Blickpunkt

Mit Fingerspitzengefühl und Know-how
Ermittlungsarbeit ist nichts für Laien

Hendrik Fuchs

Auf dem Weg, Compliance-Verstöße innerhalb des eigenen Unternehmens aufzudecken, lauern viele Fallstricke. Was bei Verdachtsfällen zu tun ist, darüber sprach die Redaktion mit Birgit Galley, Direktorin des Instituts für Kriminalistik an der Steinbeis-Hochschule in Berlin.

Welche Warnsignale, die auf einem möglichen Compliance-Verstoß hinweisen könnten, sollten ein Unternehmen aufhorchen lassen?

Viele Unternehmen haben inzwischen ein Hinweisgeber-System etabliert, über das mögliche Fälle an die Verantwortlichen herangetragen werden. Ich mache seit vielen Jahren Trainings zum Thema „Kommunikation mit Hinweisgebern“ und nicht wenige Teilnehmer sind anfangs verunsichert, was sie genau Mitarbeitenden sagen sollen, wenn diese Ungereimtheiten vermuten: Jede Kleinigkeit melden oder erst dann reagieren, wenn sie belegbare Beweise vorlegen können? Meine Empfehlung ist, immer möglichst niederschwellig Meldung zu machen, denn ansonsten besteht die Gefahr, dass im Unternehmen plötzlich lauter kleine Laien-Ermittler agieren – was sich letztlich auf die Unternehmenskultur sehr nachteilig auswirken kann. Es reicht also bereits aus, wenn eine Mitarbeiterin oder ein Mitarbeiter vermutet, dass etwas im Unternehmen vielleicht nicht stimmt. Die Verantwortung zu prüfen und einzuschätzen, ob da etwas dran ist oder nicht, liegt bei der entgegennehmenden Stelle und nicht beim Hinweisgeber. In diesem Kontext ist es natürlich im Vorfeld wichtig, dass die Verantwortlichen genau definieren, was einen möglichen Anfangsverdacht begründet und welche Auswirkungen das für das Unternehmen haben könnte. Dazu muss man die Risiken genau kennen, denen ein Unternehmen ausgesetzt ist. Durch ein entsprechend aufgebautes Risikomanagement bekommen die Verantwortlichen aber ein Gefühl dafür, ob möglicherweise tatsächlich ein vorsätzliches Fehlverhalten oder doch nur ein Fehler vorliegt. Man muss ja nicht immer gleich das Schlimmste vermuten, allerdings sollte der Fall der Fälle immer Teil der Hypothese sein. Das heißt: Nicht gleich Alarm schlagen, sondern Ruhe bewahren, aber aufmerksam, neugierig sein und sachlich Aufklärungsarbeit betreiben.

Verleitet ein niedrigschwelliges Melden nicht vielleicht den ein oder anderen zum grundlosen Anschwärzen einer Kollegin oder eines Kollegen?

Das kann natürlich sein, aber wenn das Hinweisgeber-System professionell aufgebaut ist, sucht sich ein solcher Mensch normalerweise andere Kanäle, etwa den Flurfunk oder Social Media. Trifft die mutwillig falsch meldende Person auf professionelle Strukturen, dann werden die Verdächtigungen gezielt hinterfragt und die Prozesse sind so angelegt, dass die ins Visier geratene Person keinen Schaden nimmt. Da haben Menschen, die anderen einfach so mal an den Karren fahren möchten, keine Chance. Mehr noch: Wenn diese professionell befragt werden, kann das für die Denunzianten selbst verheerende Konsequenzen haben. Daher ist es enorm wichtig, dass es nicht nur ein Hinweisgeber-System gibt, sondern dass es auch entsprechend professionell arbeitet – und nicht als eine Art Studenten-Hotline gesehen wird.

Birgit Galley ist Direktorin des Instituts für Kriminalistik an der Steinbeis-Hochschule in Berlin sowie Geschäftsführerin der School GRC Training GmbH und der Forensic Management GmbH.Die Hoffotografen GmbH
Birgit Galley ist Direktorin des Instituts für Kriminalistik an der Steinbeis-Hochschule in Berlin sowie Geschäftsführerin der School GRC Training GmbH und der Forensic Management GmbH.

Wenn ein möglicher Verstoß gegen bestehende Leitlinien und Gesetze vermutet wird: Wie sollen Unternehmen bei Verdachtsfällen als erstes vorgehen?

Als erstes erfolgt eine Plausibilitätsprüfung, eine verdeckte Ermittlung – ähnlich wie bei der Polizei. Es gilt abzuklären, ob an den Hinweisen überhaupt etwas dran sein könnte, welche Bereiche im Unternehmen möglicherweise betroffen sind, ob es wirklich konkrete Anhaltspunkte gibt, mit denen man arbeiten kann. Und last but not least: Gibt es noch ungeklärte Fragen, bevor ich überhaupt entscheiden kann, ob ich hier einen Fall habe? Mit einer detaillierten Befragung des Hinweisgebers ergibt sich in der Regel schnell ein klareres Bild. Nehmen wir an, es gibt einen Hinweis, dass eine bestimmte Person im Unternehmen Frauen belästigt. Mögliche Fragen sind hier etwa: Haben Sie das selbst erlebt? Haben Sie das erzählt bekommen? Haben Sie das selbst beobachtet? Wann, wo und mit wem war das? Man muss also gezielt Fragen stellen, um den Sachverhalt konkretisieren zu können. Erst wenn es konkret genug ist, kann man mit der genaueren Prüfung beginnen – in diesem Fall wäre der nächste Schritt, die belästigten Personen zu interviewen. Erhärten sich danach die Hinweise, dass da etwas wirklich nicht stimmen könnte, sollte auch die Person befragt werden, die von den anderen gemeldet wurde. Meistens steht dann Aussage gegen Aussage. Zeigt sich bereits vor der Befragung der gemeldeten Person, dass an den Vorwürfen nichts dran ist, kann die Ermittlung auch eingestellt werden, ohne dass mehr Menschen involviert werden. Es ist also an den Verantwortlichen, anhand der Datenlage abzuwägen, inwieweit daraus ein Fall wird, der weiterverfolgt werden muss, oder ob alles zu den Akten gelegt werden kann. Geht es um Dinge wie Preisabsprachen, Ausschreibungsbetrügereien und Bestechungen, so kommen auch noch Datenbeweise hinzu. Für alle diese Ermittlungsaufgaben braucht man verantwortliche Personen, die entsprechende Trainings absolviert haben und genau wissen, wie man professionell ermittelt und auch interviewt, ohne ins Fettnäpfchen zu treten.

Und besonders wichtig: Eine gemeldete Person darf niemals von Anfang an als Beschuldigter gesehen werden. Diese ist wie alle anderen auch erst einmal nur betroffen. Das macht einen gewaltigen Unterschied aus. Ansonsten besteht die Gefahr, dass die gemeldete Person einen Stempel aufgedrückt bekommt, den diese niemals wieder wegbekommt. Daher muss sehr sorgfältig, verantwortungsbewusst und fair aufgeklärt werden.

Welche Fehler unterlaufen hier den Verantwortlichen immer wieder?

Wo gehobelt wird, fallen natürlich auch Späne. Fehler, die immer wieder passieren, sind, dass der Kreis der informierten Personen zu groß gehalten wird. Es kommt auch vor, dass die Daten, auf die zugegriffen wird, nicht ausreichend geschützt werden, sodass auch andere darauf zugreifen können. Auch können in der Hektik Dinge übersehen werden oder die Verantwortlichen ab und an nicht sachlich genug, mitunter voreingenommen, an das Ganze herangehen. Was ich darüber hinaus oft erlebe, ist, dass mit Klarnamen agiert wird. Das kann verheerende Folgen haben, wenn zum Beispiel zwei Verantwortliche in Räumlichkeiten, die für allen anderen auch zugänglich sind, über die gemeldete Person sprechen. Da ist die Gefahr groß, dass da jemand anderes etwas aufschnappt. Leider musste ich auch immer wieder erleben, dass bei Interviews falsche – also suggestive – Fragen an die Betroffenen gestellt wurden. Ein weiterer Fehler: Die von der IT zur Verfügung gestellte Daten, seien es Mails oder Dateien, werden nur kopiert aber nicht gespiegelt. Denn bei kopierten Daten kann man nicht mehr gerichtsfest nachprüfen, ob diese wirklich unberührt sind.

Welche Folgen kann ein halbherziges, unprofessionelles Vorgehen haben?

Für die betroffenen Personen kann das natürlich verheerende Folgen haben. Haltlose Vorwürfe bekommen diese Menschen oft nicht mehr los – da bleibt immer etwas hängen. Auch für die Unternehmenskultur des Hauses und das Hinweisgebersystem ist das eine Katastrophe. Da wird sich keiner mehr trauen, bei einem Verdacht Meldung zu machen. Und auch das Image des Unternehmens nach außen wird leiden, ganz zu schweigen von finanziellen Schäden. Es gibt hierbei eigentlich nur Verlierer.

Wann sollte man die Ermittlungsbehörden einschalten?

Das muss sehr genau abgewogen werden, ob das gut ist für das Unternehmen. Die Sachlage kann mitunter sehr komplex sein, was den verantwortlichen Personen ein besonderes Fingerspitzengefühl abverlangt. Und das unterschätzen viele. Nehmen wir das Beispiel Preisabsprachen. Wenn eine oder mehrere Personen hiergegen verstoßen haben, liegt es oft im Interesse der Geschäftsleitung, diese Mitarbeitenden loszuwerden, weil sie gegen Regeln und Gesetze verstoßen haben. Da reden wir über Arbeitsrecht. Darüber hinaus haben diese Personen dem Unternehmen einen Schaden zugefügt und man möchte entsprechenden Schadensersatz einfordern. Da sind wir im Zivilrecht. Da kann eine eigene interne Ermittlung schnell an ihre Grenzen kommen. Denn: Tatsächlich ist hier auch vom Unternehmen eine Straftat ausgegangen. In diesem Moment ist die Firma in einer Verteidigungsposition, weil jetzt auch der Vorstand und die leitenden Personen, die die Aufsicht hätten führen müssen, ins Visier der Ermittlungsbehörden geraten können. Damit sind wir dann im Strafrecht. Ab dem Zeitpunkt, an dem der Staatsanwalt ein Verfahren eingeleitet hat, kann man diesen Prozess nicht mehr stoppen. Wenn also das Unternehmen bereits intern ermittelt hat, um Schadensersatz geltend machen zu können, und dann der Staatsanwalt anrückt, hat die Geschäftsleitung ein Problem. Dann können alle Dokumente der internen Ermittlung beschlagnahmt werden und die Unternehmensspitze wird auf dem Silbertablett präsentiert. Daher ist es entscheidend, vorher zu überlegen, ob das Unternehmen nur Opfer oder potenziell auch Täter ist. Ersteres kann man intern aufklären. Sobald aber die Firma selbst ins Visier geraten kann, sollte man sich externe Hilfe holen, um hier bei der Verteidigungsstrategie keine Fehler zu machen. Bei dieser Aussicht würde man natürlich niemals selbst die Ermittlungsbehörden einschalten. Haben Sie jedoch glasklare Fälle von Betrügereien, die sich gegen das Unternehmen richten, dann kann die Strafanzeige schon eine gute Ergänzung zur eigenen Aufklärungsarbeit sein. Das Recht, bei Wirtschaftskriminalitätsdelikten die Ermittlungsbehörden einzuschalten, haben die Unternehmen, die Pflicht besteht nicht.

Wie sollte die unternehmensinterne Kommunikation aussehen, wenn sich der Verdacht bestätigt hat beziehungsweise der Täter überführt werden konnte?

Da gibt es zu Recht den Datenschutz. Bloß nicht Ross und Reiter nennen – das ist nichts fürs schwarze Brett. Ich würde das außerhalb der Gremien generell nicht detailliert kommunizieren, wohl aber das Ganze in den Compliance-Berichten aufführen – und was man daraus gelernt beziehungsweise, was man geändert hat, um so etwas künftig zu vermeiden. Der reine Sachverhalt an sich lässt sich auch gut für Schulungen von Belegschaft und Führungskräften nutzen. Zudem kann es sinnvoll sein, mit Hinweisgebern und Opfern ein Feedback-Gespräch zu führen – also im Rahmen eines vertraulichen Gesprächs. Das signalisiert diesen, dass Fehlverhalten tatsächlich geahndet wird und Konsequenzen hat. Davon lebt ein Hinweisgebersystem.

Welche Tipps können Sie Unternehmerinnen und Unternehmern in diesem Kontext noch mit auf den Weg geben?

Dass eine sachliche Aufklärungsarbeit nichts für Laien ist. Um seiner Verantwortung gerecht zu werden, sollte man alle wirtschaftlichen, rechtlichen, menschlichen und psychologischen Schritte vorausdenken können. Das ist ein bisschen so wie bei einem Schachspiel. Und: Es ist nichts zum Üben – das ist hochgefährlich. Dafür haben die Zuständigen zu viel Verantwortung gegenüber den betroffenen Personen. Man kann aber alles im Rahmen von professionellen Trainings lernen. Das biete ich über mein Unternehmen seit knapp 30 Jahren an. Und die Einstellung der Verantwortlichen muss immer sein: „Ich traue jedem alles zu, aber ich unterstelle nicht jedem alles.“ Ein „Das kann ich mir nicht vorstellen“ ist der schlechteste Berater.

www.school-grc.com