© 2026 Wirtschaftsrecht Hamburg. Alle Rechte vorbehalten. Hergestellt mit ♥️ von Klinikx
| Impressum | DatenschutzCompliance im Mittelstand: Pflichten der Geschäftsführung und praktische Umsetzung
Compliance ist längst nicht mehr nur ein Thema für DAX-Konzerne. Mittelständische Unternehmen werden zunehmend in den Fokus der Aufsichts- und Strafverfolgungsbehörden gerückt — und Geschäftsführer haften persönlich, wenn sie ihre Aufsichtspflichten vernachlässigen. § 130 OWiG erlaubt Bußgelder gegen Geschäftsführer, wenn betriebsbezogene Straftaten von Mitarbeitenden auf Aufsichtspflichtverletzungen zurückzuführen sind.
Was viele Geschäftsführer unterschätzen: Es geht nicht darum, einen 200-Seiten-Compliance-Code zu schreiben. Ein angemessenes Compliance-System für einen Mittelständler ist deutlich pragmatischer — aber es muss vorhanden, dokumentiert und gelebt sein. Wer das hat, reduziert sein persönliches Haftungsrisiko erheblich.
Unsere Kanzlei berät mittelständische Unternehmen in Hamburg und Norddeutschland bei der Implementierung praxistauglicher Compliance-Strukturen. Dieser Beitrag bietet einen ersten rechtsfachlichen Überblick und ersetzt keine anwaltliche Beratung im konkreten Einzelfall.
Warum Compliance kein Konzern-Thema mehr ist
- § 130 OWiG erfasst alle Unternehmen — unabhängig von der Größe
- Verbandssanktionengesetz (VerSanG) — auch wenn aktuell nicht in Kraft, ist die Tendenz klar: stärkere Sanktionierung von Unternehmen
- Kunden und Geschäftspartner verlangen zunehmend Compliance-Bestätigungen
- Bankenfinanzierung wird oft an Compliance-Strukturen geknüpft
- Aufsichtsbehörden (BaFin, Kartellamt, Zoll, Datenschutz) prüfen aktiv
- Internationale Geschäfte erfordern oft FCPA- oder UK-Bribery-Act-Konformität
Die wichtigsten Compliance-Risikofelder im Mittelstand
Korruptionsprävention
Geschenke, Einladungen, Vermittlungsprovisionen, Geschäftspartner-Auswahl. Besonders kritisch: Geschäfte im internationalen Umfeld, mit öffentlichen Auftraggebern, im Gesundheitswesen.
Kartell- und Wettbewerbsrecht
Preisabsprachen, Marktaufteilungen, Boykotte, Submissionsabsprachen. Bußgelder bis 10 % des Jahresumsatzes des Unternehmens und persönliche Verantwortlichkeit der Beteiligten.
Datenschutz und Datensicherheit
DSGVO-Bußgelder bis 20 Mio. Euro oder 4 % des Konzernumsatzes. Persönliche Haftung der Geschäftsführer bei Aufsichtspflichtverletzungen.
Geldwäscheprävention
Verpflichtete Branchen müssen Geldwäschebeauftragte bestellen und Sorgfaltspflichten erfüllen — auch viele Mittelständler sind betroffen.
Arbeitssicherheit und Umweltschutz
Bußgelder und persönliche Haftung bei Verstößen — auch bei Subunternehmen.
Steuerliche Compliance
Tax Compliance Management Systems gewinnen seit 2018 stark an Bedeutung. Bei dokumentiertem TCMS reduziert sich häufig der Vorwurf einer vorsätzlichen Steuerhinterziehung.
Außenwirtschaftsrecht
Exporteure müssen Embargos und Sanktionslisten beachten. Verstöße können strafrechtliche Folgen für Geschäftsführer haben.
Mindeststandards eines angemessenen Compliance-Systems
- Risiko-Analyse: Welche Risiken sind für Ihr Unternehmen relevant?
- Verhaltenskodex und Richtlinien — schriftlich, verständlich, kommuniziert
- Klar definierte Compliance-Verantwortlichkeiten — auch beim Mittelständler in der Regel ein verantwortlicher Geschäftsführer plus interner Compliance-Beauftragter
- Schulungen und Wissensvermittlung — regelmäßig, dokumentiert
- Whistleblower-Hinweisgebersystem — seit 2023 für Unternehmen ab 50 Mitarbeitern Pflicht
- Untersuchungs- und Reaktionsprozesse bei Verdachtsfällen
- Regelmäßige Wirksamkeitsprüfung und Anpassung
- Dokumentation aller Compliance-Maßnahmen — entscheidend für die Verteidigung im Ernstfall
Was § 130 OWiG konkret verlangt
Die Aufsichtspflicht ist nicht abstrakt — sie erfordert konkrete Maßnahmen:
- Auswahl geeigneter Mitarbeiter (Eignung, Zuverlässigkeit)
- Anleitung und Information über rechtliche Pflichten
- Schulung — regelmäßig und nach Bedarf
- Klare Anweisungen zur Aufgabenerledigung
- Kontrolle der Aufgabenerledigung — stichprobenhaft, dokumentiert
- Sanktionierung von Verstößen — abgestuft und nachvollziehbar
- Anpassung der Maßnahmen bei erkannten Schwächen
Bei dokumentierter Erfüllung dieser Pflichten ist eine Sanktionierung nach § 130 OWiG in der Regel nicht möglich — auch wenn ein Mitarbeiter eine Straftat begeht.
Hinweisgeberschutzgesetz (HinSchG) — seit 2023 Pflicht
- Unternehmen ab 50 Mitarbeitern müssen interne Meldesysteme einrichten
- Hinweisgeber dürfen wegen ihrer Meldung nicht benachteiligt werden
- Vertraulichkeit der Hinweisgeber muss gewährleistet sein
- Bestimmte Vergeltungsmaßnahmen sind explizit verboten und bußgeldbewehrt
- Die Meldungen müssen dokumentiert und nachverfolgt werden