Schwerwiegende Regelverstöße sollten nicht nur als Verstoß gegen Compliancevorschriften gesehen werden. Vielmehr liefern sie Indikatoren für die Resilienz eines Unternehmens und seines Compliancesystems. Entscheidend ist, wie schnell und strukturiert ein Unternehmen reagiert. Gerade in einem Umfeld wachsender regulatorischer Komplexität – national wie europäisch – und unter dem Druck digitaler Echtzeitkommunikation entscheidet sich meist binnen Stunden, ob Risiken kontrolliert werden oder sich zu einer Krise auswachsen. Dieser Beitrag zeigt, wie Unternehmensleitungen nach Bekanntwerden eines möglichen schwerwiegenden Complianceverstoßes rechtssicher und strategisch agieren.
Führung in der Krise: Wer steuert die Aufklärung?
Die Aufklärung eines schwerwiegenden Complianceverstoßes verlangt mehr als formale Zuständigkeit – sie erfordert Führungsstärke. Es ist festzulegen, wer für die Aufklärung zuständig ist: die Fachabteilung, die Geschäftsleitung oder der Aufsichtsrat. Danach gilt es, klare Entscheidungen zu treffen: Wer übernimmt welche Rolle? Welche Kommunikationswege gelten? Welche Maßnahmen sind sofort einzuleiten?
Auch wenn operative Aufgaben an Fachabteilungen oder Externe delegiert werden, bleibt die Gesamtverantwortung bei der Geschäftsleitung. Das richtige Zusammenspiel von Delegation und Kontrolle ist entscheidend – nicht nur zur Erfüllung gesetzlicher Pflichten, sondern auch zur Wahrung der unternehmerischen Integrität.
Besteht der Verdacht auf strafrechtlich relevantes Verhalten, steigt das persönliche Risiko für Führungskräfte erheblich. Verzögerungen oder unterlassene Aufsichtsmaßnahmen können Regressansprüche und strafrechtliche Konsequenzen nach sich ziehen. Jede Entscheidung sollte daher dokumentiert, begründet und im Sinne der Business Judgement Rule nachvollziehbar sein.
Sofortmaßnahmen: Was jetzt zählt
Sobald ein möglicher Complianceverstoß bekannt wird, ist schnelles und entschlossenes Handeln gefragt. Ziel ist es, rechtliche, wirtschaftliche und reputative Risiken zu minimieren.
Überblick verschaffen und Sachverhalt strukturieren
Die ersten 72 Stunden sind regelmäßig entscheidend. Hinweise müssen systematisch geprüft werden: Woher stammt die Information? Ist sie plausibel? Betrifft sie Einzelpersonen oder ganze Organisationseinheiten? Liegt ein Einzelfall vor oder ein strukturelles Problem?
Je präziser der Sachverhalt eingegrenzt wird, desto gezielter lassen sich Maßnahmen steuern. Ein funktionierendes Hinweisgebersystem, klare Prozesse und frühzeitige Einbindung von Fachabteilungen (Recht, Revision, Compliance) sind dabei essentiell.
Risiken bewerten und Prioritäten setzen
Parallel zur Sachverhaltsaufklärung ist eine realistische Risikoeinschätzung erforderlich. Welche Dimensionen sind betroffen – finanzielle Schäden, regulatorische Sanktionen, strafrechtliche Risiken, Reputationsverluste? Besteht eine Meldepflicht gegenüber Behörden? Droht mediale Aufmerksamkeit?
Auch internationale Aspekte – etwa unterschiedliche Haftungsregeln bei grenzüberschreitenden Sachverhalten – müssen berücksichtigt werden. Die Risikobewertung bildet die Grundlage für alle weiteren Entscheidungen.
Rechtswidriges Verhalten sofort abstellen
Besteht das pflichtwidrige Verhalten fort, ist unverzügliches Handeln geboten. Je nach Vorwurf können Sofortmaßnahmen erforderlich sein: Zahlungsstopps, Freistellungen, Sperrung von Zugängen, Rückruf fehlerhafter Produkte oder Kündigung risikobehafteter Verträge sind nur einige Beispiele.
In bestimmten Konstellationen kann der gezielte Abschluss einer Amnestievereinbarung ein geeignetes Mittel sein – etwa um Mitarbeitende zur Kooperation zu bewegen, wenn Beweismittel nicht verfügbar oder gefährdet sind. Voraussetzung ist eine fundierte rechtliche Bewertung: Die Amnestiemaßnahme muss verhältnismäßig, zeitlich und inhaltlich klar begrenzt sowie sorgfältig dokumentiert sein. Zugleich darf sie nicht den Eindruck erwecken, dass Regelverstöße folgenlos bleiben. Eine enge Abstimmung mit interner Revision, Rechtsabteilung oder – je nach Fall – externen Beratern ist ratsam, insbesondere im Hinblick auf mögliche spätere Prüfungen durch Behörden oder Gerichte.
Behördenkontakt strategisch steuern
Ob, wann und welche Behörden zu informieren sind, hängt vom Einzelfall ab. Zunächst ist zu klären, welche Stellen zuständig sein könnten – etwa Strafverfolgungs-, Datenschutz- oder Finanzaufsichtsbehörden, das Bundeskartellamt oder Umweltbehörden. Dabei sind auch spezielle – regelmäßig zeitkritische – Meldepflichten zu prüfen, zum Beispiel nach Art. 17 MAR (Ad-hoc-Meldungen), Art. 33 DSGVO (Datenschutz) oder § 43 GwG (Geldwäsche).
Neben etwaigen Fristvorgaben kann auch aus strategischen Gründen eine frühzeitige Meldung entscheidend sein – etwa um Kooperationsvorteile wie die Kronzeugenregelung im Kartellrecht zu nutzen. Zudem ist zu prüfen, ob es sich um einen rein nationalen oder grenzüberschreitenden Complianceverstoß handelt, der gegebenenfalls auch ausländische Behörden involviert.
Oft besteht ein gewisser Handlungsspielraum – etwa zur Vorbereitung einer internen Untersuchung oder zur Abstimmung einer Verteidigungsstrategie. Dieser muss realistisch eingeschätzt und gegebenenfalls durch externe Berater abgesichert werden.
Die behördliche Kommunikation ist strategisch zu planen: Zeitpunkt, Umfang und Tonalität der Information können den weiteren Verlauf maßgeblich beeinflussen – insbesondere bei paralleler Zuständigkeit mehrerer Behörden im In- und Ausland.
Koordinierte Kommunikationsstrategie etablieren
Kommunikation ist kein Nebenschauplatz, sondern Teil der Krisenstrategie. Intern gilt es, Transparenz gegenüber relevanten Gremien zu schaffen, ohne Vertraulichkeit zu gefährden. Extern ist abzuwägen, ob und wann Geschäftspartner, Medien oder andere Stakeholder informiert werden.
Widersprüchliche Botschaften sind fatal. Eine abgestimmte Linie zwischen Recht/Compliance und Kommunikation ist unerlässlich. In komplexen Fällen empfiehlt sich der Rückgriff auf externe Spezialisten für Krisenkommunikation, dies gilt insbesondere bei internationalen Sachverhalten mit kulturellen und rechtlichen Besonderheiten.
Fazit: Führung beweist sich im Ernstfall
Ein schwerwiegender Complianceverstoß ist kein Routinefall – er ist ein Stresstest für die Führungsfähigkeit eines Unternehmens. Wer in dieser Situation strukturiert, transparent und strategisch handelt, schützt nicht nur das Unternehmen, sondern auch seine eigene Position. Entscheidend ist, von Beginn an die richtigen Prioritäten zu setzen, Risiken realistisch zu bewerten und Maßnahmen rechtssicher umzusetzen. Nur so gelingt eine nachhaltige Aufarbeitung – und der Erhalt von Vertrauen bei Mitarbeitenden, Partnern und Behörden. ß
