Rechtskommentar: Strafrechtliche Compliance und interne Untersuchungen

Die Wirksamkeit implementierter Compliance-Strukturen wird meist erst dann sichtbar, wenn bereits ein Rechtsverstoß innerhalb des Unternehmens im Raum steht. Genau dann zeigt sich, ob Verantwortlichkeiten, Meldewege und Kontrollsysteme im Unternehmen funktionieren. Für Geschäftsführung und Compliance-Verantwortliche geht es dabei nicht nur um Organisationsfragen, sondern rasch auch um persönliche Haftungs- und Strafbarkeitsrisiken. Der Beitrag zeigt auf, welche Risiken für Geschäftsführung und Compliance-Beauftragte bestehen und mit welchen Maßnahmen sich diese wirksam reduzieren lassen.

Welche Pflichten treffen Geschäftsführung und Compliance-Beauftragte?

Geschäftsführer haben die Unternehmensorganisation so auszugestalten, dass rechtmäßiges und effizientes Handeln gewährleistet wird. Dazu gehört insbesondere die Pflicht, ein den Unternehmensverhältnissen entsprechendes internes Kontrollsystem („IKS“) einzurichten und wirksame Kontrollmechanismen sicherzustellen (§ 22 Abs 1 GmbHG). Das bedeutet zwar nicht, dass jeder Geschäftsführer sämtliche internen Vorgänge persönlich überwachen muss. Wie auch sonst können Aufgaben auch in diesem Bereich delegiert werden. Führt aber ein unzureichendes IKS dazu, dass Mitarbeitende Straftaten oder sonstiges Fehlverhalten setzen, kann dies rasch eine persönliche Haftung der Geschäftsführung begründen (§ 25 GmbHG). Bereits dann, wenn mangelnde Kontrolle pflichtwidriges Verhalten überhaupt erst ermöglicht oder wesentlich erleichtert, liegt ein haftungsrelevanter Sorgfaltspflichtverstoß nahe.

Dem Compliance-Beauftragten obliegt demgegenüber die Aufgabe, Informationsflüsse zu bündeln, den internen Compliance-Apparat zu koordinieren und an die Unternehmensleitung zu berichten. Bei Compliance-Verstößen kommen daher nicht nur Haftungsrisiken der Unternehmensleitung, sondern auch solche des Compliance-Beauftragten in Betracht, insbesondere wenn Hinweise nicht weiterverfolgt, Risiken nicht adressiert oder gebotene Maßnahmen nicht angestoßen werden.

Welche Strafbarkeitsrisiken bestehen?

Strafrechtlich stehen für Geschäftsführer und Compliance-Beauftragte vor allem Unterlassungskonstellationen im Vordergrund. § 2 StGB erfasst Fälle, in denen jemand aufgrund einer ihn besonders treffenden Pflicht einen tatbildmäßigen Erfolg abwenden müsste, aber untätig bleibt. Für Geschäftsführer kann sich eine solche Pflicht aus ihren gesellschaftsrechtlichen Organisations-, Kontroll- und Vermögensschutzpflichten ergeben. Beim Compliance-Beauftragten kommt es vor allem auf die konkret übernommene Pflicht zur Verhinderung, Aufklärung oder Meldung von Rechtsverstößen an. Die Unterlassung der Aufklärung eines möglichen Rechtsverstoßes innerhalb des Unternehmens kann daher – bei Vorliegen einer Garantenstellung – als strafbarer Beitrag durch Unterlassen im Falle weiterer Straftaten gewertet werden.

Daneben ist § 286 StGB zu beachten. Privatpersonen sind grundsätzlich nicht verpflichtet, bereits abgeschlossene Straftaten anzuzeigen. Anders ist dies aber bei unmittelbar bevorstehenden oder bereits in Ausführung begriffenen strafbaren Handlungen. Wer davon Kenntnis erlangt, muss primär versuchen, diese zu verhindern. Ist eine Verhinderung innerhalb des Unternehmens nicht möglich, kann eine Verständigung der Strafverfolgungsbehörden geboten sein. Für Unternehmen zeigt sich gerade daran, wie wichtig klare interne Meldewege sind. Wo kein funktionierender Informationsfluss besteht, steigen Strafbarkeitsrisiken.

Was können und müssen Unternehmen tun?

Die beste Absicherung beginnt vor dem Krisenfall. Unternehmen brauchen ein funktionierendes Compliance-Management-System („CMS“), das präventiv wirkt. Dazu zählt ein IKS, welches beispielsweise klare Zuständigkeiten, dokumentierte Freigabeprozesse, ein Vier-Augen-Prinzip, Zugriffsbeschränkungen und eine regelmäßige Evaluierung der Wirksamkeit. Vorsehen kann Das IKS bildet dabei die Grundlage, ein wirksames CMS geht aber darüber hinaus und soll Kontrolllücken schließen, Fehlverhalten frühzeitig erkennen und rechtssichere Reaktionen ermöglichen. Zu einem wirksamen CMS zählen etwa eine Risikoanalyse, ein Compliance-Leitfaden sowie regelmäßige Mitarbeiterschulungen.

Ebenso zentral ist ein interner Meldekanal. Hinweise von Mitarbeitenden sind oft die erste und wichtigste Erkenntnisquelle für Missstände, Kontrollmängel und mögliche Rechtsverstöße. Ein funktionierendes Hinweisgebersystem ermöglicht es, Verdachtsfällen intern nachzugehen, bevor externe Stellen eingeschaltet werden. Voraussetzung dafür sind Vertraulichkeit, Schutz des Hinweisgebers und die ernsthafte Bereitschaft, Meldungen tatsächlich professionell aufzuarbeiten.

Liegt ein Verdacht auf einen möglichen Rechtsverstoß vor, ist eine interne Untersuchung einzuleiten. Sie dient der Aufklärung möglicher Rechtsverstöße, der Sicherung von Beweismitteln, der Identifikation verantwortlicher Personen und der Vorbereitung weiterer rechtlicher Schritte. Zugleich wirkt sie haftungsvermeidend: Wer plausiblen Vorwürfen nachgeht, den Sachverhalt aufklärt und angemessen reagiert, reduziert nicht nur Organisationsversagen, sondern verbessert auch die eigene Verteidigungsposition. Interne Untersuchungen können zudem Grundlage für Schadenersatzansprüche, arbeitsrechtliche Maßnahmen, tätige Reue, Selbstanzeigen oder eine wirksame Compliance Defense im Strafverfahren sein.

Blick in die Praxis

Die folgenden von uns begleiteten Fälle von Compliance-Untersuchungen zeigen, wie fehlende oder unzureichende Compliance-Strukturen Rechtsverstöße begünstigen und daraus erhebliche Haftungsrisiken entstehen können:

• In einem Unternehmen wurden über Jahre hinweg für Kunden begünstigende Daten durch Mitarbeitende und Führungskräfte verfälscht. Dadurch wurden hoheitliche Bescheide auf unzutreffender Grundlage erlassen. Begünstigt wurde dies durch ein faktisch nicht existentes CMS. Erst eine interne Untersuchung brachte das volle Ausmaß ans Licht und zeigte, dass das Fehlen klarer Strukturen erhebliche Haftungsrisiken für die Geschäftsführung begründet. Auf dieser Basis konnten die erforderlichen Schritte zeitnah gesetzt werden.
• In einem staatsnahen Unternehmen führten Korruptionsvorwürfe zu einer sofortigen internen Untersuchung. Bereits im Vorfeld wurde das Untersuchungsteam über die rechtlichen Grenzen einzelner Untersuchungsschritte und persönliche Strafbarkeitsrisiken aufgeklärt. Die Ergebnisse verdeutlichten, dass auch mangelhafte interne Prozesse in der Compliance-Abteilung haftungsrelevant sein können und eine rasche Reaktion in derartigen Fällen unabdingbar ist.
• In einem Unternehmen standen Führungskräfte und Mitarbeitende im Verdacht, betrügerische Leistungsverrechnungen vorgenommen zu haben. Besonders problematisch war, dass trotz Kenntnis der Vorwürfe über längere Zeit keine Maßnahmen gesetzt wurden. Der aus der Untersuchung resultierende Bericht bildete schließlich die Grundlage sowohl für die strafrechtliche Aufarbeitung als auch für die strukturelle Absicherung des Unternehmens.

Fazit

Strafrechtliche Compliance beginnt nicht erst mit dem Bekanntwerden eines möglichen Rechtsverstoßes, sondern lange davor. Ein funktionierendes CMS, ein vertraulicher Hinweisgeberkanal, das frühzeitige Erkennen von Verdachtsfällen und die rechtlich saubere Aufklärung eingehender Hinweise durch eine professionelle interne Untersuchung tragen wesentlich dazu bei, Haftungs- und Strafbarkeitsrisiken für Geschäftsführung und Compliance-Verantwortliche zu reduzieren.

Der Autor

Dr. Elias Schönborn ist Rechtsanwalt und Gründer der auf Strafrecht, Compliance und interne Untersuchungen spezialisierten Kanzlei es.law | Schönborn Rechtsanwalt GmbH in Wien. Gemeinsam mit seinem Team unterstützt er Unternehmen dabei, strafrechtliche Risiken zu erkennen und richtig darauf zu reagieren. Neben internen Untersuchungen ist er auf Strafverteidigung spezialisiert. Dr. Schönborn ist Autor von über 30 strafrechtlichen Fachpublikationen, darunter des Praxishandbuchs Criminal Compliance, sowie regelmäßig Vortragender zu seinen Fachgebieten.