Compliance-Richtlinie

Die Compliance-Richtlinie (Compliance-Richtlinie, Code of Conduct) in Deutschland ist ein verbindliches Regelwerk, das die Verhaltensstandards, ethischen Grundsätze und gesetzlichen Pflichten eines Unternehmens und seiner Mitarbeiter festlegt. Gemäss Art. 43 GmbHG und Art. 93 AktG sind Geschäftsführer und Vorstaende verpflichtet, für ein funktionierendes internes Kontrollsystem zu sorgen, das Compliance-Massnahmen umfasst. Das Landgericht München I hat in einem grundlegenden Urteil aus dem Jahr 2013 (Az. 5 HK O 1387/10) entschieden, dass Geschäftsführer einer GmbH ein Compliance-Management-System einrichten und überwachen müssen.

Die Compliance-Richtlinie in Deutschland entfaltet ihre Wirkung auf mehreren rechtlichen Ebenen. Auf strafrechtlicher Ebene regelt das Strafgesetzbuch (StGB) Delikte wie Korruption nach Art. 299 StGB, Betrug nach Art. 263 StGB und Untreue nach Art. 266 StGB. Auf regulatorischer Ebene sind das Geldwaeschegesetz (GwG), die Datenschutz-Grundverordnung (DSGVO), das Hinweisgeberschutzgesetz (HinSchG) und das Lieferkettensorgfaltspflichtengesetz (LkSG) von zentraler Bedeutung. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) überwacht die Einhaltung bestimmter Compliance-Pflichten.

Der Begriff Compliance stammt aus dem englischen Rechtsumfeld und bedeutet die Einhaltung von Gesetzen, Vorschriften, Standards und freiwilligen Verpflichtungen. In Deutschland hat sich Compliance als eigenständige Managementdisziplin etabliert, seitdem der Deutsche Corporate Governance Kodex (DCGK) für Aktiengesellschaften entsprechende Anforderungen formulierte. Das Deutsche Institut für Compliance (DICO) und der Bundesverband der Compliance-Manager (BVCO) unterstützen Unternehmen bei der Implementierung.

Für GmbH-Unternehmen ergibt sich die Notwendigkeit einer Compliance-Richtlinie primär aus der Sorgfaltspflicht des Geschäftsführers gemäss Art. 43 GmbHG. Bei Verletzung dieser Pflicht haften Geschäftsführer persönlich. Für Aktiengesellschaften (AG) ergibt sich diese Pflicht aus Art. 93 AktG und dem Deutschen Corporate Governance Kodex (DCGK). Börsennotierte Unternehmen müssen zusätzlich die Anforderungen der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) und der Wertpapierhandelsgesetz (WpHG) beachten.

Eine gut ausgearbeitete Compliance-Richtlinie schützt das Unternehmen vor Haftungsrisiken, stellt die Einhaltung gesetzlicher Pflichten sicher und fördert eine ethische Unternehmenskultur. Sie bietet auch den Mitarbeitern Orientierung in rechtlich komplexen Situationen und stärkt das Vertrauen von Investoren, Geschäftspartnern und der Öffentlichkeit in das Unternehmen.

Eine Compliance-Richtlinie wird in Deutschland benötigt, sobald ein Unternehmen eine gewisse Grösse und Komplexität erreicht oder in regulierten Branchen tätig ist. Als Faustregel gilt: ab 50 Mitarbeitern ist eine Compliance-Richtlinie de facto unabdingbar.

Unternehmen, die dem Hinweisgeberschutzgesetz (HinSchG) unterliegen, benötigen eine Compliance-Richtlinie, sobald sie 50 oder mehr Mitarbeiter beschäftigen. Gemäss Art. 12 HinSchG müssen solche Unternehmen interne Meldestellen einrichten und ein Verfahren zur Meldung von Rechtsverstossen bereitstellen. Eine Compliance-Richtlinie ist die natürliche Grundlage für dieses Meldeverfahren.

Unternehmen in regulierten Branchen wie Finanzdienstleistungen, Gesundheitswesen, Pharmaindustrie, Verteidigungsindustrie und im Energiesektor benötigen bereits bei geringerer Mitarbeiterzahl eine umfassende Compliance-Richtlinie. Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) verlangt von Kreditinstituten und Versicherungsgesellschaften gemäss Kreditwesengesetz (KWG) und Versicherungsaufsichtsgesetz (VAG) ein funktionierendes Compliance-Management-System.

Bei Aufnahme von Geschaftsbeziehungen mit öffentlichen Auftragggebern ist eine Compliance-Richtlinie für die Vergabe öffentlicher Aufträge relevant. Das Gesetz gegen Wettbewerbsbeschränkungen (GWB) Art. 123 und 124 sieht den Ausschluss von Bietern vor, die wegen bestimmter Delikte (Korruption, Betrug) verurteilt wurden. Eine nachweisbare Compliance-Richtlinie kann bei Self-Cleaning-Verfahren gemäss Art. 125 GWB helfen.

Für international tätige Unternehmen mit Tochtergesellschaften oder Lieferanten in Hochrisikoländern ist eine Compliance-Richtlinie unverzichtbar, um Haftungsrisiken gemäss dem LkSG und internationalen Antikorruptionsgesetzen (z.B. UK Bribery Act, US Foreign Corrupt Practices Act) zu minimieren. Das BAFA prüft die Einhaltung des LkSG und kann bei Verstössen Bussgeldstrafen bis zu 2 Prozent des Jahresumsatzes verhängen.

Junge Startups und Gründer benötigen eine Compliance-Richtlinie spätestens dann, wenn sie Fremdkapital aufnehmen, da Investoren und Venture-Capital-Gesellschaften bei ihrer Due-Diligence-Prüfung auf das Vorhandensein von Compliance-Strukturen bestehen. Fehlendes Compliance-Management kann zur Ablehnung von Finanzierungsrunden führen.

Der Geltungsbereich der Compliance-Richtlinie muss klar definiert werden. Die Richtlinie gilt für alle Mitarbeiter des Unternehmens unabhängig von ihrer Position, einschliesslich Geschäftsführung, Vorstand und Aufsichtsrat, sowie für Leiharbeiter, Praktikanten und externe Dienstleister, soweit sie für das Unternehmen tätig sind. Eine klare Abgrenzung des Geltungsbereichs vermeidet Missverständnisse und stärkt die rechtliche Verbindlichkeit der Richtlinie gemäss Art. 43 GmbHG und Art. 93 AktG.

Das Antikorruptionskapitel ist ein zentrales Element jeder Compliance-Richtlinie. Gemäss Art. 299 StGB ist die Bestechung und Bestechlichkeit im geschäftlichen Verkehr strafbar. Das Kapitel muss Regeln zu Zuwendungen und Geschenken (typisch: maximal 35 EUR Grenze), Bewirtungen, Einladungen zu Veranstaltungen, Interessenkonflikten und der Offenlegung von Nebentätigkeiten enthalten. Das Thüringer Oberlandesgericht und der Bundesgerichtshof (BGH) haben in mehreren Urteilen die Strafbarkeit auch geringfügiger Vorteilsgewährungen bestätigt.

Die DSGVO-Compliance-Regeln sind obligatorischer Bestandteil jeder deutschen Compliance-Richtlinie. Mitarbeiter müssen über die Pflicht zur sicheren Verarbeitung personenbezogener Daten, das Vertraulichkeitsgebot gemäss Art. 5 DSGVO, die Meldepflicht bei Datenpannen gemäss Art. 33 DSGVO und die Rechte der betroffenen Personen belehrt werden. Verstoeende können zu Bussgeldern bis zu 20 Millionen EUR oder 4 Prozent des weltweiten Jahresumsatzes führen.

Das Meldesystem (Whistleblowing) ist gemäss dem Hinweisgeberschutzgesetz (HinSchG) für Unternehmen ab 50 Mitarbeitern vorgeschrieben. Die Compliance-Richtlinie muss Meldewege, Vertraulichkeitsgarantien, Schutz vor Repressalien und die Bearbeitungsfristen beschreiben. Gemäss Art. 22 HinSchG muss der Eingang einer Meldung innerhalb von sieben Tagen bestätigt werden; eine Rueckmeldung erfolgt innerhalb von drei Monaten.

Auf forms-legal.com finden Sie professionelle Vorlagen für die Compliance-Richtlinie in Deutschland, die alle gesetzlichen Anforderungen nach GmbHG, AktG, DSGVO und HinSchG erfüllen. Zusätzlich empfehlen wir die Antikorruptions-Richtlinie de-antikorruptions-richtlinie und die Datenschutzerklärung de-datenschutzerklärung als ergänzende Dokumente, die gemeinsam ein vollständiges Compliance-Paket bilden.

Das Kartellrecht ist ein weiteres Pflichtkapitel in der Compliance-Richtlinie. Gemäss dem Gesetz gegen Wettbewerbsbeschränkungen (GWB) Art. 1 und Art. 81 AEUV sind wettbewerbsbeschränkende Absprachen mit Konkurrenten verboten. Die Bundeskartellamt kann bei Verstossen Bussgeldstrafen verhängen, die sich nach dem Umsatz des Unternehmens richten. Mitarbeiter müssen über verbotene Preisabsprachen, Marktaufteilungen und den Informationsaustausch mit Wettbewerbern aufgeklaert werden.

Sanktionen und Konsequenzen bei Verstossen gegen die Compliance-Richtlinie müssen klar geregelt sein. Arbeitsrechtlich können Verstoeende zur Abmahnung, Versetzung und im Wiederholungsfall zur Kündigung gemäss Art. 626 BGB und KSchG führen. Die Compliance-Richtlinie muss das Verfahren bei Untersuchungen interner Verdachtsfälle (Internal Investigations) beschreiben und klarmachen, dass Mitarbeiter zur Kooperation verpflichtet sind.

Die Compliance-Richtlinie in Deutschland wird in mehreren Schritten erarbeitet, verabschiedet und implementiert. Im ersten Schritt führen Sie eine Risikoanalyse durch: Welchen Compliance-Risiken ist Ihr Unternehmen ausgesetzt? Betrachten Sie Korruptionsrisiken nach Art. 299 StGB, Datenschutzrisiken gemäss DSGVO, Kartellrechtsrisiken nach GWB und Menschenrechtsrisiken im Lieferkettensorgfaltspflichtengesetz (LkSG).

Im zweiten Schritt tragen Sie die Unternehmensdaten ein: Namen des Unternehmens, Rechtsform (GmbH, AG, UG), Sitz, Handelsregisternummer beim zuständigen Amtsgericht und Verantwortliche für Compliance (Chief Compliance Officer, Datenschutzbeauftragter, Geldwaeschebeauftragter). Bei der GmbH ist gemäss Art. 43 GmbHG der Geschäftsführer persönlich für die Compliance verantwortlich.

Im dritten Schritt legen Sie die inhaltlichen Schwerpunkte der Richtlinie fest, abhängig von Branche und Grösse: Antikorruption, DSGVO, Kartellrecht, Lieferkette, Arbeitsrecht. Ein mittelstaendisches Industrieunternehmen wird andere Schwerpunkte setzen als eine Finanzdienstleistungsgesellschaft, die dem KWG unterliegt.

Im vierten Schritt legen Sie die Meldestelle für das Hinweisgeberschutzsystem nach HinSchG fest. Geben Sie die Kontaktdaten der internen Meldestelle ein (E-Mail, Telefon, postalische Adresse), beschreiben Sie den Meldeweg und garantieren Sie Vertraulichkeit nach Art. 16 HinSchG. Bei Unternehmen unter 249 Mitarbeitern kann eine gemeinsame Meldestelle mit anderen Unternehmen genutzt werden.

Im fünften Schritt bestimmen Sie die Schulungspflichten: Wer muss welche Compliance-Schulungen absolvieren? Die Schulungen zu Antikorruption, DSGVO und Kartellrecht sollten mindestens einmal jährlich stattfinden und dokumentiert werden. Das Deutsche Institut für Compliance (DICO) bietet Schulungszertifikate an.

Im sechsten Schritt verabschieden Sie die Richtlinie durch die Geschäftsführung oder den Vorstand und kommunizieren Sie sie an alle Mitarbeiter. Bei Unternehmen mit Betriebsrat nach Betriebsverfassungsgesetz (BetrVG) ist eine Betriebsvereinbarung über das Compliance-System empfehlenswert. Die Mitarbeiter sollten die Kenntnisnahme der Richtlinie schriftlich bestätigen.

Im siebten Schritt richten Sie ein Monitoringsystem ein: Regelmässige interne Audits, Meldungsberichte aus der Meldestelle und Jahresberichte an die Geschäftsführung sichern die Wirksamkeit der Compliance-Richtlinie. Das Deutsche Institut für Interne Revision (DIIR) bietet Standards für interne Audits.

Die Compliance-Richtlinie steht auf forms-legal.com als PDF-Vorlage zum Download bereit und lässt sich an die Bedürfnisse Ihres Unternehmens anpassen. Die Vorlage erfullt die Anforderungen des GmbHG, AktG, HinSchG und der DSGVO.

Die Compliance-Richtlinie in Deutschland muss eine Reihe von gesetzlichen Mindestanforderungen erfüllen. Gemäss Art. 43 Abs. 1 GmbHG muss der Geschäftsführer die Sorgfalt eines ordentlichen Geschaftsmanns anwenden, was ein funktionierendes Compliance-System einschliesst. Das Landgericht München I hat in einem Urteil aus 2013 klargestellt, dass die Einrichtung und Überwachung eines Compliance-Management-Systems zu den Geschäftsführerpflichten gehört.

Für Aktiengesellschaften verlangt Art. 93 Abs. 1 AktG, dass Vorstandsmitglieder die Sorgfalt eines ordentlichen und gewissenhaften Geschaeftsleiters anwenden. Der Deutsche Corporate Governance Kodex (DCGK) empfiehlt börsennotierten Unternehmen ausdrücklich die Einrichtung eines Compliance-Management-Systems und eines Chief Compliance Officers.

Das Hinweisgeberschutzgesetz (HinSchG), in Kraft seit Juli 2023, verpflichtet Unternehmen mit 50 oder mehr Beschäftigten zur Einrichtung einer internen Meldestelle gemäss Art. 12 HinSchG. Verstoeende gegen die Einrichtungspflicht können mit Bussgeldern bis zu 20.000 EUR geahndet werden. Ab 2025 gilt diese Pflicht auch für Unternehmen mit 50 bis 249 Mitarbeitern.

Das Lieferkettensorgfaltspflichtengesetz (LkSG), in Kraft seit Januar 2023, verpflichtet Unternehmen ab 1.000 Mitarbeitern (ab 2024) zur Einrichtung eines Risikomanagements, das Menschenrechts- und Umweltrisiken in der Lieferkette abdeckt. Zuständige Behörde ist das BAFA (Bundesamt für Wirtschaft und Ausfuhrkontrolle), das Bussgelder bis zu 2 Prozent des Jahresumsatzes verhängen kann.

Die Datenschutz-Grundverordnung (DSGVO) Art. 24 verlangt, dass der Verantwortliche geeignete technische und organisatorische Massnahmen trifft, um die Verarbeitung personenbezogener Daten gesetzeskonform sicherzustellen. Die Compliance-Richtlinie muss Datenschutz-Leitlinien für Mitarbeiter enthalten, um die organisatorischen Massnahmen im Sinne der DSGVO zu erfullen.

Ein häufiger Fehler bei der Compliance-Richtlinie in Deutschland ist die Erstellung einer rein formalen Richtlinie ohne gelebte Unternehmenskultur. Eine Compliance-Richtlinie, die nur auf dem Papier existiert, schützt das Unternehmen nicht vor Haftungsrisiken. Das Landgericht München I hat klargestellt, dass die bloeche Existenz eines Compliance-Dokuments nicht ausreicht; es muss auch wirksam implementiert, gelebt und überwacht werden gemäss Art. 43 GmbHG.

Fehlende oder unzureichende Schulungen der Mitarbeiter sind ein weiterer typischer Fehler. Viele Unternehmen veroffentlichen eine Compliance-Richtlinie, versäumen aber die regelmässige Schulung. Ohne Schulung können Mitarbeiter die Anforderungen nicht kennen und umsetzen. Das Ordnungswidrigkeitengesetz (OWiG) Art. 130 sieht Bussgeldstrafen für Unternehmensinhaber vor, die pflichtwidrig Aufsichtsmassnahmen unterlassen und dadurch Gesetzesverstoeende ermöglicht haben.

Die Vernachlässigung der Whistleblowing-Anforderungen nach dem Hinweisgeberschutzgesetz (HinSchG) ist ein zunehmend kritischer Fehler. Unternehmen ab 50 Mitarbeitern, die keine interne Meldestelle eingerichtet haben, verletzen Art. 12 HinSchG und riskieren Bussgeldstrafen. Ohne funktionierendes Meldesystem werden interne Missstaeude erst durch externe Medienberichte oder Behördenermittlungen bekannt, was den Reputationsschaden erheblich vergroessert.

Unklare oder unvollständige Regelungen zu Interessenkonflikten führen häufig zu Compliance-Verstossen. Mitarbeiter und Führungskräfte, die nicht wissen, wann sie einen Interessenkonflikt melden müssen, handeln möglicherweise unbewusst gegen Art. 299 StGB (Bestechung im geschäftlichen Verkehr). Die Richtlinie muss klare Schwellenwerte und Meldewege für Interessenkonflikte und Geschenke definieren.

Fehlende Aktualisierung der Compliance-Richtlinie ist ein systematischer Fehler. Das deutsche Rechtsumfeld ändert sich ständig: Das HinSchG trat 2023 in Kraft, das LkSG ebenfalls 2023, DSGVO-Bussgeldentscheide der Datenschutzbehörden ändern die Praxis regelmässig. Eine veraltete Compliance-Richtlinie schützt das Unternehmen nicht vor neuen gesetzlichen Anforderungen. Empfehlung: Mindestens jährliche Überprüfung und Aktualisierung durch den Compliance-Beauftragten in Abstimmung mit dem Rechtsanwalt.