Internal Investigations

Anmerkungen

[1]

LG München I CCZ 2014, 142 – Siemens-Neubürger; Rotsch/Taschke/Schoop Criminal Compliance, § 34 Rn. 91; Hauschka/Greeve BB 2007, 165, 171; Reichert/Ott ZIP 2009, 2176 m.w.N.

[2]

BGH NJW 1997, 1926.

[3]

So auch Moosmayer/Bührer Interne Untersuchungen, S. 106 ff.

[4]

Nach § 138 StGB sind nur die dort genannten schweren Straftaten anzuzeigen, soweit sie bevorstehen.

[5]

Nach § 12 Korruptionsbekämpfungsgesetz NRW besteht bei Korruptionsverdacht eine Anzeigepflicht.

[6]

Eingehend zu Hinweis- und Offenbarungspflichten Schemmel/Ruhmannseder/Witzigmann S. 98, 124; Hinweise, von denen hier die Rede ist, gehen über bestehende Meldeverpflichtungen regelmäßig hinaus, weshalb es auch einer entsprechenden Motivation für Hinweisgeber bedarf.

[7]

BGH v. 17.7.2009 – Az. 5 StR 394/08.

[8]

§§ 52 ff. StPO.

[9]

§§ 164, 185 ff. StGB.

[10]

Transparency International Deutschland e.V. spricht von „Beschäftigten, die aus uneigennützigen Motiven …“, während die Gesetzentwürfe der Fraktionen von SPD und Bündnis 90/Die Grünen teils von „Beschäftigten, Arbeitnehmern oder Beamtinnen/Beamten“ sprechen, „die auf einen Missstand aufmerksam machen …“.

[11]

Ausnahmen sind vor allem dann gegeben, wenn ein anderes Vorgehen unzumutbar war und die Reaktion als verhältnismäßig angesehen werden muss.

[12]

So auch Schemmel/Ruhmannseder/Witzigmann S. 113 ff.

[13]

Zimmer/Seebacher CCZ 2013, 31; Buchert CCZ 2008, 148; Berndt/Hoppler BB 2005, 2628.

1. Teil Ermittlungen im Unternehmen › 9. Kapitel Hinweisgebersysteme des Unternehmens › III. Hinweisgebersysteme unterschiedlicher Art

III. Hinweisgebersysteme unterschiedlicher Art

15

In der Unternehmenspraxis haben sich verschiedene Hinweisgebersysteme entwickelt, die man in interne und externe Modelle unterteilen kann. Der näheren Darstellung ist vorauszuschicken, dass solche Systeme die in einem Unternehmen bestehenden Meldewege und Ansprechpartner nicht ersetzen oder entlasten sollen, sondern ein zusätzliches Angebot für Hinweisgeber darstellen. Jeder kann sich also selbstverständlich weiterhin auch an seine Vorgesetzten, an den Compliance-Verantwortlichen, die Revision, an den Betriebsrat oder an Mobbing– oder Gleichstellungsbeauftragte wenden. Je besser das Betriebsklima und je größer das Vertrauen ist, umso eher werden diese Möglichkeiten auch genutzt.

16

In vielen Fällen haben die Hinweisgeber aber gute Gründe – und seien sie auch nur subjektiver Art – diese internen Wege nicht zu beschreiten. Hauptgrund ist, dass sie aus Furcht vor Nachteilen und Repressalien zunächst ihre Identität nicht preisgeben möchten. Hinzu kommt oft der Verdacht, dass Vorgesetzte in die Unregelmäßigkeiten verstrickt sind oder sie dulden oder die Befürchtung, dass die Unternehmensleitung dem Hinweis nicht nachgehen wird.

1. Interne Hinweisgebersysteme

17

Zu den internen Systemen gehören insbesondere interne Hotlines, über die man telefonisch Hinweise geben kann. Sie laufen üblicherweise in der Rechts- oder Compliance-Abteilung auf. Dies wird oftmals ergänzt durch entsprechende E-Mail-Kanäle, über die Hinweisgeber mit den vorgenannten Bereichen kommunizieren können. Vielfach wird dazu ein internes Meldeformular im Intranet angeboten. Unternehmen, die solche Meldewege ernsthaft und seriös anbieten wollen, sollten dabei sicherstellen, dass die Rufnummer des Anrufers im Display nicht erscheint und eine Rückverfolgung weitgehend ausgeschlossen ist. Dies wird sich technisch oft nicht realisieren lassen oder mit hohem Aufwand verbunden sein. Soweit die Compliance-Abteilung aber – ggf. über die Konzernsicherheit – die Datensicherheit gewährleisten kann, ist dies doch hinsichtlich firmeninterner Zugriffe weitgehend zu garantieren. Die dem Hinweisgeber so zugesicherte Vertraulichkeit muss selbstverständlich auf einer entsprechenden Policy des Unternehmens fußen, die Versuche einer Rückverfolgung eines so eingegangenen Hinweises strikt untersagt. Berechtigte Zweifel daran werden ein solches System sonst ad absurdum führen und ein rein alibistisches Instrument werden lassen.

18

Auch wenn interne Hinweisgebersysteme nicht nur ihre Berechtigung haben, sondern zwischenzeitlich zum Standard der Compliance-Instrumente zählen, stehen ihnen viele potentielle Hinweisgeber skeptisch und zurückhaltend gegenüber. Neben dem objektiven Restrisiko einer Enttarnung ist es vor allem das subjektiv geprägte Unbehagen, dass es möglicherweise doch zu einer Rückverfolgung mit nachteiligen Folgen kommen könnte. Dies ist auch nicht unbegründet, weil auch bei festem unternehmerischen Willen einer Vertraulichkeit diese nicht garantiert werden kann, wenn staatsanwaltschaftliche Ermittlungen erfolgen. Die Empfänger solcher Hinweise können sich dann weder auf ein Zeugnisverweigerungsrecht berufen, noch sind sie vor Beschlagnahme von Unterlagen gefeit. Dies gilt – auch für Syndikusanwälte und Justitiare, die nicht janusköpfig sowohl weisungsgebundene Angestellte und zugleich freie Anwälte sein und nach Belieben in verschiedene Rollen schlüpfen können.[1] Der Gesetzgeber hat diese herrschende Auffassung jüngst durch das Gesetz zur Neuregelung der Syndikusanwälte vom 21.12.2015 bestätigt und bewusst auf eine Anwendung von strafrechtlichen Zeugnisverweigerungsrechten und Beschlagnahmeprivilegien verzichtet.[2]

19

Daher erscheint es wichtig, dass Unternehmen auch externe Hinweisgebersysteme anbieten, auch wenn es dazu nach deutschem Recht keine Verpflichtung gibt. Sie stellen ein „Frühwarnsystem“ dar, sind Kontrollmechanismus innerhalb der Compliance-Struktur, minimieren rechtliche Risiken und liefern bei richtiger Ausgestaltung auch einen Beitrag zur Unternehmenskultur und zur Außendarstellung.[3]

2. Externe Hinweisgebersysteme

20

Als extern werden hier solche Systeme und Möglichkeiten bezeichnet, die von Externen betrieben oder angeboten werden. Ihnen allen ist gemeinsam, dass sie Dienstleister für ein Unternehmen sind und die mit ihrer Hilfe gewonnen Hinweise an den Auftraggeber zurückfließen. Im Wesentlichen geht es dabei um Call-Center, andere Dienstleister, internetbasierte Kommunikationsplattformen und Ombudspersonen.

a) Call-Center und andere Dienstleister

21

Der Gedanke des Outsourcing dürfte primär dazu geführt haben, dass verschiedene Unternehmen Call-Center beauftragt haben, Hinweise auf Korruption oder andere wirtschaftskriminelle Handlungen entgegenzunehmen und in mehr oder weniger verarbeiteter Form ihnen zuzuleiten. Dies mag eine Entlastung für das Unternehmen darstellen, wird aber weder dem Anliegen einer qualifizierten Informationsgewinnung noch dem Hinweisgeberschutz gerecht. Mitarbeiter in Call-Centern oder Firmen, die vergleichbare Serviceleistungen erbringen, haben regelmäßig nicht annähernd die notwendige Qualifikation, um solche Hinweise entgegenzunehmen. Denn dies setzt einen qualifizierten Dialog mit dem Hinweisgeber voraus. Dazu gehören großes Einfühlungsvermögen, psychologische Grundkenntnisse und juristisches Wissen im Querschnitt verschiedener Rechtsgebiete. Zum Verständnis muss auch ein Wissen um die Arbeit, die Prozesse und die Strukturen in dem betroffenen Unternehmens gegeben sein. Mit der reinen Entgegennahme von Informationen ist es – von wenigen Ausnahmen abgesehen – nicht getan.

22

Auch dem Schutz des Hinweisgebers wird nicht Rechnung getragen, weil keine Vertraulichkeit gewährleistet werden kann. Zum einen weist das Personal in Call-Centern eine überdurchschnittlich hohe Fluktuationsquote auf, so dass relativ viele Personen in diesem vertraulichen Bereich tätig sind. Sensible Informationen werden dadurch unnötig breit gestreut. Zum anderen können Mitarbeiter von Call-Centern von Ermittlungsbehörden jederzeit als Zeugen vernommen, die Betriebsräume unter den Voraussetzungen der Strafprozessordnung durchsucht und Beweismittel beschlagnahmt werden. Call-Center sind daher eine denkbar schlechte Lösung zur Realisierung eines Hinweisgebersystems.[4]

23

Soweit Anwaltskanzleien solche Dienste anbieten, ohne dass einzelne Anwälte als Ombudspersonen fungieren, sollten die qualitativen fachlichen Mängel grds. nicht bestehen. Einige Unternehmen haben sich intern für ein „Tell us“-System entschieden. Dabei werden Meldungen von einem externen Anbieter entgegengenommen, der sich auf den sicheren und vertraulichen Umgang mit solchen Meldungen spezialisiert hat. Das Unternehmen erhält die Meldungen dann in meist standardisierter Form.[5]

24

Angebote mit reiner Briefkastenfunktion werden der Sache allerdings nicht gerecht, wie am Beispiel der Ombudsmann-Dienstleistungen noch zu zeigen sein wird.[6] Auch gelten generell die erwähnten Vorbehalte, soweit die Anbieter solcher Dienstleistungen keine Privilegien wie Anwälte oder Wirtschaftsprüfer genießen.

b) Internetbasierte E-Mail-Systeme

25

Einen Gegenpol zur unternehmensinternen Möglichkeit, Hinweise per E-Mail zu übermitteln, bieten Internetplattformen von Fremdanbietern, die aufgrund modernster Verschlüsselungstechnologie Rückverfolgungen ausschließen und über seriöse Datenbanken zertifizierter Rechenzentren sowie gesicherte Übertragungswege ein hohes Maß an Datensicherheit gewährleisten. Eine Besonderheit ist dabei, dass der Hinweisgeber bei Abgabe seiner E-Mail ein Postfach einrichtet und über dieses mit dem Empfänger kommunizieren kann, ohne seine Identität preiszugeben. Das System hat mit 24*7 eine hohe zeitliche Verfügbarkeit. Es kann außerdem in fast allen Sprachen programmiert werden und ist insoweit jeder menschlichen Kommunikation überlegen. Bei dem Marktführer lässt die Programmierbarkeit unterschiedlichste Auswertungen und bspw. ein Reporting sowie andere praktische Service-Anwendungen zu, die auch individuell gestaltet werden können.

26

Datenschützer sehen solche Systeme zum Teil kritisch, weil sie ihre Einrichtung als Aufforderung zur Abgabe anonymer Hinweise werten. Während der amerikanische Sarbanes Oxley–Act Sec 301 und der UK Bribery Act[7] die Schaffung von Möglichkeiten zu einer anonymen Hinweisabgabe gerade fordern, sehen europäische Datenschützer die Eröffnung solcher Meldewege eher als Anreiz für böswilliges Denunziantentum. Die Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Artikel-29-Datenschutzgruppe) hat bereits 2006 Leitlinien zur Umsetzung interner Verfahren zur Meldung von Missständen festgelegt.[8] Grds. werden Meldungen zu schweren Delikten für zulässig gehalten. Generell ist die Gruppe aber der Auffassung, dass ausschließlich mit Namen versehene Meldungen durch ein Hinweisgebersystem übermittelt werden sollten. Nur so könnten personenbezogene Daten nach „Treu und Glauben“ erhoben werden. Meldeverfahren sollten daher so aufgebaut sein, dass sie anonyme Meldungen als übliche Beschwerdeform nicht unterstützen. Insbesondere sollte bei dem Einsatz internetbasierter Hinweisgebersysteme nicht zu anonymen Meldungen aufgefordert werden. Soweit es dennoch anonyme Meldungen gibt, müssen sie die Ausnahme von der Regel bleiben und mit besonderer Vorsicht und Sensibilität bearbeitet werden.

27

Entscheidend ist der hier konkretisierte und das europäische wie deutsche Datenschutzrecht beherrschende Grundsatz der Verhältnismäßigkeit. In der Praxis wird es immer wieder anonyme Hinweise geben. Sie völlig zu negieren wäre ein fachlicher Fehler, denn die Erfahrung zeigt, dass solche Hinweise sehr oft zutreffend sind. Wegen des erhöhten Risikos einer Denunzierung und der nicht möglichen Beurteilung der Glaubwürdigkeit des Hinweisgebers muss anonymen Hinweisen mit besonderer Behutsamkeit nachgegangen werden. Das gilt für das kriminalistische Vorgehen und insbesondere die Vertraulichkeit, um eine Rufschädigung des „Beschuldigten“ zu vermeiden. Oft wird es hilfreich sein, erfahrene Psychologen zur Bewertung solcher Hinweise hinzuzuziehen. In Einzelfällen kann die Datenrechtskonformität durch die sehr restriktiven Vorgaben des Bundesdatenschutzgesetzes, insbesondere die Regelungen des § 32 Abs. 1 S. 2 BDSG, in Frage gestellt sein.

28

Internetbasierte Systeme sind in jedem Fall niederschwelliger Natur und bringen – seemännisch formuliert – einiges an „Beifang“ mit. Dies bedeutet in der Praxis ggf. auch eine Belastung des Systems, weil auch diese Informationen gesichtet, bewertet und über ihre weitere Verwendung eine Entscheidung getroffen werden muss. Diese weltweit im Einsatz befindlichen Systeme werden jedoch absehbar an Bedeutung gewinnen, weil die „Facebook-Generation“ diese Kommunikationsform bevorzugt und sich nicht ohne weiteres andere Kommunikationsformen aufzwingen lässt.

29

Die genaue Sichtung und Bewertung eingehender Hinweise wird für Unternehmen zukünftig noch stärker an Bedeutung gewinnen. Dies bedingt die Einrichtung einer hierauf ausgelegten Organisationseinheit im Unternehmen oder die Übertragung dieser Aufgabe an hierauf spezialisierte Kanzleien.

c) Ombudspersonen

30

Von den Systemen für Hinweisgeber hat sich die inzwischen sehr verbreitete Institution des Ombudsmanns[9] durchgesetzt. Der Begriff ist wenig glücklich gewählt, weil die hier zu besprechende Ombuds-Funktion nichts mit einem Schlichter oder Mediator zu tun hat, was aber angesichts von vorhandenen institutionellen Ombudspersonen mit solchen Aufgaben[10] nicht selten missverstanden wird. Treffender wäre der Begriff Vertrauensanwalt, der sich aber nicht etabliert hat.

aa) Die Entwicklung des Ombudsmann-Systems

31

Als erstes großes Unternehmen hat im Jahre 2000 die Deutsche Bahn AG zwei Ombudsmänner berufen und in diesem Zusammenhang ein Compliance-System geschaffen. Auch wenn es heute rückblickend insgesamt eher rudimentär erscheint, war dies eine Pionierleistung, die für die interne Bekämpfung von Korruption und anderen Wirtschaftsdelikten Maßstäbe gesetzt hat. Infolge einer „Zero-Tolerance-Politik“ konnte die Bahn bald über eine Vielzahl eingeleiteter Strafverfahren berichten. Schon nach kurzer Zeit war es ihr auch gelungen, aufgrund der Hinweise an die Ombudsmänner hohe Schadenersatzforderungen zu realisieren. Sie nutzte Hinweise auch, um bei einem dringenden Tatverdacht Zulieferer von weiteren Auftragsvergaben zu sperren, was sich als durchaus scharfes Schwert erwies.

32

Volkswagen folgte dem Beispiel der Deutschen Bahn AG wenige Jahre später. Die Pionierleistung dieses Konzerns besteht darin, erstmals ein Ombudsmann-System auch international ausgerollt und erfolgreich weltweit implementiert zu haben.[11] Der Siemens-Skandal 2007 beschleunigte dann die weitere Entwicklung. Eine Vielzahl von Unternehmen mandatierte in den Folgejahren Ombudsmänner. Zwischenzeitlich haben auch Behörden Ombudsleute berufen. Gleichzeitig erweiterte sich das ursprünglich sehr auf Korruption und ihre Begleitdelikte fixierte Spektrum dahingehend, dass sich der Fokus auf alle wirtschaftskriminellen Handlungen und auch Straftaten allgemeiner Art erweiterte.

33

Da Hinweisgebersysteme nur ein Baustein in Compliance-Strukturen sind, ging damit auch die Weiterentwicklung von Compliance-Maßnahmen einher. Nicht selten wurden zuerst Ombudsmänner berufen und weitere Compliance-Maßnahmen erst später ergriffen.

bb) Aufgaben einer Ombudsperson

34

Der Ombudsmann sollte so mandatiert sein, dass er Ansprechpartner ist für

35

Die Aufgaben eines Ombudsmanns zur Bekämpfung von wirtschaftskriminellen Handlungen lassen sich auch vor dem Hintergrund der bereits skizzierten Bedürfnisse von Hinweisgebern gut aufzeigen und differenziert verdeutlichen.

36

Hinweisgeber sind typischerweise Mitarbeiter eines Unternehmens oder Personen, die Geschäftsbeziehungen zu diesem haben. Sie haben nicht selten eine irgendwie geartete Nähe zu den Personen, die im Verdacht stehen, das Unternehmen durch kriminelle oder sonstige manipulative Handlungen zu schädigen. Aus dieser Nähe resultieren regelmäßig auch ihr Wissen und ihre Verdachtsschöpfung. Hinweisgeber müssen daher mit Repressalien rechnen, wenn sie dieses Wissen preisgeben und ihre Urheberschaft bekannt wird. Geschäftspartnern droht die Beendigung der Geschäftsbeziehung. Diese ggf. existenzgefährdenden Konsequenzen führen zu einem hohen Schutzbedürfnis von solchen Personen, wenn sie ihr Wissen preisgeben sollen. Diese Offenlegung ist indes, wie bereits dargelegt, kriminalpolitisch erwünscht. Dem objektiv wünschenswerten Anreiz entspricht regelmäßig die psychologische Situation von Hinweisgebern. Personen mit dem Wissen um Straftaten oder schwerwiegende Unregelmäßigkeiten bzw. einer entsprechenden Verdachtslage sind in den meisten Fällen dadurch belastet und möchten sich durch Weitergabe von dieser Belastung befreien. Hinweisgeber weisen zum Teil sogar traumatische Symptome auf.

37

Die Erfahrung zeigt, dass die große Mehrzahl der Hinweisgeber aus altruistischen Gründen handelt. Eher selten spielen persönliche Motivationen wie Rache und Vergeltung eine Rolle. Die hinweisgebende verlassene Ehefrau oder Geliebte ist daher eine Ausnahme. Andererseits gibt es eine erhöhte Bereitschaft, Hinweise auf Unregelmäßigkeiten von Vorgesetzten zu geben, die ihre Mitarbeiter schikanieren oder mangels sozialer Kompetenz schlecht führen.

38

Die erwähnte arbeitsrechtliche Rechtsprechung, die Hinweisgebern eine Verpflichtung auferlegt, zunächst um eine interne Abhilfe bemüht zu sein, erhöht deren Schutzbedürfnis. Hinzu kommen subjektive Unsicherheiten in der Bewertung des gewonnenen Verdachts. Schließlich drohen möglicherweise auch Strafen wegen Beleidigung oder übler Nachrede, wenn sich der Verdacht als unbegründet herausstellt oder sich nicht beweisen lässt. Allerdings wird eine Rechtfertigung regelmäßig nach § 193 StGB gegeben sein,[13]was Hinweisgeber naturgemäß zunächst nicht überblicken.

39

Neben dem so begründeten Schutzbedürfnis besteht regelmäßig auch Beratungsbedarf. Werden die verdachtsbegründeten Umstände richtig eingeschätzt? Was wird durch den Hinweis ausgelöst? Was passiert mit dem „Beschuldigten“ ? Habe ich mich durch bisheriges Schweigen selbst strafbar gemacht? Entstehen mir Kosten? Habe ich mit Konsequenzen zu rechnen, wenn ich mich irre? Das sind einige der typischen Fragen, die Hinweisgeber bewegen. Ombudsmänner haben daher im Zusammenhang mit der Entgegennahme vertraulicher Hinweise auch die Aufgabe, potentielle Hinweisgeber zu beraten. Der Beratungs- und Betreuungsbedarf ist ein zentraler Punkt und von großer Bedeutung für Hinweisgeber.[14] Hier liegt auch die Stärke des Ombudsmann-Systems und zugleich die Schwäche internetbasierter Systeme oder Applikationen. Allerdings sollte gegenüber dem Hinweisgeber keine Rechtsberatung erfolgen, weil dies für den seinem Auftraggeber verpflichteten Ombudsmann zu einem Interessenkonflikt führen kann.

40

Vertraulichkeit beginnt bereits mit der Kontaktaufnahme zum Ombudsmann und umfasst den Schutz der Identität des Hinweisgebers, der sich hundertprozentig darauf verlassen muss, dass sein Name nicht bekannt wird. Systeme, die darauf abzielen, dass Hinweise von den Ombudsleuten stets an das Unternehmen weitergeleitet werden, stellen keine Verbesserung gegenüber internen Hinweisgebersystemen dar. Ein Umstand, der sich auch bei einer Beurteilung des Hinweisgebersystems als Teil des Compliance-Management-Systems – bspw. im Rahmen einer due diligence – niederschlagen dürfte.

41

Die Instrumente für den Schutz des Hinweisgebers sind die standesrechtliche[15] und zugleich strafbewehrte[16] anwaltliche Verschwiegenheitspflicht, das anwaltliche Zeugnisverweigerungsrecht[17] und das inzwischen grds. geltende Verbot einer Beschlagnahme anwaltlicher Unterlagen.[18] Außerdem empfiehlt es sich, in dem Vertrag zur Ombudsmann-Bestellung festzulegen, dass das Unternehmen abschließend und unwiderruflich auf eine Herausgabe von Hinweisgeberdaten verzichtet. Dies hat nicht nur deklaratorischen Charakter, sondern stärkt das Vertrauen des Hinweisgebers zum Ombudsmann und seiner Mandatierung durch das Unternehmen.

42

Zu den Aufgaben des Ombudsmanns gehört naturgemäß nicht nur die Entgegennahme von Hinweisen, sondern auch ihre Dokumentation und die Weiterleitung an das Unternehmen, das ihn mandatiert hat. Dies setzt voraus, dass der Hinweisgeber den Ombudsmann von der anwaltlichen Verschwiegenheitspflichtbefreit. Diese Befreiung ist nach der hier empfohlenen Ausgestaltung erforderlich, weil zwar das Mandatsverhältnis nur zu dem beauftragenden Unternehmen besteht, der Hinweisgeber aber als „Dritter“ in den Schutzbereich des Vertrags einbezogen ist. Außerdem wird die anwaltliche Verschwiegenheitspflicht allein dadurch ausgelöst, dass sich der Hinweisgeber dem als Ombudsmann fungierenden Anwalt anvertraut.[19] Die Befreiung kann umfänglich geschehen. In der Mehrzahl der Fälle geben die Hinweisgeber jedoch nur den Sachverhalt frei und wünschen einen Schutz ihrer Identität. Dabei ist darauf zu achten, dass der Sachverhalt nicht so geartet ist, dass er bereits Rückschlüsse auf den Hinweisgeber zulässt. Im Interesse des Hinweisgeberschutzes, der oberste Priorität haben muss, sind bei der Weitergabe ggf. Details wegzulassen, durch die der Hinweisgeber enttarnt werden könnte. In wenigen Ausnahmefällen kann es sogar sein, dass die Erörterung mit dem Hinweisgeber zum Ergebnis hat, dass ein Bericht an das Unternehmen nicht erfolgen kann, wenn die Vertraulichkeit der Identität des Hinweisgebers gewahrt bleiben soll. Diese wenigen Fälle stellen jedoch eine „quantité négligeable“ dar, sind dem Funktionieren des Systems geschuldet und müssen von den Unternehmen akzeptiert werden.

43

Zur Entbindung von der Verschwiegenheitspflicht sind regelmäßig sowohl das Unternehmen als auch der Hinweisgeber befugt. Dabei kommt es im Zweifel darauf an, welche Geheimnissphäre betroffen ist.

44

Die vereinzelt erhobene Forderung, eine Ausnahme von der Verschwiegenheitspflicht gegenüber dem Hinweisgeber für den Fall des Vorliegens einer üblen Nachrede oder Verleumdung (§§ 186, 187 StGB) zu vereinbaren,[20] wird nicht geteilt. Die Erfahrung zeigt, dass – anonyme Hinweise ausgenommen – das Ombudsmann-System nicht missbraucht wird. Daher besteht kein dahingehender Handlungsbedarf. Außerdem würde eine solche Entscheidung zu einer Verunsicherung der Hinweisgeber führen.

45

Die Bearbeitung eingehender Hinweise durch den Ombudsmann und ihre Weitergabe an das Unternehmen sollte datenschutzrechtlich möglichst so ausgestaltet sein, dass es sich um eine Auftragsdatenverarbeitung handelt. Dann bedarf der Austausch personenbezogener Daten zwischen Ombudsmann und dem Unternehmen keiner gesonderten Rechtfertigung.[21]

46

Nach dem Selbstverständnis der Verfasser schließt das Ombudsmann-Mandat ein, auch den Auftraggeber umfassend zu beraten. Beratungsbedarf besteht insbesondere bei kleinen und mittelständischen Unternehmen, die selten mit Compliance-Fällen konfrontiert sind und regelmäßig keine Strukturen für interne Ermittlungen haben. Dies gilt umso mehr, als es oftmals ein kompliziertes Zusammenspiel zwischen dem Aufklärungsbedürfnis, arbeitsrechtlichen Erfordernissen, Regressgesichtspunkten und strafrechtlichen Überlegungen zu beachten gilt. Aber auch bei großen Unternehmen mit spezialisierten Einheiten kann die Expertise des Ombudsmanns im Umgang mit Hinweisen hilfreich sein. Ein Ombudsmann sollte aber keinesfalls selbst Ermittlungen in den von ihm in dieser Funktion vertretenen Unternehmen führen, weil dies rasch zu Interessenkonflikten führen und seine Akzeptanz gefährden kann. Auch eine weitergehende Einbindung des Ombudsmanns als Unternehmensanwalt steht unseres Erachtens einer Ombudsmann-Funktion eher entgegen, weil sie zu Interessenkonflikten führen kann.[22]

47

Zukunftsweisend dürfte es sein, internetbasierte Hinweisgebersysteme mit dem Ombudsmann-System dergestalt zu verknüpfen, dass Ombudsleute ergänzend zur unmittelbaren und direkten Ansprache auch über sichere E-Mail-Verbindungen kontaktiert werden können und allgemein als Empfänger entsprechender Hinweise fungieren. Damit kann man zum einen den Kommunikationsgepflogenheiten der „Facebook-Generation“ Referenz erweisen und zum anderen das in den meisten Fällen unökonomische Nebeneinander der Systeme vermeiden. Zugleich ist dadurch sichergestellt, dass sämtliche Hinweise an das Unternehmen zügig und kompetent bearbeitet werden.