Neuer Schwerpunkt für die Compliancearbeit: Prävention von Betrug „inside out“
Am 01.09.2025 trat mit der „Failure to Prevent Fraud Offence“ („FTPF Offence“) nach dem Economic Crime and Corporate Transparency Act 2023 im Vereinigten Königreich ein neues, weitreichendes Sanktionsregime in Kraft. Auch deutsche große Unternehmen („large organisations“) mit einer Verbindung („Nexus“) zum Vereinigten Königreich sind dann verpflichtet, durch geeignete Präventionsmaßnahmen zu verhindern, dass „associated persons“ vorsätzlichen Betrug begehen, der (auch) dem Unternehmen zugutekommen soll. Ein Complianceversagen wird als eigenständige Unternehmensstraftat mit erheblichen Bußgeldern („unlimited fines“) geahndet. Eine Sanktionierung kann zudem zu den üblichen Konsequenzen von Non-Compliance führen, wie dem Ausschluss von Ausschreibungen, Reputationsschäden, zivilrechtlichen Ansprüchen und Finanzierungsproblemen.
Für viele Complianceorganisationen dürfte dieser Blick auf betrügerisches Handeln aus dem eigenen Unternehmen heraus („inside out“) neu sein. Während Korruptions- und Kartellrechtsprävention neben Geldwäsche und Datenschutz klassische Schwerpunkte der Compliancearbeit bilden, ist das Thema Betrug eher als Risiko „outside in“, also als Angriff von außen auf das Unternehmen, behandelt und im Übrigen eher allgemein ein gesetzestreues Handeln der Mitarbeitenden eingefordert worden. Nun sollten auch deutsche Unternehmen – soweit das UK-Gesetz auf sie anwendbar ist – Maßnahmen mit einem klaren Fokus auf Betrugsprävention „inside out“ ergreifen.
Was erfasst das Gesetz?
Als Grundtatbestand muss ein vorsätzlicher Betrug einer „associated person“ (auch) zum Vorteil des Unternehmens vorliegen. Das umfasst Betrugsdelikte nach dem Fraud Act 2006 und einige weitere Wirtschaftsdelikte (Diebstahl, Falschangaben, betrügerische Rechnungslegung, bestimmte Steuerdelikte).
Mit „associated persons“ ist jede natürliche oder juristische Person gemeint, die für oder im Namen des Unternehmens handelt – wobei die tatsächlichen Verhältnisse entscheidend sind, nicht die formale Vertragsgestaltung. Zu den „associated persons“ zählen demnach neben den eigenen Mitarbeitenden und Tochtergesellschaften – je nach konkreter Ausgestaltung der Tätigkeit, Vertretungsbefugnissen nach außen etc. – auch Agenten und Handelsvertreter, Lieferanten und Dienstleister, Berater, Vermittler und Intermediäre sowie freie Mitarbeitende und temporäre Arbeitskräfte.
Das Gesetz verlangt vorsätzliches, unredliches Verhalten („dishonestly and knowingly“) der assoziierten Person. Diese muss (beziehungsweise deren Organe müssen) um die Täuschung wissen und (zumindest auch) das eigene Unternehmen bereichern wollen. Dies ist etwa der Fall, wenn ein Vertriebsmitarbeitender gefälschte Rechnungen ausstellt, wohl wissend, dass die Leistung nicht erbracht worden ist, um seinem Unternehmen eine unzulässige Zahlung zu verschaffen, oder wenn ein Agent absichtlich Lieferdokumente gegenüber britischen Behörden manipuliert, um Importabgaben zu senken. Nicht relevant sind reine Sorgfalts- oder Überwachungsfehler oder administrative Fehler ohne Täuschungs- oder Bereicherungswillen.
Die schwierige Beurteilung des Anwendungsbereichs
Large Organisations
Das Gesetz liest sich zunächst einfach: Adressaten sind Kapital- und Personengesellschaften, die mindestens zwei der drei im Gesetz genannten Kriterien (mehr als 36 Millionen Pfund Sterling Umsatz, mehr als 18 Millionen Pfund Sterling Bilanzsumme, mehr als 250 Mitarbeitende) erfüllen. Es genügt, wenn ein Konzern mit Sitz außerhalb des Vereinigten Königreichs diese Schwellenwerte global überschreitet und ein UK-Nexus besteht.
Entscheidend sind dabei allerdings auch die Fragen, welches Unternehmen im Konzern von der betrügerischen Handlung profitieren soll, mit welchem Unternehmen der Täter „assoziiert“ ist und ob dieses Unternehmen dann selbst als „large organisation“ zu klassifizieren ist.
UK-Nexus
Verkompliziert wird die Situation dadurch, dass auch ohne eigene UK-Landesgesellschaft der Anwendungsbereich eröffnet sein kann, solange ein UK-Nexus besteht. Ein solcher Nexus wird etwa bejaht, wenn die Betrugstat einen aktuellen oder potentiellen Bezug zu britischen Märkten, Geschäftspartnern, Kunden, Banken oder digitalen Plattformen aufweist. Daher sollte die Anwendbarkeit des Gesetzes bereits dann genauer geprüft werden, wenn Produkte an britische Unternehmen oder Konsumenten direkt, über Dritte oder über digitale Plattformen vertrieben oder Dienstleistungen oder digitale Produkte britischen Nutzern online angeboten werden.
Folgen für die Complianceorganisation
Umfassende vs. minimalinvasive Anpassung des CMS
Die Complianceorganisation eines deutschen Konzerns mit Geschäftsbezügen ins Vereinigte Königreich steht nun vor der Frage, ob sie detailliert prüft,
- ob und welche Konzerngesellschaft in den Anwendungsbereich der „FTPF Offence“ fällt, und ihre nachfolgend genannten Betrugspräventionsmaßnahmen auf diese Konzerngesellschaften konzentriert oder
- ob sie das globale Compliance-Management-System (CMS) um Elemente der Betrugsprävention erweitert. Welcher Ansatz passend ist, lässt sich nicht pauschal beantworten, sondern hängt vom Einzelfall ab, unter anderem vom Risikoprofil.
Compliance-Defence („Reasonable Procedures“)
Die Haftung eines Unternehmens kann reduziert beziehungsweise ausgeschlossen werden, wenn es aufzeigen kann, dass es ein risikoorientiertes, effektives Compliance-Management-System eingeführt und laufend weiterentwickelt hat. Diese „reasonable procedures“ werden in einer ausführlichen Guidance des zuständigen „UK Home Office“ näher beschrieben. Viele Aspekte dürften zum Beispiel vom Prüfungsstandard IDW PS 980 bekannt sein – nur diesmal liegt der Schwerpunkt auf Betrug „inside out“, weshalb auf einige Besonderheiten geachtet werden sollte. Die Behörde weist im Übrigen darauf hin, dass „paper compliance“ wertlos ist. Es zählen Wirksamkeit, Aktualität, Dokumentation und die praktische Umsetzung im Alltag.
Top-Level-Commitment und Governance
Eine wirksame Betrugsprävention erfordert – wie bei allen anderen Governance- und Compliancethemen auch – eine klare und konsequente Haltung der Geschäftsleitung und des Vorstands, die Compliance auf allen Ebenen sichtbar vorleben („tone at the top“) und die Compliancekultur im Unternehmen prägen. Ebenso wichtig ist, dass Führungskräfte auf allen Hierarchieebenen – insbesondere auf mittlerer Führungsebene („tone at the middle“) – diese Vorbildfunktion aktiv ausfüllen und durch ihr Verhalten den hohen Stellenwert von Integrität und Compliance im Unternehmen vermitteln.
Risikoanalyse als Grundlage
Als eine weitere „reasonable procedure“ wird die Durchführung einer Risikoanalyse genannt. Unternehmen sollten einerseits alle relevanten Geschäftsbereiche, Produkte, Märkte und verbundenen Dritten („associated persons“) auf mögliche Berührungspunkte mit dem Vereinigten Königreich untersuchen. Vor allem aber sollten sie den neuen Schwerpunkt – Betrug „inside out“ – bei der Konzeptionierung und Durchführung ihrer Compliancerisikoanalysen berücksichtigen. Das kann unter Umständen dazu führen, dass andere Unternehmensbereiche als die klassischen, besonders risikoexponierten Vertriebs- und Einkaufsabteilungen, miteinbezogen werden sollten: Womöglich lassen sich zum Beispiel in den zentralen Abteilungen ESG, Accounting oder Controlling Indizien für Betrug durch Mitarbeitende anderer Abteilungen finden.
Klare Richtlinien und adäquate Verfahren
Zur Vorbeugung und Bekämpfung von Betrug „inside out“ bedarf es spezifischer unternehmensinterner Leitlinien und Prozesse. Mitunter kann es sich anbieten, das Thema auch in sachnahen Richtlinien (ESG, Accounting, Controlling etc.) ebenfalls zu verankern.
Kontrollmechanismen
Unternehmen müssen mit Blick auf die Betrugsprävention ihr internes Kontrollsystem gegebenenfalls anpassen und auch weitere Governancefunktionen (Controlling, Accounting) einbinden. Die Integration moderner Technologien (zum Beispiel AI-basierte Datenanalysen, Compliancetools) kann die Überwachung und Dokumentation unterstützen.
Business-Partner-Approval-Prozess für „Associated Persons“
Eine systematische Überprüfung von „associated persons“ ist unverzichtbar. Unternehmen müssen zunächst die Personen und Unternehmen identifizieren, die im Auftrag oder Namen des Unternehmens tätig werden und demnach als „associated persons“ zu qualifizieren sind. Ein risikobasierter Prüfungs- und Überwachungsprozess dieser Personen mit Fokus auf Betrugsprävention sollte verankert werden, eventuell als Bestandteil bereits bestehender Business-Partner-Approval-Prozesse. Unternehmen sollten auch sicherstellen, dass vertragliche Compliance- und Kontrollanforderungen in sämtliche relevante Geschäftsbeziehungen aufgenommen und deren Einhaltung laufend überprüft werden.
Training, Awareness und Kommunikation
Unternehmen sollten regelmäßige und zielgruppenorientierte Schulungen für relevante Mitarbeitende sowie für externe Dritte, die als „associated persons“ gelten, anbieten und zum Thema effektiv kommunizieren.
Whistleblowing und Meldesysteme
Das UK Home Office betont die Wichtigkeit von Meldesystemen. Seit Inkrafttreten der EU-Hinweisgeberschutz-Richtlinie ist dieses Thema allerdings in den allermeisten Unternehmen bereits umfassend implementiert.
Monitoring, Überprüfung und kontinuierliche Verbesserung
Ebenfalls nicht neu ist die Forderung des UK Home Office, das Compliance-Management-System einem kontinuierlichen Verbesserungsprozess zu unterwerfen.
Fazit
Die britische „Failure to Prevent Fraud Offence“ fordert von international tätigen Unternehmen, die in deren Anwendungsbereich fallen, einen systematischen, nachweisbaren und wirksamen Ansatz zur Betrugsprävention. Die zentrale Herausforderung ist dabei nicht die Existenz neuer Grundsätze, sondern die konsequente Ausgestaltung praxisnaher, messbarer und dokumentierter Systeme – unter Einbeziehung aller möglichen UK-Nexus-Felder, selbst wenn der direkte Kontakt zum Vereinigten Königreich gering erscheint.
