Compliance (Recht)

Im rechtlichen Bereich beschreibt man mit dem Begriff Compliance grundsätzlich die Einhaltung von Regeln in Form von Recht und Gesetz (Regeltreue,^[1] Rechtstreue oder Rechtskonformität, auch Regelkonformität).^[2] Darüber hinaus findet der Begriff auch als Synonym für Maßnahmen zur Verhinderung von Rechtsverstößen Verwendung. So steht er im unternehmerischen Zusammenhang für die Gesamtheit aller betrieblichen Maßnahmen, die das rechtmäßige Verhalten aller Unternehmensangehörigen sicherstellen sollen.^[3]

Seinen Ursprung hat der Rechtsbegriff Compliance im angloamerikanischen Rechtskreis.^[4] Dort hat er sich seit seinen Anfängen in den 1930er und 40er Jahren zu einem Synonym für ein eigenständiges Rechtskonzept entwickelt, das auf dem Gedanken der regulierten Selbstregulierung („enforced self-regulation“) beruht. Mittels inzentivierender Rahmenbedingungen und konkreter Regularien schreibt das angloamerikanische Recht Unternehmen eine wesentliche Verantwortung bei der Verhinderung betrieblicher Rechtsverstöße zu. Seinen Ausdruck findet dieses Rechtskonzept heute vor allem in den gesetzlichen Regelungen des Foreign Corrupt Practices Act, der US Federal Sentencing Guidelines und des Sarbanes-Oxley Act.^[5]

Dieser Artikel oder Absatz stellt die Situation in Deutschland dar. Bitte hilf uns dabei, die Situation in anderen Staaten zu schildern.

Im deutschen Rechtssystem hat der Begriff Compliance bislang keine gesetzliche Definition (Legaldefinition) erfahren. Lediglich der Deutsche Corporate Governance Kodex (DCGK) enthält in Ziff. 4.1.3 eine grundlegende Begriffsbestimmung.^[6]

Ziff. 4.1.3 Deutscher Corporate Governance Kodex Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance). Er soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen. Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.

Der DCGK enthält Empfehlungen zur nachhaltigen Unternehmensführung von Aktiengesellschaften und besitzt als Maßnahme wirtschaftlicher Selbstregulierung keine rechtliche Verbindlichkeit.^[7] Gem. § 161 Abs. 1 AktG müssen Aktiengesellschaften zwar jährlich eine Entsprechungserklärung veröffentlichen.^[8] Abweichungen von den Empfehlungen des DCGK sind unter Angabe von Gründen jedoch stets möglich.^[9]

Gesetzliche Erwähnung findet der Begriff Compliance bislang vor allem in den Organisationspflichten des Finanz- und Versicherungsrechts. Kredit- und Finanzdienstleistungsinstitute müssen gem. § 25a Abs. 1 KWG,^[10] Wertpapierdienstleistungsunternehmen gem. § 80 Abs. 1 WpHG^[11] und Versicherungsunternehmen gem. § 29 Abs. 1 VAG^[12] ein internes Kontrollsystem (IKS) betreiben, das insbesondere eine „Compliance-Funktion“ umfasst. Für Versicherungsunternehmen beschreibt § 29 Abs. 2 VAG außerdem das Aufgabenfeld der Compliance-Funktion.

§ 29 VAG. Internes Kontrollsystem (2) ¹Zu den Aufgaben der Compliance-Funktion gehört die Beratung des Vorstands in Bezug auf die Einhaltung der Gesetze und Verwaltungsvorschriften, die für den Betrieb des Versicherungsgeschäfts gelten. ²Außerdem hat die Compliance-Funktion die möglichen Auswirkungen von Änderungen des Rechtsumfeldes für das Unternehmen zu beurteilen und das mit der Verletzung der rechtlichen Vorgaben verbundene Risiko (Compliance-Risiko) zu identifizieren und zu beurteilen.

Das IKS samt Compliance-Funktion sehen die einschlägigen Gesetze als wesentlichen Bestandteil eines in die Geschäftsorganisation eingebundenen Risikomanagements. Ziel des Risikomanagements ist es, durch eine bewusste Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der betrieblichen Risiken die Grundlage für eine „nachhaltige“ (§ 25a Abs. 1 S. 3 Nr. 1 KWG)^[10] bzw. „solide“ (§ 23 Abs. 1 S. 2 VAG)^[12] Unternehmensführung zu schaffen. Die konkrete Ausgestaltung der betrieblichen Maßnahmen machen § 25a Abs. 1 S. 4 KWG^[10] und § 26 Abs. 2 VAG^[12] von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit abhängig.

Angetrieben von den Empfehlungen des DCGK sowie den Entwicklungen auf dem Finanz- und Versicherungsmarkt hat sich der Begriff Compliance im deutschen Recht zum Synonym eines risikoakzessorischen und -präventiven Rechtsverständnisses entwickelt.^[13] Bis auf die Ansätze des Finanz- und Versicherungsrechts haben die Strukturen und Zusammenhänge dieses Rechtsverständnisses im deutschen Recht aber noch keine gesetzliche Konkretisierung erfahren, sodass sich das Thema Compliance im Gegensatz zum angloamerikanischen Recht noch weitestgehend als Phänomen darstellt. Wesensmerkmal dieses Phänomens ist eine interaktive Methodik, die sich die Gesamtheit der rechtlichen, ökonomischen und ethischen Steuerungsmöglichkeiten zu Nutze macht, um Gefahren und insbesondere der Gefahr von Rechtsverstößen zu begegnen (sozioökonomischer Regulierungsansatz). Ermöglicht wird dies durch das Konzept der Koregulierung, die Neue Institutionenökonomie und die Wirtschaftsethik.^[14]

Im Rahmen der Koregulierung überträgt der Staat der Zivil- und insbesondere der Wirtschaftsgesellschaft eine Verantwortung, sich an der Prävention von Gefahren zu beteiligen. Die inhaltliche Ausgestaltung der Präventionsverantwortung wird bis auf spezialgesetzliche Vorgaben weitestgehend den Unternehmen überlassen und lediglich durch die rechtlichen Haftungsmechnismen abgesichert (regulierte Selbstregulierung).^[15]

Ausgestalten lässt sich die betriebliche Präventionsverantwortung mithilfe der Neuen Institutionenökonomie, die in Abkehr vom neoklassischen Wirtschaftsverständnis die verhaltenssteuernde Wirkung institutioneller Strukturen einbezieht. Grundlage ist nicht mehr das realitätsferne Postulat allumfassender Information, sondern das kognitiv begrenzte Leistungsspektrum jedes Menschen. Dementsprechend bedarf es zur Entfaltung der betrieblichen Selbstregulierungspotenziale auch gezielter Regelungen, deren Effizienz und Effektivität stark von ihrer unternehmenskulturellen Akzeptanz abhängen.^[16]

Aufschluss über die kulturellen Prozesse wirtschaftlicher Organisationen liefert die Wirtschaftsethik, die sich mit dem Konflikt zwischen wirtschaftlichem Eigennutz und sozialer Verantwortung beschäftigt. Als zentrale Orte dieses Konflikts sieht die Wirtschaftsethik jedes an wirtschaftlichen Maximen orientierte Kollektiv, weshalb vor allem Unternehmen in ganzem besonderem Maße dafür verantwortlich sind, durch kulturelle Maßnahmen nachhaltige Anreize zur Beachtung rechtlicher und moralischer Standards zu setzen (Corporate Social Responsibility).^[17]

Zum Ausdruck kommen die präventiven Strukturen des Phänomens Compliance nicht nur in den Vorschriften des Finanz- und Versicherungsrechts. Auch in zahlreichen anderen Rechtsbereichen existieren Vorschriften, die den Begriff Compliance zwar nicht ausdrücklich verwenden, seinen Gedanken der Risikoprävention aber dennoch transportieren, indem sie einen bewussten Umgang mit Gefahren einfordern.^[18]

Allgemeine betriebliche Präventionspflichten ergeben sich in erster Linie aus dem Gesellschaftsrecht (Corporate Compliance) sowie den Vorschriften des Straf- und Ordnungswidrigkeitenrechts (Criminal Compliance). Darüber hinaus kennt auch das Privatrecht gewisse Präventionspflichten, die sich sowohl an Unternehmen als auch an Privatpersonen richten.

Die Unternehmensleitung hat im Rahmen ihrer allgemeinen gesellschaftsrechtlichen Sorgfaltspflichten (v. a. §§ 76 Abs. 1, 93 Abs. 1 AktG und § 43 Abs. 1 GmbHG) für ein rechtstreues Verhalten aller Unternehmensangehörigen zu sorgen, indem sie der Gefahr betrieblicher Rechtsverstöße durch entsprechende Maßnahmen begegnet.^[19] Soweit keine spezialgesetzlichen Vorgaben bestehen, gewährt das Gesellschaftsrecht bei der inhaltlichen Ausgestaltung der Legalitätskontrolle zwar grundsätzlich einen Ermessensspielraum (Business Judgement Rule).^[20] Ihre Entscheidungen muss die Unternehmensleitung jedoch stets auf der Grundlage einer angemessenen Risikoanalyse treffen (Risikoakzessorietät).^[21] Diesen gesellschaftsrechtlichen Grundsätzen entsprechend entschied das LG München I im Jahre 2013 in einem der bislang wenigen Urteile zum Thema Compliance („Neubürger-Urteil“ im Rahmen des Korruptionsskandals bei der Siemens AG):^[22]

„Im Rahmen seiner Legalitätspflicht hat ein Vorstandsmitglied dafür Sorge zu tragen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetzesverstöße wie Schmiergeldzahlungen an Amtsträger eines ausländischen Staates oder an ausländische Privatpersonen erfolgen. Seiner Organisationspflicht genügt ein Vorstandsmitglied bei entsprechender Gefährdungslage nur dann, wenn er eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet. Entscheidend für den Umfang im Einzelnen sind dabei Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz wie auch Verdachtsfälle aus der Vergangenheit.“

Werden Risiken entdeckt, die den Bestand des Unternehmens gefährden können, so verlangt § 91 Abs. 2 AktG außerdem ein Internes Kontrollsystem (IKS).^[8] Zwingend zu überwachen sind mithilfe des IKS jedoch nicht die Bestandsgefahren an sich, sondern lediglich die betrieblichen Maßnahmen, die zur Beherrschung der Bestandsgefahren erforderlich sind.^[23]

Auch das Straf- und Ordnungswidrigkeitenrecht kennt eine Pflicht zur Verhinderung betrieblicher Rechtsverstöße. Eine Selbstkontrolle des Unternehmens kann eine staatliche Kontrolle nicht ersetzen. Der Umfang der Präventionspflicht ist im Vergleich zur gesellschaftsrechtlichen Legalitätskontrollpflicht jedoch kleiner, da lediglich der Gefahr betrieblicher Straftaten und Ordnungswidrigkeiten (Unternehmenskriminalität) begegnet werden muss.^[24] Eine ausdrückliche Formulierung hat diese Pflicht zur Bekämpfung von Unternehmenskriminalität in § 130 OWiG erfahren.^[25] Sowohl die Anwendbarkeit des § 130 OWiG auf Konzernsachverhalte als auch die Reichweite auf Auslandssachverhalte ist bislang nicht abschließend geklärt.^[26]

§ 130 OWiG. Aufsichtspflicht (1) ¹Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterläßt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre.

Im Strafrecht existiert bislang zwar keine ausdrückliche Präventionspflicht. Nichtsdestotrotz hat sich aber insbesondere im Rahmen der allgemeinen strafrechtlichen Zurechnungsmechanismen (§§ 13–15 StGB sowie §§ 25–27 StGB) ebenfalls eine Pflicht der Unternehmensleitung zur Bekämpfung von Unternehmenskriminalität etabliert. Grundlage ist wie im Ordnungswidrigkeitenrecht auch die durch betriebliche Delegationsverhältnisse erhöhte Gefahr von Unternehmenskriminalität und die Fähigkeit der Unternehmensleitung, auf diese Gefahr mithilfe der betrieblichen Organisationsstrukturen einzuwirken (Risiko- und Organisationsherrschaft).^[27]

Der Kreis der im Rahmen der straf- und ordnungswidrigkeitenrechtlichen Präventionspflicht zu beachtenden Vorschriften ergibt sich aus dem Tätigkeitsbereich des Unternehmens. Zu den straf- oder bußgeldbewährten Pflichten, die jeden Inhaber eines Betriebs oder Unternehmens treffen, zählt aber in jedem Fall die Achtung des freien Wettbewerbs. Zum Schutz des freien Wettbewerbs bedrohen das Strafgesetzbuch (§§ 298–301 StGB),^[28] das Gesetz gegen den unlauteren Wettbewerb (§§ 16–20 UWG)^[29] und das Gesetz gegen Wettbewerbsbeschränkungen (§ 81 GWB)^[30] korrupte, unlautere und verzerrende Praktiken mit Strafen oder Geldbußen.

Ihre Kenntnisse zu Regelverstößen können Hinweisgeber den Strafverfolgungsbehörden auch anonym übermitteln,^[31] da nach dem Legalitätsprinzip die Polizei auch anonymen Anzeigen nachgehen muss.^[32]

Unternehmen und Privatpersonen sind im Rahmen der allgemeinen zivilrechtlichen Sorgfaltsmaßstäbe (§§ 823, 276 BGB) dazu verpflichtet, die Allgemeinheit vor Gefahren zu schützen, die ihrem Einflussbereich unterliegen.

Der Gedanke der Risikoprävention findet auch zunehmend Eingang in einzelne Bereiche des Rechtssystems. Diese spezialgesetzlichen Vorgaben stellen eine bereichsspezifische Konkretisierung der allgemeinen Präventionspflichten dar.

Seit 25. Mai 2018 haben Unternehmen und Privatpersonen bei jeder Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder werden sollen, die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679)^[33] zu beachten. Ausgenommen ist lediglich die Verarbeitung zu ausschließlich persönlichen oder familiären Zwecken (2 Abs. 2 lit. c DSGVO). Die DSGVO verlangt insbesondere, dass bei der Verarbeitung personenbezogener Daten risikoadäquate Vorkehrungen zum Datenschutz zu treffen sind.

Art. 24 DSGVO. Verantwortung des für die Verarbeitung Verantwortlichen (1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.

Dies erfordert die Führung von Verzeichnissen aller Verarbeitungstätigkeiten (Art. 30 DSGVO), die Gewährleistung eines angemessenen Datenschutzniveaus (Art. 32 DSGVO) und die Meldung von Verstößen (Art. 33 DSGVO). Eines Datenschutzbeauftragten bedarf es zwingend nur in bestimmten Fällen (Art. 37 DSGVO).^[33]

Das Arbeitsschutzgesetz (ArbSchG) verpflichtet Arbeitgeber zu Maßnahmen des Arbeitsschutzes. Dies umfasst gem. § 2 Abs. 1 ArbSchG Maßnahmen zur Verhütung von Unfällen bei der Arbeit und arbeitsbedingten Gesundheitsgefahren einschließlich Maßnahmen der menschengerechten Gestaltung der Arbeit.^[34]

§ 3 ArbSchG. Grundpflichten des Arbeitgebers (1) ¹Der Arbeitgeber ist verpflichtet, die erforderlichen Maßnahmen des Arbeitsschutzes unter Berücksichtigung der Umstände zu treffen, die Sicherheit und Gesundheit der Beschäftigten bei der Arbeit beeinflussen. ²Er hat die Maßnahmen auf ihre Wirksamkeit zu überprüfen und erforderlichenfalls sich ändernden Gegebenheiten anzupassen. ³Dabei hat er eine Verbesserung von Sicherheit und Gesundheitsschutz der Beschäftigten anzustreben.

Die Maßnahmen des Arbeitsschutzes sind an den allgemeinen Grundsätzen auszurichten (§ 4 ArbSchG), anhand einer Risikoanalyse zu ermitteln (§ 5 ArbSchG), mithilfe einer geeigneten Organisation und interner Kontrollmaßnahmen zu planen und durchzuführen (§ 3 Abs. 2 ArbSchG) und zu dokumentieren (§ 6 ArbSchG).^[34]

Das Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten (Geldwäschegesetz – GwG) schreibt Akteuren der Finanz-, Versicherungs-, Rechtsberatungs-, Wirtschaftsprüfungs-, Treuhand-, Immobilien-, Glücksspiel- und Güterhandelsbranche eine Verantwortung bei der Verhinderung von Geldwäsche und Terrorismusfinanzierung zu (§ 2 GwG).^[35]

§ 4 GwG. Risikomanagement (1) Die Verpflichteten müssen zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung über ein wirksames Risikomanagement verfügen, das im Hinblick auf Art und Umfang ihrer Geschäftstätigkeit angemessen ist.

Bestandteile der Präventionsstrategie sind eine Risikoanalyse (§ 5 GwG), interne Sicherungsmaßnahmen (§ 6 GwG), Verhaltensstandards (§§ 10–17 GwG) sowie die Meldung von Verdachtsfällen (§ 43 GwG).^[35]

Eine besondere Ausprägung hat die allgemeine Verkehrssicherungspflicht in Bezug auf Produkte erfahren. Zwar formuliert das Produkthaftungsgesetz (ProdHaftG) keine spezialgesetzlichen Präventionspflichten. Für die Folgen eines fehlerhaften Produkts trägt ein Hersteller aber dann keine Verantwortung, wenn er die Rechtsvorschriften und den aktuellen Stand der Wissenschaft und Technik beachtet hat (§ 1 Abs. 2 Nr. 4 und 5 ProdHaftG).^[36]

Eine allgemeingültige Beschreibung der erforderlichen Präventionsmaßnahmen kennt das deutsche Recht bislang nicht. Nichtsdestotrotz hat sich entsprechend der interaktiven Methodik des Phänomens Compliance ein gewisser Standard an betrieblichen Präventionsmaßnahmen herausgebildet. Dieser verschmilzt im Rahmen eines strategischen Risikomanagements kulturelle Lern- und formale Kontrollmaßnahmen zu einem systematischen Umgang mit der Gefahr betrieblicher Regelverstöße (Compliance Management System).

Grundlage des Compliance Management Systems ist eine fortlaufende Identifikation und Bewertung (Risikoanalyse) sowie Steuerung und Überwachung der Gefahr betrieblicher Regelverstöße.^[37] Diese Notwendigkeit eines strategischen Risikomanagements bringen vor allem der vom Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW) veröffentlichte Prüfungsstandard IDW PS 980 („Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“)^[38] sowie die von der International Organization for Standardization (ISO) veröffentlichte Norm ISO 19600 („Compliance management systems – Guidelines“)^[39] zum Ausdruck.

Die Risikosteuerung erfolgt durch den Einsatz unternehmenskultureller Maßnahmen. Ziel ist es, mithilfe eines vorbildlichen Führungsstils sowie einer demokratischen Wertevermittlung eine von allen Unternehmensangehörigen tatsächlich gelebte Legalitätskultur zu etablieren, die Rechtsverstöße in keinem Fall duldet.^[40] Dazu sind folgende Maßnahmen erforderlich:

• unmissverständliches Bekenntnis aller Führungspersonen zur Legalität als indisponiblem betrieblichem Wert,^[41]
• Dokumentation und Kommunikation allgemeiner Verhaltensstandards (Verhaltenskodex) und spezieller Verhaltensrichtlinien (z. B. Anti-Korruptions-Richtlinie),
• adäquate Schulung der Unternehmensangehörigen.^[42]

Zur Risikoüberwachung kommen formale Kontrollmaßnahmen zum Einsatz. Ihr Ziel besteht darin, die präventive Wirkung der unternehmenskulturellen Maßnahmen abzusichern und zu verstärken (Prävention), Verdachtsfälle aufzudecken, aufzuklären (Detektion) und bei Verdachtsbestätigung zu sanktionieren (Sanktion) sowie entdeckte Schwachstellen des Systems zu beseitigen (Optimierung). Dies erfordert folgende Maßnahmen:

• personelle Kompetenz- und Integritätsprüfungen bereits bei der Auswahl und Einstellung von Unternehmensangehörigen,
• Verbindlichkeit der Präventionsmaßnahmen durch Vertragsklauseln,
• Verteilung der organisatorischen Zuständigkeiten auf (Compliance-)Beauftragte / Abteilungen,
• Unregelmäßige und überraschende Kontrollen / Stichproben,
• Kommunikationsstrukturen zur vertraulichen Meldung von Verdachtsfällen an interne und externe Ansprechpartner (Hinweisgebersystem mit Ombudsperson),
• Aufklärung von Verdachtsfällen und Sanktion von bestätigten Regelverstößen.^[43]

Die Wahrnehmung der Präventionsverantwortung wird entsprechend dem Konzept der regulierten Selbstregulierung durch die rechtlichen Haftungsstrukturen abgesichert. Kommt es infolge ungenügender Präventionsmaßnahmen zu einem Rechtsverstoß, so drohen den Präventionsverantwortlichen Schadensersatzpflichten, Geldbußen und Geld- oder Freiheitsstrafen.^[44]

Schadensersatzpflichten ergeben sich aus Spezialgesetzen (z. B. § 83 BDSG, § 1 ProdHaftG) und allgemeinen Regelungen (z. B. § 823 BGB, §§ 280 ff. BGB). Für Schäden im Zusammenhang mit betrieblichen Pflichtverstößen haftet grundsätzlich das Unternehmen.^[45] Durch eine Verletzung der betrieblichen Präventionspflichten entsteht gem. § 93 Abs. 2 S. 1 AktG, § 43 Abs. 2 GmbHG allerdings auch eine Schadensersatzpflicht der Unternehmensleitung gegenüber dem Unternehmen. Begründet wird diese Ersatzpflicht allerdings nicht schon durch jede unternehmerische Fehlentscheidung, sondern erst bei Missachtung der Grenzen des unternehmerischen Ermessensspielraums nach § 93 Abs. 1 S. 2 AktG (Business Judgement Rule).^[46]

Der Verstoß gegen spezielle Präventionspflichten wird in der Regel bereits durch die entsprechenden Spezialgesetze mit Geldbußen geahndet (z. B. § 56 KWG, § 120 WpHG, § 332 VAG, § 56 GwG). Daneben bedroht § 130 Abs. 3 OWiG den Verstoß gegen die allgemeine betriebliche Kriminalitätspräventionspflicht mit einer Geldbuße bis zu einer Million Euro. Gegenüber Unternehmen können gem. §§ 30, 9 OWiG sogar Geldbußen bis zu einer Höhe von zehn Millionen Euro verhängt werden. Über § 17 Abs. 4 OWiG kommt es außerdem zu einer Abschöpfung des gesamten wirtschaftlichen Vorteils, der aus einem Pflichtverstoß gezogen worden ist (Gewinnabschöpfung).^[25]

Zum Teil sind Verstöße gegen spezielle Präventionspflichten bereits spezialgesetzlich unter Strafe gestellt (z. B. § 54a KWG). Daneben können Leitungspersonen über §§ 13–15 StGB (Geschäftsherrenhaftung) und §§ 25–27 StGB (Beteiligung an einer Straftat) auch strafrechtlich für Straftaten anderer Angehöriger einer Organisation / eines Unternehmens zur Verantwortung gezogen werden.^[27] Bei ungenügenden Maßnahmen zur Sicherstellung der Produktsicherheit droht außerdem eine Strafbarkeit wegen Körperverletzung nach §§ 223, 224, 226 und 227 bis 230 StGB oder wegen Tötung nach §§ 211 bis 213 und 222 StGB (strafrechtliche Produkthaftung).^[47] Eine strafrechtliche Verantwortlichkeit von Unternehmen kennt das deutsche Strafrecht bislang nicht (Unternehmensstrafrecht).

• Compliance (BWL)
• Compliance Management System
• Risikomanagement
• Nachhaltige Unternehmensführung
• Regulierte Selbstregulierung
• Neue Institutionenökonomik
• Wirtschaftsethik
• Corporate Social Responsibility
• ISO 19600
• Korruption
• Comprechtspraktiker

• Denis Bock: Criminal Compliance. 2. Auflage. Nomos Verlag, Baden-Baden 2013, ISBN 978-3-8487-1091-1.
• Christoph Hauschka, Klaus Moosmayer, Thomas Lösler: Corporate Compliance, Handbuch der Haftungsvermeidung im Unternehmen. 3. Auflage. C. H. Beck, München 2016, ISBN 978-3-406-66297-3.
• Lothar Kuhlen, Hans Kudlich, Inigo Ortiz de Urbina: Compliance und Strafrecht. C. F. Müller, Heidelberg 2013, ISBN 978-3-8114-4442-3.
• Thomas Rotsch: Criminal Compliance. Nomos, Baden-Baden 2015, ISBN 978-3-8329-7398-8.
• Gregor Wecker, Bastian Ohl: Compliance in der Unternehmerpraxis, Grundlagen, Organisation und Umsetzung. 3. Auflage. Springer, Wiesbaden 2013, ISBN 978-3-658-00892-5.

• Compliance im Themenfeld Recht auf der Website des Bundesverbands der Deutschen Industrie

1. ↑ Bernd Bexte: Klinikum: »Kein Problem bei Regeltreue«, in: Herforder Kreisblatt, Westfalen-Blatt, 180. Jahrgang, 45. Woche, Nummer 261 vom 9. November 2024.
2. ↑ Bock, in: Kuhlen/Kudlich/Ortiz de Urbina: Compliance und Strafrecht. S. 57; Hauschka, in: Hauschka: Compliance. 2. Auflage. § 1 Rn. 2; Rotsch, in: Achenbach/Ransiek: Handbuch Wirtschaftsstrafrecht, Teil 1 Kap. 4 Rn. 1.
3. ↑ Bock, Strafrechtliche Aspekte der Compliance-Diskussion – § 130 OWiG als zentrale Norm der Criminal Compliance, ZIS 2009, S. 68; Vetter, in: Wecker/Ohl: Compliance in der Unternehmerpraxis. S. 2.
4. ↑ Hauschka, in: Hauschka: Compliance. 2. Auflage. § 1 Rn. 39.
5. ↑ Engelhart: Sanktionierung von Unternehmen und Compliance. S. 285 ff., S. 305 ff.
6. ↑ Regierungskommission: Deutscher Corporate Governance Kodex. Abgerufen am 16. Oktober 2018. 
7. ↑ Ringleb, in: Ringleb: Deutscher Corporate Governance Kodex. Vorbemerkung Rn. 68 ff.
8. ↑ ^{a b} Aktiengesetz (AktG). Abgerufen am 16. Oktober 2018. 
9. ↑ Bundestag: Drucksache 14/8769. 11. April 2002, S. 21, abgerufen am 9. Oktober 2018. 
10. ↑ ^{a b c} Gesetz über das Kreditwesen (KWG). Abgerufen am 16. Oktober 2018. 
11. ↑ Gesetz über den Wertpapierhandel (WpHG). Abgerufen am 16. Oktober 2018. 
12. ↑ ^{a b c} Gesetz über die Beaufsichtigung der Versicherungsunternehmen (VAG). Abgerufen am 16. Oktober 2018. 
13. ↑ Gottschalk: Kultivierte Legalität. S. 265; Hauschka, in: Hauschka: Compliance. § 1 Rn. 1 ff.; Rieder/Falge, in: Inderst/Bannenberg/Poppe: Compliance. Kap. 2 Rn. 46 ff.
14. ↑ Gottschalk: Kultivierte Legalität. S. 100 ff.
15. ↑ Kuhlen, in: Kuhlen/Kudlich/Ortiz de Urbina: Compliance und Strafrecht. S. 17 ff.; Spindler: Compliance im Gesellschaftsrecht. RW 2013. S. 293.
16. ↑ Göbel: Neue Institutionenökonomik. S. 11 f.; Richter/Furubotn: Neue Institutionenökonomik. S. 35.
17. ↑ Crane/McWilliams/Matten/Moon/Siegel, in: Crane u. a.: Corporate Social Responsibility. S. 4; Mühle: Corporate Social Responsibility. S. 37; Schaltegger/Müller: Corporate Social Responsibility. S. 17; Wieland, in: Backhaus-Maul u. a., Corporate Citizenship. S. 88 f.; Schwerk, in: Backhaus-Maul u. a.: Corporate Citizenship. S. 121 ff.
18. ↑ Hauschka, in: Hauschka: Compliance. 2. Auflage. § 1 Rn. 19 f.; Rotsch, in: Rotsch, Criminal Compliance vor den Aufgaben der Zukunft. S. 5.
19. ↑ Spindler, in: Goette/Habersack: Münchener Kommentar Aktiengesetz. § 93 Rn. 74.
20. ↑ Bundestag: Drucksache 15/5092. 14. März 2005, S. 11, abgerufen am 9. Oktober 2018. 
21. ↑ Spindler, in: Goette/Habersack: Münchener Kommentar Aktiengesetz. § 93 Rn. 53.
22. ↑ LG München I: Urteil v. 10.12.2013 – 5 HKO 1387/10. Abgerufen am 16. Oktober 2018. 
23. ↑ Spindler, in: Goette/Habersack: Münchener Kommentar Aktiengesetz. § 91 Rn. 16 ff.
24. ↑ Bundestag: Drucksache 16/3656. 30. November 2006, S. 14, abgerufen am 27. Mai 2019; Gürtler, in: Göhler: OWiG. § 130 Rn. 18; Rogall, in: Senge: Karlsruher Kommentar OWiG. § 130 Rn. 81 ff.; Wittig: Wirtschaftsstrafrecht. § 6 Rn. 136.
25. ↑ ^{a b} Gesetz über Ordnungswidrigkeiten (OWiG). Abgerufen am 16. Oktober 2018. 
26. ↑ Caracas, Christian: Verantwortlichkeit in internationalen Konzernstrukturen nach § 130 OWiG am Beispiel der im Ausland straflosen Bestechung im geschäftlichen Verkehr. 1. Auflage. Nomos Verlagsgesellschaft mbH & Co. KG, Baden-Baden 2014, ISBN 978-3-8487-0992-2. 
27. ↑ ^{a b} Gottschalk: Kultivierte Legalität. S. 195 f.; Roxin, Strafrecht Allgemeiner Teil II, § 32 Rn. 135 ff.
28. ↑ Strafgesetzbuch (StGB). Abgerufen am 16. Oktober 2018. 
29. ↑ Gesetz gegen den unlauteren Wettbewerb (UWG). Abgerufen am 16. Oktober 2018. 
30. ↑ Gesetz gegen Wettbewerbsbeschränkungen (GWB). Abgerufen am 16. Oktober 2018. 
31. ↑ BVerfG v. 2.7.2001 – 1 BvR 2049/00 – NJW 2001, 3474: Beschluß, Zeugenaussage gegen Arbeitgeber kein Kündigungsgrund. 
32. ↑ Simona Kreis: Whistleblowing als Beitrag zur Rechtsdurchsetzung, Seite 17. Hrsg.: Martina Benecke, Felix Hartmann, Sudabeh Kamanabrou, Hartmut Oetker. Mohr Siebeck, Tübingen, ISBN 978-3-16-154776-8. 
33. ↑ ^{a b} Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), abgerufen am 16. Oktober 2018
34. ↑ ^{a b} Gesetz über die Durchführung von Maßnahmen des Arbeitsschutzes zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Beschäftigten bei der Arbeit (Arbeitsschutzgesetz – ArbSchG). Abgerufen am 16. Oktober 2018. 
35. ↑ ^{a b} Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten (Geldwäschegesetz – GwG). Abgerufen am 16. Oktober 2018. 
36. ↑ Gesetz über die Haftung für fehlerhafte Produkte (ProdHaftG). Abgerufen am 16. Oktober 2018. 
37. ↑ Bea/Haas: Strategisches Management. S. 16, 22, 115; Gottschalk: Kultivierte Legalität. S. 247.
38. ↑ IDW: PS 980 Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen. Abgerufen am 22. Oktober 2018. 
39. ↑ ISO: ISO 19600:2014 Compliance management systems – Guidelines. Abgerufen am 22. Oktober 2018. 
40. ↑ Rosbach: Ethik in einem Wirtschaftsunternehmen – nützlich oder überflüssige Förmelei. CCZ 2008, S. 104; Schaupensteiner: Rechtsterue im Unternehmen – Compliance und Krisenmanagement – Konzertiertes Vorgehen statt einzelbetrieblicher Maßnahmen. NZA-Beilage 2011, S. 12.
41. ↑ Nothhelfer: Die Einführung eines Compliance Management Systems als organisatorischer Lernprozess. CCZ 2013. S. 28; Wieland: Unternehmensethik und Compliance Management – Zwei Seiten einer Medaille. CCZ 2008, S. 17.
42. ↑ Gottschalk: Kultivierte Legalität. S. 248–252; Hauschka, in: Hauschka: Compliance. § 1 Rn. 42; Nothhelfer: Die Einführung eines Compliance Management Systems als organisatorischer Lernprozess. CCZ 2013, S. 28; Wieland: Unternehmensethik und Compliance Management – Zwei Seiten einer Medaille. CCZ 2008, S. 17.
43. ↑ Bock: Strafrechtliche Aspekte der Compliance-Diskussion – § 130 OWiG als zentrale Norm der Criminal Compliance. ZIS 2009. S. 77 f.; Bussmann/Matschke: Die Zukunft der unternehmerischen Haftung bei Compliance-Verstößen. CCZ 2009. S. 35; Gottschalk: Kultivierte Legalität. S. 252–260; Rogall, in: Senge: Karlsruher Kommentar OWiG. § 130 Rn. 54, 66; Stanitzek: Die Bedeutung von Criminal Compiance für das Strafrecht bei der Bekämpfung von Wirtschaftskorruption. S. 78 ff.
44. ↑ Gottschalk: Kultivierte Legalität. S. 70–76; Poelzig: Normdurchsetzung durch Privatrecht. S. 587 ff.; Spindler: Unternehmensorganisationspflichten. S. 1007, 1021, 1027.
45. ↑ Spindler, in: Goette/Habersack, Münchener Kommentar Aktiengesetz, § 76 Rn. 59.
46. ↑ Fleischer, in: Spindler/Stilz, Aktiengesetz, § 93 Rn. 61; Koch, in: Hüffer, Aktiengesetz, § 93 Rn. 4d.
47. ↑ BGHSt 37, 106; Roxin, Strafrecht AT II, § 32 Rn. 198 ff.