belasten) gilt im Strafverfahren uneingeschränkt; im Arbeitsverhältnis besteht hingegen eine arbeitsvertragliche Auskunftspflicht — deren Grenzen müssen sorgfältig abgesteckt werden.
Phase 5: Bericht und Maßnahmen (Woche 6–12)
Der Abschlussbericht dokumentiert Sachverhalt, Rechtsbewertung und Empfehlungen. Er bildet die Grundlage für arbeitsrechtliche Maßnahmen, Strafanzeigen oder die Kooperation mit Behörden. Qualitätsstandards für solche Berichte finden sich u. a. in den IBA Guidelines on Party Representation in International Arbitration sowie den Grundsätzen des Deutschen Anwaltvereins für interne Untersuchungen (2020).
Aktuelle Rechtsprechung zu internen Untersuchungen (2018–2026)
Die deutsche und europäische Rechtsprechung hat in den letzten acht Jahren zentrale Leitplanken für interne Untersuchungen gesetzt. Sechs Entscheidungen sind für jede Mandatsstrategie heute unverzichtbar.
Synopse der Leitentscheidungen
| Gericht | Aktenzeichen | Kernaussage | Praxis-Konsequenz |
|---|---|---|---|
| BVerfG | 2 BvR 1405/17 u.a., Beschl. v. 27.06.2018 (Jones Day) | Kein Legal Privilege für interne Untersuchungen ohne Beschuldigtenstatus | Mandat explizit als Strafverteidigung ausgestalten, Tochtergesellschaften separat mandatieren |
| EGMR | Nr. 1022/19 und 1125/19, Urt. v. 21.11.2024 (Kock u.a./Jones Day v. Germany) | Durchsuchung bei externer Kanzlei verletzt Art. 8 EMRK nicht, wenn Mandant nicht Beschuldigter ist | BVerfG-Linie europarechtlich bestätigt — kein Rückzugsraum |
| BGH | 1 StR 265/16, Urt. v. 09.05.2017 | Effizientes CMS wirkt bußgeldmindernd nach § 30 OWiG; auch nachträgliche Optimierung zählt | „Compliance-Defence“ ist höchstrichterlich anerkannt |
| BGH | 1 StR 308/23, Urt. v. 06.03.2024 | Für jede rechtlich selbständige Anknüpfungstat separate Geldbuße nach § 30 Abs. 1 OWiG | Bei Serientaten vervielfacht sich das Bußgeldrisiko — Aufklärungsreichweite zählt |
| BAG | 2 AZR 296/22, Urt. v. 29.06.2023 | Datenschutzverstöße führen regelmäßig nicht zum Beweisverwertungsverbot im Kündigungsschutzprozess | „Datenschutz ist kein Täterschutz“ — aber: bei schwerwiegenden Grundrechtseingriffen anders |
| BVerfG | 1 BvR 116/77, Beschl. v. 13.01.1981 (Gemeinschuldner) | Erzwungene Auskunft → strafprozessuales Verwertungsverbot, soweit keine gesetzliche Ausnahme | Arbeitsvertragliche Aussage kann im Strafverfahren unverwertbar sein — bei richtiger Prozessführung |
Jones Day: Die Grenzen des Anwaltsprivilegs
Das BVerfG hat 2018 entschieden: Wer allein eine interne Untersuchung in Auftrag gibt, ohne bereits Beschuldigter zu sein, kann sich nicht auf § 97 Abs. 1 Nr. 3 StPO berufen. Eine beschuldigtenähnliche Stellung setzt voraus, dass eine künftige Nebenbeteiligung oder Einziehungsbeteiligung „nach objektiven Gesichtspunkten überwiegend wahrscheinlich“ ist. Für die Konzernstruktur gilt: Tochtergesellschaften werden nicht in den Schutz eines Mandatsverhältnisses der Muttergesellschaft einbezogen.
Der EGMR hat diese Auslegung am 21.11.2024 bestätigt: Die Durchsuchung der Kanzleiräume verletze Art. 8 EMRK nicht, weil das Mandat auf interne Untersuchung beschränkt und nicht auf die „Kernverteidigungsrolle“ im deutschen Strafverfahren ausgerichtet war. Für die Verteidigungspraxis folgt: Das Mandat muss von Anfang an als Strafverteidigungsmandat im deutschen Ermittlungsverfahren ausgestaltet werden; Internal-Investigation-Mandate sollten personell und organisatorisch von der Unternehmensverteidigung getrennt werden.
BAG-Linie zur Beweisverwertung
Der 2. Senat des BAG hat seit 2018 eine klare verwertungsfreundliche Linie etabliert: Selbst bei datenschutzrechtlich nicht einwandfreier Datenerhebung ist im Kündigungsschutzprozess grundsätzlich kein Verwertungsverbot anzunehmen, solange keine schwerwiegende Grundrechtsverletzung vorliegt. Die Entscheidung BAG, Urt. v. 29.06.2023 – 2 AZR 296/22 stellt zudem klar: Auch eine Betriebsvereinbarung, die ein Verwertungsverbot anordnet, bindet die Gerichte nicht. Gleichwohl bleibt die sorgfältige Datenschutz-Dokumentation Pflicht — wegen der aufsichtsrechtlichen Bußgeldrisiken nach Art. 83 DSGVO.
Verteidigungshinweis
Aus Verteidigerperspektive bedeutet die Rechtsprechung: Die Reihenfolge der Schritte in den ersten 72 Stunden entscheidet über den späteren Beschlagnahmeschutz. Wer zunächst ein allgemeines Compliance-Mandat erteilt und erst später eine „Verteidigungskomponente“ ergänzt, riskiert, dass die Gerichte die frühen Untersuchungsunterlagen als nicht privilegiert ansehen. Empfohlen wird daher eine doppelte Mandatsarchitektur von Beginn an: ein explizites Strafverteidigungsmandat für die Kommunikation zwischen Unternehmen und Verteidiger einerseits, ein separat dokumentiertes Untersuchungsmandat für die Sachverhaltsaufklärung andererseits.
Welche Rechte haben beschuldigte Mitarbeiter?
Ein häufig unterschätzter Aspekt: Auch im Rahmen interner Untersuchungen haben beschuldigte Mitarbeiter erhebliche Rechte. Deren Verletzung kann die gesamte Untersuchung juristisch angreifbar machen.
Auskunftsverweigerungsrecht vs. arbeitsvertragliche Mitwirkungspflicht: Im laufenden Arbeitsverhältnis besteht grundsätzlich eine Pflicht zur Auskunft über betriebliche Vorgänge. Sobald jedoch strafrechtliche Konsequenzen drohen, kollidiert diese Pflicht mit dem nemo-tenetur-Grundsatz. Der Mitarbeiter darf die Aussage verweigern, soweit sie ihn strafrechtlich belasten würde. Das Unternehmen darf aus dieser Verweigerung keine arbeitsrechtlichen Konsequenzen ziehen.
Recht auf rechtlichen Beistand: Der Mitarbeiter hat das Recht, zu Befragungen einen eigenen Anwalt hinzuzuziehen. Das Unternehmen kann nicht erzwingen, dass der Mitarbeiter ohne anwaltliche Begleitung erscheint.
Datenschutzrechtliche Informationspflichten: Nach DSGVO Art. 13/14 muss der Mitarbeiter über die Verarbeitung seiner personenbezogenen Daten informiert werden — auch im Rahmen einer Untersuchung. Ausnahmen gelten nur, soweit die Information den Untersuchungserfolg gefährden würde (§ 29 BDSG).
Betriebsrat: Soweit ein Betriebsrat besteht, sind dessen Mitbestimmungsrechte (§§ 80 ff. BetrVG) zu beachten, insbesondere bei der Einführung technischer Überwachungsmaßnahmen (§ 87 Abs. 1 Nr. 6 BetrVG).
Hinweisgeberschutzgesetz und interne Untersuchungen
Seit Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) am 2. Juli 2023 können interne Untersuchungen in bestimmten Fällen geboten sein; eine automatische Pflicht zur Durchführung in jedem Fall ergibt sich aus dem HinSchG allein nicht. Das Gesetz setzt die EU-Richtlinie 2019/1937 um und zwingt Unternehmen ab 50 Beschäftigten, eine interne Meldestelle einzurichten (§ 12 Abs. 2 HinSchG) und eingehende Meldungen strukturiert zu bearbeiten.
Pflichten der internen Meldestelle
| § HinSchG | Pflicht | Frist / Besonderheit |
|---|---|---|
| § 13 | Betrieb der Meldestelle, Unabhängigkeit, Fachkunde | Laufend; Interessenkonflikte vermeiden |
| § 16 | Meldekanäle (mündlich, schriftlich, persönlich) | Mindestens 2 Kanäle; anonyme Meldungen möglich, aber nicht zwingend |
| § 17 Abs. 1 | Eingangsbestätigung an Hinweisgeber | 7 Tage nach Eingang |
| § 17 Abs. 2 | Rückmeldung an Hinweisgeber zu geplanten Folgemaßnahmen | 3 Monate nach Eingangsbestätigung |
| § 18 | Folgemaßnahmen: Eigene Untersuchung, Weiterleitung, Abschluss | Ermessen, aber dokumentationspflichtig |
| § 8 | Vertraulichkeitsgebot (Hinweisgeber und Beschuldigter) | Verstoß: Bußgeld |
| § 40 | Bußgeldrahmen für HinSchG-Verstöße | Bis 50.000 EUR; für Nicht-Einrichtung bis 20.000 EUR |
Zusammenspiel von HinSchG-Meldung und interner Untersuchung
Geht über die Meldestelle ein Hinweis auf eine Straftat ein, muss das Unternehmen im Rahmen des § 18 HinSchG entscheiden, ob es eine interne Untersuchung einleitet. Drei Grundsätze gelten dabei:
- Vertraulichkeitsgebot nach § 8 HinSchG: Die Identität der hinweisgebenden Person darf grundsätzlich nur den Mitarbeitern der Meldestelle bekannt sein. Eine spätere Weitergabe ist nur mit Einwilligung oder nach § 9 HinSchG zulässig.
- Repressalienverbot nach § 36 HinSchG: Der Hinweisgeber darf wegen seiner Meldung keine arbeitsrechtlichen Nachteile erleiden. Eine Kündigung nach Meldung ist nach § 36 Abs. 2 HinSchG beweislastumgekehrt.
- BaFin-Auslegungshinweise 2024: Bei geldwäscherechtlichen Verstößen geht § 6 Abs. 5 GwG dem HinSchG als speziellere Norm vor (BaFin-Hinweisgeberstelle).
Kapitalmarktrechtliche Zusatzdimension: Art. 17 MAR
Für börsennotierte Unternehmen ist zusätzlich die Ad-hoc-Publizitätspflicht nach Art. 17 MAR zu prüfen. Sobald eine interne Untersuchung den Verdacht einer kursrelevanten Compliance-Verletzung erhärtet, kann eine Insiderinformation entstehen, die unverzüglich zu veröffentlichen oder nach Art. 17 Abs. 4 MAR aufzuschieben ist. Mit dem EU Listing Act (Verordnung (EU) 2024/2809 vom 23.10.2024) werden ab dem 5. Juni 2026 wird die Ad-hoc-Pflicht neu zugeschnitten und stärker auf das finale Ereignis fokussiert; Zwischenschritte können aber weiterhin Insiderinformationen darstellen. Die Koordination zwischen Untersuchungsteam, Rechtsabteilung und Kapitalmarkt-Compliance muss ab Tag 1 stehen.
Was gilt bei der Mitarbeiterbefragung — und wo beginnt der DSGVO-Konflikt?
Mitarbeiterbefragungen im Rahmen interner Untersuchungen sind datenschutzrechtlich sensibel. § 26 BDSG erlaubt die Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses — einschließlich der Aufklärung von Straftaten — aber nur unter strengen Bedingungen:
- Es müssen dokumentierte Anhaltspunkte für eine Straftat oder schwerwiegende Pflichtverletzung vorliegen.
- Die Maßnahme muss verhältnismäßig sein — eine anlasslose Überwachung aller Mitarbeiter ist unzulässig.
- Weniger einschneidende Mittel dürfen nicht ausreichen.
Besonders heikel: Auswertung privater E-Mails oder Messengernachrichten auf Unternehmensgeräten, sofern deren private Nutzung erlaubt ist. In diesem Fall kann das Unternehmen unter Umständen wie ein Telekommunikationsanbieter behandelt werden, was eine Auswertung ohne Einwilligung faktisch unmöglich macht.
Praxistipp: Erstellen Sie vor Beginn jeder Untersuchung ein Datenschutzkonzept, das Zweck, Umfang und Rechtsgrundlage der Datenverarbeitung dokumentiert. Dies schützt nicht nur vor Bußgeldern, sondern auch vor der Unverwertbarkeit von Beweismitteln im späteren Verfahren.
DSGVO-Bußgelder können nach Art. 83 Abs. 5 DSGVO bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes erreichen — ein Risiko, das General Counsel nicht ignorieren dürfen.
Technische Überwachungsmaßnahmen und Mitbestimmung des Betriebsrats
Soweit im Rahmen interner Untersuchungen technische Einrichtungen eingesetzt werden, die zur Verhaltens- oder Leistungsüberwachung von Mitarbeitern geeignet sind — etwa Keylogger, Bildschirmaufzeichnungen, E-Mail-Monitoring oder Zutrittskontrollsysteme — greift das Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG. Eine Betriebsvereinbarung oder zumindest eine vorherige Abstimmung mit dem Betriebsrat ist in solchen Fällen zwingend erforderlich. Fehlende Mitbestimmung kann erhebliche Folgen haben, führt aber nicht automatisch zur Unverwertbarkeit.
E-Mail-Forensik: Anforderungen, Grenzen und Datensparsamkeit
Die forensische Auswertung von E-Mails ist ein häufig genutztes Mittel in internen Untersuchungen — und gleichzeitig eines der datenschutzrechtlich heikelsten. Folgende Grundsätze sind zu beachten:
- Erlaubnis nur bei dienstlicher Nutzung: Ist die private Nutzung dienstlicher E-Mail-Accounts untersagt, darf das Unternehmen auf die E-Mails zugreifen — vorausgesetzt, es liegen die Voraussetzungen des § 26 BDSG vor.
- Private Nutzung erlaubt = erhöhte datenschutz- und persönlichkeitsrechtliche Anforderungen: Hat das Unternehmen die private Nutzung erlaubt oder geduldet, bestehen erhöhte Anforderungen. Die Frage, ob das Unternehmen wie ein Telekommunikationsanbieter zu behandeln ist (§ 3 TKG), ist rechtlich streitig und im Wandel.
- Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO): Es dürfen nur die E-Mails ausgewertet werden, die für den Untersuchungszweck unmittelbar relevant sind. Eine anlasslose Totalauswertung ist unzulässig.
- Stichwortsuche vor Volleinsicht: Zur Wahrung der Verhältnismäßigkeit empfiehlt sich eine zweistufige Prüfung — zunächst automatisierte Stichwortsuche, dann manuelle Prüfung nur der Treffer.
Praxisempfehlung: Datenschutz-Folgenabschätzung vor Untersuchungsbeginn
Art. 35 DSGVO verpflichtet Unternehmen zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA), wenn die geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. Interne Untersuchungen erfüllen dieses Kriterium regelmäßig — insbesondere bei systematischer Auswertung von Kommunikationsdaten, IT-Forensik oder Videoüberwachung. Die DSFA sollte folgende Punkte dokumentieren:
- Beschreibung der geplanten Verarbeitungsvorgänge und deren Zweck
- Bewertung der Notwendigkeit und Verhältnismäßigkeit
- Bewertung der Risiken für die betroffenen Personen
- Geplante Abhilfemaßnahmen (technische und organisatorische Schutzmaßnahmen)
Eine fehlende DSFA kann selbst Gegenstand eines Bußgeldverfahrens werden. Der Datenschutzbeauftragte des Unternehmens ist frühzeitig einzubeziehen.
Wie verhält sich das Unternehmen gegenüber der Staatsanwaltschaft?
Die Frage der Kooperation mit Strafverfolgungsbehörden ist eine der strategisch bedeutsamsten Entscheidungen in einer internen Untersuchung. Sie steht in einem Spannungsfeld zwischen der Kooperationspflicht (die in Deutschland gesetzlich nicht existiert, aber faktisch bußgeldmildernd wirkt) und dem Selbstbelastungsverbot (nemo tenetur se ipsum accusare).
Praxishinweis: Dawn Raids — Was tun, wenn Ermittler vor der Tür stehen?
Eine Hausdurchsuchung (Dawn Raid) ist für jedes Unternehmen ein Ausnahmezustand. Die nächsten 60 Minuten entscheiden oft über den weiteren Verlauf des Verfahrens. Folgende Sofortmaßnahmen sind zwingend:
- Sofort Anwalt anrufen — noch bevor die Ermittler das Gebäude betreten. Externe Strafverteidiger sind rund um die Uhr erreichbar zu halten.
- Durchsuchungsbeschluss verlangen und prüfen — Umfang, Datum, betroffene Räume, Tatvorwurf.
- Schweigen — kein Mitarbeiter darf ohne anwaltliche Begleitung Aussagen machen.
- Schattenprotokoll führen — eigene Liste der sichergestellten Unterlagen und Datenträger anfertigen.
- Keine freiwillige Herausgabe über den Beschlussumfang hinaus.
Der häufigste Fehler ist die spontane Auskunftsbereitschaft. Ermittlungsbeamte sind darin geschult, freundlich wirkende Fragen zu stellen, deren Antworten protokolliert und später als Beweismittel verwendet werden. Deshalb gilt: Keine Aussage ohne anwaltliche Begleitung, auch nicht „informell“ oder „nur zur Klärung“.
Aktive Kooperation — ja oder nein?
Entscheidet sich das Unternehmen zur aktiven Kooperation (freiwillige Übergabe von Unterlagen, Benennung von Zeugen, Selbstanzeige), kann dies zu erheblichen Bußgeldreduzierungen führen. Voraussetzung ist aber, dass die interne Untersuchung bereits abgeschlossen oder weit fortgeschritten ist und das Unternehmen den Sachverhalt vollständig kontrolliert. Eine voreilige Kooperation ohne vollständige Sachverhaltskenntnis ist riskant.
Keine generelle Kooperationspflicht — aber faktische Bedeutung
Ein fundamentaler Grundsatz: In Deutschland gibt es keine gesetzliche Kooperationspflicht gegenüber der Staatsanwaltschaft. Unternehmen sind nicht verpflichtet, intern gewonnene Erkenntnisse proaktiv an Strafverfolgungsbehörden zu übermitteln oder Ermittlungen aktiv zu unterstützen. Das Recht auf Schweigen gilt nicht nur für Individuen, sondern findet über den nemo-tenetur-Grundsatz auch auf Unternehmensebene Anwendung.
Dennoch hat freiwillige Kooperation in der Praxis erhebliche faktische Bedeutung: Staatsanwaltschaften und Bußgeldbehörden honorieren kooperatives Verhalten regelmäßig durch Strafmilderung nach § 30 OWiG. In Verfahren der BaFin, des Bundeskartellamts oder der Staatsanwaltschaft kann dies zu einer erheblichen Reduktion von Bußgeldern führen. Echte Deferred Prosecution Agreements nach US-Vorbild kennt das deutsche Recht nicht; Kooperation kann Verfahrensbeendigung, Strafmilderung oder Bußgeldminderung beeinflussen.
Risiken der voreiligen Kooperation
Voreilige Kooperation — ohne vollständige interne Sachverhaltsaufklärung — birgt erhebliche Risiken:
- Selbstbelastung: Werden Informationen übergeben, bevor die Reichweite des Fehlverhaltens bekannt ist, können diese Informationen gegen das Unternehmen oder einzelne Mitarbeiter verwendet werden.
- Verlust der Kontrolle über den Prozess: Sobald die Staatsanwaltschaft den Sachverhalt kennt, gibt das Unternehmen die Steuerung des Verfahrensablaufs weitgehend ab.
- Widersprüchliche Aussagen: Kooperieren verschiedene Mitarbeiter unabgestimmt mit Behörden, entstehen widersprüchliche Schilderungen, die das Vertrauen der Behörden erschüttern können.
Regel: Jeder Kontakt mit Staatsanwaltschaft, Kartellamt, BaFin oder anderen Ermittlungsbehörden — ob telefonisch, schriftlich oder persönlich — muss vorab mit dem externen Strafverteidiger abgestimmt werden. Spontane Aussagen oder die unvorbereitete Übergabe von Unterlagen können einen erheblichen Verfahrensnachteil begründen.
Wann empfiehlt sich eine Selbstanzeige?
Eine Selbstanzeige — d. h. die freiwillige Offenbarung von Fehlverhalten gegenüber Behörden — kann im Einzelfall strategisch sinnvoll sein, birgt aber erhebliche Risiken.
Mögliche Vorteile:
- Bußgeldminderung nach § 30 OWiG (in der Praxis bis zu 50 % und mehr)
- Leniency-Programme im Kartellrecht (Kronzeugenregelung)
- Vermeidung von Reputationsschäden durch kontrollierte Kommunikation
- Stärkere Verhandlungsposition gegenüber Behörden
Voraussetzungen:
- Der Sachverhalt ist intern vollständig aufgeklärt.
- Es besteht keine anderweitig laufende behördliche Untersuchung zu demselben Sachverhalt.
- Das Unternehmen ist bereit, die verantwortlichen Personen zu benennen und Wiedergutmachung zu leisten.
Im Steuerrecht gelten für die strafbefreiende Selbstanzeige besonders strenge Anforderungen (§ 371 AO): Vollständigkeit ist Pflicht — eine teilweise Offenbarung heilt den Straftatbestand nicht und kann die Situation verschlechtern. Die strafrechtliche Verjährung bei besonders schwerer Steuerhinterziehung beträgt 15 Jahre nach § 376 Abs. 1 AO (§ 370 Abs. 3 AO); die steuerliche Festsetzungsfrist beläuft sich auf 10 Jahre (§ 169 Abs. 2 S. 2 AO). Beide Fristen sind bei der Prüfung einer Selbstanzeige parallel zu beachten.
Die Entscheidung für oder gegen eine Selbstanzeige muss von spezialisierten Strafverteidigern begleitet werden und darf nicht ohne vollständige Sachverhaltskenntnis getroffen werden.
Steuerrecht: Strafbefreiende Selbstanzeige nach § 371 AO
Im Steuerrecht existiert mit § 371 AO eine gesetzlich geregelte strafbefreiende Selbstanzeige — jedoch nur für den Tatbestand der Steuerhinterziehung (§ 370 AO). Sie setzt voraus:
- Vollständigkeit: Die Berichtigung muss alle unverjährten Steuerhinterziehungen der jeweiligen Steuerart umfassen. Eine teilweise Offenbarung — die sogenannte „verunglückte Selbstanzeige“ — führt nicht zur Straffreiheit.
- Rechtzeitigkeit: Die Selbstanzeige muss eingehen, bevor ein Prüfer erschienen ist, ein Strafverfahren eingeleitet wurde oder die Tat entdeckt war.
- Nachzahlung: Die hinterzogenen Steuern zuzüglich Zinsen und ggf. eines Strafzuschlags (bei Hinterziehungsbeträgen über 25.000 EUR) müssen fristgerecht entrichtet werden.
Die Verjährungsfrist beträgt bei besonders schwerer Steuerhinterziehung 15 Jahre (§ 376 AO), was die zeitliche Reichweite möglicher Selbstanzeigen erheblich ausdehnt.
Kartellrecht: Bonusregelung des Bundeskartellamts
Im Kartellrecht bietet die Bonusregelung des Bundeskartellamts (Leniency Policy, zuletzt aktualisiert 2021) dem ersten Unternehmen, das ein Kartell vollständig aufdeckt und mit der Behörde kooperiert, Bußgeldfreiheit. Für spätere Antragsteller sind Reduzierungen von bis zu 50 % möglich. Voraussetzungen sind:
- Vollständige und fortlaufende Kooperation mit dem Bundeskartellamt
- Einstellung der Kartellbeteiligung (außer auf Anweisung der Behörde)
- Keine Zerstörung von Beweismitteln nach Kenntnis des Verfahrens
Entscheidend: Der Leniency-Antrag muss vor einer möglichen Hausdurchsuchung gestellt werden, um maximalen Schutz zu erlangen. Das Bundeskartellamt vergütet die zeitliche Priorität — der erste Antragsteller gewinnt.
Allgemeines Strafrecht: Keine vergleichbare Regelung
Im allgemeinen Strafrecht — etwa bei Untreue (§ 266 StGB), Betrug (§ 263 StGB) oder Bestechung (§§ 331 ff. StGB) — gibt es keine dem § 371 AO oder der Leniency Policy vergleichbare gesetzliche Regelung. Kooperation kann als strafmildernd berücksichtigt werden (§ 46 Abs. 2 StGB), ist aber weder kodifiziert noch garantiert. Die Staatsanwaltschaft hat einen weiten Ermessensspielraum. Deshalb ist die Entscheidung zur Kooperation stets eine strategische Einzelfallabwägung unter Einbeziehung aller verfügbaren Informationen über den Verfahrensstand.
Welche häufigen Fehler machen Unternehmen bei internen Untersuchungen?
Aus der langjährigen Beratungspraxis lassen sich die folgenden Fehler immer wieder beobachten:
1. Zu späte Einschaltung externer Anwälte
Interne Rechtsabteilungen haben kein Anwaltsprivileg im strafrechtlichen Sinne. Wird die Untersuchung zunächst intern geführt und erst nach Wochen externalisiert, sind entscheidende Unterlagen möglicherweise bereits nicht mehr schutzfähig.
2. Fehlende oder unvollständige Legal Holds
Wenn Mitarbeiter Dateien löschen, weil kein rechtzeitiger Document Hold ausgesprochen wurde, kann dies als Beweisvereitelung gewertet werden — selbst wenn kein Vorsatz vorlag. Gerichte ziehen aus Beweismittelvernichtung regelmäßig nachteilige Schlüsse.
3. Befragungen ohne Belehrung
Befragungen ohne vorherige Hinweise auf das Aussageverweigerungsrecht, auf mögliche Konsequenzen und auf das Recht zur anwaltlichen Begleitung können arbeitsrechtlich anfechtbar sein und Beweise unverwertbar machen.
4. Vermischung von Compliance-Beratung und Strafverteidigung
Nicht jede anwaltliche Tätigkeit genießt das strafrechtliche Anwaltsprivileg der §§ 97, 148 StPO. Nur explizit strafverteidigende Mandate schützen Unterlagen vor der Beschlagnahme. Allgemeine Compliance-Mandate reichen dafür nicht aus.
5. Voreilige Kommunikation
Interne E-Mails, in denen Führungskräfte kommentieren, ob ein Verhalten „wohl strafbar“ sei oder was man „besser nicht schreiben sollte“, werden in Ermittlungen regelmäßig beschlagnahmt und können das Bild erheblich prägen.
6. Ignorieren des Datenschutzes
Untersuchungen, die personenbezogene Daten ohne ausreichende Rechtsgrundlage verarbeiten, riskieren DSGVO-Bußgelder und die Unverwertbarkeit der so gewonnenen Beweise.
7. Kein Krisenplan für Dawn Raids
Unternehmen ohne vorbereitetes Dawn-Raid-Protokoll reagieren im Ernstfall chaotisch. Das kostet wertvolle Zeit und hinterlässt bei Ermittlern den Eindruck mangelnder Compliance-Kultur.
Fazit — Checkliste für General Counsel
Interne Untersuchungen sind kein Selbstläufer. Sie erfordern juristisches Know-how, prozessuale Disziplin und eine klare Mandatsstrategie. Folgende Checkliste fasst die wichtigsten Sofortmaßnahmen zusammen:
| Maßnahme | Priorität | Verantwortlich |
|---|---|---|
| Externes Strafverteidigungsmandat erteilen | Sofort | GC / Vorstand |
| Legal Hold aussprechen (IT + alle betroffenen Abteilungen) | Tag 1 | IT / GC |
| Datenschutzkonzept für die Untersuchung erstellen | Tag 1–3 | Datenschutzbeauftragter / GC |
| Betriebsrat informieren (sofern betriebsverfassungsrechtlich erforderlich) | Tag 1–5 | HR / GC |
| Forensische Datensicherung beauftragen | Tag 1–5 | Externer IT-Forensiker |
| Kommunikationsstrategie intern festlegen (wer spricht mit wem?) | Tag 2 | GC / PR |
| Dawn-Raid-Protokoll vorbereiten / aktualisieren | Laufend | GC |
| Entscheidung über Kooperation mit Staatsanwaltschaft vorbereiten | Nach Phase 3 | GC / Strafverteidiger |
| Abschlussbericht mit Maßnahmenplan erstellen | Phase 5 | Externes Anwaltsteam |
Interne Untersuchungen sind keine bloße Compliance-Übung. Sie sind ein strategisches Instrument zur Schadensbegrenzung, zur Stärkung der Unternehmensintegrität und — wenn richtig geführt — zur Verbesserung der Verhandlungsposition gegenüber Strafverfolgungsbehörden. Wer die Grundlagen kennt und vorbereitet ist, kann auch in der Krise handlungsfähig bleiben.
Checkliste: 10 Schritte für General Counsel
| Schritt | Maßnahme | Rechtsgrundlage / Referenz |
|---|---|---|
| 1. Mandat erteilen | Schriftliches, explizit strafverteidigerisch formuliertes Mandat an externe Rechtsanwälte; organisatorische Trennung von Untersuchungs- und Verteidigungsmandat | §§ 97, 148 StPO; BVerfG 27.06.2018 – 2 BvR 1405/17 |
| 2. Legal Hold | Sofortige Weisung an IT und alle betroffenen Abteilungen zum Löschstopp aller relevanten Daten, E-Mails, Chats | Beweismittelvernichtungsrisiko |
| 3. DSFA durchführen | Datenschutz-Folgenabschätzung nach Art. 35 DSGVO; Rechtsgrundlage nach § 26 BDSG dokumentieren; Datenschutzbeauftragten einbinden | Art. 35 DSGVO; § 26 BDSG |
| 4. Betriebsrat beteiligen | Bei technischen Überwachungsmaßnahmen (Keylogger, Mail-Monitoring) Betriebsvereinbarung oder Abstimmung | § 87 Abs. 1 Nr. 6 BetrVG |
| 5. Behördenkontakt sperren | Interne Weisung: Keine eigenständige Kommunikation mit Ermittlungsbehörden; alle Kontakte über externen Verteidiger | Risiko der ungewollten Selbstbelastung |
| 6. Mitarbeiterrechte belehren | Upjohn-Warnung vor jeder Befragung: Anwaltsmandat dient ausschließlich dem Unternehmen, nicht dem Befragten | BVerfG 13.01.1981 – 1 BvR 116/77 (Gemeinschuldner) |
| 7. Befragungsprotokoll | Strukturierte Interviews nach festem Protokoll; Zeugen vor Beschuldigten befragen; schriftliche Dokumentation | Beweissicherung für arbeits- und strafrechtliche Weiterverwendung |
| 8. Ad-hoc-Prüfung (börsennotiert) | Fortlaufende Insiderinformations-Analyse nach Art. 17 MAR; ggf. Selbstbefreiung dokumentieren | Art. 17 MAR; EU Listing Act ab 05.06.2026 |
| 9. Abschlussbericht | Vollständige Sachverhaltsdarstellung mit Rechtsbewertung und Handlungsempfehlungen; Privilegierungsstatus sichern | Grundlage für Sanktionen, Kooperation, BaFin/Kartellamt |
| 10. Kooperationsentscheidung | Strategische Entscheidung über Behördenkooperation; Leniency-Antrag im Kartellrecht; § 371 AO-Selbstanzeige bei Steuersachverhalten | BGH 09.05.2017 – 1 StR 265/16; § 46 Abs. 2 StGB |
Häufige Fragen
Was ist eine interne Untersuchung im Unternehmen und wann ist sie rechtlich geboten?
Eine interne Untersuchung (Internal Investigation) ist die strukturierte, dokumentierte Aufklärung eines Compliance-Verdachts durch das Unternehmen selbst, meist mit externen Strafverteidigern. Sie ist gesellschaftsrechtlich geboten, sobald hinreichende Verdachtsmomente für Rechtsverstöße vorliegen — das ergibt sich aus der Legalitätspflicht nach §§ 91, 93 AktG und § 43 GmbHG. Die Rechtsprechung spricht von der Pflichtentrias „Aufklären – Abstellen – Ahnden“ (vgl. LG München I, Urt. v. 10.12.2013 – 5 HK O 1387/10 – Neubürger).
Welche Rechtsgrundlagen gelten für interne Untersuchungen in Deutschland 2026?
Es gibt kein einheitliches Gesetz. Maßgeblich sind §§ 91, 93 AktG, § 43 GmbHG (Legalitätspflicht), § 30 OWiG (Unternehmensbuße bis 10 Mio. EUR + Abschöpfung), § 130 OWiG (Aufsichtspflichtverletzung), § 26 BDSG und Art. 35 DSGVO (Datenverarbeitung), §§ 97, 148 StPO (Beschlagnahmeschutz bei Strafverteidigung), §§ 12–18 HinSchG (Pflichten bei Whistleblower-Meldungen) sowie §§ 80 ff., 87 Abs. 1 Nr. 6 BetrVG (Mitbestimmung).
Gilt das Anwaltsprivileg für Unterlagen aus einer internen Untersuchung?
Nicht automatisch. Das BVerfG hat in den Jones-Day-Beschlüssen vom 27.06.2018 (2 BvR 1405/17 u.a.) entschieden: Wer nur eine interne Untersuchung in Auftrag gibt, ist nicht automatisch „beschuldigtenähnlich“ im Sinne des § 97 StPO. Der EGMR hat diese Linie am 21.11.2024 (Kock u.a. v. Germany, Nr. 1022/19) bestätigt. Beschlagnahmeschutz besteht nur bei einem ausdrücklich als Strafverteidigung ausgestalteten Mandat. Für die Praxis: Mandat präzise formulieren, Untersuchungs- und Verteidigungsmandate organisatorisch trennen.
Muss ein Arbeitnehmer bei einer internen Untersuchung aussagen, wenn er sich selbst belasten würde?
Arbeitsrechtlich besteht grundsätzlich eine Auskunftspflicht aus §§ 666, 675 BGB und § 241 Abs. 2 BGB. Der strafrechtliche nemo-tenetur-Grundsatz gilt im Arbeitsverhältnis nicht unmittelbar. Allerdings hat das BVerfG im Gemeinschuldner-Beschluss (1 BvR 116/77, BVerfGE 56, 37) entschieden, dass unter Auskunftszwang erlangte Aussagen im Strafverfahren einem Verwertungsverbot unterliegen. Praktisch: Aussagen sind zwar zu machen, können aber mit sauberer Dokumentation strafrechtlich unverwertbar bleiben. Eine Belehrung über dieses Verwertungsverbot ist dringend zu empfehlen (sog. Upjohn-Warnung).
Wie hoch sind Unternehmensbußgelder bei Compliance-Verstößen nach § 30 OWiG?
Bei vorsätzlichen Anknüpfungstaten bis 10 Mio. EUR, bei fahrlässigen bis 5 Mio. EUR (§ 30 Abs. 2 OWiG). Zusätzlich kann nach § 30 Abs. 3 i.V.m. § 17 Abs. 4 OWiG der aus der Tat gezogene wirtschaftliche Vorteil abgeschöpft werden — ohne Obergrenze. Der BGH (Urt. v. 09.05.2017 – 1 StR 265/16) hat klargestellt, dass ein effizientes CMS sanktionsmildernd zu berücksichtigen ist. Mit Urt. v. 06.03.2024 – 1 StR 308/23 hat der BGH zudem entschieden, dass für jede selbständige Anknüpfungstat eine gesonderte Geldbuße anfällt.
Welche Pflichten hat die interne Meldestelle nach dem Hinweisgeberschutzgesetz?
Ab 50 Beschäftigten sind Unternehmen nach § 12 Abs. 2 HinSchG verpflichtet, eine interne Meldestelle zu betreiben. Pflichten: Eingangsbestätigung binnen 7 Tagen (§ 17 Abs. 1 HinSchG), Rückmeldung über Folgemaßnahmen binnen 3 Monaten (§ 17 Abs. 2 HinSchG), Wahrung der Vertraulichkeit nach § 8 HinSchG, Repressalienverbot nach § 36 HinSchG. Bei Verstößen drohen Bußgelder bis 50.000 EUR (§ 40 HinSchG). Bei geldwäscherechtlichen Hinweisen geht § 6 Abs. 5 GwG dem HinSchG als lex specialis vor.
Darf der Arbeitgeber E-Mails von Mitarbeitern im Rahmen einer internen Untersuchung auswerten?
Bei rein dienstlicher Nutzung: Ja, auf Grundlage von § 26 BDSG, wenn dokumentierte Anhaltspunkte für Straftat oder schwere Pflichtverletzung bestehen und die Auswertung verhältnismäßig ist. Das BAG hat mit Urt. v. 29.06.2023 – 2 AZR 296/22 und Urt. v. 24.08.2023 – 2 AZR 17/23 klargestellt, dass Datenschutzverstöße nicht automatisch zum Beweisverwertungsverbot führen — aber bei schwerwiegenden Grundrechtseingriffen schon.
Wie verhält sich das Unternehmen bei einer Hausdurchsuchung (Dawn Raid) richtig?
Sofortige Anforderungen: Externen Strafverteidiger vor dem Betreten durch Ermittler anrufen. Durchsuchungsbeschluss verlangen, Umfang und Tatvorwurf prüfen. Keine Aussagen von Mitarbeitern ohne anwaltliche Begleitung. Eigenes Schattenprotokoll aller sichergestellten Unterlagen führen. Keine freiwillige Herausgabe über den Beschlussumfang hinaus. Unterlagen der Verteidigerkorrespondenz separat kennzeichnen (§§ 97, 148 StPO). Vgl. auch den ausführlichen Leitfaden zur Durchsuchung im Unternehmen.
Wann ist eine Selbstanzeige strategisch sinnvoll und welche Fristen sind zu beachten?
Die strafbefreiende Selbstanzeige existiert gesetzlich nur im Steuerrecht (§ 371 AO) und als Bonusregelung im Kartellrecht. Voraussetzungen des § 371 AO: Vollständigkeit aller unverjährten Steuerhinterziehungen, Rechtzeitigkeit (vor Entdeckung), Nachzahlung zzgl. Hinterziehungszinsen und Strafzuschlag bei Hinterziehungsbeträgen über 25.000 EUR. Fristen: 15 Jahre strafrechtliche Verjährung bei besonders schwerer Steuerhinterziehung nach § 376 Abs. 1 AO; 10 Jahre steuerliche Festsetzungsfrist nach § 169 Abs. 2 S. 2 AO. Im allgemeinen Strafrecht gibt es keine strafbefreiende Selbstanzeige — Kooperation wirkt allenfalls strafmildernd nach § 46 Abs. 2 StGB.
Welche Rolle spielen interne Untersuchungen bei der Ad-hoc-Publizität börsennotierter Unternehmen?
Sobald eine interne Untersuchung den Verdacht einer kursrelevanten Compliance-Verletzung erhärtet, kann eine Insiderinformation nach Art. 7 MAR entstehen. Nach Art. 17 Abs. 1 MAR ist diese unverzüglich zu veröffentlichen oder nach Art. 17 Abs. 4 MAR aufzuschieben. Ab dem 5. Juni 2026 greift die Neuregelung durch den EU Listing Act (Verordnung (EU) 2024/2809): Zwischenschritte in zeitlich gestreckten Vorgängen sind grundsätzlich nicht mehr ad-hoc-pflichtig, aber die Geheimhaltungspflicht bleibt. Kapitalmarkt-Compliance muss in der internen Untersuchung von Tag 1 an mitgedacht werden.
Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für konkrete rechtliche Fragen wenden Sie sich bitte an einen Fachanwalt für Strafrecht oder Ihre Rechtsabteilung.
Grundlage: Rechtlicher Überblick
- Unternehmensstrafrecht Deutschland: §§ 30/130 OWiG, Reformdebatte und Verteidigung
- § 30 OWiG – Unternehmensgeldbuße: Risiko, Bemessung und Verteidigung
Aktuelle Beiträge zum Thema
- eDiscovery in der internen Untersuchung: Aufbau, Anbieter und KI aus Strafverteidigerperspektive
- Cross-Border-Untersuchungen mit US-Bezug: Privilege, FCPA-Strategie und der Trump-Schock 2025
- Aufklärungs- und Anzeigepflichten in der internen Untersuchung: Was Inhouse Counsel ab 2026 wirklich tun muss
- E-Mail- und Diensthandy-Auswertung in der internen Untersuchung: Was Inhouse Counsel ab 2026 wissen müssen
- Internal Investigation in Germany: GDPR, Labour Law and the Attorney-Client Privilege
- Dawn-Raid-Notfallplan: Das Playbook für den Tag X
- Das BVerfG zur Beschlagnahmefreiheit von Unterlagen aus internen Untersuchungen – Schon jetzt ein „moderner Klassiker“?
