---
name: inv-054-lessons-learned
description: "Zieht strukturierte Lessons Learned aus abgeschlossenen Internal Investigations – Systemische Schwächen, Compliance-Verbesserungen, Dokumentation für Aufsicht: Zieht strukturierte Lessons Learned aus abgeschlossenen Internal Investigations – Systemische Sc..."
---

# Zieht strukturierte Lessons Learned aus abgeschlossenen Internal Investigations – Systemische Schwächen, Compliance-Verbesserungen, Dokumentation für Aufsicht.


## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
- Tragende Normen verifizieren: DSGVO Art. 5, 6, 7, 9, 12-22, 25, 28, 30, 32, 33-34, 35, 51-58, 77-83, BDSG §§ 22-25, 26, 30; StPO §§ 53, 97, 102, 110, 136, 137, 152, 153a, BGB §§ 280, 626, BRAO § 43a, GwG, AntiDopG, HinSchG; StPO; HinSchG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

**Fokus:** Zieht strukturierte Lessons Learned aus abgeschlossenen Internal Investigations – Systemische Schwächen, Compliance-Verbesserungen, Dokumentation für Aufsicht.

### Lessons Learned nach Internal Investigations

## Rechtlicher Rahmen

Die Lessons-Learned-Analyse nach einer Internal Investigation ist nicht nur eine Best-Practice-Übung, sondern eine rechtliche Pflicht. § 130 OWiG ([gesetze-im-internet.de](https://www.gesetze-im-internet.de/owig/__130.html)) setzt ein funktionierendes Aufsichtssystem voraus; nach einem Verstoß muss das Unternehmen nachweisen, dass es die Ursachen verstanden und beseitigt hat. DOJ Corporate Enforcement Policy und BaFin honorieren explizit Nachweise systemischer Verbesserungen. Der BGH (II ZR 234/09, [openjur.de](https://openjur.de/o/577696.html)) verlangt ein effektives Compliance-Management-System – ein System, das Verstöße nicht verhindert und nach dem Verstoß nicht verbessert wird, ist kein effektives System.

## Ziel dieses Skills

Dieser Skill extrahiert aus jeder abgeschlossenen Internal Investigation strukturierte Erkenntnisse und transformiert sie in konkrete, nachverfolgbare Verbesserungsmaßnahmen.

## Arbeitsprogramm

### 1. Strukturierte Rückschau – Was ist passiert?
- Zeitleiste des Verstoßes: wann hat er begonnen, wann wurde er entdeckt, warum erst dann?
- Täter-Profil: wer hat gehandelt, welche Motive, welche Gelegenheit?
- Systemische Ermöglichung: welche Kontrolllücken haben den Verstoß ermöglicht?
- Erkennung: warum wurde der Verstoß nicht früher entdeckt? Fehlende Kontrollen? Kulturelles Schweigen?
- Response: wie effektiv war die Reaktion des Unternehmens nach Entdeckung?

### 2. Root-Cause-Kategorisierung
- **Kontrolldefizit**: fehlende Four-Eyes-Prinzipien, fehlende Segregation of Duties, fehlende IT-Kontrollen.
- **Überwachungsdefizit**: interne Revision zu schwach, Compliance-Reporting zu oberflächlich.
- **Kulturdefizit**: Druck auf Ergebnisse, Angst vor Konsequenzen bei Meldungen, Wegschauen.
- **Governance-Defizit**: zu viel Entscheidungsmacht bei einem Individuum, fehlende Board-Übersicht.
- **Drittpartei-Defizit**: unzureichende Due Diligence bei Agenten/Lieferanten.

### 3. Erfolgsanalyse der Investigation selbst
- Was lief gut? Beweissicherung, Interviews, Behördenkommunikation?
- Was hätte besser laufen können? Zeitmanagement, Scope-Kontrolle, Kosten?
- War der Abschlussbericht belastbar und hat er Untersuchungen und Behörden standgehalten?
- Privilege-Schutz: wurden privilegierte Dokumente wirksam geschützt?
- Datenschutz: gab es DSGVO-Verstöße während der Untersuchung selbst?

### 4. Compliance-Programm-Verbesserung
- IDW PS 980: Anforderungen an wirksame Compliance-Management-Systeme (Kultur, Ziele, Risiken, Programm, Organisation, Kommunikation, Überwachung, Verbesserung).
- LkSG: Lieferkettensorgfaltspflicht als Compliance-Erweiterung ([gesetze-im-internet.de](https://www.gesetze-im-internet.de/lksg/)).
- Compliance-Risikobeurteilung neu durchführen: welche weiteren Bereiche könnten ähnliche Schwächen haben?
- Compliance-Funktion: ausreichend Ressourcen, Unabhängigkeit, Zugang zum Vorstand?

### 5. Schulung und Awareness
- Schulungsinhalt: konkrete Lehren aus dem Fall (anonymisiert) für Mitarbeiter.
- Führungskräfte-Training: Tone from the Top; Verantwortung der Leitungsebene.
- Ethics Speak-Up: Mitarbeiter ermutigen, Auffälligkeiten zu melden.
- Regelmäßigkeit: einmalige Schulung nach dem Vorfall reicht nicht; jährliche Auffrischung.

### 6. Dokumentation für Aufsichtsbehörden
- Lessons-Learned-Bericht: für BaFin, DOJ oder andere Aufsichtsbehörden als Nachweis der Verbesserung.
- Maßnahmen-Umsetzungsnachweis: Evidenz, dass Empfehlungen tatsächlich umgesetzt wurden.
- Compliance-Programm-Attestierung: ggf. durch externen Prüfer oder Compliance-Monitor.
- BGH-Standard: CMS muss so gestaltet sein, dass Verstöße verhindert oder aufgedeckt werden.

### 7. Institutionalisierung des Lessons-Learned-Prozesses
- Nach jeder erheblichen Compliance-Untersuchung standardmäßig eine Lessons-Learned-Analyse.
- Ergebnisse fließen in das jährliche Compliance-Risikoassessment ein.
- Compliance-Ausschuss oder Prüfungsausschuss erhält Lessons-Learned-Bericht.
- Knowledge Management: anonymisierte Fallbeschreibungen für künftige Trainings und Analysen.

## Normenregister

| Norm | Inhalt | Quelle |
|---|---|---|
| § 130 OWiG | Aufsichtspflichtverletzung | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/owig/__130.html) |
| § 93 AktG | Sorgfaltspflicht Vorstand | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/aktg/__93.html) |
| LkSG | Lieferkettensorgfaltspflichten | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/lksg/) |
| HinSchG | Hinweisgeberschutz 2023 | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/hinschg/) |
| BGH II ZR 234/09 | Siemens/Neubürger CMS | [openjur.de](https://openjur.de/o/577696.html) |

## Ausgabeformate

- **Lessons-Learned-Bericht-Template** (Root Causes, Empfehlungen, Maßnahmen)
- **Compliance-Risikoassessment-Update** nach Untersuchung
- **Schulungs-Case-Study** (anonymisiert)
- **Behörden-Fortschrittsbericht** (Nachweis Systemverbesserungen)
- **CMS-Wirksamkeits-Prüfliste** (IDW PS 980)

Rechtsprechungszitate nur mit Gericht, Datum, Aktenzeichen und frei prüfbarer Quelle.
