Compliance-Krisenmanagement

Die Wirksamkeit von Compliance-Maßnahmen wird oft überschätzt, das Risiko von Compliance-Verstößen unterschätzt. Selbst ausgefeilte Compliance-Management-Systeme (CMS) können schwere Compliance-Verstöße bis hin zu bestandsgefährdenden Compliance-Krisen nicht sicher verhindern. CMS können allenfalls Eintrittswahrscheinlichkeit und Schadenshöhe reduzieren. Unternehmen sollten präventive Compliance-Maßnahmen mit Vorbereitungen auf dennoch eintretende Compliance-Verstöße flankieren. Dieser Beitrag vermittelt einen Überblick über ein umfassendes Compliance-Krisenmanagement.

A. Einleitung

Die allgegenwärtige Diskussion über Compliance, über best practice und Prüfstandards, versperrt häufig den Blick auf die Wirksamkeit und auf Folgeprobleme von Compliance. Compliance-Maßnahmen können nicht jeden Gesetzesverstoß verhindern. Sie müssen es auch nicht. Eine hohe Regelungsdichte kann das Risiko von strafrechtlichen Vorwürfen und Sanktionen erhöhen.1 Zu wenige Regeln können das Haftungsrisiko ebenfalls erhöhen.2 Zu viele Regeln führen dazu, dass Mitarbeiter sie aus Überdruss missachten oder verweigern (compliance fatigue3). Oder sie sehen sich gezwungen, die Regeln zu umgehen, um ihre Aufgaben zu erfüllen.4 Hinzukommt das Präventionsparadox: Kommt es nicht zu Gesetzesverstößen, lässt sich nicht direkt belegen, dass Compliance-Maßnahmen die nicht eingetretenen Gesetzesverstöße verhindert haben.5 Es kann allenfalls über Umwege festgestellt werden, ob Compliance-Maßnahmen wirksam sind.6 Kurz (und polemisch): „There is no glory in prevention.“7

Unternehmen sollten sich darauf vorbereiten, dass Gesetzesverstöße nicht nur ohne, sondern auch trotz oder wegen Compliance-Maßnahmen begangen werden. Dieser Beitrag gibt einen Überblick über das Compliance-Krisenmanagement aus Sicht des Unternehmensverteidigers. Er behandelt die Begriffe Compliance-Krise und Krisenmanagement (siehe 2) sowie die rechtlichen Grundlagen (siehe 3), Krisenmanagement im weiteren Sinn lässt sich unterteilen in Krisenvorsorge, Krisenbewältigung und Krisennachsorge.

Krisenvorsorge besteht aus drei Elementen: Vorbeugen, Vorbereiten und Versichern (siehe 4). Die Bewältigung von Compliance-Krisen umfasst typischerweise Sofortmaßnahmen bei Durchsuchungen. Dazu kommen sonstige Sofortmaßnahmen zu Beginn der Krise sowie alle weiteren Schritte, die darauf zielen, den Compliance-Verstoß aufzuklären, abzustellen und damit verbundene rechtliche Pflichten erfüllen sowie Handlungsmöglichkeiten im Unternehmensinteresse zu ergreifen (siehe 5). Nach der Krisenbewältigung dient die Krisennachsorge dazu, die Reaktion auf die Krise Revue passieren zu lassen und erforderlichenfalls die Krisenvorsorge und künftige -bewältigung zu verbessern (siehe 6). Krisenkommunikation spielt eine wichtige Rolle in allen Phasen des Krisenmanagements und wird in einem eigenen Abschnitt behandelt (siehe 7). Nach Hinweisen zur Dokumentation des Krisenmanagements (siehe 8) schließt eine Zusammenfassung den Beitrag ab (siehe 9).

B. Compliance-Krise und Krisenmanagement

I. Krisen, Notfälle und Vorfälle

Krisen sind Risiken, die sich verwirklicht haben oder unmittelbar drohen, sich zu verwirklichen.⁸ Krisen sind „alle internen oder externen Ereignisse oder Umstände […], durch die ein akutes und erhebliches, bisweilen bestandsgefährdendes Risiko für die Reputation oder die wesentlichen Vermögenswerte des Unternehmens oder dessen reguläre Geschäftstätigkeit oder Ertragspotential droht“.⁹

Sie werden von Vorfällen und Notfällen abgegrenzt. Diese Ereignisse unterscheiden sich in Art, Schwere und Auswirkungen.¹⁰ Vorfälle sind Abweichungen vom Regelbetrieb, die im Rahmen der regulären Organisation behandelt werden;¹¹ Notfälle sind Ereignisse, die das Notfallmanagement im Rahmen des Notfallmanagements mittels vorgeplanter Maßnahmen (Notfallpläne) behandelt.¹²

Falls ein Unternehmen Organisationsstrukturen für Vorfall-, Notfall- und Krisenmanagement vorhält, wird vorgeschlagen, dass der Krisenstab die strategische Führung, der Notfallstab die taktische Steuerung und die Vorfallbehandlungsteams die operative Umsetzung übernehmen.¹³

Compliance-Verstöße können Vorfälle, Notfälle oder Krisen sein. Die im Abschnitt Krisenbewältigung (siehe 5) beschriebenen Prozesse und Werkzeuge sind bei diesen Ereignissen in unterschiedlichem Ausmaß anwendbar.

Referenz in diesem Beitrag sind Compliance-Verstöße, deren Schwere und Auswirkungen die Existenz eines Unternehmens gefährden können. Oder sie haben das Potenzial, Vermögenswerte, Ertragspotential oder Geschäftstätigkeit des betroffenen Unternehmens erheblich zu beeinträchtigen.

II. Kategorien von Krisen

Krisen lassen sich in verschiedene Kategorien einteilen.¹⁴

• Operative Krisen: Geschäftsunterbrechungen durch Cyberangriffe, Naturkatastrophen, Boykottaufrufe oder Arbeitsunfälle.
• Finanzielle Krisen: Zahlungsunfähigkeit oder Überschuldung.
• Personalkrisen: Wegfall oder Rufschädigung von Geschäftsführern.
• Rechtliche Krisen:¹⁵ Schwerwiegende Compliance-Verstöße wie Korruption, Betrug, Steuerhinterziehung, Menschenrechtsverletzungen, Datenschutzverstöße oder Kartellabsprachen. ¹⁶ Diese können hohe Geldbußen, Gewerbeuntersagungen (§ 35 GewO) oder sogar die Insolvenz oder die Auflösung der Gesellschaft (§ 62 GmbHG, § 396 AktG) zur Folge haben. Teil der rechtlichen Risiken sind die mit Compliance-Verstößen zusammenhängenden verwaltungs-, straf- oder zivilrechtlichen Verfahren.¹⁷

III. Krisenmerkmale

Typische Merkmale von Krisen sind erhebliche finanzielle und Reputationsschäden. Hinzu kommen Verunsicherung der Mitarbeiter, unvollständige und widersprüchliche Informationen, Zeitdruck und Kontrollverlust. Behörden und Medien üben oft zusätzlichen Druck aus. ¹⁸

IV. Krisenmanagement

Krisenmanagement im Sinne dieses Beitrags ist die Aufgabe der „Unternehmensleitung, systematisch Krisenfaktoren zu erkennen und auf Grundlage des Risikoappetits des Unternehmens zu vermeiden oder zu bewältigen.¹⁹ Krisenmanagement umfasst alle Maßnahmen zur Vermeidung von, Vorbereitung auf, Erkennung und Bewältigung sowie Nachbereitung von Krisen (Krisenmanagement im weiteren Sinn).²⁰ Teilweise wird unter Krisenmanagement allein die Krisenbewältigung verstanden (Krisenmanagement im engeren Sinn).²¹

Die Vorbereitung auf Krisen ergänzt präventive Compliance-Maßnahmen sinnvoll. Geschäftsleiter überschätzen nicht nur häufig die Wirksamkeit von Compliance-Maßnahmen²². Sie unterschätzen auch die Wahrscheinlichkeit von Compliance-Verstößen²³. Das Risiko von Compliance-Verstößen nimmt nicht nur zu, weil der Gesetzgeber Unternehmen eine stetig wachsende Zahl sanktionsbewehrter Sorgfalts- und Berichtspflichten auferlegt.²⁴ Compliance-Verstöße können auch Folge zu vieler unternehmensinterner Compliance-Vorgaben sein.²⁵

Compliance-Krisen bei Unternehmen ohne angemessenes Krisenmanagement führen häufiger zu Umsatzeinbußen, Reputationsschäden und Verlust von Mitarbeitern als bei Unternehmen mit einer eingerichteten Krisenmanagementfunktion.²⁶ Fehler beim Krisenmanagement umfassen unzureichende Kommunikation, fehlende Vorbereitung (Risikoanalyse, Notfallpläne), unklare Verantwortlichkeiten, ungenügend koordinierte und verspätete Reaktionen.²⁷

C. Gesetzliche Pflicht zum Krisenmanagement und Verantwortung der Unternehmensleitung

I. Pflicht zum Krisenmanagement

Der Vorstand einer Aktiengesellschaft ist nach § 91 Abs. 2 AktG verpflichtet, ein Überwachungssystem einzurichten, um bestandsgefährdende Risiken frühzeitig zu erkennen. Er muss für ein angemessenes Risikomanagement sorgen.²⁸ Risikomanagement ist Teil der allgemeinen Leitungsaufgabe nach § 76 AktG.²⁹ Die Ausgestaltung des Risikomanagements liegt im Ermessen des Vorstands.³⁰ Auch nicht existenzgefährdende Risiken müssen im Rahmen der allgemeinen Sorgfaltspflicht (§ 93 AktG) berücksichtigt werden.³¹

Krisenmanagement ist ein Teil des Risikomanagements.³² Die Rechtspflicht zur Einrichtung eines Krisenmanagements i. S. v. Krisenvermeidung, -vorbereitung und -erkennung ergibt sich somit aus § 91 Abs. 2 AktG.³³ Krisenmanagement i. S. v. Krisenbewältigung fällt unter § 93 AktG.³⁴

Für GmbHs gibt es keine mit § 91 Abs. 2 AktG vergleichbare Vorschrift. Der Gesetzgeber geht dennoch davon aus, dass „für Gesellschaften mit beschränkter Haftung je nach ihrer Größe, Komplexität ihrer Struktur usw. nichts anderes gilt und die Neuregelung Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführer auch anderer Gesellschaftsformen hat“.³⁵ Dem Geschäftsführer einer GmbH obliegt jedenfalls ein Mindestmaß an Beobachtungspflichten zur Risikofrüherkennung.³⁶ Art und Weise des Risikomanagements liegt im pflichtgemäßen Ermessen der Geschäftsführung. Ermessenskriterien sind vor allem Größe, Komplexität, Struktur und Internationalität der Gesellschaft.³⁷ Krisenbewältigung ist Teil der Geschäftsführerpflichten nach § 43 Abs. 1 GmbHG. Die Handlungspflichten des GmbH-Geschäftsführers umfassen Krisenfrüherkennung und Krisenprophylaxe sowie Krisenbewältigung.³⁸

II. Gesamtverantwortung und Ressortzuständigkeit

Für das Krisenmanagement ist (wie für das Risikomanagement³⁹) die gesamte Unternehmensleitung zuständig.⁴⁰ Einzelne Maßnahmen können der Ressortzuständigkeit eines Mitglieds der Unternehmensleitung zugewiesen werden. Bei den anderen Mitgliedern verbleibt die Überwachungspflicht.⁴¹ Droht eine Krise oder ist sie eingetreten, intensiviert sich die Überwachungspflicht. Die gesamte Unternehmensleitung wird für die Krisenbewältigung zuständig, wenn das ressortzuständige Mitglied der Unternehmensleitung einen Interessenkonflikt hat, die Existenz des Unternehmens gefährdet ist oder erhebliche Gefahren für die Allgemeinheit oder hochrangige Individualrechtsgüter bestehen.⁴²

D. Krisenvorsorge

Krisenvorsorge ist ein wesentliches Element des Krisenmanagements.⁴³ Krisenvorsorge besteht aus drei Elementen: Vorbeugen, Vorbereiten und Versichern.

I. Risikostrategie und Krisenmanagement

Entscheidungen über den Umgang mit Risiken setzen eine Risikoanalyse voraus. Für die identifizierten Risiken wird eine Risikostrategie bestimmt. Risiken, die sich trotz allem verwirklichen, erfordern weitere Maßnahmen.

1. Compliance-Risikoanalyse

Mit Compliance-Risikoanalysen werden Ursachen möglicher Compliance-Vorfälle (Compliance-Risiken)⁴⁴ identifiziert und ihre Folgen bei Verwirklichung bewertet.⁴⁵ Compliance-Risiken können sich aus allen rechtlichen Vorgaben für ein Unternehmen ergeben.⁴⁶ Sie ergeben sich beispielsweise aus der Branche, dem Geschäftsmodell, der Größe und Internationalität des Unternehmens, der Produktvielfalt oder auch der Mitarbeiterfluktuation.⁴⁷ Risiken werden nach ihrer Eintrittswahrscheinlichkeit (sehr unwahrscheinlich bis sehr wahrscheinlich) und Schadenhöhe (sehr niedrig bis sehr hoch) ⁴⁸ in eine Risikomatrix eingetragen, um daraus Handlungsbedarf abzuleiten⁴⁹.

Dieser Ansatz birgt Risiken. Unternehmensspezifische Ursachen für Fehlverhalten können übersehen werden. Entscheidungen können auf mathematische Scheingewissheiten gestützt werden (Auf welcher Datengrundlage werden Eintrittswahrscheinlichkeit und Schadenhöhe bestimmt?). Ereignisse mit existenzgefährdender Schadenhöhe und geringer Eintrittswahrscheinlichkeit können unsachgemäß behandelt werden.⁵⁰ Der Ansatz, die Eintrittswahrscheinlichkeit von Compliance-Verstößen und deren Schadenhöhe zu schätzen, erscheint auch ungeeignet, weil Risiken Situationen beschreiben, die berechenbar und stabil sind, in denen also alle Wahrscheinlichkeiten und Folgen bekannt sind.⁵¹ Ereignisse, die unberechenbar und dynamisch sind, werden besser als ungewiss bezeichnet.⁵² Ungewissheit kann besser mit einfachen Regeln und Erfahrungssätzen begegnet werden.⁵³

Ein besserer Ansatz ist die Analyse von Unternehmensstrukturen, die Fehlverhalten begünstigen.⁵⁴ Unternehmen sollten zudem prüfen, welche Interessen und Rechtsgüter von Stakeholdern gefährdet sind und in welchen Bereichen Gesetzesverstöße die Arbeit erleichtern oder zur Routine geworden sind⁵⁵.

2. Risikostrategie

Ziel der Risikoanalyse ist, eine Entscheidung über die Risikostrategie zu ermöglichen. Die Risikostrategie bestimmt über den Umgang mit identifizierten Risiken.⁵⁶ Üblicherweise wird zwischen vier Strategien unterschieden: Risikovermeidung, Risikoreduzierung, Risikoüberwälzung und Risikoakzeptanz.⁵⁷

• Risikovermeidung bedeutet, dass auf „die risikobehaftete Aktivität“ ganz verzichtet wird.⁵⁸ Risikovermeidung kommt als allgemeine Geschäftsstrategie nicht in Betracht, da gleichzeitig Gewinnmöglichkeiten ausgeschlossen werden⁵⁹ und es nicht möglich ist, Regelverstöße vollständig auszuschließen. Vielmehr lassen sich allenfalls Einzelrisiken ausschließen, indem etwa auf Produkte, Technologie, Kunden oder Märkte verzichtet wird.⁶⁰
• Risikoreduzierung ist regelmäßig das Mittel der Wahl und bedeutet, die Eintrittswahrscheinlichkeit oder das Schadenausmaß zu begrenzen.⁶¹ Hierunter fallen die präventive Compliancemaßnahmen.
• Risikoüberwälzung bedeutet Verlagern des Risikos auf Dritte wie Vertragspartner, Subunternehmer oder Versicherungsunternehmen.⁶² Compliancerisiken lassen sich nur begrenzt auf Dritte verlagern. Versichern lassen sich teilweise mit Compliancerisiken verbundene Kosten.⁶³
• Risikoakzeptanz heißt, dass Risiken in Kauf genommen werden.⁶⁴ Akzeptieren können Geschäftsleiter Compliance-Risiken allenfalls dann, wenn es sich um Risiken mit geringer Eintrittswahrscheinlichkeit und geringem Schadensausmaß handelt.⁶⁵ Zwar sind Geschäftsleiter verpflichtet, organisatorisch zu gewährleisten, dass Mitarbeiter keine Compliance-Verstöße begehen (Legalitätskontrollpflicht), jedoch müssen solche Maßnahmen erforderlich und zumutbar sein.⁶⁶ Die Legalitätskontrollpflicht erfordert nicht, dass Geschäftsleiter jeden möglichen Compliance-Verstoß durch organisatorische Maßnahmen verhindern.

Compliance-Krisenmanagement ist die notwendige Ergänzung einer auf einer Compliance-Risikoanalyse aufbauenden Risikostrategie. Zum einen lassen sich auch mit der ausgefeiltesten Compliance-Risikoanalyse kaum alle Compliance-Risiken identifizieren. Neben Risiken, von denen wir wissen, dass wir sie kennen (known knowns) und Risiken, von denen wir wissen, dass wir sie nicht ausreichend kennen (known unknowns), gibt es auch Risiken, von denen wir nicht wissen, dass wir sie kennen (unknown knowns) und Risiken, von denen wir nicht wissen, dass wir sie nicht kennen (unknown unknowns).⁶⁷ Zum anderen lässt jede Risikostrategie Raum für Risiken, die sich verwirklichen. Compliance-Krisenmanagement fokussiert sich auf Risiken, die sich verwirklichen. Es erfasst Risiken, die von vornherein nicht erkannt werden, die akzeptiert werden, weil sie für unwahrscheinlich gehalten werden oder ihr Schadenpotential unterschätzt wird. Es trägt dem Umstand Rechnung, dass Risikoreduzierung Raum für Restrisiken lässt, Risiken nicht vollständig vermieden werden können und nicht auf Dritte abgewälzt werden können.

II. Vorbeugen

Vorbeugende oder präventive Compliance-Maßnahmen⁶⁸ sind darauf gerichtet, Compliance-Verstöße zu verhindern oder jedenfalls das Risiko zu reduzieren, dass sie eintreten. Um präventive Compliance-Maßnahmen geht es in diesem Beitrag nicht.

III. Vorbereiten

Vorbereitung meint Maßnahmen, die vor einer Krise für den Fall einer Krise ergriffen werden. Ausgangspunkt ist zum einen das Ergebnis der Risikoanalyse (siehe 4.1). Zum anderen können für die Vorbereitung Methoden der strategischen Vorausschau genutzt werden (siehe ).

Ein Krisenfrüherkennungssystem (siehe  4.3 (b)) erlaubt dem Krisenstab (siehe 4.3 (c)) auf die Krise zu reagieren. Allgemeine und szenariospezifische Krisenreaktionspläne (siehe 4.3 (e)) ermöglichen angemessene Maßnahmen zur Krisenbewältigung. In einem Krisenhandbuch (siehe 4.3 (g)) wird die Krisenmanagementorganisation geregelt. Checklisten können dabei helfen, den Status Quo und Verbesserungsbedarf eines Krisenmanagementsystems zu überprüfen.⁶⁹

Known knowns und known unknowns erlauben die Vorbereitung maßgeschneiderter Krisenreaktionspläne für den Fall, dass sich das Risiko verwirklicht. Auf unknown knowns und unknown unknowns können sich Unternehmen mit Hilfe eines allgemein gehaltenen, deliktsunspezifischen Krisenreaktionsplans vorbereiten, der typischerweise zu ergreifende Bewältigungsmaßnahmen enthält.

1. Strategische Vorausschau

Zur Vorbereitung auf Krisen lässt sich die Methode der strategischen Vorausschau (strategic foresight) nutzen. Sie erlaubt, Krisenreaktionspläne für verschiedene Arten von Krisen auszuarbeiten. Die Reaktionen etwa auf Cyberangriffe, Kartell- oder Datenschutzverstöße, Steuerdelikte oder illegale Beschäftigung, Arbeitsunfälle oder Embargoverstöße unterscheiden sich in ihren gesetzlichen Anforderungen, den Erwartungen der Behörden und Verteidigungsmöglichkeiten.

Strategische Vorausschau ist eine Methode zur Entwicklung verschiedener möglicher Zukünfte und deren Auswirkungen als Grundlage für Entscheidungen.⁷⁰ Vorausschau ist keine Vorhersage (forecasting), die auf der Grundlage vergangener und aktueller Daten sowie Trendanalysen eine einzige wahrscheinliche Version der Zukunft vorhersagen soll.⁷¹

Strategische Vorausschau nutzt verschiedene Instrumente, um mögliche Zukünfte zu beschreiben. Dazu zählen Horizontbeobachtung (horizon scanning), strukturelle Analyse (structural analysis), Zukünftedreieck (futures triangle), das Zukünfterad (futures wheel), Szenarienentwicklung (scenario building) und Rückschau (backcasting). ⁷² Für die Vorbereitung von Krisenszenarien und Krisenreaktionsplänen (wie auch für die Entwicklung von Unternehmensstrategien⁷³) bieten sich vor allem folgende Instrumente an:

• Horizontbeobachtung⁷⁴ ist eine systematische Herangehensweise, um Frühindikatoren potenziell signifikanter Entwicklungen zu entdecken. Dazu zählen neue Einflussfaktoren, Änderungen bestehender Einflussfaktoren, schwache Signale, die neue Einflussfaktoren oder die Änderung bestehender Einflussfaktoren ankündigen können.
• Strukturelle Analyse⁷⁵ ist ein Instrument zur Untersuchung der Abhängigkeitsbeziehungen zwischen Einflussfaktoren sowie zur Unterscheidung zwischen Trends und Unsicherheiten.
• Szenarienentwicklung⁷⁶ dient der Visualisierung von möglichen Zukünften, indem Einflussfaktoren und Unsicherheiten identifiziert und bewertet werden, um auf dieser Grundlage verschiedene Szenarien zu entwickeln.

Mittels Horizontbeobachtung werden unternehmensexterne Entwicklungen identifiziert, die zu neuen oder höheren Sanktionen (z. B. die Umsetzung der EU-Antikorruptions-Richtlinie und der Umweltstrafrechtrichtlinie), zu einer Zunahme der Strafverfolgung wegen bestimmter Delikte (Steuerhinterziehung im Zusammenhang mit Cum/Cum-Gestaltungen, Ankauf von Steuerdaten, Entdeckung von Kartellrechtsverstößen infolge von Sektoruntersuchungen des Bundeskartellamts) oder wegen der Einrichtung neuer oder Stärkung bestehender Behörden (Gründung des Landesamts zur Bekämpfung der Finanzkriminalität NRW, Stärkung der Zollverwaltung) führen können. Unternehmensinterne Indikatoren für potenzielle Compliancekrisen sind beispielsweise Hinweisgebermeldungen oder Feststellungen bei Außenprüfungen, Veränderungen des Geschäftsmodells oder die Expansion ins Ausland. Die Ergebnisse werden mit Hilfe der Strukturanalyse bewertet, um sodann Krisenszenarien zu bilden und daraus Krisenreaktionspläne abzuleiten.

Folgende Fragen können dabei unterstützen, wesentliche Compliance-Risiken zu identifizieren: Welche Delikte der Unternehmenskriminalität und welche Ordnungswidrigkeiten sind typisch für die Branche und inwieweit trifft das Branchenrisiko auf risikoerhöhende Umstände im Unternehmen? Welche Unternehmenspflichten sind mit besonders hohen Geldbußen bewehrt? Welche Unternehmenspflichten sind besonders häufig Gegenstand behördlicher Prüfungen? Waren das Unternehmen oder dessen Führungskräfte oder Mitarbeiter in den letzten fünf Jahren Ziel staatsanwaltschaftlicher oder behördlicher Ermittlungen? Wurden in den letzten fünf Jahren durch interne oder externe Überprüfungen oder Hinweisgeber Hinweise auf Rechtsverstöße von Führungskräften oder Mitarbeiter des Unternehmens oder von Geschäftspartnern aufgedeckt?

2. Krisenfrüherkennung

Eine Krise (frühzeitig) zu erkennen, ist Voraussetzung, um auf sie reagieren zu können. § 91 Abs. 2 AktG verpflichtet Vorstände, Krisenfrühwarnsysteme aufzubauen und zu nutzen.⁷⁷ Auf Grundlage der Risikoanalyse können Frühwarnindikatoren bestimmt werden.⁷⁸ Hinweise auf Compliance-Krisen können sich aus internen und externen Informationsquellen ergeben.⁷⁹ Zu den internen Informationsquellen zählen Revisionsberichte, Beschwerden von Mitarbeitern, Auffälligkeiten im Betriebsablauf⁸⁰ sowie die Ergebnisse interner Überwachungs- und Kontrollmaßnahmen⁸¹. Externe Hinweise umfassen behördliche Durchsuchungen, die Einleitung von Ermittlungsverfahren, Fragen von Journalisten, Beschwerden von Kunden, Berichte in sozialen Medien u. ä.⁸²

Ein Krisenwarnsystem erfordert, diese Hinweise zu verarbeiten und an die zuständige Stelle weiterzuleiten, damit Maßnahmen ergriffen werden können.⁸³ Voraussetzung ist, dass Mitarbeiter für Anzeichen auf Compliance-Krisen sensibilisiert werden.⁸⁴

3. Krisenstab

Krisenmanagement erfordert eine eigene Aufbau- und Ablauforganisation.⁸⁵ Zentrales Element ist der Krisenstab. Der Krisenstab wird von der Unternehmensleitung geführt und setzt sich zusammen aus internen (z. B. Rechtsabteilungsleiter, Chief Compliance Officer, Leiter Unternehmenskommunikation, Leiter Rechnungswesen, Leiter Revision, Abteilungsleiter der betroffenen Abteilungen⁸⁶) und externen Experten (Rechtsanwälte, Wirtschaftsprüfer, IT-Dienstleister, Kommunikationsberater).

Der Krisenstab hat die Aufgabe, die Lage zu beurteilen, eine Krise festzustellen und auszurufen, die interne und externe Krisenkommunikation zu steuern, Ziele und Strategie des Krisenmanagements festzulegen, Handlungsoptionen des Unternehmens zu identifizieren und Risiken und Nutzen abzuwägen, Maßnahmen festzulegen und ihre Umsetzung anzuweisen, die Wirksamkeit der Maßnahmen in regelmäßigen Lagebeurteilungen zu bewerten und das Ende der Krise festzustellen.⁸⁷

4. Ziele, Strategie und operative Umsetzung des Krisenmanagements

Teil der Krisenvorbereitung sind Vorgaben zu Zielen, Strategie und zur operativen Umsetzung des Krisenmanagements.

Die Ziele des Krisenmanagements definieren, was mit dem Krisenmanagement erreicht werden soll. Sie beschreiben den Endzustand oder Erfolgskriterien. Das Management von Compliancekrisen zielt typischerweise darauf, Compliance-Verstöße abzustellen, Ursache, Verantwortliche und Schäden zu ermitteln, Sanktionen zu vermeiden oder zu minimieren, Registereinträgen zu vermeiden, finanzielle Schäden zu begrenzen, Reputationsschäden zu minimieren und die Reputation wieder herzustellen.

Die Krisenmanagementstrategie definiert grundlegend die Vorgehensweise zur Bewältigung der Krise, um die Ziele zu erreichen. Sie umfasst die Entscheidung über Ressourcen und die Festlegung von Prioritäten. Die Strategie wird zu Beginn der Krise festgelegt und sodann regelmäßig überprüft und bei Bedarf angepasst.⁸⁸

Diese Ziele können beispielsweise erreicht werden, indem eine interne Untersuchung zur Klärung von Ursache, Verantwortlichen und Schaden eingeleitet wird, mit Behörden bei Ermittlungsverfahren kooperiert wird, Schadenersatzansprüche gegen Verantwortliche verfolgt werden, Schadenersatzansprüche Dritter abgewehrt und die Krisenkommunikation transparent gestaltet wird.

Die Entscheidungen über die Strategie und die Maßnahmen zu ihrer operativen Umsetzung werden in fünf Schritten gefunden:⁸⁹ Erstens wird ein Lagebild erstellt (Was wann wie ist passiert? Wer ist betroffen? Welche Auswirkungen [finanziell, rechtlich, operativ] hat das Ereignis? Welche Informationen sind sicher, welche unsicher?). Zweitens werden Lösungsoptionen erarbeitet und bewertet (Welche Lösungsoptionen gibt es? Welche Risiken und welchen Nutzen haben die Optionen? Sind die Optionen umsetzbar?). Drittens wird eine Entscheidung über die Lösungsoption getroffen. Viertens wird die Entscheidung umgesetzt und fünftens die Umsetzung kontrolliert (Wird die entschiedene Maßnahme umgesetzt? Ist die Maßnahme wirksam?).

5. Krisenreaktionspläne

Unternehmen sollten einen allgemeinen Krisenreaktionsplan⁹⁰ vorbereiten, der für alle Krisen eingesetzt werden kann. Außerdem sollten sie spezifische Krisenreaktionspläne für bestimmte Krisenszenarien entwickeln⁹¹. Anwendungsfelder für spezifische Krisen sind etwa Kartellverstöße, Produktrückrufe, Umweltdelikte, Cyberangriffe, Besuche der Finanzkontrolle Schwarzarbeit (FKS), Betriebsprüfungen des Finanzamts oder Durchsuchungen der Staatsanwaltschaft.

Krisenreaktionspläne sollten nicht zu detailliert sein,⁹² sondern kurzgehalten werden. In Form von Checklisten und Ablaufdiagrammen legen sie Erst- und Folgemaßnahmen fest. Sie regeln Vorgehensweisen bei der Lagebearbeitung und Maßnahmen zur Bewältigung der Krise.⁹³ Verbreitet sind Leitfäden zum Verhalten bei Durchsuchungen.

Im Hinblick auf Versicherungen sollte der Krisenplan Informationen zu für den Krisenfall relevanten Versicherungsverträgen mit Ansprechpartnern bei Versicherern oder Versicherungsmaklern, Deckungssummen und wesentlichen Vertragskonditionen und Obliegenheiten enthalten.⁹⁴

6. Übungen

Die Umsetzung der Krisenreaktionspläne sollte geübt werden. Übungen überprüfen Funktionsfähigkeit und Praktikabilität der Pläne, trainieren die Koordination und Kommunikation⁹⁵, identifizieren Schwachstellen und ermöglichen, Krisenpläne weiterzuentwickeln.⁹⁶

7. Krisenhandbuch

Ein Krisenhandbuch kann neben den oben genannten auch folgende Themen regeln:⁹⁷ übergeordnete Ziele des Krisenmanagements, Voraussetzungen für das Aktivieren des Krisenmanagements, Konzept für die Krisenkommunikation, Maßnahmen zur Überprüfung der Umsetzung von Krisenbewältigungsmaßnahmen, Maßnahmen zur Krisenaufarbeitung und Vertrauenswiederherstellung, Schulungen und Übungen,⁹⁸ kontinuierliche Weiterentwicklung und Verantwortliche für die Umsetzung des Krisenmanagements.

IV. Versichern

Neben Vorbeugen und Vorbereiten gehört Versicherungsschutz zu den wesentlichen Vorsorgemaßnahmen.⁹⁹ Im Wesentlichen zu nennen sind hier D&O- und Spezial-Strafrechtsschutz-, Compliance- und Vertrauensschadenversicherungen.¹⁰⁰ Im Einzelfall kann auch eine Betriebshaftpflichtversicherung eingreifen.

1. D&O-Versicherung

Die D&O-Versicherung ist eine Vermögensschadenhaftpflichtversicherung. Sie gewährt Versicherungsschutz, wenn Organe (versicherte Personen) eines Unternehmens (Versicherungsnehmer) wegen einer Pflichtverletzung in Ausübung ihrer Tätigkeit aufgrund gesetzlicher Haftpflichtbestimmungen für einen Vermögensschaden in Anspruch genommen werden.¹⁰¹ Der Versicherer kann auch die Kosten der Strafverteidigung tragen, wenn ein Straf- oder Ordnungswidrigkeitenverfahren wegen einer Pflichtverletzung eingeleitet wird, das einen D&O-Versicherungsfall zur Folge haben kann.¹⁰²

Nach den Musterbedingungen des Gesamtverbandes der Versicherer (GdV) ist die Deckung im Fall von Vorsatz und wissentlichen Pflichtverletzungen ausgeschlossen.¹⁰³ Auch Geldbußen sind nach den Musterbedingungen des GdV nicht vom Versicherungsschutz umfasst.¹⁰⁴ In der Praxis schränken Versicherer die Ausschlüsse ein.¹⁰⁵

2. Rechtsschutzversicherung

Spezial-Strafrechtsschutzversicherungen, die Unternehmen als Versicherungsnehmer abschließen, tragen im Falle von Straf- und Ordnungswidrigkeitenverfahren Verteidigungskosten von Organen und Arbeitnehmern. Regelmäßig tragen sie auch die Kosten des Unternehmens selbst.¹⁰⁶ Auch die Kosten für Zeugenbeistände und Firmenstellungnahmen können übernommen werden.¹⁰⁷

Im Falle einer rechtskräftigen Verurteilung wegen einer vorsätzlich begangenen Tat entfällt der Versicherungsschutz rückwirkend.¹⁰⁸ Das Unternehmen kann der Gewährung von Versicherungsschutz typischerweise widersprechen.¹⁰⁹ Daneben können Rechtsschutzversicherungen die Kostenübernahme für weitere Rechtsstreitigkeiten etwa mit Arbeitnehmern oder wegen Datenschutzverstößen erfassen.¹¹⁰

3. Compliance-Versicherung

Compliance-Versicherungen decken die Kosten für interne Untersuchungen, die entstehen, wenn der Verdacht auf einen Rechtsverstoß aufgeklärt wird. Zu den übernommenen Kosten zählt die Vergütung für Rechtsanwälte, Steuerberater, Wirtschaftsprüfer und IT-Forensiker.¹¹¹ Das Auslösen des Versicherungsfalls kann die Strafrechtsschutzversicherung gefährden.¹¹²

4. Vertrauensschadenversicherung

Vertrauensschadenversicherungen schützen versicherte Unternehmen vor den Folgen von Schäden durch Wirtschaftskriminalität¹¹³ in Form von Vermögensdelikten, die von Mitarbeitern oder Dritten zum Nachteil des Unternehmens verursacht worden sind.¹¹⁴ Sie decken auch vorsätzliche Pflichtverletzungen ab. Damit schließen sie die Lücke im Versicherungsschutz der D&O-Versicherung, die in der Regel keinen Deckungsschutz bei Vorsatz gewährt.¹¹⁵

5. Betriebshaftpflichtversicherung

Mit Betriebshaftpflichtversicherungen können Unternehmen und ihre Mitarbeiter Ansprüche Dritter vor allem aufgrund von Sach- oder Personenschäden abwehren.¹¹⁶

E. Krisenbewältigung

Schlägt ein Risiko in eine konkrete Bedrohung oder einen Schaden um, geht es nicht mehr um Risikomanagement. Dann geht es um Krisenmanagement im engeren Sinn, also um Krisenbewältigung.¹¹⁷ In einer Compliance-Krise muss die Unternehmensleitung unter hohem Zeitdruck schnell Entscheidungen treffen. Sie arbeitet auf der Grundlage unvollständiger und unsicherer Informationen. Nicht selten herrscht eine emotionsbestimmte Situation. Die Unternehmensleitung muss die Krisenfolgen eindämmen und die Krise schließlich beenden.¹¹⁸

Die Unternehmensleitung hat – soweit es nicht um die Erfüllung gesetzlicher Pflichten geht – ein weites unternehmerisches Ermessen, wenn sie über Maßnahmen der Krisenbewältigung entscheidet. Sie muss auf Durchsuchungen reagieren und Entscheidungen über Sofortmaßnahmen zur Schadenseindämmung, Beweissicherung und zum Abstellen des Fehlverhaltens treffen. Sie entscheidet über die Erstattung einer Strafanzeige, Kooperation mit Strafverfolgungsbehörden, die Geltendmachung von Schadenersatzansprüchen, Maßnahmen der Schadenwiedergutmachung, die Übernahme von Verteidigerkosten und Sanktionen, die Zusage von Amnestien, Maßnahmen zum Schutz der Reputation und deren Wiederherstellung und über arbeitsrechtliche Maßnahmen gegen Verantwortliche.

I. Ermessensentscheidungen in Krisensituationen und Sofortmaßnahmen

1. Ermessensentscheidungen in Krisensituationen

Entscheidungen in Krisensituationen sind unternehmerische Ermessensentscheidungen, soweit es sich nicht um Legalitätspflichten wie die Erfüllung gesetzlicher Mitteilungs- oder Offenbarungspflichten handelt. Entscheidungen unter hohem Zeitdruck aufgrund unvollständiger und widersprüchlicher Informationen sind zulässig. Sie dürfen auch (jedoch nicht ausschließlich) auf Erfahrung und Gespür für künftige Entwicklungen gestützt werden.

Unternehmensleiter müssen strategische Entscheidungen treffen.¹¹⁹ Diese betreffen die Verteidigung gegen strafrechtliche Vorwürfe, zivilrechtliche Ansprüche und rufschädigende Angriffe sowie die Schadenwiedergutmachung.

Vorstandsmitglieder einer Aktiengesellschaft haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden (§ 93 Abs. 1 S. 1 AktG). Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln (§ 93 Abs. 1 S. 2 AktG). Das Handeln muss dabei unbeeinflusst von Interessenkonflikten, Fremdeinflüssen und ohne unmittelbaren Eigennutz sein.¹²⁰

Das Handeln auf Grundlage angemessener Information setzt voraus, dass grundsätzlich in der konkreten Entscheidungssituation alle verfügbaren Informationsquellen tatsächlicher oder rechtlicher Art ausgeschöpft werden. Auf dieser Grundlage werden die Vor- und Nachteile der bestehenden Handlungsoptionen sorgfältig abgeschätzt. Den erkennbaren Risiken ist Rechnung zu tragen.¹²¹

Der Umfang der Informationspflicht hängt von der konkreten Entscheidungssituation ab. Dementsprechend ist es notwendig, aber auch ausreichend, dass sich der Vorstand eine angemessene Tatsachenbasis verschafft. Dabei berücksichtigt er den Faktor Zeit und wägt Kosten und Nutzen weiterer Informationsgewinnung ab. Dem Vorstand steht danach ein dem konkreten Einzelfall angepasster Spielraum zu. Er kann den Informationsbedarf zur Vorbereitung seiner unternehmerischen Entscheidung selbst abwägen.¹²² Entscheidungen können auf Prognosen gestützt werden.

Die Anforderungen an unternehmerische Ermessensentscheidungen schließen nicht aus, eine Entscheidung auf Instinkt, Erfahrung, Phantasie und Gespür für künftige Entwicklungen zu stützen. Voraussetzung ist, dass objektive Informationen nicht vollständig ersetzt werden.¹²³

Folgende Abwägungskriterien sind typischerweise relevant: die Kosten und operativen Folgen oder Risiken der Handlungsoptionen, die Auswirkungen der Handlungsoptionen auf das Geschäftsmodell, die Geschäftsabläufe, auf die Verhängung oder den Umfang behördlicher Sanktionen, mögliche Schadenersatzansprüche Dritter sowie Auswirkungen auf die Unternehmensreputation.¹²⁴ Solange es sich nicht um eine schlechthin unvertretbare Geschäftsleitungsentscheidungen handelt, bei der sich der Leitungsfehler auch einem Außenstehenden aufdrängt, liegt keine Pflichtverletzung (und keine Untreue nach § 266 StGB) vor.¹²⁵ Für GmbH-Geschäftsführer gelten diese aktienrechtlichen Grundsätze ebenfalls.¹²⁶

2. Sofortmaßnahmen bei Durchsuchungen

Compliancekrisen beginnen nicht selten, aber meist unverhofft mit Durchsuchungen und Beschlagnahmen durch die Staatsanwaltschaft oder andere Strafverfolgungsbehörden. In der Literatur wird das Management von Compliancekrisen teilweise allein im Umgang mit der Durchsuchung gesehen.¹²⁷ Durchsuchungen sind die Krisensituation, für die in Unternehmen häufig Reaktionspläne in Form von Durchsuchungsleitfäden mit Verhaltenshinweisen¹²⁸ vorliegen.

Aus Unternehmensperspektive sind bei Durchsuchungen und Beschlagnahmen folgende Ziele wichtig: Die Beschlagnahme von Dokumenten und Daten soll auf ein Minimum beschränkt, Zufallsfunde sollen vermieden werden. Es sollen möglichst lediglich Kopien von Daten und Unterlagen beschlagnahmt werden. Zu diesem Zweck muss die Unternehmensleitung vor allem über das Ausmaß der Kooperation bei der Durchsuchung entscheiden. Kooperation bei Durchsuchungen kann (muss aber nicht) bedeuten: Beweismittel heraussuchen, sie freiwillig herausgeben, auf Auskunftsverweigerungsrechte verzichten, Passwörter offenbaren, Berufsträger von ihrer Schweigepflicht entbinden und auf Rechtsbehelfe verzichten.¹²⁹

Besondere Herausforderungen stellt die Beschlagnahme elektronischer Daten. Datenlieferungsvereinbarungen, die das Unternehmen mit der Staatsanwaltschaft schließt, können regeln, welche Daten und Unterlagen wann und in welchem Format herausgegeben werden (oder zur Beschlagnahme vorbereitet) werden.¹³⁰ Sie können auch Anwesenheits- und Beteiligungsrechte regeln.¹³¹

Besondere Anforderungen gelten für die Mitnahme von Daten, insbesondere von E-Mails, zur Durchsicht nach § 110 StPO.¹³² Konfliktpotential birgt häufig auch die Erwartung der Strafverfolgungsbehörden, auf alle Daten eines Unternehmens zugreifen zu dürfen, die es abrufen kann. Zwar ist der Zugriff auf räumlich getrennte Speichermedien unter bestimmten Voraussetzungen zulässig (§ 110 Abs. 3 S. 2 StPO). Das gilt jedenfalls, wenn sie sich im Inland befinden.¹³³ Befindet sich das Speichermedium im Ausland und würde ein Zugriff fremde Hoheitsrechte verletzen, setzt der Zugriff ein Rechtshilfeersuchen voraus.¹³⁴ Unter welchen Voraussetzungen der Zugriff auf Daten zulässig ist, die in der Cloud gespeichert werden, bei der unklar ist, ob sich die Daten im Ausland befinden und, ggf., in welchem Hoheitsgebiet, ist bislang ungeklärt.¹³⁵ Ist auch eine Speicherung im Inland möglich, ist der Zugriff ohne Rechtshilfeersuchen zulässig.¹³⁶ Eine freiwillige Herausgabe von im Ausland gespeicherten Daten kann sinnvoll sein, wenn andernfalls mit einem Rechtshilfeersuchen zu rechnen ist und so die Gefahr besteht, dass ausländische Behörden auf Gesetzesverstöße aufmerksam werden.¹³⁷

3. Sofortmaßnahmen zu Beginn der Krise

Auch ohne Durchsuchung sind Sofortmaßnahmen einzuleiten, wenn Hinweise auf Compliance-Verstöße bekannt werden. Diese Sofortmaßnahmen verfolgen drei wichtige Ziele: Beweise sichern, Fehlverhalten beenden und weiteren Schaden verhindern – auch mit Hilfe angemessener Krisenkommunikation.¹³⁸

Die Sofortmaßnahmen umfassen typischerweise folgende Schritte:¹³⁹ Erstens: Krisenstab einberufen. Zweitens: Lagebild feststellen¹⁴⁰ und Aufklärung der Krisenursache einleiten. Drittens: Fehlverhalten abstellen, verdächtige Mitarbeiter eventuell freistellen. Viertens: Beweise sichern, insbesondere Datenlöschroutinen einstellen und Mitarbeiter auffordern, keine Unterlagen zu vernichten und Daten zu löschen.¹⁴¹ Fünftens: Kommunikation gegenüber der Öffentlichkeit (Presse) sowie Mitarbeitern und weiteren Stakeholdern.

II. Gesetzliche Offenbarungs- und Mitteilungspflichten

Compliance-Verstöße können gesetzliche Offenbarungs- und Mitteilungspflichten begründen, die sanktionsbewehrt sind,¹⁴² und von Beginn an im Blick gehalten werden müssen.

• Erkennen Steuerpflichtige nachträglich, dass abgegebene Erklärungen unrichtig waren, muss dies unverzüglich angezeigt und die Steuererklärung berichtigt werden (§ 153 Abs. 1 AO).
• Verpflichtete nach dem Geldwäschegesetz müssen Geldwäscheverdachtsmeldungen abgeben, wenn Tatsachen vorliegen, die darauf hindeuten, dass ein Vermögensgegenstand aus einer strafbaren Handlung stammt, die eine Vortat der Geldwäsche darstellen könnte, oder im Zusammenhang mit Terrorismusfinanzierung steht (§ 43 Abs. 1 GmbHG). Meldepflichtig sind nach § 43 GwG nur solche Sachverhalte, die nicht die Begehung der Vortat selbst darstellen.¹⁴³
• Kreditinstitute u. a. müssen bestimmte Verdachtsfälle an die BaFin melden (§ 23 WpHG). Gegenüber der BaFin bestehen darüber hinaus weitere Auskunfts- und Herausgabepflichten (§ 6 Abs. 3 WpHG, § 44 Abs. 1 KWG).
• Subventionsnehmer sind verpflichtet, dem Subventionsgeber die Tatsachen mitzuteilen, die insbesondere die Bewilligung oder Gewährung von Subventionen entgegenstehen oder für die Rückforderung erheblich sind (§ 3 Abs. 1 SubvG).
• Datenschutzverstöße können Meldepflichten des Verantwortlichen auslösen (§ 33 DSGVO).
• Kassenärztliche Vereinigungen und Krankenkassen sollen (müssen¹⁴⁴) die Staatsanwaltschaft unterrichten, wenn ein Anfangsverdacht auf strafbare Handlungen von nicht nur geringfügiger Bedeutung bestehen könnte (§ 81 a Abs. 4 SGB V, § 197 a Abs. 4 SGB V).
• Kapitalmarktorientierte Unternehmen müssen Compliance-Verstöße offenbaren (Art. 17 Abs. 1 MAR), die eine Insiderinformation i. S. v. Art. 7 MAR sind (Ad-hoc-Publizität). Unter bestimmten Voraussetzungen ist ein vorläufiger Aufschub möglich (Art. 17 Abs. 4 MAR).¹⁴⁵
• Tritt Zahlungsunfähigkeit oder Überschuldung ein, wird die Insolvenzantragspflicht ausgelöst (§ 15a Abs. 1 InsO). Anzuzeigen ist auch ein Verlust in Höhe der Hälfte des Stammkapitals (§ 84 Abs. 1 GmbHG, § 401 Abs. 1 AktG). Anzeigepflichten bestehen auch im Restrukturierungsverfahren (§ 42 Abs. 1 S. 2 StaRUG) sowie für Finanzinstitute (§ 46b Abs. 1 S. 1 KWG, § 44 Abs. 1 KMAG). Daneben regeln das Steuerrecht und das Umwandlungsgesetz Anzeigepflichten.¹⁴⁶
• Unternehmen müssen im Jahresabschluss und Konzernabschluss Rückstellungen für ungewisse Verbindlichkeiten und für drohende Verluste bilden (§§ 249 Abs. 1 S. 1, 298 Abs. 1 HGB).¹⁴⁷ Im Fall von Compliance-Krisen kommen Rückstellungen für Geldbußen, Einziehungen, Folgen sonstiger öffentlich-rechtlicher Sanktionen (z. B. wegen des Ausschlusses von öffentlichen Aufträgen), drohende Schadenersatzansprüche oder Steuerbelastungen in Betracht.¹⁴⁸

Es ist überzeugend, die Rechnungslegungsvorschriften einschränkend auszulegen. Zuzulassen ist, dass Unternehmen zu Rückstellungen die Bezeichnungen und Angaben derart gestalten, dass sie keinen Anfangsverdacht begründen,¹⁴⁹ oder als Einräumen von Vorwürfen gewertet werden können.

• Kapitalgesellschaften müssen im Lagebericht die voraussichtliche Entwicklung der Gesellschaft mit ihren wesentlichen Chancen und Risiken beurteilen und erläutern (§ 289 Abs. 1 S. 4 HGB). Unter die Risiken können die Ereignisse fallen, die oben zum Thema Rückstellungen aufgeführt wurden, soweit noch keine Rückstellungen gebildet wurden.¹⁵⁰ Der Lagebericht kann so formuliert werden, dass er keinen Anfangsverdacht begründet¹⁵¹ oder als Einräumen von Vorwürfen verstanden werden kann.

Verstöße gegen die Pflichten, Rückstellungen zu bilden sowie wichtige Chancen und Risiken im Lagebericht aufzunehmen, sind bußgeldbewehrt (§ 334 Abs. 1 Nr. 1 lit. b und Nr. 3 HGB).

Eine gesetzliche Pflicht, Strafanzeige zu erstatten, besteht nicht. Die Pflicht zur Anzeige bestimmter Straftaten (§ 138 StGB) ist im Unternehmenskontext nicht relevant. Der Straftatenkatalog hat keinen Compliance-Bezug.

Sollen Unternehmensteile verkauft werden, in denen Gesetzesverstöße festgestellt wurden, sind die Verkäufer verpflichtet, die Gesetzesverstöße im Rahmen der Compliance-Due-Diligence gegenüber dem Kaufinteressenten offenzulegen.¹⁵² Das gilt jedenfalls dann, wenn die Gesetzesverstöße dem Käufer unbekannt und für den Vertragsschluss von wesentlicher Bedeutung sind.¹⁵³ Andernfalls besteht ein Strafbarkeitsrisiko wegen Betrugs (§§ 263, 13 StGB).¹⁵⁴

III. Aufklärung, Abstellen und Sanktionieren von Gesetzesverstößen

Bestehen zureichende tatsächliche¹⁵⁵ Hinweise auf Gesetzesverstöße, ist die Unternehmensleitung verpflichtet, den Sachverhalt aufzuklären, die Gesetzesverstöße abzustellen und verantwortliche Mitarbeiter zu sanktionieren.¹⁵⁶

1. Aufklärung

Die Unternehmensleitung hat kein Entschließungsermessen hinsichtlich der Frage, ob Maßnahmen zur Sachverhaltsaufklärung ergriffen werden.¹⁵⁷ Es steht allerdings in ihrem pflichtgemäßen Ermessen, wie breit und wie tief und mit welchen Instrumenten die Aufklärung erfolgt.¹⁵⁸

Ziel der Aufklärung ist, den Sachverhalt soweit tatsächlich zu untersuchen und rechtlich zu bewerten, dass das abzustellende Verhalten und die dazu erforderlichen Maßnahmen bestimmt werden können. Die Aufklärung umfasst Feststellungen zum Gegenstand und Ausmaß des Fehlverhaltens, zu involvierten Personen und Betroffenen sowie zum Schaden und sonstigen Auswirkungen.¹⁵⁹ Ausgehend von der Bedeutung des Gesetzesverstoßes müssen Kosten und Nutzen der Sachverhaltsaufklärung am Unternehmensinteresse gemessen werden.¹⁶⁰ Ist der Zweck der Aufklärung erreicht, kann der Vorstand von weiteren Ermittlungsmaßnahmen absehen.¹⁶¹ Insbesondere bei der weiteren Sachverhaltsaufklärung, die notwendig ist, um einen Schadenersatzanspruch belegen zu können, müssen die Kosten der weiteren Sachverhaltsaufklärung im Verhältnis zu dem voraussichtlich realisierbaren Schadenersatz stehen. Gibt es andererseits Hinweise auf Schmiergeldzahlungen und bestehen Anhaltspunkte dafür, dass die Schmiergeldzahlungen nicht auf einzelne Geschäftsbereiche oder Mitarbeiter begrenzt sind, wird es regelmäßig im Interesse des Unternehmens sein, Hinweisen auf Schmiergeldzahlungen soweit nachzugehen, bis gewährleistet werden kann, dass sie umfassend abgestellt werden können. Ist die Sachverhaltsaufklärung notwendig, um gesetzliche Pflichten zu erfüllen, muss der Sachverhalt so tief und breit aufgeklärt werden, dass die Pflicht erfüllt werden kann.¹⁶² Die Legalitätspflicht erlaubt es jedenfalls nicht, die Sachverhaltsaufklärung einzuschränken, um zu verhindern, dass gewinnbringende rechtswidrige Geschäfte aufgedeckt werden.¹⁶³ Allein der Umstand, dass die Kosten der Sachverhaltsaufklärung nicht als Schadenersatz durchgesetzt werden können, rechtfertigt ebenfalls nicht, die Sachverhaltsaufklärung zu begrenzen. Es kann auch unabhängig davon im Unternehmensinteresse sein, Hinweisen auf Fehlverhalten nachzugehen und sie umfassend aufzuklären, um das Fehlverhalten vollständig beenden zu können und weitere Schäden zu verhindern.¹⁶⁴

Behördliche Ermittlungen entheben Geschäftsleiter nicht von ihrer Aufklärungspflicht.¹⁶⁵ Ohne eigene Sachverhaltsaufklärung hat die Geschäftsleitung keine ausreichenden Informationen, um über das Für und Wider einer Kooperation mit den Behörden entscheiden zu können.¹⁶⁶ Aufklärungsbreite und -tiefe behördlicher Ermittlungen sind nicht immer deckungsgleich mit dem Unternehmensinteresse.¹⁶⁷ So ermitteln Staatsanwaltschaften keine Taten, die verfolgungsverjährt sind, während Schadenersatzansprüche zivilrechtlich noch nicht verjährt sein müssen. Auch kann die Staatsanwaltschaft von der Verfolgung bestimmter Taten absehen oder Ermittlungsverfahren (teilweise) einstellen, während das Unternehmen möglicherweise weitere Sachverhaltserkenntnisse benötigt, um das Fehlverhalten umfassend abzustellen und Schadenersatzansprüche geltend zu machen.¹⁶⁸

2. Abstellen von Gesetzesverstößen

Das Fehlverhalten ist unverzüglich abzustellen, wenn hinreichend sicher beurteilt werden kann, wie der Gesetzesverstoß beendet werden kann. Die Unternehmensleitung hat zu prüfen, welche Beendigungsoptionen bestehen, deren Wirksamkeit zu beurteilen, um sodann eine Beendigungsoption auszuwählen.¹⁶⁹ Die Pflicht, Gesetzesverstöße unverzüglich abzustellen, kann mit der Pflicht kollidieren, Schaden vom Unternehmen abzuwenden. Das sofortige Abstellen von Gesetzesverstößen kann unter Umständen zu bestandsgefährdend hohen Geldbußen, Regressansprüchen oder Reputationsschäden führen, die mit einem zeitlich verzögerten Vorgehen vermeidbar wären.

Vor diesem Hintergrund wird vertreten, der Unternehmensleitung ein Auswahlermessen über die Abstellungsmaßnahme einzuräumen,¹⁷⁰ das am Verhältnismäßigkeitsgrundsatz zu messen ist.¹⁷¹ Dies entspricht der Begrenzung der Strafbarkeit wegen Unterlassens im Fall der Unzumutbarkeit normgemäßen Verhaltens.¹⁷²

3. Sanktionierung verantwortlicher Mitarbeiter

Die Unternehmensleitung entscheidet nach pflichtgemäßem Ermessen über Art und Umfang der Sanktionierung. Abwägungskriterien sind Schwere des Verstoßes, Verschuldensgrad, Wiederholungsgefahr und Nachtatverhalten.¹⁷³

Im Idealfall gibt es Sanktionsrichtlinien, die ein abgestuftes Sanktionssystem vorsehen, das folgende Maßnahmen vorsehen kann: Ermahnung, Abmahnung, Versetzung, Compliance-Nachschulung, Degradierung, Streichen von Boni, Entzug von Kompetenzen und Zuständigkeiten, Geltendmachung von Schadenersatzansprüchen, Kündigung und Strafanzeige.¹⁷⁴

Bei Verdachtskündigungen ist insbesondere die kurze Kündigungsfrist (§ 626 Abs. 2 BGB) und Anhörungen des Mitarbeiters¹⁷⁵ sowie ggf. des Betriebsrats (§ 102 Abs. 1 BetrVG) zu beachten. Grundsätzlich beginnt die Kündigungsfrist allerdings nicht, bevor die interne Untersuchung soweit abgeschlossen ist, dass der Kündigungsberechtigte über sämtliche Tatsachen, die für die Entscheidung über die Kündigung erheblich sind, informiert werden kann.¹⁷⁶

4. Kooperations- und Amnestievereinbarungen

Kooperations- oder Amnestievereinbarungen mit Mitarbeitern können die Sachverhaltsaufklärung erleichtern. Typischerweise enthalten Amnestievereinbarungen die Verpflichtung des Mitarbeiters, seine Kenntnis des Sachverhalts vollständig offenzulegen. Im Gegenzug erklärt sich das Unternehmen bereit, die Kosten eines Rechtsbeistands zu übernehmen (Kooperationsvereinbarung). Es kann auch auf arbeitsrechtliche Sanktionen und Schadenersatzansprüche verzichten werden (Amnestievereinbarung).¹⁷⁷

Der Abschluss einer Kooperations- oder Amnestievereinbarung ist eine unternehmerische Ermessensentscheidung. Sie setzt eine Interessenabwägung voraus und sollte dokumentiert werden.¹⁷⁸

Ein Arbeitnehmer hat nur ausnahmsweise einen gesetzlichen Anspruch auf Übernahme von Verteidigungskosten, Geldstrafen oder Geldauflagen. Es kann im Unternehmensinteresse sein, die Verteidigungskosten zu tragen und Geldstrafen oder Geldauflagen zu übernehmen.¹⁷⁹ Das Interesse des Unternehmens an der Übernahme von Verteidigungskosten sollte dokumentiert werden. Grundsätzlich besteht das Risiko von Vorwürfen der Strafbarkeit wegen Untreue.¹⁸⁰ Das Risiko kann durch einen einstimmigen Beschluss der Gesellschafter einer GmbH ausgeschlossen werden (solange die Vermögensverfügung das Stammkapital der Gesellschaft nicht beeinträchtigt oder gefährdet oder auf andere Weise ihre wirtschaftliche Existenz gefährdet).¹⁸¹ Bei Aktiengesellschaften ist es fraglich, ob die Hauptversammlung überhaupt befugt ist, in die Vermögensverfügung einzuwilligen.¹⁸²

Falls keine Amnestiezusagen gemacht werden, sollte die Zusage der Kostenübernahme vorsorglich unter den Bedingungen erfolgen, dass der Arbeitnehmer sich nicht strafbar gemacht oder arbeitsvertragliche Pflichten oder interne Compliance-Vorgaben verletzt hat. Andernfalls besteht ein Rückzahlungsanspruch.

Übernehmen Unternehmen Verteidigerkosten, Geldstrafen, Geldbußen oder Geldauflagen, müssen sie die steuerrechtliche Behandlung dieser Zahlungen prüfen. Das betrifft insbesondere Betriebsausgabenabzug, Lohnsteuer und Vorsteuerabzug.¹⁸³

IV. Verteidigung und Kooperation

Bei Compliancekrisen müssen sich Unternehmen häufig in Bußgeldverfahren verteidigen, entscheiden, ob Strafanzeige erstattet und ob und, ggf., in welchem Umfang mit Strafverfolgungsbehörden kooperiert werden soll.

1. Unternehmensverteidigung

Wurde gegen das Unternehmen ein Bußgeldverfahren nach § 30 OWiG eingeleitet, ist das Ziel, Sanktionen abzuwehren.¹⁸⁴ Es gilt eine Unternehmensgeldbuße oder eine Einziehungsanordnung (§ 29a OWiG) sowie sonstige negative Auswirkungen (wie Einträge ins Wettbewerbsregister und damit verbundene Ausschlüsse von Vergabeverfahren) zu vermeiden.¹⁸⁵

Die Verteidigung wird darauf gerichtet sein, den Vorwurf einer Anknüpfungstat zu entkräften und – falls dem Unternehmensleiter ein Verstoß gegen § 130 OWiG vorgeworfen werden kann – zu belegen, dass er jedenfalls ausreichende Aufsichtsmaßnahmen ergriffen hatte (insbesondere, dass die Erfüllung der verletzten Pflichten ordnungsgemäß delegiert wurde¹⁸⁶).

Ergänzend kann auch auf nachträglich ergriffene Compliance-Maßnahmen verwiesen werden. Diese sind nicht nur bußgeldmindernd zu berücksichtigen.¹⁸⁷ Sie können auch eine Verfahrenseinstellung aus Opportunitätsgründen rechtfertigen. So hatte der Gesetzgeber im VerSanG-E¹⁸⁸ die Möglichkeit vorgesehen, ein Sanktionsverfahren gegen ein Unternehmen unter der Auflage einzustellen, dass das Unternehmen Vorkehrungen zur Vermeidung von Verbandstaten trifft (§§ 37, 13 Abs. 2 VerSanG-E).

Nach der Sachverhaltsaufarbeitung wird das Unternehmen eine inhaltliche und rechtliche Stellungnahme abgeben.¹⁸⁹ Soweit das Unternehmensinteresse mit den Interessen individuell Beschuldigter übereinstimmt, bietet sich eine Sockelverteidigung an. So lässt sich Verteidigungsverhalten koordinieren und eine gemeinsame Verteidigungsstrategie entwickeln.¹⁹⁰ Auf individuelles Verhalten sollte das Unternehmen allenfalls nach Abstimmung mit den Verteidigern der Beschuldigten eingehen.

Auch wenn kein Ermittlungsverfahren gegen das Unternehmen eingeleitet wurde und nur gegen Unternehmensangehörige ermittelt wird, kann das Unternehmen eine Stellungnahme abgeben, in der die Sach- und Rechtslage losgelöst von individuellen Verantwortlichkeiten in das Verfahren eingeführt wird.¹⁹¹

Die Erstattung einer Strafanzeige und Kooperation im Allgemeinen können sanktionsmildernd berücksichtigt werden.

2. Strafanzeige

Eine gesetzliche Pflicht, Strafanzeige wegen Compliance-Verstößen zu erstatten, besteht nicht.¹⁹² Ob ein Unternehmen Strafanzeige erstattet oder nicht, ist eine unternehmerische Ermessensentscheidung. Sie muss im Unternehmensinteresse getroffen werden.¹⁹³ Ausnahmsweise kann sich das unternehmerische Ermessen auf Null reduzieren. Denkbar ist dies insbesondere dann, wenn der Verstoß mit an Sicherheit grenzender Wahrscheinlichkeit entdeckt wird und ohne Offenlegung die Existenz des Unternehmens gefährdet ist. Oder allein behördliche Ermittlungen es ermöglichen, den Verstoß aufzuklären, abzustellen und zu sanktionieren sowie Schadenersatzansprüche geltend zu machen und durchzusetzen.¹⁹⁴

Gegen eine Strafanzeige können folgende Erwägungen sprechen: Eine Strafanzeige kann ein Unternehmen und seine Mitarbeiter zum Ziel von Ermittlungen zu Gesetzesverstößen machen, die ansonsten unentdeckt geblieben wären.¹⁹⁵ Es besteht das Risiko von Unternehmensgeldbußen und Einziehungen¹⁹⁶ sowie das Risiko, die Kontrolle über den weiteren Ablauf zu verlieren.¹⁹⁷ Eine Strafanzeige kann zu einer Ausweitung von Ermittlungen auf neue, bislang dem Unternehmen unbekannte Sachverhalte und zu negativer Presseberichterstattung führen.¹⁹⁸

Eine Strafanzeige kann allerdings auch im Unternehmensinteresse liegen.¹⁹⁹ Beispielsweise, um mit Hilfe behördlicher Ermittlungsergebnisse das Bestehen und die Durchsetzbarkeit von Schadenersatzansprüchen zu prüfen. Eine Strafanzeige kann Unternehmenssanktionen abmildern oder ausschließen (etwa über die Kronzeugenregelung im Kartellrecht²⁰⁰ oder nach § 371 AO, § 22 Abs. 4 AWG, § 261 Abs. 9 GwG, § 266a Abs. 6 StGB).²⁰¹

Eine Strafanzeige mit anschließender Kooperation eröffnet in der Praxis häufig die Möglichkeit, darauf hinzuwirken, dass Bußgeldverfahren gegen das Unternehmen nicht eingeleitet oder wieder eingestellt werden (§ 47 Abs. 1 OWiG), statt einer Unternehmensgeldbuße (§ 30 OWiG) eine Einziehungsanordnung (§ 29a OWiG) verhängt wird. Regelmäßig wird die Strafanzeige bei der Bußgeldbemessung mildernd berücksichtigt (§ 17 Abs. 3 OWiG).

Mit einer Strafanzeige können Unternehmen Meldungen Dritter zuvorkommen und – jedenfalls zu einem gewissen Maß – Zeitpunkt und Inhalt bestimmen.²⁰²

Neben Geldbußen und Einziehungsanordnungen als unmittelbare Folgen einer Strafanzeige sind auch sonstige Konsequenzen zu berücksichtigen. Dazu zählen insbesondere der Ausschluss von Vergabeverfahren, die Gewerbeuntersagung (§ 35 GewO), zivilrechtliche Schadenersatzansprüche und Reputationsschäden.²⁰³

Eine Anzeige kann allerdings auch eine positive Wirkung auf die Reputation haben. Sie kann als Zeichen für Einsicht und Compliance-Bemühungen gewertet werden.²⁰⁴ Mit Hilfe einer Strafanzeige und dem Recht auf Akteneinsicht nach § 406e Abs. 1 StGB können Unternehmen die Ergebnisse der weitreichenderen Aufklärungsmöglichkeiten der Ermittlungsbehörden nutzen,²⁰⁵ um Ansprüche gegen die Täter durchzusetzen.

Strafanzeigen können schließlich ein Weg sein, um Durchsuchungen zu vermeiden.²⁰⁶ Sie können ein Signal an die eigenen Mitarbeiter sein und sie von weiteren Verstößen abhalten.²⁰⁷ Aus einer freiwilligen Selbstanzeige kann allerdings die Pflicht oder Notwendigkeit entstehen, auch Gesetzesverletzungen zu melden, von denen die Unternehmensleitung später erfährt.²⁰⁸

3. Kooperation mit Ermittlungsbehörden

Entscheidungen über Kooperation mit Behörden sind unternehmerische Ermessensentscheidungen.²⁰⁹ Eine Pflicht zur Kooperation gibt es nicht.²¹⁰ Allenfalls ausnahmsweise kann eine Ermessensreduzierung auf Null für eine uneingeschränkte Kooperation vorliegen.²¹¹

Kooperation kann Unterschiedliches bedeuten:²¹² Beweisgegenstände im Rahmen einer Durchsuchungs- und Beschlagnahmemaßnahme heraussuchen. Beweismittel freiwillig herausgeben. Auf Aussageverweigerungsrechte verzichten, Passwörter offenbaren, Berufsgeheimnisträger von ihrer Schweigepflicht entbinden. Auf das Einlegen von Rechtsbehelfen verzichten. Untersuchungsberichte mitsamt zugrundeliegender Dokumentation übermitteln oder mündlich Bericht über die Untersuchungsergebnisse erstatten.

Kooperation bedeutet nicht zwingend, jeden Sachverhalt den Ermittlungsbehörden offenzulegen und auf jedes Verteidigungsverhalten zu verzichten.²¹³ Kooperation kann vor allem darin bestehen, dass das Unternehmen mit den Strafverfolgungsbehörden die Handhabung ohnehin zu erfüllender Duldungspflichten und Herausgabeverlangen abstimmt. Dazu gehört die Herangehensweise bei der Identifizierung verfahrensrelevanter Unterlagen und Daten, die Vernehmung von Mitarbeitern als Zeugen oder die Abstimmung der Vorgehensweise bei parallelen internen Untersuchungen zur Sachverhaltsaufklärung.²¹⁴ Eine über die Erfüllung gesetzlicher Pflichten hinausgehende Kooperation – etwa die freiwillige Herausgabe von Beweismitteln – muss im Unternehmensinteresse sein.

Unternehmen und Ermittlungsbehörden verstehen häufig nicht dasselbe unter Kooperation. Wenn Unternehmen auf der Beschlagnahme freiwillig herausgesuchter Dokumente und Daten bestehen, sehen Behördenvertreter darin nicht selten das Gegenteil von Kooperation. Diese unterschiedlichen Erwartungshaltungen sollten Unternehmen im Blick haben, wenn sie – etwa in Pressemitteilungen – „uneingeschränkte Kooperation“ ankündigen. Erforderlichenfalls muss der Ermittlungsbehörde verdeutlicht werden, dass Kooperation gesetzliche Grenzen, wie Datenschutzbestimmungen, haben kann und dass das Unternehmen etwaige Gesetzverstöße der Ermittlungsbehörden gerichtlich überprüfen lässt.²¹⁵ Sollen die Ergebnisse einer internen Untersuchung offengelegt werden, ist es besonders wichtig, Untersuchungsziel, -gegenstand und Vorgehensweise genau zu beschreiben.²¹⁶

Bei der Entscheidung über eine Kooperation mit Behörden sind regelmäßig die folgenden Aspekte zu berücksichtigen:

Die Auswirkungen auf das Ermittlungsverfahren: Kooperation kann den Eintritt und die Höhe behördlicher Sanktionen beeinflussen.²¹⁷ Kooperation und Schadenwiedergutmachung können eine Rolle spielen bei der Entscheidung über die Einleitung oder Einstellung eines Bußgeldverfahrens gegen das Unternehmen (§ 30 OWiG)²¹⁸ oder über eine Einziehung (§ 29a OWiG) anstatt einer Geldbuße²¹⁹. Allerdings gibt es keine Garantie, dass diese Vorteile tatsächlich eintreten.²²⁰ Teilweise gibt es formalisierte Settlement-Verfahren. Diese regeln die Voraussetzungen, unter denen das Einräumen der Vorwürfe zu einer Reduzierung der Geldbuße führt.²²¹

Kooperation kann auch bewirken, dass die Staatsanwaltschaft auf Zwangsmaßnahmen wie Durchsuchungen verzichtet, die Durchsuchung ankündigt²²² oder sich auf Herausgabeverlangen beschränkt²²³. Kooperation kann das Ermittlungsverfahren beschleunigen.²²⁴ Allerdings kann so auch ein Sanktionsabschlag wegen überlanger Verfahrensdauer entfallen.²²⁵

Unternehmen können bei der eigenen Sachverhaltsaufbereitung und Anspruchsdurchsetzung von den staatlichen Ermittlungsergebnissen (wie Kontoverbindungen und -daten sowie bei Dritten beschlagnahmte Dokumente und Daten) profitieren, auf die sie selbst keinen Zugriff haben.²²⁶

Die Offenlegung von Straftaten oder eines Straftatverdachts kann dazu führen, dass die für das Unternehmen handelnden Personen belastet und Sanktionen verhängt werden, obwohl der Sachverhalt ohne Offenlegung möglicherweise nicht entdeckt und Sanktionen nicht verhängt worden wären.²²⁷ Je höher das Entdeckungsrisiko ist, desto mehr spricht für eine Offenlegung.²²⁸ Die Offenlegung kann auch dazu führen, dass die Behörden verjährungsunterbrechende Maßnahmen ergreifen. Ohne Offenlegung wäre ganz oder teilweise Verfolgungsverjährung eingetreten.²²⁹

Die Wechselwirkungen zwischen behördlichen Ermittlungs- und Verwaltungsverfahren sowie zivilrechtlichen Schadenersatzklagen gegen das Unternehmen²³⁰: Das Unternehmen verliert weitgehend die Kontrolle über das Ermittlungsverfahren und Dritte können Zugriff auf die Ermittlungsakte erhalten.²³¹

Die Auswirkungen auf unternehmerische Entscheidungen: Die Offenlegung von Gesetzesverstößen und anschließende Kooperation gewähren dem Unternehmen mehr Handlungsfreiheit bei unternehmerischen Entscheidungen.²³² So kann Verantwortlichen Mitarbeitern gekündigt werden, ohne dass befürchtet werden muss, dass der Mitarbeiter den Sachverhalt anzeigt, und Unternehmensteile lassen sich veräußern, weil Kaufinteressenten über die Gesetzesverstöße informiert werden können.²³³

Die Auswirkungen auf die Unternehmensreputation: Einerseits kann Transparenz und die Übernahme von Verantwortung die Reputation stärken.²³⁴ Andererseits kann sie leiden, weil das Unternehmen in der öffentlichen Wahrnehmung mit dem „Compliance-Skandal“ und nicht mit dessen Aufarbeitung in Verbindung gebracht wird.²³⁵ Offenlegung und Kooperation können aber auch dazu beitragen, dass die Staatsanwaltschaft Vertraulichkeit wahrt und die Öffentlichkeit so nicht von dem Ermittlungsverfahren erfährt.²³⁶

Kosten²³⁷ und sonstige Risiken der Kooperation: Dazu gehören der Verlust des legal privilege²³⁸, Auswirkungen auf das Geschäftsmodell, die Strategie und die Geschäftsabläufe, auf die Zulassung von Produkten und Dienstleistungen oder etwa auf den Zugang zu öffentlichen Ausschreibungen.²³⁹ Kooperation ist eine Voraussetzung für eine erfolgreiche Selbstreinigung. § 125 Abs. 1 S. 1 Nr. 2 GWB setzt voraus, dass das Unternehmen die Tatsachen und Umstände der Straftat durch eine aktive Zusammenarbeit mit den Ermittlungsbehörden und dem öffentlichen Auftraggeber umfassend geklärt hat. Das Bundeskartellamt wertet eine geständige Einlassung als Anhaltspunkt für die Kooperationsbereitschaft.²⁴⁰ Das Unternehmen darf die Herausgabe von Informationen auch bei laufendem Strafverfahren nicht verweigern.²⁴¹

Datenschutzrechtliche Grenzen: Kooperation darf nur im Rahmen des datenschutzrechtlich Zulässigen erfolgen. So ist ein (informelles) Auskunftsverlangen nach §§ 161 Abs. 1 S. 1, 163 Abs. 1 S. 2 StPO keine rechtliche Verpflichtung i. S. v. Art. 6 Abs. 1 S. 1 lit. c DSGVO.²⁴² Wird dagegen das Auskunftsverlangen mit der Androhung einer Durchsuchung und Beschlagnahme oder einer Ladung von Mitarbeitern zur Vernehmung als Zeugen verbunden (formelles oder qualifiziertes Auskunftsverlangen), ist die Erfüllung des Auskunftsverlangens nicht mehr freiwillig und datenschutzrechtlich zulässig.²⁴³ Generell sollte die Zulässigkeit jeder Datenverarbeitung dokumentiert werden.

V. Schadenersatzansprüche und Schadenwiedergutmachung

1. Schadenersatzansprüche

Unternehmensleiter müssen Ansprüche des Unternehmens gegen Dritte grundsätzlich durchsetzen.²⁴⁴ Sie dürfen auf Ansprüche weder verzichten noch sie verjähren lassen.²⁴⁵ Von der Geltendmachung darf nach pflichtgemäßem Ermessen abgesehen werden, wenn im Einzelfall vernünftige Gründe dafürsprechen. Dazu gehören unsichere Erfolgsaussichten eines Gerichtsverfahrens, zweifelhafte Zahlungsfähigkeit des Schuldners oder Nachteile für das Unternehmen.²⁴⁶ Gegenüber Arbeitnehmern sind etwaige Ausschlussfristen zu beachten. ²⁴⁷ Mit Verjährungsverzichtsvereinbarungen kann mehr Zeit für die Sachverhaltsaufklärung gewonnen werden.²⁴⁸

Eine Möglichkeit, schnell und günstig einen vollstreckbaren Titel zu erlangen, ist ein notariell beurkundetes Schuldanerkenntnis. Ist der Schuldner dazu nicht bereit, kann ein zivilrechtlicher Arrest erwirkt werden. Titel sollten die Feststellung enthalten, dass der Schadenanspruch auf vorsätzlich begangener unerlaubter Handlung beruht. So wird das Vollstreckungsprivileg nach § 850f Abs. 2 ZPO eröffnet und die Forderung im Fall der Insolvenz von der Restschuldbefreiung (§ 302 Nr. 1 InsO) ausgenommen.

Wenn der Tatertrag aus einer Straftat oder ein dessen Wert entsprechender Geldbetrag (§§ 73, 73c StGB) eingezogen wird, benötigt der Geschädigte keinen zivilrechtlichen Titel, um seinen Anspruch nach § 459k Abs. 1 StPO anzumelden. Das strafrechtliche Entschädigungsverfahren führt jedoch nicht immer zu einer vollständigen Befriedigung der Ansprüche des Geschädigten. Regelmäßig ist es deshalb der sicherste Weg, wenn der Geschädigte einen vollstreckbaren Titel (§ 704 ZPO) erwirkt.

Bei Vorlage eines zivilrechtlichen Vollstreckungstitels ist der Geschädigte nicht an die Frist von sechs Monaten für die Anmeldung des Anspruchs gebunden (§ 459k Abs. 5 StPO). Er läuft nicht Gefahr, infolge einer teilweisen Verfahrenseinstellung gem. §§ 154, 154a StPO seine Verletztenstellung und damit seinen Entschädigungsanspruch zu verlieren.²⁴⁹ Er kann Ansprüche geltend machen, die über das aus der Tat Erlangte und von der Einziehungsanordnung Umfasste hinausgehen.²⁵⁰

Des Weiteren wird der Geschädigte in einem Mangelfall (§ 111i Abs. 2 S. 1 StPO), in dem kein Insolvenzverfahren durchgeführt wird, entschädigt, wenn er einen Titel vorlegt (§ 459m StPO).²⁵¹

2. Schadenwiedergutmachung

Schadenwiedergutmachung kann zu Strafmilderung oder Absehen von Strafe führen (§ 46a StGB), ist bei der Bemessung der Tagessatzzahl und Tagessatzhöhe²⁵² und bei der Bußgeldbemessung zu berücksichtigen²⁵³. Sie ist eine Voraussetzung für die Selbstreinigung (§ 125 Abs. 1 S. 1 Nr. 1 GWB).

Schadenwiedergutmachung kann auch erforderlich sein, um neue Vorwürfe der Strafbarkeit zu vermeiden. Unternehmensleiter können sich u. U. wegen Betrugs durch Unterlassen (§§ 263, 13 StGB) strafbar machen, wenn sie geschädigte Dritte pflichtwidrig nicht über das Bestehen von Forderungen aufgrund von Gesetzesverletzungen aufklären. Eine Pflicht zur Aufklärung kann sich insbesondere aus Ingerenz ergeben,²⁵⁴ wenn der durch das Vorverhalten herbeigeführte Zustand so beschaffen ist, dass es zum Eintritt des tatbestandsmäßigen Erfolgs kommt oder ein bereits eingetretener Schaden vertieft wird.²⁵⁵

Der BGH hat darüber hinaus eine Aufklärungspflicht selbst für den Fall bejaht, in dem das Vorverhalten keinen Täuschungscharakter hatte.²⁵⁶ Die Aufklärungspflicht endet, wenn der Schaden eingetreten ist.²⁵⁷ Bislang nicht entschieden ist die Frage, ob das pflichtwidrige Verschweigen einer Forderung einen Vermögensschaden begründet, wenn im Zeitpunkt der Entstehung der Aufklärungspflicht die Verjährung der Forderung oder die Zahlungsfähigkeit des Schuldners droht.²⁵⁸

Soweit keine Aufklärungspflicht besteht, steht die Aufklärung im pflichtgemäßen Ermessen der Unternehmensleitung. Zu den Abwägungskriterien gehören insbesondere das Aufdeckungsrisiko, die Bedeutung der Geschäftsbeziehung sowie die Auswirkungen auf die Geschäftsbeziehung und auf das Ermittlungsverfahren.²⁵⁹

3. Versicherungsansprüche

Unternehmensleiter müssen Versicherungsansprüche prüfen, sichern und ggf. durchsetzen.²⁶⁰ Versicherungsfälle sind unverzüglich ab Kenntnis anzuzeigen (§ 30 Abs. 1 S. 1 VVG). Der Versicherer muss nicht leisten, wenn der Versicherungsnehmer diese Anzeigeobliegenheit vorsätzlich verletzt und der Versicherungsvertrag diese Rechtsfolge vorsieht (§ 28 Abs. 2 VVG).²⁶¹ Zu beachten ist, dass der Versicherungsvertrag das Recht zur Schadenfallkündigung aufgrund einer Deckungsanfrage vorsehen kann.²⁶²

Nach Eintritt des Versicherungsfalls kann der Versicherer jede Auskunft verlangen, die zur Feststellung des Versicherungsfalls oder des Umfangs der Leistungspflicht des Versicherers erforderlich ist (§ 31 Abs. 1 S. 1 VVG). Eine Grenze findet die Auskunftspflicht des Versicherten, wenn die Auskunft den Versicherten unzumutbar belasten würde.²⁶³ Der Versicherer hat weder ein Recht auf Auskunft, ob der Beschuldigte die Tat begangen hat²⁶⁴, noch hat er ein Recht, die betroffene Person zu vernehmen²⁶⁵.

VI. Abschließende Maßnahmen

Eingetretene Gesetzesverstöße erfordern, bestehende Compliance-Maßnahmen zu überprüfen und erforderlichenfalls weiterzuentwickeln, um eine Wiederholung des Fehlverhaltens zu verhindern.²⁶⁶ Wenn nicht schon geschehen, ist zu prüfen, ob Selbstreinigungsmaßnahmen nach §§ 125, 126 GWB im Unternehmensinteresse sind.²⁶⁷

F. Krisennachsorge

Nach der Krise ist vor der Krise. Ist die Krise erfolgreich bewältigt, wird die Krisenbewältigung nachbereitet.²⁶⁸ Denn „A crisis is a terrible thing to waste„.²⁶⁹ Der Krisenstab sollte einen Abschlussbericht erstellen, der beschreibt, welche Erfahrungen aus der Krisenbewältigung gezogen wurde und welche Konsequenzen für die Vorbereitung auf künftige Krisen gezogen werden. So lassen sich vergleichbare Krisen künftig vermeiden oder besser bewältigen und das Krisenmanagement weiterentwickeln.²⁷⁰ Bei der Krisennachsorge geht es um zwei Aspekte: um den Blick zurück und den Blick nach vorn.

I. Der Blick zurück

Nach Beendigung der Krise werden Krisenvorsorge und Krisenbewältigung betrachtet: Welche Ursache hatte die Krise? Reichten die vorhandenen Compliance-Präventionsmaßnahmen? Genügten die Vorbereitungsmaßnahmen? Handelte es sich um einen Einzelfall oder nicht? Wie wurde die Krise bewältigt? Was wurde richtig gemacht? Was wurde falsch gemacht? Was hat funktioniert? Was hat nicht funktioniert? Welche Überraschungen gab es? Hat sich die Kommunikationsstrategie bewährt? Welches Verhalten hat der Versicherer an den Tag gelegt? Hat der Versicherungsschutz Lücken?

II. Der Blick nach vorn

Im Hinblick auf die Zukunft können folgende Fragen gestellt werden: Welche Lehren können aus der Krise und ihrer Bewältigung für die Zukunft gezogen werden? Wie kann das Risiko von weiteren Compliance-Verstößen reduziert werden? Welche Maßnahmen sollten zur Vorbereitung auf künftige Compliance-Krisen ergriffen werden? Reicht der Versicherungsschutz künftig aus? Hat sich der Versicherer bewährt?

III. Folgemaßnahmen

Abhängig von den Antworten auf diese Fragen werden Compliance-Maßnahmen zur Reduzierung des Risikos von Compliance-Krisen ergriffen oder verbessert (falls sie nicht bereits im Rahmen der Krisenbewältigung ergriffen wurden). Zuständigkeiten und Verantwortungsbereiche werden klarer geregelt. Maßnahmen zur Vorausschau von und zur Vorbereitung auf Compliance-Krisen werden erstmals eingeführt oder verbessert. Erforderlichenfalls wird der Versicherungsschutz verbessert.²⁷¹

G. Krisenkommunikation

I. Überblick

Krisenkommunikation ist Kommunikation in der Krise über die Krise, insbesondere über die Krisenbewältigung. Gegenstand der Krisenkommunikation ist die Steuerung und Kontrolle der internen und externen Kommunikationsflüsse.²⁷² Ob und wie die Unternehmensleitung über eine Krise kommuniziert, ist eine unternehmerische Ermessensentscheidung. Eine Ermessensreduzierung auf Null – also eine Pflicht zu kommunizieren oder nicht zu kommunizieren, besteht allenfalls, wenn konkret wesentliche Nachteile für das Unternehmenswohl drohen.²⁷³

Häufig wirkt öffentliche Berichterstattung als „Krisentreiber und Brandbeschleuniger“.²⁷⁴ Krisenkommunikation ist deshalb ein wichtiges Element der Krisenbewältigung.²⁷⁵ Krisenkommunikation soll insbesondere Informationsbedürfnisse erfüllen, Falschmeldungen korrigieren, notwendige Antworten auf Anfragen reduzieren und die Reputation des Unternehmens wahren oder wiederherstellen.

II. Ziele und Leitlinien

Krisenkommunikation soll Informationen über Krisen tatsachenbasiert in geordnete Bahnen lenken und falschen Informationen entgegenwirken. Vertrauen und Glaubwürdigkeit des Unternehmens als wichtiger Faktor des Unternehmenswerts²⁷⁶ sollen erhalten oder wiederhergestellt werden.²⁷⁷

Maßgeblich für die Krisenkommunikation ist der Empfängerhorizont – also wie die Adressaten die Krise wahrnehmen. Das betrifft Öffentlichkeit, Behörden und Mitarbeiter.²⁷⁸ Interne und externe Kommunikation müssen widerspruchsfrei sein.²⁷⁹ Die Botschaften müssen über alle Kommunikationskanäle hinweg einheitlich sein.²⁸⁰ Die Kommunikation sollte den Prinzipien Wahrheit, Verständlichkeit, Schnelligkeit und Konsistenz folgen.²⁸¹ Zusammengefasst: Krisenkommunikation muss wahrheitsgemäß, kontrolliert und widerspruchsfrei sein.

III. Zielkonflikte

Das Ziel der transparenten Kommunikation kann rechtliche Ziele gefährden oder ihnen entgegenstehen.²⁸² Dazu gehört die Verteidigung von Unternehmen und Führungskräften und Mitarbeitern gegen straf- oder ordnungswidrigkeitenrechtliche Vorwürfe. Auch die Wahrung des legal privilege²⁸³, Schadenersatzansprüche gegenüber Dritten sowie Regressansprüche gegenüber Versicherungsunternehmen können betroffen sein.

Darüber hinaus müssen börsennotierte Aktiengesellschaften die Ad-hoc-Meldepflicht nach Art. 17 MAR²⁸⁴ und regulierte Unternehmen etwaige Informationspflichten gegenüber Aufsichtsbehörden im Blick halten (z. B. § 43 VAG, Art. 19 VO (EU) 2022/2554 [DORA]).²⁸⁵ In Kartellsachen kann ein Verstoß gegen das Offenlegungsverbot nach § 81j Abs. 1 Nr. 4 lit. b GWG Kronzeugenanträge gefährden.²⁸⁶

IV. Vorbereitung

Ausgangspunkt für die Krisenkommunikation ist ein Kommunikationskonzept. Es regelt im Wesentlichen, wer wen wann wie warum worüber informiert.²⁸⁷ Das Kommunikationskonzept wird in einem Leitfaden oder Handbuch dokumentiert²⁸⁸ und umfasst typischerweise folgende Elemente:²⁸⁹

Kommunikationsziele, Richtlinien für Informationsbeschaffung, -überprüfung und -verteilung, Umgang mit Medien und Kommunikation mit internen und externen Interessengruppen; Festlegung und Schulung geeigneter Personen für die Kommunikation mit Medien; Informationsfluss im Unternehmen, um eine schnelle Reaktion und angemessene Informationen zu gewährleisten; Festlegung, wann Juristen und externe Kommunikationsberater einbezogen werden.

Weiter sollten vorbereitet werden Listen mit Kontakten von internen und externen Ansprechpartnern und Interessengruppen; Mustertexte, FAQ, Sprachregelungen und allgemeine Informationen zum Unternehmen; eine Internetseite für den Fall einer Krise, die wichtige Informationen, Verhaltenshinweise und Kontaktdaten enthält und die nach Eintritt der Krise freigeschaltet wird (Darksite).

Wichtige Medienkanäle sind als Teil der Krisenfrüherkennung zu beobachten, um Hinweise auf potenzielle Krisen zu erkennen und eine frühzeitige Reaktion zu ermöglichen.²⁹⁰

Eine besondere Herausforderung ist die Berichterstattung über soziale Medien, die auch Gerüchte befördert, auf nicht belegbaren Fakten beruhen kann, Skandalisierung und Dramatisierung fördert und sich zu einem shitstorm aufschaukeln kann.²⁹¹ Das Kommunikationskonzept sollte deshalb nicht nur die Überwachung, sondern auch die Nutzung sozialer Medien berücksichtigen. Sie ermöglichen es dem Unternehmen, schnell zu reagieren, Falschinformationen richtigzustellen und die Öffentlichkeit auf dem Laufenden zu halten.²⁹²

V. Kommunikation in der Krise

In der Krise muss die Kommunikation einerseits transparent, schnell, detailliert und konsistent sein. Andererseits muss sie angesichts des unklaren Sachverhalts und unvorhersehbarer Entwicklungen Flexibilität wahren.²⁹³

Die Empfehlungen von Rechtsanwälten und Kommunikationsberatern widersprechen sich häufig. Kommunikationsberater befürworten, Ursache und Verantwortung sowie Maßnahmen zur Krisenbewältigung mitsamt Zeitplan zu benennen. Rechtsanwälte hingegen lehnen es ab, pflichtwidriges Verhalten zu bestätigen, Schadenersatz gegenüber Geschädigten und verbindliche Zeitpläne zuzusagen.²⁹⁴

In einer ersten Reaktion kann das Unternehmen Empathie zeigen, vermitteln, dass es die Krise souverän bewältigen kann und sich der Verantwortung stellt, bekannte Fakten vermitteln, falsche Nachrichten richtigstellen und, sofern möglich, eine Ersteinschätzung der Krise liefern.²⁹⁵ Dies umfasst Angaben dazu, was passiert ist, wann es entdeckt wurde und dass der Sachverhalt zügig aufgeklärt wird, um dann Konsequenzen zu ziehen.²⁹⁶ Die Beantwortung der Fragen danach, ob Gesetzesverstöße begangen wurden und wer verantwortlich ist, sollte bis zur endgültigen Klärung zurückgestellt werden.²⁹⁷ Spekulationen sind zu vermeiden.²⁹⁸ Es sollten keine nicht sicher erfüllbaren Zusagen gemacht werden.²⁹⁹ Sonst droht nicht nur ein Verlust der Glaubwürdigkeit,³⁰⁰ sondern auch eine Eskalation von Ermittlungsmaßnahmen.³⁰¹ Gerade zu Beginn der Krise, wenn noch vieles unklar ist, sollte eine Erklärung eher kurzgehalten werden.³⁰²

Berichtet die Presse nicht über die Krise, besteht in der Regel kein Grund, gegenüber der Presse aktiv zu werden. Soweit die Kommunikation (zunächst) ausschließlich intern erfolgt und beispielsweise Mitarbeiter, Aufsichtsrat und Gesellschafter informiert werden, ist zu berücksichtigen, dass die interne Kommunikation auch Externe erreichen kann. Unternehmen sollten sich bei der Kommunikation in der Krise von Experten beraten lassen, um eine Kommunikationskrise zu vermeiden.

Vermeidbare Missverständnisse drohen, wenn Unternehmen mitteilen, mit den Strafverfolgungsbehörden vollumfänglich zu kooperieren. Nicht selten verstehen Strafverfolgungsbehörden unter „vollumfänglicher Kooperation“, dass das Unternehmen Sachverhalte offenlegt und auf Verteidigungsverhalten verzichtet, ohne das Unternehmen und Mitarbeiter zu schonen.³⁰³ Bevor Kooperation mit Strafverfolgungsbehörden kommuniziert wird, sollte ein gemeinsames Verständnis darüber hergestellt werden, was Unternehmen und Strafverfolgungsbehörden unter Kooperation verstehen.

Die Kommunikationsstrategie kann offensiv oder defensiv sein. Die Wahl ist situationsabhängig und kann vorab nicht festgelegt werden.³⁰⁴ Vor allem hängt die Wahl davon ab, ob die Krise bekannt ist oder wie wahrscheinlich es ist, wann sie bekannt wird.³⁰⁵ Typischerweise wird zu Beginn einer Krise defensiv kommuniziert und im Verlauf der Krise zu einer offensiven Kommunikation gewechselt.³⁰⁶

Rechnet das Unternehmen mit keiner oder nur geringer öffentlicher Aufmerksamkeit oder kann es wegen eines laufenden Ermittlungsverfahrens nicht detailliert informieren, kann (oder sollte) die Kommunikation defensiv (also zurückhaltend: ausgewählte Informationen auf Anfrage und aus einer Quelle³⁰⁷) sein.³⁰⁸ Dies gilt auch, wenn das Unternehmen noch keine Einsicht in die Strafakten erhalten hat.³⁰⁹ Dann kann auf Kommunikation verzichtet werden oder sie erfolgt rein reaktiv, also allein als Reaktion auf öffentliche Berichterstattung oder z.B. Pressemitteilungen der Staatsanwaltschaft. Defensive oder keine Kommunikation ist auch zu erwägen, wenn die Kommunikation zu Nachteilen in Ermittlungsverfahren führen kann.³¹⁰ Falls möglich, sollte die Kommunikation mit der Pressestelle der Strafverfolgungsbehörde abgestimmt werden.³¹¹ Besteht eine Vertrauensbeziehung zu Journalisten, kommt eine kooperative Kommunikationsstrategie in Betracht. Dann erhalten Journalisten etwa in Hintergrundgesprächen Informationen, die sie nicht kannten, und es wird vorab vereinbart, welche Informationen vertraulich bleiben.³¹²

Eine offensive Kommunikation befriedigt das Informationsbedürfnis von Presse und Öffentlichkeit besser. Sie kann fehlerhafte Berichterstattung korrigieren,³¹³ birgt jedoch das Risiko, andere Ziele des Unternehmens zu gefährden. Inhalte einer offensiven Kommunikation sind Ursachen und Auswirkungen der Krise, Übernahme von Verantwortung, Ansprechen kritischer Punkte, aktive Ansprache von Zielgruppen, Maßnahmen zur Krisenbewältigung.³¹⁴ Eine offensive Kommunikation kommt in Betracht, wenn das Unternehmen direkt und sichtbar von der Krise betroffen ist.³¹⁵

VI. Evaluierung

Die Nachbereitung und Auswertung der Krise umfasst auch die Krisenkommunikation und Medienberichterstattung.³¹⁶

H. Dokumentation

Die Dokumentation des Krisenmanagements sollte bestimmte Prinzipien erfüllen, sich auf alle Phasen und Aspekte der Krisenbewältigung erstrecken und insbesondere alle Entscheidungen erfassen, die im Rahmen der Krisenbewältigung getroffen werden.³¹⁷

Die Dokumentation erfolgt richtig, vollständig und nachvollziehbar. Das Prinzip der Richtigkeit bedeutet, dass die Dokumentation inhaltlich zutreffend ist. Vollständigkeit bedeutet, dass die Maßnahmen zur Bewältigung der Krise vollzählig und lückenlos dokumentiert werden. Nachvollziehbarkeit bedeutet, dass die Dokumentation so gestaltet wird, dass ein sachverständiger Dritter innerhalb angemessener Zeit die zur Krisenbewältigung ergriffenen Maßnahmen und auch über die Optionen, die bewusst nicht ergriffen wurden, nachvollziehen kann.

Die vollständige Dokumentation erfasst alle Maßnahmen der Erstreaktion. Dazu gehören auch die erwogenen, jedoch nicht ergriffenen Maßnahmen. Sie erfasst die Planung und die Umsetzung des Maßnahmenplans und die Art und Weise der Beendigung der Krise. Die Dokumentation umfasst die Sachverhaltsaufklärung, alle rechtlichen Einschätzungen und Bewertungen sowie die vollständige Kommunikation, insbesondere mit externen Adressaten wie Behörden, Kunden, Geschäftspartnern und sonstigen Personen. Insbesondere werden alle Entscheidungen sowohl auf Ebene der Geschäftsleitung als auch delegierte Entscheidungen dokumentiert, einschließlich der diskutierten Handlungsalternativen, der rechtlichen Wertung sowie ihr Zustandekommen und die Umsetzung und Kontrolle der Umsetzung von Entscheidungen.

I. Zusammenfassung

Unter Compliance-Krisenmanagement können alle Maßnahmen zur Vermeidung von, Vorbereitung auf, Erkennung und Bewältigung sowie Nachbereitung von Krisen verstanden werden. Compliance-Krisenmanagement in diesem Sinn umfasst Vorsorge, Bewältigung und Nachsorge. Unternehmensleiter sind zum Compliance-Krisenmanagement gesetzlich verpflichtet.

Die Vorsorge besteht aus Vorbeugung (präventive Compliance-Maßnahmen), Vorbereitung (insbesondere mit Vorgaben dazu, wer welche Maßnahmen zur Krisenbewältigung ergreift) und Versicherung.

Unternehmensleiter haben ein weites Ermessen bei der Entscheidung über Maßnahmen der Krisenbewältigung, soweit nicht gesetzliche Mitteilungspflichten bestehen. Interne und externe Krisenkommunikation ist ein wichtiger Aspekt der Krisenbewältigung. Transparente Kommunikation und Verteidigung der Unternehmensinteressen können zu Zielkonflikten führen.

Die Nachbereitung einer Krise ermöglicht es, aus Fehlern zu lernen und die Krisenvorbereitung zu verbessern. Wichtige Elemente aller Phasen des Krisenmanagements sollten dokumentiert werden.