Neueste Blogs

Compliance im Mittelstand

Compliance im Mittelstand: Pflichten der Geschäftsführung und praktische Umsetzung

Compliance ist längst nicht mehr nur ein Thema für DAX-Konzerne. Mittelständische Unternehmen werden zunehmend in den Fokus der Aufsichts- und Strafverfolgungsbehörden gerückt — und Geschäftsführer haften persönlich, wenn sie ihre Aufsichtspflichten vernachlässigen. § 130 OWiG erlaubt Bußgelder gegen Geschäftsführer, wenn betriebsbezogene Straftaten von Mitarbeitenden auf Aufsichtspflichtverletzungen zurückzuführen sind.

Was viele Geschäftsführer unterschätzen: Es geht nicht darum, einen 200-Seiten-Compliance-Code zu schreiben. Ein angemessenes Compliance-System für einen Mittelständler ist deutlich pragmatischer — aber es muss vorhanden, dokumentiert und gelebt sein. Wer das hat, reduziert sein persönliches Haftungsrisiko erheblich.

Unsere Kanzlei berät mittelständische Unternehmen in Hamburg und Norddeutschland bei der Implementierung praxistauglicher Compliance-Strukturen. Dieser Beitrag bietet einen ersten rechtsfachlichen Überblick und ersetzt keine anwaltliche Beratung im konkreten Einzelfall.

 

Warum Compliance kein Konzern-Thema mehr ist

  • § 130 OWiG erfasst alle Unternehmen — unabhängig von der Größe
  • Verbandssanktionengesetz (VerSanG) — auch wenn aktuell nicht in Kraft, ist die Tendenz klar: stärkere Sanktionierung von Unternehmen
  • Kunden und Geschäftspartner verlangen zunehmend Compliance-Bestätigungen
  • Bankenfinanzierung wird oft an Compliance-Strukturen geknüpft
  • Aufsichtsbehörden (BaFin, Kartellamt, Zoll, Datenschutz) prüfen aktiv
  • Internationale Geschäfte erfordern oft FCPA- oder UK-Bribery-Act-Konformität

 

Die wichtigsten Compliance-Risikofelder im Mittelstand

 

Korruptionsprävention

Geschenke, Einladungen, Vermittlungsprovisionen, Geschäftspartner-Auswahl. Besonders kritisch: Geschäfte im internationalen Umfeld, mit öffentlichen Auftraggebern, im Gesundheitswesen.

 

Kartell- und Wettbewerbsrecht

Preisabsprachen, Marktaufteilungen, Boykotte, Submissionsabsprachen. Bußgelder bis 10 % des Jahresumsatzes des Unternehmens und persönliche Verantwortlichkeit der Beteiligten.

 

Datenschutz und Datensicherheit

DSGVO-Bußgelder bis 20 Mio. Euro oder 4 % des Konzernumsatzes. Persönliche Haftung der Geschäftsführer bei Aufsichtspflichtverletzungen.

 

Geldwäscheprävention

Verpflichtete Branchen müssen Geldwäschebeauftragte bestellen und Sorgfaltspflichten erfüllen — auch viele Mittelständler sind betroffen.

 

Arbeitssicherheit und Umweltschutz

Bußgelder und persönliche Haftung bei Verstößen — auch bei Subunternehmen.

 

Steuerliche Compliance

Tax Compliance Management Systems gewinnen seit 2018 stark an Bedeutung. Bei dokumentiertem TCMS reduziert sich häufig der Vorwurf einer vorsätzlichen Steuerhinterziehung.

 

Außenwirtschaftsrecht

Exporteure müssen Embargos und Sanktionslisten beachten. Verstöße können strafrechtliche Folgen für Geschäftsführer haben.

 

Mindeststandards eines angemessenen Compliance-Systems

  1. Risiko-Analyse: Welche Risiken sind für Ihr Unternehmen relevant?
  2. Verhaltenskodex und Richtlinien — schriftlich, verständlich, kommuniziert
  3. Klar definierte Compliance-Verantwortlichkeiten — auch beim Mittelständler in der Regel ein verantwortlicher Geschäftsführer plus interner Compliance-Beauftragter
  4. Schulungen und Wissensvermittlung — regelmäßig, dokumentiert
  5. Whistleblower-Hinweisgebersystem — seit 2023 für Unternehmen ab 50 Mitarbeitern Pflicht
  6. Untersuchungs- und Reaktionsprozesse bei Verdachtsfällen
  7. Regelmäßige Wirksamkeitsprüfung und Anpassung
  8. Dokumentation aller Compliance-Maßnahmen — entscheidend für die Verteidigung im Ernstfall

 

Was § 130 OWiG konkret verlangt

Die Aufsichtspflicht ist nicht abstrakt — sie erfordert konkrete Maßnahmen:

  • Auswahl geeigneter Mitarbeiter (Eignung, Zuverlässigkeit)
  • Anleitung und Information über rechtliche Pflichten
  • Schulung — regelmäßig und nach Bedarf
  • Klare Anweisungen zur Aufgabenerledigung
  • Kontrolle der Aufgabenerledigung — stichprobenhaft, dokumentiert
  • Sanktionierung von Verstößen — abgestuft und nachvollziehbar
  • Anpassung der Maßnahmen bei erkannten Schwächen

Bei dokumentierter Erfüllung dieser Pflichten ist eine Sanktionierung nach § 130 OWiG in der Regel nicht möglich — auch wenn ein Mitarbeiter eine Straftat begeht.

 

Hinweisgeberschutzgesetz (HinSchG) — seit 2023 Pflicht

  • Unternehmen ab 50 Mitarbeitern müssen interne Meldesysteme einrichten
  • Hinweisgeber dürfen wegen ihrer Meldung nicht benachteiligt werden
  • Vertraulichkeit der Hinweisgeber muss gewährleistet sein
  • Bestimmte Vergeltungsmaßnahmen sind explizit verboten und bußgeldbewehrt
  • Die Meldungen müssen dokumentiert und nachverfolgt werden

Compliance bei Geschäftsführer-Übergang oder Akquisition

  • Compliance-Due-Diligence bei Unternehmenskäufen — Altlasten erkennen, bevor Sie haften
  • Erlassung aktueller Compliance-Bestätigungen vom Verkäufer
  • Vertragliche Freistellung von Compliance-Risiken vor Closing
  • Nach Übernahme zeitnah eigene Compliance-Strukturen implementieren
  • Bei Geschäftsführer-Wechsel: detaillierte Übergabe-Dokumentation, schriftliche Übernahme der Compliance-Verantwortung

 

Was tun bei einem Compliance-Vorfall?

  1. Interne Erstuntersuchung — schnell, aber sorgfältig
  2. Anwaltliche Begleitung von Anfang an — Anwaltsprivileg schützt interne Untersuchungsergebnisse
  3. Klare Trennung zwischen Sachverhaltsaufklärung und arbeitsrechtlicher Reaktion
  4. Externe Kommunikation strategisch planen — Aufsichtsbehörden, Geschäftspartner, ggf. Öffentlichkeit
  5. Selbstanzeige- oder Kooperations-Strategie prüfen — kann Verfahrensvorteile bringen
  6. Lehren ziehen und Compliance-System anpassen — bei dokumentierten Verbesserungen reduziert sich das Wiederholungsrisiko

 

Häufig gestellte Fragen

 

Brauche ich als mittelständisches Unternehmen wirklich Compliance?

Ja — § 130 OWiG erfasst alle Unternehmen unabhängig von der Größe. Ein angemessenes, pragmatisches Compliance-System schützt Sie als Geschäftsführer persönlich und das Unternehmen vor Bußgeldern bis zu 10 Mio. Euro.

 

Was ist ein angemessenes Compliance-System für einen Mittelständler?

Risiko-Analyse, schriftlicher Verhaltenskodex, klare Verantwortlichkeiten, regelmäßige Schulungen, Hinweisgebersystem (ab 50 Mitarbeitenden) und dokumentierte Kontrollen. Kein 200-Seiten-Compliance-Manual — aber alle Bausteine müssen vorhanden, dokumentiert und gelebt sein.

 

Bin ich als Geschäftsführer persönlich haftbar bei Compliance-Verstößen?

Ja — § 130 OWiG ermöglicht Bußgelder gegen Geschäftsführer bei Aufsichtspflichtverletzungen. Zusätzlich gibt es zivilrechtliche Haftung gegenüber der Gesellschaft (§ 43 GmbHG) und in schweren Fällen strafrechtliche Verantwortlichkeit.

 

Was bringt ein Hinweisgebersystem konkret?

Es erfüllt eine gesetzliche Pflicht (HinSchG für Unternehmen ab 50 Mitarbeitenden), schützt das Unternehmen vor späten Aufdeckungen von Verstößen, dokumentiert ein funktionierendes Compliance-System und reduziert das Risiko persönlicher Haftung.

 

Wie reagiere ich auf einen Compliance-Verdacht in meinem Unternehmen?

Sofort einen externen Anwalt einschalten, der die Untersuchung leitet (Anwaltsprivileg). Sachverhaltsaufklärung sorgfältig, aber zügig. Arbeitsrechtliche Maßnahmen erst nach Klärung. Bei strafrechtlicher Relevanz Selbstanzeige- oder Kooperationsstrategie strategisch prüfen.

 

Erstberatung in unserer Kanzlei in Hamburg

Sie wollen Ihr Compliance-System auf Tauglichkeit prüfen lassen, ein Hinweisgebersystem implementieren oder einen aktuellen Compliance-Vorfall strategisch begleiten lassen? Eine fundierte Beratung schützt Sie als Geschäftsführer und Ihr Unternehmen. Vereinbaren Sie unverbindlich eine Erstberatung in unserer Kanzlei in Hamburg — wir entwickeln pragmatische, am Mittelstand orientierte Lösungen.

Kontakt