Strafrechtliche Risiken für Unternehmensverantwortliche

Das Mitglied der Geschäftsführung oder des Vorstandes, das in voller Tatsachenkenntnis persönlich handelt, entsprechende Anweisungen erteilt oder inkriminierte Handlungen von Untergebenen duldet, haftet strafrechtlich selbst als Täter, Mittäter oder Gehilfe. Rechtlich komplex sind die Fälle, in denen das Mitglied eines mehrköpfigen Führungsorgans entweder keine konkrete Kenntnis von Straftaten seiner Gremienkollegen hat, diese zur Kenntnis nimmt, aber nicht verhindert, sich auf die Verantwortung anderer verlässt oder keine Sorge für hinreichende Organisationsstrukturen trägt. Die Verletzung der Pflicht zur Einrichtung eines Compliance-Management-Systems kann zu einer Pflichtverletzung führen, die zu einer Strafbarkeit der Unternehmensleitung führt. Es ist die überwiegende Auffassung, dass der Vorstand dafür Sorge tragen muss, dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetzesverstöße erfolgen. Ein Vorstandsmitglied erfüllt seine Organisationspflicht bei entsprechender Gefährdungslage nur, wenn es eine Compliance-Organisation einrichtet. Dabei sind Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz und Verdachtsfälle aus der Vergangenheit entscheidend.

Die Entwicklung hin zu einer Gesamtverantwortlichkeit der Leitungsgremien des Unternehmens nahm ihren Ausgang in der "Lederspray-Entscheidung" aus dem Jahr 1990. Die Angeklagten waren Geschäftsführer mehrerer (verbundener) Gesellschaften, die sich unter anderem mit der Herstellung und dem Vertrieb von Lederspray befassten. Nachdem Meldungen über signifikante Gesundheitsschädigungen nach Gebrauch des Ledersprays eingegangen waren, beschloss die mehrköpfige Geschäftsführung in einer extra einberufenen Sitzung zwar eine Veränderung des produktspezifischen Warnhinweises, jedoch keine öffentliche Warnung oder einen Produktrückruf des vertriebenen Ledersprays. Sowohl das Landgericht Mainz als auch der Bundesgerichtshof bewerteten das weitere Inverkehrbringen des Ledersprays als vorsätzliche gefährliche Körperverletzung und das Unterlassen des Produktrückrufs als vorsätzliche gefährliche Körperverletzung durch Unterlassen aller Geschäftsführer. Obwohl sich ein Geschäftsführer zunächst für eine Rückrufaktion ausgesprochen hatte, sich aber der Mehrheitsmeinung anschloss, nahm der Bundesgerichtshof in Krisensituationen, in denen das gesamte Unternehmen betroffen ist, eine Gesamtverantwortlichkeit der Geschäftsleitung an. Dies führte dazu, dass im Falle eines (Mehrheits-)Beschlusses eines Kollegialorgans das Gesamtverhalten des Organs als strafbar angesehen wurde. Alle an der Abstimmung beteiligten Personen wurden vom Bundesgerichtshof als Mittäter gemäß § 25 Abs. 2 StGB betrachtet. Mit dieser Entscheidung leitete der Bundesgerichtshof 1990 einen Paradigmenwechsel ein, der die Strafbarkeit im Unternehmen direkt bei der Unternehmensleitung ansiedelte und zu einer "Top-down-Zurechnung" führte.

Die Rechtsprechung im Unternehmensstrafrecht verlagert sich von dem ursprünglichen Grundsatz der individuellen Verantwortlichkeit einer natürlichen Person hin zu einer Art Kollektivhaftung aller Gremienmitglieder für eine rechtswidrige Entscheidung im Kollegialorgan.

Der Grundsatz der Generalverantwortung und Allzuständigkeit der Geschäftsleitung, der auch eine strafrechtliche Verantwortlichkeit des Gesamtorgans nach sich zieht, findet primär in Situationen Anwendung, in denen das gesamte Unternehmen betroffen ist. Trotz des aus dem Gesellschaftsrecht abgeleiteten „Prinzips der gemeinschaftlichen Geschäftsführung“ gibt es in der Praxis bedeutende Ausnahmen. Häufig wird aus Effektivitätsgründen eine Aufteilung der Geschäftsführungsaufgaben auf die Mitglieder der Kollegialorgane vorgenommen. Abweichende Organisationsformen von diesem Prinzip sind beispielsweise die Gewährung einer Einzelgeschäftsführungsbefugnis an bestimmte Organmitglieder, die Zuordnung von Verantwortlichkeiten für spezifische Ressourcen oder die Vergabe einer auf bestimmte Unternehmensbereiche bezogenen Einzelgeschäftsführungsbefugnis. Solche Abweichungen vom Prinzip der Gesamtgeschäftsführung sind gemäß § 77 Abs. 1 Satz 2 AktG auch bei Aktiengesellschaften zulässig. Sie ermöglichen es den jeweils geschäftsführungsbefugten Vorstandsmitgliedern, im Rahmen ihrer Befugnisse eigenverantwortlich zu handeln. Eine solche Geschäftsverteilung oder Ressortaufteilung auf Geschäftsführungsebene erfordert laut Bundesgerichtshof jedoch eine klare und eindeutige Abgrenzung der Geschäftsführungsaufgaben. Diese sollte von allen Organmitgliedern unterstützt werden und die vollständige Wahrnehmung der Geschäftsführungsaufgaben durch qualifizierte Personen sicherstellen. Dabei muss die Zuständigkeit des Gesamtorgans für nicht delegierbare Geschäftsführungsaufgaben gewahrt bleiben. Eine solche Aufgabenverteilung muss nicht notwendigerweise schriftlich festgehalten werden, obwohl eine schriftliche Dokumentation oft das geeignetste Mittel für eine klare Aufgabenabgrenzung ist.

Die Kernaufgaben der Unternehmensleitung unterliegen bei einer „horizontalen Delegation“ bestimmten Grenzen. Es ist nicht zulässig, die grundsätzliche Planungs- und Steuerungsverantwortung, die Organisationsverantwortung, die Finanzverantwortung sowie nach herrschender Meinung auch die Verantwortung für die Einrichtung einer Compliance-Organisation zu delegieren. Diese Aufgaben gehören zu den „unveräußerlichen Leitungsaufgaben des Gesamtvorstandes“. Eine vollständige Delegation dieser Aufgaben an einzelne Vorstandsmitglieder oder andere Mitarbeiter oder die Delegation von Einzelaufgaben, die dem Gesamtvorstand beispielsweise durch das Aktiengesetz zugewiesen sind, ist daher nicht zulässig. Trotz einer (zulässigen) Delegation bleibt die Gesamtverantwortung aller Gremienmitglieder für die ordnungsgemäße und rechtmäßige Gesamtleitung des Unternehmens bestehen. Das Kollegialorgan muss daher sicherstellen, dass der Gesamtvorstand bei einer Delegation ordnungsgemäß vom zuständigen Mitglied informiert wird und die (delegierte) Einzelverantwortung kontrolliert und überwacht wird. Um sicherzustellen, dass die Informationspflicht ordnungsgemäß erfüllt wird, muss der Vorstand ein System ordnungsgemäßer Berichterstattung einrichten. Dieses System ermöglicht den anderen Kollegialmitgliedern, ihre Kontroll- und Überwachungspflichten wahrzunehmen. Wenn es Hinweise auf eine sorgfaltswidrige oder unrechtmäßige Geschäftsführung durch ein Mitglied eines Kollegialorgans gibt, hat das Gesamtorgan nicht nur das Recht, einzugreifen, sondern auch die Pflicht, dies zu tun, um das Problem im Rahmen einer verbindlichen Kollegialentscheidung zu lösen.

Die Geschäftsleitung kann in der Praxis nicht alle Entscheidungen selbst treffen, daher ist eine Delegation der Aufgabendurchführung an untergeordnete Mitarbeiter oder externe Dritte, die sogenannte „vertikale Delegation“, notwendig und zulässig. Damit diese Delegation auch strafrechtlich unbedenklich ist, muss der zuständige Mitarbeiter ordnungsgemäß ausgewählt, eingewiesen und mit den notwendigen Kompetenzen und Mitteln ausgestattet werden. Zudem muss seine Tätigkeit im Rahmen der Generalverantwortlichkeit der Geschäftsleitung überwacht werden. Ein angemessenes Berichtswesen ist erforderlich, um sicherzustellen, dass alle wesentlichen Vorgänge der Geschäftsleitung vorgelegt werden. So kann die Geschäftsleitung gemäß der „Business Judgement Rule“ des § 93 Abs. 1 Satz 2 AktG auf Basis angemessener Informationen Entscheidungen treffen. Wenn die Delegation ordnungsgemäß erfolgt, besteht für die Geschäftsleitung nur dann ein strafrechtliches Risiko oder das Risiko einer Aufsichtspflichtverletzung gemäß § 130 OWiG, wenn ein Auswahlverschulden, eine unzureichende Einweisung, eine unzureichende Bereitstellung von Kompetenzen und Ressourcen oder ein Überwachungsverschulden vorliegt. Die ordnungsgemäße Delegation, die Festlegung und Abgrenzung von Verantwortungsbereichen, die Kompetenzzuweisung und Überwachung, einschließlich laufender Kontrollen oder „Compliance-Audits“ sowie der Erlass von Organisations- und Dienstanweisungen, sind Teil der Pflicht der Unternehmensleitung, ein ordnungsgemäßes Compliance-Management-System einzuführen.

Der Compliance Officer, der selbst aktiv handelt oder in strafrechtlich relevante Verhaltensweisen eingebunden ist, trägt eine eigenständige strafrechtliche Verantwortlichkeit. Es ist jedoch umstritten, ob er sich aufgrund seiner Funktion durch Unterlassen strafbar machen kann, wenn er es versäumt, problematische Verhaltensweisen im Unternehmen zu beenden, obwohl er selbst nicht in solche Verhaltensweisen eingebunden ist. Für eine Strafbarkeit wegen Unterlassens müsste ihm eine Garantenpflicht zur Abwendung des strafrechtlich relevanten Erfolges obliegen. Diese Garantenpflicht, wie die Pflicht, betriebsbezogene Straftaten von Betriebsangehörigen zu verhindern, trifft in erster Linie die Mitglieder des geschäftsführenden Organs. Diese sogenannte „Geschäftsherrenhaftung“ basiert auf der Vorstellung, dass der Geschäftsleiter für das von ihm geführte Unternehmen als „Gefahrenquelle“ verantwortlich ist und sicherstellen muss, dass von dieser Gefahrenquelle keine Risiken, wie typische betriebsbezogene Straftaten, ausgehen. Eine Garantenpflicht besteht jedoch nicht für betriebsuntypische Straftaten, also allgemeine Kriminalität von Mitarbeitern ohne Betriebsbezug, wie Diebstähle, Beleidigungen oder sexuelle Übergriffe.

Mit dem Urteil vom 17.7.2009 äußerte sich der Bundesgerichtshof im Rahmen eines obiter dictum erstmals zur Frage der Garantenpflicht eines Compliance Officers. Im Verfahren ging es um die Verurteilung des Leiters der Rechtsabteilung und Revision der Berliner Stadtreinigung wegen Beihilfe zum Betrug durch Unterlassen zu einer Geldstrafe von 120 Tagessätzen. Er wusste von überhöhten Gebührenfestsetzungen und meldete diese nicht beim Vorstand. Der BGH sah eine Garantenstellung aufgrund seiner Position als Leiter der Rechtsabteilung und der Innenrevision einer Anstalt des öffentlichen Rechts. Diese Garantenpflicht entsteht, wenn jemand Obhutspflichten für eine Gefahrenquelle hat und somit eine „Sonderverantwortlichkeit“ für den übernommenen Verantwortungsbereich trägt. Das Aufgabengebiet eines Compliance Officers besteht darin, Rechtsverstöße, einschließlich Straftaten, die aus dem Unternehmen heraus begangen werden, zu verhindern. Diese Pflicht gegenüber der Unternehmensleitung führt in der Regel zu einer strafrechtlichen Garantenpflicht gemäß § 13 StGB. Die Entscheidung des BGH ist bis heute umstritten. Es bleibt unklar, ob daraus eine eigenständige Garantenstellung des Compliance Officers abgeleitet wird oder ob nur darauf hingewiesen wird, dass eine „sekundäre Garantenpflicht“ durch Delegation der Garantenpflicht des Geschäftsherrn an den Compliance Officer besteht. In der Literatur gibt es Unterscheidungen zwischen „öffentlich-rechtlich belasteten Zusammenhängen“, in denen der Compliance Officer eine originäre Garantenpflicht hat, und einer rein gewerblich-privatwirtschaftlichen Organisation, in der nur die Geschäftsleitung originäre Handlungspflichten hat.

Die Vergütung des Compliance Officers ist kein Kriterium für die Entstehung der Garantenpflicht. Wenn die Funktion des Compliance Officers sich auf die interne Kontrolle und Beratung beschränkt, bleibt die Garantenstellung beim Leitungsorgan. Der Hauptinhalt der Garanten- bzw. Handlungspflicht des Compliance Officers besteht aufgrund seiner Position im Unternehmen in der Regel in der Information der Geschäftsleitung, sodass diese ihre Geschäftsherrenpflichten erfüllen kann. Eine komplette Delegation der Geschäftsherrenpflichten an den Compliance Officer ist nicht möglich, da neben den originären, nicht delegierbaren Garantenpflichten immer eine (Rest-)Überwachungspflicht beim Geschäftsherrn bleibt.

Der Aufsichtsrat muss sowohl personell als auch organisatorisch einen leistungsfähigen Vorstand gewährleisten und gemäß § 111 Abs. 1 AktG dessen Geschäftsführung überwachen. Neben dieser Überwachungsfunktion hat der Aufsichtsrat in bestimmten Bereichen auch echte Geschäftsleitungspflichten. Dazu gehört die Vertretung der Gesellschaft gegenüber den Vorstandsmitgliedern bei allen Rechtsgeschäften sowie Rechtsstreitigkeiten jeder Art gemäß §§ 112, 87 Abs. 1,89 Abs. 1 AktG, beispielsweise in Fragen der in der jüngeren Vergangenheit diskutierten Themen der Festsetzung der Vorstandsvergütung oder der Prämiengewährung gemäß § 87 AktG. Ebenso entscheidet der Aufsichtsrat über die Geltendmachung von Schadensersatzansprüchen gegenüber Vorstandsmitgliedern. Zudem hat der Aufsichtsrat die Pflicht, insbesondere den Jahresabschluss, den Lagebericht, den Konzernabschluss und den Konzernlagebericht gemäß § 171 AktG zu prüfen sowie gemäß § 172 AktG an der Feststellung des Jahresabschlusses mitzuwirken. In diesem Zusammenhang haben Vorstand und Aufsichtsrat gemeinsame Pflichten bei der Aufstellung und Feststellung des Jahresabschlusses. Das Ergebnis ist, dass in diesem Kontext eine beidseitige strafrechtliche Verantwortung, etwa hinsichtlich des Tatbestandes der unrichtigen Darstellung gemäß § 331 HGB bzw. § 400 AktG, möglich ist. Die Strafvorschriften der §§ 331 HGB und 400 AktG, die eine unrichtige Darstellung der Verhältnisse der Kapitalgesellschaft betreffen, richten sich ausdrücklich an die Mitglieder des vertretungsberechtigten Organs sowie des Aufsichtsrats einer Kapitalgesellschaft.

Aufgrund der allgemeinen Verhaltenspflichten, die den Aufsichtsrat aufgrund seiner Organstellung treffen, insbesondere Loyalitäts-, Verschwiegenheits- und Wahrheitspflichten, bestehen auch hier originäre strafrechtliche Verantwortlichkeiten, wie beispielsweise im Falle der Verletzung der Geheimhaltungspflicht gemäß § 404 AktG.

Eine eigenständige strafrechtliche Verantwortlichkeit des Aufsichtsrates besteht, wenn der Aufsichtsrat in Ausübung seiner Geschäftsführungskompetenzen unternehmerische Entscheidungen trifft. Dies betrifft Bereiche wie die Festsetzung der Vorstandsvergütung oder die Prämiengewährung gemäß § 87 AktG sowie die Entscheidung über die Geltendmachung von Schadensersatzansprüchen gegenüber Vorstandsmitgliedern. In solchen Fällen gelten für den Aufsichtsrat die Anforderungen nach § 116 Satz 1 in Verbindung mit § 93 Abs. 1 AktG. Diese Anforderungen orientieren sich an der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters. Der Bundesgerichtshof hat in der "Mannesmann"-Entscheidung bestätigt, dass bei Vergütungsentscheidungen der Aufsichtsrat nach §§ 93 Abs. 1, 116 Satz 1 AktG handeln muss. Da der Aufsichtsrat in solchen Fällen wie ein Vorstand handelt, legt der BGH ihm das für Geschäftsleiter geltende Pflichtenprogramm auf. Dies gilt auch für den Bereich der Pflicht des Aufsichtsrates zur Prüfung und Geltendmachung von Schadensersatzansprüchen gegen Vorstandsmitglieder.

Wenn Anhaltspunkte für ein potenziell haftungsrelevantes Verhalten des Vorstandes vorliegen, muss der Aufsichtsrat dieses Verhalten aufklären oder fachkundig aufklären lassen. Stellt sich heraus, dass ein Schadensersatzanspruch besteht, hat der Aufsichtsrat die Pflicht, diesen geltend zu machen. Nur in Ausnahmefällen, wenn übergeordnete Gründe des Unternehmenswohls dagegensprechen, kann von einer Geltendmachung abgesehen werden. Das vorsätzliche Nicht-Geltendmachen bestehender Ansprüche kann eine direkte strafrechtliche Haftung der Aufsichtsratsmitglieder zur Folge haben. Dies erhöht insbesondere im Bereich der Untreue gemäß § 266 StGB das strafrechtliche Haftungsrisiko für Aufsichtsräte erheblich.

Neben der direkten Täterschaft eines Mitgliedes eines Leitungsorganes eines Unternehmens, weil das Organmitglied selbst aktiv wurde oder aufgrund der Zurechnung einer Kollegialentscheidung, ergibt sich oft die Frage nach der Zurechnung von Handlungen der Mitarbeiter am unteren Ende einer hierarchischen Struktur gegenüber dem Geschäftsherrn, der in der Regel die strategischen und unternehmerischen Entscheidungen trifft. Wenn der Mitarbeiter im Kontext einer hierarchischen Struktur auf Basis spezifischer Arbeitsanweisungen und standardisierter Arbeitsabläufe handelt, resultiert eine strafrechtliche Verantwortlichkeit der Unternehmensleitung in der Regel nur dann, wenn die Anweisungen schon auf eine strafrechtlich relevante Handlung abzielten. In solch einem Szenario könnte entweder eine Mittäterschaft oder zumindest eine Anstiftung durch den Geschäftsherrn gegeben sein.

Unter dem aus dem Zivilrecht bekannten Begriff des „Organisationsverschuldens“ versteht man die schuldhafte Nichtbeachtung der Organisationspflichten, die die Geschäftsleitung trifft, oder schuldhaft gemachte Fehler bei der Organisation des Unternehmens. Da eine solche Vernachlässigung von Organisationspflichten in der Regel nicht vorsätzlich erfolgt, resultiert aus einem solchen Unterlassen im Strafrecht „nur“ eine Fahrlässigkeitshaftung der Unternehmensleitung. Dies ist der Fall, wenn aufgrund dieser Fahrlässigkeit ein zum Tatbestand eines Deliktes gehörender „Erfolg“ eintritt, wie zum Beispiel eine Körperverletzung, ein Todesfall oder ein Umweltschaden. In Bezug auf den eher unbestimmten Begriff des Organisationsverschuldens haben sich mittlerweile verschiedene Fallgruppen herauskristallisiert, darunter das Auswahlverschulden, das Anweisungsverschulden und das Kontroll- bzw. Überwachungsverschulden.

Da es bei den klassischen Compliance-Verstößen, wie im Bereich der Korruption, der Untreue oder des Betruges, keine Fahrlässigkeitsstrafbarkeit gibt, kann die Begründung einer strafrechtlichen (Fahrlässigkeits-)Haftung über die Rechtsfigur des Organisationsverschuldens hier nicht erfolgen. Eine Zurechnung im Unternehmen erfolgt in diesem Zusammenhang über die Verletzung der Aufsichtspflicht gemäß §130 OWiG.

Ist weder eine unmittelbare vorsätzliche Einbeziehung noch ein strafrechtlich relevantes Organisationsverschulden, also eine Fahrlässigkeitsstrafbarkeit, der Unternehmensleitung festzustellen, so bleibt - quasi als Auffangtatbestand - das Risiko der Ahndung einer Aufsichtspflichtverletzung durch den Ordnungswidrigkeitentatbestand des § 130 OWiG. Die Sanktionierung der Aufsichtspflichtverletzung soll sicherstellen, dass in Betrieben und Unternehmen bezogener Zuwiderhandlungen getroffen werden und dafür Sorge tragen, dass sich etwa aus dem Auseinanderfallen von Entscheidungsträger und unmittelbar Handelndem im Unternehmen keine Strafbarkeitslücke ergibt.

§ 130 Abs. 1 Satz 1 OWiG verpflichtet den Inhaber eines Betriebes oder Unternehmens, Aufsichtsmaßnahmen zu treffen, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist.

Auch wenn es sich lediglich um einen Ordnungswidrigkeitentatbestand handelt, drohen hier durchaus schwerwiegende Sanktionen. Sofern der Inhaber vorsätzlich oder fahrlässig die gebotenen Aufsichtsmaßnahmen unterlässt und damit ermöglicht, dass eine Zuwiderhandlung aus dem Unternehmen heraus begangen wird, die durch die Aufsichtsmaßnahmen verhindert oder wesentlich erschwert worden wäre, handelt er ordnungswidrig. Als erforderliche Aufsichtsmaßnahme führt § 130 Abs. 1 Satz 2 OWiG beispielhaft die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen auf. Die Norm des § 130 OWiG ermöglicht es, den aufsichtspflichtigen Verantwortlichen des Unternehmens (Organmitglieder, Gesellschafter sowie gem. § 9 Abs. 2 OWiG auch Betriebsleiter oder sonstige Betriebsbeauftragte) auch Handlungen von Mitarbeitern zuzurechnen, obwohl ihnen persönlich im Hinblick auf die Bezugstat kein vorsätzliches oder auch nur fahrlässiges Handeln zur Last gelegt werden kann.

Eine derartige Ordnungswidrigkeit kann, wenn die Pflichtverletzung strafbar ist, gem. § 130 Abs. 3 OWiG mit einer Geldbuße von bis zu 1 Mio. EUR sowie im Ausnahmefall über den Verweis gem. §§ 130 Abs. 3, 30 Abs. 2 Satz 3 OWiG darüber hinaus geahndet werden. Im Falle einer fahrlässigen Aufsichtspflichtverletzung ist das Höchstmaß der Geldbuße auf 500.000,00 EUR begrenzt (§§ 130 Abs. 3, 17 Abs. 2 OWiG). Handelt es sich bei der Bezugstat dagegen lediglich um eine Ordnungswidrigkeit, ist das in dieser Vorschrift angedrohte Höchstmaß der Geldbuße maßgeblich (§ 130 Abs. 3 Satz 2 OWiG).

Die Ordnungswidrigkeit gem. § 130 OWiG ist zudem Anknüpfungstat für die Verbandsgeldbuße des § 30 OWiG, so dass über diesen Umweg wiederum Geldbußen - gegen das Unternehmen - weit über der Millionengrenze verhängt werden können. In der Causa Siemens etwa bestand die „Anknüpfungstat“ in der Aufsichtspflichtverletzung des Vorstandes i.S.v. § 130 OWiG durch die Nicht-Implementierung eines funktionierenden Compliance-Systems und führte zu der Verhängung einer Geldbuße in Höhe von insgesamt 395 Mio. EUR gegen die Siemens AG gem. §§30,130,17TV OWiG mit Bußgeldbescheid der Staatsanwaltschaft München I vom 15.12.2008, wobei sich der Ahndungsanteil lediglich auf 250.000,00 EUR belief, der Abschöpfungsanteil jedoch auf 394.750.000,00 EUR. Aufgrund des Zusammenspiels mit § 30 OWiG wird der Tatbestand der Aufsichtspflichtverletzung gem. § 130 OWiG teilweise als „die" Compliance-Vorschrift angesehen.

Der Normadressat, der Inhaber des Betriebs oder Unternehmens, ist die natürliche Person, der die Erfüllung der betrieblichen Pflichten obliegt. Ist „Inhaber“ des Betriebs eine juristische Person, kann § 130 OWiG gemäß § 9 Abs. 1 OWiG nur auf die „vertretungsberechtigten Organe“ als Repräsentanten der Gesellschaft angewandt werden. Die Eigenschaft als Inhaber begründet eine Garantenstellung zur Abwendung betriebsbezogener Gefahren. Neben dem Inhaber oder an seiner Stelle kann Täter des § 130 OWiG auch sein, auf wen der Inhaber die ihn treffende Aufsichtspflicht ordnungsgemäß delegiert hat, etwa der Betriebsleiter (§ 9 Abs. 2 Satz 1 Nr. 1 OWiG) sowie speziell aufsichtspflichtige Personen, etwa Sicherheitsbeauftragte (§ 9 Abs. 2 Satz 1 Nr. 2) im Rahmen ihres Verantwortungsbereichs.

Materielle Voraussetzung einer Ahndung gemäß § 130 OWiG ist das Vorliegen einer betriebsbezogenen Zuwiderhandlung. Das bedeutet, es muss eine Straftat oder eine Ordnungswidrigkeit durch einen anderen als den Betriebsinhaber oder die verantwortlichen Gremienmitglieder (§ 9 Abs. 1 OWiG) begangen worden sein, durch die eine den Betriebsinhaber treffende Pflicht verletzt wird. Diese Zuwiderhandlung darf nur deshalb möglich geworden sein, weil der Betriebsinhaber eine ihn treffende Aufsichtspflicht verletzt hat.

Eine Aufsichtspflicht kann sich aus dem Gesetz oder aus der Rechtsprechung zur Konkretisierung von Sorgfaltspflichten oder der Begründung von Garantenstellungen (Überwachungsgarantenstellung für bestimmte Gefahrenquellen) ergeben. Der Pflichtenkreis des Betriebsinhabers ist erheblich, aber es kann natürlich nicht Unmögliches verlangt werden. Anerkannt sind insbesondere die Leitungs-, Koordinations-, Organisations- und Kontrollpflichten, die in einem Stufensystem ineinandergreifen. Zuerst muss der Aufsichtspflichtige für eine sorgfältige Auswahl von Mitarbeitern und gegebenenfalls von Aufsichtspersonen sorgen (1. Stufe). Danach ist er verpflichtet, eine sachgerechte Organisation und Aufgabenverteilung vorzunehmen (2. Stufe).

Die Mitarbeiter müssen angemessen über ihre Aufgaben und Pflichten instruiert und aufgeklärt werden (3. Stufe). Es ist zudem notwendig, die Mitarbeiter ausreichend zu überwachen und zu kontrollieren (4. Stufe). Der Aufsichtspflichtige muss gegen Verstöße vorgehen (5. Stufe), was auch eine angemessene Sanktionierung einschließt. Wenn der Betriebsinhaber seine Aufsichtspflicht delegiert, bleibt er für die Bestellung, sorgfältige Auswahl und Überwachung der bestellten Aufsichtspersonen verantwortlich. Die eigene Überwachungspflicht endet mit deren Bestellung jedoch nicht, sondern reduziert sich lediglich auf eine (Rest-)Überwachung und stichprobenartige Kontrolle. Die im Einzelfall erforderlichen Aufsichtsmaßnahmen können nicht abstrakt festgelegt werden, da sie nach verschiedenen Kriterien variieren. Für den Umfang der Aufsichtspflicht sind vor allem Art, Größe und Organisation des Betriebs, die unterschiedlichen Überwachungsmöglichkeiten, die Vielfalt und Bedeutung der zu beachtenden Vorschriften und die Anfälligkeit des Betriebs für Verstöße gegen diese Bestimmungen maßgeblich. Dabei können insbesondere Fehler, die bereits in der Vergangenheit gemacht wurden, eine Rolle spielen.

Hierher gehört insbesondere die Compliance-Verpflichtung des Unternehmens. Allerdings ist es (noch) umstritten, ob der Betrieb eines Compliance-Management-Systems bereits eine Rechtspflicht des Unternehmens darstellt oder nur eines von mehreren geeigneten Mitteln zur Wahrnehmung der Aufsichtspflicht ist. Anders verhält es sich, wenn das Gesetz selbst Vorgaben für die Einrichtung eines Compliance- oder Risikomanagements macht, wie etwa in den §§ 25a KWG, 33 WpHG, 9, 9a GWG, 64a VAG, 52aff. BImschG.

Im Hinblick auf die allgemeine Compliance-Verpflichtung des Unternehmens sind die Ausführungen des LG München I in der sog. „Neubürger-Entscheidung“ wegweisend. Danach gehört die Einhaltung des Legalitätsprinzips und dementsprechend die Einrichtung eines funktionierenden Compliance-Systems zur Gesamtverantwortung des Vorstands. Ein Vorstandsmitglied muss daher im Rahmen seiner Legalitätspflicht sicherstellen, dass ein Unternehmen so organisiert und beaufsichtigt wird, dass „keine Gesetzesverstöße wie Schmiergeldzahlungen an Amtsträger eines ausländischen Staates oder an ausländische Privatpersonen“ erfolgen. Ein Vorstandsmitglied erfüllt seine Organisationspflicht bei entsprechender Gefährdungslage nur, wenn es eine auf Schadensprävention und Risikokontrolle ausgerichtete Compliance-Organisation einrichtet. Dabei sind Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz sowie Verdachtsfälle aus der Vergangenheit zu berücksichtigen.