Compliance & Digitalisierung

Compliance-Pflicht der Geschäftsleitung: Warum § 93 AktG, § 130 OWiG und der Corporate Governance Kodex jedes Unternehmen treffen

8. Juni 2026

Autoren: Prof. Dr. Manzur Esskandari, Rechtsanwalt und Fachanwalt für Steuerrecht, Honorarprofessor an der Universität des Saarlandes, Lehrbeauftragter der Hochschule Osnabrück und Dr. Daniela Bick, LL.M. (Taxation), Rechtsanwältin und Fachanwältin für Steuerrecht, Lehrbeauftragte der Hochschule Osnabrück, REB Steuerberatung GbR, Osnabrück.

TL;DR

Ein eigenes „Compliance-Gesetz” kennt das deutsche Recht nicht. Die Pflicht, im Unternehmen für Rechtstreue zu sorgen, verteilt sich über mehrere Normen, ein paar Grundsatzentscheidungen und einen Verhaltenskodex. Diese Zersplitterung nährt in der Praxis den Trugschluss, eine Compliance-Organisation sei freiwillige Kür, die sich bei knappen Mitteln streichen lasse. Liest man die einschlägigen Vorschriften zusammen, ergibt sich das Gegenteil: eine durchgehende Pflichtenlinie von der gesellschaftsrechtlichen Sorgfaltspflicht über die bußgeldbewehrte Aufsichtspflicht bis zur höchstrichterlich anerkannten strafmildernden Wirkung eines funktionierenden Systems. Wer diese Linie kennt, weiß auch, dass sie längst nicht mehr an der Börsennotierung haltmacht.

Rechtsstand: Juni 2026, basierend auf § 93 Abs. 1 AktG, § 130 OWiG und dem BGH-Urteil v. 9.5.2017, 1 StR 265/16.

Compliance bezeichnet im wirtschaftsrechtlichen Sinn die Gesamtheit der technischen, organisatorischen und personellen Maßnahmen in einem Unternehmen, die in ihrem Zusammenwirken rechtstreues Verhalten fördern und unterstützen sollen. Ein Compliance-Management-System ist die dauerhafte Verankerung dieser Maßnahmen in der Unternehmensorganisation, ausgerichtet auf das Erkennen, Bewerten und Beherrschen von Rechtsrisiken. Es reicht über vereinzelte Kontrollhandlungen hinaus und wirkt als angewandte Präventionsstruktur, die im laufenden Betrieb gelebt wird.

Kurz zusammengefasst: Die Geschäftsleitung muss ein Compliance-System einrichten, weil die Sorgfaltspflicht des § 93 Abs. 1 Satz 1 AktG die Legalitätspflicht einschließt und nach ständiger Rechtsprechung organisatorische Vorkehrungen zur Verhinderung von Rechtsverstößen verlangt. Verletzt der Betriebsinhaber die nötige Aufsicht, droht ihm nach § 130 OWiG eine Geldbuße bis zu einer Million Euro, seit der Anhebung durch das Achte Gesetz zur Änderung des GWB vom 26.6.2013. Für börsennotierte Gesellschaften hat das Finanzmarktintegritätsstärkungsgesetz das Ob über § 91 Abs. 3 AktG endgültig entschieden, und seit dem StaRUG trifft die Pflicht zur Risikofrüherkennung auch die GmbH. Ein wirksames System lohnt sich doppelt, weil der Bundesgerichtshof es bei der Bemessung der Verbandsgeldbuße ausdrücklich strafmildernd berücksichtigt.

Ist die Geschäftsführung gesetzlich verpflichtet, ein Compliance-System einzurichten?

Ja, die Pflicht folgt bereits aus der allgemeinen Sorgfaltspflicht des § 93 Abs. 1 Satz 1 AktG, die für den Vorstand die Legalitätspflicht einschließt. Die Norm lautet: „Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden.” Diese Sorgfaltspflicht umfasst die Einhaltung aller relevanten Rechtsvorschriften und begründet damit eine umfassende Compliance-Verantwortung. Nach ständiger Rechtsprechung muss der Vorstand durch geeignete organisatorische Maßnahmen sicherstellen, dass Rechtsverstöße im Unternehmen verhindert werden.

Die Verpflichtung wurzelt also in der Grundnorm der Organhaftung, nicht in einer Spezialvorschrift mit dem Wort „Compliance” im Titel. Das hat eine Konsequenz, die mancher Geschäftsleiter unterschätzt. Kommt es zu einem Rechtsverstoß und es bestand kein wirksames System, hilft der Einwand nicht, eine ausdrückliche Pflicht habe gefehlt. Die Pflicht steckt in der Sorgfalt selbst. Wie das System ausgestaltet wird, schreibt das Gesetz dem Vorstand dagegen nicht vor. Genau hier liegt der Spielraum, auf den es ankommt.

Geschützt wird dieser Spielraum durch die Business Judgment Rule. Eingeführt durch das Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts vom 22.9.2005 als § 93 Abs. 1 Satz 2 AktG, stellt sie klar: „Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln.” Dieser haftungsfreie Handlungsspielraum betrifft das Wie der Compliance, also die Auswahl und das Maß der Maßnahmen. Auf das Ob bezieht er sich nicht. Schon vor der gesetzlichen Kodifikation hatte der Bundesgerichtshof in der ARAG/Garmenbeck-Entscheidung vom 21.4.1997 (II ZR 175/95) die Grundzüge eines solchen unternehmerischen Ermessens entwickelt.

Wie weit reicht die Organisationspflicht aus § 93 AktG konkret?

Sie verlangt, das Unternehmen so einzurichten, dass Rechtsverstöße verhindert werden, und das Landgericht München I hat das mit der Siemens/Neubürger-Entscheidung vom 10.12.2013 (5 HK O 1387/10) für den Vorstand konkretisiert. Das Gericht stellte fest, dass die Legalitätspflicht bedeutet, dass Vorstandsmitglieder dafür sorgen müssen, dass das Unternehmen so organisiert wird, dass Rechtsverstöße verhindert werden. Damit ist die abstrakte Sorgfaltspflicht in eine greifbare Organisationsverantwortung übersetzt.

Die praktische Brisanz dieser Entscheidung liegt in der persönlichen Haftungsfolge. Im zugrunde liegenden Verfahren ging es um die Inanspruchnahme eines früheren Vorstandsmitglieds auf Schadensersatz wegen unzureichender Compliance-Organisation. Unterlässt ein Geschäftsleiter die Einrichtung wirksamer Kontrollstrukturen und entsteht dem Unternehmen daraus ein Schaden, haftet er mit dem eigenen Vermögen. Erfahrungsgemäß wird dieser Zusammenhang in der Beratung erst dann ernst genommen, wenn ein konkreter Verstoß im Raum steht und die Frage nach der vorgelagerten Organisation aufkommt. Bis dahin gilt die Compliance-Struktur vielen als Kostenfaktor ohne sichtbaren Gegenwert.

Maßstab ist die Risikoorientierung. Die Organisationspflicht fordert keine lückenlose Überwachung jedes einzelnen Vorgangs, die in einem arbeitsteiligen Unternehmen ohnehin nicht zu leisten wäre. Sie fordert ein System, das an der konkreten Risikolage des Unternehmens ausgerichtet ist. Ein Industrieunternehmen mit Auslandsvertrieb trägt andere Korruptions- und Exportrisiken als ein national tätiger Dienstleister, und das System darf, ja muss diesem Unterschied Rechnung tragen.

Welches Bußgeld droht bei Verletzung der Aufsichtspflicht nach § 130 OWiG?

Dem Betriebsinhaber droht nach § 130 OWiG eine Geldbuße von bis zu einer Million Euro, wenn er die Aufsicht vorsätzlich oder fahrlässig vernachlässigt, seit der Anhebung des Bußgeldrahmens durch das Achte Gesetz zur Änderung des GWB vom 26.6.2013. § 130 Abs. 1 OWiG erfasst denjenigen, „der als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterläßt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist”. Zu den erforderlichen Aufsichtsmaßnahmen zählen nach dem Wortlaut der Norm auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.

Der Normzweck zielt darauf, den wirtschaftlich leistungsfähigen Nutznießer einer Zuwiderhandlung zu treffen, die ein Betriebsangehöriger im Rahmen seiner Pflichtausübung begangen hat. Damit schlägt die Vorschrift eine Brücke vom Gesellschaftsrecht ins Bußgeldrecht. § 93 AktG betrifft die Innenhaftung gegenüber der Gesellschaft, § 130 OWiG sanktioniert das Aufsichtsversagen als eigenständige Ordnungswidrigkeit gegenüber dem Staat. Die historischen Wurzeln der Norm reichen bis in die preußische Gewerbeordnung von 1845 zurück; in das Ordnungswidrigkeitengesetz kam sie 1968 in modifizierter Form.

Mit der Million-Euro-Grenze ist die finanzielle Belastung nicht erschöpft. Über § 30 OWiG lässt sich zusätzlich eine Verbandsgeldbuße gegen das Unternehmen selbst verhängen. Die Aufsichtspflichtverletzung wird damit zum Anknüpfungspunkt für eine Sanktionierung, die das Bußgeld gegen die einzelne Leitungsperson deutlich übersteigen kann. Wer hier nur auf die Million-Euro-Grenze blickt, unterschätzt das Gesamtrisiko erheblich.

Warum wirkt ein wirksames Compliance-System nach dem BGH strafmildernd?

Ein wirksames Compliance-Management-System mildert die Sanktion, weil der Bundesgerichtshof in seinem Urteil vom 9.5.2017 (1 StR 265/16) erstmals höchstrichterlich anerkannt hat, dass es bei der Bemessung einer Verbandsgeldbuße nach § 30 OWiG zu berücksichtigen ist. In der Entscheidung heißt es: „Für die Bemessung der Geldbuße ist zudem von Bedeutung, inwieweit die Nebenbeteiligte ihrer Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein effizientes Compliance-Management installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt sein muss.” Das Urteil markiert einen Wendepunkt in der deutschen Compliance-Rechtsprechung.

Der BGH misst die bloße Existenz eines Systems gering und stellt auf seine tatsächliche Funktionsfähigkeit ab. Der Entscheidung lassen sich vier Kriterien entnehmen: Effizienz im Sinne tatsächlicher Funktionsfähigkeit, Präventionsausrichtung auf die Vermeidung von Rechtsverstößen, operative Umsetzung statt nur formaler Existenz sowie kontinuierliche Weiterentwicklung. Ein nur auf dem Papier bestehendes System genügt diesen Anforderungen nicht und trägt entsprechend wenig zur Milderung bei.

Bemerkenswert ist die zeitliche Reichweite, die der BGH öffnet. Berücksichtigt wird nicht allein das System, das im Tatzeitpunkt bestand, sondern auch das, was das Unternehmen nach Aufdeckung des Verstoßes nachgebessert hat. Wer sein Kontrollsystem nach einem Vorfall nachweisbar nachschärft, kann auch das strafmildernd geltend machen. In der Verteidigungspraxis ist die Dokumentation dieser Nachsteuerung regelmäßig der Hebel, mit dem sich die Höhe einer Verbandsgeldbuße spürbar beeinflussen lässt. Voraussetzung bleibt, dass sich das System und seine Fortentwicklung anhand nachvollziehbarer Unterlagen belegen lassen; was sich im Verfahren nicht zeigen lässt, wirkt auch nicht.

Verpflichtet der Corporate Governance Kodex zur Einrichtung eines Compliance-Systems?

Der Deutsche Corporate Governance Kodex verpflichtet als Soft Law nicht unmittelbar, verlangt aber über das Comply-or-Explain-Prinzip des § 161 AktG eine Begründung jeder Abweichung, und für börsennotierte Gesellschaften besteht seit dem FISG eine echte gesetzliche Einrichtungspflicht. Grundsatz 5 des DCGK 2022, in Kraft seit dem 27.6.2022, formuliert: „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der internen Richtlinien zu sorgen und wirkt auf deren Beachtung im Unternehmen hin (Compliance). Das interne Kontrollsystem und das Risikomanagementsystem umfassen auch ein an der Risikolage des Unternehmens ausgerichtetes Compliance Management System.” Der Kodex hat damit 2022 das Compliance-Management-System von einer bloßen Empfehlung zu einem Grundsatz aufgewertet.

Die Bindungswirkung entsteht über § 161 AktG. Das Comply-or-Explain-Prinzip erlaubt Unternehmen, von Empfehlungen abzuweichen, verlangt aber die Begründung und Offenlegung der Abweichung. Ein börsennotiertes Unternehmen, das auf eine Compliance-Struktur verzichtet, muss diesen Verzicht öffentlich erklären und rechtfertigen, was sich am Kapitalmarkt kaum durchhalten lässt.

Für börsennotierte Gesellschaften ist der Schritt vom Soft Law zum Hard Law schon vollzogen. Als Reaktion auf den Wirecard-Skandal regelt das Finanzmarktintegritätsstärkungsgesetz vom 3.6.2021 in § 91 Abs. 3 AktG, dass der Vorstand einer börsennotierten Gesellschaft ein im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage angemessenes und wirksames internes Kontrollsystem und Risikomanagementsystem einzurichten hat. Der Vorstand einer börsennotierten Gesellschaft hat seither nur noch ein Leitungsermessen hinsichtlich des Wie der Ausgestaltung, nicht mehr hinsichtlich des Ob. Ob ein solches System zu errichten ist, ist für diese Gesellschaften gesetzlich entschieden.

Gilt die Compliance-Pflicht auch für die GmbH und nicht nur für die Aktiengesellschaft?

Seit dem StaRUG trifft die Pflicht zur Risikofrüherkennung ausdrücklich auch die GmbH und andere juristische Personen, womit der Befund einer reinen AG-Materie überholt ist. Das Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen vom 22.12.2020 schreibt seit dem 1.1.2021 eine haftungsbewehrte Pflicht zur Krisenfrüherkennung fest. § 1 StaRUG bestimmt: „Die Mitglieder des zur Geschäftsführung berufenen Organs einer juristischen Person wachen fortlaufend über Entwicklungen, welche den Fortbestand der juristischen Person gefährden können. Erkennen sie solche Entwicklungen, ergreifen sie geeignete Gegenmaßnahmen.” Jede juristische Person ist damit verpflichtet, zumindest eine dieser Norm entsprechende Risikoanalyse vorzunehmen und ein Risikomanagement zu betreiben.

Über § 130 OWiG wird die Verbindung noch enger. Die bußgeldbewehrte Aufsichtspflicht knüpft an den Inhaber eines Betriebes oder Unternehmens an, ohne nach der Rechtsform zu unterscheiden. Der GmbH-Geschäftsführer steht insoweit dem Vorstand einer Aktiengesellschaft gleich, und die Million-Euro-Grenze gilt für ihn ebenso. Wer in einer mittelständischen GmbH die Aufsicht vernachlässigt, ist denselben Sanktionsrisiken ausgesetzt wie das Leitungsorgan eines Konzerns.

Die Entwicklung der vergangenen Jahre läuft durchgehend in diese Richtung. Vom Lieferkettensorgfaltspflichtengesetz, das seit dem 1.1.2023 in Kraft ist und ab 2024 Unternehmen mit mindestens 1.000 Beschäftigten erfasst, bis zum Hinweisgeberschutzgesetz mit seiner Pflicht zu vertraulichen Meldestellen sind die Anforderungen an Kontrollstrukturen breit über die Rechtsformen gestreut worden. Die Vorstellung, Compliance betreffe allein die kapitalmarktorientierte Aktiengesellschaft, hält der geltenden Rechtslage nicht stand.

Was dieser Beitrag nicht behandelt

Dargestellt sind die zivil-, bußgeld- und gesellschaftsrechtlichen Grundlagen der allgemeinen Compliance-Pflicht der Geschäftsleitung nach deutschem Recht. Nicht behandelt werden die inhaltliche Ausgestaltung eines Compliance-Management-Systems im Einzelnen, die berufsständischen Prüfungsstandards zur Systemprüfung sowie die branchenspezifischen Sonderregime, etwa die Compliance-Funktion der Wertpapierdienstleistungsunternehmen nach § 33 Abs. 1 Nr. 3 WpHG oder die geldwäscherechtlichen Sicherungsmaßnahmen nach dem Geldwäschegesetz. Außen vor bleiben ebenso die steuerspezifische Ausprägung in Gestalt eines Tax Compliance Management Systems und die extraterritoriale Wirkung ausländischer Compliance-Gesetze wie des US-amerikanischen Foreign Corrupt Practices Act.

Unsere fachliche Einschätzung

Der folgenschwerste Fallstrick in der Beratung ist die Annahme, Compliance sei eine freiwillige Kür der großen, börsennotierten Gesellschaften und gehe den mittelständischen GmbH-Geschäftsführer nichts an. Diese Einschätzung war schon vor dem StaRUG zweifelhaft und ist seit dem 1.1.2021 falsch. Die Legalitätspflicht aus der Sorgfalt des ordentlichen Geschäftsleiters, die bußgeldbewehrte Aufsichtspflicht aus § 130 OWiG und die Risikofrüherkennungspflicht aus § 1 StaRUG gelten unabhängig von Börsennotierung und Unternehmensgröße. Der Unterschied liegt im Umfang des Systems, nicht in der Frage seiner Notwendigkeit.

Der praktische Wert eines wirksamen Systems zeigt sich an zwei Stellen, lange bevor ein Schaden eintritt. Vorbeugend senkt es die Wahrscheinlichkeit von Rechtsverstößen und damit das Haftungs- und Bußgeldrisiko. Im Ernstfall verändert es die Sanktionslage, weil der BGH ein effizientes Compliance-Management bei der Bemessung der Verbandsgeldbuße ausdrücklich strafmildernd berücksichtigt. Den Ausschlag gibt dabei der Nachweis der Funktionsfähigkeit, nicht schon das bloße Vorhandensein eines Regelwerks. Ein System, dessen Wirksamkeit sich im Verfahren nicht belegen lässt, verliert seinen Wert genau dort, wo es gebraucht wird. Wer eine Compliance-Struktur aufbaut, sollte deshalb von Anfang an die Dokumentation mitdenken, die ihre Wirksamkeit später tragen muss.

Häufige Fragen

Gibt es im deutschen Recht eine einzelne Norm, die Compliance vorschreibt? Nein. Die rechtliche Verankerung erfolgt über ein Geflecht bereichsspezifischer Regelungen, ohne dass ein einheitliches Compliance-Gesetz existiert. Im Gesellschaftsrecht bildet § 93 AktG den zentralen Anknüpfungspunkt; die Sorgfaltspflicht des ordentlichen und gewissenhaften Geschäftsleiters umfasst nach herrschender Meinung auch die Einrichtung angemessener Compliance-Strukturen zur Verhinderung von Rechtsverletzungen.

Schützt die Business Judgment Rule vor der Pflicht, ein Compliance-System einzurichten? Nein. Die Business Judgment Rule nach § 93 Abs. 1 Satz 2 AktG schützt den haftungsfreien Handlungsspielraum bei der Ausgestaltung des Systems, also beim Wie. Sie betrifft nicht die Frage des Ob. Für börsennotierte Gesellschaften ist das Ob seit dem FISG über § 91 Abs. 3 AktG ohnehin gesetzlich entschieden.

Wie hoch ist das Bußgeld bei Verletzung der Aufsichtspflicht? Nach § 130 OWiG droht eine Geldbuße von bis zu einer Million Euro. Diese Höhe gilt seit der Anhebung des Bußgeldrahmens durch das Achte Gesetz zur Änderung des GWB vom 26.6.2013. Über § 30 OWiG kann zusätzlich eine Verbandsgeldbuße gegen das Unternehmen selbst verhängt werden.

Was hat der BGH 2017 zur Bedeutung von Compliance entschieden? Der BGH hat im Urteil vom 9.5.2017 (1 StR 265/16) erstmals höchstrichterlich anerkannt, dass ein effizientes Compliance-Management bei der Bemessung einer Verbandsgeldbuße nach § 30 OWiG strafmildernd zu berücksichtigen ist. Das System muss dafür tatsächlich funktionsfähig und auf die Vermeidung von Rechtsverstößen ausgelegt sein, nicht nur formal vorhanden.

Gilt die Compliance-Pflicht auch für eine GmbH? Ja. Nach § 1 StaRUG müssen seit dem 1.1.2021 auch GmbHs und andere juristische Personen fortlaufend über bestandsgefährdende Entwicklungen wachen und bei Bedarf Gegenmaßnahmen ergreifen. Die Aufsichtspflicht nach § 130 OWiG knüpft ohnehin an den Inhaber eines Betriebes oder Unternehmens an, unabhängig von der Rechtsform.

Muss ein börsennotiertes Unternehmen ein internes Kontrollsystem einrichten? Ja. Nach § 91 Abs. 3 AktG, eingeführt durch das FISG vom 3.6.2021, hat der Vorstand einer börsennotierten Gesellschaft ein angemessenes und wirksames internes Kontrollsystem und Risikomanagementsystem einzurichten. Das Leitungsermessen bezieht sich nur noch auf die Ausgestaltung, nicht auf die Frage, ob ein solches System zu errichten ist.