--- name: remediation-plan description: "Erstellt einen strukturierten Remediation-Plan nach Untersuchungsabschluss – Kontrolllücken, Compliance-Verbesserungen, Behörden-Reporting und Nachverfolgung im Internal Investigations Praxis." --- # Remediation-Plan nach Internal Investigation ## Arbeitsweg - Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht? - Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich). - Tragende Normen verifizieren: DSGVO Art. 5, 6, 7, 9, 12-22, 25, 28, 30, 32, 33-34, 35, 51-58, 77-83, BDSG §§ 22-25, 26, 30; StPO §§ 53, 97, 102, 110, 136, 137, 152, 153a, BGB §§ 280, 626, BRAO § 43a, GwG, AntiDopG, HinSchG; StPO; HinSchG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate. - Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail). - Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis. ## Rechtlicher Rahmen Ein Remediation-Plan ist nach einer Internal Investigation aus mehreren Gründen rechtlich geboten: (1) § 130 OWiG setzt voraus, dass das Unternehmen Aufsichtspflichten erfüllt; eine fehlende Reaktion auf festgestellte Mängel ist erneut ein Verstoß ([gesetze-im-internet.de](https://www.gesetze-im-internet.de/owig/__130.html)). (2) DOJ und SEC bewerten Remediation als wesentlichen Kooperationsfaktor. (3) BGH II ZR 234/09 (Siemens/Neubürger, [openjur.de](https://openjur.de/o/577696.html)) verlangt ein effektives Compliance-Management-System. (4) Behörden (BaFin, Bundeskartellamt) erwarten konkrete, fristgebundene Maßnahmen. ## Ziel dieses Skills Dieser Skill erstellt einen strukturierten, priorisierten und nachverfolgbaren Remediation-Plan, der sowohl interne als auch behördliche Anforderungen erfüllt. ## Arbeitsprogramm ### 1. Root-Cause-Analyse - Warum konnte der Verstoß entstehen? - Kontrolllücken: fehlende Four-Eyes-Prinzipien, fehlende Genehmigungsprozesse, unzureichende Segregation of Duties. - Kulturelle Faktoren: „Tone from the Top", Druck auf Mitarbeiter, Wegschauen durch Führungskräfte. - Systemische Schwächen: Compliance-Funktionen ohne ausreichende Ressourcen oder Unabhängigkeit. - Externe Faktoren: Marktpraktiken, Regulierungslücken. ### 2. Maßnahmenentwicklung (SMART-Kriterien) - **Spezifisch**: Was genau wird verändert? - **Messbar**: Wie wird die Wirksamkeit gemessen? - **Assigniert**: Wer ist verantwortlich? - **Realistisch**: Ist die Maßnahme mit vorhandenen Ressourcen umsetzbar? - **Terminiert**: Bis wann muss die Maßnahme abgeschlossen sein? ### 3. Maßnahmenkategorien - **Prozessverbesserungen**: neue SOPs, Genehmigungsprozesse, Segregation of Duties. - **Technische Kontrollen**: DLP-Systeme, automatisches Sanktionsscreening, ERP-Kontrolleinstellungen. - **Personalmaßnahmen**: Schulung, neue Compliance-Ressourcen, Rotation kritischer Funktionen. - **Governance**: Compliance-Berichtslinie zum Aufsichtsrat, Audit-Committee-Reporting. - **Third-Party-Management**: Due-Diligence-Prozesse für Agenten, Lieferanten. - **Kultur**: Tone-from-the-Top-Messaging, Whistleblower-Programm. ### 4. Priorisierung der Maßnahmen | Priorität | Kriterium | Frist | |---|---|---| | Kritisch | Unmittelbare Haftungsrisiken, aktive Verstöße | Sofort (7 Tage) | | Hoch | Wesentliche Kontrolllücken | 30–60 Tage | | Mittel | Prozessverbesserungen ohne unmittelbares Risiko | 60–180 Tage | | Niedrig | Langfristige Kulturprogramme | 6–12 Monate | ### 5. Behördliche Einbindung - DOJ: Remediation-Bericht als Teil der Kooperationsdokumentation; Corporate Enforcement Policy honoriert nachgewiesene Fortschritte. - BaFin: Maßnahmenplan mit Fristen und Verantwortlichen; regelmäßige Umsetzungsberichte. - Datenschutzbehörde: Remediation-Maßnahmen bei DSGVO-Verstößen als bußgeldmindernder Faktor (Art. 83 Abs. 2 lit. f DSGVO). - Bundeskartellamt: Compliance-Programm als Bußgeld-mildernder Faktor. ### 6. Monitoring und Nachverfolgung - Compliance-Monitoring-Funktion: unabhängige Überprüfung der Umsetzung. - Interne Revision: Follow-up-Audit nach 6–12 Monaten. - Maßnahmen-Tracking-System: offene Maßnahmen, Verantwortliche, Fristen, Eskalation bei Verzug. - Vorstandsberichterstattung: regelmäßige Updates zum Remediation-Status. - Aufsichtsrat/Prüfungsausschuss: halbjährlicher Bericht. ### 7. Nachhaltigkeit und Kulturwandel - Compliance-Programm muss gelebt werden, nicht nur dokumentiert sein. - Incentives: Compliance-Verhalten in Zielvereinbarungen und Bonusstrukturen verankern. - Leadership: Vorstand und Senior Management als sichtbare Treiber des Wandels. - Regelmäßige Compliance-Risikobeurteilung (Compliance Risk Assessment). - Externe Überprüfung: unabhängiger Compliance-Monitor oder Externer Prüfer. ## Normenregister | Norm | Inhalt | Quelle | |---|---|---| | § 130 OWiG | Aufsichtspflichtverletzung | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/owig/__130.html) | | § 93 AktG | Sorgfaltspflicht Vorstand | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/aktg/__93.html) | | Art. 83 DSGVO | DSGVO-Bußgelder (Kooperation) | [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) | | BGH II ZR 234/09 | Siemens/Neubürger | [openjur.de](https://openjur.de/o/577696.html) | ## Ausgabeformate - **Remediation-Plan-Template** (Maßnahme × Verantwortlicher × Frist × Messkriterium) - **Root-Cause-Analyse-Vorlage** - **Priorisierungsmatrix** (Kritisch/Hoch/Mittel/Niedrig) - **Monitoring-Dashboard-Vorlage** - **Behörden-Remediation-Bericht** (für DOJ/BaFin) Rechtsprechungszitate nur mit Gericht, Datum, Aktenzeichen und frei prüfbarer Quelle.