Unternehmenssicherheit: Ermittlungsarbeit
Facility Management: Security » Sicherheit » Ermittlungsarbeit
Unternehmenssicherheit: Ermittlungsarbeit
Interne Ermittlungsarbeit im Bereich Unternehmenssicherheit umfasst vertrauliche, faktengestützte Nachforschungen bei Verdacht auf Fehlverhalten oder Sicherheitsverstöße innerhalb des Unternehmens. Solche Untersuchungen dienen dazu, Unternehmenswerte zu schützen, Richtlinien durchzusetzen und die Integrität der Organisation zu bewahren. Im industriellen Sektor Deutschlands sind interne Untersuchungen nicht nur Best Practice, sondern oft auch rechtlich geboten – sobald ein Unternehmen von möglichen Gesetzesverstößen oder schwerwiegenden Regelverletzungen erfährt, ist die Geschäftsleitung verpflichtet, den Verdacht zu untersuchen. Unterlässt sie eine notwendige Untersuchung, kann dies zu behördlichen Geldbußen für das Unternehmen und sogar zu einer persönlichen Haftung von Führungskräften wegen Verletzung ihrer Aufsichtspflicht führen. Umgekehrt kann die Durchführung einer gründlichen internen Untersuchung dazu beitragen, rechtliche Konsequenzen abzumildern. Eine umfassende Untersuchung zeigt den Behörden, dass das Unternehmen proaktiv gehandelt und Korrekturmaßnahmen ergriffen hat – dies kann Sanktionen reduzieren (z.B. im Vergaberecht oder im Rahmen von Bonusprogrammen der Staatsanwaltschaft) und Reputationsschäden begrenzen.
Ein gut strukturiertes internes Untersuchungsverfahren muss mehrere kritische Faktoren in Einklang bringen: Vertraulichkeit, um die Privatsphäre und Rechte aller Beteiligten zu schützen; Fairness, um sicherzustellen, dass niemand unfair behandelt wird (die Unschuldsvermutung gilt intern bis zur Aufklärung des Sachverhalts); und Risikomanagement, um rechtliche, finanzielle und reputationsbezogene Risiken zu minimieren. Das übergeordnete Ziel ist es, durch faktengestützte Nachforschungen potenzielle Sicherheitsvorfälle oder Verhaltensverstöße aufzuklären und so das interne Kontrollsystem und das Compliance-Programm des Unternehmens zu unterstützen. Effektive Compliance-Management-Systeme umfassen nicht nur Präventionsmaßnahmen, sondern auch Mechanismen zur Aufdeckung und Reaktion – interne Untersuchungen sind ein wesentlicher Bestandteil, um Fehlverhalten aufzudecken und zu ahnden. Indem ermittelt wird, ob ein Fehlverhalten tatsächlich vorliegt, entsprechende Maßnahmen ergriffen werden und interne Kontrollen verbessert werden, um ein erneutes Auftreten zu verhindern, stärken interne Untersuchungen die Integrität des Unternehmens und tragen zur kontinuierlichen Verbesserung bei. Dieser Lernkreislauf – Erkennen, Reagieren, Beheben, Verbessern – trägt wesentlich zur langfristigen Sicherheit und Compliance bei. Eine robuste interne Ermittlungsfunktion ist somit nicht nur Reaktionsinstrument, sondern ein wesentlicher Baustein der proaktiven Unternehmenssicherheit und Compliance-Strategie.
Auslöser für interne Untersuchungen
- Auslöser
- Einleitungsprotokolle
- Rollen
- Informationsgewinnung
- Rechtliche
- Berichterstattung
- Korrekturmaßnahmen
interne Untersuchungen
Sicherheitsrelevante Vorfälle: Hinweise auf Diebstahl von Firmeneigentum, Sabotage an Anlagen oder Prozessen, Betrug (z.B. Unterschlagung, Manipulation von Aufzeichnungen) oder sogar Innenspionage. Solche Ereignisse gefährden physische oder geistige Vermögenswerte und führen oft unmittelbar zu Sicherheitsaudits bzw. Ermittlungen.
Verhaltensbedingtes Fehlverhalten: Meldungen über Fehlverhalten von Mitarbeitern, z.B. Belästigung oder Diskriminierung, Mobbing am Arbeitsplatz, tätliche Auseinandersetzungen oder grobe Verstöße gegen den Verhaltenskodex (etwa Missbrauch von Firmeneigentum, Interessenkonflikte). Solche personalbezogenen Vorfälle erfordern in der Regel eine interne Untersuchung durch HR und Compliance/Integrität.
Digitale/IT-Indikatoren: Warnmeldungen über verdächtige IT-Aktivitäten – z.B. ungewöhnliche Logins außerhalb der Arbeitszeiten oder von abweichenden Orten, Versuche, Sicherheitskontrollen zu umgehen, Hinweise auf Systemmanipulation oder Malware, oder umfangreiche Datenabflüsse, die auf Diebstahl von IP (Geheimnissen) hindeuten könnten. Moderne Sicherheitssysteme und SIEM-Tools schlagen bei Anomalien Alarm, die einer Untersuchung bedürfen.
Whistleblower-Hinweise oder anonyme Meldungen: Vertrauliche Hinweise von Mitarbeitern (oder sogar Dritten), die auf Missstände hinweisen. Nach dem jüngst in Kraft getretenen deutschen Hinweisgeberschutzgesetz sind Unternehmen verpflichtet, interne Meldestellen zu betreiben und Whistleblower-Meldungen auf ihre Stichhaltigkeit zu prüfen. Solche Hinweise (über Hotlines, Webportale, etc.) führen oft zu einer Vorprüfung. Es gilt als Best Practice, einen Hinweisgeberkanal bereitzustellen, der auch externen Personen offensteht und anonyme Meldungen ermöglicht, um potenzielle Probleme aufzudecken.
Zur Veranschaulichung zeigt die folgende Trigger-Matrix Beispielkategorien und -situationen:
| Trigger-Kategorie | Beispielsituation |
|---|---|
| Physische Sicherheit | Fehlender Lagerbestand in einer gesicherten Zone |
| Insider-Risiko | Ein Mitarbeiter nutzt einen privaten USB-Stick, um Dateien vom Firmennetzwerk zu kopieren |
| IT-Sicherheit | Auffälliges automatisches Alarmereignis: E-Mail-Weiterleitung sensibler Daten an eine private E-Mail-Domain |
| Verhaltensauffälligkeit | Mobbing-Vorfall in einem gemeinschaftlich genutzten Arbeitsbereich wird gemeldet |
Jede dieser Situationen würde Alarmzeichen setzen und die Unternehmenssicherheit (oft in Abstimmung mit HR oder IT) dazu veranlassen, eine interne Untersuchung in Betracht zu ziehen. Auslöser können sowohl von automatisierten Systemen (z.B. Zugriffskontrollalarm, IT-Monitoring-Alert) als auch von Menschen (Beschwerden, anonyme Tipps) ausgehen. In allen Fällen sollte das Unternehmen einen klar definierten Prozess haben, um das auslösende Ereignis entgegenzunehmen und zu bewerten, und zwar umgehend und diskret.
Einleitungsprotokolle für Untersuchungen
Meldewege: Organisationen verfügen in der Regel über mehrere vertrauliche Meldestellen. Dazu zählen eine Hotline für Ethik/Sicherheit, ein dediziertes Whistleblower-Webportal, direkte Meldungen an Vorgesetzte oder die Personalabteilung sowie automatisierte Sicherheitsalarme (z.B. Benachrichtigungen aus Videoüberwachungssystemen oder IT-Sicherheitsmonitoren) und Feststellungen aus internen Audits. Wichtig ist, dass die Mitarbeiter wissen, wie sie Bedenken melden können und dass Meldungen auf Wunsch anonym und ohne Angst vor Repressalien erfolgen können. Eingehende Meldungen sollten zentral von der Unternehmenssicherheit oder Compliance erfasst und einer ersten Bewertung unterzogen werden.
Sichtung und Bewertung: Nach Eingang einer Meldung führt das Sicherheits-/Compliance-Team eine Vorprüfung durch, um die Angelegenheit nach Schweregrad, Plausibilität, rechtlicher Relevanz und potenzieller Auswirkungen einzuschätzen. Wichtige Fragen sind: Wie schwer wiegt der behauptete Verstoß (handelt es sich um eine geringfügige Regelverletzung oder um eine Straftat)? Wie glaubwürdig oder substanziell sind die vorliegenden Informationen (gibt es z.B. konkrete Details oder Belege, oder ist es nur ein vager Vorwurf)? Welche Gesetze oder Vorschriften könnten betroffen sein (z.B. Diebstahl, Betrug, Datenschutzverstöße)? Und welche möglichen Auswirkungen hat das auf das Unternehmen (finanzieller Schaden, Sicherheitsrisiko, Rufschädigung)? Zudem wird geprüft, ob der Sachverhalt unter spezifische rechtliche Untersuchungspflichten fällt. (Gerade durch das neue Hinweisgeberschutzgesetz sind Arbeitgeber verpflichtet, Hinweise sorgfältig zu prüfen – sie müssen die Glaubwürdigkeit der Meldung bewerten und entscheiden, ob eine interne Untersuchung erforderlich ist.) Auf Basis dieses Screenings wird der Fall einer Prioritätsstufe zugeordnet.
Priorisierung: Untersuchungen werden entsprechend dem Risiko und der Dringlichkeit priorisiert. Fälle, die eine Gefahr für Leib und Leben oder die Sicherheit von Personen darstellen, haben oberste Priorität (z.B. Bedrohungsszenarien, schwere Mobbing- oder Gewaltvorwürfe). Ebenso werden Sachverhalte mit erheblicher rechtlicher Haftung oder hohem regulatorischem Risiko (etwa Korruption, größere Betrugshandlungen, DSGVO-Verstöße) oder mit hohem finanziellem Schadenpotential schnell eskaliert. Geringere Verstöße gegen interne Regeln (z.B. kleinere Unterschlagungen von Arbeitszeit oder Ressourcen) werden möglicherweise durch eine kleinere interne Prüfung oder ein Gespräch mit dem Mitarbeiter geklärt, ohne formelle Großuntersuchung. Das Ziel ist, die Ermittlungsressourcen gezielt dort einzusetzen, wo das Risiko am größten ist, und hochriskante Themen rasch anzugehen, um Schaden einzugrenzen.
Meldungskanäle und Risikobewertung
| Quelle der Meldung | Vorprüfung durch | Eingestufte Risikoklasse |
|---|---|---|
| Anonyme Hotline-Meldung | Unternehmenssicherheit + HR-Ansprechpartner | Mittel bis Hoch (je nach konkretem Inhalt der Meldung) |
| Sicherheitsalarm (z.B. CCTV/Zutritt) | Security Operations Team (Sicherheitsleitstelle) | Technische Überprüfung (Fehlalarm ausschließen) – bei Bestätigung Hoch |
| HR-Beschwerde (z.B. Verhalten) | HR-Manager und Legal Counsel | Hoch (bei bestätigtem Fehlverhalten oder rechtlichem Aspekt) |
| Audit-Feststellung/Finanzielle Unregelmäßigkeit | Interne Revision + Compliance | Mittel (eskaliert zu Hoch bei Betrugsverdacht) |
Tabelle: Beispielhafte Erstbewertung verschiedener Meldungsarten.
In der Praxis wird z.B. eine anonyme Hotline-Meldung mit schwerwiegendem Vorwurf von Sicherheit und HR gemeinsam geprüft, da sowohl Sicherheits- als auch arbeitsrechtliche Aspekte berührt sein können, und oft vorsichtshalber als hochriskant eingestuft, bis mehr Klarheit besteht. Ein technischer Alarm aus dem Videoüberwachungssystem oder einem IT-Tool wird zunächst vom operativen Sicherheitspersonal verifiziert, um Fehlalarme auszuschließen, und dann – sofern tatsächlich ein Vorfall vorliegt – entsprechend eskaliert. Eine Personalbeschwerde (etwa wegen Belästigung) wird gemeinsam von HR und Rechtsabteilung bewertet, in der Regel als hochprioritär, da sie rechtliche Konsequenzen (Arbeitsrecht, evtl. Schadensersatz) nach sich ziehen kann.
Nach dieser Vorprüfung entscheiden die zuständigen Prüfer, ob eine formelle Untersuchung eingeleitet wird. Dabei wird abgewogen, ob der Sachverhalt vielleicht bereits durch ein einfaches Gespräch oder Management-Maßnahmen geklärt werden kann oder ob eine umfassendere Ermittlung mit Team und Plan erforderlich ist. Falls ja, wird ein offizielles Fall-Dossier eröffnet und die nächste Phase – die Planerstellung und Beweiserhebung – eingeleitet.
Rollen & Zuständigkeiten
Unternehmenssicherheit (Security): Rolle der Ermittlungsleitung. Die Sicherheitsabteilung – oder eine spezialisierte Ermittlungsstelle innerhalb dieser – übernimmt meist die Federführung der faktischen Ermittlungen. Sie koordiniert den Untersuchungsverlauf, stellt Beweise sicher (physisch und digital) und sorgt für das Fallmanagement. Sicherheitsmitarbeiter führen oft Interviews zu sicherheitsrelevanten Vorkommnissen, sichern Tatorte (z.B. versiegeln eines Büros bei Verdacht auf Diebstahl) und dokumentieren alle Schritte. Sie fungieren als zentrale Ansprechpartner der Untersuchung und wahren die Vertraulichkeit des Vorgangs.
Personalabteilung (HR): Rolle in Personalfragen und Arbeitsrecht. HR-Verantwortliche stellen sicher, dass alle ermittlungsbezogenen Maßnahmen unter Beachtung des Arbeitsrechts und der internen Personalrichtlinien erfolgen. Sie betreuen die menschliche Dimension – z.B. können sie einen beschuldigten Mitarbeiter während der Untersuchung beurlauben (Suspendierung mit Lohnfortzahlung), kümmern sich um die Organisation von Mitarbeitergesprächen und beraten hinsichtlich arbeitsrechtlicher Schritte (Abmahnung, Kündigung etc.). Die Beteiligung von HR stellt sicher, dass die Untersuchung die Rechte der Mitarbeiter wahrt (z.B. ordnungsgemäße Anhörung vor einer Maßnahme) und dass Konsequenzen konsequent, aber sozialverträglich umgesetzt werden.
Rechtsabteilung (Legal): Rolle der juristischen Aufsicht. Die Inhouse-Juristen bzw. Compliance-Beauftragten überwachen, dass die Untersuchung rechtlich einwandfrei abläuft. Sie beraten das Team hinsichtlich einschlägiger Vorschriften und Risiken – z.B. Datenschutzauflagen, Mitbestimmungsrechte, arbeitsrechtliche Vorgaben – und achten auf Verfahrensfairness und die Wahrung von eventuell anwendbaren Rechtsprivilegien (Anwaltsgeheimnis). Die Rechtsabteilung prüft den Untersuchungsplan auf Rechtskonformität, genehmigt z.B. die Durchsicht von E-Mails oder sonstige datenschutzrelevante Schritte und achtet darauf, dass etwaige Beweise später vor Gericht verwertbar sind. Insbesondere in Deutschland ist die frühe Einbindung der Rechtsabteilung unerlässlich, um z.B. die DSGVO-Konformität sicherzustellen und die Zusammenarbeit mit Behörden oder die strafrechtliche Relevanz richtig einzuschätzen.
IT-Abteilung / Digitale Forensik: Rolle der technischen Unterstützung. Die IT-Experten des Unternehmens oder dedizierte Forensiker sind für die Sammlung und Analyse elektronischer Beweisdaten zuständig. Sie beschaffen z.B. E-Mail-Archive, Logfiles, Daten aus Serversystemen oder machen forensische Kopien von relevanten Rechnern/Handys. Sie werten technische Auffälligkeiten aus (z.B. wer hat wann auf System X zugegriffen, können gelöschte Dateien wiederhergestellt werden usw.). Diese Spezialisten stellen auch sicher, dass die digitalen Beweise integer und unverändert bleiben (z.B. indem sie Bit-für-Bit-Kopien erstellen und Hash-Werte berechnen). Ohne IT-Fachleute ist eine Untersuchung moderner Vorfälle (Cybersecurity, Datenlecks) kaum möglich.
Zusätzlich zu diesem Kernteam können in besonderen Fällen weitere Parteien hinzugezogen werden:
Externe Rechtsberater: Bei komplexen oder heiklen Fällen (z.B. Verdacht auf erhebliche Wirtschaftskriminalität, Verwicklung von Führungskräften oder internationaler Umfang) beauftragen Unternehmen häufig externe Rechtsanwälte oder Kanzleien, die auf interne Untersuchungen spezialisiert sind. Externe Juristen bringen spezielles Know-how mit, gewährleisten eine gewisse Unabhängigkeit der Untersuchung und helfen, die Glaubwürdigkeit zu erhöhen. Deutsche Behörden sehen es tendenziell positiv, wenn externe Experten mit der Untersuchung betraut sind, da dies den Verdacht interner Befangenheit reduziert. Zudem können externe Anwälte gezielt versuchen, die Vertraulichkeit (Anwaltsprivileg) über bestimmte Ermittlungsergebnisse zu legen – wenngleich das Anwaltsgeheimnis in Deutschland bei internen Ermittlungen keine so weitreichende Rolle spielt wie in manch anderen Ländern. Auch externe IT-Forensik-Dienstleister können hinzugezogen werden, insbesondere wenn die Datenmengen sehr groß sind oder spezielle Analysetools benötigt werden (viele Unternehmen verfügen nicht intern über ausreichend Ressourcen für umfangreiche Datenanalysen).
Private Ermittler (Detektive): In Situationen, die verdeckte Beobachtungen erfordern oder bei Verdacht auf strafbare Handlungen eines Mitarbeiters (z.B. wiederholter Diebstahl, vorgetäuschte Krankheit, Verrat von Geschäftsgeheimnissen), kann ein Unternehmen erwägen, einen externen Privatdetektiv zu beauftragen. Dies ist in Deutschland jedoch streng reguliert. Die Überwachung eines Mitarbeiters durch einen Detektiv ist nur unter engen Voraussetzungen zulässig – es müssen konkrete tatsächliche Anhaltspunkte den Verdacht einer Straftat oder einer schwerwiegenden Pflichtverletzung des Mitarbeiters begründen, und selbst dann unterliegt der Einsatz dem Grundsatz der Verhältnismäßigkeit sowie den Anforderungen des Datenschutzrechts. Praktisch bedeutet das: Ein Detektiv darf nur eingesetzt werden, wenn ein begründeter Verdacht vorliegt und keine milderen Mittel verfügbar sind, um diesen Verdacht zu prüfen. Jegliche dabei erhobenen Beweise müssen sorgfältig gehandhabt werden, damit sie rechtlich verwertbar sind und nicht die Persönlichkeitsrechte des Mitarbeiters verletzen. Angesichts dieser Hürden werden Privatdetektive in internen Untersuchungen sehr zurückhaltend und wirklich nur als letztes Mittel eingesetzt, und dann stets in Absprache mit der Rechtsabteilung.
Betriebsrat: Das deutsche Arbeitsrecht schreibt vor, dass der Betriebsrat der Arbeitnehmer in bestimmten Situationen über interne Untersuchungen informiert oder einbezogen werden muss. Zwar ist die formelle Zustimmung des Betriebsrats zu Ermittlungen in einem konkreten Einzelfall (z.B. Mitarbeiter A wird befragt zu Vorfall B) in der Regel nicht erforderlich, doch wenn die Untersuchung allgemeinere Maßnahmen umfasst (wie eine systematische Durchsicht von Mitarbeiter-E-Mails oder den Einsatz neuer Überwachungssoftware), können Mitbestimmungsrechte ins Spiel kommen. Beispielsweise darf der Arbeitgeber keine technischen Überwachungsmaßnahmen zur Mitarbeiterkontrolle einführen, ohne die Zustimmung des Betriebsrats (§ 87 Abs.1 BetrVG). Geschieht dies dennoch, könnte der Betriebsrat per einstweiliger Verfügung die Maßnahme stoppen. Auch hat der Betriebsrat gem. § 80 BetrVG ein Recht auf Information: er ist über geplante Datenerhebungen, die Mitarbeiter betreffen, rechtzeitig und umfassend zu unterrichten. In der Praxis entscheiden sich viele Unternehmen, den Betriebsrat zumindest über sensible Ermittlungen im Bilde zu halten, um Transparenz zu zeigen und Vertrauen zu schaffen. Mitarbeiter, die befragt werden oder gegen die ermittelt wird, können unter Umständen verlangen, dass ein Betriebsratsmitglied sie zum Gespräch begleitet – rechtlich zwingend ist das zwar nur in wenigen Fällen, aber aus Gründen der Freiwilligkeit und Kooperationsbereitschaft wird es häufig gestattet. Daher sollte die Unternehmenssicherheit den Betriebsrat je nach Erfordernis konsultieren – insbesondere wenn die Untersuchung zu disziplinarischen Konsequenzen führen könnte oder Überwachungsmaßnahmen beinhaltet – um die Mitbestimmungsvorschriften einzuhalten.
Jedes Teammitglied agiert innerhalb festgelegter Grenzen: Sie sammeln Fakten, aber sprechen keine endgültigen Schuldsprüche aus (Disziplinarmaßnahmen entscheidet letztlich HR/Geschäftsführung basierend auf den Ermittlungsergebnissen), und sie wahren selbstverständlich die Vertraulichkeit. Alle Beteiligten, inklusive externer Berater, sollten zur Geheimhaltung verpflichtet sein, um den Kreis der Informierten klein zu halten. Dies schützt sowohl den Ruf der betroffenen Personen als auch die Integrität des Verfahrens. Durch die klare Definition von Rollen und Zuständigkeiten im Voraus stellt das Unternehmen ein koordiniertes Vorgehen sicher, bei dem juristische, technische und personelle Aspekte gleichermaßen berücksichtigt werden.
Methoden der Informationsgewinnung
Auswertung von physischen Zugangsaufzeichnungen: In Unternehmensgebäuden werden Zutritte und Zugriffe oft protokolliert (z.B. elektronische Ausweis-Swipe-Daten an Türen oder Schranken). Ermittler der Unternehmenssicherheit ziehen relevante Zutrittskontroll-Logs heran, um nachzuvollziehen, wer wann bestimmte Bereiche betreten hat. Beispiel: Fehlt Inventar in einem Lager, können die Kartendaten zeigen, welche Mitarbeiter zur fraglichen Zeit Zutritt hatten. Auch andere physische Aufzeichnungen kommen in Betracht, etwa Besucheranmeldungen, Liefer- und Versanddokumente oder Übergabeprotokolle für Materialien. Diese helfen, einen Zeitstrahl zu erstellen und potenzielle Beteiligte (Verdächtige oder Zeugen) zu identifizieren.
Videoüberwachung und CCTV-Aufzeichnungen: Verfügt der Standort über eine Videoüberwachungsanlage, werden die Ermittler versuchen, Aufnahmen des betreffenden Zeitraums zu sichern. So könnte z.B. Videomaterial zeigen, wie eine Person einen Gegenstand entwendet oder sich unbefugt Zutritt verschafft hat. Der Einsatz von CCTV unterliegt in Deutschland strengen Datenschutzvorgaben (Überwachung nur in öffentlich zugänglichen oder besonders ausgewiesenen Bereichen, Speicherdauer, Kennzeichnung). Die Ermittler müssen rasch handeln, da Videodaten oft nach einer festen Frist überschrieben werden. Relevante Sequenzen werden extrahiert und als Beweismittel gesichert (mit Zeitstempel und Prüfsummen zur Gewährleistung der Echtheit). Beim Umgang mit Videoaufzeichnungen ist darauf zu achten, dass nur befugte Personen diese sichten – typischerweise ein Sicherheitsbeauftragter oder Mitarbeiter des Security Operation Centers (SOC). Zudem sind eventuell mit dem Betriebsrat vereinbarte Regelungen zur Kameranutzung zu beachten (z.B. Protokollierung des Abrufs).
Digitale Forensik und IT-Datenauswertung: In vielen Untersuchungen spielen elektronische Daten eine entscheidende Rolle. Spezialisierte IT-Mitarbeiter oder Forensiker übernehmen hierbei:
E-Mail- und Nachrichtenverkehr: Sie prüfen dienstliche E-Mail-Konten der betroffenen Personen auf relevante Korrespondenzen (z.B. Hinweise auf Absprachen zum Fehlverhalten, Versand vertraulicher Daten nach extern, belästigende Nachrichten etc.). Dies beinhaltet in der Regel das Sichern von E-Mail-Metadaten und Inhalten sowie Anhängen. Ggf. werden auch Chat-Verläufe oder Instant-Messaging-Dienste auf Dienstgeräten einbezogen, sofern zulässig.
System- und Netzprotokolle: Es werden Protokolldateien von Servern, Netzwerkgeräten und Anwendungen ausgewertet. Beispielsweise können Dateiserver-Logs zeigen, welcher Benutzer auf eine sensible Datei zugegriffen oder sie kopiert hat. VPN- oder Zugriffslogs dokumentieren Anmeldezeiten und IP-Adressen – etwa um festzustellen, ob jemand außerhalb seiner Arbeitszeit oder von einem ungewöhnlichen Ort ins System gegangen ist. Logs über die Nutzung externer Speichermedien an Firmen-PCs geben Aufschluss, ob und wann ein USB-Stick angeschlossen war. Solche technischen Spuren sind bei Verdacht auf Datendiebstahl oder unbefugte IT-Aktivitäten essenziell.
Abbilder von Geräten und Datenwiederherstellung: In bestimmten Fällen kann es notwendig sein, den Inhalt eines Mitarbeiter-Computers (PC/Laptop) oder Firmenhandys forensisch zu sichern. Dabei erstellen IT-Forensiker ein exaktes bitgenaues Abbild der Festplatte oder des Speichers, um daran Analysen durchzuführen, ohne das Original zu verändern. Auf diesen Abbildern kann man gelöschte Dateien rekonstruieren, den Internetverlauf untersuchen, Metadata zu Dateien auslesen etc. Falls der Verdacht besteht, dass relevante Dateien absichtlich gelöscht wurden, kommen spezielle Wiederherstellungstools zum Einsatz. Allerdings gilt hier: auch diese Datenerhebung unterliegt rechtlichen Grenzen – sofern private Nutzung der Geräte erlaubt war, müssen alle erkannten privaten Dateien/E-Mails bei der Analyse außen vor gelassen werden. Generell darf eine Auswertung elektronischer Geräte und Daten nur erfolgen, wenn dafür eine gesetzliche Erlaubnis vorliegt und das Interesse des Arbeitgebers das Persönlichkeitsrecht des Mitarbeiters überwiegt. In der Praxis heißt das, es muss ein konkreter, dokumentierter Anfangsverdacht (z.B. auf eine Straftat) vorliegen, um eine solche Datensichtung zu rechtfertigen, und diese muss in Umfang und Tiefe verhältnismäßig sein (also etwa zeitlich, personell und thematisch begrenzt). Alle Entscheidungen zur Auswertung personenbezogener Daten werden entsprechend schriftlich festgehalten und ggf. vom betrieblichen Datenschutzbeauftragten begleitet.
Befragungen und Interviews: Die Befragung von Personen ist oft das Kernstück einer internen Untersuchung. Ermittler (typischerweise ein Sicherheitsmitarbeiter oder Compliance Officer, häufig gemeinsam mit einem HR-Vertreter) führen vertrauliche Mitarbeitergespräche durch, nämlich mit dem Melder (Whistleblower) zur Detailklärung, mit etwaigen Zeugen und Beteiligten und schließlich mit dem beschuldigten Mitarbeiter selbst. Diese Interviews werden sorgfältig geplant – die Interviewer erstellen einen Fragenkatalog, der die bekannten Fakten und Unklarheiten abdeckt. Bei den Gesprächen selbst achten sie auf eine sachliche, nicht-vorverurteilende Haltung, um eine offene Kooperation zu fördern. In der Regel sind zwei Personen anwesend (z.B. ein Ermittler und ein HR-Partner), und es wird ein ausführliches Protokoll geführt. Wichtige Aussagen lässt man sich, sofern möglich, vom Interviewten schriftlich bestätigen/unterschreiben, um spätere Meinungsverschiedenheiten zu vermeiden. Den Gesprächspartnern werden zu Beginn ihre Rechte und der Ablauf erläutert: Man betont die Vertraulichkeit des Gesprächs und erklärt, dass das Ziel die Aufklärung sei. Gegebenenfalls wird – abhängig von internen Richtlinien oder Betriebsvereinbarungen – darauf hingewiesen, dass der Mitarbeiter einen Beistand hinzuziehen kann (z.B. ein Betriebsratsmitglied als Vertrauensperson). Es wird klargestellt, dass ehrliche Kooperation erwartet wird und dass die Aussagen intern verwendet werden (aber nicht ohne weiteres extern, außer es gibt eine gesetzliche Pflicht). In Deutschland haben Mitarbeiter grundsätzlich keine strafprozessuale Aussageverweigerungsrechte im arbeitsrechtlichen Kontext gegenüber dem Arbeitgeber, sie müssen also wahrheitsgemäß über arbeitsrelevante Vorgänge Auskunft geben. Dennoch sollen sie nicht unnötig unter Druck gesetzt werden – im Sinne eines fairen Verfahrens wird oft die Möglichkeit eingeräumt, eine Pause einzulegen oder Rücksprache zu halten. Wichtig ist, dass die Befrager keine unzulässigen Methoden einsetzen (keine Drohungen, kein Versprechen illegaler Vorteile); das würde das Ergebnis entwerten und könnte sogar rechtlich problematisch sein. Nach dem Gespräch wird das Protokoll dem Befragten meist vorgelesen oder zur Durchsicht gegeben, damit er Ergänzungen oder Korrekturen anbringen kann, bevor er es unterschreibt. Solche unterschriebenen Aussagen sind sehr wertvoll, da sie später als Nachweis dienen können, was derjenige in der internen Untersuchung gesagt hat.
Während all dieser Informationsgewinnungsmaßnahmen muss eine lückenlose Beweismittelkette (Chain of Custody) gewährleistet sein. Das bedeutet, jedes Beweisstück wird zum Zeitpunkt der Erhebung dokumentiert – wer hat wann was sichergestellt und wo wird es aufbewahrt. Zum Beispiel könnte ein Ermittler beim Herunterladen der Zutrittsdaten eine Notiz ins Fallprotokoll schreiben: “10. Mai, 14:00 Uhr, Zutrittslog Lagerhalle von System exportiert, Datei XY.csv erstellt, gespeichert auf Server \sicherheit\ermittlungen (Zugriff nur für Team)”. Ähnlich wird mit E-Mail-Archiven oder Forensik-Abbildern verfahren: diese werden auf einem sicheren, zugriffsbeschränkten Laufwerk oder Datenträger gespeichert, idealerweise verschlüsselt, und jede Weitergabe (z.B. an einen Gutachter oder später an die Polizei) wird festgehalten. Ziel ist, dass Integrität und Vertraulichkeit der Beweise erhalten bleiben – niemand Unbefugtes darf sie einsehen oder verändern, und es muss im Nachhinein nachvollziehbar sein, dass die Daten unverfälscht sind.
Beweismittelsicherung und Zugriffskontrolle
| Beweisart | Erhebungsmethode | Gesicherte Aufbewahrung & Zugriff |
|---|---|---|
| Zutrittsdaten (Badge-Logs) | Export aus dem Zutrittssystem durch Security | Abgelegt im Sicherheitsarchiv (geschützter Ordner); Zugriff nur für Ermittlerteam |
| E-Mail-Postfach/Metadaten | Auslesen durch IT-Administrator (nach Freigabe Legal) | Speicherung in verschlüsseltem Ordner; Zugriff nur IT-Forensik & Rechtsabteilung |
| CCTV-Videoaufnahmen | Manuelles Herunterladen durch Leitstellen-Mitarbeiter (SOC) | Ablage auf zugriffsbeschränktem Server; Ansicht nur in gesicherter Umgebung |
| Forensisches PC-Abbild | Erstellung durch IT-Forensiker (mittels Write-Blocker) | Aufbewahrung auf verschlüsselter Festplatte; Hashwerte dokumentiert, um Unverändertheit zu belegen |
Tabelle: Beispiele für Beweismittelarten und zugehörige Sicherungsmaßnahmen.
Durch ein solches strukturiertes Vorgehen bleiben die Beweismittel authentisch, vertraulich und – falls nötig – vor Gericht verwertbar. Gleichzeitig zeigt es bei Bedarf gegenüber Aufsichtsbehörden, dass das Unternehmen äußerst sorgfältig und datenschutzkonform mit den personenbezogenen Daten in der Untersuchung umgegangen ist. So werden beispielsweise nur wirklich fallrelevante Daten erhoben und ausgewertet, und der dafür erforderliche Rechtsgrund (berechtigtes Interesse bzw. § 26 BDSG) wird sauber dokumentiert. Jegliche zufällig erhobenen privaten Informationen (etwa private E-Mails, die bei einer größeren Datensichtung auftauchen) werden sofort ausgesondert und nicht weiter betrachtet. All diese Schritte stellen sicher, dass die Untersuchung zugleich effektiv und juristisch einwandfrei abläuft.
Rechtliche und ethische Compliance
Datenschutz (DSGVO und BDSG): Jegliche Verarbeitung personenbezogener Daten im Zuge der Untersuchung muss im Einklang mit der EU-Datenschutz-Grundverordnung (DSGVO) sowie dem Bundesdatenschutzgesetz (BDSG) stehen. Das bedeutet, das Unternehmen benötigt einen Rechtsgrund für die Verarbeitung von Mitarbeiterdaten in der Ermittlung. In der Praxis stützt man sich meist auf das berechtigte Interesse des Unternehmens an der Aufklärung von Fehlverhalten (DSGVO Art. 6(1)f) bzw. auf § 26 Abs. 1 BDSG, der die Datenverarbeitung zur Aufdeckung von Straftaten im Beschäftigungsverhältnis unter bestimmten Bedingungen erlaubt. Zwingend ist eine Interessenabwägung: Das Interesse des Arbeitgebers an der Aufklärung wird gegen das informationelle Selbstbestimmungsrecht des betroffenen Arbeitnehmers abgewogen. Um datenschutzkonform zu handeln, sollte die Untersuchung so dokumentiert sein, dass ersichtlich wird, welche Maßnahmen warum notwendig und verhältnismäßig waren. Jeder Zugriff auf persönliche Daten muss auf das erforderliche Minimum beschränkt sein. Beispielsweise wird, wenn E-Mails durchsucht werden, zeitlich und inhaltlich eingegrenzt (z.B. Suche nur nach bestimmten Stichworten und nur in einem bestimmten Zeitraum, nicht pauschal alle E-Mails lesen). Ist private Nutzung von E-Mail oder IT-Geräten erlaubt, müssen private E-Mails/Daten ausgefiltert und unberührt gelassen werden – häufig geschieht das durch Stichwortsuchen oder durch vorherige Bitte an den Mitarbeiter, private Ordner zu kennzeichnen (je nach betrieblichen Regelungen). Jede Entscheidung, in Mitarbeiterdaten Einsicht zu nehmen, sollte schriftlich begründet und genehmigt werden, im Idealfall von der Rechtsabteilung oder dem Datenschutzbeauftragten, um Transparenz zu schaffen. Unter Umständen ist auch eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment) angeraten, wenn besonders umfangreich Daten erhoben werden. Zudem stellt die DSGVO Informationspflichten: Grundsätzlich müsste der Betroffene laut Art. 13 DSGVO darüber informiert werden, dass seine Daten verarbeitet werden. Allerdings kann diese Information zeitlich aufgeschoben werden, wenn sie den Untersuchungserfolg gefährden würde – deutsche Aufsichtsbehörden gestehen zu, dass man einen Beschäftigten nicht sofort über eine verdeckte Untersuchung informieren muss, solange dies gut begründet und dokumentiert ist (Prinzip “keine Vereitelung der Zwecke”, DSGVO Erwägungsgrund 63). Des Weiteren sind die Speicherbegrenzung und Löschkonzepte zu beachten: Ermittlungsdaten sollten nicht länger aufbewahrt werden als nötig. Wird bspw. der Vorwurf nicht bestätigt, sollten erhobene personenbezogene Daten baldmöglichst gelöscht werden, um die Rechte des Betroffenen zu wahren. Insgesamt gilt: Jede Datenverarbeitung im Zuge der Untersuchung muss rechtmäßig, zweckgebunden und verhältnismäßig sein; Verstöße dagegen können empfindliche Bußgelder nach sich ziehen. Daher arbeiten Ermittler oft eng mit dem betrieblichen Datenschutzbeauftragten zusammen und schulen sich regelmäßig in Datenschutzthemen.
Arbeitsrecht und Fairness gegenüber Mitarbeitern: Das Arbeitsrecht in Deutschland prägt maßgeblich das “Wie” interner Untersuchungen im Umgang mit Mitarbeitern. Ein Grundprinzip ist die würdige und faire Behandlung der Beschäftigten. Praktisch bedeutet dies u.a., dass innerbetrieblich die Unschuldsvermutung gilt, bis ein Fehlverhalten nachgewiesen ist, und dass der betroffene Mitarbeiter Gelegenheit zur Stellungnahme erhalten muss, bevor endgültige Entscheidungen (insbesondere Sanktionen) getroffen werden. Während im Rahmen interner Ermittlungen nicht alle Rechte eines Beschuldigten aus einem staatlichen Strafverfahren gelten (weil es sich nicht um hoheitliches Handeln handelt), achtet man doch auf Elemente eines fairen Verfahrens. So hat ein Mitarbeiter im Arbeitsverhältnis grundsätzlich keinen rechtlichen Anspruch, die Aussage zu verweigern, wenn es um Fragen zu seinem Arbeitsbereich geht – er muss wahrheitsgemäß Auskunft zu Vorgängen geben, die in Zusammenhang mit seinen Pflichten stehen. Dennoch wird in der Praxis oft eine anwaltliche Beratungsmöglichkeit eingeräumt, insbesondere wenn die Gefahr besteht, dass das Ermittlungsergebnis an staatliche Behörden weitergegeben wird (Stichwort Selbstbelastungsfreiheit in einem möglichen Strafverfahren). Falls ein externer Anwalt den Mitarbeiter kontaktiert (oder der Mitarbeiter selbst einen Anwalt einschaltet), wird der Arbeitgeber mit diesem kommunizieren – das ist zulässig, ändert aber nichts daran, dass die interne Untersuchung fortgeführt werden kann. Wichtig ist weiterhin die Verhältnismäßigkeit arbeitsrechtlicher Maßnahmen während der Untersuchung: Sollte z.B. eine Suspendierung (Freistellung) des Beschuldigten erfolgen, um die Untersuchung unbeeinflusst durchzuführen, muss dies mit Lohnfortzahlung geschehen und zeitlich eng begrenzt sein. Auch ein eventuell nötiger IT-Zugriff auf das E-Mail-Konto eines Mitarbeiters, der unter Verdacht steht, muss verhältnismäßig ausgestaltet sein – bspw. nur für die Dauer der Untersuchung und nur soweit notwendig. Die Betriebsratsbeteiligung spielt ebenfalls eine Rolle (dazu gleich mehr). Insgesamt sollen interne Untersuchungen so gestaltet sein, dass die Persönlichkeitsrechte der Mitarbeiter respektiert werden: keine Vorverurteilung, kein öffentliches Anprangern, und nach Möglichkeit auch keine übermäßige Überwachung Unbeteiligter. Die Ermittler werden vom Legal-Team daran erinnert, dass Teile des “fair trial”-Gedankens und der Rechtsstaatlichkeit auch im Unternehmen Beachtung finden sollen – etwa die Information über potentielle arbeitsrechtliche Folgen und die Möglichkeit, sich beraten zu lassen. Letztlich dient dies nicht nur dem Mitarbeiterschutz, sondern auch der Belastbarkeit der Ermittlungsergebnisse: Aussagen, die unter unfairen Bedingungen erlangt wurden, oder Beweise, die durch unverhältnismäßiges Schnüffeln gesammelt wurden, könnten im Kündigungsschutzprozess vor dem Arbeitsgericht problematisch sein. Daher sind transparente Verfahren und die Wahrung der Mitarbeiterrechte auch im Interesse des Arbeitgebers.
Betriebsratsbeteiligung: Wie zuvor erwähnt, hat der Betriebsrat in Bezug auf interne Ermittlungen bestimmte Informations- und Mitbestimmungsrechte. Gemäß § 80 Abs. 2 BetrVG muss der Arbeitgeber den Betriebsrat rechtzeitig und umfassend über Vorgänge unterrichten, die die Interessen der Arbeitnehmer berühren – dazu zählt auch die Absicht, Einsicht in Mitarbeiter-E-Mails zu nehmen oder Mitarbeiterdaten auszuwerten, damit der Betriebsrat die Einhaltung von Schutzvorschriften überwachen kann. Missachtet der Arbeitgeber diese Informationspflicht, kann der Betriebsrat vor dem Arbeitsgericht einen Informationsanspruch geltend machen; allerdings führt eine Verletzung dieser Pflicht nach derzeitiger Rechtsprechung nicht dazu, dass die gewonnenen Erkenntnisse vor Gericht unverwertbar wären – es bleibt hauptsächlich ein formaler Verstoß. Wichtiger noch ist § 87 Abs. 1 BetrVG: Danach hat der Betriebsrat bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, ein Mitbestimmungsrecht. Das heißt konkret: Will der Arbeitgeber Software oder Hardware einsetzen, um Mitarbeiter z.B. während der Untersuchung zu überwachen oder systematisch Daten zu erheben (z.B. spezielle E-Mail-Analyse-Tools, Keylogger, GPS-Tracker etc.), so darf er dies nur mit Zustimmung des Betriebsrats tun. Dieses Recht greift sehr schnell, denn es kommt nicht darauf an, ob die Überwachung dauerhaft oder nur temporär ist – schon eine einmalige Auswertung mittels spezieller Software (die automatisiert Mitarbeiterdaten bewertet) kann als mitbestimmungspflichtig gelten. Keine Mitbestimmung ist hingegen erforderlich, wenn vorhandene Unterlagen rein manuell ausgewertet werden (z.B. jemand liest vorhandene Papierdokumente durch). In unserem Kontext heißt das: Wenn z.B. ein IT-Forensiker ein neues Programm nutzen will, um verdächtige E-Mails zu filtern, oder wenn Video-Interviews mit Mitarbeitern aufgezeichnet werden sollen, müsste dafür entweder eine Zustimmung des Betriebsrats oder eine vorherige Betriebsvereinbarung vorliegen. Andernfalls könnte der Betriebsrat gerichtlich eine einstweilige Verfügung erwirken, um diese Maßnahme zu stoppen. Zu beachten ist auch, dass der Betriebsrat an sich nur für Arbeitnehmer in Deutschland zuständig ist – Mitarbeiter in leitenden Positionen (z.B. Geschäftsführer) unterliegen nicht dem Betriebsrat, und für etwaige Ermittlungen gegen diese gelten die Mitbestimmungsrechte nicht. Nichtsdestotrotz ist bei allen Schritten zu überlegen: Ist der Betriebsrat zu informieren? Brauchen wir seine Zustimmung? Häufig existiert bereits eine Betriebsvereinbarung zum Thema “Compliance-Untersuchungen” oder “IT-Überwachung”, die genau regelt, was erlaubt ist. Diese ist dann strikt einzuhalten. Und auch wenn formell keine Pflicht besteht, zieht man den Betriebsrat oft informell ins Vertrauen, um den Rückhalt für notwendige Maßnahmen zu sichern und ein Klima der Zusammenarbeit zu bewahren.
Vertraulichkeit und Datenschutz: Untersuchungen gehen mit sensiblen Informationen einher – personenbezogenen Daten wie auch geschäftskritischen Details – daher ist strikte Vertraulichkeit zu gewährleisten. Alle Teilnehmer der Untersuchung unterzeichnen in der Regel eine Geheimhaltungsvereinbarung, sofern nicht ohnehin eine arbeitsvertragliche Verschwiegenheitspflicht besteht. Informationen zum Fall werden nur auf Need-to-know-Basis weitergegeben: Jeder erfährt nur das, was er für seine Rolle unbedingt wissen muss. Beispielsweise muss ein IT-Admin, der Daten zieht, nicht alle Hintergründe des Falls kennen. Der Whistleblower wird geschützt, indem dessen Identität – soweit rechtlich möglich – nicht offengelegt wird, außer gegenüber denjenigen, die die Meldung bearbeiten (das Hinweisgeberschutzgesetz schreibt ausdrücklich vor, die Vertraulichkeit der Identität des Meldenden zu wahren). Auch der beschuldigte Mitarbeiter hat ein Interesse daran, dass der Kreis der Informierten klein bleibt, um seinen Ruf nicht unnötig zu beschädigen. Die Untersuchungsdokumente (Notizen, Protokolle, Berichte) werden sicher verwahrt, z.B. auf einem geschützten Share oder in einem Tresor, und mit Zugriff nur für das Kernteam. Wichtig ist zudem, Gerüchten und Spekulationen entgegenzuwirken: Oft wird den Kollegen in der Abteilung des beschuldigten Mitarbeiters lediglich mitgeteilt, dass dieser “aktuell in einem Projekt eingebunden” oder “vorübergehend abwesend” ist, ohne Details zu nennen. Sollte doch etwas durchsickern, bereitet die Kommunikationsabteilung in Absprache mit Legal/HR im Voraus neutrale Aussagen vor. Äußerungen gegenüber Außenstehenden (Presse, Kunden) erfolgen – wenn überhaupt nötig – nur durch definierte Sprecher.
Integrität des Verfahrens: Ethische Compliance bedeutet auch, dass die Untersuchung unparteiisch und gewissenhaft durchgeführt wird. Es darf nicht der Eindruck entstehen, es solle etwas vertuscht oder jemand “geopfert” werden. Deshalb wird darauf geachtet, dass keine Interessenkonflikte vorliegen – z.B. sollte niemand in der Untersuchung mitwirken, der eng mit dem Beschuldigten befreundet ist oder selbst in den Vorfall verwickelt sein könnte. Ist z.B. ein Manager betroffen, kann es sein, dass die Untersuchungsleitung an die übergeordnete Instanz (Aufsichtsrat bei Vorständen, Konzernrevision etc.) übergeht, getreu dem Motto „den Bock nicht zum Gärtner machen“. Alle wichtigen Schritte im Prozess sollten nachvollziehbar dokumentiert und im Zweifel von der Rechtsabteilung freigegeben werden (Vier-Augen-Prinzip). Wenn während der Untersuchung festgestellt wird, dass tatsächlich ein Gesetzesverstoß vorliegt, muss das Unternehmen sorgfältig überlegen, ob es den Behörden Mitteilung macht (siehe Reporting). In jedem Fall soll das Verfahren so geführt werden, dass Ergebnisse belastbar sind: Dazu gehört, Zeugen sorgfältig zu befragen (möglichst ohne Suggestivfragen), Beweise im Original aufzubewahren und auch entlastenden Hinweisen nachzugehen. Die Dokumentation sollte vollständig sein – einschl. solcher Punkte, wenn etwas nicht festgestellt werden konnte. All dies zeigt, dass der Arbeitgeber sich fair und rechtskonform verhalten hat. Sollte der Fall vor einem Arbeitsgericht (z.B. Kündigungsschutzklage) oder einer Behörde landen, sind eine saubere Verfahrensakte und ein sichtbar rechtskonformes Vorgehen Gold wert.
Durch die Beachtung von Datenschutz, Arbeitsrecht, Mitbestimmung und Vertraulichkeit bleibt der Untersuchungsprozess im Rahmen der deutschen Gesetze und Compliance-Grundsätze. Dieses rechtskonforme Vorgehen reduziert nicht nur das Risiko, dass die Untersuchung selbst eine neue Haftung auslöst (z.B. durch einen Datenschutzverstoß), sondern erhöht auch die Glaubwürdigkeit der Ergebnisse – was entscheidend ist, falls die Befunde später von externen Stellen geprüft werden. Kurz gesagt, jede Ermittlungshandlung sollte juristisch geprüft und ethisch abgewogen sein: Das Leitprinzip lautet „die Wahrheit finden, aber mit rechtsstaatlichen Mitteln“. So wird sichergestellt, dass die Untersuchungsergebnisse belastbar sind und die daraus resultierenden Maßnahmen mit gutem Gewissen umgesetzt werden können.
Dokumentation & Berichterstattung
Ein Kennzeichen einer gut durchgeführten internen Untersuchung ist die sorgfältige Dokumentation und eine klare Berichterstattung der Ergebnisse. Eine saubere Dokumentation erfüllt mehrere Zwecke: Sie schafft einen offiziellen Nachweis über den Ablauf (und belegt, dass die Untersuchung gründlich und fair war), sie untermauert etwaige nachfolgende Maßnahmen (arbeitsrechtlich oder strafrechtlich), und sie sorgt für Transparenz gegenüber den Entscheidungsträgern und Kontrollorganen im Unternehmen (wie Geschäftsführung oder Aufsichtsgremien).
Struktur und Inhalt eines internen Untersuchungsberichts
Untersuchungsbericht: Am Ende der Untersuchung sollte das Ermittlerteam einen formellen Abschlussbericht erstellen.
Einleitung/Hintergrund: Beschreibung des Ausgangspunkts der Untersuchung (z.B. „Am 10. März ging eine anonyme Meldung über die Compliance-Hotline ein, in der behauptet wurde, dass…“), den Untersuchungsauftrag und -umfang, sowie die Beteiligten (Teammitglieder). Hier wird abgegrenzt, was untersucht wurde und was ggf. nicht (Scope).
Vorgehensweise (Methodik): Erläuterung, welche Schritte unternommen wurden – z.B. „Es wurden folgende Datenquellen ausgewertet: E-Mails des Mitarbeiters X, Zutrittslogs der KW 12…; außerdem Interviews mit A, B, C durchgeführt“. Auch eventuelle Einschränkungen (z.B. „das CCTV-Material vom fraglichen Tag war wegen Defekt unbrauchbar“) werden vermerkt. Dieser Teil kann auch beschreiben, wie die Nachvollziehbarkeit gewahrt wurde (Stichwort Audit Trail und Beweismittelsicherung).
Sachverhalt/Zeitachse: Eine chronologische Darstellung der ermittelten Fakten. Häufig wird eine Timeline erstellt, die alle relevanten Ereignisse und Aktionen enthält. Zum Beispiel: „12.04., 14:35 Uhr: Mitarbeiter Y loggt sich mit seinem Ausweis in Lagerraum 3 ein; 12.04., 14:50 Uhr: Y verlässt Lagerraum 3 und hat laut Video einen Karton dabei“ etc. Dadurch ergibt sich ein nachvollziehbares Bild des Vorfalls.
Ermittelte Fakten und Beweise: Eine ausführliche Darstellung dessen, was die Untersuchung ergeben hat. Hier werden alle festgestellten Tatsachen aufgeführt – untermauert durch Belege wie Dokumente, E-Mails, Aussagen. Wichtig ist, klar zwischen belegten Fakten und Vermutungen zu trennen. Wenn es widersprüchliche Aussagen oder Indizien gibt, sollten diese ebenfalls erwähnt werden (z.B. „Mitarbeiter Z bestreitet die Vorwürfe und gab an, …, dies steht im Widerspruch zu den Zeugenaussagen von …“). Gegebenenfalls wird auf Anhänge verwiesen, in denen Belege im Original enthalten sind.
Zusammenfassung der Aussagen: Falls Interviews durchgeführt wurden, werden im Bericht die wichtigsten Aussagen zusammengefasst. Beispielsweise: „Mitarbeiter A (Abteilungsleiter) bestätigte im Interview am 15.04., dass…“ oder „Der beschuldigte Mitarbeiter Y stritt im Gespräch am 16.04. den Diebstahl ab, machte jedoch widersprüchliche Angaben zu seinem Verbleib zur fraglichen Zeit.“ Diese Zusammenfassungen sollten sachlich sein und können idealerweise vom Interviewten gegengezeichnet sein, was ihre Verlässlichkeit erhöht.
Bewertung/Beurteilung: In diesem Abschnitt werden die Fakten analysiert und – soweit Auftrag des Teams – eingeordnet. Häufig wird der Bezug zu Unternehmensrichtlinien oder Gesetzen hergestellt: z.B. „Durch das Verhalten von Mitarbeiter Y wurde gegen die IT-Benutzerrichtlinie (Abschnitt Zugriff auf vertrauliche Daten) verstoßen, zudem liegt nach unserer vorläufigen rechtlichen Einschätzung ein Anfangsverdacht auf Diebstahl gem. § 242 StGB vor“. In deutschen Unternehmen ist es üblich, dass die interne Untersuchung keine abschließende juristische Würdigung vornimmt (um z.B. strafrechtliche Bewertungen den Behörden zu überlassen), aber sehr wohl intern aufzeigt, welche Vorschriften tangiert sind. Wenn externe Anwälte beteiligt sind, können diese eine rechtliche Einschätzung formulieren. Dieser Teil des Berichts sollte auch entlastende Aspekte würdigen: z.B. „Es fanden sich keine Hinweise darauf, dass weitere Personen beteiligt waren“ oder „Die Behauptung, Mitarbeiter Y habe Zugangsdaten weitergegeben, ließ sich nicht bestätigen“.
Schlussfolgerung und Klassifizierung: Der Bericht endet mit einer klaren Feststellung zum Untersuchungsergebnis: Wurden die Anschuldigungen bestätigt, nicht bestätigt oder bleiben sie unklar? Man spricht oft von „substantiated/unsubstantiated/inconclusive“. Wenn mehrere Vorwürfe untersucht wurden, wird jeder einzeln bewertet. Zusätzlich werden oft Empfehlungen ausgesprochen: etwa personalbezogene Maßnahmen („Wir empfehlen, arbeitsrechtliche Schritte gegen Mitarbeiter Y einzuleiten“) und/oder organisatorische Maßnahmen („Überprüfung der Zugangskontrollen im Lager anstoßen“). In manchen Berichten – insbesondere wenn ein externer Rechtsberater involviert ist – kann auch stehen, ob eine Selbstanzeige oder Informationsweitergabe an Behörden angeraten ist. Falls bereits Gegenmaßnahmen ergriffen wurden während der Untersuchung (z.B. temporäre Zugriffsberechtigungen entzogen), wird das vermerkt.
Ein solcher Untersuchungsbericht wird in sachlichem Ton verfasst, ohne wertende oder emotionale Sprache. Er kann als vertraulich und ggf. anwaltlich privilegiert gekennzeichnet sein. Wichtig: In Deutschland gibt es – anders als etwa in den USA – kein garantiertes Privileg für interne Untersuchungsberichte, d.h. unter bestimmten Umständen könnten Strafverfolgungsbehörden diese als Beweismittel beschlagnahmen. Dennoch hilft ein gut dokumentierter Bericht dem Unternehmen intern enorm bei der Entscheidungsfindung und Weiterverfolgung des Falls. Er wird typischerweise den relevanten Entscheidungsträgern übergeben: dies können je nach Fall der Sicherheitschef, der Leiter der Compliance-Abteilung, der Personalleiter und die Rechtsabteilung sein. In brisanten Fällen erhalten auch Geschäftsführung oder Vorstand sowie gegebenenfalls der Prüfungsausschuss (Audit Committee) Einsicht.
Informations- und Meldewege der Ergebnisse: Nicht jeder im Unternehmen wird den vollständigen Untersuchungsbericht zu Gesicht bekommen. Vielmehr erfolgt die Weitergabe der Ergebnisse differenziert nach dem Prinzip „Kenntnis nur, soweit erforderlich“, um Vertraulichkeit und Datenschutz zu wahren.
Übliche Praxis:
Linienvorgesetzte: Unmittelbare Vorgesetzte der beteiligten Personen bzw. zuständige Bereichsleiter erhalten meist eine kurze Zusammenfassung des Ergebnisses – konzentriert auf das, was für sie zu tun ist. Beispiel: „Die Untersuchung hat bestätigt, dass in Ihrem Team ein erheblicher Verstoß gegen die IT-Richtlinien vorgefallen ist; Mitarbeiter X wird das Unternehmen verlassen. Bitte achten Sie in Zukunft verstärkt auf…“. Vorgesetzte bekommen in der Regel nicht alle Details und Beweise offengelegt, insbesondere um die Persönlichkeitsrechte der Betroffenen zu schützen. Sie erfahren das notwendige Maß: Liegt Fehlverhalten vor? Welche Maßnahmen werden ergriffen? Was wird von ihnen erwartet (z.B. Überwachung der Umsetzung, Unterstützung bei Präventionsmaßnahmen im Team)? Falls die Anschuldigungen sich als unbegründet herausgestellt haben, wird der Vorgesetzte eventuell lediglich informiert, dass der Fall geprüft und abgeschlossen wurde, ohne Konsequenzen – so wird vermieden, dass an dem zu Unrecht verdächtigten Mitarbeiter ein Makel hängen bleibt.
Personalabteilung und Rechtsabteilung: HR und Legal sind in aller Regel die Hauptadressaten der Untersuchungsergebnisse. Sie erhalten oft den vollständigen Bericht oder zumindest alle relevanten Fakten, da sie die Folgeentscheidungen treffen müssen. HR benötigt die Faktenlage, um korrekte arbeitsrechtliche Schritte einzuleiten (z.B. für eine Kündigung muss der Sachverhalt stichhaltig dokumentiert sein). Die Rechtsabteilung muss beurteilen, welche rechtlichen Pflichten folgen: Gibt es Meldepflichten? Besteht Haftungsrisiko gegenüber Dritten? Müssen Beweise gesichert werden für evtl. Gerichtsverfahren? Da HR und Legal meist ohnehin Teil des Untersuchungsteams waren, sind sie eng im Bilde. Ihnen obliegt es oft auch, den Abschlussbericht zu finalisieren und etwaige strittige Formulierungen – vor allem bei Schuldzuweisungen – juristisch zu prüfen, bevor er intern verteilt wird.
Geschäftsführung/Unternehmensleitung: Bei schwerwiegenden Fällen (z.B. wenn es um signifikante Vermögensschäden, Straftaten oder Führungskräfte geht) werden die obersten Führungsgremien informiert. Meistens berichtet der Chief Compliance Officer, Sicherheitschef oder General Counsel an den Vorstand oder die Geschäftsleitung über den Vorfall und die Konsequenzen. Diese Management-Berichterstattung erfolgt in kondensierter Form: Was ist passiert? Was wurde gefunden? Was wird dagegen unternommen? Führungskräfte interessiert vor allem der strategische Impact – hat das Auswirkungen auf die Geschäftszahlen, auf die Reputation, auf die Strategie? Sie wollen sich darauf verlassen können, dass das Problem gelöst ist und nicht erneut auftritt. Gegebenenfalls möchte die Geschäftsleitung in solch kritischen Fällen auch selbst an Behörden herantreten oder intern ein Zeichen setzen. Daher werden sie über die wesentlichen Punkte informiert.
Aufsichtsrat/Prüfungsausschuss: In deutschen Aktiengesellschaften muss der Vorstand den Aufsichtsrat über wichtige Angelegenheiten informieren. Schwerwiegende Compliance-Verstöße oder kriminelle Handlungen im Unternehmen zählen oftmals dazu. Vor allem der Prüfungsausschuss des Aufsichtsrats hat häufig ein Auge auf das Compliance-Management und wird bei größeren Untersuchungen auf dem Laufenden gehalten (ggf. im Rahmen der regelmäßigen Compliance-Berichte). Sie erhalten zumindest eine Management Summary des Falls und eventuelle Auswirkungen auf Abschlüsse oder Kontrollen. Dies entspricht auch den Erwartungen vieler Investoren, dass das Kontrollgremium eingebunden ist.
Betriebsrat: Soweit aus der Untersuchung personelle Maßnahmen resultieren (z.B. Kündigung, Versetzung, Abmahnung), muss der Betriebsrat nach den üblichen Regeln informiert oder angehört werden. Konkret: Vor jeder Kündigung eines Arbeitnehmers ist der Betriebsrat mit Angabe der Gründe anzuhören (§ 102 BetrVG). Dem Betriebsrat wird dabei das Ermittlungsergebnis insoweit mitgeteilt, wie es die Kündigungsgründe betrifft. In unserem Kontext würde HR dem Betriebsrat also sagen: „Mitarbeiter X hat laut einer internen Untersuchung am [Datum] vertrauliche Daten entwendet und damit gegen seine Pflichten verstoßen; wir beabsichtigen, ihm fristlos zu kündigen.“ Der Betriebsrat kann dazu Stellung nehmen, aber die Entscheidung liegt letztlich beim Arbeitgeber. Wichtig ist, dass auch hier unnötige Details oder andere Personen betreffende Informationen nicht preisgegeben werden – der Betriebsrat erhält nur die Fakten, die er für seine Meinungsbildung benötigt. Falls der Betriebsrat an der Untersuchung mitgewirkt hat (z.B. durch Begleitung bei Interviews), ist er schon eher im Bilde. Außerdem: Sollten aus der Untersuchung generelle Verbesserungsmaßnahmen resultieren, die die Belegschaft betreffen (z.B. neue Richtlinien, verstärkte Kontrollen), wird der Betriebsrat in die Planung dieser Maßnahmen einbezogen, um Akzeptanz zu schaffen und Mitbestimmungsrechte wahrzunehmen.
Externe Stellen/Behörden: In manchen Fällen müssen oder sollten die Untersuchungsergebnisse extern gemeldet werden. Beispiele: Stellt sich heraus, dass tatsächlich eine Straftat begangen wurde (Diebstahl, Korruption, Sabotage), wird das Unternehmen oft Anzeige bei der Polizei erstatten – schon allein um evtl. versichert zu sein oder Schadenersatzansprüche zu sichern. Zwar besteht in Deutschland keine allgemeine Pflicht, Straftaten anzuzeigen (außer bei bestimmten schweren Verbrechen, § 138 StGB, was aber im Wirtschaftskontext selten greift), doch kann es im Sinne einer guten Zusammenarbeit mit den Behörden liegen. Außerdem, wie bereits erwähnt, sobald die Staatsanwaltschaft von einer möglichen Straftat erfährt – sei es durch Anzeige oder andere Wege – ist sie verpflichtet, Ermittlungen aufzunehmen. Daher wägt die Rechtsabteilung ab: Wollen wir proaktiv informieren (möglicherweise Bonuspunkte für Kooperation sichern) oder besteht kein großes öffentliches Interesse? Auch regulatorische Meldepflichten müssen berücksichtigt werden: Ein klassisches Beispiel ist ein Datenschutzvorfall. Ergibt die interne Untersuchung, dass persönliche Daten unbefugt offengelegt wurden, greift Art. 33 DSGVO – innerhalb von 72 Stunden muss der Vorfall an die Datenschutzaufsicht gemeldet werden, sofern es nicht unwahrscheinlich ist, dass daraus ein Risiko entsteht. Die Untersuchungsergebnisse bilden dann die Grundlage für diese Meldung. Weitere Bsp: Bei erheblichen Compliance-Verstößen in Börsenunternehmen muss eventuell eine Ad-hoc-Mitteilung erfolgen, oder in regulierten Industrien (Banken, Pharma) gibt es Mitteilungspflichten gegenüber Aufsichtsbehörden. Die interne Untersuchung sollte diese Pflichten identifizieren. Häufig erstellen Legal/Compliance für externe Meldungen einen separaten Bericht oder ein Dossier: für die Polizei etwa eine Strafanzeige mit den relevanten Beweismitteln im Anhang; für die Datenschutzbehörde ein formularbasiertes Incident-Reporting mit Beschreibung des Hergangs und ergriffener Maßnahmen. Wichtig ist: Externe Kommunikation wird sorgfältig abgestimmt, um das Unternehmen rechtlich nicht unnötig zu belasten und dennoch den gesetzlichen Anforderungen gerecht zu werden.
Generell gilt für Berichte und Kommunikation: So viel wie nötig, so wenig wie möglich veröffentlichen, um Transparenz herzustellen, ohne Vertraulichkeit und Persönlichkeitsrechte zu verletzen. Das Unternehmen gibt i.d.R. keine Details breitenwirksam bekannt. Allerdings kann es – wenn angebracht – eine interne Mitteilung geben, die in abstrakter Form alle Mitarbeiter informiert, dass ein Vorfall erkannt und behoben wurde. Dies aber stets anonymisiert („Gegen einen Mitarbeiter wurden aufgrund eines schweren Verstoßes arbeitsrechtliche Konsequenzen gezogen“), um einerseits Signalwirkung zu erzielen („Wir schauen hin und handeln“) und andererseits niemanden an den Pranger zu stellen. Jede solche Kommunikation wird vorab juristisch geprüft. Die Standardregel lautet: Berichte gehen an diejenigen, die aufgrund ihrer Funktion handeln müssen, eventuell eine zusammengefasste Info an unmittelbar betroffene Führungsebenen, und sonst bleibt alles im engsten Kreis. Sämtliche Unterlagen – vom kompletten Bericht bis zu Rohnotizen – werden anschließend zentral, sicher und unter Zugriffskontrolle archiviert (meist bei Compliance/Rechtsabteilung), damit bei späteren Fragen oder Verfahren darauf zurückgegriffen werden kann.
Korrekturmaßnahmen & Abhilfe
Mit Abschluss der Untersuchung folgt der ebenso wichtige Schritt, die Ergebnisse in Taten umzusetzen. Die beste Ermittlung nützt wenig, wenn daraus keine Konsequenzen und Verbesserungen abgeleitet werden. Daher stellt das Unternehmen sicher, dass auf bestätigte Vorfälle mit angemessenen Korrekturmaßnahmen reagiert wird und dass erkannte Schwachstellen behoben werden (Maßnahmen zur Abhilfe und Prävention).
Arbeitsrechtliche und rechtliche Folgen interner Verstöße
HR- und Rechts-Maßnahmen (personenbezogen): Wenn die Untersuchung ein Fehlverhalten eines oder mehrerer Mitarbeiter klar nachgewiesen hat, müssen entsprechend arbeitsrechtliche Konsequenzen gezogen werden. Die Palette reicht von milden Sanktionen bis zur Trennung, je nach Schwere des Verstoßes und etwaigen Wiederholungen
Ermahnung/Abmahnung: Bei weniger gravierenden Verstößen oder Erstverstößen kann eine schriftliche Abmahnung ausgesprochen werden, die das Fehlverhalten rügt und im Wiederholungsfall härtere Schritte androht. Diese wird in die Personalakte gelegt. Eine Abmahnung setzt voraus, dass der Sachverhalt eindeutig feststeht – durch die Untersuchung liegt diese Klarheit ja vor – und der Mitarbeiter angehört wurde.
Trainings-/Coaching-Maßnahmen: Manchmal wird beschlossen, dass der Mitarbeiter zwar bleiben darf, aber Schulungen absolvieren muss (z.B. Compliance-Training, Sensibilisierung für bestimmte Themen) oder engmaschiger geführt wird. Das kann eine Auflage sein, insbesondere wenn man an einen korrigierbaren Verstoß glaubt (z.B. Unwissenheit).
Versetzung: Sollte das Vertrauensverhältnis in der bisherigen Position gestört sein, kann geprüft werden, ob der Mitarbeiter auf einem anderen Posten ohne ähnliches Risikopotential eingesetzt werden kann (sofern vertraglich möglich und mit Zustimmung, oder anordnungsgemäß im Direktionsrecht). Beispiel: Ein Mitarbeiter hat mehrfach Compliance-Verstöße im Einkauf begangen, man könnte ihn – falls man ihm noch eine Chance gibt – in einen Bereich versetzen, wo er keinen direkten Zugang zu Finanzen hat.
Kündigung: Bei schweren Verstößen (Diebstahl, Betrug, grobe Belästigung, Verrat von Geschäftsgeheimnissen etc.) oder wenn das Vertrauensverhältnis irreparabel zerstört ist, wird in der Regel eine Kündigung ausgesprochen. Diese kann als ordentliche Kündigung (mit Frist) oder – bei besonders gravierenden Fällen – als außerordentliche (fristlose) Kündigung erfolgen. Für letztere muss ein wichtiger Grund vorliegen (§ 626 BGB) und sie muss innerhalb von 2 Wochen nach Kenntnis des Kündigungsgrundes ausgesprochen werden. Die Untersuchungsergebnisse liefern hier den Kündigungsgrund; die Personalabteilung und Rechtsabteilung formulieren das Kündigungsschreiben entsprechend. Vor Ausspruch der Kündigung ist der Betriebsrat anzuhören, wie oben erwähnt. Sollte der Betriebsrat Widerspruch einlegen, kann das Unternehmen trotzdem kündigen, muss aber ggf. damit rechnen, dass es in einem Kündigungsschutzprozess thematisiert wird – daher ist es so wichtig, stichhaltige Ermittlungsbeweise zu haben. Im Fall einer Verdachtskündigung (wenn sich also ein dringender Verdacht als solcher erhärtet hat, aber vielleicht kein Geständnis vorliegt) ist besondere Sorgfalt geboten – der Betroffene muss zuvor zum Verdacht angehört worden sein. Die interne Untersuchung liefert auch hier das Material für eine solche Anhörung.
Strafanzeige/Schadensersatz: Unabhängig von arbeitsrechtlichen Schritten kann das Unternehmen beschließen, strafrechtlich gegen den (ehemaligen) Mitarbeiter vorzugehen oder zivilrechtliche Schadensersatzansprüche geltend zu machen. Beispielsweise bei Diebstahl oder Korruption erstattet man Strafanzeige, sowohl um den Rechtsfrieden wiederherzustellen als auch um eventuell über die Versicherung Schäden gedeckt zu bekommen. Bei Vertrauensschaden-Versicherungen (Fidelity Insurance) ist oft eine Anzeige Voraussetzung. Die Rechtsabteilung übernimmt in solchen Fällen die externe Kommunikation und stellt sicher, dass nur notwendige Informationen weitergegeben werden (Stichwort Datenschutz, aber im Strafverfahren hat die Polizei/Staatsanwaltschaft bestimmte Zugriffsrechte). Ein anderer Aspekt: Wenn durch den Verstoß Dritte geschädigt wurden (z.B. ein Kunde, dessen Daten entwendet wurden), muss Legal beurteilen, wie man dem Geschädigten gegenübertritt – eventuell Entschuldigung oder Wiedergutmachung – um größeren Rechtsstreit zu vermeiden.
Auf der anderen Seite: Wenn sich ein Verdacht nicht bestätigt hat und der Mitarbeiter unschuldig ist, müssen entsprechende Rehabilitationsschritte unternommen werden. Das heißt z.B., ein vorläufig suspendierter Mitarbeiter wird offiziell wieder eingesetzt, möglicherweise gibt es ein klärendes Gespräch mit seinem Vorgesetzten und Team (ohne Details, aber mit der Botschaft „Herr X ist voll rehabilitiert“), und man stellt sicher, dass keine negativen Einträge in der Personalakte verbleiben. Sollte die Person selbst durch falsche Verdächtigungen Schaden genommen haben, könnte HR anbieten, sie in Ruhe zu lassen oder sogar psychologische Unterstützung, falls nötig. Das Ziel ist, die Vertrauensbasis wiederherzustellen. Ebenso wichtig: Gegen falsche Anschuldiger (wenn also jemand bewusst unwahre Behauptungen aufgestellt hat) können ebenfalls Maßnahmen ergriffen werden – das wäre wiederum ein anderes Fehlverhalten, das sanktioniert gehört.
Organisatorische Maßnahmen nach Sicherheitsvorfällen
Technische/organisatorische Maßnahmen (prozessbezogen): Die Untersuchung legt oft offen, wo Lücken oder Schwächen im System bestanden, die das Fehlverhalten ermöglicht haben. Hier setzt nun Unternehmenssicherheit, IT oder die jeweilige Fachabteilung an, um diese Lücken zu schließen
Sicherheitskontrollen verstärken: Wurde z.B. ein Diebstahl dadurch begünstigt, dass an einem Lagerort keine Kamera war, könnte man kurzfristig eine temporäre Kamera installieren und langfristig die Überwachungsabdeckung verbessern. War eine Zugangstür defekt oder stand offen, wird dies umgehend behoben. Eventuell implementiert die Security auch zusätzliche Zugangsbeschränkungen (mehr Zonen, Wachpersonal verstärkt Runden).
IT-Sicherheit erhöhen: Hat ein IT-Event den Vorfall ermöglicht (z.B. unzureichende Zugangsbeschränkungen, keine Multi-Faktor-Authentisierung, fehlendes Monitoring), wird die IT-Abteilung diese Punkte adressieren. Konkret: Einsatz von Data Loss Prevention (DLP) Software, die große Datenabflüsse erkennt und blockiert; Einführung einer 2-Faktor-Authentifizierung, damit gestohlene Passwörter nicht alleine ausreichen; Begrenzung von USB-Schnittstellen an PCs (z.B. physische Sperren oder Software, die Datenträger blockiert); strengere Berechtigungsvergaben nach Need-to-know; regelmäßige Überprüfung von Logfiles. In einem Industrieumfeld könnte auch die Produktions-IT betroffen sein (Stichwort OT Security) – dann schaut man, ob jemand unbefugt auf Steuerungssysteme zugreifen konnte und verbessert dort die Zugriffskontrollen.
Interne Kontrollsysteme anpassen: Bei Vorfällen von wirtschaftlichem Fehlverhalten (z.B. Abrechnungsbetrug, Spesenmanipulation, Kickbacks) zieht man die interne Revision oder Finanzkontrolle hinzu, um die Prozesse zu ändern. Man kann z.B. das Vier-Augen-Prinzip einführen oder verschärfen: keine höhere Ausgabe ohne zweite Freigabe, oder Rotationsprinzip bei heiklen Aufgaben, damit es keine „Alleinherrscher“ gibt. Auch spontane Sonderprüfungen durch die Revision in bestimmten Bereichen können eine Folge sein, um ähnliche Missstände aufzudecken.
Physische Sicherheit verbessern: Falls der Vorfall gezeigt hat, dass z.B. Zutrittskarten weitergegeben werden konnten (Social Engineering) oder Besucher unbegleitet ins Gebäude gelangten, passt die Security die Regeln an: strengere Ausweiskontrolle, Besucher nur mit Host, Alarm bei Türen, die zu lange offenstehen etc. Wenn Material abhandenkam, kann ein Inventurintervall verkürzt werden, um Abweichungen schneller zu bemerken. Oder man führt ein Vier-Augen-Prinzip beim Verladen teurer Güter ein.