Wenn die Compliance zum Compliance-Fall wird
Als Compliance bezeichnet man die Bereitschaft eines Unternehmens, sich an Recht, Gesetze und Regeln zu halten. Eine Compliance-Abteilung ist dazu da, diesen Grundsätzen Geltung zu verschaffen. Mit dem Hinweisgeberschutzgesetz (HinSchG), das seit Dezember schon für Betriebe ab 50 Mitarbeitern gilt, kommt den Compliance-Abteilungen in großen Unternehmen eine ganz besondere Bedeutung zu. Häufig sind nämlich genau dort auch die internen Meldestellen angesiedelt, zu denen die Unternehmen nach dem HinSchG verpflichtet sind. Das verleiht den Compliance-Abteilungen eine viel ausgedehntere Bedeutung. Sie können nun als eine Art vorgeschaltete Ermittlungsbehörde fungieren. Doch das bringt auch gewisse Herausforderungen mit sich. Es gilt in diesem Fall nämlich, sehr genau und akribisch zu arbeiten. Schon ein kleiner Fehler kann die Ermittlung zunichtemachen. Im Schlimmsten Fall wird die Compliance-Abteilung selbst zu einem Compliance-Fall. DOKTUS erklärt, wo die Gefahren liegen.
Wo strafrechtliche Konsequenzen drohen
Das Hinweisgeberschutzgesetz wurde unter anderem mit der Begründung eingeführt Straftaten in Unternehmen oder Behörden früher aufklären zu können. Da geht es um Steuerhinterziehung, Geldwäsche, Terrorismusfinanzierung und andere schwere Delikte. Wenn sich ein Whistleblower bei der internen Meldestelle meldet, muss diese darüber entscheiden, ob sie dem Hinweisgeber glauben schenkt, um dann herauszubekommen, was an diesen Hinweisen dran ist. In diesem Moment ermittelt die interne Meldestelle, und zwar so lange, bis sich entweder erwiesen hat, dass an den Vorwürfen nichts dran ist, oder dass sich der Verdacht so verdichtet hat, dass nun die Justizbehörden den Fall übernehmen. Doch bis es soweit kommt, lauern zahlreiche Fallen für die betriebsinternen Ermittler. Zu den Mängeln, die am häufigsten beanstandet werden, gehört die fehlende Verhältnismäßigkeit und die Missachtung von Datenschutzbestimmungen. Wer hier nachlässig ist, dem drohen im schlimmsten Fall sogar selbst strafrechtliche Konsequenzen.
Die vergifteten Früchte
Das amerikanische Rechtssystem kennt den Begriff „Früchte des vergifteten Baumes“. Der besagt in etwa, dass selbst die stichhaltigsten Beweise als nichtig erachtet werden, wenn sie auf unzulässige Weise erworben wurden. Auch die deutsche Strafprozessordnung beinhaltet vergleichbare Regelungen. Konkret bedeutet das, wenn sich die interne Meldestelle oder die Compliance-Stelle bei den Ermittlungen innerhalb des Unternehmens bestimmte Fehler erlauben, platzt möglicherweise der ganze Fall, weil ein Staatsanwalt die Beweise, die die Meldestelle vorlegt, in einem Verfahren nicht mehr verwerten darf. Häufig passieren solche Patzer beim Umgang mit personenbezogenen Daten. Da steht sogar die Gefahr im Raum, dass sich die Ermittler ihrerseits strafbar machen.
Die E-Mail-Falle
Ein durchaus probates Mittel, einem betriebsinternen Übeltäter auf die Spur zu kommen, ist ein Blick in seinen E-Mail-Account. Solange der Rechner im Unternehmen steht und die E-Mail-Adresse eine des eigenen Hauses ist, sollte das ja auch kein Problem sein. Irrtum! Solange der Arbeitgeber erlaubt oder auch nur duldet, dass private Korrespondenz über den betriebseigenen Account laufen darf, fällt der unter das Post- und Fernmeldegeheimnis. Das bedeutet für die Meldebehörde ein dickes rotes Stoppschild. Doch genau das wird immer wieder einmal übersehen. Das ist dann besonders ärgerlich, wenn man weiß, dass die notwendigen Beweise auf dem hauseigenen Server liegen und sie nicht verwendet werden können. Wer trotzdem an die Mails geht, riskiert überdies selbst straffällig zu werden, denn der Verstoß gegen das Post- und Fernmeldegeheimnis ist eben auch eine Straftat.
Genau Planung ist wichtig
Interne Meldestellen und Compliance-Abteilungen müssen sich also sehr genau auf einen Fall vorbereiten. Die grundlegende Frage wird immer sein, was ist das Ziel der Ermittlung und was hat sie letztendlich veranlasst? Auch gilt es zu klären, wie der Whistleblower selbst zu seinen Erkenntnissen gekommen ist. Hat er sich selbst unlauterer Mittel bedient, kann das die interne Meldestelle selbst wieder vor große Probleme stellen. Dann muss die Meldestelle entscheiden, ob sie unabhängig von den Hinweisen zu eigenen tragfähigen Beurteilungen kommt – und ob das dann auch von der anschließend ermittelnden Staatsanwaltschaft geteilt wird.
Nicht alles endet vor dem Richter
Eine interne Ermittlung muss nicht immer vor dem Staatsanwalt oder dem Richter enden. Mit dem Blick auf das Gebot der Verhältnismäßigkeit lässt sich einiges auch innerhalb des Betriebs klären. Zudem sollte das Ziel eines jeden Unternehmens sein, dass es möglichst wenig Gründe für eine Compliance-Abteilung gibt, einzuschreiten, oder für Whistleblower irgendwelche Hinweise zu geben. Klare und eindeutig formulierte Compliance-Grundsätze sind dafür sehr hilfreich.
Peter S. Kaspar