Interne Compliance-Ermittlungen gehören zum unverzichtbaren Handwerkszeug moderner Unternehmensführung. Wenn belastbare Hinweise auf mögliches Fehlverhalten im Unternehmen auftauchen, muss die Leitung angemessen reagieren — geordnet, dokumentiert und rechtlich belastbar. Doch wie soll das geschehen, wenn es in Deutschland kein einheitliches Gesetz gibt, das interne Untersuchungen umfassend regelt? Diese Regelungslücke ist kein Randproblem, sondern eine tägliche Herausforderung für General Counsel und Compliance Officer.
In der Beratungspraxis zeigt sich regelmäßig: Das Fehlen einer internen Verfahrensordnung kann selbst zu einem Compliance-Risiko werden. Ohne klare Zuständigkeiten, Eskalationswege und Dokumentationsregeln steigt die Gefahr, dass Untersuchungen uneinheitlich, unverhältnismäßig oder rechtlich angreifbar durchgeführt werden.
Warum gibt es kein einheitliches Gesetz für interne Untersuchungen?
Deutschland hat kein einheitliches Spezialgesetz für interne Unternehmensermittlungen. Der Entwurf eines Verbandssanktionengesetzes (VerSanG-E), der in § 17 VerSanG-E Regelungen zu internen Untersuchungen vorsah, ist nicht in Kraft getreten. § 18 HinSchG erwähnt interne Untersuchungen lediglich als mögliche Folgemaßnahme der internen Meldestelle. Eigenständige umfassende Verfahrensregeln für Internal Investigations enthält das Hinweisgeberschutzgesetz aber nicht.
In der Praxis ergibt sich daraus eine anspruchsvolle Querschnittsaufgabe. Interne Untersuchungen berühren gleichzeitig:
- das Arbeitsrecht — etwa bei Befragungen, Suspendierungen oder Kündigungen,
- das Datenschutzrecht — etwa bei E-Mail-Auswertungen und IT-Forensik,
- das Hinweisgeberschutzrecht — etwa beim Schutz der Vertraulichkeit von Meldungen,
- das Gesellschaftsrecht — insbesondere die Legalitäts- und Organisationspflichten der Unternehmensleitung.
Wer diese Rechtsgebiete nicht koordiniert, läuft Gefahr, in einem Bereich rechtskonform zu handeln und in einem anderen Bereich Fehler zu begehen, die später erhebliche rechtliche und wirtschaftliche Folgen haben können.
Welche Pflichten hat die Unternehmensleitung bei internen Ermittlungen?
Die gesellschaftsrechtliche Legalitätspflicht der Unternehmensleitung ist in diesem Kontext von zentraler Bedeutung. Vorstände und Geschäftsführer dürfen bei konkreten und plausiblen Verdachtsmomenten regelmäßig nicht untätig bleiben. Das bedeutet aber nicht, dass jeder Hinweis automatisch eine groß angelegte interne Untersuchung auslösen muss.
Ob und in welchem Umfang eine Sachverhaltsklärung erforderlich ist, hängt vom Einzelfall ab: von der Plausibilität des Hinweises, der Schwere des Vorwurfs, der möglichen Betroffenheit von Organen oder Führungskräften, dem Risiko weiterer Schäden und den verfügbaren rechtlichen Handlungsmöglichkeiten.
Für die Praxis bedeutet dies: Sobald ein Verdacht konkrete Gestalt annimmt, muss die Unternehmensleitung eine angemessene Sachverhaltsklärung veranlassen. Je nach Lage kann dies von einer begrenzten Vorprüfung bis zu einer formalisierten internen Compliance-Ermittlung reichen.
Eine schriftliche Verfahrensordnung hilft dabei, diesen Prozess nachvollziehbar und konsistent zu steuern. Sie ersetzt keine Einzelfallprüfung, schafft aber eine belastbare Grundlage für Zuständigkeiten, Eskalationsentscheidungen, Beweissicherung, Vertraulichkeit und Dokumentation.
Besonders relevant ist dieser Punkt bei der Bußgeldbemessung nach § 30 OWiG. Der BGH hat entschieden, dass ein effizientes Compliance-Management-System und dessen nachträgliche Optimierung bei der Bemessung einer Unternehmensgeldbuße berücksichtigt werden können. Strukturierte, dokumentierte und regelkonforme interne Ermittlungen können deshalb bußgeldmildernd wirken. Eine Milderung ist jedoch nicht garantiert und hängt stets von den Umständen des Einzelfalls ab.
Welche Standards helfen bei der Gestaltung einer Verfahrensordnung?
Da der Gesetzgeber bislang keine umfassenden Vorgaben für interne Compliance-Ermittlungen geschaffen hat, bieten anerkannte Standards praktische Orientierung.
Die DIN ISO/TS 37008:2023 enthält Leitlinien für interne Untersuchungen in Organisationen, insbesondere zu Grundprinzipien, Untersuchungsprozessen, Berichterstattung und Abhilfemaßnahmen. Zu den zentralen Prinzipien zählen Unabhängigkeit, Vertraulichkeit, Kompetenz und Professionalität, Objektivität und Unparteilichkeit sowie Rechtmäßigkeit.
Diese Prinzipien sind keine bindenden Rechtsnormen, können einer unternehmenseigenen Verfahrensordnung aber eine anerkannte fachliche Grundlage geben. Der DICO Standard Interne Untersuchungen des Deutschen Instituts für Compliance ergänzt solche Leitlinien um praxisnahe Empfehlungen für den deutschen Rechtskontext.
Was muss eine interne Verfahrensordnung mindestens enthalten?
Eine unternehmenseigene Verfahrensordnung sollte mindestens folgende Punkte regeln:
- Zuständigkeiten und Rollen
- Abgrenzung zwischen interner Meldestelle nach dem HinSchG und gesellschaftsrechtlicher Leitungsverantwortung
- Eskalationswege
- Vorprüfung und Untersuchungsauftrag
- Beweissicherung und IT-Forensik
- Umgang mit Betroffenen und Zeugen
- Vertraulichkeit und Datenschutz
- Dokumentation
- Einbindung externer Rechtsanwälte, Forensiker oder weiterer Fachleute
- Abschlussbericht und Folgemaßnahmen
Für den Vertraulichkeitsschutz gilt: § 8 HinSchG verpflichtet Meldestellen zur Vertraulichkeit der Identität hinweisgebender Personen, betroffener Personen und sonstiger in der Meldung genannter Personen. Eine Weitergabe identifizierender Informationen kommt nur in den gesetzlich geregelten Ausnahmefällen des § 9 HinSchG in Betracht.
Das „Need to know“-Prinzip sollte deshalb konsequent umgesetzt werden: Nicht jeder, der mit einer Untersuchung befasst ist, muss alle Informationen kennen.
Für weiterführende Informationen zum Ablauf interner Ermittlungen empfehlen wir unseren Leitfaden zu internen Untersuchungen im Unternehmen.
Fazit: Verfahrensordnung als Schutzinstrument
Die Investition in eine durchdachte Verfahrensordnung für interne Compliance-Ermittlungen zahlt sich mehrfach aus. Sie reduziert Haftungsrisiken der Unternehmensleitung, schafft klare Abläufe für alle Beteiligten und kann im Ernstfall bußgeldmildernd berücksichtigt werden. Unternehmen, die noch keine solche Ordnung haben, sollten die Erarbeitung priorisieren — nicht erst, wenn der erste ernsthafte Verdachtsfall eintritt.
Eine gute Verfahrensordnung macht interne Ermittlungen nicht automatisch „rechtssicher“. Sie erhöht aber die Chance, dass Verdachtsfälle strukturiert, verhältnismäßig, vertraulich und rechtlich belastbar bearbeitet werden.
Häufige Fragen
Müssen Unternehmen interne Compliance-Ermittlungen zwingend durchführen?
Bei konkreten und plausiblen Verdachtsmomenten müssen Unternehmen angemessen reagieren und den Sachverhalt aufklären. Ob dafür eine formalisierte interne Compliance-Ermittlung erforderlich ist, hängt von Schwere, Plausibilität und Reichweite des Verdachts ab. Untätigkeit kann insbesondere für Vorstände und Geschäftsführer haftungsrechtliche Risiken nach § 93 AktG bzw. § 43 GmbHG begründen.
Welche Rechtsgrundlagen gelten für interne Untersuchungen in Deutschland?
Es gibt kein einheitliches Spezialgesetz für interne Untersuchungen in Deutschland. Maßgeblich sind vor allem Gesellschaftsrecht, Arbeitsrecht, Datenschutzrecht, Hinweisgeberschutzrecht und Ordnungswidrigkeitenrecht. Wichtige Orientierung bieten die DIN ISO/TS 37008:2023 und der DICO Standard Interne Untersuchungen.
