AUF EINEN BLICK
Ein Compliance-Programm kann Unternehmensrisiken reduzieren und bei der Bemessung von Geldbußen nach §§ 30, 130 OWiG eine erhebliche Rolle spielen. Entscheidend ist nicht die Existenz eines Handbuchs, sondern ein risikogerechtes, dokumentiertes und tatsächlich gelebtes System. Der Bundesgerichtshof hat anerkannt, dass ein effizientes Compliance-Management-System die Geldbuße nach § 30 OWiG mindern kann (BGH 1 StR 265/16). Für die Verteidigung ist das Compliance-Programm vor allem dann belastbar, wenn es vor dem Vorfall implementiert war und nach erkannten Schwächen nachvollziehbar verbessert wurde.
Ein Compliance-Programm ist mehr als eine Sammlung von Richtlinien — es ist das operative Fundament dafür, dass ein Unternehmen Rechtsverstöße strukturell verhindert, statt sie nur zufällig zu vermeiden. Für Unternehmen, die mit Ermittlungsbehörden zu tun bekommen, kann ein nachweislich wirksames Programm den Unterschied zwischen einer empfindlichen und einer deutlich milderen Sanktion ausmachen. Dieser Beitrag zeigt, was ein Compliance-Programm leisten muss, wie es aufgebaut wird und warum es aus der Verteidigerperspektive zentral ist.
Was ist ein Compliance-Programm?
Ein Compliance-Programm im Unternehmen ist ein systematisches, organisatorisches Regelwerk, das die Einhaltung gesetzlicher Vorschriften und interner Richtlinien durch das Unternehmen und seine Mitarbeiter sicherstellen soll. Es umfasst Strukturen, Prozesse, Kontrollen und Kommunikationsmaßnahmen — alles, was dazu beiträgt, Rechtsverstöße zu verhindern, frühzeitig zu erkennen und bei Bedarf aufzuklären.
Ein Compliance-Programm ist nicht identisch mit einer Compliance-Abteilung. Auch kleine Unternehmen können ein wirksames Programm ohne eigene Abteilung betreiben. Entscheidend ist nicht die Größe der Struktur, sondern ihre Wirksamkeit im Einzelfall.
Warum ein Compliance-Programm für Unternehmen wichtig ist
Der Nutzen eines Compliance-Programms zeigt sich auf mehreren Ebenen. Im Vordergrund steht aus strafrechtlicher Sicht die Möglichkeit der Bußgeldminderung: Bei der Bemessung einer Geldbuße sind nach § 17 Abs. 3 OWiG insbesondere die Bedeutung der Ordnungswidrigkeit und der Vorwurf maßgeblich, der den Täter trifft. Eine ausdrückliche Compliance-Klausel enthält die Vorschrift nicht; die bußgeldmindernde Wirkung eines wirksamen Compliance-Management-Systems folgt vielmehr aus dieser Zumessungslogik und aus der Rechtsprechung des Bundesgerichtshofs (BGH 1 StR 265/16). zu den geplanten gesetzlichen Compliance-Zumessungskriterien: Zumessungskriterien nach BT-Drs. 21/6133.
Auch in spezialgesetzlichen Bußgeldregimen kann Compliance eine Rolle spielen. Besonders deutlich ist dies im Kartellrecht: § 81d GWB und die Bußgeldleitlinien des Bundeskartellamts eröffnen Raum für die Berücksichtigung bußgeldrelevanter Umstände, zu denen auch wirksame Compliance-Maßnahmen zählen können.
Hinzu kommen weitere Funktionen. Ein Geschäftsführer oder Vorstand, der ein wirksames Compliance-Programm eingerichtet und überwacht hat, steht bei einer persönlichen Inanspruchnahme besser da. Ein funktionierendes Programm erkennt Risiken, bevor sie zu Verstößen werden, und schützt so vor Schäden, Reputationsverlust und Verfahren. In regulierten Sektoren und für Lieferanten von Großunternehmen ist ein Compliance-Programm zudem zunehmend Voraussetzung für Geschäftsbeziehungen.
Die sieben Kernelemente eines wirksamen Compliance-Programms
International und zunehmend auch in Deutschland hat sich eine Grundstruktur für Compliance-Programme etabliert, die auf sieben Kernelementen beruht. Sie gehen unter anderem auf die US Federal Sentencing Guidelines zurück und werden sinngemäß auch von deutschen Strafverfolgungsbehörden und Gerichten als Maßstab herangezogen.
1. Compliance-Risikoanalyse
Ausgangspunkt jedes Compliance-Programms ist eine systematische Analyse der unternehmenstypischen Rechtsrisiken: Wo entstehen erfahrungsgemäß Verstöße, in welchen Geschäftsbereichen, Ländern und Produktlinien? Die Risikoanalyse definiert Schwerpunkte und Ressourceneinsatz des Programms.
2. Compliance-Richtlinien und Code of Conduct
Auf Basis der Risikoanalyse werden klare, verständliche Verhaltensregeln entwickelt — ein Code of Conduct und bereichsspezifische Richtlinien etwa zu Anti-Korruption, Datenschutz, Kartellrecht und Geldwäscheprävention. Diese müssen nicht nur existieren, sondern den Mitarbeitern aktiv zugänglich und verständlich sein.
3. Organisationsstruktur und Verantwortlichkeiten
Ein Compliance-Programm braucht klare, schriftlich festgelegte Zuständigkeiten: Wer ist für Compliance verantwortlich, wer ist Ansprechpartner für Mitarbeiter, wer eskaliert an Geschäftsleitung oder Aufsichtsrat?
4. Schulung und Kommunikation
Richtlinien, die nicht bekannt sind, schützen nicht. Regelmäßige, an Risikograd und Funktion angepasste Schulungen sind erforderlich. Besonders exponierte Bereiche wie Vertrieb, Einkauf und Finanzen brauchen intensivere und häufigere Schulungen.
5. Hinweisgebersystem (Whistleblowing)
Ein vertraulicher Meldekanal ist das wichtigste Frühwarnsystem eines Compliance-Programms. Für Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten ist eine interne Meldestelle nach dem Hinweisgeberschutzgesetz (HinSchG) grundsätzlich Pflicht; kleinere Unternehmen können aus Compliance-Gründen gleichwohl einen vertraulichen Meldekanal vorsehen. Ein System, das Meldern keine echte Vertraulichkeit garantiert, ist wirkungslos.
6. Monitoring und interne Kontrollen
Ein Compliance-Programm muss sich selbst überprüfen. Regelmäßige interne Audits, Transaktionskontrollen und Risikoberichte stellen sicher, dass Schwachstellen erkannt werden, bevor externe Behörden sie finden.
7. Reaktion und Verbesserung
Wird ein Verstoß erkannt, braucht es klare Reaktionsprozesse: Wer wird informiert, wie wird untersucht, welche Konsequenzen folgen? Und welche Verbesserungen verhindern künftig denselben Verstoß? Gerade die nachträgliche Verbesserung erkannter Lücken wird vom Bundesgerichtshof bußgeldmindernd berücksichtigt.
Compliance-Programm und §§ 30, 130 OWiG — der rechtliche Zusammenhang
Im deutschen Recht ist das Compliance-Programm mit zwei zentralen Normen verknüpft, die dogmatisch auseinanderzuhalten sind. § 130 OWiG regelt die Aufsichtspflichtverletzung: Wer als Inhaber eines Betriebs die erforderlichen Aufsichtsmaßnahmen unterlässt und dadurch eine betriebsbezogene Zuwiderhandlung ermöglicht, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre, handelt ordnungswidrig. Ein wirksames und tatsächlich gelebtes Compliance-Programm kann ein zentrales Indiz dafür sein, dass die gebotene Aufsicht organisiert, dokumentiert und überwacht wurde. Ob damit eine Aufsichtspflichtverletzung ausscheidet, bleibt jedoch eine Frage des konkreten Risikos, der Umsetzung und der Kausalität im Einzelfall.
§ 30 OWiG erlaubt die Verhängung einer Geldbuße gegen die juristische Person, wenn eine Leitungsperson eine Straftat oder Ordnungswidrigkeit begangen hat. Anknüpfungspunkt ist also die Tat einer Leitungsperson, nicht das Organisationsdefizit als solches. Bei der Bemessung dieser Verbandsgeldbuße kann ein nachgewiesenes, wirksames Compliance-Management-System bußgeldmindernd berücksichtigt werden. Der Bundesgerichtshof hat dies grundlegend anerkannt: Zugunsten des Unternehmens darf das Bestehen eines Compliance-Management-Systems sowie dessen Optimierung nach einem Verstoß bei der Bemessung der Geldbuße nach § 30 Abs. 1 OWiG berücksichtigt werden; entscheidend ist, dass die Maßnahmen vergleichbare Rechtsverstöße künftig deutlich erschweren (BGH 1 StR 265/16, bestätigt durch BGH 5 StR 278/21). zur Bußgeldreduktion durch Compliance-Systeme nach § 30 OWiG im Detail: § 30 OWiG — Bußgeldrahmen und Bemessungsgrundsätze.
Ein Compliance-Programm auf dem Papier ohne nachweisliche Umsetzung ist im Ermittlungsverfahren wertlos. Behörden und Gerichte prüfen die tatsächliche Praxis, nicht die Existenz von Richtlinien. Für die Verteidigung entscheidet deshalb die Dokumentation: Wer belegen kann, dass das System vor dem Vorfall risikogerecht ausgestaltet, kommuniziert und kontrolliert war — und dass erkannte Lücken nachvollziehbar geschlossen wurden —, verfügt über das stärkste Argument sowohl gegen den Vorwurf der Aufsichtspflichtverletzung als auch bei der Bußgeldbemessung.
Besonderheiten bei internationalen Compliance-Programmen
Unternehmen mit grenzüberschreitender Tätigkeit müssen mehrere Rechtsrahmen zugleich abdecken. Neben dem deutschen Recht können das US-amerikanische FCPA, der UK Bribery Act, das französische Sapin II oder EU-Recht wie Sanktionsregime und NIS-2 relevant sein. Ein international ausgerichtetes Compliance-Programm sollte deshalb den jeweils strengsten einschlägigen Mindeststandard zugrunde legen und dabei handhabbar bleiben.
Compliance-Programm im Ernstfall: die Verteidigungsperspektive
Werden Ermittlungen eingeleitet, wird das Compliance-Programm zur ersten Verteidigungslinie. Aus Sicht von Staatsanwaltschaft und Gericht stellen sich vier Fragen: War das Programm angemessen auf die Risiken des Unternehmens zugeschnitten? War es tatsächlich gelebt und nicht nur auf dem Papier vorhanden? Hat das Unternehmen auf erkannte Schwachstellen reagiert? Und hat das Programm den Verstoß verhindert oder zumindest erschwert?
Ein wirksames Compliance-Programm, das einen Verstoß dennoch nicht verhindern konnte, führt nicht automatisch zur Ahndungsfreiheit. Es kann aber die Bewertung des Vorwurfs, die Bußgeldbemessung und — je nach Verfahrenslage, Tatvorwurf und Behördenpraxis — auch Opportunitätsentscheidungen beeinflussen. Eine Einstellung des Verfahrens ist damit möglich, aber keine sichere oder typische Folge eines Compliance-Systems.
Häufige Fragen
Ab welcher Unternehmensgröße ist ein Compliance-Programm Pflicht?
Welche Elemente muss ein wirksames Compliance-Programm enthalten?
Kann ein Compliance-Programm die Unternehmensgeldbuße nach § 30 OWiG mindern?
Wie oft muss ein Compliance-Programm aktualisiert werden?
Wer haftet, wenn das Compliance-Programm versagt?
Ein Compliance-Programm entfaltet seine Schutzwirkung nicht durch seine bloße Existenz, sondern durch nachweisbare, risikogerechte Umsetzung. Für Unternehmen und ihre Leitungsorgane ist es deshalb weniger eine Frage des Handbuchumfangs als der dokumentierten Praxis: Ein vor dem Vorfall implementiertes, gelebtes und nach erkannten Schwächen verbessertes System ist im Ermittlungsverfahren das tragfähigste Argument — bei der Frage der Aufsichtspflichtverletzung ebenso wie bei der Bemessung der Geldbuße.
Quellen und Rechtsprechung
- § 17 OWiG (Höhe der Geldbuße; Zumessungsgrundlagen).
- § 30 OWiG (Geldbuße gegen juristische Personen und Personenvereinigungen).
- § 130 OWiG (Verletzung der Aufsichtspflicht in Betrieben und Unternehmen).
- BGH, Urt. v. 9.5.2017 – 1 StR 265/16, wistra 2017, 390 (Berücksichtigung eines effizienten Compliance-Management-Systems bei der Bußgeldbemessung nach § 30 OWiG).
- BGH, Beschl. v. 22.4.2022 – 5 StR 278/21 (Bestätigung; nachträgliche Compliance-Maßnahmen).
- Hinweisgeberschutzgesetz (HinSchG), insbesondere Pflicht zur internen Meldestelle grundsätzlich ab 50 Beschäftigten.
- § 81d GWB und Bußgeldleitlinien des Bundeskartellamts (kartellrechtliche Bußgeldbemessung).


