Internal Investigations und Compliance Audits in Frankfurt & bundesweit

Wir planen und steuern interne Ermittlungen rechtssicher – von der Verdachtsprüfung bis zur Umsetzung von Maßnahmen. Diskret, belastbar, gerichtsfest.

Ersteinschätzung in 24 h anfragen

Die GmbH Buchert Jacob Peter in Frankfurt am Main unterstützt Unternehmen bundesweit bei der rechtssicheren Planung und Durchführung von Internal Investigations, internen Ermittlungen, Compliance Audits und Sonderuntersuchungen. Unser interdisziplinäres Team aus erfahrenen Strafverteidigern, Compliance-Experten und forensischen Ermittlern begleitet Sie von der ersten Verdachtsmeldung über die Beweissicherung und Mitarbeiterinterviews bis hin zu Remediation, Monitoring und möglicher Kommunikation mit Behörden.

Internal Investigations sind dabei keine Gegenwelt zur Compliance, sondern deren „Stresstest“ und Qualitätssicherung. Sie prüfen, ob das Compliance-Management-System nicht nur auf dem Papier existiert, sondern in der Praxis funktioniert. Beiträge zum Thema finden Sie auch im Bereich Aktuelles und auf der Seite Internal Investigations.

Ausgangslage und Nutzen von Internal Investigations und Audits

Unternehmen sehen sich heute komplexen regulatorischen Anforderungen, internationalen Lieferketten und einem hohen Entdeckungsrisiko bei Compliance-Verstößen gegenüber. Zugleich erwarten Aufsichtsbehörden, Investoren, Banken und Geschäftspartner eine belastbare ESG Compliance und gelebte Unternehmenskultur. Anlassbezogene interne Untersuchungen und systematische Compliance Audits dienen dazu, Risiken frühzeitig zu erkennen, zu begrenzen und für Transparenz zu sorgen.

● Beherrschung von Risiken wie Korruption, Betrug, Kartellverstößen, Bilanzmanipulation oder Datenschutzverletzungen

● Erfüllung der Legalitäts- und Organisationspflichten aus §§ 91, 93 AktG, § 43 GmbHG sowie der Aufsichtspflichten nach § 130 OWiG

● Schaffung einer Grundlage für sanktionsminderndes Verhalten (positives Nachtatverhalten, § 46 StGB, Unternehmensgeldbuße § 30 OWiG)

● Verbesserung von Prozessen, Kontrollen und Kultur im Compliance-Management-System

● Schutz von Mitarbeitern, Hinweisgebenden und Organen vor ungerechten Vorwürfen und Fehlentscheidungen

Gerichte und Behörden berücksichtigen ein wirksames Compliance-Management-System und ernsthafte Aufklärungsbemühungen bußgeldmindernd. Gleichzeitig lassen sich zivilrechtliche und reputative Schäden reduzieren, wenn ein Unternehmen aktiv und nachvollziehbar aufklärt.

Typische Anlässe für interne Ermittlungen und Compliance Audits

Internal Investigations und Compliance Audits werden nicht nur bei Großkonzernen, sondern zunehmend auch im Mittelstand eingesetzt. Typische Auslöser sind:

● Hinweise aus internen oder externen Hinweisgebersystemen nach dem Hinweisgeberschutzgesetz (HinSchG)

● Auffälligkeiten in internen oder externen Audits, Revision, Forensik oder im Controlling (z. B. Buchungs- und Bilanzunregelmäßigkeiten)

● Kartell- oder Korruptionsverdacht, Subventions- und Steuerstrafrechtsrisiken, Unregelmäßigkeiten in Ausschreibungen

● Verdachtsmomente im Zusammenhang mit Arbeitszeitbetrug, Mindestlohn, Lieferkettensorgfaltspflichten, ESG-Compliance oder Geldwäsche

● Datenschutzverstöße, etwa unzulässige Zugriffe oder Datenabflüsse (Datenschutz interne Untersuchung)

● Dawn Raids und Ermittlungsbezug (Durchsuchungen, Anhörungen, Auskunftsersuchen von Behörden oder Regulatoren)

● Hinweise auf Fehlverhalten von Lieferanten, Intermediären oder Joint-Venture-Partnern mit Unternehmensbezug

In allen Konstellationen gilt es, den Sachverhalt strukturiert, zügig und rechtskonform aufzuklären, ohne Datenschutz, Arbeitsrecht oder Mitbestimmungsrechte zu verletzen. Einzelne Problemfelder werden ausführlich in den Fachbeiträgen, etwa zu Arbeitsrecht und Datenschutz

Rechtlicher Rahmen von Internal Investigations und Audits

Unternehmensrechtliche Pflichten und Organisationsverantwortung

Eine ausdrückliche, allgemeine gesetzliche Pflicht zur Durchführung von Internal Investigations existiert bislang nicht. Sie ergibt sich jedoch mittelbar aus der Legalitäts- und Organisationspflicht der Unternehmensleitung:

● § 91 Abs. 2, §§ 76, 93 AktG und § 43 GmbHG verlangen ein angemessenes Compliance-Management-System, das Rechtsverstöße verhindert oder wesentlich erschwert.

● § 130 OWiG begründet eine bußgeldbewehrte Verantwortlichkeit bei unzureichender Aufsicht; Geldbußen können nach § 30 OWiG auch das Unternehmen treffen.

Bestehen konkrete Anhaltspunkte für betriebsbezogene Rechtsverstöße, ist die Unternehmensleitung verpflichtet, diese aufzuklären, abzustellen und angemessen zu sanktionieren („Pflichtentrias“). Ob eine Untersuchung nötig ist, hängt von der Plausibilität und Schwere der Verdachtsmomente ab. Die Ausgestaltung („Wie“) unterliegt der Business Judgment Rule – sie muss sorgfältig vorbereitet, dokumentiert und verhältnismäßig sein.

Straf- und ordnungswidrigkeitenrechtliche Bezüge

Internal Investigations bewegen sich an der Schnittstelle von Wirtschaftsstrafrecht, Strafverteidigung und Ordnungswidrigkeitenrecht. Obwohl ein eigenständiges Verbandssanktionengesetz bislang nicht umgesetzt wurde, spielt die Qualität der Aufklärung bei der Bemessung von Geldbußen nach § 30 OWiG eine zentrale Rolle. Zugleich stellen Internal Investigations eine Form des „positiven Nachtatverhaltens“ (§ 46 StGB) dar, die strafmildernd wirken kann.

Die Rechtsprechung – etwa im Zusammenhang mit der „Jones Day“-Entscheidung des BVerfG – prägt zudem den Rahmen für Beschlagnahmeverbote nach §§ 97, 148 StPO und die Frage, wann Unterlagen aus internen Ermittlungen als Verteidigungsunterlagen geschützt sind. Unternehmen müssen daher stets bedenken, dass die Dokumentation von Interviews, E-Mails und Reports später von Ermittlungsbehörden ausgewertet werden kann.

Datenschutz und Beschäftigtendatenschutz

Bei der Auswertung von Daten (E-Mails, Logfiles, Devices, Cloud-Systeme) ist der Beschäftigtendatenschutz nach Art. 4 Nr. 1, Art. 6, Art. 88 DSGVO in Verbindung mit § 26 BDSG zentral. Zu unterscheiden ist insbesondere:

● Ermittlungen bei konkretem Verdacht einer Straftat (§ 26 Abs. 1 S. 2 BDSG) mit dokumentierten tatsächlichen Anhaltspunkten

● Ermittlungen bei sonstigen Pflichtverletzungen (§ 26 Abs. 1 S. 1 BDSG) auf Grundlage einer Verhältnismäßigkeitsprüfung

● Unterschiedliche Behandlung dienstlicher und privater Daten, abhängig von der erlaubten oder untersagten Privatnutzung der IT-Systeme

Hinzu treten Fragen der Datenspeicherung, Löschung, Zugriffsberechtigungen und zivilrechtliche Beweisverwertungsverbote bei rechtswidrig beschafften Beweisen. Vertiefende Informationen bietet der Beitrag Datenschutz bei internen Untersuchungen.

Hinweisgeberschutz, HinSchG und Whistleblowing

Seit Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) sind Unternehmen ab in der Regel 50 Beschäftigten verpflichtet, eine interne Meldestelle mit vertraulicher Bearbeitung der Hinweise einzurichten. Das HinSchG schützt Hinweisgebende durch Vertraulichkeitsanforderungen, Rückmeldepflichten und ein Repressalienverbot. Zugleich bleibt die Pflicht der Mitarbeiter zur Schadensabwendung und internen Anzeige wesentlicher Missstände bestehen.

Für die Praxis bedeutet dies: Internal Investigations, die auf Whistleblower-Hinweisen beruhen, müssen so gestaltet werden, dass Identitäten von Hinweisgebenden – soweit rechtlich erforderlich – geschützt bleiben. Zugleich ist sorgfältig zu dokumentieren, wann Informationen innerhalb des Unternehmens weitergegeben werden dürfen. Die Kombination aus interner Meldestelle und anwaltlicher Ombudsperson erhöht erfahrungsgemäß Meldebereitschaft und Qualität der Hinweise.

Typischer Ablauf einer Internal Investigation – First Response und Governance

Am Beginn steht eine strukturierte Ersteinschätzung: Welche Risiken bestehen? Sind Eilmaßnahmen erforderlich (z. B. Sicherung von IT-Zugängen, Legal Hold, Schutz potenziell Betroffener)? Parallel werden Mandat, Scope und Governance-Struktur definiert: Untersuchungsordnung, Lenkungskreis, Kommunikationswege, Privilegienmanagement und Rollenverteilung zwischen Unternehmensfunktionen und externen Beratern.

Beweissicherung, Datenzugriff und Forensik

Die Beweissicherung erfolgt so früh wie möglich – technisch forensisch und rechtlich abgesichert. Typischerweise werden E-Mails, Kollaborationstools, Mobilgeräte (BYOD), Fileserver, Cloud-Systeme und Papierakten gesichert. Forensische Standards (Imaging, Hash-Werte, Chain of Custody) gewährleisten Nachvollziehbarkeit und Gerichtsfestigkeit. Gleichzeitig sind die Grenzen des Datenzugriffs nach DSGVO und BDSG, bei erlaubter Privatnutzung der IT sowie im Homeoffice zu beachten.

Mitarbeiterinterviews und Befragungen

Interviews mit Mitarbeitenden sind ein zentrales Instrument der Sachverhaltsaufklärung. Sie sind arbeitsrechtlich grundsätzlich zulässig, unterliegen aber strengen Anforderungen an Fairness, Transparenz und Dokumentation. Zu beachten sind:

● Ankündigung, Rolle der Interviewer, Belehrung zur Selbstbelastungsfreiheit und ggf. Möglichkeit, Rechtsbeistand beizuziehen

● Wahrung der Mitbestimmungsrechte des Betriebsrats (z. B. bei Fragebögen oder technischem Monitoring, §§ 80, 87, 94 BetrVG)

● Aktenkundige Protokollierung und Versionierung mit Blick auf spätere straf- oder arbeitsgerichtliche Verfahren

Ausführlich zu Interviews und ihren Fallstricken informieren wir im Beitrag Internal Investigations – Interviews.

Analyse, Bewertung, Reporting und Remediation

Die gewonnenen Fakten werden strukturiert ausgewertet, juristisch gewürdigt und adressatengerecht aufbereitet – etwa in Form eines Executive Summary für Vorstand und Aufsichtsorgane sowie eines vertieften Detailberichts für Fachbereiche und Compliance. Diese Reports bilden die Grundlage für:

● arbeitsrechtliche Maßnahmen (Ermahnung, Umsetzung, Kündigung)

● Anpassungen von Richtlinien, Kontrollen, Schulungen und Governance-Strukturen

● Entscheidungen über Selbstanzeigen, Kooperation mit Behörden oder Vergabestellen

● Monitoring und Follow-up zur Messung der Wirksamkeit der ergriffenen Maßnahmen

Eine knappe, praxisorientierte Übersicht zu den wesentlichen Schritten finden Sie im Beitrag Internal Investigations – eine kurze Übersicht.

Für eine diskrete Ersteinschätzung zu internen Verdachtsfällen, Compliance Risiken oder Auditbedarf erreichen Sie unser Team unter 069 710 33 033 oder per E-Mail an info@investigations-audits.de.

Arbeitsrechtliche, datenschutzrechtliche und mitbestimmungsrechtliche Stolpersteine

Internal Investigations sind selbst eine Compliance-Maßnahme und dürfen nicht zu neuen Rechtsverstößen führen. Typische Problemfelder sind:

● Verletzung von Persönlichkeitsrechten durch unverhältnismäßige Datenauswertung, Durchsuchungen oder heimliche Überwachung

● Missachtung von Auskunfts- und Beteiligungsrechten der Arbeitnehmer und des Betriebsrats

● unzureichende Beachtung der Vertraulichkeitspflichten nach HinSchG gegenüber Hinweisgebenden

● fehlerhafte Zusagen von Amnestie oder der Kostenübernahme für Verteidiger

Fehler in diesen Bereichen können zu Beweisverwertungsverboten, Bußgeldern (u. a. nach DSGVO und HinSchG) und Haftungsrisiken der Unternehmensleitung führen.

Cross-Border-Internal Investigations und internationale Besonderheiten

Viele Untersuchungen weisen einen internationalen Bezug auf – etwa durch Tochtergesellschaften, internationale Projekte oder Listungen an ausländischen Börsen. Internal Investigations haben ihren Ursprung in den USA, insbesondere im Umfeld der SEC und des Foreign Corrupt Practices Act (FCPA). Deutsche Unternehmen mit Aktivitäten im US- oder UK-Markt kennen daher häufig behördliche Erwartungen an interne Untersuchungen und Kooperation.

Cross-Border-Fälle erfordern eine sorgfältige Planung der betroffenen Rechtsräume, Datentransfers (Standardvertragsklauseln, lokale Blocking Statutes), anwendbaren Privilegien (Anwaltsgeheimnis, Attorney-Client-Privilege) und forensischen Infrastruktur. Internationale Standardisierungen wie ISO 37001 (Anti-Bribery) und ISO/TS 37008 (Internal Investigations) liefern zusätzliche Orientierungspunkte bei der Ausgestaltung von Prozessen, Dokumentation und Governance.

Vorteile der frühzeitigen Mandatierung – Schnittstelle Kanzlei und GmbH

Die Besonderheit von Buchert Jacob Peter liegt in der engen Verzahnung einer spezialisierten Strafrechtskanzlei mit einer eigenen GmbH für Internal Investigations und Compliance Audits. Dadurch können wir:

● unabhängige, forensisch geprägte Sachverhaltsaufklärung mit strafrechtlicher und arbeitsrechtlicher Bewertung verbinden

● Ermittlungen so strukturieren, dass spätere Verteidigungsstrategien im Strafverfahren und im Wirtschaftsstrafrecht früh mitgedacht werden

● Arbeitgeber, Organe und Aufsichtsorgane zu Organisationspflichten, CMS und persönlicher Haftung beraten

● Hinweisgebersysteme, Ombudspersonen und interne Meldestellen konzipieren und rechtssicher begleiten

Durch die bundesweite Tätigkeit unserer Anwältinnen und Anwälte, etwa Dr. Rainer Buchert, Frank M. Peter und Dr. Caroline Jacob, können auch komplexe, standortübergreifende Projekte effizient gesteuert werden.

Warum Buchert Jacob Peter Internal Investigations & Audits?

Unsere Spezialisierung auf Internal Investigations basiert auf über 25 Jahren Erfahrung in der Begleitung von DAX-, MDAX- und mittelständischen Unternehmen. Wir kennen sowohl die Perspektive der Unternehmensseite als auch die Sicht von Ermittlungsbehörden.

● Erprobte Leitung großer, auch internationaler Untersuchungen mit erheblichem Datenvolumen

● Interdisziplinäre Teams aus Strafverteidigung, Forensik, Arbeitsrecht, Datenschutz und Compliance

● klare, adressatengerechte Berichte, die den Anforderungen von Gremien, Aufsichtsbehörden und Gerichten standhalten

● diskretes, strukturiertes Vorgehen mit sensibler Kommunikation gegenüber Mitarbeitern, Betriebsrat, Öffentlichkeit und Medien

Aktuelle Einordnungen zu Internal Investigations, Interviews, Strafrecht und Datenschutz finden Sie fortlaufend im Bereich Aktuelles sowie auf den Kanzlei-Seiten von Buchert Jacob Peter.

FAQ zu Internal Investigations und Compliance Audits

Was versteht man unter Internal Investigations im Unternehmen?

Internal Investigations sind strukturierte, rechtlich fundierte interne Untersuchungen zur Aufklärung von Regel- und Rechtsverstößen im Unternehmen. Sie reichen von der Datensicherung über Mitarbeiterinterviews und forensische Analysen bis hin zu einem dokumentierten Maßnahmenplan. Ziel ist es, Pflichtverletzungen zu erkennen, abzustellen und zukünftige Risiken zu reduzieren.

Wann ist eine interne Untersuchung erforderlich?

Eine Internal Investigation sollte eingeleitet werden, wenn konkrete Anhaltspunkte für betriebsbezogene Rechtsverstöße bestehen – etwa durch Hinweise aus Meldestellen, auffällige Audit-Findings, Verdachtsmomente im Wirtschafts- oder Steuerstrafrecht oder DSGVO-Verstöße. Die Schwelle liegt höher als bei bloßen Gerüchten, aber niedriger als beim strafprozessualen Anfangsverdacht. Entscheidend ist eine sorgfältige Plausibilitätsprüfung zu Beginn.

Sind Mitarbeiterinterviews zulässig – und welche Rechte haben Beschäftigte?

Interviews sind grundsätzlich zulässig und vom Direktionsrecht des Arbeitgebers gedeckt, müssen aber fair, transparent und verhältnismäßig gestaltet werden. Mitarbeiter haben Anspruch auf schonende Behandlung, datenschutzgerechte Verarbeitung ihrer Angaben und – je nach Konstellation – faktisch auch auf Rechtsrat. Aussagen, die zu strafrechtlicher Selbstbelastung führen können, sind mit besonderer Sorgfalt zu behandeln. Unsere Praxisempfehlungen hierzu finden Sie im Beitrag Internal Investigations – Interviews.

Welche Daten dürfen in einer Internal Investigation ausgewertet werden?

Grundsätzlich können dienstliche Daten ausgewertet werden, wenn eine taugliche Rechtsgrundlage nach DSGVO und § 26 BDSG besteht und die Maßnahme verhältnismäßig ist. Bei erlaubter Privatnutzung der IT-Systeme sind private Inhalte besonders geschützt; bei verbotener Privatnutzung ist der Zugriff weitergehend, berührt aber dennoch das Persönlichkeitsrecht des Mitarbeiters. Bei rechtswidrigem Datenzugriff drohen Beweisverwertungsverbote und Bußgelder.

Wie wirkt sich das Hinweisgeberschutzgesetz (HinSchG) auf Internal Investigations aus?

Das HinSchG verlangt vertrauliche interne Meldestellen und stärkt den Schutz von Hinweisgebenden. Internal Investigations, die auf Hinweisen beruhen, müssen daher Vertraulichkeit, Dokumentation und Rückmeldepflichten berücksichtigen. Verletzungen der Vertraulichkeit können mit hohen Bußgeldern sanktioniert werden. Gleichzeitig sollen Unternehmen Anreize schaffen, interne Meldungen bevorzugt zu nutzen, um externe Offenlegungen oder Strafanzeigen zu vermeiden.

Können Internal Investigations Sanktionen und Schäden mindern?

Ja. Ein wirksames Compliance-Management-System, eine zügige, strukturierte Aufklärung und nachvollziehbare Remediation werden von Gerichten und Behörden regelmäßig sanktionsmindernd berücksichtigt. Zudem können Unternehmen durch Internal Investigations Anforderungen der „Selbstreinigung“ etwa im Vergaberecht erfüllen und Reputationsschäden begrenzen.

Wie lange dauern interne Untersuchungen und welche Kosten entstehen?

Die Dauer hängt von Umfang, Datenmenge, Zahl der Standorte und beteiligten Rechtsgebieten ab. Fokussierte Einzelfälle können in wenigen Wochen geklärt werden, komplexe internationale Investigations dauern mehrere Monate. Die Kosten werden insbesondere durch Scope, Priorisierung, Effizienz der Forensik und die Steuerung des Projektteams bestimmt. Durch eine klare Mandatierung und ein strukturiertes Projektsetup halten wir Aufwand und Belastung für das Unternehmen so steuerbar wie möglich.

Warum sollte eine externe Spezialgesellschaft beauftragt werden?

Externe Spezialisten gewährleisten Unabhängigkeit, forensische Expertise und Erfahrung mit Ermittlungsbehörden. Die GmbH Buchert Jacob Peter kann zudem nahtlos mit den Strafverteidigern und Fachanwälten der Kanzlei zusammenarbeiten. Das erleichtert die rechtliche Einordnung, schützt Privilegien, schafft Akzeptanz bei Aufsichtsorganen und ermöglicht ein einheitliches, widerspruchsfreies Vorgehen – von der ersten Risikoeinschätzung bis zur Umsetzung von Maßnahmen.

Kontaktieren Sie unsere Experten für Internal Investigations und Audits

Diese Ansprüche an verfahrenstechnisches Wissen, Compliance Erfahrung und diskretes Vorgehen vereint unser interdisziplinäres Team aus spezialisierten Juristen und Ermittlern. Wir stehen Ihnen bundesweit zur Verfügung.

• Rechtsanwalt & Geschäftsführer Dr. Rainer Buchert
• Rechtsanwalt, Fachanwalt für Strafrecht & Geschäftsführer Frank M. Peter
• Rechtsanwältin, Fachanwältin für Strafrecht & Geschäftsführerin Dr. Caroline Jacob
  

Kontaktieren Sie uns – Ihre Spezialisten für Internal Investigations, Compliance Audits sowie Strafrecht, Wirtschaftsstrafrecht und Steuerstrafrecht in Frankfurt am Main und bundesweit

Telefon: 069 710 33 033
E-Mail: info@investigations-audits.de