Zusammenfassung der ISO/TS 37008:2023 Erstmalige Herausgabe einer internationalen Leitlinie für interne Untersuchungen (Internal Investigations)
I. Einführung in die ISO/TS 37008:2023
Die ISO/TS 37008:2023 ist ein technischer Standard, der von der Internationalen Organisation für Normung (ISO) entwickelt wurde, um Leitlinien und Empfehlungen für interne Untersuchungen in Organisationen zu bieten. Trotz der Tatsache, dass sie nicht das erste ISO-Dokument zu Compliance-Themen ist, stellt sie den ersten Standard dar, der sich speziell mit internen Ermittlungen befasst. In Ziffer 2 verweist sie auf bestehende Standards wie die ISO 37301 für Compliance-Management-Systeme, die ISO 37001 für Managementsysteme zur Bekämpfung von Bestechung und die ISO 37002 für Hinweisgebersysteme. Diese Verbindungen verdeutlichen die umfassende Herangehensweise der ISO/TS 37008:2023 an Compliance und Risikomanagement, indem sie bewährte Verfahren integriert, um das Risiko staatlicher Strafverfolgung zu minimieren. Der Standard richtet sich an Organisationen aller Größen und Branchen und zielt darauf ab, die Integrität und Effizienz interner Untersuchungen sicherzustellen, um rechtliche und ethische Standards einzuhalten.
II. Anwendungsbereich der ISO/TS 37008:2023
Der Anwendungsbereich des Standards umfasst die Strukturierung von Untersuchungen, die Erhebung und Sicherung von Beweisen sowie die Berichterstattung und Dokumentation. Ziel ist es, faire, objektive und effektive Ermittlungsmethoden zu fördern, die die Rechte aller Betroffenen schützen und rechtliche Risiken für die Organisation minimieren. Der Standard besteht aus einem Hauptteil und einem Annex (A), der spezifische Handlungsempfehlungen bietet, jedoch ohne normative Verweise auskommt.
III. Die Kernaussagen der ISO/TS 37008:2023
Die ISO/TS 37008:2023 ist in acht Hauptkapitel unterteilt, die die notwendigen Prozessschritte, Verantwortlichkeiten und Anforderungen für effektive interne Untersuchungen beschreiben:
- Grundsätze (Ziffer 4): Hier werden die Grundprinzipien interner Untersuchungen definiert, darunter Unabhängigkeit, Vertraulichkeit, Kompetenz und Professionalität, Objektivität sowie Rechtmäßigkeit. Untersuchungen müssen systematisch, unabhängig und dokumentiert sein, führt qualifiziertes Personal ohne Interessenkonflikte aus, und die gesammelten Informationen sind vertraulich zu behandeln.
- Unterstützung für interne Untersuchungen (Ziffer 5): Das Leitorgan muss angemessene Ressourcen (personal, finanziell und organisatorisch) bereitstellen, um unabhängige und objektive Untersuchungen zu gewährleisten. Jeder Beteiligte soll gehört werden, und die Führungsebene soll Engagement für faire Prozesse zeigen.
- Festlegung einer Untersuchungspolitik und eines Untersuchungsverfahrens (Ziffer 6): Es ist eine klare Untersuchungspolitik erforderlich, die den Prozess und die Verantwortlichkeiten definiert und die Rechte der Betroffenen wahrt. Bei Verdachtsfällen sollen schnell Maßnahmen ergriffen und alle Dokumente sorgfältig behandelt werden.
- Sicherheits- und Schutzmaßnahmen (Ziffer 7): Hier wird betont, dass Sicherheitsmaßnahmen zum Schutz relevanter Beweismittel und zur Gewährleistung der Vertraulichkeit implementiert werden müssen, einschließlich Kontrollen, damit Zeugen ohne Drohungen oder Belästigungen aussagen können.
- Ermittlungsverfahren insbesondere Interviews (Ziffer 8): Dieses Kapitel beschreibt den gesamten Ablauf eines Untersuchungsverfahrens, einschließlich Ernennung eines Teams, Bewertung der Vorwürfe und Planung der Untersuchung, insbesondere der Interviews. Der Hinweis, dass jede dokumentierte Interviewäußerung den Interviewten schriftlich mitgeteilt werden könne, kann nicht nachvollzogen werden und wird in der Praxis von unserer GmbH auch nicht entsprechend so gehandhabt. Dieser Hinweis steht im Widerspruch zu den mehrfach betonten Hinweisen zur Vertraulichkeit aller Unterlagen. Zudem fehlt ein Hinweis darauf, dass die Weitergabe von Interviewnotizen oder -zusammenfassungen mit Risiken verbunden ist, insbesondere im Hinblick auf die Informationsweitergabe. Der abschließende Bericht soll alle wichtigen Ergebnisse und Empfehlungen enthalten und sicher aufbewahrt werden. Die Ausführungen sind grundsätzlich nachvollziehbar, scheinen jedoch davon auszugehen, dass jede interne Untersuchung zu dem Ergebnis kommt, dass ein Verstoß vorliegt. Erst im Annex wird erwähnt, dass eine Untersuchung auch zu dem Ergebnis kommen kann, dass kein Verstoß festgestellt wird oder die Situation unklar bleibt.
- Mögliche Abhilfemaßnahmen oder Verbesserungen (Ziffer 9): Nach Abschluss einer Untersuchung sollten geeignete Abhilfemaßnahmen erarbeitet werden, um Verstöße zu minimieren und interne Kontrollen zu verbessern. Ein detaillierter Sanierungsplan sollte aufgestellt und überwacht werden, um die Wirksamkeit zu gewährleisten. Die Ausführungen sind eher auf große Verfahren und Problematiken bezogen. Für jeden Fall in der Praxis sind jedoch Verbesserungsvorschläge sehr wichtig für das jeweilige Unternehmen. Bei kleineren Untersuchungen muss keine anschließende „Überwachung“ angeschlossen werden.
- Interaktion mit den Interessengruppen (Ziffer 10): Die Organisation sollte effektive Kommunikationskanäle zu den Stakeholdern nutzen, um negative betriebliche Auswirkungen zu minimieren und Informationen professionell zu bewerten. Die Kommunikation mit Behörden sollte gut durchdacht und rechtlich abgestimmt erfolgen.
- Disziplinarmaßnahmen: Auf Basis des Abschlussberichts können in Abstimmung mit dem Personalteam Disziplinarmaßnahmen ergriffen werden, wobei besondere Umstände wie Regierungseinfluss und Fehlverhalten zu berücksichtigen sind.
IV. Schlussbemerkung
Die ISO/TS 37008:2023 bietet ausführlichere Anleitungen für interne Untersuchungen. Sie behandelt alle wesentlichen Aspekte von internen Ermittlungen Die ISO/TS 37008:2023 ist, selbst für Juristen, sehr technisch und trocken verfasst, sodass sie an einigen Stellen kaum von einer Bauanleitung für ein Flugzeugteil zu unterscheiden ist. Viele relevante Informationen sind im Annex zu finden, der jedoch teils unübersichtlich strukturiert ist. Für die Praxis der internen Ermittlungen in Deutschland bietet sie einen guten Einstieg in das Thema für Interessierte und kann auch von Unternehmen als grobe und erste Einführung genutzt werden. Fortgeschrittene Anwender dürften keine Neuerungen oder Besonderheiten herauslesen. Die vorher gezogenen „roten Linien“ werden aber noch einmal offiziell verdeutlicht. Freilich können Einzelfallproblematiken mit der Richtlinie nicht gelöst und besondere Themenfelder wie datenschutzrechtliche Aspekte nicht bearbeitet werden. Dies soll die ISO jedoch auch nicht leisten. Sie sollte daher auch für den Profi eine Pflichtlektüre sein.
In folgenden Fällen beraten wir Sie als unsere Auftraggeber:
- Auditierung und Monitoring
- Internal Investigations – Interne Ermittlungen
- Vorträge und (Inhouse-)Schulungen
Unsere Köpfe
- Rechtsanwalt Dr. Rainer Buchert
- Rechtsanwältin und Fachanwältin für Strafrecht Dr. Caroline Jacob
- Rechtsanwalt und Fachanwalt für Strafrecht Frank M. Peter
Dies bedeutet unter anderem folgende Zusatzqualifikationen und Erfahrungen:
- Fachanwalt / Fachanwältin für Strafrecht
- Polizeipräsident a.D.
- Zertifizierte Datenschutzbeauftragte
- Mitverfasser des Handbuches „Internal Investigations: Ermittlungen im Unternehmen“
- Ombudspersonen für über 60 Unternehmen