Allgemeines zu internen Untersuchugen
Eine interne Untersuchung wird dann eingeleitet, wenn eine Verdachtslage zu einem Rechtverstoß besteht. Der Umfang interner Untersuchung kann stark variieren und zielt dabei auf den konkreten Verdachtsmoment ab. Kleine Verwaltungsübertretungen von Mitarbeitern können häufig problemlos innerhalb kurzer Zeit mit geringem Aufwand aufgearbeitet werden. Im Vergleich dazu, werfen strafrechtliche Vorwürfe sehr umfangreiche juristische Fragen auf, die in ebenso umfangreichen Untersuchungen rechtlich geprüft werden müssen.
Untersuchungsmethoden
Je nach Größe und Struktur eines Unternehmens und abhängig von der konkreten Verdachtslage werden die unterschiedlichsten Untersuchungsmethoden angewendet:
- Mitarbeiterbefragungen
- Analyse von Papierdokumenten und elektronischen Daten
- Open-Source-Recherchen
- Untersuchungen mittels Forensik
Die Ergebnisse der Untersuchungen können bei sachgemäßer Durchführung der Untersuchung, als Beweismittel im staatlichen Verfahren (Strafverfahren, Zivilverfahren, Verwaltungsverfahren) dienen.
Rechtliche Vorgaben im Überblick
In Österreich gibt es zur Durchführung von internen Untersuchungen in Unternehmen derzeit keine expliziten gesetzlichen Vorgaben. Obwohl die Vorgehensweise also nicht abschließend und ausdrücklich in einem eigenen Gesetz geregelt wird, gibt es Sondergesetzte aus denen sich etwaige Regelungen erschließen lassen. Primär muss jedenfalls auf Persönlichkeitsrechte der betroffenen Personen sowie auf das Grundrecht auf Datenschutz gemäß § 1 Abs 1 DSG und auf die strengen Vorgaben der Datenschutzgrundverordnung (DSVGO) geachtet werden.
Darüber hinaus ist im gegebenen Kontext vor allem das HSchG von Bedeutung, das die Schutzwürdigkeit von Hinweisgebern, die Vertraulichkeit, Verschwiegenheitspflichten und Schutz der Identität von Hinweisgebern (….) regelt. Im Einzelfall ist zu prüfen, ob das HSchG tatsächlich Anwendung findet.
Gesellschaftsrechtliche Vorgaben
Erlangt die Unternehmensleitung Kenntnis von Informationen, die den Verdacht eines Rechtsverstoßes hervorrufen, besteht die Pflicht zur Aufklärung des Sachverhalts. Eine solche Verpflichtung ergibt sich aus den allgemeinen Sorgfaltspflichten der Geschäftsführer einer GmbH (§§ 22 und 25 GmbHG) und der Vorstandsmitglieder einer AG (§§ 70, 82, 84 AktG). Auch den Aufsichtsrat trifft die Aufklärungspflicht. Darüber hinaus ergibt sich aus diesen Regelungen auch die Obliegenheit, Verdachtsmomenten auf Gesetzes- oder sonstigen Rechtsverstößen nachzugehen und Untersuchungen zur Sachverhaltsaufklärung anzustellen. Führungskräften kommt somit eine Handlungspflicht zu, die bei Missachtung zu haftungsrechtlichen Konsequenzen führen kann.
Ausschlaggebend für haftungsvermeidendes Verhalten ist die Business Judgement Rule (§ 25 Abs 1a GmbHG, § 84 Abs 1a AktG). Diese normiert, wann Entscheidungsträger mit der Sorgfalt eines ordentlichen Geschäftsleiters handeln. Trifft ein Geschäftsführer demnach die Entscheidung keine interne Untersuchung durchzuführen und verletzt er in diesem Rahmen seine Sorgfaltsplichten, drohen ihm die Folgen der Geschäftsführerhaftung.
Allgemeine zivilrechtliche und arbeitsrechtliche Vorgaben
Zentraler Bestandteil interner Untersuchungen ist stets die Wahrung der Persönlichkeitsrechte der Mitarbeiter. Nach § 16 ABGB hat jeder Mensch angeborene und schon durch die Vernunft einleuchtende Rechte. Persönlichkeitsrechte schützen demnach den Einzelnen vor Eingriffen Dritter. Zu den wichtigsten Persönlichkeitsrechten zählen das Recht auf Ehre, Freiheit, das Recht am eigenen Bild, der Schutz des höchstpersönlichen Lebensbereichs oder auch das Recht auf Achtung des wirtschaftlichen Rufes.
Interne Untersuchungen können gelegentlich in diese Rechte eingreifen. Essenziell ist dabei jedoch die Abwägung der Informations- und Kontrollinteressen des Arbeitgebers mit den Persönlichkeitsrechter der Dienstnehmer. Diese Interessensprüfung erfordert häufig eine umfassende rechtliche Begutachtung. Lässt ein Unternehmen eine solche Prüfung durch externe Sparring-Partner wie Rechtsanwälte oder Compliance-Officer durchführen, kann es zivilrechtlichen Haftungsrisiken bereits präventiv entgegenwirken.
Aus der arbeitsrechtlichen Arbeits- bzw. Treuepflicht kann grundsätzlich eine Pflicht zur Mitwirkung bzw Kooperation bei internen Untersuchungen für betroffene Mitarbeiter abgeleitet werden.
Datenschutzrechtliche Vorgaben
Bei internen Untersuchungen sind nicht nur gesellschafts- und zivilrechtliche Regelungen zu beachten, sondern auch datenschutzrechtliche Vorgaben. Durch die Verarbeitung von personenbezogenen Daten wird häufig in das Grundrecht auf Datenschutz (§ 1 DSG) eingegriffen. Im Rahmen interner Untersuchung, bspw bei der Durchsicht von E-Mails oder anderen Nachrichten, kommt es regelmäßig zu Datenverarbeitungen, die einer entsprechenden Überprüfung durch Experten unterzogen werden sollten.
Im Rahmen von internen Untersuchungen sind stets die Voraussetzungen der DSGVO und der DSG einzuhalten (Art 5 DSGVO). Je nach Datenkategorie ergeben sich aus den Art 6 oder 10 DSVGO unterschiedliche Rechtfertigungsgründe, die einen Eingriff rechtfertigen können. In Frage kommt beispielsweise ein überwiegendes berechtigtes Interesse des Arbeitgebers (Art 6 Abs 1 lit f DSGVO).
Darüber hinaus ist stets das Prinzip der Verhältnismäßigkeit zu wahren. Die Untersuchungsmaßnahmen müssen somit das gelindeste zur Verfügung stehende Mittel zur Erreichung des Ziels sein. Weiters sind bei der Datenverarbeitung die Grundsätze nach Art 5 Abs 1 DSVGO einzuhalten.
Informationen, die für die interne Untersuchung nicht relevant sind, sind zu löschen. Relevante Erkenntnisse und Funde, die für die Durchsetzung von Rechtsansprüchen von Bedeutung sind, dürfen jedoch bis zum rechtskräftigen Abschluss des jeweiligen Verfahrens aufbewahrt werden.
Darüber hinaus treffen das Unternehmen im Rahmen einer internen Untersuchung mehrere datenschutzrechtliche Pflichten. Beispielsweise sind betroffenen Personen über Namen und Kontaktdaten des Verantwortlichen und den Zweck der Verarbeitung zu informieren (Art 13 DSGVO).
Überdies sind Untersuchungsmaßnahmen im datenschutzrechtlichen Verarbeitungsverzeichnis zu ergänzen und eine Datenschutz-Folgenabschätzung (Art 35 DSGVO iVm § 2 Abs 3 Z 4 und 5 DSFA-V) ist durchzuführend, sofern Daten von schutzwürdigen Personen (bspw Arbeitnehmer) verarbeitet werden und eine Zusammenführung von Datensätzen aus zwei oder mehreren Verarbeitungen erfolgt.
Beiziehung eines spezialisierten Rechtsanwalts im Anlassfall
Grundsätzlich steht es dem Unternehmen frei, ob es eine interne Untersuchung durch eigene Mitarbeiter wie z.B. einen Compliance Officer oder durch externe Berater wie z.B. Rechtsanwälte durchführen lässt. Insbesondere im Hinblick auf die rechtlichen Konsequenzen empfiehlt es sich jedoch, einen spezialisierten Rechtsanwalt hinzuzuziehen, der eine erste Prüfung des Sachverhalts vornehmen und anschließend weitere Maßnahmen einleiten kann. Ein Rechtsanwalt stellt dabei die korrekte Durchführung der internen Untersuchung sicher und achtet auf die Wahrung rechtlicher Vorgaben, um Haftungsrisiken bestmöglich einzudämmen.
