Cross-Border-Untersuchungen mit US-Bezug: Privilege, FCPA-Strategie und der Trump-Schock 2025
Kurzantwort. Eine interne Untersuchung mit US-Bezug ist nicht eine deutsche Untersuchung mit zusätzlichen Schritten — sie ist eine andere Untersuchung. US-Privilege-Regeln (Attorney-Client Privilege, Work Product Doctrine, Upjohn) wirken anders als deutscher Beschlagnahmeschutz; ein Fehler in der Mandatsarchitektur kann den US-Privilegienschutz vollständig vernichten, ohne dass das deutsche Schutzregime ihn ersetzt. Seit Trump EO 14209 (10.02.2025) und dem Blanche-Memo zur FCPA-Pause haben sich die strategischen Annahmen aus den Jahren 2010–2024 grundlegend verschoben. Die Mandatsarchitektur muss aus dem Worst-Case-Szenario rückwärts designed werden.
Wenn deutsche Konzerne mit US-Listing oder US-Geschäft eine interne Untersuchung führen, beginnt die schwierigste rechtliche Architekturfrage am ersten Tag: Welche Privilegien-Architektur trägt — und welche kollidiert? Wer als deutscher Inhouse Counsel auf der Annahme arbeitet, die in Deutschland geltenden Regeln (Beschlagnahmefreiheit, BVerfG Jones Day, § 53 StPO, § 97 StPO) ließen sich problemlos um den Attorney-Client Privilege ergänzen, baut auf einer falschen Voraussetzung. Die beiden Schutzregime haben unterschiedliche Voraussetzungen, unterschiedliche Reichweiten und unterschiedliche Durchbrechungsregeln.
Aus Strafverteidigerperspektive zeigt sich in Cross-Border-Mandaten ein wiederkehrendes Muster: Das deutsche Unternehmen mandatiert eine US-Kanzlei, weil es „auch im US-Recht“ beraten werden will. Die US-Kanzlei führt das Mandat nach US-Standards. Die Akten landen — physisch oder per Cloud — sowohl in Deutschland als auch in den USA. In dieser Konstellation ist der US-Privilegienschutz oft schwächer, als die US-Anwälte es darstellen — weil die Voraussetzungen der Upjohn-Doktrin nicht durchgehend dokumentiert sind, weil die Common Interest Doctrine in der konkreten Verhandlung nicht hält, weil Subject Matter Waiver-Risiken nicht erkannt wurden. Und der deutsche Schutz ist gleichzeitig schwächer, weil Jones Day gerade nicht greift, wo die Akten in der US-Kanzlei liegen.
Die These dieses Beitrags: Die Mandatsarchitektur in einer Cross-Border-Untersuchung muss aus dem Worst-Case-Szenario rückwärts designed werden — nicht aus der US-Compliance-Logik vorwärts. Wer „US first“ denkt, optimiert für ein Verfahren, das vielleicht nie kommt, und schwächt gleichzeitig die deutsche Verteidigungsarchitektur, die im Wahrscheinlichkeitsfall angegriffen wird. Die Trump-Wende von 2025 macht diese Inversion zur Pflicht.
Die Schichten des Privilegienschutzes: was wirklich schützt
Die Privilegien-Architektur einer Cross-Border-Untersuchung lässt sich in vier Schichten zerlegen, die jeweils eigene Voraussetzungen haben — und jeweils einzeln angreifbar sind.
| Schicht | Schutzregime | Voraussetzung | Durchbrechung |
|---|---|---|---|
| 1 | Attorney-Client Privilege (US) | Anwalts-Mandanten-Beziehung; Vertraulichkeit; Rechtsberatung | Crime-Fraud Exception; Subject Matter Waiver; Selektive Offenlegung |
| 2 | Work Product Doctrine (US) | Anticipation of Litigation; Anwalts-Arbeit | „Substantial Need“ + „Undue Hardship“ |
| 3 | Upjohn-Doktrin (US, Mitarbeiter-Interviews) | Mitarbeiter handelt im Rahmen des Mandats; Information für Rechtsberatung; Vertraulichkeit | Selektiver Verzicht auf Privileg |
| 4 | Deutsches Beschlagnahmeschutzrecht (§ 53, § 97 StPO) | Anwaltsmandat; Akten in Anwaltskanzlei; (eingeschränkt) beschuldigtenähnliche Stellung des Unternehmens | BVerfG Jones Day-Linie: Beschlagnahmeschutz nur eingeschränkt |
Diese vier Schichten sind keine alternativen Schutzregime — sie sind kumulative Schutzregime mit unterschiedlichen Voraussetzungen. In einem konkreten Verfahren kann eine Akte unter Schicht 1 geschützt sein, unter Schicht 2 nicht, unter Schicht 3 ja, unter Schicht 4 nein. Die Mandatsarchitektur muss alle vier gleichzeitig prüfen.
Schicht 1: Attorney-Client Privilege — wer ist Mandant, was ist „Confidential“?
Der Attorney-Client Privilege schützt die vertrauliche Kommunikation zwischen Anwalt und Mandant zum Zweck der Rechtsberatung. Die Voraussetzungen klingen einfach. In einer internen Untersuchung mit hunderten Mitarbeitern, mehreren Tochtergesellschaften und parallel laufenden Beratungs-, Compliance- und Investigations-Strängen sind sie schwer einzuhalten.
Wer ist Mandant? Das ist die in der Praxis schwierigste Frage. Wenn die deutsche Konzernmutter die US-Kanzlei mandatiert, ist die Konzernmutter Mandant — nicht aber automatisch die einzelnen Tochtergesellschaften und nicht die einzelnen Mitarbeiter. Wenn das Mandat „nur“ auf eine US-Tochter abstellt, gilt umgekehrt: Die US-Tochter ist Mandant, die deutsche Mutter nicht. Die Konsequenz: Die Privilegien-Berechtigung ist nicht universell, sondern an das konkrete Mandatsverhältnis gebunden. Wer die Berechtigung erweitern will, muss das vertraglich tun — typischerweise über eine Joint Defense Agreement oder eine Common Interest Agreement.
Was ist „Confidential“? Im US-Recht ist die Vertraulichkeit nicht selbstverständlich, sondern muss konsistent gewahrt werden. Wenn die Untersuchungsergebnisse innerhalb des Konzerns weitergegeben werden — an die Compliance-Abteilung, den Aufsichtsrat, den Bereichsvorstand — kann der Privilegienschutz beschädigt sein, je nach Konstellation. Die Standardlösung ist die enge Begrenzung des Empfängerkreises auf „need-to-know“ mit dokumentierter Vertraulichkeitsverpflichtung. In deutschen Konzernen, in denen die Untersuchungsergebnisse oft im Aufsichtsrat oder in einer breiteren Compliance-Runde diskutiert werden, ist diese enge Begrenzung kulturell schwer durchzusetzen — mit teuren Folgen.
Subject Matter Waiver: das deutsche Pendant. Im US-Recht greift die Subject Matter Waiver-Doktrin: Wenn der Mandant über einen Teil eines privilegierten Sachverhalts freiwillig offenlegt — etwa um sich gegenüber Behörden zu kooperationsbereit darzustellen —, kann der Schutz auch für die übrigen Teile desselben Sachverhalts entfallen. Die Reichweite ist nicht trivial: Wer einen Untersuchungsbericht an die SEC herausgibt, kann die Privilegien-Schutz für die zugrundeliegenden Interview-Protokolle und Memos verlieren. Der parallele deutsche Streit um den Privilegien-Verzicht durch teilweise Offenlegung ist nicht abschließend geklärt. Die einschlägige Diskussion (etwa Knauer NStZ 2019, 213; Wessing/Berchner WiBe 2019, 89) deutet darauf hin, dass deutsche Gerichte tendenziell strenger sind als US-Gerichte: Wer einmal teilweise offenlegt, hat es schwer, den Schutz für die übrigen Teile zu reklamieren. Eine höchstrichterliche Klärung steht aus.
Schicht 2: Work Product Doctrine — die unterschätzte Schutzschicht
Die Work Product Doctrine (Federal Rule of Civil Procedure 26(b)(3)) schützt Anwalts-Arbeit, die in Erwartung eines Rechtsstreits („in anticipation of litigation“) angefertigt wurde. Der Schutz ist anders strukturiert als der Attorney-Client Privilege: Er schützt nicht die Kommunikation, sondern die Vorbereitungshandlung. Memos, Analysen, Strategiepapiere, Interview-Mitschriften — all das fällt typischerweise unter Work Product, auch wenn es nicht direkt Mandantenkommunikation ist.
Der Schutz ist nicht absolut. Die Gegenseite kann einen Antrag auf Vorlage stellen, wenn sie „substantial need“ und „undue hardship“ nachweist. In der Praxis ist diese Hürde hoch, aber nicht unüberwindbar. Bei sogenanntem „opinion work product“ — also Anwalts-Einschätzungen, Strategien, Bewertungen — ist der Schutz nahezu absolut.
Für die deutsche Inhouse-Praxis folgt daraus: Wo der Attorney-Client Privilege wegen Empfängerkreis-Erweiterung oder Subject Matter Waiver beschädigt sein könnte, kann die Work Product Doctrine als zweite Schutzschicht greifen. Die Architektur sollte deshalb beide Schutzregime parallel adressieren — durch Dokumentation der Litigation-Erwartung im Mandatsschreiben und durch klare Trennung zwischen Fakten-Sammlung (weniger geschützt) und Anwalts-Bewertung (stärker geschützt).
Schicht 3: Upjohn-Doktrin — das US-Pendant zur Mitarbeiterbefragung
Die Upjohn-Doktrin (Upjohn Co. v. United States, 449 U.S. 383 (1981)) entscheidet, ob Mitarbeiter-Interviews unter den Attorney-Client Privilege fallen. Die Voraussetzungen sind: Der Mitarbeiter handelt im Rahmen des Mandats; die Information dient der Rechtsberatung des Unternehmens; die Mitarbeiter wissen um die Vertraulichkeit; die Interviews werden auf Anweisung des Managements durchgeführt.
In der praktischen Durchführung wird die Upjohn-Verpflichtung den befragten Mitarbeitern zu Beginn des Interviews vorgelegt — die berühmte „Upjohn Warning“. Sie macht klar, dass der Anwalt das Unternehmen vertritt, nicht den Mitarbeiter, und dass das Privileg dem Unternehmen gehört, nicht dem Mitarbeiter. Das Unternehmen kann das Privileg jederzeit aufheben — etwa um das Interview-Protokoll an die SEC oder das DOJ zu übergeben.
In deutschen Cross-Border-Untersuchungen wird die Upjohn Warning häufig parallel zur deutschrechtlichen Aufklärung über Mitwirkungspflichten erteilt. Die Kombination ist juristisch konsistent, aber psychologisch herausfordernd: Der Mitarbeiter erfährt gleichzeitig, dass er kooperieren muss und dass seine Aussage gegen ihn verwendet werden kann. Die Mitwirkung sinkt; das Risiko späterer Anfechtung der Aussagen steigt.
Streitpunkt: Die beschuldigtenähnliche Stellung des Unternehmens. Die Frage, ab wann das Unternehmen einer beschuldigtenähnlichen Stellung unterfällt — und damit der erweiterte Schutz des § 97 StPO greift —, ist in der deutschen Rechtsprechung kontrovers. Das BVerfG hat in der Jones-Day-Linie (BVerfG 27.06.2018 – 2 BvR 1405/17, 2 BvR 1780/17) die enge Auffassung gebilligt, ohne sie als zwingend zu setzen: Eine beschuldigtenähnliche Stellung liegt nur vor, wenn nach objektiven Gesichtspunkten die konkrete Gefahr besteht, dass eine Verbandsgeldbuße nach § 30 OWiG festgesetzt oder Erträge eingezogen werden. Die bloße Befürchtung eines künftigen Verfahrens reicht nicht.
Die Mindermeinung in der Literatur (etwa Schäch StV 2018, 689 ff.; Knauer NStZ 2019, 213 ff.) hält die enge Auslegung für verfassungsrechtlich problematisch, weil sie die Aufklärungsbereitschaft des Unternehmens bestraft: Wer freiwillig untersucht, riskiert, dass die selbst produzierten Beweismittel beschlagnahmt werden. Die herrschende Praxis-Auffassung (Hauschka/Moosmayer/Lösler, Corporate Compliance, 4. Aufl. 2022, § 36 Rn. 48 ff.) richtet sich hingegen nach der BVerfG-gebilligten engen Auslegung — bis eine andere höchstrichterliche Klärung erfolgt.
Für die Cross-Border-Praxis folgt daraus: Auf den deutschen Beschlagnahmeschutz allein zu setzen, ist riskant. Die US-Privilegienarchitektur muss als primäre Schutzschicht gedacht werden — und die deutsche Lage als Sekundär-Architektur, die in der Mandatsplanung als Eventualität mitgenommen wird.
Schicht 4: Deutsches Beschlagnahmeschutzrecht und der Gemeinschuldner-Beschluss
Die deutsche Beschlagnahmefreiheit für Anwaltsakten ist in § 97 StPO geregelt und durch den Schutz nach § 53 StPO ergänzt. Die zentrale Konstellation ist der Schutz von Akten in der Anwaltskanzlei vor Beschlagnahme, sofern eine Mandatsbeziehung zu einer beschuldigten Person besteht. Bei juristischen Personen ist dieser Schutz, wie oben dargestellt, nur unter den engen Voraussetzungen der „beschuldigtenähnlichen Stellung“ gegeben.
Streitpunkt: Übertragung des Gemeinschuldner-Beschlusses auf interne Untersuchungen. Der Gemeinschuldner-Beschluss des BVerfG (BVerfG 13.01.1981 – 1 BvR 116/77) hat den nemo-tenetur-Grundsatz für den Insolvenzrechtsfall ausgeprägt: Wer in einer Insolvenz zur Auskunft verpflichtet ist, darf seine erzwungenen Aussagen nicht im späteren Strafverfahren gegen sich verwendet sehen. Die Übertragung auf interne Untersuchungen — also die Frage, ob der zur Mitwirkung verpflichtete Mitarbeiter ähnlichen Schutz beanspruchen kann — ist in der Rechtsprechung nicht abschließend geklärt.
Drei Linien sind in der Diskussion erkennbar. Die strenge Linie (Knauer NStZ 2019, 213; Schäch StV 2018, 689) plädiert für eine analoge Anwendung des Gemeinschuldner-Schutzes auf intern erzwungene Aussagen. Die mittlere Linie (Bittmann NZWiSt 2014, 81) anerkennt einen Schutz nur, wenn die Untersuchungs-Architektur dem Mitarbeiter explizit ein Verwertungsverbot zusichert. Die strenge Praxis-Linie (BGH-Indizien aus benachbarten Konstellationen, etwa BGH 30.04.2009 – 1 StR 90/09) verneint eine direkte Übertragung; das Recht auf Selbstbelastungsfreiheit gilt im Strafverfahren, nicht in der internen Untersuchung.
In der Cross-Border-Praxis bedeutet das: Eine US-Strategie der maximalen Aussagebereitschaft kann die spätere deutsche Strafverteidigung unterminieren — und umgekehrt. Eine deutsche Strategie der defensiven Mitarbeiter-Befragung kann die US-Kooperationsbereitschaft schwächen, mit Konsequenzen für FCPA-Vergleichsverhandlungen.
Common Interest Doctrine: praktisch genutzt, dogmatisch nicht abschließend geklärt
Die Common Interest Doctrine schützt im US-Recht den vertraulichen Austausch zwischen Parteien, die in einem konkreten Rechtsstreit ein gemeinsames Verteidigungsinteresse haben. Bei Konzern-Untersuchungen ist das Standard: Mutter und Tochter teilen Verteidigungs-Interessen, parallel beratene Tochtergesellschaften ebenfalls. Die Doctrine erlaubt den Austausch privilegierter Information ohne Verlust des Privilegienschutzes — sofern eine Common Interest Agreement schriftlich existiert und das gemeinsame Interesse konkret benannt ist.
Im deutschen Recht ist die Doctrine nicht kodifiziert. In der Praxis wird sie genutzt, weil die Ausführung im Cross-Border-Kontext schlicht erforderlich ist; dogmatisch ist sie aber nicht abschließend geklärt. Eine deutsche Common Interest Agreement schützt nicht zwingend nach deutschem Recht; sie schützt nach US-Recht in dem konkreten US-Verfahren.
In der Praxis-Konsequenz: Für Cross-Border-Untersuchungen ist die Common Interest Agreement das Standardinstrument, aber sie ist eine US-rechtliche Schutzkonstruktion, die der deutsche Beschlagnahmeschutz nicht ersetzt. Wer auf sie als universelle Schutzschicht setzt, baut auf einer asymmetrischen Architektur.
Joint Defense Agreement vs. Common Interest Agreement
Beide Konstruktionen werden in Cross-Border-Untersuchungen oft synonym verwendet, sind aber nicht identisch. Die Joint Defense Agreement (JDA) ist die engere Variante: Sie greift in einem konkreten anhängigen Verfahren, in dem mehrere Beklagte oder Beschuldigte gemeinsam verteidigt werden. Die Common Interest Agreement (CIA) ist breiter; sie kann auch vor einem Verfahren oder bei drohendem Verfahren geschlossen werden.
Für die Konzernpraxis ist die CIA flexibler. Sie sollte schriftlich abgefasst werden, das gemeinsame Interesse konkret benennen, die Vertraulichkeit der ausgetauschten Information regeln, und den Schutz auf nachfolgende Verfahren ausdehnen. Eine fehlende CIA bei nachgewiesenem Information-Austausch kann zum Privilegien-Waiver führen.
FCPA und der Trump-Schock 2025
Bis Anfang 2025 war die FCPA-Praxis (Foreign Corrupt Practices Act) die zentrale strategische Klammer jeder Cross-Border-Untersuchung deutscher Konzerne mit US-Bezug. Das DOJ verfolgte aggressiv, die Vergleiche bewegten sich regelmäßig im hundert-Millionen-Dollar-Bereich, die Compliance-Anforderungen waren entsprechend streng. Die FCPA-Logik prägte die Mandatsarchitektur: Sofortige Selbstanzeige beim DOJ, vollständige Kooperation, Cooperation Credits, Non-Prosecution Agreements oder Deferred Prosecution Agreements.
Diese Logik ist seit Trump EO 14209 vom 10. Februar 2025 in der Krise. Die Executive Order ordnete eine Pause der FCPA-Strafverfolgung an. Das Memorandum von DAG Todd Blanche vom 5. Juni 2025 (das sogenannte „Blanche-Memo“) hat die operativen Konsequenzen konkretisiert: keine neuen FCPA-Eröffnungen ohne ausdrückliche AG-Genehmigung, Reduzierung der laufenden Verfahren, Fokus auf Fälle mit unmittelbarem US-Sicherheitsbezug.
Die strategische Konsequenz für deutsche Inhouse Counsel ist tiefgreifend. Vier Punkte.
Erstens: Die alte FCPA-Selbstanzeige-Logik ist nicht mehr alternativlos. Wer einen Korruptionssachverhalt aufklärt, muss nicht mehr automatisch beim DOJ selbstanzeigen, um Cooperation Credits zu sichern. Die Cooperation-Credits-Mechanik existiert formell weiter, aber die Verhandlungslandschaft hat sich verschoben.
Zweitens: Die Lücke wird gefüllt. Mehrere Staatsanwaltschaften in den US-Bundesstaaten (insbesondere New York, Kalifornien, Massachusetts) haben angekündigt, FCPA-Verfehlungen unter eigenen state-rechtlichen Ansatzpunkten zu verfolgen. Außerhalb der USA hat sich die Lücke besonders deutlich geöffnet: Die International Anti-Corruption Prosecutorial Taskforce, gegründet im März 2025 von UK Serious Fraud Office (SFO), Schweizer Bundesanwaltschaft (BA) und Französischem Parquet National Financier (PNF), hat die FCPA-Position in transatlantischen Untersuchungen teilweise übernommen. Für deutsche Konzerne mit UK-, Schweizer oder französischem Geschäft sind die Risiken nicht reduziert, sondern verlagert.
Drittens: Konkrete Risiko-Szenarien für deutsche Konzerne. Ein deutscher Konzern mit Tochter in UK und Aktivitäten in Schwellenländern hat 2026 fünf parallele Risikoschienen — UK SFO (Bribery Act 2010), Schweizer BA (StGB Art. 322septies bei Berührungspunkt), französisches PNF (Sapin II), eigene deutsche Verfolgung (StGB §§ 331 ff., § 299 StGB) und nachgelagert mögliche US-Bundesstaaten-Verfolgung. Die FCPA als Hauptklammer ist weg; die Klammer-Funktion verteilt sich auf die genannten Behörden, mit eigenständiger Logik je Verfahren.
Viertens: Mandatsarchitektur-Konsequenz. Die Schwerpunktsetzung der Cross-Border-Untersuchung verschiebt sich. War sie bis 2024 oft „US first, deutsche Lage als Anhang“, muss sie heute „deutsche Lage und gegebenenfalls UK/CH/FR first, US als ergänzende Strategie“ sein. Wer das nicht erkennt, designed die Untersuchung gegen den eigenen Worst Case.
Datenflüsse über die Grenze: DSGVO, Schrems II, Cloud Act
Die rechtliche Architektur des Datentransfers ist in einer Cross-Border-Untersuchung mit US-Bezug eines der schwierigsten Themen. Drei Spannungslinien überlagern sich.
DSGVO Art. 44 ff. erlaubt Datentransfers in Drittländer nur unter spezifischen Voraussetzungen. Seit dem EuGH-Urteil Schrems II (16.07.2020 – C-311/18) ist klar, dass das US-Datenschutz-Niveau ohne zusätzliche Garantien nicht angemessen ist. Die EU-US Data Privacy Framework-Adäquanz (10.07.2023) schafft eine neue Grundlage, ist aber rechtlich angreifbar. Eine erneute Schrems-Klage ist anhängig.
US Cloud Act erlaubt US-Behörden, von US-Anbietern Datenherausgabe auch dann zu verlangen, wenn die Daten physisch in der EU liegen. Wer Untersuchungsdaten in einer US-Cloud speichert — etwa Microsoft-365-Tenants, AWS-Workspace, Google Workspace —, akzeptiert dieses Risiko, auch wenn EU-Hosting vertraglich vereinbart ist.
Die operative Konsequenz: Bei US-bezogenen Untersuchungen ist die Datenarchitektur eine eigene Disziplin. Drei Mindeststandards. Hosting in EU-Region mit dokumentierter Datenresidenz. Verschlüsselung in Transit und at Rest mit EU-basierter Schlüsselverwaltung („customer-managed keys“). Schriftliche Cloud-Act-Klausel im Vertrag mit dem Anbieter, dass jede US-Behördenanfrage zunächst angefochten wird.
Wer auf eine US-Plattform setzt, weil sie „bewährt“ ist, baut in der Mandatsarchitektur ein Risiko ein, das im Worst Case — Cloud-Act-Anfrage des DOJ während laufender deutscher Untersuchung — die gesamte Privilegien-Architektur einreißen kann.
Der EGMR-Beschluss vom 22. Oktober 2024: Schutz vor Strafverfolgung über die Grenze
Der EGMR hat in einer Entscheidung vom 22. Oktober 2024 (Beschwerde Nr. 49635/23 — Streckenbach gegen Deutschland) die deutsche Auslieferungspraxis im Lichte von Art. 6 EMRK in einigen Punkten enger gefasst. Die Entscheidung ist für Cross-Border-Untersuchungen relevant, weil sie die Grenzen der Auslieferung deutscher Beschuldigter in Drittstaaten — insbesondere die USA — neu vermisst.
Die Konsequenz für die Praxis ist begrenzt, aber strategisch nicht trivial. Wer als deutscher Mitarbeiter in einer FCPA-Untersuchung als „person of interest“ geführt wird, hat ab 2025 in einigen Konstellationen bessere Verteidigungsargumente gegen eine Auslieferung in die USA, insbesondere bei Korruptionsdelikten ohne unmittelbaren US-Bezug. Diese Verteidigungslinie sollte in der Mandatsarchitektur mitgedacht werden — etwa in der Kommunikation mit deutschen Mitarbeitern, die in US-Verfahren befragt werden sollen.
Inhouse-Counsel-Checkliste: zehn Architektur-Fragen vor Mandatserteilung
Vor jeder Cross-Border-Untersuchung sollten zehn Punkte abgearbeitet werden — und ihre Antworten dokumentiert.
| # | Frage | Bei „Nein“: Konsequenz |
|---|---|---|
| 1 | Ist die Mandatskonstellation eindeutig (welche Konzerngesellschaft mandatiert wen)? | Privilegien-Berechtigung unklar |
| 2 | Liegt eine schriftliche Common Interest Agreement zwischen den beteiligten Konzernteilen vor? | Privilegien-Waiver-Risiko bei Information-Austausch |
| 3 | Ist die Upjohn Warning für Mitarbeiter-Interviews dokumentiert? | US-Privilegien-Schwächung |
| 4 | Ist die Datenarchitektur EU-konform (Hosting, Verschlüsselung, Cloud-Act-Klausel)? | DSGVO-Bußgeld, Cloud-Act-Risiko |
| 5 | Ist die deutsche Strafverfahrensperspektive in der Mandatsarchitektur abgebildet? | Verteidigung des Mitarbeiters in DE geschwächt |
| 6 | Sind die parallelen UK/CH/FR-Risiken (post-FCPA-Pause) berücksichtigt? | Strategische Lücke nach Trump-Wende |
| 7 | Ist die Selbstanzeige-Strategie konkret bewertet (DOJ vs. State AGs vs. EU-Behörden)? | Möglicherweise verfrühte oder zu späte Anzeige |
| 8 | Ist der Empfängerkreis im Konzern eng auf „need-to-know“ begrenzt? | Privilegien-Waiver-Risiko durch breite interne Verteilung |
| 9 | Gibt es einen Plan für Subject Matter Waiver-Risiken bei Behörden-Offenlegung? | Privilegien-Schaden bei Kooperation |
| 10 | Ist die Kommunikation an Aufsichtsrat / Board so strukturiert, dass Privilegien gewahrt bleiben? | Aufsichtsrat-Beratung kann Privilegien einreißen |
Die Checkliste ist nicht abschließend, aber sie deckt die häufigsten Architektur-Fehler ab.
Was bei der Behördenkonfrontation aus der Cross-Border-Architektur wird
Aus Strafverteidigerperspektive zeigt sich am Ende einer Cross-Border-Untersuchung das gleiche Muster wie in den anderen Cluster-Themen: Die schlampige Architektur wird zum Argument gegen das Unternehmen. Wenn die Mandatskonstellation unklar war, kann die Privilegien-Berechtigung in jedem einzelnen Verfahren angegriffen werden — von der SEC, vom DOJ, vom UK SFO, vom Schweizer BA, vom französischen PNF und parallel von der deutschen Staatsanwaltschaft. Wenn die Common Interest Agreement fehlte, sind die zwischen Konzernteilen ausgetauschten Informationen frei zugänglich. Wenn die Datenarchitektur US-Cloud-basiert war, kann das DOJ über den Cloud Act zugreifen, auch ohne die Privilegien-Frage zu öffnen.
Die saubere Architektur dagegen erfüllt die Aufklärungspflicht des Vorstands gegenüber dem Unternehmen, hält die deutschen und US-Privilegien parallel ein, und überlässt die strategischen Entscheidungen — Selbstanzeige beim DOJ, beim BKartA, bei der BaFin, bei der SEC — der zweiten Phase nach abgeschlossener Aufklärung.
Die Trump-Wende von 2025 hat die strategischen Annahmen verschoben, aber die Architektur-Fragen nicht erleichtert. Sie hat sie verschärft. Wer als Inhouse Counsel auf 2024er-Annahmen arbeitet, designed die Untersuchung gegen den eigenen Worst Case.
Häufig gestellte Fragen
Was ist der Unterschied zwischen Attorney-Client Privilege und deutschem Beschlagnahmeschutz?
Der Attorney-Client Privilege schützt die vertrauliche Kommunikation zwischen US-Anwalt und Mandant zum Zweck der Rechtsberatung. Er ist universell anwendbar, solange die Voraussetzungen (Vertraulichkeit, Rechtsberatung, Mandantenkreis) eingehalten werden. Der deutsche Beschlagnahmeschutz nach § 53, § 97 StPO schützt Anwaltsakten in der Anwaltskanzlei vor Beschlagnahme — bei juristischen Personen aber nur unter den engen Voraussetzungen der „beschuldigtenähnlichen Stellung“ nach BVerfG Jones Day-Linie. Beide Schutzregime haben unterschiedliche Voraussetzungen und unterschiedliche Reichweiten.
Wie funktioniert eine Upjohn-Warning?
Die Upjohn Warning ist eine zu Beginn von Mitarbeiter-Interviews vorgelesene Klarstellung, dass der Anwalt das Unternehmen vertritt, nicht den Mitarbeiter, und dass das Privileg dem Unternehmen gehört. Das Unternehmen kann das Privileg jederzeit aufheben — etwa um das Interview-Protokoll an die SEC oder das DOJ zu übergeben. In Cross-Border-Untersuchungen wird die Upjohn Warning parallel zur deutschrechtlichen Aufklärung über Mitwirkungspflichten erteilt; die Kombination ist juristisch konsistent, aber psychologisch herausfordernd.
Was ist die Common Interest Doctrine — und gilt sie in Deutschland?
Die Common Interest Doctrine schützt im US-Recht den vertraulichen Austausch zwischen Parteien, die in einem konkreten Rechtsstreit ein gemeinsames Verteidigungsinteresse haben. Bei Konzern-Untersuchungen erlaubt sie den Austausch privilegierter Information zwischen Mutter und Tochter, sofern eine Common Interest Agreement schriftlich existiert und das gemeinsame Interesse konkret benannt ist. Im deutschen Recht ist die Doctrine nicht kodifiziert; sie wird in der Praxis genutzt, ist dogmatisch aber nicht abschließend geklärt. Eine US-Common-Interest-Agreement schützt nicht zwingend nach deutschem Recht.
Was hat sich durch Trump EO 14209 und das Blanche-Memo geändert?
Die Executive Order 14209 vom 10. Februar 2025 ordnete eine Pause der FCPA-Strafverfolgung an. Das Blanche-Memo vom 5. Juni 2025 hat die operativen Konsequenzen konkretisiert: keine neuen FCPA-Eröffnungen ohne AG-Genehmigung, Reduzierung der laufenden Verfahren, Fokus auf Fälle mit unmittelbarem US-Sicherheitsbezug. Strategisch verschiebt sich die Untersuchungsarchitektur: Die alte FCPA-Selbstanzeige-Logik ist nicht mehr alternativlos. Mehrere US-Bundesstaaten und die International Anti-Corruption Prosecutorial Taskforce (UK SFO, Schweizer BA, französisches PNF, gegründet März 2025) füllen die Lücke teilweise.
Welche Rolle spielt die International Anti-Corruption Prosecutorial Taskforce?
Die im März 2025 gegründete International Anti-Corruption Prosecutorial Taskforce — UK Serious Fraud Office, Schweizer Bundesanwaltschaft, französischer Parquet National Financier — hat sich als europäische Antwort auf die FCPA-Pause positioniert. Für deutsche Konzerne mit Tochtergesellschaften in einem dieser drei Länder oder mit Aktivitäten in Schwellenländern bedeutet das: Die Verfolgungs-Risiken sind nicht reduziert, sondern verlagert. Die Mandatsarchitektur muss UK Bribery Act 2010, Schweizer StGB Art. 322septies und französisches Sapin II parallel zur deutschen Lage abdecken.
Was ist Subject Matter Waiver — und wie schütze ich mich dagegen?
Subject Matter Waiver ist eine Doktrin im US-Recht: Wer freiwillig privilegierte Information zu einem Sachverhalt offenlegt — etwa um sich gegenüber Behörden kooperationsbereit darzustellen — kann den Privilegien-Schutz auch für die übrigen Teile desselben Sachverhalts verlieren. Die Reichweite ist nicht trivial; wer einen Untersuchungsbericht an die SEC herausgibt, kann das Privileg für die zugrundeliegenden Interview-Protokolle verlieren. Schutz: enge Begrenzung des offengelegten Sachverhalts, dokumentierte Vorbehalte bei Offenlegung, schriftliche Vereinbarung mit der Behörde zur „limited waiver“. In Deutschland ist der parallele Streit um den Privilegien-Verzicht durch teilweise Offenlegung nicht abschließend geklärt; deutsche Gerichte tendieren in der einschlägigen Diskussion zu strengerer Behandlung.
Brauche ich eine US-Kanzlei in einer deutschen Cross-Border-Untersuchung?
Bei substantieller US-Berührung (US-Listing, US-Tochter, US-Geschäft mit Korruptions-Risiko) ist die Mandatierung einer US-Kanzlei mit deutscher oder UK-Niederlassung Standard. Die Architektur sollte aber „deutsche Kanzlei + US-Kanzlei“ sein, nicht „US-Kanzlei mit deutschem Anhang“. Die deutsche Kanzlei führt die deutsche Verteidigungsarchitektur (Beschlagnahmeschutz, Mitarbeiter-Mitwirkung, deutsche Selbstanzeige); die US-Kanzlei deckt die US-Privilegien (Attorney-Client Privilege, Work Product, Upjohn) und die DOJ/SEC-Verhandlungen ab. Die Common Interest Agreement zwischen beiden Kanzleien ist Pflicht.
Wie sichere ich Datentransfers in die USA in einer Cross-Border-Untersuchung ab?
Drei Mindeststandards. EU-Hosting der Daten mit dokumentierter Datenresidenz. Verschlüsselung in Transit und at Rest mit kundengeführter Schlüsselverwaltung in der EU („customer-managed keys“). Schriftliche Cloud-Act-Klausel im Vertrag mit dem Anbieter, nach der jede US-Behördenanfrage zunächst angefochten wird. Bei US-bezogenen Untersuchungen ist die Datenarchitektur eine eigene Disziplin; ein Fehler hier kann die gesamte Privilegien-Architektur einreißen, weil über US Cloud Act US-Behörden auf Daten zugreifen können, die physisch in der EU liegen.
Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar.
Weiterführend:
- Interne Untersuchungen im Unternehmen: Leitfaden für General Counsel
- Aufklärungs- und Anzeigepflichten in der internen Untersuchung
- eDiscovery in der internen Untersuchung: Aufbau, Anbieter und KI
- Dawn-Raid-Notfallplan: Das Playbook für den Tag X
Externe Primärquellen:
- BVerfG 27.06.2018 – 2 BvR 1405/17, 2 BvR 1780/17 (Jones Day): bundesverfassungsgericht.de
- BVerfG 13.01.1981 – 1 BvR 116/77 (Gemeinschuldner-Beschluss): bundesverfassungsgericht.de
- Upjohn Co. v. United States, 449 U.S. 383 (1981): supreme.justia.com
- EuGH 16.07.2020 – C-311/18 (Schrems II): eur-lex.europa.eu
- EU-US Data Privacy Framework Adäquanzbeschluss 10.07.2023: eur-lex.europa.eu
- US Foreign Corrupt Practices Act (15 U.S.C. § 78dd-1 et seq.): justice.gov
- Executive Order 14209 vom 10.02.2025: whitehouse.gov
- DAG Blanche-Memo zur FCPA-Pause vom 05.06.2025: justice.gov
- UK Bribery Act 2010: legislation.gov.uk
- Schweizer StGB Art. 322septies: fedlex.admin.ch
- Sapin II (Loi 2016-1691): legifrance.gouv.fr
- DSGVO Art. 44 ff., 83: dsgvo-gesetz.de
- StPO §§ 53, 97, 148: gesetze-im-internet.de
Grundlage: Rechtlicher Überblick
- Interne Untersuchungen im Unternehmen: Leitfaden für General Counsel
- Unternehmensstrafrecht: Haftung, Sanktionen & Verteidigung
- § 30 OWiG — Unternehmensgeldbuße
