Interne Untersuchungen – Aufklärung und Beweissicherung: Teil 2: Rechtliche Rahmenbedingungen in Standardfällen

Nach Darstellung der wichtigsten Aufklärungsmaßnahmen im ersten Teil befasst sich der zweite Teil der Beitragsreihe „Interne Untersuchung – Aufklärung und Beweissicherung“ mit deren rechtlichen Rahmenbedingungen. Der Beitrag konzentriert sich dabei auf übergreifende Aspekte des Gesellschafts-, Arbeits-, Datenschutz- und Strafrechts. Eine abschließende oder erschöpfende Darstellung kann an dieser Stelle nicht erfolgen. Neben den hier thematisierten Aspekten ist deshalb bei einer internen Untersuchung immer – ggf. unter Einbeziehung von Rechtsrat – sorgfältig zu prüfen, welche gesetzlichen Vorgaben für die konkret geplante Aufklärungsmaßnahme bestehen.

I. Welche Pflichten enthält das Gesellschaftsrecht für interne Untersuchungen?

Wen eine etwaige Pflicht zur Einleitung einer internen Untersuchung trifft, hängt von der Rechtsform des betroffenen Unternehmens ab. Als gängigste Rechtsformen in Deutschland sollen die GmbH und die Aktiengesellschaft (AG) näher erläutert werden.

1. Wann muss eine interne Untersuchung eingeleitet werden?

Weitgehend anerkannt ist, dass der Vorstand einer AG aufgrund seiner Pflicht zum gesetzeskonformen Handeln (Legalitätspflicht) dazu verpflichtet ist, bei entsprechenden Verdachtsmomenten eine interne Untersuchung einzuleiten. Ihm steht dabei kein unternehmerisches Ermessen (keine Business Judgement Rule!), sondern lediglich ein Beurteilungsspielraum zu, ob die vorliegenden Verdachtsmomente ausreichend sind. Wann die Schwelle ausreichender Verdachtsmomente erreicht ist, lässt sich nicht abstrakt festlegen. Sie werden jedenfalls vorliegen, wenn ein Rechtsverstoß erwiesen ist, behördliche Ermittlungen eingeleitet wurden oder unmittelbar bevorstehen. Abseits dieser klaren Fälle kommt es darauf an, wie authentisch und schlüssig die Anhaltspunkte für einen Regelverstoß sind (vgl. Fuhrmann NZG 2016, 881, 885). Bestehen ggf. große Gefahren für die Gesundheit oder das Leben der Bevölkerung oder hätte der Rechtsverstoß erhebliche wirtschaftliche Folgen für das Unternehmen, ist die Schwelle für eine interne Untersuchung niedriger anzusetzen (Fuhrmann NZG 2016, 881, 885).

2. Wer muss in einer Aktiengesellschaft eine interne Untersuchung einleiten?

Ist die Schwelle überschritten, stellt sich die Frage, wer in der AG für die Einleitung einer internen Untersuchung zuständig ist. Grundsätzlich handelt es sich um eine Aufgabe des Vorstands. Die Zuständigkeit folgt aus dessen Leitungs- und Sorgfaltspflicht (§§ 76 Abs. 1, 91 Abs. 2, 93 Abs. 1 AktG). Ungeklärt ist, ob der Vorstand als Kollektiv handeln muss oder ob die Zuständigkeit auch auf ein einzelnes Vorstandsmitglied delegiert werden kann (vgl. Fuhrmann NZG 2016, 881, 882). Denkbar ist aber auch, dass der Vorstand einer AG untätig bleibt oder Vorstandsmitglieder selbst in den Rechtsverstoß verwickelt sind. In diesem Fall ist der Aufsichtsrat als Gesamtgremium dazu berufen, eine interne Untersuchung einzuleiten (Fuhrmann NZG 2016, 881, 883). Verkürzt lassen sich die Zuständigkeiten deshalb so beantworten: In erster Linie ist der Vorstand zur Einleitung einer internen Untersuchung verpflichtet. Nur wenn dieser untätig bleibt oder selbst in den Rechtsverstoß involviert ist, greift die Zuständigkeit des Aufsichtsrats der AG. Die Hauptversammlung kann dagegen keine Untersuchung einleiten (vgl. die §§ 142 ff. AktG).

3. Wer ist in der GmbH für die Einleitung einer internen Untersuchung zuständig?

Bei hinreichenden Verdachtsmomenten unterliegt auch der Geschäftsführer einer GmbH der (Legalitäts-)Pflicht, eine interne Untersuchung einzuleiten (vgl. Knauer ZWH 2012, 41, 46 f.). In Bezug auf den erforderlichen Verdachtsgrad ergeben sich keine Unterschiede zur AG. Besonderheiten folgen aber daraus, dass die Gesellschafterversammlung gegenüber der Geschäftsführung weisungsbefugt ist (§ 37 Abs. 1 GmbHG). Weist die Gesellschafterversammlung die Geschäftsführung trotz bestehender Verdachtsmomente an, keine interne Untersuchung einzuleiten, ist diese Weisung nicht bindend. Andersherum ist die Gesellschafterversammlung berufen, eine interne Untersuchung einzuleiten, wenn die Geschäftsführung untätig bleibt oder selbst in das Fehlverhalten involviert ist. Die Entscheidung wird in aller Regel durch Mehrheitsbeschluss in der Gesellschafterversammlung getroffen (§ 47 Abs. 1 GmbHG). Ist ein Gesellschafter in den Regelverstoß involviert, darf er bei der Entscheidung über die Einleitung einer internen Untersuchung nicht mitabstimmen. Aber auch dann, wenn er den ihm nahestehenden Geschäftsführer schützen will und deshalb seine Zustimmung verweigert, ist sein Verhalten treuwidrig und anfechtbar (Fuhrmann NZG 2016, 881, 884).

II. Welche Auswirkungen hat das Arbeitsrecht auf interne Untersuchungen?

 Rechtliche Vorgaben für interne Untersuchungen können sich sowohl aus dem Individualarbeitsrecht (d.h. dem Arbeitsvertrag) als auch aus dem Kollektivarbeitsrecht (Tarifverträge etc.) ergeben.

1. Individualarbeitsrecht

Das Individualarbeitsrecht steht einer internen Untersuchung nicht entgegen. Die Zulässigkeit einer Untersuchung bspw. zur Prüfung zivilrechtlicher Ansprüche (Schadensersatz, Unterlassung, …) folgt aus dem Beibringungsgrundsatz vor Gericht (§ 46 ArbGG). Aber auch zur Prüfung der Einhaltung der arbeitsvertraglichen Pflichten und zur Abwehr von Schäden des Arbeitgebers sind Untersuchungsbefugnisse des Arbeitgebers anerkannt (vgl. Salvenmoser/Schreier, in Achenbach/Ransiek/Rönnau (Hrsg.), Hdb. Wirtschaftsstrafrecht, 6. Aufl. 2023, 2. Teil 2 Kap. Rn. 21). Der Arbeitsvertrag kann selbst Grundlage für Aufklärungsmaßnahmen sein, wenn bspw. die Duldung bestimmter Kontrollen vereinbart wurde. Wird eine Aufklärungsmaßnahme auf eine individualvertragliche Vereinbarung gestützt, ist jedoch immer genau zu prüfen, ob diese rechtswirksam vereinbart wurde und nicht wegen Gesetzesverstößen nichtig ist.

Abseits konkreter vertraglicher Vereinbarungen stellt das Allgemeine Persönlichkeitsrecht des Arbeitnehmers eine Grenze für interne Untersuchungsmaßnahmen dar. Das allgemeine Persönlichkeitsrecht umfasst dabei das Recht am eigenen Bild, das Recht am gesprochenen Wort, den Ehrschutz, den Schutz der Privatsphäre und den Schutz der informationellen Selbstbestimmung. Untersuchungsmaßnahmen wie die Besichtigung des Arbeitsplatzes oder ein E-Mail-Screening greifen in dieses Recht ein und sind nur gerechtfertigt, wenn im Rahmen einer Abwägung die schützenswerten Interessen des Arbeitgebers (Bsp. Wahrung der betrieblichen Ordnung, Schutz des Unternehmenseigentums, Wahrung von Geschäftsgeheimnissen, Aufklärung/Unterbindung von Rechtsverstößen etc.) das Persönlichkeitsinteresse des Arbeitnehmers überwiegen (vgl. Salvenmoser/Schreier aaO 2. Teil 2 Kap. Rn. 57).

2. Kollektivarbeitsrecht

Denkbar ist auch, dass in Tarifverträgen oder Betriebsvereinbarungen Rahmenbedingungen für bestimmte Aufklärungsmaßnahmen bei einer internen Untersuchung vereinbart werden. Ein gesetzliches Beispiel hierfür findet sich in § 26 Abs. 4 S. 1 BDSG, der Kollektivvereinbarungen als Grundlage für die Verarbeitung personenbezogener Daten anerkennt. Das ermöglicht es dem Arbeitsgeber, typische Datenverarbeitungsschritte auf die betrieblichen Besonderheiten anzupassen (vgl. Momsen/Grützner (Hrsg.), Hdb. Wirtschafts- und Steuerstrafrecht, 2. Aufl. 2020, § 16 Rn. 239 ff.). Insofern bildet eine Kollektivvereinbarung dann die (datenschutzrechtliche) Grundlage für eine Aufklärungsmaßnahme. Gleichzeitig können sich aus Kollektivvereinbarung und aus dem Betriebsverfassungsrecht auch zusätzliche Anforderungen und Grenzen für die jeweilige Maßnahme ergeben. So können z.B. Mitbestimmungs- (vgl. § 87 Abs. 1 BetrVG), Informations- oder Mitwirkungsrechte des Betriebsrats eingreifen (Salvenmoser/Schreier, aaO, 2. Teil 2. Kap. Rn. 58).

III. Welche Auswirkungen hat das Datenschutzrecht auf interne Untersuchungen?

Die internen Ermittler müssen sich (selbstverständlich) an die Einhaltung des Datenschutzrechts halten (Salvenmoser/Schreier aaO, 2. Teil 2 Kap. Rn. 61). Zum einen drohen andernfalls Reaktionen der Datenschutzaufsichtsbehörden, zum anderen können Verstöße gegen das Datenschutzrecht dazu führen, dass die erlangten Beweise vor Gericht nicht verwertet werden können (Greeve/Tsambikakis in Knierim/Rübenstahl/Tsambikakis, Internal Investigations, 2. Aufl. 2016, 18. Kap. Rn. 65; näher hierzu im fünften Teil unserer Beitragsreihe). Wenn die ermittelten Beweise aber nicht verwertbar sind, lässt sich häufig auch der Zweck der internen Untersuchung (z.B. strafrechtliche oder arbeitsrechtliche Ahndung des Fehlverhaltens) nicht mehr erreichen. Die ganze Ermittlung wäre umsonst.

1. Wann greift das Datenschutzrecht bei internen Untersuchungen ein?

Die datenschutzrechtlichen Regelungen für interne Ermittlungen in Deutschland ergeben sich aus der europäischen Datenschutzgrundverordnung (DSGVO) und werden durch das Bundesdatenschutzgesetz (BDSG) ergänzt. Vereinfacht ausgedrückt, findet die DSGVO Anwendung, wenn personenbezogene Daten verarbeitet werden (Art. 2 DSGVO). Personenbezogene Daten sind dabei alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 Nr. 1 DSGVO). Eine Verarbeitung liegt vor, wenn personenbezogene Daten erhoben, erfasst, organisiert, geordnet, gespeichert, angepasst, verändert, ausgelesen, abgefragt, verwendet, offengelegt, verbreitet, abgeglichen, verknüpft, eingeschränkt, gelöscht oder vernichtet werden (Art. 4 Nr. 2 DSGVO). Praktisch dürfte jede Berührung der internen Ermittler mit personenbezogenen Daten eine Verarbeitung im Sinne der DSGVO darstellen!

2. Wann ist eine Aufklärungsmaßnahme datenschutzrechtlich zulässig?

Die Verarbeitung personenbezogener Daten bei einer internen Untersuchung ist nur rechtmäßig, wenn es eine Rechtsgrundlage dafür gibt. Hierfür kommt vor allem Art. 6 Abs. 1 DSGVO in Betracht. Eine Verarbeitung ist danach bspw. möglich, wenn sie zur Erfüllung einer rechtlichen Verpflichtung des Arbeitnehmers (lit. a), zum Schutz lebenswichtiger Interessen anderer Personen (lit. d) oder zur Wahrung der berechtigten Interessen des Arbeitgebers oder eines Dritten erforderlich ist (lit. f). Letzteres erfordert zusätzlich, dass die entgegenstehenden Grundrechte und Grundfreiheiten des betroffenen (Arbeitnehmers) nicht überwiegen. Besonders relevant ist auch § 26 Abs. 1 BDSG. Dieser erlaubt die Verarbeitung von personenbezogenen Daten von Beschäftigten, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses oder – unter bestimmten Voraussetzungen – zur Aufdeckung von Straftaten erforderlich ist. Denkbar ist zudem eine Einwilligung des betroffenen Arbeitnehmers in die Datenverarbeitung. Hierbei tauchen aber häufig zwei Probleme auf. Zum einen erfordert die Einwilligung eine Information des Betroffenen über das Vorhaben, sodass die Gefahr besteht, dass dieser Verdunklungshandlungen vornimmt und so den Untersuchungszweck gefährdet (hierzu bereits Teil I der Beitragsreihe). Zum anderen kann die Einwilligung jederzeit widerrufen werden, sodass die Grundlage für eine weitere Datenverarbeitung entzogen wird. Um diesen Problemen zu begegnen, ist es ratsam, die Verarbeitung personenbezogener Daten nicht allein auf eine Einwilligung zu stützen.

3. Welche datenschutzrechtlichen Grundprinzipien sind bei einer internen Untersuchung zu beachten?

Die Ermittler müssen bei einer internen Untersuchung auch die datenschutzrechtlichen Grundprinzipien beachten und ihre Tätigkeit dokumentieren. Die Grundprinzipien sind in Art. 5 Abs. 1 DSGVO geregelt und verpflichten u.a. dazu, personenbezogene Daten transparent (lit. a), nur für den festgelegten Zweck (lit. b), nur soweit erforderlich (Datenminimierung! need-to-know-Prinzip!) (lit. c), richtig (lit. d), vertraulich (lit. f) und nur so lange wie nötig zu verarbeiten (lit. e). Besonders das Gebot der Datenminimierung (lit. c) kann leicht verletzt sein, wenn einfach „drauflos ermittelt“ wird (vgl. Wybitul, in Knierim/Rübenstahl/Tsambikakis, Internal Investigations, 2. Aufl. 2016, 12. Kap. Rn. 18 ff.). Eine spezielle Hürde für interne Untersuchungen stellen die Transparenzpflichten gegenüber demjenigen dar, dessen Daten verarbeitet werden. Würde man den verdächtigten Mitarbeiter umfassend informieren, drohen Verdunklungshandlungen (Ströbel/Böhm/Breunig/Wybitul, CCZ 2018, 14, 16). Es ist deshalb sorgfältig zu prüfen, ob die Information des Betroffenen ausnahmsweise unterbleiben kann. In Betracht kommen dafür Ausnahmeregelungen im BDSG (z.B. § 32 Abs. 1 Nr. 4 BDSG), wenn die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche des Arbeitgebers beeinträchtigt würde und dessen Interessen diejenigen des Betroffenen überwiegen. Neben diesen allgemeinen Prinzipien der Datenverarbeitung gelten für sensible Daten noch strengere Anforderungen und Grenzen. Daten sind dann besonders sensibel, wenn aus ihnen bspw. die ethnische Herkunft, politische Meinungen, die Religion oder Weltanschauung, eine Gewerkschaftszugehörigkeit, genetische oder biometrische Informationen, Gesundheitsdaten oder die sexuelle Orientierung hervorgeht (vgl. Art. 9 DSGVO).

IV. Welche Auswirkungen hat das Strafrecht auf eine interne Untersuchung?

1. Welche strafrechtlichen Risiken bestehen für den verdächtigen Mitarbeiter bei einer internen Untersuchung?

Offensichtlich ist zunächst, dass die interne Untersuchung Beweise für ein strafbares Verhalten des betroffenen Mitarbeiters hervorbringen kann. Die Art denkbarer Straftaten ist hier nahezu unüberschaubar (Betrug § 263 StGB, Untreue § 266 StGB, AWG-Verstöße, aber auch Gewalttaten wie Körperverletzungen oder Nötigungen).  Besonderes Augenmerk sollte auch auf sog. Anschlussdelikte (Begünstigung § 257 StGB, Strafvereitelung § 258 StGB) und Straftaten gegen die Rechtspflege (Falsche Verdächtigung § 164 StGB, Vortäuschen einer Straftat § 145d StGB etc.) liegen. Eine Strafbarkeit des Arbeitnehmers droht hier, wenn er Arbeitskollegen bei Ermittlungen der Strafverfolgungsbehörden (nicht gegenüber den internen Ermittlern!) deckt oder falsch verdächtigt.

2. Welche strafrechtlichen Risiken bestehen für die internen Ermittler?

Nicht direkt ins Auge springen dagegen Strafbarkeitsrisiken für die internen Ermittler selbst. Auch sie besitzen aber erhebliche Relevanz, wenn der Ermittelnde es bei seiner internen Untersuchung nicht so genau nimmt. Als Privater ist er an die Einhaltung der Strafgesetze uneingeschränkt gebunden und kann keine Sonderrechte der Strafverfolgungsbehörden in Anspruch nehmen (Salvenmoser/Schreier, aaO, 2. Teil 2. Kap. Rn. 40 f.). Typische Strafbarkeitsrisiken bei den in Teil 1 der Beitragsreihe vorgestellten Aufklärungsmaßnahmen sind:

• Vor-Ort-Besichtigung: Hausfriedensbruch gem. § 123 StGB (bei Überschreitung des Hausrechts des Arbeitgebers), Verletzung des Briefgeheimnisses gem. § 202 StGB (bei Öffnen privater Nachrichten)

• Dokumentenreview: Ausspähen von Daten gem. § 202a StGB (bei Einsicht in passwortgeschützte private Dateien)

• E-Mail-Screening: Verletzung des Post- und Fernmeldegeheimnisses gem. § 206 StGB (wenn die private E-Mail-Nutzung nicht geregelt ist und Einsicht in den Inhalt der E-Mail genommen wird), Verletzung von Privatgeheimnissen gem. § 203 StGB (bei Berufsgruppen wie Ärzten, Anwälten Berufspsychologen, denn hier ist die Einsicht in dienstliche E-Mails strafrechtlich untersagt)

• Mitarbeiterinterviews: Nötigung gem. § 240 StGB (wenn die Aussage durch Drohung erzwungen wird), Amtsanmaßung und Missbrauch von Titeln gem. §§ 132, 132a StGB (wenn der interne Ermittler seine Funktion und Kompetenz nicht wahrheitsgetreu offenlegt), Verletzung von Privatgeheimnissen gem. § 203 StGB

Die hier genannten Beispiele sind nicht abschließend, sondern sollen der Sensibilisierung dienen. Interne Ermittler sollten die Straftatbestände bei ihrer Arbeit ständig im Hinterkopf behalten.