Problemstellung
Seit Jahren ist die ordnungspolitische Tendenz zu erkennen, Compliancepflichten in Konzernstrukturen auf nationaler und europarechtlicher Ebene zu normieren. Dies führt dazu, dass die unternehmerischen und rechtlichen Entscheidungsspielräume innerhalb von Konzernstrukturen namentlich mit Blickrichtung auf eine adäquate Risikoverteilung zunehmend beschränkt werden. Gänzlich unabhängig von dieser unmittelbar gesetzgeberischen Verantwortungs- und damit Risikozuweisung ist jedoch auch eine Tendenz zu erkennen, die entsprechenden straf- und damit auch haftungsrechtlichen Risiken insbesondere mit Blickrichtung auf Konzernstrukturen durch entsprechende strafrechtliche Überlegungen und Auslegungsgrundsätze zu erhöhen. Namentlich geschieht dies im Bereich der strafrechtlichen Geschäftsherrenhaftung. Die zahlreichen, in diesem Bereich noch ungeklärten Rechtsfragen sind auch außerhalb des vom Gesetzgeber ausdrücklich vorgegebenen Kanons von Compliancepflichten im Konzern nicht zu unterschätzen. Dies sowie hieraus für die Etablierung und Prüfung von Compliance-Management-Systemen (CMS) im Konzern zu ziehende Konsequenzen werden daher nachfolgend kursorisch beschrieben.
Grundlagen
Die strafrechtliche Geschäftsherrenhaftung von Vorständen, Geschäftsführern und hochrangigen Leitungsverantwortlichen im Compliancebereich ist zwischenzeitlich allgemein anerkannt. Auch die diesbezügliche Verantwortlichkeit des Leiters der Innenrevision sowie des Compliancebeauftragten ist in diesem Kontext durch den BGH bereits anerkannt worden. Dabei geht die Rechtsprechung sogar so weit, nicht nur eine strafrechtliche Verantwortlichkeit im Innenverhältnis zum betroffenen Unternehmen oder sonstigen Rechtsträger, sondern auch im Verhältnis zu Dritten beziehungsweise Unternehmensfremden für möglich zu halten. Erschwert wird die (straf-)rechtliche Risikoeinschätzung zudem von vornherein dadurch, dass die konkrete Verantwortungszuweisung stets von den Umständen des Einzelfalls abhängig ist. Ein insoweit einschlägiger und abschließender Katalog von Beurteilungskriterien liegt – zumal mit Blickrichtung auf Konzernstrukturen – bei weitem noch nicht vor.
Aber auch soweit bereits Kriterien entwickelt worden sind, ist deren Trennschärfe nicht immer ausreichend. So soll beispielsweise die bloße vertragliche Zuweisung von Kontrollpflichten für eine strafrechtliche Geschäftsherrenhaftung eines Leitungsverantwortlichen noch nicht ausreichend sein; entscheidend soll vielmehr die faktische Kontrolltätigkeit sein. In dogmatischer Hinsicht ist eine strafrechtliche Relevanz des Handelns von Complianceverantwortlichen sowohl in der Form des aktiven Tuns als auch des Unterlassens gebotener Maßnahmen denkbar. Gerade die zweite Fallgruppe wird dabei der Regelfall sein, womit all die Fragen der Strafbarkeit des Unterlassens, wie beispielsweise die Erforderlichkeit einer Garantenstellung, einer Ingerenz (und anderes mehr), eine Rolle spielen. Aus Sicht des betroffenen Unternehmens gewinnen all diese zunächst nur die jeweils handelnde Person betreffenden Überlegungen deshalb Bedeutung, weil insoweit eine Zurechnung des strafrechtlich relevanten Verhaltens einzelner Leitungsverantwortlicher erfolgen kann. Einerseits geschieht dies über § 30 Gesetz über Ordnungswidrigkeiten (OWiG) und ist andererseits Gegenstand vielfältiger Gedankenmodelle im Hinblick auf die Einführung eines Unternehmensstrafrechts auch in Deutschland. Ebenso denkbar sind haftungsrechtliche Zurechnungen und damit aus Sicht des betroffenen Unternehmens einhergehende, oftmals beträchtliche oder gar existenzbedrohende Schadenersatzansprüche. Was aber bedeutet dieser aktuelle Befund für die Gestaltung und Prüfung von Compliancestrukturen im Konzern?
Risikoevaluation und das Prinzip „kommunizierender Röhren“
Die vorstehend aufgrund des vorgegebenen Rahmens kursorisch beschriebene Ausgangslage führt im Hinblick auf die Gestaltung und Prüfung eines konzernweiten CMS zu den verschiedensten Handlungsnotwendigkeiten. Das gilt umso mehr, als spätestens der im Nachgang zur Siemens-Korruptionsaffäre festzustellende Compliancehype von einer mehr oder weniger einseitigen Betonung der (Compliance-)Risikovermeidung durch Etablierung von hierauf ohne Wenn und Aber ausgerichteten CMS geprägt war und – so meine Erfahrung – teilweise auch heute noch ist. Der Einwand, dass die einseitige Ausrichtung auf die Vermeidung des letzten denkbaren compliancerelevanten Restrisikos zu einer gefährlichen Überregulierung führen kann, ist demgegenüber zumindest sehr lange, teilweise aber eben auch bis heute nicht gesehen worden. Dies wäre aber umso erforderlicher gewesen, als eine Überbetonung der Complianceanforderungen einschließlich der Schaffung – lediglich vermeintlich – optimaler Risikovermeidungsinstrumentarien aus rechtlicher Sicht erst zu straf- und haftungsrechtlichen Risiken führen kann. Denn letztlich existieren im Hinblick auf die Beurteilung der entsprechenden Risikosituationen – umso mehr im Konzern – zwei kommunizierende Röhren.
Die gebotene umfassende Notwendigkeit der Vermeidung von Compliancerisiken zum einen und die Gefahr der Schaffung straf- und haftungsrechtlicher Risiken durch hypertrophes CMS zum anderen bilden diese kommunizierenden Röhren. Dies gilt auch schon für die isolierte Betrachtung von Compliancestrukturen auf der Ebene der jeweiligen Einzelgesellschaft. Im Konzernbereich jedoch gehört die Berücksichtigung beider „Complianceröhren“ vor dem Hintergrund der generellen, nahezu unendlich vorstellbaren unterschiedlichen Konzernstrukturen zum absoluten Muss beim Aufbau und der Prüfung eines umfassenden Konzern-CMS. Dies ergibt sich allein schon aus der vielschichtigen Palette denkbarer Konzernobergesellschaften, von der bloßen vermögensverwaltenden, mit nur einigen wenigen Mitarbeitern ausgestatten Gesellschaft bis hin zu einer Muttergesellschaft, die selbst umfassend operativ und in einem hochspezialisierten Gesamtkonzern tätig ist. Hier das rechtlich und vor allem auch unternehmerisch im Interesse einer adäquaten Risikoverteilung gebotene Maß im Spannungsverhältnis zwischen umfassender Compliancekontrolle und entsprechender Haftungsvermeidung durch den adäquaten Umfang an Kontrolle zu finden, stellt dies häufig eine der komplexesten rechtlichen und organisationstechnischen Fragen der Gestaltung eines Konzern-CMS dar.
Aber auch im Rahmen der zwingend und fortlaufend erforderlichen Prüfung entsprechender Konzern-CMS müssen all diese Fragen immer wieder gestellt und insbesondere anhand des aktuellen und sich fortlaufend entwickelnden Stands – der meiner Einschätzung nach noch am Anfang stehenden Diskussion – über die strafrechtliche Geschäftsherrenhaftung im Konzern beantwortet werden. Dies erfordert naturgemäß eine juristisch interdisziplinäre Herangehensweise und dementsprechend straf-, gesellschafts-, haftungsrechtliches Know-how. Es erfordert aber auch praxisorientierte, weit über den juristischen Tellerrand hinausgehende Complianceerfahrungen und branchenspezifische Kenntnisse. Mit anderen Worten: Der rechtliche Berater kann und wird regelmäßig zunächst nur juristische Risiken beschreiben, die sich namentlich aus den juristischen Unsicherheiten mit Blickrichtung auf Inhalt und Tragweite der Geschäftsherrenhaftung im Konzern ergeben.
Hierauf aufbauend wird dann unter Einbeziehung weiterer Fachleute nach einem System zu suchen sein, mit dem die beiden „korrespondierenden (Risiko-)Röhren“ in den möglichst optimalen, voneinander abhängigen Zustand gebracht werden. Dabei wird namentlich auch zu berücksichtigen sein, welche Verteilung der Compliance- und damit auch Haftungs- sowie strategischen Risiken aus Sicht des Gesamtkonzerns geboten ist. In diesem Zusammenhang sind auch die verschiedensten juristischen Risikofaktoren, wie beispielsweise aufsichts- und generell ordnungsrechtliche Faktoren, zu bewerten und adäquat zu berücksichtigen.
Gerade in diesem Kontext bedarf es daher aber auch der Leitung entsprechender interdisziplinärer Kompetenzteams durch einen mit entsprechenden Erfahrungen ausgewiesenen Generalisten, der die Kommunikation zwischen den jeweiligen Spezialisten – wenn nicht erst ermöglicht und steuert – so doch zielführend moderiert.
Fazit: Interdisziplinäre Konzerncompliance
Konzerncompliance ist mehr als die bloße Vermeidung typischer Compliancerisiken. Aufbau und Prüfung eines konzernweiten CMS setzen die umfassende Evaluation der Gesamtrisiken, auch unter Berücksichtigung der Haftungsvermeidungsfunktion von Compliancestrukturen, im Konzern voraus. Konzerncompliance ist aber noch mehr: Sie ist ein Paradebeispiel dafür, dass komplexe juristische Themen optimal nur durch weit über das juristische Feld hinausgehende Teams gelöst werden können – eine Erfahrung, die wohl noch immer nicht im gebotenen Umfang dem anwaltlichen Selbstverständnis entspricht. Umso instruktiver ist es, dass die Grundlage für diesen kursorischen Artikel die Beschäftigung mit dem aktuellen Stand der intensiven und lange noch nicht abgeschlossenen Diskussionen zur strafrechtlichen Geschäftsherrenhaftung war (zuletzt eindrucksvoll hierzu: Klose, Strafrechtliche Geschäftsherrenhaftung im Konzern, 2025). Denn gerade die Vielzahl der in diesem Bereich noch als ungeklärt zu qualifizierenden Fragen macht eine umso differenziertere Risikobewertung mit Blick auf den Gesamtkonzern unabdingbar.
Aus interdisziplinärer Sicht bleibt in Anbetracht der vorstehenden Befunde nur das Motto: „Wir wissen viel, aber alleine nichts!“
