External Investigations
Zunehmende Bedeutung der Third Party Compliance auch im Hinblick auf Aufklärung verdächtiger Sachverhalte
Interne Untersuchungen sind nichts Neues. Neben präventiven Elementen eines Compliance-Management-Systems oder anlassunabhängigen Compliance-Audits sind sie immer schon integraler Bestandteil wirksamer und angemessener Compliance-Bemühungen im Unternehmen gewesen. In gängigen Übersichten effektiver Compliance-Management-Systeme – dem Dreiklang prevent – detect -respond folgend – werden sie wahlweise als Bestandteil des Entdeckens von Compliance-Verstößen oder des Reagierens darauf dargestellt. Beides ist richtig, denn einerseits dienen sie der Aufdeckung und Bestätigung von Compliance-Verstößen, andererseits ihrer Beseitigung, insbesondere wenn sie mit den regelmäßig empfohlenen Abhilfemaßnahmen (Remediation) einhergehen. In dieser Form sind sie natürlich auch ein wesentliches präventives Element eines CMS, denn sie dienen der Anpassung von Prozessen und Richtlinien und zeigen den Mitarbeiterinnen und Mitarbeitern, dass Compliance-Verstößen entschlossen nachgegangen wird.
Abb. 1: Übersicht der Bestandteile eines CMS
Pflicht zur Durchführung interner Untersuchungen
Kodifiziert ist eine Pflicht zur Durchführung interner Untersuchungen bislang nicht. Der Entwurf des Verbandssanktionengesetzes sah in § 17 eine Strafmilderung bei einer internen Untersuchung vor, wenn sie transparent geführt wurde und die Untersuchungsergebnisse mit den Behörden geteilt werden. Dieser Entwurf ist bekanntlich nie Gesetz geworden. Eine erstmalige Kodifizierung auf nationaler Ebene könnte durch den Entwurf der EU-Antikorruptionsrichtlinie kommen, der in Art. 18a als fakultativen Milderungsgrund für eine Unternehmenssanktion vorsieht, dass der Täter Informationen liefert, die die Behörden nicht auch auf andere Weise hätten erlangen können und die den Behörden helfen, andere Straftäter zu ermitteln und Beweise zu sammeln. Die Milderungsmöglichkeit ist hier ergebnisbezogen formuliert: Nicht die interne Untersuchung als solche, sondern nur die „erfolgreiche“ interne Untersuchung – wozu aus Sicht des Unternehmens als „Täter“ auch eine Belastung und Überführung der Individualtäter, regelmäßig der eigenen Mitarbeiter, gehört – wirkt strafmildernd.
Solange noch keine Kodifizierung besteht, folgt jenseits von Sonderregelungen für regulierte Industrien zB in § 80 WpHG oder § 25a KWG die Pflicht zur Umsetzung von Compliance-Maßnahmen und damit auch zur Umsetzung interner Untersuchungen ganz allgemein aus der Legalitätspflicht der Geschäftsführerin nach § 43 Abs. 1 GmbHG oder des Vorstands nach § 93 Abs. 2 AktG, ebenso wie aus der allgemeinen Aufsichtspflicht, positivrechtlich in der Regel an § 130 OWiG geknüpft. Der Gedanke dahinter ist klar: Teil der Pflicht, für ein rechtskonformes Verhalten des Unternehmens zu sorgen, ist es, Verstöße effektiv abzustellen. Dafür muss man einem bestehenden Verdacht nachgehen und – noch einen Schritt weitergedacht – dafür sorgen, dass ein solcher Verdacht auch ohne Angst vor Repressalien geäußert werden kann. Ausgangspunkt interner Untersuchungen ist damit oft das Hinweisgebersystem.
Im Ergebnis besteht also – auch ohne ausdrückliche gesetzliche Regelung – eine indirekte Pflicht zur Durchführung interner Untersuchungen, will man eine Haftung des Unternehmens für die aufzuklärenden Straftaten vermeiden. Ausgangspunkt ist damit stets der Umfang der Haftung, letztendlich die Haftung für das Verhalten anderer: Das Unternehmen haftet nach § 30 Abs. 1 OWiG für seine Leitungspersonen, diese nach § 130 OWiG für die Tätigkeit ihrer Untergebenen. Aus dieser Stellvertreterhaftung folgt die Pflicht zur Aufklärung bei Verdachtsmomenten.
Zunehmende Ausdehnung der Compliance-Verantwortlichkeit für Dritte
Die Haftung für das Verhalten Dritter macht aber schon lange nicht mehr an der Grenze der jeweiligen Gesellschaft Halt. So hat das OLG München bereits 2014 (Beschl. V. 23.09.2014 – 3 Ws 600/14) entschieden, dass eine Aufsichtspflicht der Geschäftsleitung in Konzernsachverhalten nicht bei der eigenen Gesellschaft endet, sondern auch andere Konzerngesellschaften erfasst, jedenfalls im Vertragskonzern und soweit „durchregiert“ wird. Das leuchtet auch ein: Wo effektiv gesteuert wird oder zumindest gesteuert werden kann, bestehen auch Aufsichtspflichten. Diesen Gedanken greift auch das LkSG auf, indem es in § 7 Abs. 1 S. 3 LkSG davon ausgeht, dass ein verpflichtetes Unternehmen im eigenen Geschäftsbereich Menschenrechtsverstöße abstellen muss. Hier besteht ausnahmsweise eine Erfolgspflicht. Der eigene Geschäftsbereich umfasst bekanntlich auch Tochterunternehmen, soweit auf diese bestimmender Einfluss ausgeübt wird. Ein anderes Beispiel ist die Konzernverantwortlichkeit in § 9 GwG.
Der Prozess der sich ausdehnenden Verantwortlichkeit der Unternehmensleitung endet aber nicht an der Unternehmens- oder Konzerngrenze. Zunehmend nimmt der Gesetzgeber oder die Rechtsprechung Unternehmen auch für das Verhalten von Dritten, mit denen sie sich in Geschäftsbeziehung befinden, in Verantwortung. Auch das ist keine neue Entwicklung, ist doch bereits spätestens seit den Verfahren gegen Siemens Mitte der 2000er-Jahre anerkannt, dass auch eine Verantwortlichkeit für Korruptionszahlungen eingesetzter Vermittler und Intermediäre besteht, was Ausgangspunkt aller Third Party Due Diligence-Bemühungen ist. Neu ist, dass eine solche Verantwortlichkeit für Dritte zunehmend kodifiziert wird. Augenscheinlichstes Beispiel ist auch hier wieder das LkSG. § 6 Abs. 4 LkSG formuliert wie folgt:
„Das Unternehmen muss angemessene Präventionsmaßnahmen gegenüber einem unmittelbaren Zulieferer verankern, insbesondere:
1. – 3. […],
4. die Vereinbarung angemessener vertraglicher Kontrollmechanismen sowie deren risikobasierte Durchführung, um die Einhaltung der Menschenrechtsstrategie bei dem unmittelbaren Zulieferer zu überprüfen.“
Schon im Rahmen der Präventionspflichten muss ein Unternehmen Informationen von den unmittelbaren Lieferanten einholen, jeweils ausgerichtet am Risiko und am Einflussvermögen. Gerade beim Einflussvermögen zeigt sich die Parallele zur Konzernhaftung. So effektiv ein Unternehmen seine Marktmacht gegenüber Lieferanten ausüben kann, so sehr besteht auch eine Verantwortlichkeit. Dies setzt sich fort bei Abhilfemaßnahmen, also bei festgestellten Verstößen. Deutlicher wird hier noch die CSDDD in Art. 10 Abs. 5:
„(5) Die in Absatz 2 Buchstabe b und in Absatz 4 genannten vertraglichen Zusicherungen oder der Vertrag müssen von geeigneten Maßnahmen zur Überprüfung der Einhaltung flankiert werden. Zur Überprüfung der Einhaltung kann das Unternehmen eine Überprüfung durch unabhängige Dritte, einschließlich im Rahmen von Industrieinitiativen bzw. Multi-Stakeholder-Initiativen, in Anspruch nehmen.“
Tatsächlich bestehen also je nach Risiko und Verdachtsgrad gegenüber Lieferanten Aufklärungs- und Ermittlungspflichten. Gerade das LkSG erschöpft sich damit nicht in einer bloßen risikoabhängigen Auditierung der Lieferanten, vielmehr muss auch Verdachtsmomenten – ein Verdacht gleichsam als verdichtetes Risiko – nachgegangen werden.
Ein anderes Beispiel findet sich im Außenwirtschaftsrecht. Mit dem 12. Russland-Sanktionspaket wurde in die Russland-Sanktionsverordnung 833/2014 der neue Art. 12g VO 833/2014 aufgenommen. Diese Vorschrift verpflichtet Unternehmen innerhalb der EU, die bestimmte Güter ausführen, ihre Vertragspartner außerhalb der EU auf die Einhaltung der Russland-Sanktionen zu verpflichten. Die vertragliche Vereinbarung muss „angemessene Abhilfemaßnahmen“ („adequate remedies“) erhalten, um diese Klausel auch durchzusetzen. Die EU-Kommission stellt sich hierunter auch Kontrollrechte des verpflichteten Unternehmens vor (FAQ der Kommission v. 15.07.2024), die sich das verpflichtete Unternehmen vertraglich einräumen lassen muss.
Mit Geltung des 14. Sanktionspakets wurde weitergehend noch Art. 12gb VO 833/2014 eingeführt. Danach muss ein Unternehmen nicht nur durch vertragliche Maßnahmen sicherstellen, dass sein Vertragspartner, der nicht direkt von den Russland-Sanktionen der EU betroffen ist, diese einhält, sondern auch im Vorfeld das Risiko bewerten, dass der Vertragspartner die an ihn ausgeführten Produkte auch tatsächlich nach Russland oder Belarus liefern wird. Diese Regelung sieht nicht nur eine solche Analyse des Umgehungsrisikos beim Vertragspartner vor, sondern eben auch „geeignete Kontrollen“.
Es besteht also zunehmend die Verantwortung, auch bei Geschäftspartnern Verdachtsmomenten nachzugehen und diese aufzuklären, soweit dies möglich ist. Relevante Faktoren sind das tatsächliche Einflussvermögen, regelmäßig der Umsatzanteil aus Perspektive des Geschäftspartners, und das Risiko, also die Wahrscheinlichkeit eines Verstoßes.
Rechtliche Rahmenbedingungen von „external Investigations“
Muss eine externe Ermittlung vorgenommen werden und ist diese möglich, gilt es, sich über die rechtlichen Schwierigkeiten klar zu werden, die eine solche mit sich bringen kann. Zu denken ist dabei an die folgenden Themen:
- Kartellrecht: Geschäftspartner, bspw. Lieferanten auf der vertikalen Ebene, können in Bezug auf andere Produkte, oder auch im Hinblick auf das konkret bezogene Produkt, häufig Wettbewerber sein. In diesen Fällen besteht bei Audits oder externen Untersuchungen die Gefahr eines unzulässigen Informationsaustauschs.
- Geschäftsgeheimnisse: Es besteht Gefahr, dass man mit Geschäftsgeheimnissen des Geschäftspartners in Berührung kommt. Zwar sieht § 5 Nr. 2 GeschGehG eine Ausnahme von der Rechtswidrigkeit bei der Aufdeckung von Fehlverhalten vor. Das ist aber nur ein Rechtfertigungsgrund für den Ermittelnden. Das Interesse des betroffenen Unter-nehmens zur Wahrung der Geschäftsgeheimnisse bleibt. Oft ist bspw. schon die Person des mittelbaren Lieferanten ein Geschäftsgeheimnis.
- Datenschutz: Generell gilt das untersuchende Unternehmen als verantwortliche Stelle. Es muss die Rechtmäßigkeit der Datenerhebung und -verarbeitung darlegen und dokumentieren. Eine Datenverarbeitung für Zwecke des Beschäftigtenverhältnisses nach § 26 Abs. 1 S. 2 BDSG (vgl. EuGH v. 30.03.2023 – C-34/21) – unabhängig davon, ob diese Norm überhaupt noch anwendbar ist – liegt in diesen Konstellationen nicht vor. Es wird also in der Regel auf eine rechtliche Verpflichtung oder Interessenabwägung, Art. 6 Abs. 1 lit. c), f) DSGVO hinauslaufen.
- Hinweisgeberschutz: Ausgangspunkt von externen Untersuchungen kann oft ein Hinweis über das eigene Hinweisgebersystem sein. Diese muss nach § 8 LkSG bei lieferkettenrechtlich verpflichteten Unternehmen auch nach außen geöffnet sein, sodass sich Mitarbeitende von Dritten, bspw. Lieferanten, häufig an das eigene Whistleblowing-Tool wenden. Das geschieht nach unserer Erfahrung umso häufiger, je geringer die Speak-Up-Kultur beim Geschäftspartner ausgeprägt ist. Ein Hinweisgeber muss damit zu Recht Repressalien fürchten. Wendet sich diese Person an ein anderes Unternehmen, das diesen Sachverhalt dann beim Arbeitgeber der Hinweisgeberin aufklären will, so muss dieses Unternehmen sicherstellen, dass diese Person bestmöglich vor Repressalien des eigenen Arbeitgebers geschützt ist.
Die Lösung für diese rechtlichen Herausforderungen liegt darin, risikobasiert darzulegen, dass eine externe Ermittlung tatsächlich notwendig ist, vorbereitend mit dem Geschäftspartner wesentliche Eckpunkte einer externe Untersuchung vertraglich zu regeln und die Untersuchung selbst durch einen Dritten – z.B. eine Rechtsanwaltskanzlei oder ein Wirtschaftsprüfungsunternehmen – durchführen zu lassen.
Vorbereitende vertragliche Vereinbarungen
Wesentlich ist, bereits vorbereitend mit den Geschäftspartnern vertragliche Vereinbarungen zu treffen, die eine externe Untersuchung unter bestimmten Voraussetzungen zulassen. Das LkSG verlangt zumindest risikobasiert die Durchführung von Kontrollmechanismen gegenüber Lieferanten (§ 6 Abs. 4 Nr. 4). Um diese durchführen zu können, müssen sie vorab – nicht risikobasiert – vertraglich vereinbart sein. Das gilt besonders auch für Abhilfemaßnahmen. Solche vertraglichen Regelungen werden bereits jetzt häufig von LkSG-verpflichteten Unternehmen mit ihren Lieferanten vereinbart. Weitere bislang gängige Regelungen sind Informationspflichten, Rechte zum Betreten der Geschäftsräume nach Ankündigung und Regelungen zum Schutz von Geschäftsgeheimnissen. Weiter sollten – verdachtsunabhängig und präventiv – folgende Punkte geregelt werden:
- Unterscheidung zwischen Risiko und Verdacht zur Durchführung eines Audits oder einer externen Untersuchung;
- Festlegung der Verdachts- und Risikoschwelle zur Durchführung und ggf. Anforderungen an die Glaubhaftmachung;
- Konkrete Umsetzung: Lediglich Informationsrecht gegenüber geprüftem Unternehmen, Auskunftsrecht auch gegenüber einzelnen Mitarbeitern;
- Art der Durchführung: durch Unternehmen selbst oder durch beauftragte Dritte;
- Regelung zur Kostentragung;
- Umgang mit Geschäftsgeheimnissen und wettbewerbssensiblen Informationen.
Praxistipps in der konkreten Umsetzung
In der konkreten Umsetzung sollte zuallererst bewertet werden, worum es eigentlich geht: Ein allgemeines Risiko oder einen konkreten Verdacht eines auch für das verpflichtete Unternehmen relevanten Compliance-Verstoßes. Ersteres führt zu einem allgemeinen Audit, letzteres zu einer externen Untersuchung. Die Unterscheidung hängt häufig davon ab, wie dem Unternehmen ein Verdacht oder ein Risiko bekannt wurde. Denkbare Quellen sind die eigene Risikoanalyse und Maßnahmen zur Third Party Due Diligence, Selbsteinschätzungen des Geschäftspartners, interne und externe Hinweisgeber, mediale Berichterstattung, Veröffentlichungen von NGOs, Informationen von Verbänden, Lieferantenaudits oder konkrete Behördenanfragen.
Liegt auf dieser Grundlage ein Verdacht und nicht nur ein allgemeines Risiko vor, kann und sollte eine externe Untersuchung umgesetzt werden. In diesem Fall sollten intern folgende Punkte geklärt werden:
- Erster Faktencheck: was ist über den Lieferanten oder Geschäftspartner überhaupt bekannt?
- Prüfung: unterfällt der gemeldete Verstoß dem LkSG, besteht also eine Verpflichtung zur Umsetzung von Abhilfemaßnahmen?
- Gewichtung und Priorisierung: Wie kritisch ist der Vorfall?
- Betroffene: Relevante Geschäftsbereiche müssen identifiziert und, soweit betroffen, eingebunden werden. Denkbar ist das insbesondere für Compliance, Rechtsabteilung, Personal, Kommunikationsabteilung, Nachhaltigkeit, Risikomanagement, Einkauf, Geschäftsverantwortliche, etc.
Nach Klärung dieser Vorfragen muss mit dem Geschäftspartner Kontakt aufgenommen werden. Es ist empfehlenswert, wenn im Vorfeld bereits geklärt wurde, wer beim Geschäftspartner der relevante Kontakt sein soll, zB, sofern vorhanden, die dortige Compliance-Abteilung. Idealerweise existiert auch ein standardisierter Prozess, also ein bereits vorgefertigtes Informationsschreiben für den Geschäftspartner. In der ersten Kontaktaufnahme sollte vor allem der Umfang der Untersuchung geklärt werden, also
- welche Vorwürfe konkret aufgeklärt werden sollen,
- auf welche Quellen das untersuchende Unternehmen beim Geschäftspartner zurückgreifen darf
- ob eigene Interviews mit Mitarbeitenden geführt werden dürfen und inwieweit eine Vertreterin des betroffenen Unternehmens anwesend sein darf,
- ob der Geschäftspartner selbst unter Aufsicht des betroffenen Unternehmens untersuchen darf oder ob das untersuchende Unternehmen Herr der Untersuchung sein soll,
- ob der Geschäftspartner die Vorgänge bereits selbst untersucht oder dies plant.
Insbesondere kann mit dem Geschäftspartner vereinbart werden, die Untersuchung durch Dritte durchführen zu lassen. Damit können Interessenkonflikte vermieden, die Glaubwürdigkeit der Untersuchungsergebnisse erhöht, auf die Fachexpertise des Dritten genutzt und insbesondere mit einem Clean Team- Ansatz Geschäftsgeheimnisse und kartellrechtlich sensible Informationen des Geschäftspartners geschützt werden. Gegenüber dem Dritten werden die relevanten Informationen offengelegt; der Dritte wird diese Informationen aber nicht vollständig an seinen Auftraggeber weitergeben, sondern nur ein abstraktes Ergebnis und möglicherweise bereits getroffene Abhilfemaßnahmen. Grafisch kann dieses Verhältnis so aussehen:
Der Dritte nimmt damit die Rolle eine unabhängigen Monitors ein, ist gegenüber dem untersuchten Unternehmen mit einem NDA gebunden und untersucht und bewertet den Sachverhalt neutral und unabhängig.