---
name: auftrag-scope
description: "Formuliert Untersuchungsauftrag, Scope, Ausschlüsse, Governance und Eskalation so eng wie möglich und so belastbar wie nötig im Internal Investigations Praxis."
---

# Untersuchungsauftrag und Scope

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich).
- Tragende Normen verifizieren: DSGVO Art. 5, 6, 7, 9, 12-22, 25, 28, 30, 32, 33-34, 35, 51-58, 77-83, BDSG §§ 22-25, 26, 30; StPO §§ 53, 97, 102, 110, 136, 137, 152, 153a, BGB §§ 280, 626, BRAO § 43a, GwG, AntiDopG, HinSchG; StPO; HinSchG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Rechtlicher Rahmen

Der Untersuchungsauftrag legt die normative Grundlage jeder Internal Investigation fest. Ohne präzise Scope-Definition drohen Beweismittelüberschuss, Privilegverlust und Verwertungsprobleme. Die Pflicht des Vorstands zur Einleitung einer Untersuchung folgt aus § 93 Abs. 1 AktG (Business Judgment Rule) in Verbindung mit der BGH-Linie „Siemens/Neubürger" (BGH, Urt. v. 10.7.2012 – II ZR 234/09; [openjur](https://openjur.de/o/577696.html)), wonach der Vorstand ein Compliance-Management-System einzurichten hat, das Verstöße verhindert und aufklärt. Bei Verstößen durch Leitungspersonen greift § 130 OWiG (Aufsichtspflichtverletzung) gegenüber der Gesellschaft, Sanktion nach § 30 OWiG (Verbandsgeldbuße bis 10 Mio. EUR, zuzüglich Abschöpfung nach § 17 Abs. 4 OWiG); vgl. [gesetze-im-internet.de/owig/__130.html](https://www.gesetze-im-internet.de/owig/__130.html) und [gesetze-im-internet.de/owig/__30.html](https://www.gesetze-im-internet.de/owig/__30.html).

## Ziel dieses Skills

Dieser Skill erzwingt eine prüfbare Arbeitsspur: Sachverhalt → Norm → Tatbestandsmerkmal → Subsumtion → Gegenargument → Beleg → Ergebnis. Schematische Vorlagen werden bewusst vermieden; stattdessen werden Entscheidungsgabeln dokumentiert, die vor Gericht, der BaFin oder einem US-amerikanischen DOJ-Monitor standhalten.

## Arbeitsprogramm

### 1. Auftraggeber und Interessenlage
- Wer erteilt den Auftrag – Vorstand, Aufsichtsrat, Audit Committee, Sonderpruefungsausschuss?
- Liegt ein Interessenkonflikt beim Auftraggeber selbst vor (Betroffener im eigenen Verfahren)?
- Ist externe anwaltliche Unabhängigkeit gewährleistet (Attorney-Client Privilege / Anwaltsgeheimnis, ggf. nach EuGH Akzo Nobel, C-550/07 P, [curia.europa.eu](https://curia.europa.eu/juris/document/document.jsf?docid=83458&doclang=DE))?

### 2. Scope-Festlegung
- Tatvorwurf präzise benennen: welche Norm (z. B. § 266 StGB Untreue, § 299 StGB Bestechung, FCPA, UK Bribery Act), welcher Zeitraum, welche Organisationseinheit, welche Personen?
- Nicht-Fragen schriftlich ausschließen, um späteren Scope Creep zu verhindern.
- Berichtspflichten nach HinSchG (Hinweisgeberschutzgesetz 2023, [gesetze-im-internet.de/hinschg/](https://www.gesetze-im-internet.de/hinschg/)) und EU-Hinweisgeberrichtlinie 2019/1937 ([eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32019L1937)) berücksichtigen.

### 3. Governance und Eskalation
- Wer erhält Zwischenberichte, wer den Abschlussbericht?
- Welche Organe müssen informiert werden (Aufsichtsrat gem. § 111 AktG, Prüfungsausschuss)?
- Eskalationsmatrix: bei Verdacht auf Straftat → Strafanzeige, bei BaFin-Pflichten → Self-Reporting-Schwelle definieren.

### 4. Ressourcen und Zeitplan
- Welche Wirtschaftsprüfer, IT-Forensiker, Arbeitsrechtler werden beigezogen?
- Milestones für Legal Hold, Forensic Imaging, Interviewphase, Berichtsentwurf.
- Kostendokumentation für spätere Regressansprüche gegen Schadensverursacher (§ 249 BGB, § 93 Abs. 2 AktG).

### 5. Datenschutz von Anfang an
- DSGVO-Rechtsgrundlage für jede Datenverarbeitung vorab festlegen (§ 26 BDSG für Beschäftigtendaten, [gesetze-im-internet.de/bdsg_2018/__26.html](https://www.gesetze-im-internet.de/bdsg_2018/__26.html); Art. 6 Abs. 1 lit. f DSGVO bei berechtigtem Interesse).
- Datenminimierungsgebot (Art. 5 Abs. 1 lit. c DSGVO) in Scope-Dokument explizit verankern.
- Betriebsrat frühzeitig einbinden (§§ 80, 87 BetrVG); Verwertungsverbote bei fehlender Mitbestimmung prüfen.

## Red-Team-Fragen

- Ist der Scope eng genug, oder entsteht ein Beweisordner, der Behörden, Gegner oder US-Discovery nützt?
- Wer ist Mandant, wer Berichtsadressat, wer potenziell Beschuldigter – und kollidiert das mit Anwaltsgeheimnis, Berufsrecht oder Organpflichten?
- Welche Daten müssen gesichert werden, welche dürfen nicht breit kopiert werden, und wo greift Datenminimierung?
- Sind Interviewrolle, arbeitsrechtliche Mitwirkungspflicht, Schweigerecht, Betriebsratsbeteiligung und Protokollstandard vor Beginn geklärt?
- Welche Berichtsversion kann beschlagnahmt (§§ 94 ff. StPO), herausverlangt, geleakt oder in einem Parallelverfahren verwendet werden?
- Löst die Untersuchung Meldepflichten aus (HinSchG § 12 ff., WpHG § 119, DSGVO Art. 33)?

## Normenregister

| Norm | Inhalt | Quelle |
|---|---|---|
| § 93 AktG | Sorgfaltspflicht Vorstand | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/aktg/__93.html) |
| § 111 AktG | Aufgaben Aufsichtsrat | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/aktg/__111.html) |
| § 130 OWiG | Aufsichtspflichtverletzung | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/owig/__130.html) |
| § 30 OWiG | Verbandsgeldbuße | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/owig/__30.html) |
| § 26 BDSG | Beschäftigtendatenschutz | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/bdsg_2018/__26.html) |
| HinSchG | Hinweisgeberschutz 2023 | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/hinschg/) |
| BGH II ZR 234/09 | Siemens/Neubürger | [openjur.de](https://openjur.de/o/577696.html) |

## Ausgabeformate

Erzeuge je nach Bedarf:
- **Untersuchungsplan** (Scope-Dokument mit Nicht-Fragen, Governance, Zeitplan)
- **Board Memo** (einseitige Zusammenfassung für Aufsichtsrat)
- **Risikoampel** (Rot/Gelb/Grün je Tatvorwurf, Norm und Eskalationsstufe)
- **Interviewleitfaden** (differenziert nach Zeugen, Betroffenen, Leitungspersonen)
- **Verteidigungsdossier** (Gegenargumente zu jedem Tatbestandsmerkmal)

Rechtsprechungszitate nur mit Gericht, Datum, Aktenzeichen und frei prüfbarer Quelle. Keine BeckRS-, juris-, Kommentar- oder Aufsatz-Blindzitate.

## Weiterführende Hinweise

- Der Untersuchungsauftrag ist kein statisches Dokument; er muss bei wesentlichen neuen Erkenntnissen angepasst und die Anpassung dokumentiert werden.
- Kostenkontrolle: Untersuchungsbudget realistisch planen; Überschreitungen müssen dem Auftraggeber rechtzeitig kommuniziert werden.
- Parallelverfahren: wenn zeitgleich strafrechtliche oder aufsichtsrechtliche Verfahren laufen, muss der Untersuchungsauftrag diese berücksichtigen und Informationsflüsse kontrollieren.
- Scope-Creep-Protokoll: jede Erweiterung des Scope wird schriftlich vom Auftraggeber freigegeben und dokumentiert.

## Normen und Rechtsprechung

### Kuratierte Normen-Bibliothek

- § 93 AktG
- § 26 BDSG
- § 130 OWiG
- § 102 BetrVG
- § 87 BetrVG
- § 203 StGB
- § 266 StGB
- Art. 33 DSGVO
- § 30 OWiG
- § 80 BetrVG
- § 84 AktG
- § 107 AktG

### Leitentscheidungen

- BGH II ZR 234/09
- EuGH C-550/07
- EuGH C-311/18