Ein Compliance Management System (CMS) ist die Gesamtheit der organisatorischen Maßnahmen, Prozesse und Strukturen, mit denen ein Unternehmen die Einhaltung gesetzlicher und interner Regeln sicherstellt. Ein Compliance Management System ist für Geschäftsleiter regelmäßig kein bloßes Best-Practice-Thema mehr, sondern Teil der Organisations- und Legalitätspflichten. Umfang und Ausgestaltung hängen jedoch von Größe, Branche, Risikoprofil und konkreter Geschäftstätigkeit des Unternehmens ab. Wer ein wirksames Compliance Management System unterhält, kann damit Verbandsgeldbußen nach § 30 OWiG mindern, Aufsichtspflichtverletzungen nach § 130 OWiG entkräften oder abschwächen und die persönliche Haftung der Geschäftsführung reduzieren. Wer es unterlässt, läuft Schadensersatzklagen, Bußgeldern und persönlicher Inanspruchnahme entgegen. Aus Verteidigerperspektive ist das Compliance Management System aber kein reines Schutzschild — es ist ein zweischneidiges Schwert, das ohne strategische Steuerung auch Belastungsmaterial produziert. Dieser Beitrag erklärt, was rechtlich gilt, wie das CMS gebaut wird und wo die Verteidigerlinien verlaufen.
TL;DR
- Ein Compliance Management System ist die organisatorische Gesamtheit, mit der ein Unternehmen Rechtsverstöße verhindert, aufdeckt und sanktioniert.
- OLG Nürnberg (30.03.2022 – 12 U 1520/19): Aus der Legalitätspflicht können risikoadäquate Compliance-Strukturen folgen; für Geschäftsleiter im Mittelstand ist die Entscheidung ein wichtiger Maßstab.
- BGH (Urteil 09.05.2017 – 1 StR 265/16; Beschluss 27.04.2022 – 5 StR 278/21): Ein effizientes CMS und nachträgliche Verbesserungen können bei der Bußgeldbemessung nach § 30 OWiG zugunsten des Unternehmens berücksichtigt werden (Selbstreinigung).
- § 130 OWiG: Geldbuße bis 1 Mio. € bei Aufsichtspflichtverletzung; das CMS ist die zentrale Defense.
- § 30 OWiG: Verbandsgeldbuße bis 10 Mio. € (Vorsatz) bzw. 5 Mio. € (Fahrlässigkeit), zusätzlich Vorteilsabschöpfung.
- ISO 37301:2021 und IDW PS 980 sind die maßgeblichen Standards für das Compliance Management System.
- Drei-Linien-Modell (IIA-Update 2020): operatives Management — Compliance/Risk — interne Revision.
- Tone from the Top, Walk the Talk: Compliance-Kultur ist haftungs- und bußgeldrelevant, weil sie Wirksamkeit, Aufsicht und Vorwerfbarkeit beeinflussen kann.
- VerSanG-E gescheitert (2021): kein Unternehmensstrafrecht, dafür ein offener Argumentationsraum.
- D&O-Versicherung ist bei relevanten Organhaftungsrisiken regelmäßig ein wichtiger Baustein der Risikovorsorge.
Compliance Management System: Definition und rechtlicher Rahmen
Der Begriff Compliance Management System bezeichnet die organisatorische Architektur eines Unternehmens, mit der die Einhaltung von Recht und internen Regeln systematisch sichergestellt wird. „Compliance“ meint dabei dreierlei: gesetzliche Pflichten, vertragliche Verpflichtungen und unternehmensinterne Vorgaben. International maßgeblich ist die Norm ISO 37301:2021, die seit April 2021 die ältere ISO 19600:2014 abgelöst hat — erstmals mit Zertifizierungsoption. National hat sich der IDW PS 980 als Prüfungsstandard etabliert.
Aus juristischer Sicht ist das Compliance Management System keine reine Best-Practice-Übung, sondern Pflichtbestandteil der Geschäftsleitung. Drei Normgruppen tragen das: die Legalitätspflicht der Geschäftsführer und Vorstände (§ 43 GmbHG, § 93 AktG), die Aufsichtspflicht des Betriebsinhabers (§ 130 OWiG) und die Verbandsverantwortung des Unternehmens (§ 30 OWiG). Wer eine dieser drei Normen ignoriert, übersieht das halbe Bild.
§ 130 OWiG: Die Aufsichtspflichtverletzung als Compliance-Anker
§ 130 OWiG ist die zentrale bußgeldrechtliche Compliance-Norm für Aufsichtspflichtverletzungen im Unternehmen. Eine Geldbuße kommt in Betracht, wenn ein Betriebsangehöriger eine betriebsbezogene Zuwiderhandlung begangen hat, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Täter nach § 130 OWiG ist der Inhaber oder organschaftliche Vertreter, der vorsätzlich oder fahrlässig die erforderlichen Aufsichtsmaßnahmen unterlässt. Das Höchstmaß der Geldbuße liegt nach § 130 Abs. 3 OWiG bei 1 Mio. €, wenn die Anknüpfungstat mit Strafe bedroht ist.
§ 130 OWiG begründet keine Garantiehaftung des Betriebsinhabers für jedes Fehlverhalten — das hat das OLG Jena (Beschluss vom 02.11.2005, 1 Ss 242/05) ausdrücklich klargestellt. Erforderlich ist ein konkreter Aufsichtsfehler und ein Zurechnungszusammenhang zur Anknüpfungstat. Aus Verteidigersicht liegt darin der entscheidende Hebel: Welche Aufsichtsmaßnahmen waren erforderlich? Welche wurden ergriffen? Welche fehlten? Hätte die fehlende Maßnahme die Tat tatsächlich verhindert oder wesentlich erschwert?
Genau hier setzt das Compliance Management System an. Ein dokumentiertes, gelebtes und risikoadäquates CMS kann ein starkes Argument gegen den Vorwurf unterlassener Aufsicht sein — teils bereits auf Tatbestandsebene, jedenfalls aber bei Vorwerfbarkeit und Rechtsfolgen.
Die maßgebliche Rechtsprechung in drei Linien
Siemens/Neubürger: Der Maßstab für Vorstandshaftung
Mit Urteil vom 10. Dezember 2013 (5 HK O 1387/10) hat das LG München I im Nachgang des Siemens-Korruptionsskandals einen ehemaligen Finanzvorstand zu Schadensersatz in Millionenhöhe verurteilt. Die Kernaussage: Ein Vorstandsmitglied muss dafür Sorge tragen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetzesverstöße erfolgen. Die Einrichtung und Überwachung eines funktionierenden Compliance Management Systems gehört zum Pflichtenkatalog der Geschäftsleitung. Die Letztverantwortung bleibt bei der Geschäftsleitung; operative Compliance-Aufgaben können delegiert werden, müssen aber klar zugewiesen, überwacht und mit ausreichenden Ressourcen versehen werden (vgl. LG München I 5 HK O 1387/10, NZG 2014, 345). Die Entscheidung ist eine Landgerichts-Einzelfallentscheidung und keine BGH-Linie, hat aber breite faktische Maßstabswirkung entfaltet.
OLG Nürnberg 12 U 1520/19: CMS-Pflicht auch im Mittelstand
Das OLG Nürnberg hat mit Urteil vom 30. März 2022 (12 U 1520/19) die Siemens/Neubürger-Linie auf den Mittelstand erweitert. Aus der Legalitätspflicht folge die Verpflichtung des Geschäftsführers zur Einrichtung eines Compliance Management Systems — ausdrücklich ohne Schwellenwerte nach Größe oder Branche. Im konkreten Fall verurteilte das Gericht den Geschäftsführer zu einem Schadensersatz im hohen sechsstelligen Bereich wegen unterlassener Compliance-Strukturen. Konkrete Mindestanforderungen: CMS-Pflicht nach § 43 Abs. 2 GmbHG, präventive Kontrollpflicht, Vier-Augen-Prinzip in kritischen Bereichen und sofortiges Eingreifen bei Anhaltspunkten für Fehlverhalten.
BGH 1 StR 265/16 und 5 StR 278/21: Strafmildernde Wirkung des CMS
Der BGH hat mit Urteil vom 9. Mai 2017 (1 StR 265/16) erstmals höchstrichterlich anerkannt, dass das Bestehen eines effizienten Compliance Management Systems bei der Bemessung einer Geldbuße nach § 30 OWiG strafmildernd zu berücksichtigen ist. Vor dieser Entscheidung hatte das Bundeskartellamt jede CMS-Honorierung mit dem Argument verweigert, ein offensichtlich versagendes System verdiene keine Anerkennung. Der 1. Strafsenat hat dieser Praxis eine klare Absage erteilt: Auch die nachträgliche Optimierung wirkt strafmildernd, sofern sie vergleichbare Verstöße zukünftig erschwert.
Mit Beschluss vom 27. April 2022 (5 StR 278/21) hat der BGH diese Linie ausdrücklich bestätigt und konkretisiert, dass auch ein Selbstreinigungsprozess inklusive Hinweisgebersystem nach Tatentdeckung im Rahmen der Bußgeldbemessung honoriert wird. Aus Verteidigersicht eröffnet diese Linie eine echte Compliance-Defense: Selbst wenn der Verstoß bereits eingetreten ist, lohnt der unverzügliche Aufbau oder Ausbau des CMS.
Die regulatorische Lücke: Was nach dem gescheiterten VerSanG gilt
Im Sommer 2020 beschloss die Bundesregierung den Entwurf eines Verbandssanktionengesetzes. Das Gesetz hätte ein echtes Unternehmensstrafrecht eingeführt und eine Sanktionsmilderung von bis zu 50 % bei interner Aufklärung ermöglicht. Der Entwurf scheiterte 2021 am Diskontinuitätsprinzip. Ein Nachfolgevorhaben ist bis heute nicht verabschiedet.
Aus Verteidigersicht ist diese regulatorische Lücke kein Defekt, sondern ein Argumentationsraum. Welche konkreten Compliance-Maßnahmen mildernd wirken, ist nicht gesetzlich definiert — die Maßstäbe ergeben sich aus der Rechtsprechung des BGH und aus den Standards (ISO 37301, IDW PS 980). Je konkreter das Unternehmen Wirksamkeit, Risikobezug und Remediation dokumentiert, desto eher müssen sich Behörde oder Gericht mit der bußgeldmindernden Relevanz des CMS auseinandersetzen.
Aufbau eines Compliance Management Systems: Die sieben Bausteine
1. Compliance-Kultur und Tone from the Top
Ein Compliance Management System beginnt nicht im Handbuch, sondern bei der Leitungsebene. Geschäftsführung und Vorstand müssen ein glaubwürdiges Bekenntnis zur Regelkonformität abgeben — und es durch eigenes Verhalten unterlegen. Siemens/Neubürger hat die Compliance-Kultur explizit als Pflichtbestandteil markiert — eine reine Papier-Compliance trägt vor Gericht nicht. Mehr zur internen Aufklärung in unserem Beitrag zu internen Untersuchungen.
2. Compliance-Risikoanalyse
Die Compliance-Risikoanalyse identifiziert systematisch die für das Unternehmen relevanten Risiken — Korruption, Kartellverstöße, Geldwäsche, Datenschutz, Außenwirtschaft und Sanktionen, Steuern, Arbeitsschutz, Produkthaftung — und bewertet sie nach Eintrittswahrscheinlichkeit und Schadenshöhe. Sie ist nach OLG-Nürnberg-Maßstab keine optionale Übung, sondern Voraussetzung pflichtgemäßer Ermessensausübung.
3. Compliance-Programm: Richtlinien, Schulungen, Kontrollen
Das Compliance-Programm definiert die konkreten Maßnahmen: Richtlinien (Code of Conduct, Geschenke- und Einladungsrichtlinie, Antikorruptionsrichtlinie), Schulungen (verpflichtend, dokumentiert, risikoadäquat), interne Kontrollen (Vier-Augen-Prinzip, Freigabeprozesse, Stichprobenprüfungen) und Sanktionsmechanismen bei Verstößen. Was zählt, ist die Wirksamkeit, nicht die Seitenzahl.
4. Compliance-Organisation: Three Lines / Drei-Linien-Modell
Die Architektur der Verantwortung folgt heute typischerweise dem Drei-Linien-Modell des Institute of Internal Auditors (Update 2020):
- Erste Linie: Operatives Management — die Personen, die Risiken eingehen, tragen die unmittelbare Verantwortung.
- Zweite Linie: Compliance- und Risikofunktionen — sie unterstützen, beraten, überwachen.
- Dritte Linie: Interne Revision — unabhängig von den ersten beiden Linien, prüft sie Wirksamkeit und Angemessenheit.
5. Compliance-Kommunikation und Hinweisgebersystem
Seit Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) am 02.07.2023 sind vom HinSchG erfasste Beschäftigungsgeber — in der Regel ab 50 Beschäftigten — zur Einrichtung interner Meldestellen verpflichtet. Für kleinere Unternehmen ist ein Hinweisgebersystem nicht pauschal gesetzlich vorgeschrieben, kann aber risikoadäquat sinnvoll oder geboten sein. Der BGH (5 StR 278/21) hat es als Element der Selbstreinigung anerkannt.
6. Compliance-Dokumentation: Das zweischneidige Schwert
Ohne Dokumentation kein wirksames Compliance Management System — § 130 OWiG nennt keine ausdrückliche Dokumentationspflicht; für die Darlegung gehöriger Aufsicht und für Prüfungen nach ISO 37301 oder IDW PS 980 ist nachvollziehbare Dokumentation aber praktisch zentral.
Aus Verteidigersicht ist die Dokumentation aber nicht nur Entlastungsmaterial — sie ist auch Belastungsmaterial. Risk-Assessments halten fest, welche Risiken die Geschäftsleitung gesehen hat. Audit-Berichte halten fest, welche Defizite identifiziert wurden. Wenn die Staatsanwaltschaft im Ermittlungsverfahren auf das Audit-File zugreift und dort einen ungelösten Befund von vor zwei Jahren findet, der dem heutigen Vorwurf entspricht, ist die Compliance-Akte zur Anklageakte geworden. Mehr dazu in unserem Beitrag zur Hausdurchsuchung im Unternehmen.
7. Überwachung, Verbesserung, Remediation
Ein Compliance Management System ist kein Endzustand, sondern ein Plan-Do-Check-Act-Zyklus. Remediation — die dokumentierte Behebung erkannter Defizite — ist sowohl Pflichtbestandteil eines wirksamen CMS als auch zentrales Element des Selbstreinigungsprozesses, den der BGH bußgeldmindernd anerkennt.
Die Frage nach Zertifizierung: IDW PS 980 oder ISO 37301?
Eine IDW-PS-980-Prüfung kostet im Mittelstand schnell sechsstellig und liefert eine Wirtschaftsprüferbescheinigung, die im M&A-Kontext, bei öffentlichen Auftragsvergaben und in Bußgeldverfahren als gewichtiges Indiz für die Wirksamkeit des CMS dient. ISO-37301-Zertifizierung ist günstiger und international anschlussfähig.
Aus Verteidigersicht ist eine Zertifizierung nicht zwingend notwendig — der BGH knüpft die strafmildernde Wirkung nicht an ein Prüfsiegel, sondern an die tatsächliche Wirksamkeit des Systems. Für mittelständische Unternehmen mit höherem Risikoprofil ist sie regelmäßig zu empfehlen. Für reine Inlandsmittelständler ohne erhöhtes Risikoprofil reicht oft eine schriftlich dokumentierte Selbstevaluation der Geschäftsleitung.
D&O-Versicherung: Pflichtreflex, nicht Luxus
Die OLG-Nürnberg-Entscheidung hat eines deutlich gemacht: Persönliche Geschäftsführerhaftung in sechs- oder siebenstelliger Höhe ist real. Wer als Geschäftsleiter ein Compliance Management System aufbaut, muss parallel die eigene Haftungsabsicherung prüfen.
Drei Punkte, die bei der D&O-Police zu prüfen sind: erstens die Deckungssumme (mindestens das gesamte erwartbare Schadensvolumen); zweitens die Ausschlussklauseln (vorsätzliche Pflichtverletzungen sind regelmäßig nicht versicherbar); drittens die Behandlung von Compliance-Verstößen im Konzern (Cross-Liability-Klauseln). Eine D&O-Versicherung ersetzt kein wirksames CMS — aber ohne D&O ist auch das beste CMS nur halbe Risikovorsorge.
Compliance-Verstoß trotz wirksamem Compliance Management System
Auch das beste Compliance Management System verhindert nicht jeden Verstoß. Entscheidend ist die Reaktion. Drei Szenarien aus der Verteidigerpraxis:
Szenario 1 — Hinweis aus der Belegschaft. Eine Meldung über das Hinweisgebersystem trifft ein. Die Geschäftsleitung muss in Tagen entscheiden: interne Untersuchung mit Verteidigerprivileg oder externe Aufklärung? Wer hier zögert, riskiert, dass die Aufklärung später durch Behörden mit voller Aktenlage übernommen wird.
Szenario 2 — Behördliche Ermittlung. Eine Hausdurchsuchung oder ein Ermittlungsverfahren der Staatsanwaltschaft trifft das Unternehmen. Aus Verteidigersicht entscheidet die erste Reaktionswoche über die gesamte weitere Linie.
Szenario 3 — Selbstreinigung als strategische Antwort. Wenn ein Verstoß eingetreten ist, eröffnet die BGH-Rechtsprechung einen klaren Weg: Aufbau oder substanzielle Optimierung des CMS, Einrichtung eines wirksamen Hinweisgebersystems, Disziplinarmaßnahmen, transparente Aufklärung. Mehr zur Verteidigung in Bilanzstrafverfahren und im APAS-Berufsaufsichtsverfahren.
Compliance Management System für den Mittelstand: Pragmatik vor Perfektionismus
Im Mittelstand ist die größte Compliance-Sünde nicht das fehlende Compliance Management System, sondern der Versuch, ein Konzern-CMS zu kopieren. Die DIN SPEC 91524 (2025) liefert einen mittelstandsspezifischen Leitfaden, der die Verhältnismäßigkeit ausdrücklich betont.
Was wir als Verteidiger im Mittelstand für sinnvoll halten: schriftliche Compliance-Erklärung der Geschäftsleitung; Compliance-Risikoanalyse für die wesentlichen Themenbereiche; wenige, aber gelebte Kernrichtlinien (Antikorruption, Geschenke und Einladungen, Datenschutz); verbindliche Schulungen mit Erfolgskontrolle; Vier-Augen-Prinzip in kritischen Prozessen (OLG Nürnberg); Hinweisgebersystem nach HinSchG ab 50 Beschäftigten; jährliche schriftliche Selbstevaluation; D&O-Versicherung mit angemessener Deckungssumme.
Compliance Management System: Häufige Fragen aus der Praxis
Was ist ein Compliance Management System?
Ein Compliance Management System ist die Gesamtheit organisatorischer Maßnahmen, Prozesse und Strukturen, mit denen ein Unternehmen die Einhaltung gesetzlicher und interner Regeln sicherstellt, Verstöße verhindert oder aufdeckt und Maßnahmen zur Verbesserung ableitet. Maßgebliche Standards sind ISO 37301:2021 (international, zertifizierungsfähig) und IDW PS 980 (national, sieben Grundelemente).
Wer ist zur Einrichtung eines Compliance Management Systems verpflichtet?
Aus der Legalitätspflicht der Geschäftsleitung (§ 43 GmbHG, § 93 AktG) folgt nach dem Urteil des OLG Nürnberg vom 30. März 2022 (12 U 1520/19) die Pflicht zur Einrichtung eines Compliance Management Systems — rechtsformunabhängig und ohne Schwellenwerte.
Was bringt ein Compliance Management System im Strafverfahren?
Ein effizientes CMS und nachträgliche Verbesserungen können nach dem BGH (Urteil 09.05.2017 – 1 StR 265/16; Beschluss 27.04.2022 – 5 StR 278/21) bei der Bemessung einer Verbandsgeldbuße nach § 30 OWiG zugunsten des Unternehmens berücksichtigt werden. Ein dokumentiertes, gelebtes und risikoadäquates CMS kann daneben ein starkes Argument gegen den Vorwurf einer Aufsichtspflichtverletzung nach § 130 OWiG sein.
Was sind die sieben Grundelemente nach IDW PS 980?
Compliance-Kultur, Compliance-Ziele, Compliance-Risiken, Compliance-Programm, Compliance-Organisation, Compliance-Kommunikation, Compliance-Überwachung und Verbesserung. Die Elemente greifen ineinander und werden im Rahmen einer IDW-PS-980-Prüfung systematisch geprüft.
Was bedeutet das Drei-Linien-Modell für Compliance?
Das Drei-Linien-Modell des IIA (Update 2020) ordnet die Verantwortung auf drei Ebenen: erste Linie das operative Management mit Risikoeigentum, zweite Linie Compliance- und Risikofunktionen, dritte Linie die unabhängige interne Revision.
Was ist Tone from the Top?
Tone from the Top bezeichnet das glaubwürdige Bekenntnis der Geschäftsleitung zur Regelkonformität, das durch eigenes Verhalten unterlegt sein muss. Die LG-München-Entscheidung in Sachen Siemens/Neubürger (10.12.2013 – 5 HK O 1387/10) hat die Compliance-Kultur als Pflichtbestandteil markiert.
Was bedeutet Selbstreinigung im Compliance-Kontext?
Selbstreinigung bezeichnet den Prozess, mit dem ein Unternehmen nach einem Compliance-Verstoß durch substanzielle Maßnahmen — Aufbau oder Ausbau des CMS, Einrichtung eines Hinweisgebersystems, Disziplinarmaßnahmen — die Wiederholung verhindert. Der BGH (27.04.2022 – 5 StR 278/21) honoriert solche Prozesse bei der Bußgeldbemessung ausdrücklich.
Brauche ich eine D&O-Versicherung, wenn das Compliance Management System steht?
Regelmäßig ja, wenn relevante Organhaftungsrisiken bestehen. Die D&O-Versicherung ist kein Ersatz für ein CMS, aber bei solchen Risiken ein wichtiger Baustein der Risikovorsorge. Die OLG-Nürnberg-Rechtsprechung zeigt, dass Geschäftsführer auch bei sorgfältigem CMS-Aufbau persönlich erheblich haften können. Wichtig sind angemessene Deckungssumme, klare Vorsatz-Ausschlussklauseln und im Konzernkontext aufeinander abgestimmte Cross-Liability-Klauseln.
