Teil I: Wann muss das Management interne Untersuchungen einleiten?
Dieser erste Teil unserer Briefing-Reihe kommt zu einem klaren Ergebnis: Unternehmen müssen interne Untersuchungen zügig und verhältnismäßig einleiten und steuern, sobald konkrete, objektive Anhaltspunkte auf wesentliches Fehlverhalten vorliegen. Diese Pflicht ergibt sich aus der allgemeinen gesellschaftsrechtlichen Legalitäts- und Organisationspflicht der Geschäftsleitung und wird durch spezialgesetzliche Regelwerke konkretisiert, insbesondere durch das Hinweisgeberschutzgesetz (HinSchG), das Lieferkettensorgfaltspflichtengesetz (LkSG), die EU-Marktmissbrauchsverordnung (MAR), das Wertpapierhandelsgesetz (WpHG) und das Geldwäschegesetz (GwG). In diesem ersten Teil stellen wir die Rechtsgrundlagen dar, ordnen die Verantwortlichkeiten zu, klären Auslöseschwellen und zeitliche Vorgaben und skizzieren eine praxistaugliche, durch Compliance gesteuerte Plausibilitätsprüfung mit Eskalations- und Meldemechanismen.
1. Rechtliche Grundlage und Umfang der Untersuchungspflicht
1.1 Legalitäts- und Organisationspflicht der Geschäftsleitung
Die grundlegende Untersuchungspflicht der Geschäftsleitung ist in der allgemeinen Pflicht zur Sicherstellung rechtmäßigen Handelns und einer angemessenen Organisation verankert. Für Aktiengesellschaften statuiert das Aktiengesetz (AktG) eine Sorgfaltspflicht des Vorstands und verlangt ein System zur Früherkennung bestandsgefährdender Risiken. Für börsennotierte Aktiengesellschaften fordert das AktG darüber hinaus die Einrichtung eines angemessenen und wirksamen internen Kontrollsystems und eines Risikomanagementsystems, das über die Anforderungen der Früherkennung hinausgeht. Für Gesellschaften mit beschränkter Haftung normiert das GmbH-Gesetz (GmbHG) analoge Pflichten. Diese gesetzlichen Verpflichtungen werden dadurch operationalisiert, dass belastbare Hinweise auf erhebliche Verstöße zügig aufzuklären, zu dokumentieren und abzustellen sind.
1.2 Ordnungswidrigkeiten und Unternehmensgeldbußen
Das Unterlassen erforderlicher Aufsichtsmaßnahmen kann eine Ordnungswidrigkeit darstellen wenn betriebsbezogene Zuwiderhandlungen nicht verhindert oder aufgedeckt werden. Ein dokumentiertes, risikobasiertes Rahmenwerk für interne Untersuchungen sowie zeitnahe Reaktionen auf Hinweise auf Fehlverhalten sind für die Bußgeldmilderung und in manchen Fällen für die Vermeidung eines Aufsichtsverschuldens relevant. (Einzelheiten zu Rechtsfolgen und Milderungsstrategien finden sich in Teil VII unserer Briefing-Reihe.)
1.3 Hinweisgeberschutz: Folgepflichten und Fristen
Das HinSchG, das am 2. Juli 2023 in Kraft getreten ist, verpflichtet Unternehmen mit mindestens 50 Beschäftigten zur Einrichtung interner Meldekanäle und zur fristgerechten Bearbeitung eingehender Meldungen. Die interne Meldestelle muss den Eingang einer Meldung innerhalb von sieben Tagen bestätigen und innerhalb von drei Monaten eine ergebnisorientierte Rückmeldung geben. Das Gesetz betont die strikte Vertraulichkeit, den Schutz vor Repressalien sowie eine unparteiische und fachkundige Bearbeitung.
1.4 Lieferketten: Risikobasierte und ereignisbasierte Untersuchungen
Das LkSG verpflichtet die erfassten Unternehmen zur Einrichtung eines Risikomanagementsystems, zur Durchführung regelmäßiger und anlassbezogener Risikoanalysen, zur Umsetzung von Präventions- und Abhilfemaßnahmen sowie zur Einrichtung eines Beschwerdeverfahrens. Im eigenen Geschäftsbereich und gegenüber unmittelbaren Zulieferern bestehen proaktive Handlungspflichten. Bei mittelbaren Zulieferern entsteht eine anlassbezogene Untersuchungspflicht bei Vorliegen ‚substantiierter Kenntnis' möglicher menschenrechtlicher oder umweltbezogener Verstöße.
1.5 Marktmissbrauch: Insiderhandel und verdächtige Transaktionen
Die EU-Marktmissbrauchsverordnung (Verordnung (EU) Nr. 596/2014, MAR) verpflichtet Emittenten zur unverzüglichen Offenlegung von Insiderinformationen und normiert Verbote des Insiderhandels und der unrechtmäßigen Offenlegung. Wertpapierfirmen und Handelsplätze sind nach der MAR verpflichtet, Meldung verdächtiger Aufträge und Transaktionen (Suspicious Transaction and Order Reports, STOR) an die zuständige Behörde ohne schuldhaftes Zögern, sobald hinreichende Verdachtsgründe für Insiderhandel, Marktmanipulation oder entsprechende Versuche bestehen. Damit einher geht die Pflicht zur begleitenden internen Prüfung: Unternehmen müssen den Verdacht zügig bewerten, Vertraulichkeit wahren, Insiderlisten führen und — bei Emittenten — zwischen einer Ad‑hoc‑Mitteilung und einem berechtigten, ordnungsgemäß dokumentierten Aufschub der Veröffentlichung abwägen.
1.6 Geldwäscheprävention: Unverzügliche Verdachtsmeldung
Verpflichtete Einrichtungen nach dem GwG müssen risikobasierte Präventionssysteme implementieren und Verdachtsmeldungen (Suspicious Activity Reports, SARs) ohne schuldhafte Verzögerung an die Zentralstelle für Financial Intelligence Unit (FIU) erstatten, wenn Tatsachen den Verdacht der Geldwäsche oder der Terrorismusfinanzierung begründen. Aktuelle Leitlinien konkretisieren die zeitlichen Anforderungen und die Dokumentationspflichten. Grundsätzlich soll die Verdachtsmeldung noch am selben Arbeitstag oder am nächsten Arbeitstag nach Erreichen der Verdachtsschwelle abgegeben werden; sofern objektiv mehr Zeit erforderlich ist, um wesentliche Hintergrundinformationen zusammenzustellen, die der FIU eine Auswertung der Meldung ermöglichen, wird eine kurze Fristverlängerung toleriert.
2. Verantwortlichkeiten im Untersuchungsprozess: Rollen und Zuständigkeiten
2.1 Letztverantwortung der Geschäftsleitung
Der Vorstand bzw. die Geschäftsführung trägt die letztendliche Verantwortung für die Rechtmäßigkeit der Unternehmenstätigkeit, eine wirksame Compliance-Organisation und eine angemessene Reaktion auf Hinweise auf Fehlverhalten. Selbst bei der Delegation an die Compliance-Funktion oder die Interne Revision verbleibt bei der Geschäftsleitung die Pflicht, eine ausreichende Ressourcenausstattung, Unabhängigkeit, klare Mandate und eine regelmäßige Berichterstattung sicherzustellen. (Zur Ausgestaltung der Compliance-Organisation siehe Teil II.)
2.2 Compliance, Interne Revision und Fachfunktionen
Die Compliance-Funktion ist in der Regel zuständig für die Entgegennahme, Vorsichtung, Plausibilitätsprüfung und die operative Koordination von Untersuchungen. Die Interne Revision gewährleistet eine unabhängige Prüfungssicherheit und kann bei systemischen Kontrolldefiziten die Sachverhaltsermittlung übernehmen. Die Rechtsabteilung, die Personalabteilung, die IT-Forensik und der Datenschutz werden anlassbezogen eingebunden. Spezialisierte Beauftragte (z. B. der Geldwäschebeauftragte nach dem GwG) nehmen regime-spezifische Analyse- und Meldeaufgaben wahr.
2.3 Spezialisierte Beauftragte
Die interne Meldestelle nach dem HinSchG muss unabhängig, unparteiisch und hinreichend fachkundig sein; sie übernimmt die Entgegennahme von Meldungen, stellt die Vertraulichkeit sicher, fordert ergänzende Informationen an und schlägt Folgemaßnahmen vor. Das LkSG verlangt eine namentlich benannte Zuständigkeit für das Risikomanagementsystem und die Beschwerdebearbeitung. Bei Unternehmensgruppen ist eine Zentralisierung zulässig, sofern ein ungehinderter Zugang gewährleistet ist.
2.4 Aufsichtsratsaufsicht
Wenn wesentliche Compliance-Fragen auftreten, muss der Vorstand den Aufsichtsrat ohne unnötige Verzögerung informieren. Der Prüfungsausschuss erhält in der Regel regelmäßige Berichte zu Untersuchungen, Kennzahlen und Abhilfemaßnahmen.
3. Auslöser, Schwellenwerte und Timing
3.1 Erforderlicher Verdachtsgrad
Die Schwelle ist regimespezifisch, konvergiert jedoch bei objektiven, konkreten Anhaltspunkten, die eine weitergehende Prüfung rechtfertigen. Nach dem HinSchG löst jede Meldung, die nicht offensichtlich unbegründet ist, eine Folgemaßnahmen aus. Nach dem LkSG löst ‚substantiierte Kenntnis' in Bezug auf mittelbare Zulieferer eine anlassbezogene Risikoanalyse aus. Nach der MAR begründen ‚hinreichende Verdachtsgründe' eine sofortige interne Prüfung und eine STOR-Meldung. Nach dem GwG erfordern ‚Tatsachen, die den Verdacht begründen' eine umgehende SAR-Meldung.
3.2 Regulatorische Zeitpläne und Dokumentationsaufwand
Nach dem HinSchG muss die interne Meldestelle den Eingang einer Meldung innerhalb von sieben Tagen bestätigen und innerhalb von drei Monaten eine Rückmeldung zum Verfahrenstand geben. Nach dem GwG werden SAR-Meldungen zügig erwartet, in der Regel noch am selben oder am nächsten Arbeitstag. Nach der MAR umfasst das sofortige Handeln die Abgabe einer STOR-Meldung, sobald Verdachtsgründe vorliegen; für Emittenten gilt zudem die Pflicht zur Ad‑hoc‑Veröffentlichung ohne schuldhaftes Zögern, sofern die dokumentierten Voraussetzungen für einen Aufschub nicht erfüllt sind. (Zu arbeitsrechtlichen Fristen, die disziplinarische Maßnahmen betreffen, siehe Teil III unserer Briefing‑Reihe.)
Ausgewählte Auslöser und Zeitpläne für Untersuchungen und Berichte
|
Regime |
Auslöser/Schwellenwert |
Zeitstrahl |
Kernerwartung |
|
HinSchG (Hinweisgeberschutz) |
Meldung erscheint plausibel und liegt im Anwendungsbereich |
Eingangsbestätigung innerhalb von 7 Tagen; Rückmeldung innerhalb von 3 Monaten |
Vertrauliche Bearbeitung, unparteiische Nachverfolgung, Repressalienverbot, dokumentierte Maßnahmen |
|
LkSG (Lieferketten) |
Substantiierte Kenntnis bei mittelbaren Zulieferern; laufende Pflichten für eigene Geschäftsbereiche und unmittelbare Zulieferer |
Ohne schuldhaftes Zögern für Ad-hoc-Risikoanalysen und Maßnahmen |
Risikoanalyse, Prävention, Abhilfemaßnahmen; effektive Beschwerdebearbeitung |
|
MAR/WpHG (Marktmissbrauch, Emittenten und Unternehmen) |
Hinreichende Verdachtsgründe für Insiderhandel/ |
STOR-Meldung ohne schuldhaftes Zögern; Ad-hoc-Veröffentlichung ohne schuldhaftes Zögern oder berechtigter Aufschub mit Dokumentation |
Sofortige interne Prüfung, Abgabe einer STOR-Meldung, Führung von Insiderlisten; Offenlegungspflichten des Emittenten |
|
GwG (AML) |
Tatsachen, die den Verdacht begründen |
SAR-Meldung ohne schuldhaftes Zögern (in der Regel am selben oder nächsten Arbeitstag) |
UmgehendeSAR-Meldung, Stillhalten für bis zu 3 Arbeitstage, sofern das Risiko nichts anderes erfordert; verstärkte Sorgfaltsprüfung im Nachgang |
4. Plausibilitätsprüfung und Vorauswahl durch die Compliance-Abteilung
4.1 Entgegennahme, Registrierung und Beweissicherung
Eine belastbare Plausibilitätsprüfung beginnt mit der unverzüglichen Registrierung der Meldung oder des Hinweises, der gesicherten Aufbewahrung und der Sicherung relevanter Beweismittel. Durch Aufbewahrungsanordnungen sind E-Mails, Nachrichtenverläufe und Dateiablagen zu schützen. Eine frühzeitige IT-forensische Bestandsaufnahme vermeidet Probleme bei der Beweiskette. Sofern SAR-Meldungen oder STOR-Meldungen kurzfristig ausgelöst werden könnten, sollte die Compliance-Funktion vorrangig die zur Erfüllung externer Meldepflichten erforderlichen Mindesttatsachen zusammentragen. (Zu detaillierten forensischen Protokollen und Datenscreenings siehe Teil IV unserer Briefing-Reihe.)
4.2 Unabhängigkeit und Konfliktmanagement
Das Prüfungsteam muss unabhängig und frei von Interessenkonflikten sein. Bei Vorwürfen gegen Mitglieder der Geschäftsleitung oder bei systemischen Kontrollversagen ist häufig eine Federführung durch die Interne Revision sowie die Einbindung externer Unterstützung geboten. Spezialisierte Beauftragte (z.B. der Geldwäschebeauftragte) sind bereits bei der Entgegennahme der Meldung einzubinden, um ein unverzügliches behördengerichtetes Handeln sicherzustellen.
4.3 Datenminimierung, Vertraulichkeit und Kommunikationsdisziplin
Die Datenverarbeitung muss erforderlich und verhältnismäßig sein, wobei der Zugang auf das zentrale Ermittlungsteam zu beschränken ist. Die Identität von Hinweisgebern und betroffenen Personen unterliegt strenger Vertraulichkeit. Das HinSchG verlangt eine Rückmeldung zum Verfahrensstand an die hinweisgebende Person innerhalb bestimmter Fristen. Die Weitergabeverbote nach dem GwG und der MAR beschränken die weitergehende interne Kommunikation. (Zu den Grundsätzen der Datenminimierung und der Verarbeitung von Beschäftigtendaten siehe Teil V unserer Briefing-Reihe.)
4.4 Abschließen, überwachen oder eskalieren?
Nach Abschluss der Plausibilitätsprüfung sollte das Unternehmen entscheiden, ob der Vorgang mit Begründung abgeschlossen, in ein Monitoring überführt oder eine förmliche Untersuchung mit festgelegtem Prüfungsumfang und festgelegter Methodik eingeleitet wird. Entscheidungskriterien sind die Schwere des Verstoßes, die Eintrittswahrscheinlichkeit und der potenzielle Schaden. Die Entscheidungsgründe und die zugrunde liegenden Daten sind revisionssicher zu dokumentieren.
5. Melde- und Eskalationswege
5.1 Unterrichtung der zuständigen Leitungsebene
Sobald die Plausibilitätsprüfung einen relevanten Verdacht bestätigt oder ein spezialgesetzliches Regime sofortiges Handeln erfordert, ist der zuständige Vorgesetzte auf Leitungsebene zu unterrichten, um die Freigabe von Ressourcen und die Einleitung von Schutzmaßnahmen zu veranlassen. Bei börsennotierten Unternehmen sind die Emittenten-Compliance und die zuständigen Vorstandsmitglieder unverzüglich einzubinden, um die Pflicht zur Ad-hoc-Veröffentlichung und die Führung von Insiderlisten zu prüfen.
5.2 Beteiligung des Aufsichtsrats
Wesentliche Angelegenheiten (z.B. finanziell erhebliches Fehlverhalten, systemische Kontrolldefizite, Beteiligung von Mitgliedern der Geschäftsleitung) erfordern eine unverzügliche Unter-richtung des Aufsichtsrats. Der Prüfungsausschuss ist das geeignete Gremium für die laufende Überwachung der Untersuchung und die Nachverfolgung der Abhilfemaßnahmen.
5.3 Externe Meldungen, Aufsichtsbehörden und Strafverfolgungsbehörden
Nach der MAR sind STOR-Meldungen ohne schuldhaftes Zögern abzugeben. Nach dem GwG sind SAR-Meldungen umgehend bei der FIU einzureichen. Weder das LkSG noch das HinSchG begründen eine reguläre Pflicht zur Benachrichtigung von Behörden über einzelne interne Vorgänge; allerdings können behördliche Nachfragen die Aufmerksamkeit auf die Beschwerdebearbeitung lenken. Die externe Kommunikation sollte streng kontrolliert werden; Ad-hoc-Mitteilungen unterliegen den strengen Vorgaben der MAR.
5.4 Abschluss, Dokumentation und Abhilfemaßnahmen
Ein formelles Abschlussmemorandum sollte die festgestellten Tatsachen, die angewandten Maßstäbe, die Schlussfolgerungen zur Verantwortlichkeit und die ergriffenen Abhilfemaßnahmen enthalten. Abhilfemaßnahmen können disziplinarische Maßnahmen, die Neugestaltung von Kontrollsystemen, verbesserte Schulungen und Rückforderungsmaßnahmen umfassen. (Einzelheiten zu disziplinarischen Konsequenzen und Amnestieprogrammen finden Sie in Teil VII unserer Briefing-Reihe.)
Fazit
Die Pflicht der Geschäftsleitung, interne Untersuchungen einzuleiten und zu steuern, beruht auf einem mehrschichtigen rechtlichen Fundament. Allgemeine gesellschaftsrechtliche Pflichten verlangen eine zügige Aufklärung von Compliance-Verstößen. Spezialgesetzliche Regelwerke begründen konkrete Pflichten: Das HinSchG verlangt eine strukturierte Nachverfolgung mit festen Fristen für Eingangsbestätigung und Rückmeldung; das LkSG schreibt anlassbezogene und risikobasierte Untersuchungen bei Kenntnis substantiierter Hinweise vor; die MAR verlangt bei hinreichendem Verdacht eine sofortige interne Prüfung und eine zeitnahe STOR-Meldung; und das GwG erfordert eine umgehende SAR-Meldung an die FIU.
Die Verantwortung liegt beim Vorstand, unterstützt durch Compliance, die Interne Revision und spezialisierte Beauftragte. Die Plausibilitätsprüfung durch Compliance muss schnell, unparteiisch und gut dokumentiert erfolgen, verbunden mit einer sofortigen Beweissicherung. Die Eskalation an die Geschäftsleitung und – bei wesentlichen Angelegenheiten – an den Aufsichtsrat muss klar definierten Wegen folgen. Dabei sind durchgehend Vertraulichkeit und das Verbot der Informationsweitergabe zu wahren.
In den folgenden Teilen dieser Briefing-Reihe werden wir die Strukturierung der Compliance-Organisation (Teil II), die Durchführung von Mitarbeiterbefragungen (Teil III), die Sichtung von Mitarbeiterdaten und Dokumenten (Teil IV), die datenschutzrechtlichen Vorgaben (Teil V), die Einbindung von Betriebsräten (Teil VI) sowie die Risiken und Chancen interner Untersuchungen (Teil VII) näher beleuchten.


