Compliance Officer Haftung: Strafrecht, Zivilrecht und D&O-Schutz – Der Praxisleitfaden für CO und General Counsel

Quick Answer

Compliance Officer haften seit dem BGH-Urteil vom 17.07.2009 (5 StR 394/08, BGHSt 54, 44) strafrechtlich aus Garantenstellung für Rechtsverstöße aus dem Unternehmen. Zivilrechtlich drohen Schadensersatzansprüche über § 43 GmbHG, § 93 AktG und arbeitsvertragliche Pflichten. Zentrale Schutzinstrumente für die zivilrechtliche Innen- und Außenhaftung sowie Verfahrenskosten sind eine belastbare D&O-Deckung (strafrechtliche Haftung ist nicht versicherbar), dokumentierte Aufgabendelegation, angemessene Ressourcenausstattung und revisionsfeste Dokumentation.

Inhaltsverzeichnis

1. Das BGH-Urteil 2009: Garantenstellung als Wendepunkt
2. Haftungsgrundlagen Compliance Officer auf einen Blick
3. Strafrechtliche Haftung des Compliance Officers
4. Zivilrechtliche Haftung: Innen- und Außenverhältnis
5. § 130 OWiG: Aufsichtspflichtverletzung
6. Organhaftung: § 43 GmbHG und § 93 AktG
7. Business Judgment Rule bei Compliance-Entscheidungen
8. Haftung des General Counsel: Unterschiede zum Compliance Officer
9. Haftungsfallen bei internen Untersuchungen
10. Zeuge oder Beschuldigter? Die kritische Weggabelung
11. D&O-Versicherung: Deckungsschutz, Ausschlüsse, Meldefristen
12. EU-Compliance-Rahmen: LkSG, CSDDD, HinSchG
13. Aktuelle Rechtsprechung 2022–2026
14. Schutzmaßnahmen und Delegation
15. Checkliste: 10 Maßnahmen zur Haftungsminimierung
16. FAQ

---

1. Das BGH-Urteil 2009: Garantenstellung als Wendepunkt

Der 5. Strafsenat des Bundesgerichtshofs hat mit Urteil vom 17. Juli 2009 (5 StR 394/08) eine Zäsur für die strafrechtliche Verantwortlichkeit von Compliance Officern gesetzt. Im zugrunde liegenden Sachverhalt – dem sogenannten „BSR-Fall“ der Berliner Stadtreinigung – hatte der Leiter der Innenrevision Kenntnis von betrügerischen Abrechnungen, ohne sie zu unterbinden. Der BGH statuierte, dass einem Compliance Officer oder Leiter der Innenrevision regelmäßig eine strafrechtliche Garantenstellung nach § 13 StGB zukomme, Straftaten von Unternehmensangehörigen gegen Dritte zu verhindern.

Die Entscheidung wirkt bis heute als dogmatischer Referenzpunkt jeder Haftungsdiskussion. Sie verschiebt den Compliance Officer aus einer rein administrativen Rolle in die Position eines potenziell strafrechtlich Verantwortlichen. Der BGH begründete die Garantenstellung mit der funktional übertragenen Schutzposition: Wer die Aufgabe übernimmt, Rechtsverstöße im Unternehmen zu verhindern, übernimmt zugleich eine Überwachergarantenstellung zur Verhinderung von Straftaten aus dem Unternehmen gegen außenstehende Dritte. Diese Konstruktion – teilweise als obiter dictum kritisiert – ist in der instanzgerichtlichen Praxis rezipiert und hat sich zum Ausgangspunkt für staatsanwaltschaftliche Ermittlungen gegen Compliance-Verantwortliche entwickelt.

Die praktische Konsequenz: Ein Compliance Officer, der Kenntnis von drohenden Rechtsverstößen erhält und nicht interveniert, kann sich wegen unechten Unterlassungsdelikts strafbar machen – bei Korruption, Betrug, Kartellrechtsverstößen, Steuerdelikten oder Umweltstraftaten. Die Garantenstellung setzt keine förmliche Vertragsklausel voraus; sie ergibt sich aus der funktionalen Aufgabenübernahme. Umgekehrt bedeutet dies: Der Zuschnitt der Compliance-Funktion – schriftlich fixierte Zuständigkeiten, Eskalationspflichten, Reporting-Linien – ist nicht nur eine Frage der Organisation, sondern ein zentraler Baustein der individuellen Haftungslandkarte.

Siehe zum strafprozessualen Kontext die Darstellung unter Beschuldigtenrechte im Strafverfahren.

---

2. Haftungsgrundlagen Compliance Officer auf einen Blick

Norm	Voraussetzung	Konsequenz
§ 13 StGB i.V.m. Deliktstatbestand	Garantenstellung, Kenntnis, Handlungspflicht, Unterlassen	Strafbarkeit wegen unechten Unterlassungsdelikts (Betrug, Untreue, Korruption, Bestechung u.a.)
§ 27 StGB (Beihilfe)	Unterstützung eines Haupttäters durch aktives Tun oder pflichtwidriges Dulden	Beihilfestrafbarkeit; Strafrahmen gemildert
§ 130 OWiG	Inhaberstellung, Aufsichtspflichtverletzung, kausaler Betriebsbezug der Zuwiderhandlung	Bußgeld bis 1 Mio. € gegen Leitungsperson; § 30 OWiG gegen Unternehmen bis 10 Mio. € (oder mehr bei Vorteilsabschöpfung)
§ 14 StGB	Handeln für einen anderen (Organstellung, beauftragte Person)	Zurechnung besonderer persönlicher Merkmale; Erweiterung des Täterkreises
§ 43 GmbHG	Geschäftsführerstellung, Pflichtverletzung, Kausalität, Verschulden	Innenhaftung gegenüber GmbH auf Schadensersatz; Darlegungs- und Beweislastumkehr
§ 93 AktG	Vorstandsstellung, Sorgfaltspflicht, BJR-Prüfung	Innenhaftung gegenüber AG; gesamtschuldnerisch; zehnjährige Verjährung bei börsennotierten Gesellschaften
§ 280 Abs. 1 BGB	Arbeitsvertragliche Pflicht, Pflichtverletzung, Verschulden	Vertragshaftung des angestellten CO; gemindert durch Grundsätze des innerbetrieblichen Schadensausgleichs
§ 823 Abs. 2 BGB i.V.m. Schutzgesetz	Verletzung eines Schutzgesetzes	Deliktische Außenhaftung gegenüber Dritten
§ 831 BGB	Verrichtungsgehilfenstellung	Haftung des Geschäftsherrn, entlastbar

---

3. Strafrechtliche Haftung des Compliance Officers

Die strafrechtliche Exposition des Compliance Officers lässt sich in vier Konstellationen unterteilen, die in der Praxis regelmäßig ineinandergreifen.

Erstens Täterschaft durch aktives Tun. Der Compliance Officer, der selbst an der Verschleierung eines Kartellverstoßes mitwirkt, Dokumente manipuliert oder Meldungen unterdrückt, ist Täter oder Mittäter. Das gilt insbesondere für Beihilfehandlungen durch Erstellung „grüner“ Prüfberichte, die tatsächlich vorliegende rote Flaggen übergehen.

Zweitens unechtes Unterlassungsdelikt. Die dogmatische Hauptkategorie seit dem Urteil 5 StR 394/08: Wer als Compliance Officer Kenntnis einer drohenden oder laufenden Straftat erhält und seine Handlungspflicht verletzt, haftet über § 13 StGB. Die Handlungspflicht umfasst regelmäßig die Eskalation an die Geschäftsleitung und – bei deren Untätigkeit – an den Aufsichtsrat. Umstritten ist, ob und unter welchen Voraussetzungen eine Pflicht zur externen Anzeige besteht. Die herrschende Auffassung verneint dies mit Blick auf die Verschwiegenheitspflichten des Arbeitsvertrages; Ausnahmen gelten bei drohenden Kapitalverbrechen und bei Katalogtaten des § 138 StGB.

Drittens Beihilfe durch Neutralisation. Der Compliance Officer, der ein Kontrollsystem entwirft, das sehenden Auges Schlupflöcher belässt, kann wegen psychischer Beihilfe in den Fokus geraten. Die Grenze zur beruflich neutralen Handlung ist unscharf; entscheidend ist, ob der Beitrag erkennbar einer Straftat zu dienen bestimmt ist.

Viertens eigenständige Delikte der Compliance-Funktion. Hier rücken § 266 StGB (Untreue bei Mittelverwendung), § 203 StGB (Verletzung von Privatgeheimnissen – beachte: der Tatbestand erfasst einen abschließenden Täterkreis; ein Compliance Officer kann allenfalls über § 203 Abs. 3 StGB als Mitwirkender einbezogen sein, wenn ein Schweigepflichtiger als Haupttäter handelt; für die unberechtigte Weitergabe von Mitarbeiterdaten sind regelmäßig § 42 BDSG und Art. 83 DSGVO einschlägig), DSGVO-Straftatbestände (§ 42 BDSG) sowie Verstöße gegen das Geschäftsgeheimnisgesetz (GeschGehG) in den Vordergrund. Interne Untersuchungen erzeugen hier ein typisches Spannungsfeld, zu dem unser Leitfaden Interne Untersuchungen im Unternehmen ausführlich Stellung nimmt.

Die strafrechtliche Haftung ist höchstpersönlich. Sie lässt sich nicht auf das Unternehmen verlagern, nicht durch Haftungsfreistellungen im Anstellungsvertrag abbedingen und bei Vorsatz nicht über D&O absichern.

---

4. Zivilrechtliche Haftung: Innen- und Außenverhältnis

Im Innenverhältnis trifft den Compliance Officer eine Haftung aus seinem Anstellungsverhältnis. Für den angestellten CO greift § 280 Abs. 1 BGB unter Berücksichtigung der arbeitsrechtlichen Grundsätze über den innerbetrieblichen Schadensausgleich: Bei leichter Fahrlässigkeit keine Haftung, bei mittlerer Fahrlässigkeit quotale Teilung, bei grober Fahrlässigkeit und Vorsatz grundsätzlich volle Haftung, in Ausnahmefällen auf Jahreseinkommen summenmäßig begrenzt. Für den Compliance Officer als organschaftlichen Vertreter – insbesondere als Chief Compliance Officer mit Generalvollmacht oder Vorstandsmandat – gelten § 43 GmbHG bzw. § 93 AktG unmittelbar (siehe Abschnitt 6).

Im Außenverhältnis sind Ansprüche Dritter nach § 823 Abs. 2 BGB i.V.m. einem strafrechtlichen Schutzgesetz sowie nach § 826 BGB bei vorsätzlich sittenwidriger Schädigung denkbar. Dritte sind hier regelmäßig Geschäftspartner, Minderheitsaktionäre oder – in Kartell- und Produkthaftungsfällen – der Wettbewerb. Aufsehenerregend sind in diesem Zusammenhang die Zurechnungskonstellationen über § 31 BGB (Organhaftung: deliktisches Handeln des CO wird der Gesellschaft zugerechnet) sowie echte Durchgriffshaftungskonstellationen in atypischen Konzernstrukturen (Existenzvernichtung, Vermögensvermischung) und Zurechnungsfiguren bei ausländischen Konzerntöchtern.

Eine besondere Kategorie bildet die Haftung für Kartellverstöße. Der EuGH hat in seiner Rechtsprechung zur privaten Kartellrechtsdurchsetzung die Rolle von Compliance-Versäumnissen mehrfach betont. Interne Unterlagen können im Kartellschadensersatzprozess zum Bumerang werden, wenn sie in der Hauptsache beschlagnahmt und als Beweismittel eingeführt werden.

---

5. § 130 OWiG: Aufsichtspflichtverletzung

§ 130 OWiG ist die zentrale ordnungsrechtliche Norm des Compliance-Bußgeldrechts. Sanktioniert wird die Verletzung der Aufsichtspflicht durch den Inhaber eines Betriebs oder Unternehmens, wenn die Zuwiderhandlung einer nachgeordneten Person durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Inhaber im Sinne der Vorschrift sind neben dem formalen Unternehmensinhaber auch Organmitglieder und – über § 9 OWiG – Beauftragte.

Für Compliance-Verantwortliche ist die Vorschrift doppelt relevant. Einerseits: Der Compliance Officer kann selbst Adressat des § 130 OWiG sein, wenn ihm Aufsichtsaufgaben tatsächlich übertragen sind und er diese pflichtwidrig nicht erfüllt. Andererseits: Der Compliance Officer ist strukturell dafür mitverantwortlich, dass die Geschäftsleitung ihrer Aufsichtspflicht genügt; seine Berichtswege, seine Risikoanalyse und seine Kontrollrhythmen sind der objektive Maßstab, an dem das Bußgeldgericht die Aufsichtspflicht der Leitungsebene misst.

Die praktische Brisanz ergibt sich aus § 30 OWiG: Die Anknüpfungstat einer Leitungsperson – sei es Organmitglied, sei es Compliance Officer mit Aufsichtsfunktion – öffnet die Verbandsgeldbuße gegen das Unternehmen. Der Bußgeldrahmen liegt bei Vorsatz bei bis zu 10 Mio. €, erweitert um die Vorteilsabschöpfung nach § 17 Abs. 4 OWiG, die in Großverfahren regelmäßig dreistellige Millionenbeträge erreicht. Die Bußgeldbemessung berücksichtigt Umfang und Wirksamkeit des Compliance-Management-Systems. Dies ergibt sich aus der allgemeinen Bußgeldzumessung nach § 30 Abs. 3 i.V.m. § 17 Abs. 3 OWiG und wurde höchstrichterlich durch BGH, Urt. v. 09.05.2017 – 1 StR 265/16 (Rn. 118 ff.) dogmatisch verankert und in BGH, Beschl. v. 22.04.2022 – 5 StR 278/21 fortgeschrieben. Eine ausdrückliche gesetzliche Grundlage (wie sie der Referentenentwurf zum Verbandssanktionengesetz vorsah) existiert bislang nicht. Dokumentierte CMS-Strukturen sind damit sowohl Haftungsprävention als auch – nach gesicherter Rechtsprechung – bußgeldmindernd.

Siehe zum übergeordneten Rahmen die Darstellung unter Unternehmensstrafrecht Deutschland – Überblick.

---

6. Organhaftung: § 43 GmbHG und § 93 AktG

Wird der Compliance Officer auf Organebene angesiedelt – als Vorstand Recht und Compliance, als Chief Compliance Officer mit Prokura und Vorstandsbericht oder als Geschäftsführer einer Compliance-Tochtergesellschaft –, greift die klassische Organhaftung.

§ 43 GmbHG verpflichtet den Geschäftsführer, die Sorgfalt eines ordentlichen Geschäftsmanns anzuwenden. Pflichtverletzungen führen zur Innenhaftung gegenüber der Gesellschaft. Prozessual erheblich ist die Darlegungs- und Beweislastverteilung: Die Gesellschaft hat den Schaden und dessen Kausalität zum behaupteten Pflichtverstoß zu belegen; die Geschäftsführung muss dann darlegen und beweisen, pflichtgemäß gehandelt oder kein Verschulden gesetzt zu haben. Diese beweislastmäßige Umkehr ist in Compliance-Fällen besonders scharf: Ohne lückenlose Dokumentation ist der Entlastungsbeweis praktisch nicht zu führen.

§ 93 AktG normiert Parallelpflichten für den Vorstand der Aktiengesellschaft, ergänzt um die Legalitätspflicht: Der Vorstand hat die Geschäfte im Einklang mit Gesetz und Satzung zu führen. Die Legalitätspflicht kennt kein Ermessen; sie ist das dogmatische Fundament der Compliance-Organisationspflicht. Das Landgericht München I hat in der Neubürger-Entscheidung (Urt. v. 10.12.2013, 5 HK O 1387/10) ausgeführt, dass der Vorstand bei erkennbaren Korruptionsrisiken verpflichtet ist, ein effektives Compliance-System zu implementieren, dessen Zuschnitt sich nach Branche, Größe und Risikoexposition des Unternehmens bemisst. Das Urteil ist zur Leitentscheidung der Compliance-Organisationspflicht geworden.

Verjährung und Versicherung spielen bei der Organhaftung eine entscheidende Rolle. § 93 Abs. 6 AktG sieht für börsennotierte Gesellschaften eine zehnjährige Verjährungsfrist vor. In dieser Zeit ist der Risikokorridor eines Vorstandsmitglieds im Compliance-Kontext maximal. Die D&O-Deckung muss diesen Horizont abbilden – einschließlich verlängerter Nachmeldefristen (Extended Reporting Period).

---

7. Business Judgment Rule bei Compliance-Entscheidungen

§ 93 Abs. 1 Satz 2 AktG kodifiziert die Business Judgment Rule: Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln. Die Regel gilt über § 43 GmbHG analog auch im GmbH-Recht.

Im Compliance-Kontext ist die BJR ein zweischneidiges Schwert. Sie greift nicht, wenn es um die Einhaltung gesetzlicher Pflichten geht; die Legalitätspflicht ist dem unternehmerischen Ermessen entzogen. Wer rechtswidrig handelt, kann sich nicht auf eine Business Judgment Rule berufen. Sie greift hingegen bei der Ausgestaltung des Compliance-Management-Systems: Welche Audittiefe, welche Third-Party-Due-Diligence-Schwelle, welche Trainingsintervalle, welches Whistleblowing-System – all dies sind Ermessensentscheidungen, für die die BJR Schutz bietet, sofern sie auf angemessener Informationsbasis getroffen werden.

Die praktische Konsequenz: Ermessensentscheidungen müssen im Protokoll dokumentiert werden, einschließlich der geprüften Alternativen, der herangezogenen Informationsquellen (interne Audits, externe Gutachten, Benchmarks) und der abwägenden Argumente. Diese Beschlussdokumentation ist das zentrale Abwehrinstrument in späteren Haftungsprozessen – und das Erste, was der auf der Gegenseite vernommene Zeuge vor Gericht reproduzieren muss.

---

8. Haftung des General Counsel: Unterschiede zum Compliance Officer

Der General Counsel (Leiter Recht, Chief Legal Officer) steht der Compliance-Funktion organisatorisch nahe, unterscheidet sich in der Haftungsarchitektur jedoch in mehreren Punkten.

Funktionaler Zuschnitt. Der Compliance Officer ist auf die Verhinderung von Rechtsverstößen ausgerichtet und besitzt deshalb nach der BGH-Rechtsprechung regelmäßig eine Garantenstellung. Der General Counsel ist in erster Linie juristischer Berater und Vertragsgestalter; seine Garantenstellung ist weniger selbstverständlich und hängt davon ab, ob ihm ausdrücklich Kontroll- und Eskalationsaufgaben übertragen wurden. In vielen mittelständischen Unternehmen fallen beide Rollen personell zusammen – mit der Folge, dass die Compliance-Garantenstellung den General-Counsel-Hut überstrahlt.

Verschwiegenheit und Beschlagnahmeschutz. Der externe Rechtsanwalt genießt über § 53 StPO und § 160a StPO einen Zeugnisverweigerungsrelevanzschutz. Der angestellte Syndikusrechtsanwalt (§§ 46 ff. BRAO) ist nach § 53 Abs. 1 Satz 1 Nr. 3 letzter Hs. StPO vom Zeugnisverweigerungsrecht ausgenommen, soweit es um Vorgänge geht, die ihm in dieser Eigenschaft anvertraut oder bekanntgeworden sind – also für innerhäusliche Beratung. Da § 97 StPO an § 53 StPO anknüpft, entfällt damit systematisch auch der Beschlagnahmeschutz für seine Unterlagen. Praktische Streitfragen bestehen beim Umgang mit Schriftstücken, die sowohl Syndikus- als auch externe Verteidigerberatung betreffen. Das hat unmittelbare Auswirkungen auf die Haftungslandschaft: Wer Beratung ohne Beschlagnahmeschutz dokumentiert, liefert die Unterlagen potenziell den Strafverfolgungsbehörden – einschließlich der Nachweise eigener Pflichtverletzung.

Risikoanker. Der Compliance Officer haftet primär aus Aufsichts- und Organisationspflichten. Der General Counsel haftet primär aus Beratungsmandaten: Fehlerhafte Rechtsauskünfte, übersehene Fristen, unzureichende Prüfung regulatorischer Änderungen sind die typischen Haftungsauslöser. Die Haftung erfolgt arbeitsrechtlich nach § 280 BGB, bei Organstellung nach § 43 GmbHG bzw. § 93 AktG.

Personalunion. In vielen Unternehmen vereinigt eine Person die Rollen Chief Compliance Officer, General Counsel und Datenschutzbeauftragter. Diese Akkumulation vervielfacht die Haftungsrisiken, schafft Interessenkonflikte (Beratung vs. Kontrolle) und steht zunehmend in der kritischen Beobachtung durch Aufsichtsbehörden und Ratingagenturen. Eine dokumentierte Trennung der Funktionen ist haftungsrechtlich vorzugswürdig.

---

9. Haftungsfallen bei internen Untersuchungen

Interne Untersuchungen sind ein notorisch haftungsdichtes Feld. Sie binden den Compliance Officer in einen Konflikt zwischen Aufklärungspflicht, Mitarbeiterrechten, Beweissicherungsanforderungen und Selbstschutz.

Die zentrale Weichenstellung ist die Beauftragung externer Kanzleien. Das Bundesverfassungsgericht hat mit Beschluss vom 27.06.2018 (2 BvR 1405/17 u.a. [Parallelverfahren: 2 BvR 1287/17, 2 BvR 1562/17, 2 BvR 1780/17], „Jones Day“) klargestellt, dass die bei externen Verteidigern verwahrten Unterlagen keinen absoluten Beschlagnahmeschutz genießen, sofern das Mandat nicht dem bereits Beschuldigten gilt. Die Entscheidung hat die Dokumentationsarchitektur interner Untersuchungen fundamental verändert: Wer Ermittlungsmaterial in einer Kanzlei lagert, die formal nur die Gesellschaft, nicht aber die später beschuldigten Organmitglieder oder Mitarbeiter vertritt, schafft einen Beweispool für die Staatsanwaltschaft.

Mitarbeiterinterviews sind ein zweiter Haftungsherd. Arbeitnehmer unterliegen einer weitreichenden Auskunftspflicht gegenüber dem Arbeitgeber; sie dürfen sich aber nicht selbst einer Straftat bezichtigen (Gemeinschuldnerbeschluss des BVerfG, 13.01.1981 – 1 BvR 116/77, BVerfGE 56, 37, zum Nemo-tenetur-Grundsatz im privaten Kontext). Die praktische Gestaltung – Belehrungen, Upjohn-Warnings, Dokumentation der Freiwilligkeit, Hinzuziehung eigener Bevollmächtigter – entscheidet darüber, ob die Gesprächsergebnisse prozessual verwertbar sind und ob der Compliance Officer selbst sich dem Vorwurf der Nötigung oder der Verletzung des Persönlichkeitsrechts aussetzt.

Dokumentenspeicherung und Datenschutz. Ermittlungsakten enthalten regelmäßig personenbezogene Daten und damit DSGVO-Pflichten. Unzureichende Löschkonzepte, fehlende Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO und mangelhafte Transparenzerklärungen begründen eigenständige Bußgeldrisiken, die bei grenzüberschreitenden Untersuchungen auf mehrere Jurisdiktionen gleichzeitig durchschlagen.

Whistleblowing-Kanal. Seit dem Inkrafttreten des Hinweisgeberschutzgesetzes im Juli 2023 sind Unternehmen ab 50 Beschäftigten zur Einrichtung interner Meldekanäle verpflichtet. Der Compliance Officer ist typischerweise Betreiber oder Kontaktperson des Kanals. Verstöße gegen Vertraulichkeitspflichten, Repressalien oder unzureichende Fristbearbeitung sanktioniert das HinSchG mit Bußgeldern gegen das Unternehmen und die verantwortliche Leitungsperson.

Detailfragen behandelt unser Leitfaden Interne Untersuchungen im Unternehmen.

---

10. Zeuge oder Beschuldigter? Die kritische Weggabelung

Für den Compliance Officer ist kaum eine Frage strategisch relevanter als die der eigenen prozessualen Rolle im Strafverfahren. Die Abgrenzung hat keine formale Wasserscheide, sondern einen fließenden Übergang.

Der Compliance Officer wird Zeuge, wenn die Ermittlungen gegen Dritte – Mitarbeiter, Organmitglieder, externe Geschäftspartner – geführt werden und er aufgrund seiner Funktion Tatsachen aus eigener Wahrnehmung bekunden kann. In dieser Rolle unterliegt er der Zeugnispflicht nach § 48 StPO, einem begrenzten Auskunftsverweigerungsrecht nach § 55 StPO und ggf. einem Zeugnisverweigerungsrecht nach § 53 StPO, wenn er Syndikusrechtsanwalt ist.

Der Compliance Officer wird Beschuldigter, sobald die Staatsanwaltschaft aufgrund konkreter Tatsachen den Anfangsverdacht einer eigenen Straftat gegen ihn begründet. Dieser Statuswechsel verändert die Rechtslage fundamental: Er erlangt das Schweigerecht, darf sich nicht selbst belasten, hat Anspruch auf Verteidigerkonsultation und auf Akteneinsicht. Zugleich verliert er Entlastungsmöglichkeiten, die dem Zeugen offenstehen – etwa die informelle Kooperation mit Ermittlern.

Die gefährlichste Konstellation ist die des tatsächlich Beschuldigten, der formell noch als Zeuge vernommen wird. Aussagen in dieser Zwischenstellung können später zu seinen Lasten verwertet werden, wenn sich der Anfangsverdacht konkretisiert. Der BGH hat die Grenzen der Zeugenvernehmung bei sich abzeichnendem Verdacht in mehreren Entscheidungen markiert – grundlegend der 5. Strafsenat in BGHSt 38, 214 (BGH, 27.02.1992 – 5 StR 190/91; Inkulpationspflicht bei konkretem Tatverdacht).

Die praktische Empfehlung: Sobald staatsanwaltschaftliche Ermittlungen im Unternehmensumfeld beginnen, sollte der Compliance Officer eigene strafrechtliche Beratung in Anspruch nehmen – unabhängig vom Unternehmensmandat und unabhängig vom Mandat der internen Untersuchungskanzlei. Die Interessen divergieren spätestens dann, wenn das Unternehmen über Kooperation nachdenkt und individuelle Verantwortlichkeit „abschichten“ möchte.

Weiterführend: Beschuldigtenrechte im Strafverfahren und Betrug im Wirtschaftsstrafrecht.

---

11. D&O-Versicherung: Deckungsschutz, Ausschlüsse, Meldefristen

Die Directors-and-Officers-Versicherung (D&O) ist das zentrale wirtschaftliche Schutzinstrument der Organhaftung. Sie ist keine Vermögensschadenhaftpflichtversicherung klassischer Prägung, sondern eine spezialisierte Deckung mit erheblichen Besonderheiten.

Deckungsumfang. D&O-Policen decken typischerweise Schadensersatzansprüche Dritter (Außenverhältnis) und der eigenen Gesellschaft (Innenverhältnis) wegen Pflichtverletzungen der versicherten Person in ihrer organschaftlichen Funktion. Abgedeckt sind regelmäßig Abwehrkosten – darunter Anwalts- und Gutachterkosten, Gerichtskosten, Kosten sachverständiger Beratung. Die Abwehrkostenkomponente ist für Compliance-Verantwortliche häufig wichtiger als der reine Schadensersatz, weil gerichtliche Verteidigung in Großverfahren schnell siebenstellige Beträge erreicht.

Ausschlüsse. Standardmäßig ausgeschlossen sind wissentliche Pflichtverletzungen, Vorsatz und strafbare Handlungen. Der Grenzverlauf ist streitanfällig: Versicherer berufen sich schon bei grober Fahrlässigkeit häufig auf den Vorsatzausschluss; die Beweislast trägt der Versicherer. Weitere typische Ausschlüsse betreffen Insolvenzverschleppung, Kartellstrafen, US-Pönale und bestimmte Regulierungssanktionen. Die Formulierung des Vorsatzausschlusses entscheidet darüber, ob der Strafverteidiger die D&O als Finanzierungsquelle nutzen kann – zumindest für die Abwehrkosten bis zur rechtskräftigen Feststellung der vorsätzlichen Pflichtverletzung.

Meldefristen. D&O-Policen sind claims-made-Policen: Gedeckt ist der im Versicherungsjahr erstmals geltend gemachte Anspruch. Verspätete Meldung führt zum Deckungsverlust. Die Fristen sind kurz (regelmäßig 30 Tage ab Kenntnis des Schadensfalls oder der Umstände, die einen Schadensfall erwarten lassen). Die Notice-of-Circumstances-Obliegenheit ist ein klassischer Stolperstein: Wer eine interne Untersuchung einleitet, muss diesen Umstand regelmäßig der D&O melden, auch wenn noch kein Schadensersatzanspruch im Raum steht.

Extended Reporting Period (ERP). Für ausscheidende Organmitglieder ist die Nachmeldefrist essenziell. Ansprüche aus der Organfunktion können Jahre nach dem Ausscheiden entstehen; ohne ERP-Deckung entfällt der Schutz. Die ERP-Verlängerung sollte vor dem Ausscheiden schriftlich abgesichert und dokumentiert werden.

Vertragsgestaltung. Versicherungsnehmerin ist die Gesellschaft, versicherte Person das Organmitglied. Diese Konstruktion begründet Interessenkonflikte, wenn die Gesellschaft selbst den Anspruch erhebt (Innenhaftungsfall). Empfehlenswert sind individuelle Side-Letters, Selbstbehaltbegrenzungen und – bei Neubestellungen – eine Prüfung der Policenbedingungen vor Amtsantritt.

---

12. EU-Compliance-Rahmen: LkSG, CSDDD, HinSchG

Der europäische Compliance-Rahmen verlagert Haftungsrisiken zunehmend von der klassischen strafrechtlichen Sanktion auf ein dichtes Netz aufsichtsrechtlicher Pflichten mit eigenen Sanktionsinstrumenten.

Lieferkettensorgfaltspflichtengesetz (LkSG). Das LkSG gilt seit 01.01.2023 für Unternehmen ab 3.000 Mitarbeitenden, seit 01.01.2024 auch für Unternehmen ab 1.000 Mitarbeitenden (Stufeneinführung). Es verpflichtet Unternehmen ab 1.000 Mitarbeitenden zur Implementierung eines risikobasierten Sorgfaltspflichtenmanagements für Menschenrechts- und Umweltrisiken in der Lieferkette. Die Zuständigkeit wird häufig beim Compliance Officer verortet. Verstöße sanktioniert das LkSG mit Bußgeldern bis zu 800.000 € (§ 24 Abs. 3 LkSG); bei juristischen Personen mit einem durchschnittlichen Jahresumsatz von mehr als 400 Mio. € kann der Rahmen auf bis zu 2 % des weltweiten Jahresumsatzes erweitert werden (§ 24 Abs. 4 LkSG). Hinzu kommt der öffentliche Ausschluss von Vergabeverfahren bis zu drei Jahre. Die Bundesanstalt für Wirtschaft und Ausfuhrkontrolle (BAFA) ist Aufsichtsbehörde.

Corporate Sustainability Due Diligence Directive (CSDDD / CS3D). Die EU-Richtlinie 2024/1760 wurde durch die Omnibus-Richtlinie (EU) 2026/470 vom 26. Februar 2026 substantiell geändert (in Kraft seit 18. März 2026). Die wesentlichen Änderungen: Die Umsetzungsfrist für die Mitgliedstaaten endet nun am 26. Juli 2028; die materiellen Sorgfaltspflichten greifen einheitlich ab 26. Juli 2029. Der Anwendungsbereich ist auf Unternehmen mit mehr als 5.000 Beschäftigten und einem weltweiten Nettoumsatz von mehr als 1,5 Mrd. € beschränkt worden. Das ursprünglich vorgesehene EU-weite zivilrechtliche Haftungsregime gegenüber Betroffenen wurde gestrichen; Sanktionen dürfen 3 % des weltweiten Nettoumsatzes nicht übersteigen. Die Klima-Übergangsplanpflicht entfiel ebenfalls. Die Bundesregierung plant die Ersetzung des LkSG durch ein „Gesetz über die internationale Unternehmensverantwortung“. Für Compliance-Verantwortliche bedeutet dies: Die CSDDD entlastet kurzfristig (längere Fristen, engerer Anwendungsbereich, kein Zivilhaftungsregime), beseitigt aber die operative Vorbereitungspflicht für betroffene Großunternehmen nicht.

Hinweisgeberschutzgesetz (HinSchG). Umsetzung der EU-Whistleblower-Richtlinie 2019/1937. Das HinSchG adressiert den Compliance Officer in dreifacher Weise: als Betreiber des internen Meldekanals, als Adressat möglicher Meldungen und als potenziell durch Repressalien betroffene Person bei Meldungen gegen eigene Unternehmensangehörige. Die Sanktionsbewehrung reicht bis zu 50.000 € Bußgeld für die Verhinderung oder Repressalie gegen Meldende.

Weitere Bausteine. Die EU-Sanktionsregime gegen Russland und Belarus haben die Außenwirtschaftscompliance zum Dauerthema gemacht. DORA (Digital Operational Resilience Act), NIS-2 und der Cyber Resilience Act erweitern die Compliance-Landkarte um IT-Sicherheit und Cyberrisiken. Jede dieser Regimes produziert eigene Bußgeldrahmen und eigene Haftungslinien gegenüber Leitungspersonen.

---

13. Aktuelle Rechtsprechung 2022–2026

Die Rechtsprechungsentwicklung der letzten vier Jahre hat die Haftungslandkarte des Compliance Officers an mehreren Stellen geschärft.

Compliance-Management-System als Bemessungsfaktor. Der BGH hat in mehreren Entscheidungen zur Verbandsgeldbuße die Erwartung an ein „effektives“ CMS konkretisiert. Die bloße Existenz eines CMS genügt nicht; erforderlich ist die dokumentierte Risikoanalyse, die regelmäßige Überprüfung, die nachvollziehbare Anpassung an veränderte Risikolagen und die Wirksamkeitsvalidierung. Gerichte greifen bei der Bußgeldbemessung zunehmend auf den IDW PS 980 als Orientierungsmaßstab zurück.

Beschlagnahmefreiheit interner Untersuchungen. Die Linie des BVerfG-Beschlusses „Jones Day“ (2018) wurde in den Folgejahren von Fachgerichten präzisiert. OLG-Entscheidungen haben den Kreis beschlagnahmefreier Unterlagen eng gehalten und die formale Mandatslage zum zentralen Kriterium erklärt. Für die Praxis bedeutet dies: Externe Mandate müssen von Anfang an auch potenziell Beschuldigte als Mandanten einbeziehen, um den Beschlagnahmeschutz zu maximieren.

Organhaftung für Compliance-Versäumnisse. Das Urteil LG München I in der Neubürger-Sache (2013) ist durch Folgeentscheidungen flankiert worden. In mehreren Haftungsprozessen haben Gerichte Schadensersatzansprüche gegen ehemalige Vorstandsmitglieder zugesprochen, deren Compliance-System nachweisbar Lücken aufwies. Die Beweislastumkehr nach § 93 Abs. 2 AktG wirkt dabei als Schlüsselinstrument.

Sanktions- und Embargocompliance. Seit Februar 2022 hat die Ausfuhrkontrolle eine massive Rolle erhalten. Staatsanwaltschaften in Hamburg, München und Düsseldorf haben Ermittlungen wegen Verstößen gegen die EU-Russland-Sanktionen gegen Geschäftsführer und Compliance-Verantwortliche geführt. Die Rechtsprechung zu § 18 AWG (Außenwirtschaftsgesetz) differenziert zunehmend nach der individuellen Verantwortungssphäre und stellt hohe Anforderungen an die Compliance-Organisation in grenzüberschreitenden Lieferbeziehungen.

Datenschutz und Compliance. Die EuGH-Rechtsprechung zur DSGVO-Bußgeldbemessung (Deutsche Wohnen u.a.) hat die Anforderungen an den Fehlermaßstab und die Verantwortlichkeit der Leitungspersonen konkretisiert. Der Compliance Officer, dem Datenschutzverantwortlichkeiten übertragen sind, haftet in diesem Rahmen auch für systemische Defizite.

---

14. Schutzmaßnahmen und Delegation

Die wirksamste Haftungsminimierung liegt nicht im nachgelagerten Verteidigungsaufwand, sondern in der präventiven Strukturierung der Compliance-Funktion.

Delegation nach unten und oben. Horizontale und vertikale Delegation ist zentrales Haftungsinstrument. Der Compliance Officer delegiert Teilaufgaben an Fachbereiche (Local Compliance Officer, Ethics Champions), behält aber Auswahl-, Instruktions- und Kontrollpflichten (culpa in eligendo, instruendo, vigilando). Vertikal nach oben ist die dokumentierte Eskalation an Geschäftsleitung und Aufsichtsrat der Schlüssel zur eigenen Entlastung.

Ressourcenausstattung. Die Rechtsprechung erwartet, dass der Compliance Officer angemessene Ressourcen – Budget, Personal, IT, Weiterbildung – einfordert. Fehlt diese Ausstattung und ist sie dokumentiert eingefordert, verschiebt sich die Haftungslast zur Geschäftsleitung. Die Dokumentation der Ressourcenanforderung und der Reaktion der Leitungsebene ist ein Kernbestandteil der eigenen Verteidigungslinie.

Reporting-Linie. Der direkte Berichtsweg zu Vorstand und Aufsichtsrat – festgeschrieben in Geschäftsordnung, Anstellungsvertrag und Compliance-Richtlinie – ist nicht nur organisatorische Hygiene, sondern haftungsrechtliche Voraussetzung. Wer formal an das operative Management berichtet, dem es kontrollieren soll, ist in einer strukturellen Abhängigkeit, die gerichtlich als Indiz mangelnder Unabhängigkeit gewertet werden kann.

Anstellungsvertragliche Schutzklauseln. Haftungsfreistellungen, Kostenübernahmen bei behördlichen Verfahren, Auskunftspflichten der Gesellschaft im Verteidigungsfall, D&O-Deckungspflicht, Freistellung von Bußgeldern (soweit rechtlich zulässig), ERP-Garantie beim Ausscheiden – diese Klauseln sollten bei jeder Neubestellung und jeder Verlängerung verhandelt werden.

Kontinuierliche Weiterbildung. Rechtsprechung, Gesetzgebung und Aufsichtspraxis verändern sich rasant. Die dokumentierte Fortbildung – insbesondere in neu eingeführten Regimes wie CSDDD, DORA oder HinSchG – ist Teil des Sorgfaltsnachweises. Die Absenz nachgewiesener Fortbildung wirkt umgekehrt als Haftungsindiz.

---

15. Checkliste: 10 Maßnahmen zur Haftungsminimierung

1. Schriftliche Rollenbeschreibung mit klar abgegrenzten Zuständigkeiten, Eskalationspflichten, Reportingwegen und Ressourcenzusagen im Anstellungsvertrag und in einer Compliance-Charter.
2. Direkte Berichtslinie an Vorstand und – bei wesentlichen Vorfällen – an den Aufsichtsrat bzw. Prüfungsausschuss, mit dokumentierten Sitzungsfrequenzen.
3. Risikobasierte Compliance-Analyse jährlich aktualisiert, dokumentiert und als Grundlage der CMS-Priorisierung in Audit-Akten nachvollziehbar abgelegt.
4. Schriftliche Ressourcenanforderung an die Geschäftsleitung mit begründeter Bedarfsdarstellung und protokollierter Reaktion.
5. Dokumentierte Delegation auf Local Compliance Officer, Fachbereiche und externe Dienstleister, einschließlich Auswahl-, Instruktions- und Kontrollprotokollen.
6. Eskalationsprotokoll für rote Flaggen: Wer erfährt wann von welchen Sachverhalten, welche Reaktionsfristen gelten, welche Eskalationsstufen sind vorgesehen.
7. Individuelle strafrechtliche Beratung – außerhalb des Unternehmensmandats und außerhalb der internen Untersuchungskanzlei – bei jeder beginnenden staatsanwaltschaftlichen Ermittlung im Unternehmensumfeld.
8. D&O-Policencheck mindestens jährlich: Deckungssumme, Ausschlüsse, Meldefristen, ERP-Konditionen; bei Neubestellung Prüfung vor Amtsantritt.
9. Revisionssichere Dokumentation aller compliance-relevanten Entscheidungen mit Datum, Informationsbasis, Alternativenprüfung und beteiligten Personen – im geschützten Dokumentenmanagementsystem.
10. Kontinuierliche Fortbildung (mindestens 40 Stunden jährlich) in den eigenen Zuständigkeitsbereichen mit dokumentierten Teilnahmenachweisen und interner Weitergabe des Wissens.

---

16. FAQ

Haftet der Compliance Officer auch ohne konkrete Kenntnis eines Rechtsverstoßes?

Grundsätzlich setzt die strafrechtliche Haftung aus unechtem Unterlassen nach § 13 StGB konkrete Kenntnis oder zumindest billigende Inkaufnahme der Straftat voraus. Die zivilrechtliche und bußgeldrechtliche Haftung erfasst jedoch auch systemische Sorgfaltsverstöße ohne konkrete Einzelkenntnis: Fehlen angemessene Kontrollstrukturen, Risikoanalysen oder Reaktionsmechanismen, haftet der Compliance Officer für diese Organisationsverstöße, auch wenn er den Einzelvorfall nicht kannte.

Wann wird ein Compliance Officer zum Beschuldigten statt zum Zeugen?

Der Statuswechsel erfolgt bei Vorliegen eines Anfangsverdachts einer eigenen Straftat. In der Praxis geschieht dies häufig nach einer Zeugenvernehmung, wenn sich aus deren Inhalt oder aus zusätzlichen Ermittlungsergebnissen belastende Umstände ergeben. Entscheidend sind auch Durchsuchungen, Sicherstellungen oder Aussagen anderer Verfahrensbeteiligter. Sobald sich der Verdacht abzeichnet, ist die Hinzuziehung eigener strafrechtlicher Beratung außerhalb des Unternehmensmandats geboten, um prozessuale Rechte zu wahren.

Deckt die D&O-Versicherung vorsätzliche Pflichtverletzungen?

Nein. Wissentliche Pflichtverletzungen und vorsätzliche Schadensverursachung sind in Standardpolicen ausgeschlossen. Streitig ist regelmäßig die Abgrenzung zur groben Fahrlässigkeit. Wichtig ist, dass Abwehrkosten typischerweise bis zur rechtskräftigen Feststellung des Vorsatzes vorläufig vom Versicherer getragen werden (sog. Vorfinanzierung der Rechtsverteidigung). Ist der Vorsatz rechtskräftig festgestellt, besteht eine Rückforderungspflicht. Selbstbehalte, Versicherungssummen und Nachhaftungsfristen sind in der Policenauswahl kritisch.

Welche Unterschiede bestehen zwischen der Haftung von Compliance Officer und General Counsel?

Der Compliance Officer trägt nach der BGH-Rechtsprechung typischerweise eine strafrechtliche Garantenstellung für Rechtsverstöße im Unternehmen. Der General Counsel haftet primär als juristischer Berater aus Beratungspflichten; eine Garantenstellung besteht nur bei ausdrücklicher Übertragung von Kontrollaufgaben. Bei Personalunion überlagert die Compliance-Garantenstellung die General-Counsel-Rolle. Syndikusrechtsanwälte genießen eingeschränkten Beschlagnahmeschutz, der sich von dem externer Verteidiger unterscheidet.

Wie kann die Delegation von Compliance-Aufgaben haftungsbegrenzend wirken?

Wirksame Delegation verlagert die operative Durchführung, nicht aber die Verantwortung vollständig. Der Compliance Officer behält Auswahl-, Instruktions- und Überwachungspflichten. Haftungsbegrenzend wirkt die Delegation nur bei nachweisbarer sorgfältiger Auswahl des Delegatars, klarer schriftlicher Aufgabenbeschreibung, regelmäßiger Berichterstattung und dokumentierter Kontrolle. Die Delegation auf offensichtlich ungeeignete oder unzureichend ausgestattete Personen erhöht umgekehrt das Haftungsrisiko erheblich.

Muss der Compliance Officer interne Verstöße an die Geschäftsleitung melden?

Ja, die Eskalationspflicht an die Geschäftsleitung ist Kernpflicht der Compliance-Funktion. Reagiert die Geschäftsleitung nicht oder unzureichend, gebietet die Sorgfaltspflicht regelmäßig eine Eskalation an den Aufsichtsrat. Eine externe Anzeigepflicht gegenüber Behörden besteht nach herrschender Meinung nur ausnahmsweise, etwa bei Katalogtaten des § 138 StGB. Die externe Anzeige bei Steuerstraftaten, Geldwäsche oder Finanzkriminalität folgt spezialgesetzlichen Meldepflichten (AO, GwG, KWG).

Welche Bedeutung hat die Business Judgment Rule für Compliance-Entscheidungen?

Die BJR schützt unternehmerische Ermessensentscheidungen, nicht aber Legalitätsverstöße. Bei der Ausgestaltung des Compliance-Management-Systems – Audittiefe, Schwellenwerte für Third-Party-Due-Diligence, Trainingsfrequenz, technische Tools – greift die BJR, sofern die Entscheidung auf angemessener Informationsbasis zum Wohle der Gesellschaft getroffen wurde. Nicht geschützt ist die Entscheidung, gegen geltendes Recht zu verstoßen oder ein erkennbar unzureichendes System bewusst zu tolerieren.

Haftet der Compliance Officer für Verstöße von Tochtergesellschaften?

Grundsätzlich nein: Tochtergesellschaften sind rechtlich selbständig. Eine Durchgriffshaftung kommt jedoch in Betracht, wenn der Compliance Officer der Muttergesellschaft faktisch Kontrollfunktionen für die Tochter ausübt, als Doppelorganstellung fungiert oder die Konzernstruktur zur Umgehung der Compliance-Pflichten missbraucht wird. Das LkSG und die CSDDD begründen eigenständige Sorgfaltspflichten im Konzern und in der Lieferkette, die dem Compliance Officer der Obergesellschaft zugewiesen werden können.

Wie wirken sich LkSG und CSDDD auf die Compliance Officer Haftung aus?

Beide Regimes institutionalisieren Sorgfaltspflichten für Menschenrechts- und Umweltrisiken in Wertschöpfungsketten. Die operative Verantwortung liegt typischerweise beim Compliance Officer. Das LkSG sieht Bußgelder bis zu 800.000 € (§ 24 Abs. 3 LkSG), bei Großunternehmen mit Jahresumsatz > 400 Mio. € bis zu 2 % des weltweiten Jahresumsatzes (§ 24 Abs. 4 LkSG) vor. Die CSDDD wurde durch die Omnibus-Richtlinie (EU) 2026/470 vom 26. Februar 2026 substantiell geändert; das ursprünglich vorgesehene zivilrechtliche Haftungsregime gegenüber betroffenen Personen wurde gestrichen (dazu Abschnitt 12). Für den Compliance Officer bedeutet das zusätzliche Dokumentationspflichten, Risikomanagementsysteme für die Lieferkette und eigenständige Haftungsrisiken bei fehlender Umsetzung.

Welche Rolle spielt die Dokumentation bei der Haftungsabwehr?

Eine zentrale. Die Beweislastumkehr bei § 43 GmbHG und § 93 AktG zwingt den Compliance Officer im Prozess, sein pflichtgemäßes Handeln positiv darzulegen. Ohne zeitnahe, vollständige und revisionssichere Dokumentation – Risikoanalysen, Protokolle, Ressourcenanforderungen, Eskalationen – ist dieser Entlastungsbeweis praktisch nicht zu führen. Dokumentation ist damit kein administrativer Selbstzweck, sondern das primäre Abwehrinstrument im Haftungsprozess.