Für die Durchführung interner Ermittlungen existieren keine allgemeingültigen Vorschriften, vielmehr richtet sich das konkrete Vorgehen nach dem Einzelfall und sollte bestenfalls als integraler Bestandteil eines umfassenden Notfallplans betrachtet werden. Die Herangehensweise ist darauf zurückzuführen, dass die Aufklärung von Gesetzesverstößen in der Praxis oftmals einen zeitkritischen Prozess darstellt. Je größer der Zeitraum zwischen der Entdeckung des Fehlverhaltens und der vollständigen Aufklärung des Sachverhalts ist, desto größer ist die Gefahr, dass die daraus resultierenden Konsequenzen ein erhebliches Ausmaß annehmen.
Daher ist es von essenzieller Bedeutung, sich bereits im Vorfeld eines möglichen Verstoßes intensiv mit der Frage auseinanderzusetzen, wie im Ernstfall mit einem Compliance-Verstoß verfahren werden soll. Eine vorausschauende Planung und strukturierte Vorgehensweise sind unerlässlich, um im Fall eines Compliance-Verstoßes schnell und effizient handeln zu können und dadurch potenzielle Schäden für das Unternehmen zu minimieren.
3.1 Ablaufplan für den Ernstfall erstellen
Bevor eine interne Untersuchung durchgeführt werden sollte, sollten Betroffene daher zunächst einen konkreten Ablaufplan erstellen:
- Wer wird zuerst informiert?
- Wer ist konkreter Ansprechpartner?
- An wen muss eine Meldung erfolgen?
Solche Fragen sollten im Vorfeld geklärt werden, damit in einem Ernstfall schnell gehandelt werden kann.
3.2 Beweise sichern, Verdächtigen Benutzerrechte und Zugänge entziehen
In einem nächsten Schritt müssen Verantwortliche erste Beweissicherungsmaßnahmen vornehmen. Das bedeutet, dass jegliches relevantes Beweismaterial gesondert gespeichert oder so gesichert werden sollte, dass eine nachträgliche Veränderung oder Vernichtung nicht mehr möglich ist. Im Zuge dessen sollte, falls es bereits konkrete Verdachtspersonen gibt, diesen jegliche Benutzerrechte entzogen werden. Dadurch wird die Gefahr verhindert, dass Daten nachträglich manipuliert oder verbreitet werden können.
3.3 Eigentliche interne Untersuchung durchführen
Im Anschluss wird die eigentliche interne Untersuchung durchgeführt. Diese kann von internen Mitarbeitern oder von externen Hilfskräften durchgeführt werden. Ziel der Untersuchung ist es, dass der Sachverhalt schnellstmöglich aufgeklärt wird. In diesem Prozess werden Unternehmensprozesse untersucht, Daten ausgewertet und Interviews mit Mitarbeitern geführt, um dadurch den konkreten Verstoß aufzuklären. Bei gravierenden Verstößen wird es spätestens an dieser Stelle unausweichlich, entsprechende Ermittlungsbehörden zu kontaktieren und in den Prozess einzubeziehen. Wichtig hierbei ist, dass eine schriftliche und detaillierte Dokumentation über alle Schritte und Ergebnisse erfolgt.