Gesetzentwurf zur Bekämpfung der Unternehmenskriminalität bringt neue Regeln für interne Untersuchungen - Datenschutz gewinnt große Bedeutung
Das Justizministerium arbeitet mit Hochdruck an einem neuen Unternehmensstrafrecht. Der zur Abstimmung zwischen den beteiligten Ministerien erstellte Referentenentwurf umfasst 69 Paragrafen und 147 Seiten. Das Gesetz verfolgt das Ziel, die Sanktionierung von Unternehmen und sonstigen Verbänden auf eine eigene gesetzliche Grundlage zu stellen. Es soll eine angemessene Ahndung von Verbandsstraftaten ermöglichen. Zudem soll die Neuregelung Compliance-Maßnahmen fördern. Sie sieht Anreize dafür vor, dass Unternehmen über interne Untersuchungen dazu beitragen, Straftaten aufzuklären.
Der Entwurf für ein geplantes Verbandssanktionengesetz („VerSanG-E“) ist Kern der Neuregelung. Der Überblick hier fasst die Regelungen des VerSanG-E zu internen Untersuchungen zusammen und zeigt, welche Auswirkungen sie künftig auf die Unternehmenspraxis haben. Schwerpunkte liegen dabei auf:
- Fragen der Kooperation mit den Verfolgungsbehörden,
- Fragen der Durchführung fairer Ermittlungsgrundsätze und
- den Anforderungen des Datenschutzes.
Gerade bei internen Untersuchungen erfährt der Datenschutz durch die Neuregelung eine enorme Aufwertung. Unternehmen müssen die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) und sonstiger datenschutzrechtlicher Vorschriften richtig und belastbar umsetzen. Andernfalls können sie aufgrund der durchgeführten Untersuchung eine Sanktionsmilderung nicht in Anspruch nehmen. Abschließend gibt der Beitrag Empfehlungen, wie man die neuen Spielregeln für interne Untersuchungen in der Praxis belastbar umsetzt.
Hohe Sanktionen: Bis zu zehn Prozent des jährlichen Umsatzes
Der VerSanG-E sieht hohe Verbandsgeldsanktionen von bis zu zehn Prozent des durchschnittlichen Jahresumsatzes vor. Der für die Bemessung der Sanktion relevante Umsatz kann geschätzt werden. Ähnlich wie im Kartell- oder Datenschutzrecht ist der Umsatz der wirtschaftlichen Einheit relevant, also gegebenenfalls der Umsatz eines gesamten Konzerns. Bei Wirtschaftsunternehmen mit Umsätzen von bis zu 100 Millionen Euro beträgt die Höchstgrenze möglicher Verbandgeldsanktionen zehn Millionen Euro, § 9 Abs. 2 Nr. 1 VerSanG-E. Wer mit den US-amerikanischen Federal Sentencing Guidelines vertraut ist, wird in dem vorgelegten Entwurf den einen oder anderen bekannten Regelungsmechanismus wiederfinden. Einen umfassenden Überblick über die einzelnen Regelungen können Sie hier abrufen.
Der etwas sperrige Begriff der "Verbandsgeldsanktion" soll offenbar klarstellen, dass es sich hier neben den gegen einzelne Personen zu verhängenden Geld- oder Haftstrafen sowie Bußgeldern um eine neue, eigenständige Sanktionsform handelt. Die Definition von "Verband" im Sinne der geplanten Neuregelung ist sehr weit. Sie umfasst juristische Personen des öffentlichen oder privaten Rechts sowie nicht rechtsfähige Vereine und rechtsfähige Personengesellschaften.
Neben Verbandsgeldsanktionen können Behörden und Gerichte noch eine Reihe weiterer Sanktionen anordnen, in extremen Fällen bis hin zur Auflösung des Verbandes nach § 14 VerSanG-E. Bei einer großen Anzahl von durch eine Verbandsstraftat Geschädigten kann das Gericht neben einer Verbandssanktion auch die öffentliche Bekanntmachung der Verurteilung des Verbandes anordnen, § 15 VerSanG-E. Dabei nennt die Vorschrift ausdrücklich auch eine Veröffentlichung der Verurteilung im Internet als Möglichkeit. Damit nutzt der Gesetzgeber die mit einer solchen Bekanntmachung verbundene Rufschädigung beziehungsweise Prangerwirkung als zusätzliche Sanktion (sog. “shame and blame”).
Gesamtrechtsnachfolge und M&A-Transaktionen
Im Übrigen könnte die geplante Neuregelung auch Unternehmenstransaktionen in nicht unerheblicher Weise betreffen. Denn im Fall einer Gesamtrechtsnachfolge können Verbandssanktionen auch gegen den oder die Rechtsnachfolger verhängt werden. Diese Rechtsfolge tritt auch bei einer partiellen Gesamtrechtsnachfolge durch Aufspaltung nach § 123 UmwG ein. Die Entwurfsbegründung spricht ausdrücklich an, dass Erwerber regelmäßig über “die übliche Risikoprüfung bei Unternehmensübernahmen (Due Diligence) Kenntnis von anhängigen Verbandssanktionenverfahren erhalten.” Entsprechende Fragen und Prüfungen werden künftig bei Unternehmenstransaktionen daher wohl noch mehr an Relevanz gewinnen.
Mildere Sanktionen bei internen Untersuchungen
Der im VerSanG-E vorgesehene Verbandsgeldsanktionsrahmen ist ausgesprochen hoch. Das legt es für Unternehmen nahe, Möglichkeiten zu suchen, um drohende Sanktionsrisiken abzumildern. Eine Möglichkeit hierfür ist die freiwillige Aufklärung und Offenlegung von Verbandsstraftaten durch das Unternehmen selbst. Wenn Unternehmen oder sonstige Verbände durch verbandsinterne Untersuchungen einen wesentlichen Beitrag zur Sachverhaltsaufklärung leisten, kann das Gericht die Verbandssanktion mildern.
Sofern der Verband alle in § 18 VerSanG-E geregelten Anforderungen bei der Sachverhaltsaufklärung umsetzt, kann das Gericht die zu verhängende Verbandsgeldsantion erheblich reduzieren. Das Höchstmaß der Verbandsgeldsanktion reduziert sich dann um die Hälfte. Zudem darf das Gericht nach einer erfolgreich - also unter Einhaltung der nachstehend näher geschilderten Anforderungen – durchgeführt, so kann das Gericht zudem weder die öffentliche Bekanntmachung noch die Auflösung des Verbandes anordnen, § 19 VerSanG-E.
Interne Untersuchungen sollen Ermittlungen der Verfolgungsbehörden nicht ersetzen, sondern ergänzen. Gerade im Bereich des – oft sehr komplexen – Wirtschaftsstrafrechts können unternehmensinterne Untersuchungen die Sachverhaltsaufklärung durch die Justizbehörden durch wertvolle Beiträge unterstützen.
Anforderungen an sanktionsmildernde interne Untersuchungen
§ 18 VerSanG-E gibt eine Reihe von Anforderungen vor, die Unternehmen oder andere Verbände sämtlich erfüllen müssen, um auf eine Milderung der zu verhängenden Sanktion hoffen zu dürfen. Verbände sind nicht gezwungen, die nachstehend dargestellten Vorgaben bei internen Ermittlungen umzusetzen. Tun sie dies nicht, gelangen sie aber auch nicht in die Vorteile einer Sanktionsmilderung nach §§ 18 und 19 VerSanG-E.
- Wesentlicher Beitrag zur Aufklärung: Der Verband muss einen wesentlichen Beitrag dazu erbringen, dass die Verbandsstraftat aufgeklärt wird, § 18 Abs. 1 Nr. 1 VerSanG-E. Eine Sanktionsmilderung kommt nach der Entwurfsbegründung etwa dann nicht in Betracht, wenn die Verfolgungsbehörden den Sachverhalt bereits aufgeklärt hat. Der Verband hat auch keinen rechtlichen Anspruch darauf, zunächst eine eigene interne Untersuchung durchzuführen. Die Verfolgungsbehörde bleibt jederzeit Herrin des Ermittlungsverfahrens.
- Trennung von Verteidigung und Untersuchung: Verbandsinterne Untersuchungen können sowohl vom Verband selbst als auch von beauftragten Dritten durchgeführt werden, § 17 VerSanG-E. Allerdings darf ein solcher Dritter weder Verteidiger des Verbandes im Sanktionsverfahren sein noch der Verteidiger eines Beschuldigten, dessen Verbandsstraftat dem Sanktionsverfahren zugrunde liegt, § 18 Abs. 1 Nr. 2 VerSanG-E. Laut Entwurfsbegründung schwächt die Verbindung von verbandsinternen Untersuchungen und Unternehmensverteidigung die Glaubwürdigkeit von Untersuchungsergebnissen. Zudem könne eine solche Konstellation zu Konflikten mit dem Strafverteidigungsmandat führen. Verbandsinterne Untersuchungen dienten der objektiven Aufklärung des Sachverhalts einschließlich aller belastenden und entlastenden Umstände. Die Unabhängigkeit des Untersuchungsführers könne zudem auch der erste Schritt zu einer ernsthaften Selbstreinigung des Unternehmens und zu einem nachhaltigen Kulturwandel sein. Zwar kann der betroffene Verband mit der verbandsinternen Untersuchung auch eine Kanzlei beauftragen, der auch der Verteidiger eines Verbandes oder eines Beschuldigten angehört. Der Verteidiger darf dann aber nicht an der verbandsinternen Ermittlung beteiligt gewesen sein. Insbesondere darf er keinen direkten Zugriff auf die Ergebnisse aus der Ermittlung haben. Die beauftragte Kanzlei muss hierfür entsprechende organisatorische Vorkehrungen treffen.
- Kooperation: Der ermittelnde Verband oder der mit der Durchsuchung beauftragte Dritte muss uneingeschränkt mit den Verfolgungsbehörden zusammenarbeiten, § 18 Abs. 1 Nr. 3 VerSanG-E. Die genauen Umstände einer umfassenden Kooperation stehen im Ermessen der Verfolgungsbehörde. Die Kooperationspflicht kann auch die Beantwortung von Fragen der Verfolgungsbehörden oder das Vorlegen von Zwischenberichten erfordern. Der Verband darf keine relevanten Informationen über die Untersuchung oder ihren Ablauf zurückhalten. Die Pflicht zur umfassenden Kooperation führt aber nicht zu einer Obliegenheit, den Umstand offenzulegen, dass das Unternehmen oder der sonstige Verband eine verbandsinterne Untersuchung vornimmt oder sogar Ermittlungsergebnisse zu offenbaren. Wenn allerdings die Ermittlungsbehörden im Laufe ihrer Ermittlungen von sich aus an den Verband herantreten, kann der Verband eine Sanktionsmilderung nur erlangen, wenn er unmittelbar mit den Verfolgungsbehörden kooperiert.
- Ergebnis der Untersuchung: Der Verband oder der Dritte müssen den Verfolgungsbehörden spätestens mit Abschluss der verbandsinternen Untersuchung das Ergebnis der Untersuchung zur Verfügung stellen. Dies umfasst auch alle für die Untersuchung wesentlichen Dokumente und den Abschlussbericht, § 18 Abs. 1 Nr. 4 VerSanG-E. Hierzu gehören auch Dokumente oder sonstige Indizien, die zur Entlastung einzelner Mitarbeiter beitragen könnten. Die durch den Untersuchungsführer zur Verfügung gestellten Dokumente müssen die Verfolgungsbehörde in die Lage versetzen, das Ergebnis der Untersuchung vollumfänglich zu überprüfen. Dabei endet die Kooperationpflicht nicht mit der Übergabe der Untersuchungsergebnisse, sondern sie erstreckt sich auch auf weitere Nachfragen der Verfolgungsbehörde und zusätzlich angeforderte Dokumente.
- Faires Verfahren: Die verbandsinterne Untersuchung muss unter Beachtung der Grundsätze eines fairen Verfahrens durchgeführt werden, § 18 Abs. 1 Nr. 5 VerSanG-E. Diese Anforderung orientiert sich an dem sogenannten fair-trial Grundsatz, der auf dem Rechtsstaatsprinzip und dem allgemeinen Persönlichkeitsrecht basiert. Verletzen Verbände bei internen Untersuchungen den Grundsatz eines fairen Verfahrens, kann dies beispielsweise den Beweiswert erheblich mindern. Insbesondere müssen Verband oder beauftragter Dritter zu befragende Mitarbeiter vor ihrer Befragung darauf hinweisen, dass ihre Auskünfte später in einem Strafverfahren gegen sie verwendet werden können. Zudem müssen sie den Befragten das Recht einräumen, zu solchen Befragungen einen Rechtsanwalt oder ein Betriebsratsmitglied zu der Befragung hinzuzuziehen. Vor der Befragung müssen Verband oder beauftragter Dritter die Befragte auf dieses Recht, einen Beistand herbeizuziehen, vor sie Befragung hinweisen. Zudem haben die Befragten das Recht, Auskünfte auf solche Fragen verweigern, durch deren Beantwortung sie riskieren würden, sich selbst oder (Angehörige der Befragten) zu belasten. Die Befragten müssen auf dieses Auskunftsverweigerungsrecht vor der Befragung hingewiesen werden. Diese Regelungen zu einem fairen Verfahren sollen unter anderem sicherstellen, dass Befragungen nicht so durchgeführt werden, dass dabei Zeugen beeinflusst oder unter Druck gesetzt werden.
- Einhaltung geltender Gesetze: Die verbandsinterne Untersuchung muss in Übereinstimmung mit den geltenden Gesetzen durchgeführt werden. Die Entwurfsbegründung führt hierzu aus, dass der Staat nur gesetzestreues Verhalten mit einer Sanktionsmilderung belohnen könne: “Erforderlich ist insbesondere die Einhaltung der datenschutzrechtlichen und arbeitsrechtlichen Bestimmungen.” Gerade an dieser Stelle hätte sich die Praxis klarere Hinweise gewünscht, welche Pflichten des Datenschutz- und des Arbeitsrechts auf welche Weise umgesetzt werden sollten, um in den Genuss einer Sanktionsmilderung zu geraten. Daher werden hier im Folgenden einige Anforderungen des Arbeitsrechts und des Datenschutzes dargestellt, die bei unternehmensinternen Untersuchungen oftmals zu einigen Herausforderungen führen.
- Dokumentation: Der Verband muss dokumentieren, dass und wie er die Untersuchung nach den in § 18 Abs. 1 Nr. 1 bis Nr. 5 VerSanG-E geregelten Grundsätzen durchgeführt hat. Die Vorschrift enthält keine Anforderung, dass die verbandsinterne Untersuchung im Einklang mit den geltenden Gesetzen durchgeführt werden muss. In Bezug auf den Datenschutz ergibt sich eine entsprechende Dokumentationspflicht aber aus Art. 5 Abs. 2 und gegebenenfalls aus Art. 24 Abs. 1 Satz 2 DSGVO.
Arbeitsrechtliche Herausforderungen
In der Praxis dürften gerade Informations- und Mitbestimmungsrechte von Betriebsräten spannend werden. Nach § 80 Abs. 1 Nr. 1 Betriebsverfassungsgesetz (BetrVG) muss der Betriebsrat über die Einhaltung von Vorschriften zum Schutz der Arbeitnehmer wachen. Nach der Rechtsprechung des Bundesarbeitsgerichts (BAG) zählt auch der Beschäftigtendatenschutz zu diesen Schutzvorschriften. § 80 Abs. 2 BetrVG sieht zudem umfassende Informationsrechte des Betriebsrats vor.
Gerade die Auswertung von E-Mails und sonstigen Dokumenten kann gegebenenfalls sogar der vorherigen Zustimmung des Betriebsrats bedürfen. Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat beim Betrieb von Einrichtungen, die der Kontrolle des Verhaltens oder der Leistung, ein zwingendes Mitbestimmungsrecht (vgl. etwa Fuhlrott, NZA 2019, 1105; Wybitul/Böhm, RdA 2011, 362).
Hier sollte der Gesetzgeber noch einmal nachbessern und klarstellen, ob auch die Einhaltung der – in der Praxis oftmals sehr schwer zu bestimmenden - Beteiligungsrechte des Betriebsrats Voraussetzung einer Sanktionsminderung sein soll. In der Vergangenheit hat das BAG die Beteiligung des Betriebsrats beispielsweise nicht als Voraussetzung für die Wirksamkeit von Compliance-Kündigungen bewertet.
Datenschutzrechtliche Herausforderungen bei internen Untersuchungen
Die Anforderungen des Datenschutzes bei internen Sachverhaltsaufklärungen ergeben sich vor allem aus DSGVO, dem Bundesdatenschutzgesetz (BDSG) und der Rechtsprechung des BAG zu internen Sachverhaltsaufklärungsmaßnahmen. Dabei erfährt der Datenschutz dadurch eine enorme Aufwertung, dass jede Missachtung des Datenschutzrechts dazu führen kann, dass die Untersuchung keine Sanktionsminderung nach sich zieht. Nachstehend sind einige Beispiele dargestellt, die in der Praxis oft zu Problemen führen:
- Information der betroffenen Personen: Art. 13 und 14 DSGVO sehen umfassende Transparenzpflichten für Verbände vor, wenn sie personenbezogene Daten verarbeiten. In aller Regel setzen unternehmensinterne Untersuchungen sogar sehr umfassende Verarbeitungen personenbezogener Daten voraus. Zudem neigt das BAG dazu, heimliche Datenverarbeitungen ohne Kenntnis der betroffenen Beschäftigten als unzulässig zu bewerten. Ein heimliches Vorgehen soll grundsätzlich nur in Ausnahmefällen erlaubt sein, etwa bei “notwehrähnlichen” Aufklärungsmaßnahmen. In der Praxis sind Unternehmen gut beraten, ihre Datenschutzinformationen für Mitarbeiter gegebenenfalls so zu ergänzen, dass sie die Zwecke, typischen Anlässe, Rechtsgrundlagen und Umstände verbandsinterner Untersuchungen in transparenter Form beschreiben. Zudem sollten Verbände versuchen, den Forderungen der Datenschutzbehörden nach einer gestaffelten Information (sogenannter layered approach) nachzukommen und in auch Einzefällen so früh und umfassend wie rechtlich geboten unterrichten. Zudem sollten mögliche Ausnahmen von der Informationspflicht genau geprüft und dokumentiert werden, etwa nach § 32 BDSG (vgl. hierzu etwa Klaas, CCZ 2018, 242).
- Nicht-automatisierte Datenverarbeitungen: Verbände sollten daran denken, dass auch bei Befragungen, Beobachtungen oder anderen nicht-automatisierten Datenverarbeitungen datenschutzrechtliche Anforderungen gelten. Nach § 26 Abs. 7 BDSG sind die deutschen Regelungen zum Beschäftigtendatenschutz auch dann anwendbar, wenn personenbezogene Daten von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
- Datenschutz-Folgenabschätzungen: Nach Ansicht vieler Datenschutzbehörden sind vor der Durchführung unternehmensinterner Untersuchungen grundsätzlich vorherige Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO und gegebenenfalls auch Konsultationen mit der zuständigen Datenschutzbehörde nötig.
Bereits die wenigen vorstehend gezeigten Beispiele zeigen, dass der Gesetzgeber auch beim Datenschutz noch einmal nachbessern sollte. Zudem sollte er klarstellen, dass E-Mails von Beschäftigten auf Firmenservern gegenüber Arbeitgebern nach § 88 TKG nicht dem Fernmeldegeheimnis unterliegen, wenn der Arbeitgeber die private Nutzung betrieblicher E-Mails duldet oder gestattet (vgl. hierzu etwa Wybitul, NJW 2014, 3605; Wybitul/Böhm, CCZ 2015, 133).
Empfehlungen für Unternehmen
Unternehmen sollten gründlich prüfen, wie sie die Vorgaben von § 18 VerSanG-E strukturiert und belastbar umsetzen. Hierfür sind gründliche vorherige Planung und ein entsprechender Prozess oder Ablaufplan nötig. Gerade große Unternehmen oder Verbände mit hohen Risiken werden bestehende Untersuchungs-Leitfäden (bzw. sogenannte Investigation Guidelines oder Defense Manuals) wohl zeitnah anpassen wollen.
Zudem wäre die Wirtschaft gut beraten, im weiteren Verfahren auf den Gesetzgeber dahingehend einzuwirken, dass er die hier gezeigten Regelungslücken schließt oder die entsprechenden Vorschriften zumindest präzisiert. Ein bloß allgemeiner Hinweis auf die Übereinstimmung mit den geltenden Gesetzen ist angesichts der wenig klaren Rechtslage im Datenschutz- und Arbeitsrecht nicht ausreichend.