Die Schlagzeilen gehören den Großkonzernen, doch die eigentliche Gefahr lauert im Mittelstand. Wenn ein Mitarbeiter Bestechungsgelder zahlt, Kundendaten verliert oder gegen das Lieferkettengesetz verstößt, steht nicht nur das Unternehmen am Pranger. Die Staatsanwaltschaft schaut immer öfter direkt auf die Führungsetage.
Compliance ist kein bloßes Modewort für Dax-Konzerne mehr. Sie ist eine harte, einklagbare Rechtspflicht für jeden Geschäftsführer und Vorstand. Wer hier spart, riskiert sein Privatvermögen und im schlimmsten Fall die eigene Freiheit.
Kurz & Knapp: Haftungsrisiken im Management
- Organisationsverschulden: Geschäftsführer haften persönlich für Rechtsverstöße ihrer Mitarbeiter, wenn sie kein funktionierendes Compliance-System eingerichtet haben (OLG Nürnberg, 2022).
- Die Garantenpflicht: Wegschauen ist strafbar. Werden Verstöße erkannt, aber nicht abgestellt, droht Führungskräften und Compliance-Officern eine Verurteilung wegen "Beihilfe durch Unterlassen" (BGH, BSR-Urteil).
- Beweislastumkehr: Im Schadensfall muss nicht der Aufsichtsrat beweisen, dass der Vorstand Fehler gemacht hat – der Vorstand muss nach § 93 AktG beweisen, dass er fehlerfrei gehandelt hat (Business Judgment Rule).
Die Business Judgment Rule: Wenn Dokumentation das Privatvermögen rettet
Die Grundlage der Managerhaftung findet sich in § 93 Abs. 1 S. 2 AktG (die sogenannte "Business Judgment Rule"), die analog auch für GmbH-Geschäftsführer gilt. Sie besagt:
"Eine Pflichtverletzung liegt nicht vor, wenn der Geschäftsführer vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln."
Das klingt zunächst beruhigend. Das Problem liegt jedoch im Prozessrecht: Die Unternehmensleitung trägt die Beweislast.
Wenn ein Kartellverstoß oder eine massive Datenpanne Millionenstrafen verursacht, wird das Unternehmen (vertreten durch den Aufsichtsrat oder die Gesellschafterversammlung) den Geschäftsführer auf Schadensersatz verklagen. Der Geschäftsführer muss dann lückenlos dokumentieren können, dass er ein angemessenes Compliance-Management-System (CMS) installiert, geschult und überwacht hat. Fehlt diese Dokumentation, greift die persönliche Haftung mit dem gesamten Privatvermögen.
Organisationsverschulden: Die Illusion der Delegation
"Dafür haben wir doch einen Compliance Officer."
Dieser Satz fällt in Krisengesprächen oft. Er ist rechtlich jedoch wertlos. Das Oberlandesgericht Nürnberg hat 2022 (Az.: 12 U 1520/19) noch einmal unmissverständlich klargestellt: Aus der Legalitätspflicht der Unternehmensleitung folgt die zwingende Verpflichtung zur Einrichtung von organisatorischen Vorkehrungen, die Rechtsverstöße verhindern.
Delegiert ein Geschäftsführer die Compliance-Aufgaben an einen Abteilungsleiter oder Compliance Officer, befreit ihn das nicht von der Haftung. Die Gerichte prüfen in diesem Fall das sogenannte Organisationsverschulden auf drei Ebenen:
1. Auswahlverschulden: Wurde eine ausreichend qualifizierte Person für den Posten ausgewählt? 2. Anweisungsverschulden: Wurde die Person mit den nötigen Befugnissen, Ressourcen und klaren Arbeitsanweisungen ausgestattet? 3. Überwachungsverschulden: Hat die Geschäftsführung regelmäßig kontrolliert, ob das Compliance-System auch tatsächlich funktioniert?
Compliance bleibt zwingend Chefsache. Die operative Arbeit darf delegiert werden, die ultimative Verantwortung niemals.
Experten-Tipp: Das BSR-Urteil und die Garantenpflicht
"Das berühmte BSR-Urteil des BGH (5 StR 394/09) hat die Spielregeln verschärft. Wenn ein Leiter Recht oder Compliance Officer betrügerische Abrechnungen entdeckt und auf Weisung seines Vorgesetzten schweigt, macht er sich wegen 'Beihilfe durch Unterlassen' strafbar. Er hat eine Garantenpflicht zur Schadensabwendung. Die korrekte Eskalationskette lautet: Reporting an den Gesamtvorstand. Hilft das nicht: Aufsichtsrat. Erst als Ultima Ratio: Behörden. Etablieren Sie diese Reporting-Linien präventiv, um Ihre Mitarbeiter nicht in unlösbare rechtliche Konflikte zu stürzen."
Risikoanalyse: Der erste Schritt zur Enthaftung
Ein wirksames Compliance-System beginnt nicht mit teurer Software, sondern mit einer ungeschönten Risikoanalyse (§ 91 Abs. 2 AktG). Eine pauschale Vorlage aus dem Internet reicht nicht aus; Behörden fordern passgenaue, unternehmensspezifische Maßnahmen.
Typische rote Flaggen für Ermittlungsbehörden sind:
Die Risikoanalyse muss operative, finanzielle und rechtliche Risiken priorisieren (z.B. über ein klassisches Ampelmodell oder ein Punktesystem). Risikoworkshops und Interviews mit Schlüsselpersonal auf der Umsetzungsebene bilden das Herzstück dieser Bewertung.
Erst wenn das "Bruttorisiko" (die Gefahr ohne Schutzmaßnahmen) definiert ist, können Sie das "Nettorisiko" (die Restgefahr nach Implementierung von Richtlinien, Speak-Up-Stellen und Trainings) berechnen und steuern.
Tödlich für den Vertrieb: Das Wettbewerbsregister
Neben Bußgeldern (§ 130 OWiG) und privater Haftung droht Unternehmen eine oft tödliche wirtschaftliche Konsequenz: das Blacklisting.
Seit der Einführung des elektronischen Wettbewerbsregisters beim Bundeskartellamt (Vollbetrieb seit 2021) sind öffentliche Auftraggeber verpflichtet, die Zuverlässigkeit von Unternehmen abzufragen, bevor sie Aufträge vergeben. Einträge wegen Bestechung, Geldwäsche, Steuerhinterziehung oder schweren arbeitsrechtlichen Verstößen (Mindestlohn) führen zwingend zum Ausschluss von öffentlichen Vergabeverfahren (§§ 123 ff. GWB).
Für Unternehmen, die Krankenhäuser, Kommunen oder Ministerien beliefern, bedeutet ein solcher Eintrag oft das wirtschaftliche Aus. Nur durch einen nachweisbaren, tiefgreifenden "Selbstreinigungsprozess" (Trennung von Tätern, Implementierung robuster Compliance-Strukturen) kann ein Unternehmen vorzeitig aus dem Register gelöscht werden.
Fazit: Compliance als strategischer Schutzschild
Gute Compliance verhindert nicht nur Strafen, sie schützt das operative Geschäft und das Privatvermögen der Geschäftsführung. Ein "Tone from the Top", der Gesetzesverstöße um des Gewinnes willen toleriert, führt heute unweigerlich in die strafrechtliche und zivilrechtliche Haftung.
Bauen Sie ein System auf, das Risiken identifiziert, Mitarbeiter schult und Eskalationswege klar definiert. Dokumentieren Sie jeden Schritt – denn vor Gericht gilt: Was nicht dokumentiert ist, ist nicht passiert.
--- Ist Ihre Geschäftsführung haftungssicher aufgestellt? Lassen Sie uns Ihr aktuelles Compliance-Management-System in einer vertraulichen Ersteinschätzung auf den Prüfstand stellen. [Termin vereinbaren](/terminbuchung).
Über den Autor: Dr. Adam S. Dampc
Dr. Dampc ist Rechtsanwalt, Schiedsrichter und zertifizierter Compliance Officer. Er berät den Mittelstand an der Schnittstelle von Unternehmensrecht, internationalem Steuerrecht und digitaler Compliance, um Geschäftsleiter proaktiv vor der persönlichen Haftung zu schützen.