Criminal Compliance

Criminal Compliance & §§ 30, 130 OWiG

Kurz erklärt: Criminal Compliance bündelt alle Maßnahmen, mit denen Unternehmen straf- und ordnungswidrigkeitenrechtliche Risiken erkennen, minimieren und intern aufklären. Spätestens seit Diesel-, Wirecard- und Cum-ex-Verfahren stehen § 130 OWiG (Aufsichtspflichtverletzung) und § 30 OWiG (Geldbußen gegen Unternehmen) im Fokus – auch ohne eigenständiges Unternehmensstrafrecht in Deutschland.

Warum Criminal Compliance aktuell so wichtig ist

  • Erhöhte Erwartung an Unternehmensleitung: Leitungs- und Aufsichtspersonen müssen wirksame Organisations-, Kontroll- und Überwachungsstrukturen etablieren. Fehlende oder unzureichende Maßnahmen können als Aufsichtspflichtverletzung i.S.d. § 130 OWiG geahndet werden.
  • Bußgeldbemessung & BGH-Linie: Bei Geldbußen gegen Unternehmen nach § 30 OWiG wird berücksichtigt, ob ein effizientes Compliance-Management-System (CMS) existiert und ob es nach einem Vorfall optimiert wurde.
  • Hinweisgeberschutzgesetz (HinSchG): Unternehmen ab 50 Mitarbeitenden müssen interne Meldestellen vorhalten – interne Untersuchungen („Internal Investigations“) werden damit faktisch zum Standardinstrument.
  • Verbandssanktionen im Blick: Auch wenn der Entwurf zum Verbandssanktionengesetz (VerSanG-E) 2021 scheiterte, bleiben verschärfte Unternehmenssanktionen und klarere Compliance-Pflichten politisch auf der Agenda.

Rechtlicher Rahmen in Kürze

  • § 130 OWiG – Aufsichtspflicht: Ahndet das Unterlassen gehöriger Aufsichtsmaßnahmen, wenn dadurch betriebsbezogene Straftaten/OWi entfacht oder nicht erschwert wurden.
  • § 30 OWiG – Unternehmensgeldbuße: Ermöglicht spürbare Bußgelder gegen juristische Personen/Verbände, wenn Leitungspersonen tatbestandsmäßig handeln. Ein wirksames CMS kann bußgeldmindernd wirken.
  • Weitere Anknüpfungen: § 9 OWiG (Zurechnung), § 14 StGB (Handeln für Unternehmen), HinSchG (Meldestellen & Folgepflichten).

Kernelemente eines wirksamen CMS (ex ante & ex post)

  1. Risikoinventur & -analyse: Geschäftsmodell, Märkte, Prozesse, Kund:innen, Dritte, „rote Zonen“.
  2. Policies & Verantwortlichkeiten: klare Zuständigkeiten, Vier-Augen-Prinzip, Delegation mit Kontrolle.
  3. Schulung & Awareness: rollenbasiert, zyklisch, dokumentiert.
  4. Hinweisgebersystem & Schutz: vertrauliche Kanäle, Anti-Retaliation, Fallmanagement.
  5. Monitoring & Kontrollen: KPI-/Red-Flag-basierte Prüfungen, Audits, Data-Analytics.
  6. Interne Ermittlungen: rechtssicher, unabhängig, dokumentiert; Lessons Learned in Maßnahmen überführen.
  7. Sanktion & Remediation: arbeitsrechtliche Maßnahmen, Prozess-/System-Fixes, Third-Party-Management.

Praxis-Tipp: Dokumentation ist Gold. Was nicht nachvollziehbar dokumentiert ist, entfaltet in der Bußgeldbemessung regelmäßig keine oder nur geringe Wirkung.

Präventiv vs. repressiv: zwei Perspektiven derselben Aufgabe

  • Präventiv: Risiken senken, Verstöße vermeiden, Kultur stärken.
  • Repressiv: Bei Verdacht zügig, sauber und verhältnismäßig intern ermitteln, koordiniert mit Behörden kommunizieren, Vorteile bei Bußgeldbemessung sichern, zivil-/arbeitsrechtliche Flanken beachten.

„Best Practice“ – ohne Over-Compliance

Zu starre Vorgaben können die Organisation lähmen und den objektiven Sorgfaltsmaßstab ungewollt erhöhen. Verhältnismäßige, risikobasierte Lösungen sind rechtlich tragfähig und wirtschaftlich sinnvoll. Maßgeblich bleibt, was im konkreten Unternehmen als „gehörige“ Aufsicht angemessen und zumutbar ist.

Ausblick: Was Unternehmen jetzt tun sollten

  • CMS-Reifegrad prüfen (Gap-Analyse zu § 130 OWiG/HinSchG).
  • Meldestelle & Prozesse rechtssicher aufstellen.
  • IA-/Internal-Investigations-Playbook erstellen (Rollen, Forensik, Privilegien, Kommunikation).
  • Board-/Management-Briefings und KPI-Reporting etablieren.
  • Kontinuierliche Verbesserung: Findings in Struktur & Kultur rückkoppeln.

FAQ zu Criminal Compliance

Was bedeutet „Criminal Compliance“?
Alle organisatorischen, technischen und rechtlichen Maßnahmen, die Straf- und OWi-Risiken im Unternehmen präventiv reduzieren und repressiv professionell bewältigen – inklusive interner Ermittlungen.

Gibt es eine allgemeine Pflicht zur Compliance?
Eine allgemeine gesetzliche Pflicht zur „Compliance“ gibt es nicht. Konkrete Pflichten ergeben sich aber u. a. aus § 130 OWiG (gehörige Aufsicht), spezialgesetzlichen Vorgaben (z. B. GwG, HinSchG) und aus Organpflichten der Leitung.

Welche Rolle spielt § 130 OWiG konkret?
Er sanktioniert Aufsichtspflichtverletzungen des Unternehmensinhabers/der Leitung, wenn Zuwiderhandlungen bei gehöriger Aufsicht verhindert oder wesentlich erschwert worden wären.

Und § 30 OWiG?
Er erlaubt Geldbußen gegen Unternehmen, wenn Leitungspersonen Straftaten/OWi begehen. Ein effizientes CMS kann bußgeldmindernd berücksichtigt werden.

Welche Bußgelder drohen?
Nach § 30 OWiG sind sehr hohe Bußgelder möglich; zusätzlich kann der wirtschaftliche Vorteil abgeschöpft werden. Bei § 130 OWiG drohen Bußgelder für die Aufsichtspflichtverletzung selbst.

Hilft ein CMS wirklich bei der Bußgeldbemessung?
Ja. Gerichte berücksichtigen, ob ein CMS bestand und ob es nach dem Vorfall verbessert wurde. Dokumentierte Wirksamkeit zählt.

Sind interne Untersuchungen Pflicht?
Formell nicht generell – faktisch aber oft geboten (HinSchG-Folgemaßnahmen, Behördenkooperation, Verteidigungsstrategie, Bußgeldminderung).

Was ist der Unterschied zwischen Compliance und Criminal Compliance?
„Compliance“ umfasst die gesamte Normbefolgung. Criminal Compliance fokussiert speziell die straf-/ordnungswidrigkeitenrechtlichen Risiken, inkl. CMS, Internal Investigations und Behördenumgang.

Wie vermeide ich Over-Compliance?
Setzen Sie auf risikobasierte Angemessenheit: schlanke Policies, klare Verantwortlichkeiten, wirksame Kontrollen – und kontinuierliches Lernen statt reiner Regelinflation.

Welche ersten Schritte sind sinnvoll?
Risikomatrix aktualisieren, Hinweisgeberkanäle testen, Schulungen risikoorientiert planen, IA-Playbook festzurren, KPIs fürs Monitoring definieren.

Kontaktieren Sie uns – Ihre Fachanwälte und Anwälte für Strafrecht in Frankfurt am Main und bundesweit

Telefon: 069 710 33 330
E-Mail: kanzlei@dr-buchert.de

zurück zur Übersicht

Benötigen Sie eine Rechtsberatung?
Wir beraten und vertreten Privatpersonen und Unternehmen in Ermittlungsverfahren und Strafverfahren bundesweit und vor allen Gerichten. Profitieren Sie von unserer langjährigen Erfahrung und unserer Kompetenz in Sachen Strafverteidigung.

Kontaktieren Sie uns