Ein Compliance Programm ist mehr als eine Sammlung von Richtlinien — es ist das operative Fundament dafür, dass ein Unternehmen rechtliche Verstöße nicht nur zufällig vermeidet, sondern strukturell verhindert. Für Unternehmen, die mit Ermittlungsbehörden zu tun bekommen, kann ein nachweislich wirksames Compliance Programm den Unterschied zwischen einer empfindlichen Strafe und einer milderen Sanktion bedeuten. Dieser Beitrag zeigt, was ein Compliance Programm leisten muss, wie es aufgebaut wird — und warum es aus Strafverteidiger-Perspektive so wichtig ist.
Was ist ein Compliance Programm?
Ein Compliance Programm im Unternehmen ist ein systematisches, organisatorisches Regelwerk, das sicherstellen soll, dass Unternehmen und ihre Mitarbeiter gesetzliche Vorschriften und interne Richtlinien einhalten. Es umfasst Strukturen, Prozesse, Kontrollen und Kommunikationsmaßnahmen — kurz: alles, was dazu beiträgt, Rechtsverstöße zu verhindern, frühzeitig zu erkennen und bei Bedarf aufzuklären.
Ein Compliance Programm ist nicht identisch mit einer Compliance-Abteilung. Kleine Unternehmen können ein wirksames Compliance Programm ohne eigene Abteilung betreiben. Entscheidend ist nicht die Größe der Struktur, sondern ihre Wirksamkeit.
Warum ein Compliance Programm für Unternehmen unverzichtbar ist
Die Frage, warum ein Unternehmen ein Compliance Programm einrichten sollte, beantwortet sich auf mehreren Ebenen:
- Strafmilderung: Nach § 17 Abs. 3 OWiG kann die Bußgeldminderung bei Ordnungswidrigkeiten ausdrücklich davon abhängen, ob das Unternehmen Compliance-Maßnahmen ergriffen hat. Behörden weltweit — von der Bundesnetzagentur bis zum Bundeskartellamt — berücksichtigen ein wirksames Compliance Programm bei der Sanktionsbemessung.
- Haftungsreduzierung für Organe: Wer als Geschäftsführer oder Vorstand nachweisen kann, ein wirksames Compliance Programm eingerichtet und überwacht zu haben, steht bei einer persönlichen Inanspruchnahme erheblich besser da.
- Früherkennung: Ein gut funktionierendes Compliance Programm erkennt Risiken bevor sie zu Verstößen werden — und schützt damit das Unternehmen vor Schäden, Reputationsverlust und Verfahren.
- Marktstandard: Für Unternehmen in regulierten Sektoren (Finanz, Energie, Rüstung) und für Lieferanten von Großunternehmen ist ein Compliance Programm zunehmend Voraussetzung für Geschäftsbeziehungen.
Die sieben Kernelemente eines wirksamen Compliance Programms
International — und zunehmend auch in Deutschland — hat sich eine Grundstruktur für Compliance Programme etabliert, die auf sieben Kernelementen basiert. Diese gehen u.a. auf die US Federal Sentencing Guidelines zurück und werden sinngemäß auch von deutschen Strafverfolgungsbehörden und Gerichten als Maßstab herangezogen:
1. Compliance-Risikoanalyse
Der Ausgangspunkt jedes Compliance Programms ist eine systematische Analyse der unternehmenstypischen Rechtsrisiken. Wo entstehen erfahrungsgemäß Verstöße? In welchen Geschäftsbereichen, Ländern, Produkt- oder Dienstleistungslinien? Die Risikoanalyse definiert Schwerpunkte und Ressourceneinsatz des Compliance Programms.
2. Compliance-Richtlinien und Code of Conduct
Auf Basis der Risikoanalyse werden klare, verständliche Verhaltensregeln entwickelt — ein Code of Conduct und bereichsspezifische Richtlinien (z.B. Anti-Korruption, Datenschutz, Kartellrecht, Geldwäscheprävention). Diese müssen nicht nur existieren, sondern müssen Mitarbeitern aktiv zugänglich sein und verstanden werden.
3. Organisationsstruktur und Verantwortlichkeiten
Ein Compliance Programm braucht klare Zuständigkeiten: Wer ist für Compliance verantwortlich? Wer ist Ansprechpartner für Mitarbeiter? Wer eskaliert an Geschäftsleitung oder Aufsichtsrat? Die Struktur muss — schriftlich — festgelegt sein.
4. Schulung und Kommunikation
Richtlinien, die nicht bekannt sind, schützen nicht. Regelmäßige Schulungen — angepasst an Risikograd und Funktion der Mitarbeiter — sind unverzichtbar. Besonders exponierte Mitarbeiter (Vertrieb, Einkauf, Finanzbereich) brauchen intensivere und häufigere Schulungsmaßnahmen.
5. Hinweisgebersystem (Whistleblowing)
Ein vertraulicher Meldekanal, über den Mitarbeiter Verdachtsfälle anonym oder nicht-anonym melden können, ist nicht nur nach dem Hinweisgeberschutzgesetz (HinSchG) für viele Unternehmen Pflicht — er ist auch das wichtigste Frühwarnsystem des Compliance Programms. Ein schlecht ausgestaltetes Hinweisgebersystem, das Meldern keine echte Vertraulichkeit garantiert, ist nutzlos.
6. Monitoring und interne Kontrollen
Ein Compliance Programm muss sich selbst überprüfen. Regelmäßige interne Audits, Transaktionscontrols und Risikoberichte stellen sicher, dass Schwachstellen erkannt werden — bevor externe Behörden sie finden.
7. Reaktion und Verbesserung
Wenn ein Verstoß erkannt wird: Was passiert? Ein Compliance Programm definiert klare Reaktionsprozesse — wer wird informiert, wie wird untersucht, welche Konsequenzen folgen? Und: Was wird anschließend verändert, um den gleichen Verstoß zu verhindern?
Compliance Programm und § 30/§ 130 OWiG — der rechtliche Zusammenhang
Im deutschen Recht ist das Compliance Programm eng mit zwei zentralen Normen verknüpft:
§ 130 OWiG regelt die Aufsichtspflichtverletzung: Wer als Unternehmensinhaber oder Beauftragter die gebotene Aufsicht unterlässt und damit Zuwiderhandlungen ermöglicht, handelt ordnungswidrig. Ein wirksames Compliance Programm ist der Nachweis, dass die gebotene Aufsicht nicht unterlassen wurde.
§ 30 OWiG erlaubt die Verhängung von Geldbußen gegen juristische Personen, wenn eine Leitungsperson eine Straftat oder Ordnungswidrigkeit begangen hat. Bei der Bemessung der Geldbuße spielt ein nachgewiesenes, wirksames Compliance Programm eine erhebliche Rolle — als strafmildernder Faktor.
Praxishinweis: Ein Compliance Programm auf dem Papier ohne nachweisliche Umsetzung ist wertlos. Behörden und Gerichte schauen auf die tatsächliche Praxis — nicht auf die Existenz von Richtlinien.
Besonderheiten bei internationalen Compliance Programmen
Unternehmen mit grenzüberschreitenden Aktivitäten stehen vor der Herausforderung, dass ihre Compliance Programme unterschiedliche Rechtsrahmen gleichzeitig abdecken müssen: Neben dem deutschen Recht können US-amerikanisches (FCPA), britisches (UK Bribery Act), französisches (Sapin II) oder EU-Recht (z.B. EU-Sanktionsregime, NIS-2) relevant sein.
Ein international ausgerichtetes Compliance Programm muss deshalb das sogenannte „höchste gemeinsame Level“ der jeweils einschlägigen Rechtsrahmen als Mindeststandard setzen — und dabei trotzdem handhabbar bleiben.
Compliance Programm im Ernstfall: Die Verteidigungsperspektive
Wenn Ermittlungen eingeleitet werden, wird das Compliance Programm zur ersten Verteidigungslinie. Die entscheidenden Fragen aus Sicht von Staatsanwaltschaft und Gericht:
- War das Compliance Programm angemessen auf die Risiken des Unternehmens zugeschnitten?
- War es nicht nur auf dem Papier vorhanden, sondern tatsächlich gelebt?
- Hat das Unternehmen auf erkannte Schwachstellen reagiert?
- Hat das Compliance Programm den Verstoß verhindert oder zumindest erschwert?
Zu beachten ist: Ein wirksames Compliance Programm, das dennoch einen Verstoß nicht verhindern konnte, führt nicht zur Straflosigkeit — es ist aber ein erheblicher Faktor bei der Sanktionsbemessung und kann in bestimmten Konstellationen sogar eine Einstellung des Verfahrens ermöglichen.
Weiterführend: Interne Untersuchungen im Unternehmen: Der Leitfaden
Weiterführend: § 30 OWiG: Unternehmensgeldbuße — Risiko und Verteidigung
Weiterführend: Durchsuchung im Unternehmen: Rechte, Pflichten und Checkliste
Häufige Fragen zum Compliance Programm
Ab welcher Unternehmensgröße braucht man ein Compliance Programm?
Eine gesetzliche Mindestgröße gibt es nicht — aber der Maßstab der gebotenen Aufsicht (§ 130 OWiG) gilt für jeden Betrieb. Ein Unternehmen mit 10 Mitarbeitern braucht kein 50-seitiges Compliance-Handbuch; es braucht klare Regeln, kommuniziert und kontrolliert. Je größer, internationaler und risikoreicher das Unternehmen, desto strukturierter muss das Programm sein.
Wie oft muss ein Compliance Programm aktualisiert werden?
Mindestens jährlich — und immer dann, wenn sich Gesetze ändern, neue Risikofelder entstehen oder nach erkannten Schwachstellen. Ein Compliance Programm ist kein Dokument, das einmal erstellt und dann vergessen wird. Es lebt — oder es schützt nicht.
Schützt ein Compliance Programm den Geschäftsführer persönlich?
Ja, erheblich — wenn es angemessen ausgestaltet ist und tatsächlich gelebt wird. Wer nachweisen kann, dass er alle zumutbaren Maßnahmen zur Verhinderung von Verstößen ergriffen hat, steht bei einer persönlichen Inanspruchnahme deutlich besser da. Entscheidend ist die Qualität des Nachweises — Dokumentation ist alles.
Was kostet ein professionelles Compliance Programm?
Das ist stark unternehmensindividuell. Für mittelständische Unternehmen können externe Berater für Aufbau und erste Schulungen fünfstellige Beträge verlangen; größere Programme mit kontinuierlichem Monitoring und regulatorischer Anpassung liegen deutlich höher. Zum Vergleich: Eine einzige Unternehmensgeldbuße nach § 30 OWiG kann schnell in die Millionen gehen.
Häufige Fragen zum Compliance Programm
Ab welcher Unternehmensgröße ist ein Compliance Programm Pflicht?
Eine gesetzliche Pflicht zum Aufbau eines Compliance Programms besteht in Deutschland ab einer bestimmten Unternehmensgröße nicht. Allerdings ergibt sich aus § 130 OWiG eine Pflicht zur Aufsicht, die bei größeren Unternehmen regelmäßig den Aufbau organisierter Compliance-Strukturen erfordert. Für Unternehmen ab ca. 250 Mitarbeitern oder in regulierten Branchen (Finanzsektor, Rüstung, Gesundheit) ist ein funktionierendes Compliance Management System faktisch unverzichtbar.
Welche Elemente muss ein wirksames Compliance Programm enthalten?
Ein wirksames Compliance Programm umfasst mindestens: eine Risikoanalyse, klare Compliance-Richtlinien (Code of Conduct), einen Compliance Officer mit ausreichenden Befugnissen, Schulungsprogramme, ein vertrauliches Hinweisgebersystem sowie regelmäßige interne Kontrollen und Audits. Entscheidend ist, dass das Programm nicht nur auf dem Papier existiert, sondern tatsächlich gelebt wird.
Kann ein Compliance Programm die Unternehmensstrafe nach § 30 OWiG reduzieren?
Ja. Nach aktueller Rechtspraxis und der Rechtsprechung des BGH kann ein funktionierendes Compliance Management System die Unternehmensbuße nach § 30 OWiG erheblich reduzieren. Das gilt sowohl für die Frage, ob ein Organisationsverschulden vorliegt, als auch für die Bußgeldbemessung. Voraussetzung ist, dass das Programm nachweislich in Kraft war und nicht nur formal existierte.
Wer haftet, wenn das Compliance Programm versagt?
Primär haftet das Unternehmen selbst nach § 30 OWiG. Zusätzlich können Vorstand und Geschäftsführer persönlich nach § 130 OWiG (Aufsichtspflichtverletzung) oder zivilrechtlich haften, wenn sie die Einrichtung eines angemessenen Compliance-Systems unterlassen haben. Der Compliance Officer selbst haftet, wenn er zugewiesene Aufgaben schuldhaft vernachlässigt.
Was ist der Unterschied zwischen einem Compliance Programm und einem Compliance Management System (CMS)?
Ein Compliance Programm bezeichnet die Gesamtheit der Maßnahmen zur Sicherstellung regelkonformen Verhaltens. Ein Compliance Management System (CMS) ist der organisatorische Rahmen, der diese Maßnahmen strukturiert, dokumentiert und überprüfbar macht. Der Begriff CMS ist breiter und schließt Governance-Strukturen, Kontrollmechanismen und Dokumentationspflichten ein. In der Praxis werden die Begriffe oft synonym verwendet.
Kurzantwort: Compliance-Programm aufbauen
- Risikoanalyse: Branchenrisiken, Geschäftspartner, Länder — schriftlich dokumentieren
- Tone from the Top: Vorstand/Geschäftsführung müssen Compliance aktiv vorleben
- Richtlinien: Code of Conduct, Geschenkerichtlinie, Interessenkonfliktregelung
- Schulung & Kommunikation: Risikobasierte Pflichtschulungen, nachweisbar dokumentiert
- Kontrolle & Verbesserung: Jährlicher Review, Hinweisgebersystem, Konsequenzen bei Verstößen
For an English-language analysis of white-collar crime defence and compliance programmes in Germany, see: White-Collar Crime in Germany (EN).
Grundlage: Rechtlicher Überblick
- Compliance Officer Haftung: Strafrecht, Zivilrecht und D&O-Schutz – Der Praxisleitfaden für CO und General Counsel
- Unternehmensstrafrecht Deutschland: §§ 30/130 OWiG, Reformdebatte und Verteidigung
