Vorsicht bei internen Ermittlungen: Nicht alles, was Erfolg verspricht, ist auch zulässig

Vorsicht bei internen Ermittlungen

Der Verwertbarkeit von Ermittlungsergebnissen sind enge Grenzen gesetzt. Ausweislich einer Studie des Wirtschaftsprüfungsunternehmens PricewaterhouseCoopers ist jedes zweite Unternehmen in Deutschland von Wirtschaftskriminalität betroffen. Treiber der Statistik sind dabei insbesondere die Vermögensdelikte, zudem Patent- und Kartelldelikte, Diebstahl interner Informationen sowie Korruption. Welche/r Compliance-Verantwortliche würde da im Ernstfall nicht gerne alle Möglichkeiten der digitalen internen Überwachung nutzen, um kriminellen Mitarbeitern auf die Spur zu kommen? Das Angebot an digitalen wie analogen forensischen Instrumenten lässt heute kaum Wünsche offen. Doch Vorsicht – nicht alles was geeignet ist, ist auch erlaubt und verhältnismäßig. In straf- und insbesondere in arbeitsrechtlicher Hinsicht droht internen Ermittlungsergebnissen rasch die Unverwertbarkeit, wenn sie nicht unter den Voraussetzungen des § 32  (1) Bundesdatenschutzgesetz (BDSG) erhoben wurden.

Wenn es immer so leicht wäre, Täter zu überführen…

Vor dem Landgericht Berlin wird derzeit ein Fall von Informationsdiebstahl zum Nachteil des Bundesgesundheitsministeriums verhandelt. Ein ehemaliger IT-Systemadministrator soll E-Mail Postfächer des Managements ausgespäht und die so gewonnenen Informationen weiterverkauft haben. Dieser Sachverhalt, der aufgrund eines anonymen Hinweises in den Fokus von Ermittlern gerückt war, ist indes einer der eher seltenen Fälle, in denen konsequent vorgegangen wird. Die Zahl der Ermittlungsverfahren wegen Geheimnisverrats (§ 353b StGB) und des Verrats von Betriebs- und Geschäftsgeheimnissen (§ 17 UWG) ist mit rund 300 Fällen pro Jahr in ganz Deutschland überschaubar. Laut BKA sank im Übrigen die Aufklärungsquote beim Geheimnisverrat bis 2016 auf zuletzt nur noch rund 50%, d.h. jeder zweite Fall bleibt unentdeckt.

Gerichte etwas arbeitgeberfreundlicher als früher

Soweit zum Strafrecht. In arbeitsrechtlicher Hinsicht scheitert die Sanktionierung von occupational Fraud (d.h. arbeitsplatzbezogene Delikte) häufig am engen Zulässigkeitsrahmen des § 32 (1) Satz 2 BDSG. Hiernach dürfen personenbezogene Daten zur Aufdeckung von Straftaten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn auch tatsächlich – neben weiteren Voraussetzungen – ein konkreter Verdacht vorliegt. Im Klartext: Nur auf eine mehr oder weniger vage Vermutung hin darf das mögliche interne Ermittlungsrepertoire nicht nach Belieben ausgeschöpft werden. So belegte etwa das Bundesarbeitsgericht den Einsatz einer Keylogger-Software gegen einen Beschäftigten mit einem Verwertungsverbot, weil der Tatvorwurf der privaten Nutzung des Dienstrechners diesen Eingriff nicht rechtfertige (2 AZR 681/16  – Urteil vom 27.07.2017). Herrschten nach der Novelle des § 32 BDSG im Jahr 2009 noch erhebliche Unsicherheiten in Bezug auf Zulässigkeit und Umfang interner Ermittlungen, so zeigt sich die inzwischen umfangreicher vorliegende höchstrichterliche Rechtsprechung hier und da aber auch einmal „arbeitgeberfreundlich“. So erklärte das Bundesarbeitsgericht – entgegen vorinstanzlicher Entscheidung – mit Urteil vom 29. Juni 2018 (2 AZR 597/16) den Einsatz eines Detektivs gegen einen Beschäftigten für zulässig. Es bestand der Verdacht, dass der Beschäftigte trotz Krankschreibung bereits seit einiger Zeit bei einem anderen Unternehmen arbeitete, was durch den Detektiv nachgewiesen werden konnte.

Bundesdisziplinargesetz

Strenge Regularien auch in der öffentlichen Verwaltung

In Behörden wird bei der Aufklärung interner Vorfälle häufig der Begriff „Verwaltungsermittlungen“ verwendet. Wesentliches Merkmal einer Verwaltungsermittlung ist, dass die Vermutung eines Fehlverhaltens eines oder mehrerer Beschäftigter gegeben ist, und zwar unterhalb der Schwelle eines straf- oder disziplinarrechtlichen Anfangsverdachts. Im ersten Fall wären gemäß § 163 der Strafprozessordnung (StPO) die Staatsanwaltschaft für die Ermittlungen zuständig, im letzteren nach § 17 Bundesdisziplinargesetz (analog: Landesdisziplinargesetze) der/die Dienstvorgesetzte. Im Stadium einer Verwaltungsermittlung befindet man sich folglich nur dann, wenn zwar ein Hinweis auf eine dolose Handlung gegeben ist, die von § 163 StPO (korrespondierend: § 17 BDG) geforderten „zureichenden tatsächlichen Anhaltspunkte“ aber (noch) nicht erkennbar gegeben sind. Ein Sachverhalt also, der noch nicht zur Anzeige gebracht werden kann, aber dennoch der weiteren Verdichtung bedarf.

Wenngleich das Bundesverwaltungsgericht Verwaltungsermittlungen für grundsätzlich zulässig erklärt hat, so haben solche doch in sehr engen Grenzen zu verlaufen. Herrmann und Soiné gaben 2012 in einem Aufsatz Hinweise zum Umfang des an Maßnahmen Zulässigen, die für jede/n Verwaltungsermittler wertvolles Handwerkszeug darstellen sollten.

Wie schwer es selbst in Sicherheitsbehörden ist, die „schwarzen Schafe“ in den eigenen Reihen zu identifizieren, zeigt aktuell etwa eine interne Maßnahme der brandenburgischen Polizei. Zur Eindämmung eines „Datenlecks“, das in einigen Fällen zur Veröffentlichung brisanter interner Informationen in den Medien geführt hatte, wurde vorsorglich 5.000 Beamten der Intranetzugriff gesperrt.

Fazit

Bei internen Ermittlungen ist Fingerspitzengefühl geboten. Occupational Fraud fällt überwiegend in den Bereich der so genannten „Kontrolldelikte“. Diese zeichnen sich durch ein hohes Dunkelfeld aus sowie dadurch, dass sie aufgrund ihrer Begehungsart nur durch Kontrollen aufgedeckt werden. Letztere sind – beispielsweise durch das Internal Audit –  somit gewünscht und haben auch einen präventiven Effekt.

Im konkreten Verdachtsfall muss es der oder die Ermittler/in jedoch vermeiden, die Leitplanken des rechtlich Zulässigen zu verlassen. Nicht ohne Grund hat der Gesetzgeber durch die Regelungen des Beschäftigtendatenschutzes und Beschuldigtenrechte eine fein austarierte Balance zwischen repressiver Beweiserhebung auf der einen und schützender Unschuldsvermutung auf der anderen Seite geschaffen. Wenn die Hürden für eine interne Ermittlungsmaßnahme zu hoch sind, muss man das auch einmal hinnehmen, auch wenn die Spürnase etwas anderes signalisiert. Denn Verdachtsbestätigung um jeden Preis kann und darf auch in Zeiten strengerer Compliance-Kultur nicht gewollt sein.

 

Anm. d. R.: Ingo Sorgatz ist Experte für Innenrevision in der öffentlichen Verwaltung. Im Mai 2018 findet die nächste Veranstaltung zum Umgang mit Compliance-Risiken in öffentlichen Organisationen statt. Mehr Informationen zum Seminarprogramm und zur Anmeldung finden Sie auf der Website der Europäischen Akademie für Steuern, Wirtschaft & Recht.

Thema Datenschutz: Weiterbildungsangebot

Lernen Sie, wie Datensicherheit und Datenschutz in den öffentlichen Einrichtungen in der Praxis erfolgreich umgesetzt werden können.

Ingo Sorgatz ist Erster Kriminalhauptkommissar im Bundesministerium des Innern und für Innenrevision und Korruptionsprävention zuständig.
Zum Autorenprofil