„Das haben wir nicht gewusst“ - Gerade auf Geschäftsführungs- und Vorstandsebene ist diese Aussage längst keine tragfähige Verteidigungsstrategie mehr. Die Anforderungen an die Unternehmensleitung haben sich in den letzten Jahren deutlich verschärft – nicht nur gesellschaftlich, sondern vor allem rechtlich. Gerichte stellen klar: Unternehmerische Verantwortung bedeutet nicht nur Reaktion, sondern Prävention. Wer ein Unternehmen führt, ist verpflichtet, durch geeignete organisatorische Maßnahmen für die Einhaltung von Pflichten und Gesetzen zu sorgen.
Legalitätspflicht: Persönliche Organisations- und Aufsichtspflichten der Geschäftsführung
Aus der sogenannten Legalitätspflicht ergibt sich für die Geschäftsführung die klare Verpflichtung: Sie muss sicherstellen, dass das Unternehmen rechtmäßig handelt und aktiv Maßnahmen ergreifen, um Gesetzesverstöße durch Mitarbeitende zu verhindern. Das bedeutet konkret:
Mangelhafte Compliance ist eine Pflichtverletzung
Das Oberlandesgericht Nürnberg bringt es im Urteil vom 30. März 2022 (12 U 1520/19) auf den Punkt:
„Die Einhaltung des Legalitätsprinzips und demgemäß die Einrichtung eines funktionierenden Compliance-Systems gehört zur Gesamtverantwortung [..].“
Die Einrichtung eines mangelhaften Compliance-Systems und auch deren unzureichende Überwachung entsprechen laut Gericht einer Pflichtverletzung. Und diese Pflichtverletzung hat Folgen – zivilrechtlich wie strafrechtlich: Im schlimmsten Fall drohen hohe Geldbußen (nach § 130 OWiG bis zu 1 Million Euro), persönliche Haftungsrisiken sowie erhebliche Reputationsschäden für das Unternehmen.
Wirksame Compliance wirkt entlastend
BGH-Urteile bestätigen: Ein wirksames CMS wirkt strafmildernd. Gerichte erkennen heute ausdrücklich an, wenn ein Unternehmen ein effektives Compliance Management System eingerichtet und weiterentwickelt hat – auch im Nachgang eines Verfahrens. So etwa der Bundesgerichtshof im Urteil vom 9. Mai 2017 (1 StR 265/16):
„Für die Bemessung der Geldbuße ist […] von Bedeutung, inwieweit die Nebenbeteiligte […] ein effizientes Compliance-Management installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt sein muss.“
Ebenso im Urteil vom 27. April 2022 (5 StR 278/21), wo ein selbst eingeleiteter Selbstreinigungsprozess durch Einführung umfassender Compliance-Maßnahmen strafmildernd gewertet wurde. Das ist eine klare Botschaft: Proaktive Compliance schützt.
Verantwortung ist nicht delegierbar
Das zentrale Urteil des Landgerichts München I im vielbeachteten Siemens-Fall (Az. 5HK O 1387/10) – macht deutlich: Nicht nur das Unternehmen als Ganzes ist in der Pflicht, sondern jedes einzelne Mitglied der Geschäftsleitung. Kein Vorstand und kein Geschäftsführer kann sich darauf berufen, mit seinen Vorschlägen bei seinen Geschäftsleitungskollegen nicht durchgedrungen zu sein. In diesem Fall muss er Gegenvorschläge unterbreiten und notfalls den Aufsichtsrat bzw. die Gesellschafter einschalten. Es reicht nicht, einmal eine Compliance-Struktur einzuführen. Die Geeignetheit und Funktionsfähigkeit des Systems muss laufend überwacht und angepasst werden – gerade bei veränderten Risiken, internationalem Geschäft oder neuen regulatorischen Anforderungen.
Fazit: Verantwortung steuern statt Verantwortung delegieren
Die aktuelle Rechtslage und die einschlägige Rechtsprechung lassen keinen Interpretationsspielraum: Verantwortung in der Unternehmensleitung endet nicht bei der Formulierung von Erwartungen oder der Einführung einzelner Maßnahmen. Entscheidend ist, ob Verantwortung systematisch in klare Strukturen, Prozesse und Zuständigkeiten übersetzt wird und ob diese im Alltag tatsächlich gelebt und überwacht werden.
Ein wirksames Compliance Management System schafft genau diesen Rahmen: Es macht Verantwortung steuerbar, Risiken transparent und Regelkonformität zu einer gemeinsamen Aufgabe der Organisation. Geschäftsführung und Vorstand setzen damit nicht auf Kontrolle im Einzelfall, sondern auf ein belastbares System, das Orientierung gibt, Verhalten lenkt und im Ernstfall entlastet.
Wer Verantwortung übernimmt, muss sie so organisieren, dass sie im gesamten Unternehmen wirksam werden kann – nachvollziehbar, überprüfbar und nachhaltig.