Compliancemanagementsysteme

Für die Mitarbeitenden eines Unternehmens bringt ein funktionierendes Compliance-Management-System vielfältige Vorteile mit sich. Zunächst schafft ein CMS Klarheit und Orientierung: Durch Verhaltenskodizes, Richtlinien und Schulungen wissen Beschäftigte, was von ihnen erwartet wird und wo die Grenzen des Erlaubten liegen. Dies reduziert Unsicherheit und Angst, etwas falsch zu machen, erheblich. Gerade in großen Unternehmen mit komplexen Rechtsanforderungen empfinden viele Mitarbeitende Compliance-Vorgaben anfangs als überwältigend. Ein gutes CMS nimmt diese Befürchtungen ernst und vermittelt praxisnah, was erlaubt ist und was nicht. Dadurch fühlen sich Mitarbeitende sicherer in ihrem täglichen Handeln und müssen nicht befürchten, unbewusst gegen Gesetze oder interne Regeln zu verstoßen.

Darüber hinaus schützt ein CMS die Mitarbeitenden vor unlauterem Druck und unfairen Wettbewerbspraktiken. Eine starke Compliance-Kultur signalisiert, dass ethisches Verhalten über kurzfristigen Profit gestellt wird. Mitarbeiter müssen keine Sorge haben, von Vorgesetzten zu gesetzwidrigem Handeln angehalten zu werden – im Gegenteil: Sie wissen, dass das Unternehmen bei Verstößen konsequent durchgreift und damit ein faireres, transparentes Arbeitsumfeld schafft. Langfristig trägt dies zu einer positiven Arbeitskultur bei, in der Integrität wertgeschätzt wird. Studien weisen darauf hin, dass proaktive Compliance-Maßnahmen das interne Betriebsklima verbessern und das Vertrauen der Beschäftigten in ihren Arbeitgeber stärken. Die Mitarbeitenden können stolz darauf sein, in einem Unternehmen zu arbeiten, das für saubere Geschäftspraktiken steht.

Nicht zuletzt kommt der Erhalt der wirtschaftlichen Stabilität des Unternehmens auch den Beschäftigten zugute. Wirtschaftskriminalität verursacht pro Unternehmen in Deutschland durchschnittlich Millionen-Schäden pro Jahr – Schäden, die im schlimmsten Fall Arbeitsplätze gefährden. Indem ein CMS solche Rechtsverstöße präventiv verhindert oder frühzeitig aufdeckt (detect) und angemessen darauf reagiert (respond), trägt es zum Unternehmenserfolg und zur Sicherung der Arbeitsplätze bei. Sollte es dennoch zu einem Zwischenfall kommen, kann ein nachweislich wirksames CMS strafmildernd wirken und das Unternehmen vor allzu drastischen Sanktionen bewahren. Damit schützt ein CMS indirekt auch die Belegschaft vor den Folgen schwerer Skandale (wie Betriebsstilllegungen, Imageschäden oder Massenentlassungen). Insgesamt fühlen sich Mitarbeitende in einem regelkonformen Unternehmen eher „als Teil eines starken Miteinanders“, was nachhaltig dem Unternehmenserfolg und Wachstum zuträglich ist.

Mitarbeitende nehmen im Compliance-Prozess die Rolle der ersten Verteidigungslinie ein. Sie stehen an vorderster Front bei der praktischen Umsetzung der Compliance-Vorgaben in den täglichen Arbeitsabläufen. Von jedem einzelnen Mitarbeitenden wird erwartet, dass er die geltenden Gesetze und internen Verhaltensregeln einhält – unabhängig davon, ob es um Korruptionsvermeidung, Daten- oder Umweltschutz oder andere Bereiche geht. Compliance beginnt bei jedem selbst. Daher gehört es zur Rolle aller Beschäftigten, sich mit den für ihren Aufgabenbereich relevanten Vorschriften vertraut zu machen und Verantwortung für das eigene Handeln zu übernehmen. Ein CMS kann nur erfolgreich sein, wenn die Mitarbeitenden die Regelungen nicht als abstrakte Bürokratie begreifen, sondern als verbindliche Leitplanken für ihr Verhalten.

Darüber hinaus sind Mitarbeitende wichtige „Sensoren“ im Unternehmen: Durch ihre Nähe zum operativen Geschäft können sie Unregelmäßigkeiten, Fehlverhalten oder Risiken oft zuerst erkennen. In ihrer Rolle sind sie daher angehalten, mögliche Verstöße zu melden – sei es an ihre Führungskraft, die Compliance-Abteilung oder über anonyme Meldewege. Eine offene Hinweisgeberkultur ist ohne aktive Mitarbeit der Beschäftigten nicht denkbar. Die ISO 37301 wie auch das deutsche Hinweisgeberschutzgesetz betonen, dass Hinweisgeber einen essenziellen Beitrag zur Aufdeckung von Missständen leisten und daher durch vertrauliche Meldekanäle und Schutz vor Repressalien ermutigt werden müssen. Seit 2023 sind Unternehmen in Deutschland ab 50 Mitarbeitenden sogar gesetzlich verpflichtet, interne Meldestellen einzurichten, an die sich Mitarbeitende mit Hinweisen auf Rechtsverstöße wenden können; zugleich ist die Vertraulichkeit und Schutz vor Kündigung oder anderen Benachteiligungen für Whistleblower gewährleistet. Die Mitarbeitenden übernehmen in diesem Prozess die Rolle von „Augen und Ohren“ der Organisation – ihre Wachsamkeit und Mitwirkung entscheiden maßgeblich über den Erfolg des CMS.

Um diese Rolle effektiv ausfüllen zu können, müssen Mitarbeitende allerdings ausreichend informiert und befähigt werden. Gemäß IDW PS 980 sind Unternehmen verpflichtet, alle Mitarbeitenden über das Compliance-Programm und ihre konkreten Zuständigkeiten darin aufzuklären. Nur wenn jeder Beschäftigte seine Rolle und Verantwortlichkeiten im CMS versteht, kann er seine Aufgaben sachgerecht erfüllen. Dies erfolgt etwa durch leicht verständliche Richtlinien-Handbücher, regelmäßige Mitarbeiterschreiben oder Schulungsveranstaltungen. Auch sollten klare Berichtswege definiert sein: Mitarbeitende müssen wissen, an wen sie sich bei Fragen oder Meldungen wenden können. Insgesamt sind sie nicht bloß Regeladressaten, sondern aktive Mitgestalter der Compliance-Kultur. Das Ziel lautet, dass Mitarbeitende und sogar externe Partner zu einem „integralen Bestandteil des präventiven Compliance-Management-Systems“ werden – also Compliance leben und unterstützen, anstatt es nur passiv zu erdulden.

Die beste Compliance-Strategie nützt wenig, wenn sie von der Belegschaft nicht akzeptiert oder gelebt wird. Daher ist es eine zentrale Herausforderung, die Beteiligung und Akzeptanz der Mitarbeitenden zu fördern. Ein Schlüsselfaktor dabei ist die richtige Compliance-Kommunikation. Die Unternehmensleitung und Compliance-Verantwortlichen müssen die Mitarbeitenden über Sinn und Zweck der Compliance-Maßnahmen aufklären und für ethisches Verhalten motivieren. Komplexe juristische Vorgaben sollten in praxisnahe, verständliche Handlungshinweise übersetzt werden, damit jede/r Beschäftigte den Mehrwert von Compliance erkennt. Studien zeigen, dass in der Vergangenheit viele Compliance-Initiativen scheiterten, weil sie nur unzureichend intern kommuniziert und von den Mitarbeitern als realitätsfern empfunden wurden. Daher zeichnet sich mittlerweile ein Umdenken ab: Immer häufiger wird die Unternehmenskommunikation strategisch in die Compliance-Implementierung eingebunden, um Botschaften zielgruppengerecht und wirkungsvoll zu vermitteln. So braucht etwa der Vertrieb andere Schwerpunkte (z. B. Umgang mit Geschenken/Einladungen) als die Produktion. Insgesamt gilt: Alle Zielgruppen – Mitarbeiter, Führungskräfte, Geschäftspartner – benötigen eine eigene Ansprache, die den Ton der jeweiligen Unternehmenskultur trifft.

Neben der Kommunikation spielen auch Schulung und Training eine entscheidende Rolle für die Akzeptanz. Regelmäßige Compliance-Schulungen – idealerweise interaktiv und mit Praxisbeispielen – erhöhen nicht nur das Wissen der Mitarbeitenden, sondern signalisieren auch, dass das Unternehmen das Thema ernst nimmt. Wichtig ist, Schulungen nicht als lästige Pflicht zu inszenieren, sondern als Chance zur Kompetenzstärkung. Mitarbeiter sollten Gelegenheit haben, in Schulungen Fragen zu stellen, konkrete Dilemmas zu diskutieren und so Sicherheit im Umgang mit Compliance-Themen zu gewinnen. Moderne Ansätze setzen zudem auf E-Learning und spielerische Elemente (Gamification), um das Interesse hochzuhalten.

Ein weiterer Aspekt ist die Einbindung der Mitarbeitenden in den Compliance-Prozess. Wo immer möglich, sollten Mitarbeiterfeedback und -ideen aufgenommen werden, etwa bei der Überarbeitung von Verhaltenskodizes oder der Identifikation von Risiken. Beschäftigte an der Basis kennen oft potentielle Schwachstellen sehr gut – ihre praktische Erfahrung kann genutzt werden, um das CMS realistischer und alltagstauglicher zu gestalten. Fühlen sich die Mitarbeitenden ernstgenommen und einbezogen, steigt ihre Identifikation mit den Compliance-Zielen. Schließlich ist auch Anerkennung und Vorbildverhalten wichtig: Mitarbeiter, die Bedenken äußern oder Verbesserungen vorschlagen, verdienen Lob statt Misstrauen. Wenn ethisches Verhalten im Unternehmen positiv hervorgehoben wird (z. B. in Mitarbeiterzeitungen oder durch Auszeichnungen für Integrität), fördert dies eine Kultur, in der Compliance als etwas Positives wahrgenommen wird und nicht nur als „Meckerkultur“ oder Fehlerfahndung.

Ganz zentral für die Akzeptanz ist der „Ton von oben“ (Tone at the Top): Die Unternehmensleitung und Führungskräfte müssen selbst überzeugend regelkonformes Verhalten vorleben. Erleben Mitarbeitende, dass die Chefs die Regeln ernstnehmen und bei Fehlverhalten konsequent reagieren, so werden sie eher bereit sein, diesen Weg mitzutragen. Herrscht dagegen der Eindruck, Compliance sei nur ein Feigenblatt oder gelte „für unten, aber nicht für oben“, erodiert die Glaubwürdigkeit aller Maßnahmen. Daher braucht es ein entschiedenes Vorleben der Werte durch die Führungsebene sowie eine konsequente Sanktionierung von Verstößen unabhängig von der Hierarchiestufe. Dies vermittelt Mitarbeitenden die Botschaft: Compliance lohnt sich und wird vom Unternehmen unterstützt. Im Ergebnis kann so eine Kultur entstehen, in der Mitarbeitende aus innerer Überzeugung regelkonform handeln – weil sie sich mit den Werten identifizieren und Vertrauen haben, dass dies der richtige Weg ist.

Auch für die einzelnen Mitarbeitenden selbst ergeben sich aus deutschem Recht Pflichten im Kontext der Compliance. Grundsätzlich ist jeder Arbeitnehmer verpflichtet, die geltenden Gesetze sowie rechtmäßige Weisungen des Arbeitgebers zu befolgen. Diese Treuepflicht ergibt sich aus dem Arbeitsvertrag und dem Direktionsrecht des Arbeitgebers. Allerdings endet die Gehorsamspflicht dort, wo illegale oder unethische Anweisungen beginnen. Mitarbeitende sind nicht verpflichtet – vielmehr sogar ausdrücklich dazu angehalten – rechtswidrige Weisungen ihres Vorgesetzten zu verweigern. Andernfalls machen sie sich unter Umständen selbst strafbar. Konkret bedeutet dies: Wenn ein Mitarbeiter z. B. die Anweisung erhielte, belastende Daten zu löschen, Bestechungsgelder auszuzahlen oder andere Gesetzesverstöße zu begehen, muss er diese Anordnung ablehnen. Die Rechtsordnung stellt sich hier eindeutig auf die Seite des Arbeitnehmers: Das Befolgen offenkundig rechtswidriger Anordnungen ist nicht nur unzumutbar, sondern oft selbst verboten. Die Weigerung, sich an einer Straftat zu beteiligen, darf keine arbeitsrechtlichen Konsequenzen (wie Abmahnung oder Kündigung) nach sich ziehen. Im Gegenteil, vom Mitarbeiter wird erwartet, im „eigenen Interesse und zum Schutz seiner Rechte“ solche Weisungen abzulehnen. Damit einher geht die Pflicht, gravierende Verstöße gegebenenfalls den zuständigen Stellen im Unternehmen zu melden – denn auch ein Mitwissen und Nichtstun könnte im Einzelfall als Pflichtverletzung gewertet werden (etwa wenn dadurch erheblicher Schaden entsteht).

Selbstverständlich unterliegen Mitarbeitende auch der persönlichen Haftung, wenn sie eigene Verfehlungen begehen. Straftaten oder Ordnungswidrigkeiten (z. B. aktive Bestechung, Betrug, Verstöße gegen Datenschutz) werden individuell nach den entsprechenden Gesetzen geahndet, unabhängig von Hierarchie oder Unternehmensvorgaben. Das heißt, ein Regelverstoß kann für den betreffenden Mitarbeiter strafrechtliche Folgen (Geld- oder Freiheitsstrafen) haben, neben arbeitsrechtlichen Konsequenzen bis hin zur fristlosen Kündigung. Aus Compliance-Sicht besonders relevant: Wenn ein Mitarbeiter durch sein Fehlverhalten dem Arbeitgeber einen Schaden zufügt (z. B. eine Geldbuße oder Schadenersatz an Dritte verursacht), kann er prinzipiell auch zum Ersatz dieses Schadens herangezogen werden. Im deutschen Arbeitsrecht gilt zwar zugunsten des Arbeitnehmers ein gestuftes Haftungsprivileg (wonach bei leichter Fahrlässigkeit keine, bei mittlerer eine anteilige und bei grober Fahrlässigkeit bzw. Vorsatz volle Haftung besteht). Bei vorsätzlichen Compliance-Verstößen – etwa einer bewussten Gesetzesverletzung aus eigenem Vorteil – ist jedoch eine volle Schadenshaftung des Mitarbeiters gegenüber dem Unternehmen denkbar. Praktisch versuchen Unternehmen in großen Skandalfällen durchaus, Regress bei verantwortlich handelnden Mitarbeitern zu nehmen.

Zusätzlich bestimmen branchenspezifische Rechtsvorschriften teils besondere Arbeitnehmerpflichten. Etwa im Bereich Arbeitssicherheit oder Umweltrecht gibt es für bestimmte Funktionsträger (z. B. Sicherheitsbeauftragte) gesetzliche Pflichten, für die Einhaltung einschlägiger Vorschriften Sorge zu tragen. Zwar betreffen solche Sonderregelungen nicht jeden Mitarbeiter, doch illustrieren sie, dass Compliance-Verantwortung bis in ausführende Ebenen hinein delegiert sein kann.

Insgesamt lässt sich festhalten: Von Mitarbeitenden wird rechtlich verlangt, sich gesetzestreu und loyal zu verhalten – im Zweifel eher ein rechtswidriges Tun zu verweigern als blind Gehorsam zu leisten. Interne Compliance-Richtlinien konkretisieren diese allgemeinen Pflichten und binden die Mitarbeitenden vertraglich an bestimmte Verhaltensstandards. Damit einher geht die Erwartung, dass Verstöße – ob eigene oder beobachtete – nicht verschwiegen werden. Die neuen Hinweisgeberschutz-Regeln stärken hier die Position der Beschäftigten, indem sie Meldungen schützen. Der rechtliche Rahmen unterstützt somit eine Kultur, in der jeder Mitarbeiter dazu beiträgt, rechtskonformes Verhalten im Unternehmen sicherzustellen.

Führungskräfte – also Personen mit Leitungsfunktion unterhalb der obersten Geschäftsleitung, z. B. Abteilungs- oder Bereichsleiter – profitieren in besonderer Weise von einem funktionierenden Compliance-Management-System. Zum einen bietet ein CMS ihnen klare Vorgaben und Prozesse, die sie bei der Führung ihrer Teams entlasten. Anstatt selbst für jeden Rechtsbereich Spezialist sein zu müssen, können sie auf die vom CMS bereitgestellten Richtlinien, Checklisten und Schulungsmaterialien zurückgreifen. Dies erhöht die Rechtssicherheit in ihrem Verantwortungsbereich: Entscheidungen können im Einklang mit den Compliance-Vorgaben getroffen werden, und Führungskräfte laufen weniger Gefahr, unwissentlich Regelverstöße zuzulassen. Gerade in komplex regulierten Feldern (z. B. Finanzbereich, Exportkontrolle, Produktsicherheit) ist ein strukturierter Compliance-Rahmen ein unverzichtbares Hilfsmittel für das mittlere Management.

Zum anderen schützt ein CMS die Führungskräfte auch persönlich. Wenn in ihrem Bereich – trotz aller Präventionsmaßnahmen – ein Compliance-Vorfall eintritt, kann eine nachgewiesene CMS-Konformität als Entlastungsargument dienen. Hat die Führungskraft alle erforderlichen Aufsichts- und Organisationspflichten erfüllt (etwa regelmäßige Kontrollen, Unterweisungen der Mitarbeiter, Meldung von Problemen nach oben), so wird man ihr kaum ein Organisationsverschulden vorwerfen können. In diesem Sinne wirkt ein CMS wie eine Haftungsschutz-Maßnahme: Es dokumentiert, dass die Führungskraft sich regelkonform verhalten hat und angemessene Vorkehrungen getroffen wurden. Einige Unternehmen gehen dazu über, Compliance-Verstöße (oder deren Ausbleiben) in die Zielvereinbarungen und Bonusregelungen für Führungskräfte aufzunehmen – was ebenfalls den Anreiz schafft, das Thema ernst zu nehmen. Umgekehrt bedeuten gravierende Skandale in der Regel auch für das mittlere Management unangenehme Folgen (von Gesichtsverlust bis zur Ablösung von ihrer Position). Ein CMS, das solche Skandale verhindert, wahrt somit auch den Karriereschutz und die Reputation der verantwortlichen Manager.

Ein oft unterschätzter Nutzen eines CMS ist außerdem die Effizienzsteigerung: Klare Prozesse (z. B. Genehmigungsverfahren für Ausgaben, Vier-Augen-Prinzip bei Kontrollen) sorgen für strukturierte Abläufe, die Fehlerquellen minimieren. Führungskräfte können sich darauf verlassen, dass wichtige Geschäftsvorgänge compliant ablaufen, was das Risiko von Pannen oder Rückabwicklungen senkt. Dies schafft einen reibungsloseren Betriebsablauf. Langfristig fördert eine stark ausgeprägte Compliance-Kultur auch das Vertrauen innerhalb des Teams: Mitarbeitende wissen, dass Leistung auf redliche Weise erwartet wird und dass unfaire Praktiken nicht toleriert werden. Dadurch entsteht ein verlässliches Umfeld, in dem die Führungskraft nicht permanent misstrauisch sein muss, ob in ihrem Team „etwas im Busch“ ist. Vielmehr können sie sich auf das Wesentliche – die Führung und Förderung ihrer Mitarbeiter – konzentrieren. So trägt das CMS indirekt zu besserer Führungsqualität und einem kooperativen Miteinander bei.

Es profitieren Führungskräfte von der Doppelfunktion des CMS: Es ist Werkzeugkasten und Sicherheitsnetz zugleich. Einerseits stellt es Handlungsleitfäden bereit, die der Führungskraft den Alltag erleichtern und die Unternehmensziele (inklusive Compliance-Ziele) erreichbar machen. Andererseits fungiert es als Schutzmechanismus, der im Falle von Problemen nachweist, dass die Führungskraft ihre Pflichten erfüllt hat – was im Ernstfall Haftungsansprüche oder disziplinarische Konsequenzen abmildern kann. Damit dient ein CMS letztlich auch dem eigenen Interesse der Manager, „nachhaltig erfolgreich für sich selbst und das Unternehmen“ zu agieren – sprich: Erfolge nicht auf riskante Weise um jeden Preis zu erzielen, sondern mit integren Mitteln, die langfristig Bestand haben.

Führungskräfte spielen eine Schlüsselrolle bei der Umsetzung von Compliance im Unternehmensalltag. Sie fungieren als Bindeglied zwischen der Unternehmensleitung, die die Compliance-Standards vorgibt, und den Mitarbeitenden, die diese im Tagesgeschäft befolgen sollen. In ihrer Rolle müssen Führungskräfte dafür sorgen, dass die in der Organisation etablierten Compliance-Regeln in ihrem Verantwortungsbereich bekannt sind, verstanden werden und konsequent Anwendung finden. Konkret bedeutet das: Eine Führungskraft muss ihre Mitarbeiter regelmäßig über geltende Richtlinien informieren, auf die Einhaltung hinwirken und Verstöße konsequent adressieren. Gemäß einer Studie und den Anforderungen des IDW PS 980 haben Führungskräfte neben ihrer eigenen Pflicht zu rechtskonformem Verhalten auch die Aufgabe, ihre Mitarbeiter zur Regelbefolgung zu motivieren. Sie müssen ihren Teams also vermitteln, warum die Einhaltung der Richtlinien wichtig ist, und sie dabei unterstützen.

Ein zentraler Aspekt der Führungsrolle ist das Vorbildverhalten. Mitarbeiter orientieren sich stark am Verhalten ihrer direkten Vorgesetzten. Wenn eine Führungskraft die Compliance-Vorgaben ernst nimmt – z. B. selbst Schulungen besucht, interne Kontrollen nicht umgeht, ethische Bedenken der Mitarbeiter anhört – dann setzt sie damit einen Standard für ihr Team. Im Gegensatz dazu kann eine laxe Haltung („Das kriegen wir schon irgendwie hin, Compliance ist nur Papierkram“) die Glaubwürdigkeit des gesamten CMS untergraben. Die Führungskräfte prägen die gelebte Kultur im Kleinen: ist diese integer und regelorientiert, werden die Mitarbeiter sich eher daran halten; herrscht hingegen ein Klima, in dem Umsatz um jeden Preis zählt und Regelbrüche insgeheim geduldet werden, nützen die besten Richtlinien wenig. Fachleute sind sich einig, dass „nur ein Konzept, das auf ‚Compliance als Führungsaufgabe‘ setzt,“ dauerhaft erfolgreich sein kann. Wurde Compliance früher oft als rein administrative Aufgabe einer Stabsstelle betrachtet, so hat sich gezeigt, dass dieses Modell scheitert. Ein noch so ausgefeiltes CMS kann sich nicht entfalten, wenn die Führungskräfte es nicht aktiv mittragen und umsetzen. Compliance muss daher fester Bestandteil der Führungsverantwortung sein.

Neben dem Kulturvorbild müssen Führungskräfte auch organisatorische Pflichten im CMS übernehmen. Dazu zählt insbesondere die Durchsetzung der Kontrollen und Prozesse: Eine Abteilungsleiterin muss z. B. darauf achten, dass das Vier-Augen-Prinzip bei Freigaben eingehalten wird, dass Risikoanalysen für ihren Bereich erstellt und aktualisiert werden, dass Mitarbeiter an vorgesehenen Schulungen teilnehmen und dass auf bekannte Probleme reagiert wird. In vielen Unternehmen ist es üblich, dass Führungskräfte regelmäßig Compliance-Reports an die nächsthöhere Ebene oder die zentrale Compliance-Stelle geben – etwa über Vorfälle, Schulungsquoten oder offene Risiken. Dadurch wird ein Compliance-Reporting von unten nach oben sichergestellt. Die Führungskräfte sind somit operative Compliance-Verantwortliche in ihrem Bereich. Man kann sagen: Die Unternehmensleitung setzt den Rahmen und die Werte, aber die Führungskräfte bringen diese „auf den Boden“ und integrieren sie in die Abläufe. Ohne ihr Engagement würde ein CMS in der Umsetzungslücke steckenbleiben.

Nicht zuletzt haben Führungskräfte häufig die Aufgabe, bei einem Verdacht auf Compliance-Verstöße Ermittlungen anzustoßen oder zu begleiten. Sie müssen wissen, wann sie die Compliance-Abteilung einschalten oder externe Stellen (etwa Revision, Rechtsabteilung) hinzuziehen müssen. Auch in der Kommunikation nach außen (z. B. zu Kunden oder Lieferanten) kommt ihnen eine Rolle zu: Sie müssen die Erwartung einer regelkonformen Geschäftspartnerschaft vertreten und ggf. Dritte auf die Compliance-Standards des eigenen Unternehmens verpflichten. Das verdeutlicht: Führungskräfte sind nicht nur Adressat von Compliance-Vorgaben der Unternehmensleitung, sondern aktiver Akteur bei deren Vermittlung an Mitarbeiter und Dritte. Ihre Position „in der Mitte“ macht sie zu Multiplikatoren der Compliance-Kultur.

Die Einbindung der Führungskräfte in das CMS ist erfolgskritisch – doch nicht immer von selbst gegeben. Manche mittlere Manager stehen Compliance-Initiativen zunächst skeptisch gegenüber, etwa aus Sorge vor zusätzlicher Bürokratie oder Einschränkung unternehmerischer Freiheit. Umso wichtiger ist es, die Akzeptanz auf dieser Ebene gezielt zu fördern. Ein Ansatzpunkt ist die Schulung und Sensibilisierung speziell von Führungskräften. Während für Mitarbeiter meist standardisierte Trainings genügen, sollten Führungskräfte vertiefte Weiterbildungen erhalten, die auf ihre besondere Rolle eingehen. In solchen Trainings kann vermittelt werden, welche persönlichen Haftungsrisiken bestehen, wenn Aufsichtspflichten verletzt werden – viele Manager unterschätzen diese zunächst. Es vergeht kaum ein Tag ohne Meldung über Managerhaftung in den Medien; und tatsächlich werden immer wieder Führungskräfte juristisch zur Verantwortung gezogen, weil sie Regelverstöße in ihrem Bereich nicht verhindert haben (sei es wegen Wegschauens oder mangelhafter Kontrollen). Das Bewusstsein, dass man selbst im Visier von Ermittlungen geraten kann, schafft oft die nötige Ernsthaftigkeit im Umgang mit Compliance. Hier hilft es auch, Positivbeispiele aufzuzeigen: Führungskräfte sollten erfahren, dass ein gut implementiertes CMS im Verdachtsfall als Entlastung wirken kann und dass es funktioniert, wenn sie mitziehen.

Ein zweiter Hebel ist die Integration von Compliance-Zielen in die Führungskennzahlen. Wenn Compliance ein Kriterium für Beurteilung und Beförderung wird, steigt automatisch das Interesse der Manager, in diesem Bereich erfolgreich zu sein. Einige Unternehmen definieren z. B. KPI wie „Anzahl der Schulungen im Team durchgeführt“ oder „kein signifikanter Verstoß im Verantwortungsbereich“ als Bestandteil der Jahresziele für Führungskräfte. Solche Mechanismen senden das Signal: Compliance ist Teil der Performance, kein optionales Hobby. Wichtig ist dabei, dass diese Ziele realistisch und fair sind – sie sollen das richtige Verhalten fördern, nicht zu Verschleierung von Problemen verleiten.

Auch Austausch und Unterstützung sind förderlich: Führungskräfte sollten nicht das Gefühl haben, mit Compliance-Aufgaben alleingelassen zu werden. Regelmäßige Runden (etwa bereichsübergreifende Compliance-Workshops für Manager) ermöglichen den Austausch von Best Practices und Herausforderungen. Wenn eine Führungskraft z. B. berichtet, wie sie erfolgreich ein Compliance-Dilemma gelöst hat, lernen andere daraus. Die Einrichtung von Compliance-Ansprechpartnern (etwa Compliance Officer auf Geschäftsbereichsebene) kann den Führungskräften zudem jemanden an die Seite stellen, den sie bei Unsicherheiten konsultieren können, ohne gleich die Vorstandsebene involvieren zu müssen.

Ein oft übersehener Aspekt ist die Anerkennung der Führungsrolle in der Compliance. Die Unternehmensleitung sollte wertschätzen, wenn Führungskräfte in ihrem Bereich vorbildliche Compliance-Kultur schaffen. Öffentliches Lob, Einbeziehung in die Weiterentwicklung des CMS oder andere Formen der Anerkennung zeigen den Managern, dass ihr Einsatz gesehen wird. So wird Compliance nicht als lästige Pflicht „von oben“ empfunden, sondern als integraler Bestandteil guter Führungsarbeit, der auch honoriert wird. Der oben zitierte Leitsatz „Führungskräfte müssen Compliance als integralen Bestandteil der Unternehmensführung verstehen und vorleben“ lässt sich nur dann umsetzen, wenn die Organisation den Rahmen dafür bietet: Schulung, Ressourcen, Motivation und Wertschätzung. Werden diese Faktoren beachtet, steigt die Wahrscheinlichkeit, dass Führungskräfte sich mit dem CMS identifizieren und es aktiv vorantreiben.

Juristisch gesehen bewegen sich Führungskräfte in einer Doppelrolle: Einerseits gelten für sie die allgemeinen Arbeitnehmerpflichten (wie für alle Mitarbeitenden), andererseits haben sie – oft de facto delegiert von der Unternehmensleitung – besondere Organisations- und Aufsichtspflichten. Das deutsche Recht kennt in §130 OWiG (Ordnungswidrigkeitengesetz) die Vorschrift über die Verletzung der Aufsichtspflicht. Diese richtet sich an Unternehmensinhaber oder Leitungspersonen und verlangt, durch angemessene Aufsichtsmaßnahmen Rechtsverstöße im Unternehmen zu verhindern. Wird diese Pflicht schuldhaft verletzt, begeht der Leitungsperson selbst eine Ordnungswidrigkeit, die mit empfindlichen Bußgeldern geahndet werden kann. Wichtig: Die Pflicht kann von der obersten Leitung delegiert werden – etwa an Bereichsleiter oder andere Führungskräfte. In diesem Fall tritt gemäß §9 OWiG der Delegationsempfänger in die Verantwortung. Mit anderen Worten: Wenn die Geschäftsführung bestimmten Führungskräften die Aufgabe übertragen hat, in ihrem Bereich für Compliance zu sorgen (Pflichtendelegation), stehen diese Führungskräfte persönlich in der Pflicht, die notwendigen Aufsichts- und Organisationsmaßnahmen zu treffen. Kommen sie dem nicht nach, haften sie ordnungswidrigkeitsrechtlich wie ein „Unternehmensinhaber“.

In der Praxis bedeutet dies zum Beispiel: Hat die Geschäftsleitung einen Vertriebsleiter ausdrücklich angewiesen, auf die Einhaltung der Kartellrechts-Compliance im Vertrieb zu achten, und verabsäumt dieser Vertriebsleiter trotz erkennbarer Risiken jegliche Kontrollmechanismen einzuführen, so kann er bei einem Kartellverstoß seines Teams nach §130 OWiG zur Verantwortung gezogen werden. Das Gesetz sieht hierfür Bußgelder von bis zu 1 Mio. € vor – für das Unternehmen selbst können in Folge nach §30 OWiG Geldbußen bis zu 10 Mio. € (bzw. deutlich höher bei Vorteilabschöpfung) verhängt werden.

Auch ohne formale Delegation unterliegen viele Führungskräfte faktisch einer Leitungspflichtenstellung, sobald sie eigenverantwortlich einen Unternehmensbereich führen. So werden in der Rechtsprechung beispielsweise Betriebs- oder Niederlassungsleiter häufig als „Leiter eines Unternehmens“ im Sinne von §30 OWiG angesehen – d. h. ihr eigenes Fehlverhalten (z. B. eine von ihnen begangene Straftat) kann direkt eine Verbandsgeldbuße gegen die Firma auslösen. Für solche leitenden Angestellten besteht somit ein hoher Druck, sich gesetzestreu zu verhalten, da sie im Ernstfall nicht nur persönlich straf- oder bußgeldrechtlich haften, sondern auch ihr Arbeitgeber zur Rechenschaft gezogen wird.

Neben dem Ordnungswidrigkeitenrecht greifen arbeitsrechtliche und zivilrechtliche Haftungsnormen. Eine Führungskraft (etwa ein Prokurist oder Bereichsleiter) hat gegenüber ihrem Arbeitgeber eine gesteigerte Treue- und Sorgfaltspflicht (§§ § 241 Abs.2 BGB, 611a BGB, analog § 93 AktG). Begeht sie eine schwere Pflichtverletzung, die dem Unternehmen Schaden zufügt, kann dies arbeitsrechtliche Sanktionen (bis zur Kündigung) und unter Umständen Schadenersatzansprüche des Unternehmens nach sich ziehen. In der Praxis wurden Manager bereits auf Schadenersatz in Anspruch genommen, wenn sie keine angemessenen Compliance-Strukturen in ihrem Verantwortungsbereich etabliert hatten. Ein aufsehenerregender Fall ist ein Urteil des Oberlandesgerichts Nürnberg (2022), das einen Geschäftsführer zur Zahlung von Schadenersatz verpflichtete, weil er es versäumte, ein ordnungsgemäßes CMS einzurichten. Konkret fehlte ein Vier-Augen-Prinzip bei Kreditlimitprüfungen; ein Mitarbeiter beging daraufhin unentdeckt Straftaten, was dem Unternehmen schadete. Das Gericht stellte klar, dass ein Geschäftsführer – und im weiteren Sinne auch jede delegierte Führungskraft – verpflichtet ist, eine interne Organisationsstruktur zu schaffen, die die Rechtmäßigkeit des Handelns sicherstellt. Dazu gehöre ausdrücklich ein funktionierendes Compliance-Management-System, um Rechtsverstöße durch Mitarbeiter zu verhindern. Kommt die Führungskraft dieser Pflicht nicht nach, macht sie sich gegenüber der Gesellschaft schadenersatzpflichtig. Dieses Beispiel verdeutlicht, dass Gerichte mittlerweile eine echte Rechtspflicht zur Compliance-Organisation anerkennen.

Zu beachten ist auch, dass bestimmte Spezialgesetze Führungskräften persönliche Verantwortlichkeiten auferlegen. Im Arbeitsschutz, Immissionsschutz oder auch im Datenschutz werden häufig „beauftragte Personen“ definiert, die für die Einhaltung der Vorschriften in ihrem Bereich zu sorgen haben (z. B. der betriebliche Datenschutzbeauftragte oder Sicherheitsingenieur). Wenn eine Führungskraft eine solche Position innehat, haftet sie bei Pflichtverletzungen nicht selten auch straf- oder ordnungswidrigkeitenrechtlich direkt (z. B. § 42 BDSG für vorsätzliche Datenschutzverstöße durch den Verantwortlichen).

Es gilt: Führungskräfte stehen rechtlich in der Verantwortung, in ihrem Einflussbereich ein regelkonformes Umfeld sicherzustellen. Tun sie dies nicht, drohen persönliche Sanktionen – von Bußgeldern bis Schadenersatzforderungen. Umgekehrt bietet die Existenz eines dokumentierten, wirksamen CMS einen gewissen Haftungsschutz: Eine Führungskraft, die nachweislich alle erforderlichen Compliance-Maßnahmen ergriffen hat, wird bei dennoch eintretenden Verstößen eher entschuldigt werden können. Die Maxime lautet somit aus rechtlicher Perspektive: Compliance ist Führungsaufgabe – wer führt, der muss rechtstreu führen.

Für die Unternehmensleitung – in der Regel Vorstand einer AG oder Geschäftsführung einer GmbH – ist der Nutzen eines Compliance-Management-Systems besonders vielschichtig. In erster Linie dient ein CMS als Schutzschild für das Unternehmen und damit auch für seine Leitungsgremien. Durch die systematische Prävention von Gesetzesverstößen bewahrt ein CMS das Unternehmen vor schweren finanziellen Schäden: Bußgelder in Millionenhöhe, Strafzahlungen, Schadenersatzklagen oder Auftragsverluste infolge von Skandalen können so vermieden oder deutlich reduziert werden. Gerade in global tätigen Konzernen können Compliance-Verstöße (etwa Korruption oder Sanktionsbruch) drakonische Strafen nach sich ziehen, die existenzbedrohend sind. Ein wirksames CMS ist daher ein integraler Bestandteil des Risikomanagements der obersten Führung: Es identifiziert frühzeitig Risiken, überwacht kritische Prozesse und gewährleistet, dass im Ernstfall sofort Gegenmaßnahmen eingeleitet werden. Damit trägt es zur langfristigen Bestandssicherung des Unternehmens bei – ein Kerninteresse jeder Unternehmensleitung.

Über den Schadensschutz hinaus ermöglicht ein CMS der Unternehmensführung, das Vertrauen der Stakeholder aufzubauen und zu erhalten. Investoren, Geschäftspartner, Kunden und Behörden erwarten heute von Großunternehmen, dass diese ihren rechtlichen und ethischen Verpflichtungen nachkommen. Die Implementierung eines angesehenen Standards (wie ISO 37301) oder die Zertifizierung nach IDW PS 980 dient als Gütesiegel gegenüber der Öffentlichkeit. Es zeigt, dass das Management Wert auf gute Unternehmensführung legt und sich überprüfbaren Standards stellt. Dies kann die Reputation stärken – ein nicht zu unterschätzender Faktor gerade bei börsennotierten Unternehmen, wo Reputationsverlust schnell zu Kurseinbrüchen führen kann. So verweist der ISO-Standard darauf, dass ein zertifiziertes CMS ein festes Bekenntnis zu ethischen Praktiken demonstriert. Auch Kreditgeber oder Versicherer honorieren mitunter ein gutes Compliance-System durch günstigere Konditionen, da es als Indikator für ein geringeres Risiko angesehen wird.

Ein weiterer konkreter Nutzen für die Unternehmensleitung ist die Haftungsminimierung auf persönlicher Ebene. Wie im nächsten Abschnitt dargestellt, trifft Vorstände und Geschäftsführer eine Legalitätspflicht – sie müssen also alle zumutbaren Maßnahmen ergreifen, um Rechtsverstöße im Unternehmen zu verhindern. Kommen sie dem nicht nach, drohen ihnen sowohl zivilrechtliche Ansprüche (z. B. aus § 93 Abs.2 AktG auf Schadenersatz) als auch regulatorische Sanktionen. Ein implementiertes und wirksames CMS kann im Haftungsfall als Nachweis dienen, dass die Leitung ihre Sorgfaltspflichten erfüllt hat. Tatsächlich sehen Gerichte die Existenz eines angemessenen Compliance-Systems heute als wesentlichen Entlastungsfaktor für Organmitglieder an. Ist ein CMS zertifiziert oder auditiert, so verbessert dies die Position der Unternehmensleitung erheblich, beispielsweise in einem Prozess mit Aktionären oder im Fall eines Ordnungswidrigkeitenverfahrens. Die KPMG weist darauf hin, dass die Zertifizierung eines CMS sogar als präventive Enthaftungsstrategie angesehen werden kann. Kurz: Ein CMS hilft, Organhaftungsrisiken zu reduzieren – ein Vorteil, der für Vorstände/Geschäftsführer in Zeiten zunehmender klagefreudiger Anspruchsteller (z. B. Sammelklagen, Investorenschutzklagen) zentral ist.

Nicht zuletzt hat ein CMS für die Unternehmensleitung steuernde und kulturelle Wirkung. Es schafft Strukturen, die eine transparente und konsistente Führung des Unternehmens erleichtern. Die Leitlinien und Werte, die im Code of Conduct und in den Compliance-Policies festgeschrieben werden, sind letztlich Ausdruck dessen, wie die Unternehmensleitung ihr Unternehmen führen will. Wird Compliance als Kernwert etabliert, fördert dies eine Kultur der Aufrichtigkeit und Verantwortlichkeit in allen Ebenen. Dies kann sich auch positiv auf die wirtschaftliche Performance auswirken: Studien legen nahe, dass Unternehmen mit stark verankerter Integritätskultur langfristig erfolgreicher und resilienter sind, da interne Missstände rechtzeitig korrigiert werden und Mitarbeiter motivierter sind, im Sinne des Unternehmens zu handeln. So kann eine gelebte Compliance sogar Innovation fördern – indem sie z.B. offene Kommunikation ermöglicht (Mitarbeiter trauen sich Probleme anzusprechen, anstatt sie zu vertuschen).

Es ist ein CMS für die oberste Leitung kein Selbstzweck, sondern ein unverzichtbares Führungsinstrument. Es bewahrt vor Rechtsrisiken, stärkt Reputation und Vertrauen, entlastet im Haftungsfall und implementiert die Unternehmenskultur von oben nach unten. In einer Welt immer schärferer Regulatorik (Stichwort: ESG-Vorgaben, Lieferkettengesetz, Datenschutz) ist ein robustes CMS letztlich auch Voraussetzung, um als Unternehmen handlungsfähig und “rechtssicher zukunftsfähig” zu bleiben. Die Unternehmensleitung hat also ein ureigenes Interesse am Erfolg des Compliance-Management-Systems.

Die Unternehmensleitung trägt die Gesamtverantwortung für das Compliance-Management-System. Dies beginnt mit der Einführung des CMS: Es ist Aufgabe von Vorstand bzw. Geschäftsführung, den Anstoß für die Implementierung eines CMS zu geben und die nötigen Ressourcen bereitzustellen. In vielen Fällen wird ein Mitglied der Leitung ausdrücklich zum Compliance-Verantwortlichen ernannt (z. B. ein Vorstandsressort "Integrity & Legal" oder ein Geschäftsführer mit Compliance-Verantwortung). Doch auch wenn ein Chief Compliance Officer (CCO) oder eine Rechtsabteilung operative Pflichten übernehmen, bleibt die Letztverantwortung beim Gesamtvorstand bzw. der Geschäftsführung. Die Unternehmensleitung muss sicherstellen, dass die Compliance-Organisation angemessen aufgebaut ist – dazu zählt die Bestellung kompetenter Compliance-Beauftragter, die Einrichtung einer passenden Organisationsstruktur (z. B. Compliance-Ausschuss, festgelegte Berichtswege) und die Verankerung von Compliance-Aufgaben in den Unternehmensprozessen.

Eine Kernrolle der Leitung ist das Setzen des “Tone at the Top”. Wie bereits mehrfach betont, signalisiert das Verhalten der obersten Führung den gesamten Mitarbeitern, welchen Stellenwert Compliance hat. Die Unternehmensleitung muss also selbst höchste Integrität an den Tag legen. Praktisch heißt das: Vorstände und Geschäftsführer halten sich streng an interne Regeln (keine Ausnahmen “nach Gutsherrenart”), sie betonen in Ansprachen die Bedeutung von Compliance, nehmen an Schulungen teil und kommunizieren offen, dass Fehler, aber keine bewussten Verstöße toleriert werden. Zudem muss die Leitung eine Fehler- und Meldekultur vorleben, in der Überbringer schlechter Nachrichten nicht bestraft werden. Wenn beispielsweise ein Geschäftsleitungsmitglied erfährt, dass in einem Auslandsableger Korruption gemeldet wurde, sollte es dies transparent gegenüber dem Aufsichtsrat und den Behörden handhaben, statt es zu vertuschen. Dieses Vorbild prägt die gesamte Organisation.

In strategischer Hinsicht obliegt es der Unternehmensleitung, die Compliance-Ziele festzulegen und ins Verhältnis zu den allgemeinen Unternehmenszielen zu setzen. Laut IDW PS 980 sollen die gesetzlichen Vertreter auf Basis der Unternehmensstrategie und Risikoanalyse bestimmen, welche Compliance-Ziele erreicht werden sollen (z. B. “Null-Toleranz bei Korruption”, “Einhaltung aller Umweltauflagen”, etc.). Diese Zielsetzung steuert dann die Prioritäten im CMS und bildet den Maßstab für interne und externe Prüfungen. Die Leitung muss ferner sicherstellen, dass die wesentlichen Risiken laufend identifiziert und bewertet werden – oft wird hierfür regelmäßiges Reporting an das oberste Management etabliert (z. B. quartalsweiser Compliance-Bericht an den Vorstand).

Weiterhin hat die Unternehmensleitung die Rolle, die Implementierung des CMS zu überwachen und dessen Wirksamkeit regelmäßig zu evaluieren. Das schließt ein, dass sie ausreichende Mittel bereitstellt (Budget, Personal) und Hindernisse bei der Umsetzung ausräumt. Ein Vorstand, der zwar auf dem Papier ein CMS einführt, es dann aber personell aushungert oder andere Ziele stets vorordnet, kommt seiner Rolle nicht nach. Vielmehr sollte die Unternehmensleitung Compliance als festen Tagesordnungspunkt in eigenen Sitzungen etablieren, Berichte des Compliance-Officers entgegennehmen und aktiv nachfassen, ob Maßnahmen greifen.

Auch die Berichtspflicht gegenüber dem Aufsichtsrat (bei Aktiengesellschaften) fällt hierunter: Der Vorstand muss den Aufsichtsrat regelmäßig über Compliance im Unternehmen unterrichten. Dies ergibt sich z.B. aus § 90 AktG (Mitteilungspflichten) und aus dem Corporate Governance Kodex, der vorsieht, dass der Aufsichtsrat die Wirksamkeit des internen Kontroll- und Compliancesystems überwachen soll. In diesem Sinne ist die Unternehmensleitung auch Mittler zwischen dem operativen Compliance-Management und der Überwachungsinstanz Aufsichtsrat.

Es ist die Rolle der Unternehmensleitung im CMS-Prozess die des Taktgebers und Garanten: Sie initiiert das System, gibt ihm Richtung und Ressourcen, integriert es in die Unternehmensführung und sorgt dafür, dass es gelebt wird. Kein noch so engagierter Compliance-Manager kann fehlendes Leadership in diesem Bereich ausgleichen. Daher verwundert es nicht, dass sowohl ISO 37301 als auch IDW PS 980 explizit fordern, dass oberste Leitung und Management aktiv in das CMS involviert sein müssen – sei es durch Führungsgrundsätze, Kommunikation oder direkte Beteiligung an Compliance-Prozessen. Nur wenn die Unternehmensleitung Compliance zu ihrer eigenen Sache macht, kann das System im ganzen Unternehmen greifen.

Obwohl die Unternehmensleitung formell selbst das CMS ins Leben ruft, ist es wichtig, auch innerhalb dieses Gremiums eine einheitliche und nachhaltige Akzeptanz für Compliance zu fördern. In der Praxis kann es vorkommen, dass einzelne Top-Manager zunächst Vorbehalte haben – zum Beispiel aus Sorge, Compliance könnte die Agilität des Geschäfts bremsen oder man könne Chancen verpassen, wenn man zu “zaghaft” agiert. Hier ist Überzeugungsarbeit und internes Alignment gefragt. Oft hilft es, die positiven Wirkungen eines CMS für den Geschäftserfolg hervorzuheben (wie im Nutzen-Teil beschrieben): z.B. dass ein guter Ruf und das Vertrauen der Kunden auf lange Sicht wichtiger sind als kurzfristige Vertragsabschlüsse um jeden Preis. Die Argumentation “Compliance als Werttreiber” – etwa dass immer mehr Auftraggeber nach Compliance-Zertifizierungen verlangen und man ohne CMS von gewissen Märkten ausgeschlossen wird – kann skeptische Geschäftsleiter pragmatisch überzeugen. Tatsächlich fordern heute einige Großkunden oder öffentliche Ausschreibungen den Nachweis eines CMS (etwa ISO 37301-Zertifikat) als Voraussetzung, was Compliance zu einem echten Marktzugangsfaktor macht.

Ein weiterer Aspekt ist die persönliche Betroffenheit: Kein Vorstandsmitglied möchte in den Schlagzeilen enden oder gar strafrechtlich zur Verantwortung gezogen werden. Die drastischen Beispiele der Vergangenheit (Siemens-Korruptionsaffäre, VW-Dieselskandal, Wirecard usw.) haben vielen Top-Managern vor Augen geführt, dass Versagen im Compliance-Bereich Karrieren abrupt beenden kann und sogar mit persönlicher Haftung, Strafverfahren und massiver Rufschädigung einhergeht. Dieses Bewusstsein schafft Bereitschaft, Compliance-Erfordernisse nicht als bürokratische Fessel, sondern als Schutzmechanismus auch für sich selbst zu akzeptieren. Interne Workshops auf Vorstandsebene, evtl. unter Mitwirkung externer Experten (Anwälte, Wirtschaftsprüfer), können helfen, die neuesten Entwicklungen in Gesetzgebung und Rechtsprechung darzustellen und klarzumachen, wo die Pflichten der Leitung liegen. Wenn etwa ein neues Gesetz (wie das Lieferkettensorgfaltspflichtengesetz) herauskommt, sollte die Geschäftsführung geschlossen verstehen, was das für das interne CMS bedeutet und welche Anpassungen notwendig sind.

Zur Förderung der Beteiligung kann die Unternehmensleitung auch interne Verantwortlichkeiten und Anreize setzen. Beispielsweise könnte im Vorstand ein bestimmtes Mitglied als Sponsor für Compliance fungieren, der intern immer wieder Impulse gibt (so eine Art “Compliance-Patenschaft” im Top-Management). Außerdem sollten Erfolge des CMS – z. B. bestandene Audits, erfolgreich durchgeführte Compliance-Projekte – auch auf Leitungsebene gewürdigt und kommuniziert werden. Dies verhindert, dass das Thema in der Hektik des Geschäfts untergeht. Ein häufiger Fehler ist, dass zwar formal ein CMS installiert wird, dann aber im Führungsalltag andere Themen Priorität haben und Compliance nur bei Problemen zur Sprache kommt. Dem gilt es entgegenzuwirken, indem die Verankerung in der Unternehmensstrategie kontinuierlich gelebt wird: Der Vorstand sollte regelmäßig hinterfragen, ob Entscheidungen mit den Unternehmenswerten und Compliance-Grundsätzen vereinbar sind. Strategische Richtungsentscheide (z. B. Markteintritte in Länder mit hohem Korruptionsrisiko) sollten immer die Compliance-Perspektive mit berücksichtigen.

In manchen Fällen kann auch der Druck externer Anspruchsgruppen genutzt werden, um die Akzeptanz zu stärken. Etwa verlangen Investoren im Zuge von ESG-Kriterien (Environment, Social, Governance) vermehrt Informationen zum Compliance-Management. Ratingagenturen bewerten die Governance-Qualität. Diese externen Erwartungen zu erfüllen, wird zum Teil der Vergütung der Vorstände zugrunde gelegt (z. B. kann ein KPI für den Vorstand sein: “Keine schwerwiegenden Compliance-Vorfälle im Geschäftsjahr” oder “Implementierung eines bestimmten Compliance-Programms”). So wird greifbar, dass der Erfolg des CMS auch persönlicher Erfolg der Unternehmensleitung ist.

Es sollte im obersten Führungsgremium eine gemeinsame Überzeugung herrschen, dass Compliance ein Gewinn und kein Verlust ist. Dazu gehört die Erkenntnis, dass ein ethisch geführtes Unternehmen langfristig resilienter und erfolgreicher ist. Wenn alle Mitglieder der Unternehmensleitung hinter dieser Philosophie stehen, wird sich dies auf die gesamte Organisation übertragen. Die Entwicklung dahin ist manchmal ein Prozess – gerade ältere Führungskräfte mit traditionellen Einstellungen müssen bisweilen umdenken. Doch die aktuellen Trends (zunehmende Regulierung, öffentliches Wertebewusstsein) lassen hier kaum eine Alternative: Die Unternehmensleitung eines Großunternehmens in Deutschland kann es sich nicht leisten, Compliance zu ignorieren oder halbherzig zu behandeln. In Summe lässt sich die Akzeptanz fördern, indem man Werteargumente, wirtschaftliche Argumente und persönliche Sicherheitsargumente geschickt verbindet, sodass die Leitung Compliance nicht als Belastung, sondern als integralen Bestandteil ihres Führungsauftrags begreift.

Die Mitglieder der Unternehmensleitung (Vorstände einer AG bzw. Geschäftsführer einer GmbH) unterliegen in Deutschland klar definierten rechtlichen Pflichten, ein wirksames Compliance-System einzurichten und aufrechtzuerhalten. Aus gesellschaftsrechtlicher Sicht ergibt sich dies zunächst aus der Legalitätspflicht als Teil der Sorgfaltspflichten eines ordentlichen und gewissenhaften Geschäftsleiters. Für Aktiengesellschaften ist in § 93 Abs.1 Satz 1 AktG festgelegt, dass der Vorstand die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden hat. Nach herrschender Meinung und Rechtsprechung umfasst diese Sorgfaltspflicht ausdrücklich auch die Pflicht, für die Einhaltung der Rechtsvorschriften im Unternehmen zu sorgen. Der Vorstand muss also ein Compliance-Management-System einführen, um schwerwiegende Rechtsverstöße im Unternehmen zu verhindern. Diese Pflicht wurde in mehreren Urteilen bestätigt, u.a. hat das Landgericht München I bereits 2013 im Schadensersatzprozess gegen einen früheren Siemens-Vorstand betont, dass ein Vorstand ohne angemessenes Compliance-System seine organisatorischen Pflichten verletzt. Ebenso ist in § 91 Abs.2 AktG die Einrichtung eines angemessenen Risikofrüherkennungssystems vorgeschrieben – was auch Compliance-Risiken mit einschließt. Übertragen auf die GmbH gelten vergleichbare Pflichten aus § 43 GmbHG (Geschäftsführerhaftung). Mit anderen Worten: Die Unternehmensleitung ist rechtlich dafür verantwortlich, eine Organisation zu schaffen, die Rechtsverstöße verhindert und Risiken frühzeitig erkennt. Compliance ist damit nicht freiwillig, sondern eine Rechtspflicht im Rahmen ordnungsgemäßer Unternehmensführung.

Wie zuvor beim mittleren Management erläutert, stellt § 130 OWiG auch an die Unternehmensleitung als “tatsächlich Führungsverantwortliche” die Anforderung, durch angemessene Aufsicht Zuwiderhandlungen zu verhindern. Für Vorstände und Geschäftsführer bedeutet dies konkret, dass sie eine Unternehmensorganisation mit geeigneten Kontrollmechanismen implementieren müssen – also ein CMS mit den erforderlichen Elementen (wie z.B. dem Vier-Augen-Prinzip, funktionierenden Kontrollsystemen in gefahrgeneigten Bereichen etc.). Versäumen sie dies, können sie selbst mit einem Bußgeld belangt werden. Zudem kann gegen das Unternehmen eine Verbandsgeldbuße nach § 30 OWiG verhängt werden, wenn ein Leitungsperson Straftaten begeht oder Aufsichtspflichten verletzt. Die Nürnberger Entscheidung von 2022, die einen Geschäftsführer wegen fehlenden CMS zu Schadensersatz verurteilte, illustriert die zivilrechtliche Komponente: Die Geschäftsleitung haftet gegenüber der Gesellschaft für Schäden, die aus der Verletzung ihrer Organisationspflichten entstehen. Es kann also passieren, dass ein Geschäftsführer persönlich für ein Bußgeld oder einen durch Compliance-Versagen entstandenen Schaden einstehen muss – entweder indem der Aufsichtsrat ihn intern in Regress nimmt (wie es nach dem berühmten ARAG/Garmenbeck-Urteil BGH 1997 geboten ist, wenn Ansprüche gegen Organmitglieder im Raum stehen), oder indem Dritte (z.B. Insolvenzverwalter, Anleger) ihn direkt auf Schadenersatz verklagen.

Auch die strafrechtliche Verantwortlichkeit der obersten Führung ist zu nennen: Zwar gibt es in Deutschland kein echtes Managerstrafrecht für unterlassene Compliance (im Gegensatz etwa zu den USA, wo ein CEO für Betrügereien im Unternehmen unter bestimmten Umständen haftet, siehe “responsible corporate officer doctrine”). Allerdings können Vorstände/GF wegen Beihilfe oder Anstiftung zu Mitarbeiterstraftaten bestraft werden, wenn sie wissentlich weggesehen oder solche gefördert haben. Praktisch relevanter ist aber das Verbandssanktionsrecht im Wandel: Während derzeit die Ahndung von Unternehmensstraftaten über OWiG läuft, war in den letzten Jahren ein Verbandssanktionengesetz in Vorbereitung, das die Anforderungen an Compliance als strafmildernden Umstand noch deutlicher hervorgehoben hätte. Auch wenn dieses Gesetz (Stand 2025) noch nicht verabschiedet ist, signalisiert der Gesetzgeber doch klar, dass er Compliance-Anstrengungen honorieren will. So heißt es in der Begründung zu den Entwürfen, dass ein effektives Compliance-Management bei der Zumessung von Verbandssanktionen berücksichtigt werden soll. Damit würde die Pflicht der Leitung, ein CMS einzurichten, indirekt noch stärker betont.

Abgesehen von diesen Pflichten zur Verhinderung von Gesetzesverstößen kommen auf die Unternehmensleitung bei eingetretenen Verstößen Handlungspflichten zu. Werden z.B. erhebliche Compliance-Verstöße bekannt, müssen Vorstände/GF unverzüglich für Aufklärung sorgen, die notwendigen internen Untersuchungen veranlassen und mit den Behörden kooperieren. Ein Unterlassen kann als Verletzung der Legalitätspflicht gewertet werden. Außerdem müssen ggf. Ad-hoc-Mitteilungen erfolgen (bei börsennotierten Unternehmen, wenn es kursrelevant ist) – auch das fällt in den Verantwortungsbereich der Leitung.