Compliance – Haftung vermeiden, Schäden begrenzen

Compliance, also die konsequente Einhaltung von Gesetzen und Regeln, ist längst fester Teil der Unternehmensführung. Für Geschäftsführer und Vorstände ist sie keine freiwillige Kür: Fehlt ein funktionierendes Sicherungs- und Kontrollsystem, drohen persönliche Haftung, Schadenersatzansprüche und empfindliche Bußgelder. Auf dem Spiel stehen das Vermögen der Verantwortlichen, der wirtschaftliche Erfolg und die Reputation des Unternehmens.

Ein Compliance-Verstoß bedeutet dabei nicht nur, dass eine Vorschrift verletzt wurde, sondern auch, dass das Delikt nicht verhindert und dass die Unternehmensleitung ihren Organisations- und Überwachungspflichten nicht nachgekommen ist. Genau an dieser Pflicht setzt die Haftung an – auch dann, wenn die handelnde Person von den Vorgängen nichts wusste.

Dieser Beitrag erläutert, was Compliance im gesellschaftsrechtlichen Sinn bedeutet, welche Pflichten die Geschäftsleitung treffen, welche Folgen Verstöße haben und wie ein Compliance-System vor Haftung schützt. Er richtet sich an Geschäftsführer, Vorstände, Aufsichtsräte und Unternehmen jeder Größe.

Was bedeutet Compliance im Gesellschaftsrecht?

Compliance bezeichnet die Regel- und Gesetzestreue eines Unternehmens und die Vorkehrungen, die sicherstellen, dass diese Treue Teil der Unternehmenskultur ist und nicht auf Zufall beruht. Im gesellschaftsrechtlichen Kern geht es um die Pflicht der Leitungsorgane, ein internes Sicherungs- und Kontrollsystem einzurichten, das Rechtsverstöße durch das Management und die Mitarbeiter verhindert.

Adressaten sind in erster Linie Geschäftsführer und Vorstände, die für die Organisation verantwortlich sind. Über die Aufsichtspflichtverletzung nach § 130 OWiG und die Verbandsgeldbuße nach § 30 OWiG gerät auch das Unternehmen selbst in den Fokus. Bei mehreren Leitungspersonen besteht eine gemeinsame Verantwortung, die gegenseitige Information und Überwachung einschließt.

Rechtlicher Rahmen

Eine ausdrückliche allgemeine Pflicht, ein Compliance-System zu unterhalten, gibt es nicht. Aus den Sorgfalts- und Aufsichtspflichten folgt jedoch, dass je nach Größe, Branche und Risikoprofil angemessene Vorkehrungen geboten sind. Maßgeblich sind insbesondere § 43 GmbHG und § 93 AktG (Sorgfalt der Geschäftsleitung), §§ 30, 130 OWiG (Verbandsgeldbuße und Aufsichtspflicht) sowie die Pflicht zur Einrichtung eines Überwachungssystems (§§ 91, 93 AktG, § 43 GmbHG, § 1 StaRUG).

Hinzu kommt das Hinweisgeberschutzgesetz, nach dem Unternehmen ab einer bestimmten Größe interne Meldestellen einrichten und Hinweisgeber vor Benachteiligungen schützen müssen; für Arbeitgeber mit 50 bis 249 Beschäftigten gilt die Pflicht seit dem 17. Dezember 2023. Je nach Branche treten spezielle Vorgaben hinzu, etwa aus dem Steuer-, Datenschutz-, Vergabe-, Umwelt- oder Kartellrecht.

Aktuelle Entwicklungen: Pflichten und Anreize

Mehrere Entwicklungen erhöhen die Bedeutung wirksamer Compliance.

• Hinweisgeberschutz: Interne Meldestellen sind für Unternehmen ab 50 Beschäftigten verpflichtend; Meldewege müssen vertraulich und ordnungsgemäß betrieben werden.
• Compliance als Milderungsgrund: Der BGH hat bestätigt, dass die Einrichtung eines funktionierenden Compliance-Management-Systems die Geldbuße gegen das Unternehmen senken kann, auch wenn sie erst nach einem Verstoß erfolgt.
• Persönliche Organhaftung: Wer als Geschäftsführer oder Vorstand für Compliance nicht sorgt, haftet persönlich auf Schadenersatz, unter Umständen auch ohne eigene Verwicklung in den Verstoß.
• Internationale Risiken: Geschäftsanbahnung durch Schmiergelder im Ausland ist in Deutschland strafbar (§§ 299, 334 StGB), auch wenn Bestechung im betreffenden Staat verbreitet ist.

Praxishinweis: Selbst nach einem Gesetzesverstoß bringt das aktive Bemühen um ein funktionierendes Compliance-System noch Vorteile. Es kann sich günstig auf die Höhe drohender Bußgelder auswirken. Entscheidend ist, dass das System nicht nur auf dem Papier besteht, sondern dokumentiert gelebt wird.

Die Grundlagen im Überblick

Vier Fragen bestimmen in der Praxis fast jeden Compliance-Fall:

1. Wurde eine Vorschrift verletzt – und auf welcher Hierarchieebene?
2. Hat die Leitung ihre Organisations- und Aufsichtspflichten erfüllt?
3. Welche Folgen drohen – Schadenersatz, Bußgeld, Einziehung, Reputations- und Vergabenachteile?
4. Welche Maßnahmen begrenzen den Schaden und verhindern künftige Verstöße?

Fehler bei einer dieser Fragen entscheiden darüber, ob die Geschäftsleitung persönlich haftet und wie hoch ein Bußgeld gegen das Unternehmen ausfällt.

Pflichten der Geschäftsleitung

Zur Pflicht der Geschäftsführer gehört es, ein Überwachungssystem einzurichten, mit dem sie die Lage des Unternehmens jederzeit beurteilen können. Bei mehreren Geschäftsführern oder Vorständen tragen diese die Verantwortung gemeinsam: Sie müssen sich austauschen, einander zumindest im Auge behalten und bei Verdacht auf Unregelmäßigkeiten im eigenen wie im fremden Ressort einschreiten. Auch die nachgeordneten Mitarbeiter sind im Blick zu behalten – von der Auswahl über Schulungen bis zur Aufklärung von Verstößen.

Folgen eines Compliance-Verstoßes

Die Folgen sind vielfältig: Das Unternehmen kann von Geschäftsführern oder Vorständen Schadenersatz fordern (u. a. §§ 43 GmbHG, 93 AktG); dem Unternehmen droht die Einziehung des erlangten wirtschaftlichen Vorteils und eine Verbandsgeldbuße. Hinzu kommen Schadenersatzansprüche von Wettbewerbern, steuerliche Abzugsverbote, eine Verschlechterung des Ratings sowie der Ausschluss von öffentlichen Aufträgen. Die wirtschaftlichen Folgen übersteigen die unmittelbare Sanktion oft deutlich.

Achtung: Die persönliche Haftung kann auch eine Leitungsperson treffen, die von dem Verstoß nichts wusste. Im bekannten Fall einer großen Aktiengesellschaft verurteilte das Landgericht München I 2013 ein Vorstandsmitglied zu 15 Millionen Euro Schadenersatz, weil es kein funktionierendes Compliance-System eingerichtet hatte, obwohl der Verstoß außerhalb seines Verantwortungsbereichs lag.

Wie ein Compliance-System schützt

Ein Compliance-System ist ein Organisationskonzept, das Kontrollverfahren und Kommunikationsabläufe festlegt, um pflichtkonformes Handeln sicherzustellen. Ein gut aufgestelltes System kann das Management nach einem Verstoß vor der Haftung schützen und die Höhe von Bußgeldern senken; fehlen Compliance-Maßnahmen, erhöht sich das Haftungsrisiko beträchtlich. Welches System angemessen ist, hängt von Branche, Größe und Risikoprofil ab; als Orientierung dienen anerkannte Standards. Entscheidend ist nicht das Papier, sondern die gelebte und dokumentierte Umsetzung.

Typische Risikofelder – und wie sie sich vermeiden lassen

Fehlendes oder bloß formales System. Ein nicht gelebtes System schützt nicht. Compliance muss dokumentiert umgesetzt werden.

Vernachlässigte Überwachung. Die gegenseitige Beobachtung der Leitungsorgane und die Aufsicht über Mitarbeiter sind Pflicht. Wegsehen schützt nicht.

Internationale Geschäfte. Zuwendungen im Ausland bergen erhebliche Risiken. Kooperationen sollten vorab geprüft werden.

Fehlende Reaktion nach einem Verstoß. Wer nach einem Verstoß nicht handelt, verschenkt die Chance auf eine Milderung. Schwachstellen sind sofort zu schließen.

Was Unternehmen jetzt tun sollten

Risiken erfassen. Die relevanten Vorschriften und Risikobereiche sollten systematisch bestimmt werden.

System einrichten und leben. Ein angemessenes Compliance-System muss dokumentiert umgesetzt werden.

Meldewege schaffen. Interne Meldestellen nach dem Hinweisgeberschutzgesetz sind einzurichten.

Bei Verstößen schnell handeln. Eine strukturierte interne Untersuchung und das Schließen von Schwachstellen begrenzen den Schaden.

Wir beraten Sie zu Compliance und Haftung

Wenn möglicherweise ein Compliance-Verstoß vorliegt, sagen wir Ihnen schnell, was Ihnen oder Ihrem Unternehmen droht, und beraten Sie konkret zum weiteren Vorgehen. Wir konzipieren und prüfen Compliance-Systeme, begleiten interne Untersuchungen und verteidigen Ihre Interessen gegenüber Behörden und Anspruchstellern. Mit Erfahrung aus Gesellschafts-, Steuer- und Wirtschaftsstrafrecht schützen wir Sie vor Haftung und begrenzen Schäden – kompetent, vorausschauend und mit Durchsetzungskraft.