Nico Jänicke, RA, Lea Krebs, RA, und Jakob Louis Schäfer

Basics: Compliance-Pflichten des Geschäftsführers – Maßstab, Haftung, Prävention

Angesichts aktueller Entwicklungen – etwa verschärfter Rechtsprechung sowie bedeutender (insbesondere europäischer) Gesetzesinitiativen wie dem Hinweisgeberschutzgesetz oder der KI-Verordnung – rückt zunehmend die Frage in den Fokus, wie Geschäftsführer den Anforderungen aus ihrer Compliance-Organisationspflicht wirksam und rechtssicher begegnen können. Der folgende Beitrag analysiert die maßgeblichen rechtlichen Grundlagen, beleuchtet typische Haftungsrisiken und zeigt auf, welche präventiven Maßnahmen erforderlich sind, um Compliance nicht nur formal, sondern auch faktisch sicherzustellen.

I. Einleitung

Compliance ist längst mehr als ein modisches Schlagwort aus dem unternehmerischen Jargon – sie ist zur rechtlich belastbaren Leitplanke für Geschäftsführungsverantwortung geworden. Wer heute eine GmbH als Geschäftsführer führt, ist verpflichtet, ein funktionierendes System zur Einhaltung rechtlicher Vorgaben zu etablieren und zu überwachen. Die Compliance-Organisationspflicht stellt einen zentralen Maßstab ordnungsgemäßer Geschäftsführung dar und ist mit einem signifikanten Haftungsrisiko verbunden. Der Umfang der vorgenannten Pflichten ist abhängig von der Art, der Größe und der Risikolage des Unternehmens. Ihre Delegation ist zwar möglich, entbindet den Geschäftsführer jedoch nicht von der Verantwortung für Aufbau und Überwachung der getroffenen Maßnahmen. Verstöße gegen die entsprechenden Bestimmungen können nicht nur zu einem wirtschaftlichen Schaden führen, sondern unter Umständen auch eine persönliche Haftung bis hin zu einer Strafverfolgung nach sich ziehen.

Das komplexe Geflecht aus gesetzlichen Vorgaben, internen Kontrollmechanismen und präventiven Maßnahmen stellt Geschäftsführer dabei vor stetig wachsende Herausforderungen. Zugleich schärft die Rechtsprechung kontinuierlich die Anforderungen und Kriterien an die Compliance-Pflichten, was eine sorgfältige und fundierte Auseinandersetzung mit der Materie unabdingbar macht.

II. Grundlegende rechtliche Rahmenbedingungen der Compliance-Pflichten

Um Compliance-Pflichten präzise zu umreißen und zu erfassen, ist eine klare Begriffsbestimmung erforderlich. Der Deutsche Corporate Governance Kodex stellt dabei ein hilfreiches Instrument dar, um das Verständnis des Anglizismus „Compliance“ zu schärfen.

1. Begriffserklärung: Was versteht man unter Compliance und welchen Bezug hat es zur Geschäftsführung?

Aus der Organstellung des Geschäftsführers ergibt sich eine umfassende Pflicht zur ordnungsgemäßen Wahrnehmung sämtlicher rechtlicher und tatsächlicher Verpflichtungen der Gesellschaft. Als Geschäftsführer einer GmbH obliegt dem Leitungsorgan mithin die Verpflichtung, für die Einhaltung aller relevanten Gesetze, Vorschriften, internen Richtlinien und ethischen Standards innerhalb des Unternehmens Sorge zu tragen.1 Dies umfasst nicht nur das eigene gesetzestreue Verhalten, sondern auch die Sicherstellung der Gesetzkonformität des gesamten Unternehmens, einschließlich einer Legalitätskontrolle anderer Personen (insgesamt als „Legalitätspflicht“ bezeichnet). Dieser Pflichtenkreis im Rahmen der Legalitätspflicht wird als „Compliance“ (engl. für „Einhaltung“) bezeichnet. Die praktische Umsetzung der sogenannten Compliance-Verantwortung hängt maßgeblich von der Größe und Struktur des jeweiligen Unternehmens sowie der im Einzelnen betriebenen Geschäfte ab.2 In kleineren Organisationen können oft einfachere Maßnahmen wie die Instruktion der Mitarbeiter ausreichen.3 Bei größeren Unternehmen ist dagegen regelmäßig ein eigener Compliance-Officer erforderlich.4

Die Wahrnehmung der Compliance-Pflichten obliegt den Geschäftsführern.5 Die Compliance-Verantwortung ist nämlich zwingend dem Leitungsorgan in seiner Gesamtheit zugewiesen.6 Es besteht zwar die Möglichkeit, Aufgaben und damit auch Fragmente der Compliance-Verantwortung zu delegieren, jedoch ist eine vollständige Übertragung der Compliance-Verantwortung auf untergeordnete Stellen nicht zulässig. Aufgrund der untrennbaren Verbindung zwischen der Compliance-Pflicht und dem jeweiligen Verantwortungsbereich der geschäftsführenden Gesellschafter ist eine vollständige Übertragung dieser Pflichten auf einen oder mehrere von ihnen bereits faktisch nicht möglich.7 Für große Unternehmen und (inter-)national agierende Konzerne ist die Einrichtung einer gestuften Compliance-Organisation nicht nur zulässig, sondern geradezu unabdingbar (für detailliertere Ausführungen siehe IV.1.).

2. Der Deutsche Corporate Governance Kodex

In der Präambel des Deutschen Corporate Governance Kodexes (DCGK) wird klargestellt, dass der DCGK wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften (Unternehmensführung) darstellt und international und national anerkannte Standards guter und verantwortungsvoller Unternehmensführung enthält.8 In diesem Kontext definiert der DCGK Compliance wie folgt: „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der internen Richtlinien zu sorgen und wirkt auf deren Beachtung im Unternehmen hin.“9 Eine rechtsverbindliche Vorschrift für die GmbH stellt der Deutsche Corporate Governance Kodex zwar nicht dar, doch definiert er Geschäftsführerpflichten in präziser Weise und dient somit als maßgeblicher Orientierungsrahmen. In diesem Sinne fungiert der Kodex als praxisnahes Handbuch, das es ermöglicht, die Compliance-Pflichten für Geschäftsführer einer GmbH systematisch zu umreißen und zu konkretisieren. Der Geschäftsführer einer GmbH hat demnach die Verantwortung, sowohl gesetzliche Bestimmungen als auch unternehmensinterne Regelungen zu befolgen. Er ist verpflichtet, eigenes pflichtwidriges Verhalten zu unterlassen und durch geeignete organisatorische Vorkehrungen sicherzustellen, dass das Unternehmen rechtskonform handelt.

III. Maßstab der Compliance-Pflichten des Geschäftsführers

Der Sorgfaltsmaßstab und die verschiedenen Sorgfaltspflichten sind untrennbar miteinander verbunden und tief in der gesamten Unternehmensführung des Geschäftsführers verwurzelt. Ersterer durchdringt sämtliche Handlungsbereiche und muss stets bei der Konkretisierung der einzelnen Pflichten berücksichtigt werden.

1. Der Sorgfaltsmaßstab eines ordentlichen Geschäftsmanns

Geschäftsführer haben nach § 43 Abs. 1 GmbHG in Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Die Regelung in Abs. 1 legt einen Sorgfaltsmaßstab fest und stellt damit eine spezialgesetzliche Konkretisierung des § 276 Abs. 2 BGB dar.10 Maßgebend für ein fahrlässiges Verhalten des Geschäftsführers ist dementsprechend nicht die „im Verkehr erforderliche Sorgfalt“, sondern die „Sorgfalt eines ordentlichen Geschäftsmannes“, womit ein deutlich strengerer Maßstab angelegt wird.11 Die zugrundeliegende Vergleichsgruppe ist dabei besonders spezifisch, da sie die fachlichen und unternehmerischen Anforderungen eines gewissenhaft handelnden Geschäftsführers widerspiegelt.

Des Weiteren unterliegt der Geschäftsführer einer GmbH als ordentlicher Kaufmann der Pflicht, den Sorgfaltsmaßstab des § 347 Abs. 1 HGB zu wahren. Obgleich der Wortlaut des § 347 Abs. 1 HGB nicht deckungsgleich mit dem Wortlaut des § 43 Abs. 1 GmbHG ist, sind die entsprechenden Maßstäbe nahezu identisch und werden teils synonym verwendet.12

2. Sorgfaltspflichten und Verantwortungsbereich des Geschäftsführers

Die herrschende Meinung im GmbH-Recht geht von einer so genannten „Doppelfunktion“ des § 43 Abs. 1 GmbHG aus.13 Einerseits dient die Norm dazu, den Geschäftsführer anzuhalten, seinen Pflichten gegenüber der Gesellschaft nachzukommen. Andererseits soll sichergestellt werden, dass Nachteile, die die Gesellschaft durch eine schuldhafte Pflichtverletzung ihres Geschäftsführers erlitten hat, ausgeglichen werden. Nach überwiegender Ansicht enthält § 43 Abs. 1 GmbHG eine generalklauselartige14 Umschreibung der Verhaltenspflichten eines Geschäftsführers, aus der situationsbezogene Einzelpflichten abgeleitet werden.15 Die Prämisse, dass sich der allgemeine Geltungsanspruch der Rechtsordnung gegenüber dem Gesellschaftsinteresse durchsetzt, bedingt nicht nur die Pflicht der Geschäftsführer zum eigenen rechtstreuen Verhalten, sondern auch die Organisations- und Überwachungspflicht, rechtmäßiges Verhalten nachgelagerter Unternehmensebenen zu gewährleisten.16 Die so aus der Generalklausel herauskristallisierten Pflichten definieren den Umfang der Geschäftsführer-Compliance-Pflichten. Die den Geschäftsführern obliegende Pflicht zur Compliance ist folglich als eine besondere Form der Sorgfaltspflicht im engeren Sinne zu betrachten. Sie beinhaltet die Anforderung, situativ angemessene Maßnahmen zur Prävention von Rechtsverstößen zu implementieren.17 Dabei ist zu berücksichtigen, dass diese Pflicht mit einem beträchtlichen Ermessensspielraum einhergeht. Aus dieser grundlegenden Sorgfalt im engeren Sinne gemäß dem eines ordentlichen Geschäftsmanns lässt sich konsequenterweise zum einen die Pflicht der Einhaltung von Rechtsnormen (Compliance) und zum anderen die Pflicht des GmbH Geschäftsführers zur Organisation des Unternehmens ableiten.18

IV. Grundsatz der Risikomanagement- und Kontrollpflichten

Der Grundsatz der Risikomanagement- und Kontrollpflichten bildet eine zentrale Säule der Geschäftsführerpflichten und verlangt von der Unternehmensleitung, systematisch Risiken zu erkennen, zu bewerten und durch geeignete Maßnahmen zu steuern, um Schaden vom Unternehmen abzuwenden.

1. Compliance-Management-System

Im Rahmen der Legalitätspflicht ist der Geschäftsführer dazu angehalten, im Unternehmen die Einhaltung der Rechtsvorschriften zu gewährleisten. Die genannte Pflicht resultiert dabei nicht allein aus der Legalitätspflicht, sondern es findet sich z. B. auch eine Auseinandersetzung mit der Geschäftsführerpflicht zur Compliance im Kodex für Familienunternehmen.19 Die jüngsten Entwicklungen in der Gesetzgebung, wie beispielsweise das Lieferkettensorgfaltspflichtengesetz (LkSG), statuieren ebenfalls eine Verpflichtung für den Geschäftsführer, effiziente Maßnahmen zur Vermeidung von Rechtsverstößen in die Gesellschaft zu implementieren. Mithin wird die Relevanz der Compliance-Pflicht des Geschäftsführers evident.

a) Errichtung eines Compliance-Management-Systems

Aus der Legalitätspflicht folgt die Pflicht zur Errichtung eines konzernweiten Compliance-Management-Systems (CMS), also zur Einrichtung organisatorischer Vorkehrungen, die die Begehung von Gesetzesverstößen durch Mitarbeiter der Gesellschaft und ihrer Konzernunternehmen verhindern sollen.20 Zur Disposition der Geschäftsführer steht nicht das „Ob“ eines solchen Systems, das vielmehr zwingend ist und lediglich im Hinblick auf die Umstände des Einzelfalls – namentlich Unternehmensgröße, hierarchische Struktur sowie tätigkeitsbedingte Risikolage – zu konkretisieren ist, sondern lediglich seine Ausgestaltung, also das „Wie“.21

Ein derartiges Organisationssystem beinhaltet alle zumutbaren Maßnahmen, um ein normgemäßes Verhalten der Gesellschaft, ihrer Organe sowie der Angestellten zu gewährleisten. In Einzelfällen, insbesondere bei kleinen Gesellschaften mit wenigen Mitarbeitern und geringen Risiken, kann ein auf den Geschäftsführer ausgerichtetes Minimalsystem eine adäquate Lösung darstellen. Es ist jedoch zwingend erforderlich, dass die Begehung von Straftaten und Ordnungswidrigkeiten gemäß § 130 OWiG verhindert werden kann. Hierbei handelt es sich um eine rechtlich gebundene Entscheidung, bei der dem Geschäftsführer zwar ein gewisses Auswahlermessen zusteht, jedoch nicht die Business-Judgment Rule.22

b) Ausgestaltung eines Compliance-Management-Systems

Die Definition eindeutiger Ziele für das System und das Unternehmen bildet den Ausgangspunkt beim Aufbau eines CMS.23 Im nächsten Schritt müssen die Risiken ermittelt und bewertet werden, die zu Verstößen gegen einzuhaltende Regeln und damit zu einer Verfehlung der Compliance-Ziele führen können.24 Ein Compliance-Programm dient der Festlegung und Implementierung von Grundsätzen und Maßnahmen, die auf die Begrenzung von Compliance-Risiken sowie die Vermeidung von Verstößen ausgerichtet sind.25 

Es existiert keine Patentlösung für die Gestaltung der Inhalte eines CMS. Die konkrete Ausgestaltung ist dabei stets abhängig von den individuell identifizierten Risiken des jeweiligen Unternehmens, dessen Größe, seiner internationalen Reichweite, der Anzahl seiner Mitarbeiter und seinem Unternehmensgegenstand. Zu den elementaren Bestandteilen eines CMS zählen im Allgemeinen die Risikoanalyse, gewisse Standards und Kontrollen (beispielsweise ein Code of Conduct oder Richtlinien), Schulungen, Trainingsprogramme und Kommunikation, Überwachung, Überprüfung und Sanktionierung sowie Führungsverhalten der Unternehmensleitung und eine Unternehmenskultur („Tone from the Top“).26 Bei der Ausgestaltung der Compliance-Funktion ist ein risikoorientierter Ansatz geboten und meist eine Beschränkung auf für das Unternehmen wesentliche Risiken sinnvoll.27

Die Ausgestaltung eines CMS erlangt auch im Rahmen der Rechtsprechung eine zunehmende Relevanz. Für die inhaltliche Konzeption und die Reichweite eines solchen Systems erweist sich insbesondere die Rechtsprechung des OLG Nürnberg aus dem Jahr 2022 als besonders prägend.28 Nach Auffassung des OLG Nürnberg folgt die Verpflichtung des Geschäftsführers zur Einrichtung eines CMS, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern, aus der Legalitätspflicht.29 Dabei ist der Geschäftsführer nicht nur verpflichtet, den Geschäftsgang so zu überwachen oder überwachen zu lassen, dass er unter normalen Umständen mit einer ordnungsgemäßen Erledigung der Geschäfte rechnen kann; er muss vielmehr weitergehend sofort eingreifen, wenn sich Anhaltspunkte für ein Fehlverhalten zeigen.30 Somit fordert das Gericht entgegen der überwiegenden Literatur keine „konkreten“ Verdachtsmomente; es genügen bloße Anhaltspunkte, damit der Geschäftsführer „unverzüglich“ eingreifen muss.31 Angesichts der Komplexität des CMS und seiner Strukturen kann die Frage, ob und inwieweit ein Geschäftsführer auf einen solchen erkannten Anhaltspunkt reagieren kann, nur schwer beantwortet werden und muss einzelfallspezifisch ermittelt werden. Das Gericht betont in diesem Zusammenhang auch, dass das Einhalten des Vier-Augen-Prinzips bei besonders kritischen unternehmerischen Maßnahmen erforderlich sein kann, um der Compliance-Pflicht ordnungsgemäß nachzukommen. Das Vier-Augen-Prinzip, auch als „two man rule“ bezeichnet, ist ein Konzept der Organisationslehre, das eine präventive Kontrolle etabliert.32 Gemäß dieser Regelung sind spezifische Arbeitsabläufe, Aufgaben, Entscheidungen oder Prozesse nur dann durchführbar, wenn mindestens zwei Personen gleichlautende Entscheidungen treffen. Das Ziel des Vier-Augen-Prinzips besteht dabei in der Reduzierung von Fehlern und Missbrauch. Die Vier-Augen-Kontrolle ist in einer Vielzahl von unternehmensinternen Arbeitsprozessen anzutreffen, die branchenübergreifend als sensibel bewertet werden, insbesondere wenn deren ordnungswidrige Durchführung Personenschäden oder erhebliche finanzielle Auswirkungen zur Folge haben kann.33

2. Interne Meldesysteme

Insbesondere in größeren Unternehmen existiert eine Vielzahl von Informationsquellen, durch die die Unternehmensleitung über mögliche Sachverhalte informiert wird, die relevant für die Einhaltung des Compliance-Regelwerks sind.

Allerdings kann die Implementierung von internen Meldesystemen auch in kleinen und mittleren Unternehmen sinnvoll sein. In der jüngeren Vergangenheit wurde in einer Reihe von Unternehmen die Implementierung einer Ombudsperson, auch als Vertrauensperson oder Behörde bezeichnet, zunehmend üblich. Die Funktion dieser Vertrauensperson ist darauf ausgerichtet, sowohl den Mitarbeitern als auch externen Parteien die Möglichkeit zu bieten, potenziell unethische oder regelwidrige Praktiken innerhalb des Unternehmens zu melden. Es scheint jedoch zeitgemäßer, ein Meldesystem für Mitarbeiter und externe Dritte (sog. „Tell-us-Systeme“) einzurichten. Bei diesen Systemen werden Meldungen von einem externen Anbieter entgegengenommen, der sich auf den sicheren und vertraulichen Umgang mit sensiblen Inhalten spezialisiert hat und in standardisierter Form die Informationen an das Unternehmen weiterleitet.34

3. Hinweisgebersysteme nach der EU-Whistleblowing-RL

Trotz ausdrücklicher Empfehlung im Corporate Governance Kodex bestand für Unternehmen in Deutschland grundsätzlich – mit Ausnahmen weniger Branchen – keine explizite Rechtspflicht zur Einrichtung eines Hinweisgebersystems.35 Im Zuge der Implementierung der EU-Whistleblowing-Richtlinie36 in nationales Recht wurde das neue Hinweisgeberschutzgesetz37 (HinSchG) eingeführt. Das Ziel besteht darin, Personen, die Verstöße gegen das Unionsrecht melden bzw. hinweisgebenden Personen in ihrer Gesamtheit einen besseren Schutz zu gewährleisten. Die Einführung eines Meldesystems dient dazu, Verstöße gegen Compliance transparenter und schneller erfassbar zu machen. Zwar können sich hierdurch Risiken für das Unternehmen ergeben, jedoch bieten sich dadurch gleichzeitig wichtige Chancen. Die unmittelbare Meldung von Verstößen ermöglicht eine zeitnahe Reaktion und trägt zur Schärfung der Aufmerksamkeit für die Compliance der Mitarbeiter bei.

Die Implementierung der Richtlinie ins nationale Recht stellt dabei eine Premiere dar, da sie eine sektor- und rechtsformübergreifende Ausgestaltung der Verpflichtung zur Einrichtung eines Whistleblowing-Systems als integralen Bestandteil der gesellschaftsrechtlichen Corporate-Compliance-Verantwortung der Vorstandsmitglieder bzw. Geschäftsführer im Rahmen der systematischen Präventionspflicht vorsieht.38 Gemäß Art. 8 Abs. 3 der Richtlinie obliegt es Unternehmen mit einer Belegschaft von mindestens 50 Mitarbeitern, im Regelfall ein Hinweisgebersystem zu implementieren. Die von der Richtlinie auferlegte Pflicht wurde durch § 12 HinSchG ins nationale Recht umgesetzt. Weder verdrängt noch modifiziert ein Hinweisgebersystem nach dem HinSchG die gesellschaftsrechtlichen Überwachungs- und Handlungsbefugnisse von Geschäftsführern, Vorständen oder Aufsichtsräten.39 Diese bestehen vielmehr eigenständig fort und werden in der Regel in diesen Verhältnissen primär genutzt.

Nach § 1 Abs. 1 HinSchG regelt das Umsetzungsgesetz der Richtlinie den Schutz von natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die nach dem HinSchG vorgesehenen Meldestellen melden oder offenlegen (sog. Hinweisgebende Personen). Darüber hinaus werden Personen geschützt, die Gegenstand einer Meldung oder Offenlegung sind, sowie sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind, § 1 Abs. 2 HinSchG. Gemäß § 7 HinSchG haben diese Hinweisgebenden die Möglichkeit, zwischen internen Meldestellen gemäß § 12 HinSchG und externen Meldestellen gemäß §§ 19 ff. HinSchG zu wählen. Im Falle einer internen Meldestelle müssen gemäß § 16 HinSchG für mündliche oder schriftliche Meldungen entsprechende Meldekanäle zur Verfügung stehen und die übrigen Verfahrensregeln gewahrt werden.

V. Haftung des Geschäftsführers im Rahmen der Compliance-Pflichten

1. Zivilrechtliche Haftung im Innenverhältnis der Gesellschaft

Dreh- und Wendepunkt für die Geschäftsführerhaftung gegenüber der Gesellschaft (sog. Innenhaftung) ist § 43 GmbHG. Dabei ist § 43 GmbHG nicht nur die allgemeine Anspruchsgrundlage für Schadensersatzansprüche der GmbH gegen ihre Gesellschafter, sondern er legt auch den maßgeblichen Sorgfaltsstandard fest. Eine persönliche Haftung des Geschäftsführers gegenüber der Gesellschaft setzt gemäß § 43 Abs. 2 GmbHG die Verletzung der Sorgfaltspflicht eines Geschäftsmannes voraus, sofern dadurch ein Schaden entsteht, der kausal auf die Verletzung der Verpflichtung zurückzuführen ist. Neben dieser Generalhaftungsklausel sieht § 43 Abs. 3 GmbHG für besondere Arten von Pflichtverletzungen Haftungsverschärfungen vor, die dazu dienen, die Kapitalbasis der Gesellschaft zu erhalten und die Gläubiger zu schützen.40 In der bereits angeführten Entscheidung des OLG Nürnberg41 wurde der Geschäftsführer bei einer Verletzung der Pflicht zur Einrichtung eines geeigneten CMS gemäß § 43 Abs. 2 GmbHG zu einer hohen Schadenersatzzahlung verurteilt.42

Abgesehen von der gesellschaftsrechtlichen Anspruchsgrundlage § 43 GmbHG besteht auch die Möglichkeit einer deliktischen Haftung gemäß § 823 Abs. 1 BGB sowie § 823 Abs. 2 BGB in Verbindung mit einem Schutzgesetz.

2. Zivilrechtliche Haftung im Außenverhältnis gegenüber Dritten

Im Rahmen der Organhaftung stellt die Außenhaftung, also die unmittelbare Haftung des Geschäftsführers gegenüber Dritten, eine Ausnahme dar, da sich der Gesetzgeber gemäß § 43 Abs. 2 GmbHG grundsätzlich für die Innenhaftung entschieden hat.43 Gemäß § 311 Abs. 3 BGB kann sich, auch wenn der Geschäftsführer in seiner Organfunktion Verträge und somit Schuldverhältnisse zwischen der Gesellschaft und Dritten begründet, ein Schuldverhältnis auch zwischen Nicht-Vertragsparteien ergeben („culpa in contrahendo“). Aus diesem Schuldverhältnis kann gemäß §§ 311 Abs. 2, 3, 280 Abs. 1 BGB eine persönliche Haftung des Geschäftsführers entstehen, wenn er ein besonderes wirtschaftliches Eigeninteresse am Abschluss des Vertrags hat oder wenn sein persönliches Vertrauen in Anspruch genommen wurde.44

Verletzt eine Handlung des Geschäftsführers ein tatbestandlich benanntes Rechtsgut des § 823 Abs. 1 BGB, beispielsweise Leib, Leben oder das Eigentum eines Dritten selbst oder als Teilnehmer, haftet er neben der Gesellschaft nach außen direkt persönlich und unmittelbar für seine rechtswidrige Handlung.45 Auch eine Begehungshaftung des Geschäftsführers nach § 823 Abs. 2 BGB kommt bei der Verletzung eines Schutzgesetzes in Betracht. Die Begehungshaftung nach § 823 Abs. 2 BGB ergänzt damit die Organhaftung aus § 823 Abs. 1 BGB durch eine sogenannte Schutzgesetzhaftung. Dadurch wird der Anwendungsbereich der externen Begehungshaftung erweitert und umfasst generalklauselartig auch die Verletzung zahlreicher „drittschützender“ Normen (Schutzgesetze), die auch den Ersatz einfacher Vermögensschäden ermöglichen.46

Eine sonstige deliktische Haftung des Geschäftsführers ist in Szenarien, in denen dieser eine Compliance-Pflicht verletzt, eher selten und dementsprechend unwahrscheinlich: In diesem Zusammenhang sind insbesondere die Haftung nach § 826 BGB (mangels Sittenwidrigkeit) sowie eine Haftung nach § 831 BGB (mangels Geschäftsherrenstellung) zu nennen.

3. Strafrechtliche Haftung und Haftung für Ordnungswidrigkeiten

Geschäftsführer sind dem Strafrecht unterworfen und können im Rahmen ihrer geschäftlichen Tätigkeit selbst oder mitwirkend rechtswidrige und schuldhafte Handlungen begehen, die zur Strafbarkeit nach dem StGB führen können. Neben den üblichen Individualdelikten kommen hierbei insbesondere Insolvenz-, Steuer- oder Umweltdelikte in Betracht. Im Falle einer Verletzung der Pflichten zur Einrichtung von CMS durch den Geschäftsführer, besteht demnach die Möglichkeit einer Strafbarkeit hinsichtlich der jeweiligen einschlägigen Delikte.

Darüber hinaus haftet nach § 130 Abs. 1 OWiG, wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist. § 130 OWiG stellt gewissermaßen eine Form der „Ersatzhaftung“ von Führungskräften einer GmbH für dem Unternehmen objektiv zurechenbare „Inhaberdelikte“ dar.47 Mit anderen Worten kann der Geschäftsführer gemäß § 130 OWiG haftbar gemacht werden, wenn er die Einrichtung von CMS als besondere Form einer Aufsichtsmaßnahme vernachlässigt. Dabei ist zu beachten, dass die Schwelle zur Verwirklichung der Ordnungswidrigkeit deutlich niedriger liegt als die zur Begehung einer o. g. strafrechtlich relevanten Handlung.

4. Haftung nach dem HinSchG

Nach dem Hinweisgeberschutzgesetz obliegt dem Unternehmen und somit dem Geschäftsführer die Pflicht zur Errichtung eines Hinweisgebersystems. Im Falle der Vernachlässigung der Einrichtung durch den Geschäftsführer droht dem Unternehmen gemäß § 40 Abs. 2 HinSchG eine signifikante Geldbuße, die je nach Pflichtverletzung bis zu 50.000 EUR betragen kann.

VI. Aktuelle Herausforderungen und Entwicklungen im Bereich Compliance

1. Digitalisierung und KI

Die derzeitigen Entwicklungen in den Bereichen Digitalisierung und künstliche Intelligenz machen auch vor den Compliance-Pflichten nicht halt. Denn die digitale Transformation betrifft alle Unternehmensbereiche, in denen bestehende Geschäftsmodelle und/oder analoge Prozesse digitalisiert oder neue digitale Geschäftsmodelle entwickelt werden.48 Dabei wird deutlich, dass die Hauptverantwortung für die Umsetzung dieser technologischen Entwicklungen und Einflüsse meist nicht beim Leitungsorgan der Gesellschaft, sondern regelmäßig in den untergeordneten Ebenen, wie beispielsweise beim Chief Digital Officer oder Chief Transformation Officer, liegt. Unter der Prämisse, dass in der jeweiligen Gesellschaft ein Compliance Officer oder eine vergleichbare Person existiert, wäre es aus Compliance-Sicht sinnvoll, diese Person in die Transformationsprozesse zu integrieren. Die gegenwärtige Entwicklung ist mit einer Vielzahl von Risiken verbunden, darunter auch solche, die im Zusammenhang mit der „digitalen Ethik“49 stehen. Gleichzeitig eröffnet sie jedoch auch neue Möglichkeiten in Bezug auf die Erfüllung der Compliance-Pflichten und kann mithin das Haftungsrisiko bei unzureichender Compliance mindern.

Die im März 2020 seitens der EU-Kommission präsentierte Strategie für ein nachhaltiges und digitales Europa wird die Gestaltung von Compliance-Systemen in kontinuierlicher Weise beeinflussen.50 Durch verschiedene Gesetzesinitiativen wie die KI-Verordnung51, die Cyberresilienz-Verordnung52, den Digital Service Act53 oder den Digital Marktes Act54, den Data Act55 und vieles mehr wächst der Pflichtenkatalog für die Ausgestaltung von Compliance-Systemen stetig und sorgt für Anpassungsbedarf bei der Compliance-Organisation. Das Resultat zeigt deutlich, dass die digitale Transformation das bereits sehr komplexe Geflecht an Compliance-Pflichten weiter verdickt und eine zunehmende Ausdifferenzierung des Compliance-Systems bei den zuständigen Compliance-Verantwortlichen in der Zukunft erwarten lässt.

2. ESG und Nachhaltigkeit

Eine weitere wichtige Entwicklung, die die Handhabung von Compliance beeinflusst, ist die nachhaltige, umweltfreundliche und soziale Unternehmensführung, die auch als ESG bekannt ist. Derzeit erfahren ESG und Nachhaltigkeit ein gewisses Momentum56, weshalb sich der Pflichtenkatalog der Compliance auch in dieser Hinsicht ständig im Wandel befindet. Unternehmen und damit auch Geschäftsführer sehen sich mit neuen Thematiken konfrontiert, wie beispielsweise der EU-Lieferkettenrichtlinie57, der EU-Batterieverordnung58, der EU-Richtlinie zur Förderung der Reparatur von Waren59 oder der EU-Richtlinie zur Nachhaltigkeitsberichterstattung60. Damit sind lediglich einige der aktuellen europäischen Gesetzesinitiativen genannt, die aufzeigen, dass sich ein signifikanter Trend im europäischen Gesetzgebungsprozess abzeichnet. In Anbetracht der aktuellen geopolitischen Entwicklungen ist dieses Momentum temporär in den Hintergrund geraten. Es ist jedoch davon auszugehen, dass die Themen ESG und Nachhaltigkeit in naher Zukunft wieder an Relevanz gewinnen und den Anforderungskatalog der Compliance-Pflichten beeinflussen werden.

VII. Handlungsempfehlungen für die Prävention von Compliance-Verstößen

Um Haftungsrisiken vorzubeugen und den Compliance-Verpflichtungen Genüge zu tun, bedarf es einer sorgfältigen Prüfung der Folgenden Aspekte.

1. Bedeutung eines Compliance-Management-Systems

Da die Compliance als Teil der ordnungsgemäßen Geschäftsführung zu betrachten ist, obliegt es den geschäftsführenden Organen, für eine Organisation der Gesellschaft und des Unternehmens zu sorgen, die eine Sicherstellung der Einhaltung sämtlicher normativer Vorgaben gewährleistet. Unterlässt ein Unternehmen die Implementierung von Compliance-Maßnahmen, wie etwa die Einrichtung eines CMS, so begründet dies – jedenfalls im Falle festgestellter Regelverstöße – eine Verletzung der Aufsichtspflichten durch die Geschäftsleitung.61 Demzufolge ist es nicht nur sinnvoll, sondern aufgrund der Haftungsrisiken unabdingbar, ein solches System im Unternehmen zu implementieren. Die konkrete Ausgestaltung des Systems obliegt der Geschäftsführung und kann auf vielfältige Weise erfolgen. Gemäß einem risikobasierten Ansatz werden die elementaren Bestandteile eines CMS ermittelt und anhand der Art, Größe und des Risikopotenzials des Unternehmens wird anschließend ein passendes System maßgeschneidert.

2. Die Rolle des Compliance-Beauftragten und der Unternehmensführung

Der zentrale Compliance-Beauftragte – in der Praxis oft unter der Bezeichnung Compliance Officer oder Chief Compliance Officer bekannt – erfüllt durch seine Querschnitts- und Schnittstellenfunktion eine zentrale Rolle für das unternehmensweite Compliance-System.62 

Der Compliance-Beauftragte unterbreitet der Geschäftsleitung nicht nur Vorschläge für die Einrichtung eines CMS, sondern ist nach der Entscheidung der Unternehmensleitung auch für die Implementierung, Dokumentation und Weiterentwicklung des Systems zuständig. Der Compliance-Beauftragte agiert darüber hinaus als ständiger Berater der Unternehmensleitung in sämtlichen Compliance-Thematiken und ist somit ein wichtiger Ansprechpartner. Der Compliance-Beauftragte trägt zwar dazu bei, potenzielle Probleme und damit verbundene Haftungsrisiken im Unternehmen aufzudecken, zu beheben und in Zukunft zu vermeiden, doch ist ein Unternehmen nicht automatisch compliant, nur weil es einen Compliance-Beauftragten benannt hat. Vielmehr ist ein solcher Beauftragter als ein wesentlicher Bestandteil eines Compliance-Systems zu betrachten, der insbesondere bei Vorliegen weiterer ausgefeilter Compliance-Systeme für die Reduzierung von Haftungsrisiken und die Sicherstellung von Compliance-Pflichten sorgen kann.

3. Kommunikation und Sensibilisierung der Mitarbeiter

Neben der Implementierung des CMS empfiehlt es sich, eine umfassende Kommunikation und Sensibilisierung der Mitarbeitenden hinsichtlich der Thematik Compliance anzustreben. Denn von gleicher Bedeutung ist die vollständige Kommunikation der maßgeblichen Standards und Kontrollen, deren fortlaufende Evaluierung sowie die gezielte Schulung der identifizierten Mitarbeitergruppen.63 Wesentliches Element hierfür sind Compliance-Schulungen, deren Zweck darin besteht, die Mitarbeiter möglichst praxisnah über die rechtlichen Grundlagen und Rahmenbedingungen zu informieren. Der Hintergrund dieser Kommunikation ist es, das Problembewusstsein für Compliance und die damit verbundenen Pflichten zu schärfen, denn nur, wenn die Bedeutung und die Tragweite dieser Pflichten für die Mitarbeiter verständnisvoll sind, können sie auch eingehalten werden.

4. Externe Beratung und Unterstützung

Ein weiteres Medium, das die Unternehmensleitung bei Einhaltung der Compliance-Pflichten nutzen kann, ist das Vertrauen in Informationen fachkundiger Dritter.

Zur Bewältigung ihrer Aufgaben greifen Geschäftsführer häufig auf Auskünfte, Berichte und Gutachten von Dritten zurück. Eine wegweisende Entscheidung des BGH aus dem Jahr 2007 ebnete hierfür den Weg und stellte klar, dass dem Geschäftsführer kein Schuldvorwurf gemacht werden kann, wenn er aufgrund fehlender eigener Sachkunde den Rat eines unabhängigen, fachlich qualifizierten Berufsträgers einholt, der über sämtliche Umstände ordnungsgemäß informiert wurde und diesem nach eigener Plausibilitätskontrolle folgt.64 Die vom BGH häufig bekräftigten Leitlinien zur Vorstandshaftung bei Aktiengesellschaften lassen sich zu einem bereichsübergreifenden Vertrauensgrundsatz im Kapitalgesellschaftsrecht verallgemeinern.65 In der Konsequenz sind diese Leitlinien auch auf Geschäftsführer anwendbar. Im Rahmen der Erfüllung bestimmter Compliance-Pflichten besteht also für den Geschäftsführer die Möglichkeit, eine externe Beratung (von bspw. Rechtsanwälten, Steuerberatern, Wirtschaftsprüfern usw.) in Anspruch zu nehmen, um eine haftungsrechtliche Absicherung zu erwirken.

VIII. Fazit

Die Compliance-Organisationspflicht ist und bleibt ein zentrales Element einer ordnungsgemäßen Geschäftsführung. Angesichts des umfassenden Haftungsrisikos der Geschäftsführung ist es sinnvoll, sich immer wieder mit dem Umfang der Compliance-Pflichten auseinanderzusetzen. So kann die Einführung eines geeigneten CMS sowie die Implementierung eines Compliance-Beauftragten die Last, die aufgrund des dichten Geflechts der rechtlichen Rahmenbedingungen auf der Geschäftsführung lastet, nicht nur angemessen bewältigen, sondern auch das Haftungsrisiko signifikant senken. Gerade vor dem Hintergrund der Rechtsprechung des OLG Nürnberg, nach der das Fehlen einer funktionierenden Compliance-Organisation zur persönlichen Haftung der Geschäftsführung für hohe Schäden führen kann, ist es ratsam, sich dieser Thematik zeitnah zu widmen.

Eines ist klar: Die Anforderungen an die Compliance-Pflichten sind einem stetigen Wandel unterworfen. Sowohl europäische als auch nationale Gesetzesinitiativen erweitern und verändern den Pflichtenkatalog kontinuierlich, sodass selbst das raffinierteste CMS permanent einer Überprüfung und Anpassung bedarf.

---