Criminal Compliance – strafrechtliche Prävention im Unternehmen

Compliance umfasst organisatorische Maßnahmen, mit denen ein Unternehmen die Einhaltung von Gesetzen, internen Richtlinien und ethischen Standards sicherstellt. Criminal Compliance zielt speziell darauf ab, Straftaten und Ordnungswidrigkeiten aus dem Unternehmen heraus zu verhindern. Ein wirksames System schützt nicht nur das Unternehmen vor Sanktionen, sondern kann auch die persönliche Inanspruchnahme der Geschäftsleitung wegen Organisations- oder Aufsichtsmängeln erheblich reduzieren.

Die Anforderungen sind in den letzten Jahren gestiegen: verschärftes Sanktions- und Umweltstrafrecht, neue IT-Sicherheitspflichten und verbindliche Meldewege machen ein durchdachtes Compliance-Management heute für viele Unternehmen zur Pflicht.

Dieser Beitrag gibt einen Überblick über den rechtlichen Rahmen, die Pflichten der Geschäftsleitung, typische Risikofelder und die Bausteine eines belastbaren Compliance-Management-Systems. Er richtet sich an Geschäftsführer und Vorstände, Compliance-Verantwortliche sowie an Gesellschafter und Aufsichtsorgane.

Was bedeutet Criminal Compliance?

Criminal Compliance ist die Gesamtheit der Maßnahmen, mit denen ein Unternehmen strafbares Verhalten aus seinen Reihen verhindert, frühzeitig aufdeckt und angemessen darauf reagiert. Anders als ein reines Regelwerk ist sie ein fortlaufender Prozess aus Risikoanalyse, Prävention, Kontrolle und Reaktion. Ihr Adressat ist in erster Linie die Geschäftsleitung, die für die Organisation des Unternehmens verantwortlich ist.

Rechtlicher Rahmen: § 130 OWiG und die Pflichten der Geschäftsleitung

Deutschland kennt weiterhin kein einheitliches Unternehmensstrafrecht. Gleichwohl ergeben sich aus verschiedenen Normen klare Organisations- und Überwachungspflichten. Zentrale Bedeutung hat § 130 OWiG: Danach handelt ordnungswidrig, wer als Inhaber oder Leitungsperson erforderliche Aufsichtsmaßnahmen unterlässt, die Zuwiderhandlungen im Unternehmen verhindern oder wesentlich erschweren würden. Über § 30 OWiG können daraus erhebliche Unternehmensgeldbußen folgen. Daneben begründen § 43 GmbHG und § 93 AktG strenge Sorgfaltspflichten der Geschäftsleitung. Je nach Größe, Branche und Risikoprofil ist ein funktionierendes Compliance-Management-System heute regelmäßig geboten.

Beachte: Eine echte strafrechtliche Unternehmensverantwortlichkeit gibt es in Deutschland weiterhin nicht. Allerdings können nach § 30 OWiG erhebliche Unternehmensgeldbußen verhängt werden. In Sondermaterien wie dem Kartell-, Datenschutz- oder Sanktionsrecht kommen zusätzlich sehr hohe bußgeldrechtliche Sanktionen in Betracht.

Aktuelle Entwicklungen: Höhere Sanktionen, verbindliche Meldewege

Wer den Stellenwert von Compliance heute einschätzen will, muss mehrere parallele Entwicklungen kennen.

• Hinweisgeberschutzgesetz: Unternehmen ab einer bestimmten Größe müssen interne Meldestellen einrichten und Hinweisgeber vor Benachteiligung schützen. Meldewege sind damit nicht mehr freiwillig, sondern gesetzliche Pflicht.
• Drastisch höhere Bußgelder im Sanktionsrecht: Mit der Reform des Außenwirtschaftsrechts können Unternehmen für Sanktionsverstöße mit Geldbußen von bis zu 40 Millionen Euro oder fünf Prozent des weltweiten Jahresumsatzes belegt werden.
• Neue IT-Sicherheitspflichten: Das seit Dezember 2025 geltende NIS-2-Umsetzungsgesetz verpflichtet einen erweiterten Kreis von Unternehmen zu Risikomanagement und Meldungen und macht IT-Sicherheit zur Chefsache.
• Verschärftes Umweltstrafrecht: Die anstehende Umsetzung der EU-Umweltstrafrechtsrichtlinie erhöht auch hier die Verbandsgeldbußen erheblich.

Gut zu wissen: In einem laufenden Ermittlungs- oder Bußgeldverfahren kann der Nachweis ernsthafter Compliance-Bemühungen bei der Bewertung des Unternehmensverhaltens erheblich ins Gewicht fallen – sowohl bei der Höhe der Verbandsgeldbuße als auch bei der Frage einer Verfahrenseinstellung.

Die Grundlagen im Überblick

Vier Fragen bestimmen den Aufbau jedes Compliance-Systems:

1. Welche spezifischen Risiken bestehen für das Unternehmen – nach Branche, Größe, Geschäftsmodell und Auslandsbezug?
2. Welche Pflichten der Geschäftsleitung folgen daraus, und wie werden sie organisatorisch erfüllt?
3. Wie werden Verstöße erkannt, gemeldet und aufgeklärt – und wer entscheidet über die Reaktion?
4. Wie lässt sich die Wirksamkeit dokumentieren, um im Ernstfall entlastend zu wirken?

Typische Szenarien

Unzureichende Compliance-Strukturen fallen meist erst dann auf, wenn bereits ein Schaden eingetreten ist. Typische Fälle betreffen Korruptionshandlungen im Vertrieb, Kartellverstöße, Verstöße gegen Exportkontrollen oder Datenschutzvorfälle. Sobald gegen einzelne Mitarbeiter ermittelt wird, richtet sich der Blick der Behörden häufig auch auf die Unternehmensorganisation. Im Zentrum steht dann die Frage, ob die Geschäftsleitung durch angemessene Kontrollen, Schulungen und Freigabeprozesse die Tat hätte verhindern oder erschweren können.

Die Folgen eines Organisationsverschuldens

Neben Unternehmensgeldbußen drohen die Einziehung erlangter Vorteile, Reputationsschäden und interne Regressansprüche. Für die Geschäftsleitung kann ein festgestelltes Organisationsverschulden zu persönlicher zivilrechtlicher Haftung und in gravierenden Fällen auch zu strafrechtlichen Vorwürfen führen, etwa wegen Beihilfe durch Unterlassen oder wegen eigener Aufsichtspflichtverletzungen nach § 130 OWiG.

So sieht ein belastbares Compliance-System aus

Ein gutes Compliance-System ist kein Papiertiger. Es beginnt mit einer sorgfältigen Risikoanalyse und benötigt klare Verhaltensregeln, abgestufte Kontrollmechanismen, wirksame Meldewege und regelmäßige Schulungen. In vielen Unternehmen gehört heute auch ein Hinweisgebersystem nach dem Hinweisgeberschutzgesetz dazu. Entscheidend ist, dass das System gelebt und seine Wirksamkeit dokumentiert wird. Die Unterstützung durch spezialisierte Rechtsanwälte ist bei der Konzeption, Umsetzung und Überprüfung solcher Systeme besonders wertvoll.

Reaktion im Ernstfall: Interne Untersuchungen

Verdichtet sich ein Verdacht, kommt es auf eine strukturierte interne Untersuchung an. Sie dient der Aufklärung des Sachverhalts, der Abstellung von Verstößen und der Vorbereitung der Kommunikation mit Behörden. Dabei sind arbeits-, datenschutz- und strafprozessuale Vorgaben zu beachten. Eine professionell geführte Untersuchung kann erheblich dazu beitragen, die Folgen für das Unternehmen zu begrenzen und Kooperationsvorteile zu sichern.

Praxishinweis: Wer eine interne Untersuchung führt, sollte von Beginn an klären, wem die Ergebnisse zustehen, wie mit Mitarbeiterbefragungen umzugehen ist und ob und wann mit den Behörden kommuniziert wird. Fehler in dieser Phase lassen sich später kaum korrigieren.

Was Unternehmen jetzt tun sollten

Risiken analysieren. Grundlage jedes Systems ist eine ehrliche, dokumentierte Risikoanalyse nach Branche und Geschäftsmodell.

Pflichten umsetzen. Hinweisgebersystem, IT-Sicherheits- und Sanktionscompliance sollten auf den aktuellen Stand gebracht werden.

Wirksamkeit dokumentieren. Schulungen, Freigaben und Kontrollen sollten nachweisbar erfolgen, um im Ernstfall entlastend zu wirken.

Reaktionsfähigkeit sichern. Für den Verdachtsfall sollten Abläufe für interne Untersuchungen und Behördenkommunikation vorbereitet sein.

Wir beraten und verteidigen Sie

Wir unterstützen Geschäftsleitungen und Unternehmen bei der Konzeption, Umsetzung und Überprüfung von Compliance-Management-Systemen, beim Aufbau von Hinweisgebersystemen und bei der Durchführung interner Untersuchungen. Kommt es zum Ernstfall, verteidigen wir das Unternehmen und seine Verantwortlichen in Ermittlungs- und Bußgeldverfahren und bringen den Nachweis ernsthafter Compliance-Bemühungen wirksam ein. Diskret, spezialisiert und mit der Erfahrung aus komplexen Wirtschaftsstrafverfahren.