Complianceverantwortliche in Unternehmen haben die Aufgabe, das Unternehmen vor Rechtsverstößen zu schützen. Sie sind Ansprechpartner für Hinweise, steuern interne Aufklärungen und sorgen dafür, dass Risiken nicht verdrängt, sondern bearbeitet werden. Befindet sich das Unternehmen in einer Compliancekrise oder steuert es auf eine solche zu, ist es auch Aufgabe des Complianceverantwortlichen, die Krise zu bewältigen oder frühzeitig abzuwenden.
Eine Compliancekrise kann ein Unternehmen dabei „extern“ treffen, etwa dann, wenn zum Beispiel Aufsichts- oder Strafverfolgungsbehörden gegen das Unternehmen oder Mitarbeiter wegen des Verdachts rechtswidrigen Verhaltens ermitteln.
Regelmäßig tritt ein Compliancefall in einem Unternehmen aber „intern“ auf, wenn im Unternehmen bekannt wird, dass es möglicherweise zu Rechtsverstößen oder Zuwiderhandlungen mit Unternehmensbezug gekommen ist. Dies geschieht immer häufiger durch Whistleblower, die sich an die „interne Hinweisgebermeldestelle“ eines Unternehmens wenden.
Sobald Anhaltspunkte für eine Compliancekrise in dem Unternehmen vorliegen, zeigt sich, ob Compliance in dem Unternehmen nur beschrieben oder tatsächlich gelebt wird.
Entscheidend ist, was nach Bekanntwerden eines Complianceverdachtsfalls geschieht: Werden die Hinweise ernst genommen, wird unabhängig und objektiv aufgeklärt, werden etwaige Zuwiderhandlungen abgestellt und wird individuelles Fehlverhalten entsprechend geahndet? Oder verliert sich der Vorgang in Zuständigkeiten, Abstimmungsrunden und beschwichtigender Kommunikation?
Damit übernehmen Complianceverantwortliche eine Funktion, die über die bloße Beobachtung und Beratung hinausgeht. Wer als Mitarbeiter mit Complianceverantwortung Hinweise verharmlost, Untersuchungen verzögert oder notwendige Schritte unterlässt, wird schnell selbst zum Teil des Problems. Aus dem Hüter der Compliance kann dann ein eigener Compliancefall werden: arbeitsrechtlich, haftungsrechtlich und im Einzelfall auch strafrechtlich.
Nicht die eigentliche Krise ist dann das (alleinige) Complianceproblem, sondern auch das interne Bewältigungsmanagement.
Der Ausgangsfall Berliner Stadtreinigung: Wenn Wegsehen strafbar wird
Der strafrechtliche Ausgangspunkt ist der sogenannte Berliner Stadtreinigungsfall (BGH-Urteil vom 17.07.2009 – 5 StR 394/08). Der 5. Strafsenat des BGH hat bereits 2009 klargestellt, dass Complianceverantwortliche in der Pflicht sein können, strafrechtliche Zuwiderhandlungen im Unternehmen zu verhindern, wenn ihnen ein entsprechender Pflichtenkreis übertragen ist. Umfasst dieser die Verhinderung von Rechtsverstößen aus dem Unternehmen heraus, ist Untätigkeit bei konkreten Verdachtsmomenten keine Option. Ergreift der Complianceverantwortliche trotz Kenntnis eines Verdachts keine Maßnahmen, riskiert er, sich selbst strafbar zu machen.
Konkret ging es um eine fehlerhafte Kalkulation des Straßenreinigungsentgelts, die dazu führte, dass von Anliegern überhöhte Entgelte in Millionenhöhe verlangt wurden. Der Complianceverantwortliche kannte den Fehler, informierte aber weder den Vorstand noch den Aufsichtsrat. Dadurch machte sich dieser wegen Beihilfe durch Unterlassen zum Betrug strafbar. Hauptverantwortlich war das für das Ressort „Reinigung“ zuständige Vorstandsmitglied, das den bekannten Berechnungsfehler nicht korrigierte und gegenüber dem Vorstand verschwieg. Dass neben strafrechtlicher Verantwortung auch eine zivilrechtliche Haftung droht, wurde spätestens seit der „Siemens-Neubürger-Entscheidung“ (LG München I, Urteil vom 10.12.2013 – 5 HK O 1387/10) klar. Das Landgericht München I hat den ehemaligen Siemens-Finanzvorstand Hans-Joachim Neubürger zur Zahlung von 15 Millionen Euro Schadensersatz an die Siemens AG verurteilt, weil er nicht dafür sorgte, dass ein funktionierendes Compliance-Management-System bei dem Unternehmen eingerichtet wurde. Dieses System wäre erforderlich gewesen, um Korruptionszahlungen zu verhindern und die rechtlichen Verpflichtungen des Unternehmens zu erfüllen. Das LG München I entschied, dass Vorstandsmitglieder ein Unternehmen so zu organisieren und zu überwachen haben, dass Gesetzesverstöße verhindert werden. Bei einer entsprechenden Gefährdungslage muss eine auf Schadensprävention und Risikokontrolle angelegte Complianceorganisation eingerichtet werden.
Vom Hinweisversäumnis zur Kündigung: Der Fall vor dem ArbG Offenbach
Die nunmehr ergangene Entscheidung des Arbeitsgerichts Offenbach (Urteil vom 25.11.2025 – 1 Ca 136/25) überträgt diese Grundgedanken in das Arbeitsrecht. Ein General Counsel mit herausgehobener Verantwortung für Recht und Compliance in einem Konzern, der unter anderem auf dem Gebiet des Edelmetallrecyclings tätig war, erhielt im Oktober 2023 eine Whistleblowermeldung zu rechtswidrigen Praktiken im Unternehmen bei der Vereinnahmung edelmetallhaltiger Rückstände (sogenannte „Hauslose“). Nach Eingang der Meldung wurde zwar ein internes Untersuchungsteam gebildet, weitere wesentliche Schritte wurden jedoch nicht eingeleitet. Erst im Dezember 2024 wurde auf explizite Anforderung des Abschlussprüfers ein Untersuchungsbericht erstellt. Aufgrund der Defizite bei der Bearbeitung der Meldung erhielt der General Counsel eine fristlose, hilfsweise ordentliche Kündigung seines Arbeitsverhältnisses.
Das ArbG Offenbach sah jedenfalls die ordentliche Kündigung als wirksam an. Entscheidend war, dass den General Counsel besondere Überwachungs-, Kontroll- und Schadensabwehrpflichten trafen. Diese Pflichten habe er verletzt, indem er die Abweichungen von der Verfahrensordnung nicht unterband, die Bearbeitung des Hinweises nicht ausreichend hinterfragte und die Geschäftsführung nicht auf die unzureichende Behandlung der Whistlebloweranzeige aufmerksam machte.
Klar wird: Wer in einer herausgehobenen Compliancefunktion tätig ist, kann sich nicht auf eine bloße Beobachterrolle zurückziehen. Von ihm wird erwartet, dass er Compliancerisiken nicht nur (er-)kennt, sondern aktiv und unverzüglich darauf reagiert.
Das HinSchG als Pflichtenkatalysator
Das Hinweisgeberschutzgesetz hat diese Verantwortung verdichtet. Die Hinweisbearbeitung ist kein informeller Complianceservice mehr, sondern eine gesetzliche Pflicht. Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten müssen interne Meldestellen einrichten und betreiben (§ 12 HinSchG). Diese betreiben Meldekanäle, führen das Verfahren und ergreifen Folgemaßnahmen (§ 13 HinSchG). Der Compliance-Officer muss nicht zwingend selbst Meldestelle sein. Übernimmt oder steuert dieser aber das Hinweisverfahren, entsteht daraus ein eigener Pflichtenkreis. Es muss klar sein, wer den Hinweis prüft, wer Folgemaßnahmen veranlasst und welche Gesellschaft den Verstoß abstellt. Gerade im Konzern darf Verantwortung nicht zwischen Zuständigkeiten verlorengehen.
Vom Hinweis zum Verfahren: Die konkreten Pflichten
Nach dem Eingang einer Meldung beginnt das Pflichtprogramm. Die interne Meldestelle muss den Eingang binnen sieben Tagen bestätigen, den sachlichen Anwendungsbereich prüfen, Kontakt zur hinweisgebenden Person halten, die Stichhaltigkeit prüfen, gegebenenfalls weitere Informationen erbitten und angemessene Folgemaßnahmen ergreifen (§ 17 Abs. 1 HinSchG). Innerhalb von drei Monaten ist über geplante oder ergriffene Folgemaßnahmen zu berichten (§ 17 Abs. 2 HinSchG).
Damit ist ein Hinweis nicht erledigt, nur weil er registriert wurde. Entscheidend ist, was aus ihm folgt. Das kann eine interne Untersuchung sein, die Einbindung anderer zuständiger Stellen, die Abgabe an Behörden oder auch der begründete Abschluss des Verfahrens (§ 18 HinSchG). Ordnungsgemäß bearbeitet ist ein Hinweis erst, wenn nachvollziehbar entschieden wurde, was zu tun ist und warum.
Wann wird der Compliance-Officer selbst zum Compliancefall?
Nicht erst die aktive Vertuschung macht den Complianceverantwortlichen angreifbar. Das Risiko beginnt bereits dort, wo Hinweise bagatellisiert, unzureichend geprüft oder ohne klare Zuständigkeit bearbeitet werden. Arbeitsrechtlich kann eine solche Pflichtverletzung eine ordentliche Kündigung rechtfertigen, wie die Entscheidung des ArbG Offenbach zeigt. Daneben stehen zivilrechtliche Regressrisiken, ordnungswidrigkeitenrechtliche Vorwürfe mangelhafter Aufsicht oder Organisation (§ 130 OWiG) und in gravierenden Fällen auch strafrechtliche Fragen des pflichtwidrigen Unterlassens.
Die praktische Konsequenz ist nicht, Complianceverantwortliche mit Haftungsangst zu paralysieren. Ein belastbares Verfahren schützt nicht nur das Unternehmen, sondern auch den Complianceverantwortlichen selbst. Dafür müssen Rolle, Verantwortung und Schnittstellen vorab geklärt sein. Bei besonders sensiblen Sachverhalten sollten zudem klare Vorgaben bestehen, wann die Geschäftsleitung, Revision, externe Berater oder Behörden einzubeziehen sind. Jede wesentliche Entscheidung sollte so dokumentiert werden, dass sie auch in Zukunft nachvollziehbar bleibt.
Und schließlich gilt: Externe Unterstützung oder Auslagerung einer internen Untersuchung ist kein Kontrollverlust. Bei Hinweisen von besonderem Gewicht kann die frühe Einbindung spezialisierter Berater und Untersuchungsführer gerade Ausdruck ordnungsgemäßer Compliance sein. Kein Compliance-Officer handelt pflichtwidrig, wenn er bei komplexen oder sensiblen Sachverhalten geeignete externe Expertise hinzuzieht. Riskant wird es erst, wenn er trotz erkennbarer Überforderung so tut, als sei der Hinweis ein Routinevorgang.
Hüterpflichten sind Handlungspflichten
Der Compliance-Officer bleibt Hüter des Systems. Aber das HinSchG und die Rechtsprechung zeigen: Hüterpflichten sind Handlungspflichten. Wer Hinweise ernst nimmt, strukturiert prüft, ggf. durch externe Hilfe aufklärt, sauber eskaliert und dokumentiert, Zuwiderhandlungen abstellt und individuelle Pflichtverletzungen ahndet, erfüllt seine Rolle. Wer Hinweise verharmlost oder verzögert, kann selbst zum Beleg dafür werden, dass das System nicht funktioniert.
