Ein Fachblog von Gercke Wollschläger
gw-strafrecht.de ↗ LinkedIn Kontakt
Institutioneller Marmorflur — strukturiertes Compliance-Programm und Aufsichtspflichten im Unternehmen.

Compliance-Programm im Unternehmen: Aufbau und Bußgeldminderung

9 Min.

AUF EINEN BLICK

Ein Compliance-Programm kann Unternehmensrisiken reduzieren und bei der Bemessung von Geldbußen nach §§ 30, 130 OWiG eine erhebliche Rolle spielen. Entscheidend ist nicht die Existenz eines Handbuchs, sondern ein risikogerechtes, dokumentiertes und tatsächlich gelebtes System. Der Bundesgerichtshof hat anerkannt, dass ein effizientes Compliance-Management-System die Geldbuße nach § 30 OWiG mindern kann (BGH 1 StR 265/16). Für die Verteidigung ist das Compliance-Programm vor allem dann belastbar, wenn es vor dem Vorfall implementiert war und nach erkannten Schwächen nachvollziehbar verbessert wurde.

Ein Compliance-Programm ist mehr als eine Sammlung von Richtlinien — es ist das operative Fundament dafür, dass ein Unternehmen Rechtsverstöße strukturell verhindert, statt sie nur zufällig zu vermeiden. Für Unternehmen, die mit Ermittlungsbehörden zu tun bekommen, kann ein nachweislich wirksames Programm den Unterschied zwischen einer empfindlichen und einer deutlich milderen Sanktion ausmachen. Dieser Beitrag zeigt, was ein Compliance-Programm leisten muss, wie es aufgebaut wird und warum es aus der Verteidigerperspektive zentral ist.

Was ist ein Compliance-Programm?

Ein Compliance-Programm im Unternehmen ist ein systematisches, organisatorisches Regelwerk, das die Einhaltung gesetzlicher Vorschriften und interner Richtlinien durch das Unternehmen und seine Mitarbeiter sicherstellen soll. Es umfasst Strukturen, Prozesse, Kontrollen und Kommunikationsmaßnahmen — alles, was dazu beiträgt, Rechtsverstöße zu verhindern, frühzeitig zu erkennen und bei Bedarf aufzuklären.

Ein Compliance-Programm ist nicht identisch mit einer Compliance-Abteilung. Auch kleine Unternehmen können ein wirksames Programm ohne eigene Abteilung betreiben. Entscheidend ist nicht die Größe der Struktur, sondern ihre Wirksamkeit im Einzelfall.

Warum ein Compliance-Programm für Unternehmen wichtig ist

Der Nutzen eines Compliance-Programms zeigt sich auf mehreren Ebenen. Im Vordergrund steht aus strafrechtlicher Sicht die Möglichkeit der Bußgeldminderung: Bei der Bemessung einer Geldbuße sind nach § 17 Abs. 3 OWiG insbesondere die Bedeutung der Ordnungswidrigkeit und der Vorwurf maßgeblich, der den Täter trifft. Eine ausdrückliche Compliance-Klausel enthält die Vorschrift nicht; die bußgeldmindernde Wirkung eines wirksamen Compliance-Management-Systems folgt vielmehr aus dieser Zumessungslogik und aus der Rechtsprechung des Bundesgerichtshofs (BGH 1 StR 265/16). zu den geplanten gesetzlichen Compliance-Zumessungskriterien: Zumessungskriterien nach BT-Drs. 21/6133.

Auch in spezialgesetzlichen Bußgeldregimen kann Compliance eine Rolle spielen. Besonders deutlich ist dies im Kartellrecht: § 81d GWB und die Bußgeldleitlinien des Bundeskartellamts eröffnen Raum für die Berücksichtigung bußgeldrelevanter Umstände, zu denen auch wirksame Compliance-Maßnahmen zählen können.

Hinzu kommen weitere Funktionen. Ein Geschäftsführer oder Vorstand, der ein wirksames Compliance-Programm eingerichtet und überwacht hat, steht bei einer persönlichen Inanspruchnahme besser da. Ein funktionierendes Programm erkennt Risiken, bevor sie zu Verstößen werden, und schützt so vor Schäden, Reputationsverlust und Verfahren. In regulierten Sektoren und für Lieferanten von Großunternehmen ist ein Compliance-Programm zudem zunehmend Voraussetzung für Geschäftsbeziehungen.

Die sieben Kernelemente eines wirksamen Compliance-Programms

International und zunehmend auch in Deutschland hat sich eine Grundstruktur für Compliance-Programme etabliert, die auf sieben Kernelementen beruht. Sie gehen unter anderem auf die US Federal Sentencing Guidelines zurück und werden sinngemäß auch von deutschen Strafverfolgungsbehörden und Gerichten als Maßstab herangezogen.

1. Compliance-Risikoanalyse

Ausgangspunkt jedes Compliance-Programms ist eine systematische Analyse der unternehmenstypischen Rechtsrisiken: Wo entstehen erfahrungsgemäß Verstöße, in welchen Geschäftsbereichen, Ländern und Produktlinien? Die Risikoanalyse definiert Schwerpunkte und Ressourceneinsatz des Programms.

2. Compliance-Richtlinien und Code of Conduct

Auf Basis der Risikoanalyse werden klare, verständliche Verhaltensregeln entwickelt — ein Code of Conduct und bereichsspezifische Richtlinien etwa zu Anti-Korruption, Datenschutz, Kartellrecht und Geldwäscheprävention. Diese müssen nicht nur existieren, sondern den Mitarbeitern aktiv zugänglich und verständlich sein.

3. Organisationsstruktur und Verantwortlichkeiten

Ein Compliance-Programm braucht klare, schriftlich festgelegte Zuständigkeiten: Wer ist für Compliance verantwortlich, wer ist Ansprechpartner für Mitarbeiter, wer eskaliert an Geschäftsleitung oder Aufsichtsrat?

4. Schulung und Kommunikation

Richtlinien, die nicht bekannt sind, schützen nicht. Regelmäßige, an Risikograd und Funktion angepasste Schulungen sind erforderlich. Besonders exponierte Bereiche wie Vertrieb, Einkauf und Finanzen brauchen intensivere und häufigere Schulungen.

5. Hinweisgebersystem (Whistleblowing)

Ein vertraulicher Meldekanal ist das wichtigste Frühwarnsystem eines Compliance-Programms. Für Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten ist eine interne Meldestelle nach dem Hinweisgeberschutzgesetz (HinSchG) grundsätzlich Pflicht; kleinere Unternehmen können aus Compliance-Gründen gleichwohl einen vertraulichen Meldekanal vorsehen. Ein System, das Meldern keine echte Vertraulichkeit garantiert, ist wirkungslos.

6. Monitoring und interne Kontrollen

Ein Compliance-Programm muss sich selbst überprüfen. Regelmäßige interne Audits, Transaktionskontrollen und Risikoberichte stellen sicher, dass Schwachstellen erkannt werden, bevor externe Behörden sie finden.

7. Reaktion und Verbesserung

Wird ein Verstoß erkannt, braucht es klare Reaktionsprozesse: Wer wird informiert, wie wird untersucht, welche Konsequenzen folgen? Und welche Verbesserungen verhindern künftig denselben Verstoß? Gerade die nachträgliche Verbesserung erkannter Lücken wird vom Bundesgerichtshof bußgeldmindernd berücksichtigt.

Compliance-Programm und §§ 30, 130 OWiG — der rechtliche Zusammenhang

Im deutschen Recht ist das Compliance-Programm mit zwei zentralen Normen verknüpft, die dogmatisch auseinanderzuhalten sind. § 130 OWiG regelt die Aufsichtspflichtverletzung: Wer als Inhaber eines Betriebs die erforderlichen Aufsichtsmaßnahmen unterlässt und dadurch eine betriebsbezogene Zuwiderhandlung ermöglicht, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre, handelt ordnungswidrig. Ein wirksames und tatsächlich gelebtes Compliance-Programm kann ein zentrales Indiz dafür sein, dass die gebotene Aufsicht organisiert, dokumentiert und überwacht wurde. Ob damit eine Aufsichtspflichtverletzung ausscheidet, bleibt jedoch eine Frage des konkreten Risikos, der Umsetzung und der Kausalität im Einzelfall.

§ 30 OWiG erlaubt die Verhängung einer Geldbuße gegen die juristische Person, wenn eine Leitungsperson eine Straftat oder Ordnungswidrigkeit begangen hat. Anknüpfungspunkt ist also die Tat einer Leitungsperson, nicht das Organisationsdefizit als solches. Bei der Bemessung dieser Verbandsgeldbuße kann ein nachgewiesenes, wirksames Compliance-Management-System bußgeldmindernd berücksichtigt werden. Der Bundesgerichtshof hat dies grundlegend anerkannt: Zugunsten des Unternehmens darf das Bestehen eines Compliance-Management-Systems sowie dessen Optimierung nach einem Verstoß bei der Bemessung der Geldbuße nach § 30 Abs. 1 OWiG berücksichtigt werden; entscheidend ist, dass die Maßnahmen vergleichbare Rechtsverstöße künftig deutlich erschweren (BGH 1 StR 265/16, bestätigt durch BGH 5 StR 278/21). zur Bußgeldreduktion durch Compliance-Systeme nach § 30 OWiG im Detail: § 30 OWiG — Bußgeldrahmen und Bemessungsgrundsätze.

Ein Compliance-Programm auf dem Papier ohne nachweisliche Umsetzung ist im Ermittlungsverfahren wertlos. Behörden und Gerichte prüfen die tatsächliche Praxis, nicht die Existenz von Richtlinien. Für die Verteidigung entscheidet deshalb die Dokumentation: Wer belegen kann, dass das System vor dem Vorfall risikogerecht ausgestaltet, kommuniziert und kontrolliert war — und dass erkannte Lücken nachvollziehbar geschlossen wurden —, verfügt über das stärkste Argument sowohl gegen den Vorwurf der Aufsichtspflichtverletzung als auch bei der Bußgeldbemessung.

Besonderheiten bei internationalen Compliance-Programmen

Unternehmen mit grenzüberschreitender Tätigkeit müssen mehrere Rechtsrahmen zugleich abdecken. Neben dem deutschen Recht können das US-amerikanische FCPA, der UK Bribery Act, das französische Sapin II oder EU-Recht wie Sanktionsregime und NIS-2 relevant sein. Ein international ausgerichtetes Compliance-Programm sollte deshalb den jeweils strengsten einschlägigen Mindeststandard zugrunde legen und dabei handhabbar bleiben.

Compliance-Programm im Ernstfall: die Verteidigungsperspektive

Werden Ermittlungen eingeleitet, wird das Compliance-Programm zur ersten Verteidigungslinie. Aus Sicht von Staatsanwaltschaft und Gericht stellen sich vier Fragen: War das Programm angemessen auf die Risiken des Unternehmens zugeschnitten? War es tatsächlich gelebt und nicht nur auf dem Papier vorhanden? Hat das Unternehmen auf erkannte Schwachstellen reagiert? Und hat das Programm den Verstoß verhindert oder zumindest erschwert?

Ein wirksames Compliance-Programm, das einen Verstoß dennoch nicht verhindern konnte, führt nicht automatisch zur Ahndungsfreiheit. Es kann aber die Bewertung des Vorwurfs, die Bußgeldbemessung und — je nach Verfahrenslage, Tatvorwurf und Behördenpraxis — auch Opportunitätsentscheidungen beeinflussen. Eine Einstellung des Verfahrens ist damit möglich, aber keine sichere oder typische Folge eines Compliance-Systems.

Häufige Fragen

Ab welcher Unternehmensgröße ist ein Compliance-Programm Pflicht?
Eine gesetzliche Mindestgröße für ein Compliance-Programm gibt es in Deutschland nicht. Aus § 130 OWiG folgt aber eine Aufsichtspflicht, die bei größeren oder risikoreicheren Unternehmen regelmäßig organisierte Compliance-Strukturen erfordert. In regulierten Branchen und bei internationaler Tätigkeit ist ein funktionierendes Compliance-Management-System faktisch unverzichtbar.
Welche Elemente muss ein wirksames Compliance-Programm enthalten?
Ein wirksames Compliance-Programm umfasst mindestens eine Risikoanalyse, klare Richtlinien und einen Code of Conduct, definierte Zuständigkeiten mit ausreichenden Befugnissen, risikobasierte Schulungen, ein vertrauliches Hinweisgebersystem sowie regelmäßige interne Kontrollen und Audits. Entscheidend ist, dass das Programm nicht nur existiert, sondern tatsächlich gelebt und dokumentiert wird.
Kann ein Compliance-Programm die Unternehmensgeldbuße nach § 30 OWiG mindern?
Ja. Der Bundesgerichtshof hat anerkannt, dass ein effizientes Compliance-Management-System bei der Bemessung der Geldbuße nach § 30 Abs. 1 OWiG bußgeldmindernd berücksichtigt werden kann (BGH 1 StR 265/16). Das gilt sowohl für ein bereits vor dem Verstoß bestehendes System als auch für die nachträgliche Optimierung. Voraussetzung ist, dass das System risikogerecht ausgestaltet, umgesetzt und dokumentiert war.
Wie oft muss ein Compliance-Programm aktualisiert werden?
Eine allgemeine gesetzliche Jahrespflicht besteht nicht. Ein jährlicher Review ist für viele Unternehmen ein sinnvoller Mindeststandard. Zwingend ist eine anlassbezogene Aktualisierung, wenn sich Rechtslage, Geschäftsmodell, Risikoprofil oder Erkenntnisse aus Vorfällen ändern. Maßgeblich ist ein risikobasierter Ansatz.
Wer haftet, wenn das Compliance-Programm versagt?
Gegen das Unternehmen kommt eine Verbandsgeldbuße nach § 30 OWiG in Betracht, die an die Tat einer Leitungsperson anknüpft. Daneben können Geschäftsführer oder Vorstand persönlich nach § 130 OWiG wegen Aufsichtspflichtverletzung sowie zivilrechtlich haften, wenn sie die Einrichtung oder Überwachung erforderlicher Aufsichtsmaßnahmen unterlassen haben. Ob eine Haftung besteht, hängt von Risiko, Umsetzung und Kausalität im Einzelfall ab.

Ein Compliance-Programm entfaltet seine Schutzwirkung nicht durch seine bloße Existenz, sondern durch nachweisbare, risikogerechte Umsetzung. Für Unternehmen und ihre Leitungsorgane ist es deshalb weniger eine Frage des Handbuchumfangs als der dokumentierten Praxis: Ein vor dem Vorfall implementiertes, gelebtes und nach erkannten Schwächen verbessertes System ist im Ermittlungsverfahren das tragfähigste Argument — bei der Frage der Aufsichtspflichtverletzung ebenso wie bei der Bemessung der Geldbuße.

Quellen und Rechtsprechung

  • § 17 OWiG (Höhe der Geldbuße; Zumessungsgrundlagen).
  • § 30 OWiG (Geldbuße gegen juristische Personen und Personenvereinigungen).
  • § 130 OWiG (Verletzung der Aufsichtspflicht in Betrieben und Unternehmen).
  • BGH, Urt. v. 9.5.2017 – 1 StR 265/16, wistra 2017, 390 (Berücksichtigung eines effizienten Compliance-Management-Systems bei der Bußgeldbemessung nach § 30 OWiG).
  • BGH, Beschl. v. 22.4.2022 – 5 StR 278/21 (Bestätigung; nachträgliche Compliance-Maßnahmen).
  • Hinweisgeberschutzgesetz (HinSchG), insbesondere Pflicht zur internen Meldestelle grundsätzlich ab 50 Beschäftigten.
  • § 81d GWB und Bußgeldleitlinien des Bundeskartellamts (kartellrechtliche Bußgeldbemessung).

Das Fundament

GrundlageUnternehmensstrafrecht DeutschlandGrundlageCompliance Officer — HaftungGrundlageBeschuldigtenrechte im StrafverfahrenGrundlageUntreue nach § 266 StGBGrundlageBetrug im WirtschaftsstrafrechtGrundlageSteuerhinterziehung § 370 AO

Criminal Compliance Briefing

Einmal im Quartal: ausgewählte Entwicklungen im Wirtschaftsstrafrecht, in der Criminal Compliance und bei internen Untersuchungen — eingeordnet aus Verteidigerperspektive.

Zum Inhalt springen