Dr. Dirk Scherp, Dr. Maximilian von Rom, Dr. Eike Bicker und Dr. Katrin HaußmannAnwälte bei Gleiss LutzKreditinstitute, Finanzdienstleistungsinstitute und Kapitalverwaltungsgesellschaften müssen im Rahmen ihrer ordnungsgemäßen Geschäftsorganisation über ein internes Kontrollsystem, eine Risiko-Controlling-Funktion und eine Compliance-Funktion verfügen, die die Einhaltung der regulatorischen Bestimmungen überwachen und den Institutsbetrieb im Rahmen der betriebswirtschaftlichen Notwendigkeiten gewährleisten müssen. Zum Risikomanagement gehört regelmäßig ein Whistle-blowing-Prozess, der anonyme Meldungen über Gesetzesverstöße und etwaige strafbare Handlungen innerhalb des Instituts ermöglicht.Hinweisen auf strafbare Handlungen ist nachzugehen, wenn der gemeldete Sachverhalt “als zweifelhaft oder ungewöhnlich anzusehen ist” und sich daraus Anhaltspunkte für Geldwäsche, Terrorismusfinanzierung oder eine “sonstige Straftat” ergeben.Diese im KWG vorgegebene Untersuchungspflicht wird durch die Verdachtsmeldepflichten im Wertpapierhandelsgesetz und Geldwäschegesetz faktisch zu einer bußgeldbewehrten Investigationspflicht erweitert. Wer den Sachverhalt nicht hinreichend untersucht, kann seiner Pflicht zur rechtzeitigen und vollständigen Verdachtsmeldung an die zuständigen Aufsichtsbehörden nicht nachkommen.Dabei stoßen die internen Untersuchungspflichten gerade in kleineren Instituten nicht selten an personelle, fachliche und rechtliche Grenzen. Viele Institute verfügen nicht über spezialisierte Arbeitsrechtler, Strafrechtler, Datenschützer oder erfahrene “Ermittler” für Mitarbeiter-Interviews. Zwar ist von erfahrenen Revisoren und Compliance-Officern zu erwarten, dass sie die Prozesse des Instituts verstehen. Auch haben langjährig praktizierende Geldwäschebeauftragte genug Erfahrung, um einen Geldwäscheverdacht zu beurteilen. Jedoch: Wer weiß schon ganz genau, wann der Betriebsrat über eine Investigation zu informieren ist, welche Untersuchungsschritte Mitbestimmungsrechte auslösen, ob im Unternehmen dazu Vereinbarungen mit dem Betriebsrat existieren und wann der vom Mitarbeiterdatenschutz vorausgesetzte strafprozessuale Anfangsverdacht den Zugriff auf Mitarbeiterdaten erlaubt oder wann die Überschreitung eines internen Genehmigungslimits in die strafbare Untreue umschlägt?Nicht leichter wird die Durchführung umfassender Untersuchungen durch die immer größer werdende Bandbreite und Komplexität des (aufsichts)rechtlichen Umfelds. Allein die Marktmissbrauchsverordnung und die -richtlinie veranschaulichen die organisatorische Komplexität der entsprechenden Untersuchungspflicht: So soll die Ermittlung von Insiderhandel und Marktmanipulation nicht bei der “zentralen Stelle” gemäß § 25 h KWG im Institut liegen, sondern mitsamt der zugehörigen Meldepflicht nach § 10 WpHG im Bereich der Wertpapier-Compliance-Funktion. Da aber Marktmanipulation und Insiderhandel zugleich Vortaten der Geldwäsche sein können, und – soweit eigennützig und unter Verstoß gegen weitere interne Regularien ausgeübt – nicht selten von weiteren Straftaten des allgemeinen Strafrechts begleitet werden, sind bei Aufdeckung und Ermittlung eines entsprechenden Vorfalls zwingend die Verantwortlichen der jeweils anderen tangierten Fachbereiche einzubeziehen. Selbst bei einer integrierten Compliance-Funktion ist der Koordinationsaufwand bei der Bearbeitung themenübergreifender Fallgestaltungen erheblich. Meldepflichten müssen abgestimmt und inhaltsgleich an verschiedene Aufsichtsbehörden erfüllt werden. Stehen arbeitsrechtliche Konsequenzen zur Diskussion, beginnen Fristen ab Kenntnis im Institut zu laufen, unter Umständen nicht erst dann, wenn der zuständige Entscheider Kenntnis erhält. Ob eine belegbare Pflichtverletzung oder der Verdacht einer Pflichtverletzung ohne vorangegangene Abmahnung eine Kündigung begründen könnten, ist einzelfallbezogen zu prüfen – auch ob die zuständige Aufsichtsbehörde eine “personelle Selbstreinigung” fordert und dies die Beendigung von Arbeitsverhältnissen Verantwortlicher rechtfertigen kann. Sollen zivilrechtliche Sicherungsmaßnahmen zur Schadensminderung ergriffen werden, ist nicht nur Eile geboten, sondern häufig die Abstimmung mit der Rechtsabteilung vonnöten. Bei größeren Schadenssummen im Rahmen von Betrugs- oder Korruptionsfällen oder bei zu erwartender Bußgeldverhängung durch Aufsichtsbehörden sind evtl. Rückstellungen zu bilden, die mit dem Wirtschaftsprüfer zu diskutieren wären. Neben zivilrechtlichen Verjährungsfristen können kürzere vertragliche Ausschlussfristen die Geltendmachung von Ersatzansprüchen zeitlich begrenzen.Alles in allem kann sich eine Schadenfall-Investigation, die zunächst nur von den unscheinbaren Begriffen der “Zweifelhaftigkeit” oder “Ungewöhnlichkeit” oder einem Alert im Transaktionsüberwachungssystem ausgelöst wurde, zu einem multifunktionalen Investigations- und Rechtsprojekt auswachsen, dem kleine Einheiten ohne externe Unterstützung nicht mehr gewachsen sind. Aber auch Untersuchungen, die nicht zu einer Meldung an die Aufsichtsbehörden führen oder kein bemerkenswertes Schadensereignis zur Folge haben, sind noch nicht vollständig erledigt. Zum einen bestehen umfangreiche Dokumentationspflichten auch in solchen Fällen. Zum anderen verlangt ein funktionierendes Risikomanagement zumindest, dass sie daraufhin begutachtet werden, ob sonstige Maßnahmen der Risikominimierung oder Risikosteuerung angebracht erscheinen. Aufgabe der Risikoanalyse ist es auch, zu untersuchen, ob die Prozesse des Instituts wirklich in sich stimmig und robust gegen kriminelle Angriffe funktionieren oder ob es nur Glück im Einzelfall war, dass nicht mehr passiert ist.Insoweit müssen auch die “abgelegten” Fälle von Zeit zu Zeit zur Überprüfung der Risikosteuerung herangezogen werden, um zu einem ganzheitlichen Steuerungskonzept zu gelangen.Die Anforderungen an einen ganzheitlichen Compliance-Ansatz in einem zunehmend regulierten Marktumfeld werden immer komplexer und können von Kreditinstituten kaum in Eigenregie gestemmt werden. Schnittstellen zwischen den betroffenen Bereichen zu identifizieren und die Schnittmengen rechtssicher zu füllen, gehört in multifunktionalen Investigationsprojekten zu den Kernkompetenzen externer Berater.