Compliance und Geschäftsführerpflichten: Haftungsrisiken in Deutschland, Österreich und der Schweiz

Compliance ist Chefsache. Geschäftsführer sind verpflichtet, für eine rechtmäßige Unternehmensführung zu sorgen – und tragen bei Verstößen nicht nur organisatorische, sondern auch persönliche Verantwortung. Ein wirksames Compliance-Management-System (CMS) ist daher mehr als gute Praxis: Es ist eine rechtliche Notwendigkeit.

I. Die Pflichten im Überblick

Nach geltender Rechtsprechung – insbesondere durch den BGH – umfasst die Organisationspflicht mindestens sechs Aufgaben:

1. Ermittlung der rechtlichen Anforderungen,
2. Umsetzung durch interne Prozesse,
3. Aktualisierung bei Rechtsänderungen,
4. praktische Erfüllung,
5. Kontrolle der Umsetzung,
6. Dokumentation aller Maßnahmen.

Diese Pflichten finden sich auch in der DIN ISO 37301 wieder und gelten als Maßstab für ein effektives CMS – selbst wenn gesetzlich nicht ausdrücklich normiert. Eine unterlassene Organisation kann zu Organisationsverschulden führen – mit weitreichenden Konsequenzen.

II. Innenhaftung vs. Außenhaftung

Ein Verstoß gegen Compliance-Pflichten kann zu zwei Haftungsebenen führen:

• Innenhaftung bezeichnet die Verantwortung des Geschäftsführers gegenüber der Gesellschaft. Bei Verletzung der Sorgfaltspflichten – z. B. mangelhafter Risikosteuerung oder fehlender Kontrolle – ist eine Ersatzpflicht gegenüber der GmbH (§ 43 Abs. 2 GmbHG in Deutschland) oder AG denkbar.
• Außenhaftung bedeutet, dass der Geschäftsführer auch gegenüber Dritten, etwa geschädigten Vertragspartnern, Kunden oder Behörden, persönlich haftbar gemacht werden kann – etwa aus deliktischer Haftung (§ 823 BGB).

III. Zivilrechtliche vs. strafrechtliche Haftung

Zivilrechtlich drohen Schadensersatzansprüche – entweder aus Vertrag, Gesetz oder Gesellschaftsrecht. Die zentrale Frage lautet: Wurden Pflichten verletzt, die einen Schaden mitverursacht haben?

Strafrechtlich kann die Geschäftsführung zur Rechenschaft gezogen werden, wenn sie bewusst oder grob fahrlässig Compliance-Verstöße ermöglicht oder nicht verhindert hat – etwa bei Untreue, Bestechung oder Umweltvergehen. Besonders relevant ist hier die Täter-Hinter-dem-Täter-Rechtsprechung: Die Geschäftsleitung haftet auch dann, wenn Mitarbeitende rechtswidrig handeln, ohne dass ausreichende Aufsicht oder Kontrolle bestand.

IV. „Tone from the Top“ ist unverzichtbar

Ein funktionierendes Compliance-System braucht mehr als Prozesse und Richtlinien – es braucht Überzeugung. Der sogenannte „Tone from the Top“ ist entscheidend: Die Geschäftsführung muss mit gutem Beispiel vorangehen und regelmäßig und sichtbar kommunizieren, dass Rechtskonformität, Integrität und ethisches Verhalten zentrale Unternehmenswerte sind.

Diese Kommunikation darf nicht einmalig erfolgen, sondern muss kontinuierlich und glaubwürdig in das Unternehmen getragen werden – z. B. durch klare Botschaften in Mitarbeiterversammlungen, interne Schreiben, Führungskräfteschulungen oder durch die aktive Einbindung in Compliance-Initiativen. Nur wenn die Mitarbeitenden spüren, dass die Führung hinter dem Thema steht, wird eine Compliance-Kultur im Unternehmen tatsächlich gelebt.

V. Deutschland: Persönliche Haftung bei Versäumnissen

In Deutschland haftet die Geschäftsführung sowohl intern (§ 43 GmbHG) gegenüber der Gesellschaft als auch extern (§§ 823, 826 BGB) gegenüber Dritten. Wer Compliance-Maßnahmen vernachlässigt, riskiert persönliche Haftung – selbst bei delegierten Aufgaben. Auswahl-, Überwachungs- und Anleitungspflichten bleiben immer bei der Geschäftsleitung.

Auch strafrechtliche Verantwortung ist möglich, etwa bei unterlassener Verhinderung von Straftaten durch Mitarbeitende.

VI. Österreich: Klare Maßstäbe und Haftungsfolgen

Auch in Österreich besteht eine umfassende Pflicht zur Einrichtung eines Compliance-Systems. § 25 GmbHG verpflichtet zur sorgfältigen Unternehmensleitung unter Beachtung aller Rechtsvorschriften. Der Geschäftsführer muss Risiken erkennen, bewerten und geeignete Maßnahmen setzen.

Bei groben Pflichtverletzungen droht eine persönliche, unbeschränkte Haftung gegenüber der Gesellschaft und ggf. auch gegenüber Dritten. Zudem kann die Gesellschaft selbst nach dem Verbandsverantwortlichkeitsgesetz (VbVG) strafrechtlich verfolgt werden – was die Verantwortung der Geschäftsleitung zusätzlich erhöht.

VII. Schweiz: Weitreichende Verantwortlichkeit

In der Schweiz regelt Art. 754 OR die Haftung der Geschäftsleitung gegenüber der Gesellschaft, den Aktionären und sogar Dritten. Die Pflicht zur Einrichtung eines wirksamen CMS ergibt sich aus der allgemeinen Pflicht zu sorgfältiger Geschäftsführung.

Auch strafrechtlich kann ein Organisationsverschulden Konsequenzen haben, etwa im Rahmen der Unternehmensstrafbarkeit nach Art. 102 StGB.

VIII. Fazit: Compliance lebt vom Vorbild

Geschäftsführer in Deutschland, Österreich und der Schweiz bewegen sich in einem haftungsträchtigen Umfeld. Die Anforderungen an die Unternehmensorganisation sind hoch – und oft nur unzureichend gesetzlich konkretisiert. Umso wichtiger ist ein klarer „Tone from the Top“, der das Thema Compliance zur Chefsache macht und im Unternehmen dauerhaft verankert.

Praxistipp: Compliance muss gelebt und dokumentiert werden. Nur wer nachweisen kann, dass Risiken erkannt, gesteuert und kontrolliert wurden – und dass die Mitarbeiter regelmäßig eingebunden und informiert wurden – schützt sich wirksam vor zivilrechtlicher und strafrechtlicher Innen- und Außenhaftung.