Ein Prokurist manipuliert die Abrechnungssoftware, Kreditlimits werden überzogen, der Schaden geht in den sechsstelligen Bereich — und am Ende haftet der Geschäftsführer persönlich. Genau dieses Szenario hat das OLG Nürnberg im Urteil vom 30.03.2022 (Az. 12 U 1520/19) entschieden: Wer kein funktionsfähiges Compliance-Management-System betreibt, verletzt seine Sorgfaltspflicht nach § 43 Abs. 1 GmbHG.
Viele Inhaber und Geschäftsführer im Mittelstand gehen davon aus, Compliance sei ein Konzernthema. Das Gegenteil ist richtig: Die Rechtsprechung verlangt auch von einem Betrieb mit 13 Mitarbeitern eine dokumentierte Kontrollstruktur. Hinzu kommen gesetzliche Einzelpflichten — von der Hinweisgeber-Meldestelle nach § 12 HinSchG bis zu Sorgfaltspflichten im Lieferkettengesetz.
Dieser Pillar-Artikel gibt Geschäftsführern, CFOs und HR-Leitungen in KMU (10–500 Mitarbeiter) einen strukturierten Aufbauplan: Welche Pflichten gelten, welche Bausteine ein Compliance-Management-System (CMS) braucht, wie es skalierbar eingeführt wird und wo die persönliche Haftung beginnt.
Warum haftet der Geschäftsführer persönlich, wenn kein CMS besteht?
Die persönliche Haftung des Geschäftsführers entsteht nicht erst dann, wenn er selbst gegen Gesetze verstößt. Sie beginnt bereits dort, wo er durch unzureichende Organisation, fehlende Anweisungen oder mangelnde Kontrolle ermöglicht, dass Mitarbeiter Rechtsverstöße begehen oder erleichtern. Das ist der Kern der Organisationspflicht aus § 43 Abs. 1 GmbHG.
Das OLG Nürnberg hat diese Pflicht im Urteil vom 30.03.2022 (Az. 12 U 1520/19) für GmbH-Geschäftsführer ausdrücklich konkretisiert: Aus der Legalitätspflicht folgt die Verpflichtung, organisatorische Vorkehrungen zu treffen, die Rechtsverstöße durch die Gesellschaft oder deren Mitarbeiter verhindern. Das Gericht verurteilte den Geschäftsführer einer mittelständischen KG mit gerade einmal 13 Mitarbeitern zu hohem sechsstelligem Schadensersatz, weil kein 4-Augen-Prinzip und kein Früherkennungssystem existierten.
Bereits vor diesem Urteil hatte das LG München I in der Grundsatzentscheidung Siemens/Neubürger vom 10.12.2013 (Az. 5 HK O 1387/10) festgestellt, dass die Einrichtung eines funktionierenden Compliance-Systems zur Gesamtverantwortung der Unternehmensleitung gehört. Beide Entscheidungen zusammen bilden heute die zentrale Rechtsprechungsgrundlage für CMS-Pflichten im Mittelstand.
Eine originäre gesetzliche Pflicht zur Einführung eines standardisierten CMS gibt es in Deutschland zwar nicht — außer für bestimmte Branchen wie den Finanz- und Versicherungssektor. Die Pflicht ergibt sich jedoch indirekt aus der Sorgfaltspflicht nach § 43 GmbHG und § 93 AktG sowie aus Einzelgesetzen wie dem Hinweisgeberschutzgesetz (HinSchG) und dem Lieferkettensorgfaltspflichtengesetz (LkSG). Der BGH hat zudem in mehreren Entscheidungen betont, dass der Geschäftsführer jederzeit Überblick über die wirtschaftliche und finanzielle Lage der Gesellschaft haben muss — was ohne ein systematisches Kontroll- und Überwachungssystem faktisch unmöglich ist.
Für Geschäftsführer, die delegieren, gilt: Delegation befreit nicht von der Verantwortung. Wer Compliance-Aufgaben an einen Mitarbeiter oder externen Berater überträgt, muss diese Person sorgfältig auswählen, anweisen und die Überwachungstätigkeit selbst kontrollieren. Ein Versäumnis auf dieser Ebene begründet erneut das Organisationsverschulden.
Welche konkreten Gesetze verpflichten KMU heute zu Compliance-Maßnahmen?
Neben der allgemeinen Sorgfaltspflicht aus § 43 GmbHG treffen Mittelständler heute eine Reihe konkreter gesetzlicher Einzelpflichten, deren Nichterfüllung direkt mit Bußgeldern sanktioniert wird. Entscheidend ist dabei die Mitarbeiterzahl als Schwellenwert.
Ab 50 Mitarbeitern greift § 12 HinSchG: Seit dem 17.12.2023 müssen Unternehmen dieser Größe eine interne Meldestelle für Hinweisgeber einrichten und dauerhaft betreiben. Wer dieser Pflicht nicht nachkommt, begeht nach § 40 HinSchG eine Dauerordnungswidrigkeit — Bußgelder bis zu 20.000 Euro können daher mehrfach verhängt werden. Meldungen müssen innerhalb von sieben Tagen bestätigt werden. Die Meldestelle muss Verstöße in Bereichen wie Arbeitsrecht, Datenschutz, Korruption, Geldwäsche und Produktsicherheit entgegennehmen.
Ab 1.000 Mitarbeitern gilt seit Januar 2024 das Lieferkettensorgfaltspflichtengesetz (LkSG). Es verlangt eine Risikoanalyse für Menschenrechts- und Umweltrisiken in der gesamten Lieferkette, Präventionsmaßnahmen, ein Beschwerdeverfahren und eine Berichterstattung. Das LkSG verlangt damit de facto Kernelemente eines vollständigen CMS. Bei Verstößen drohen Bußgelder bis zu acht Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes.
Darüber hinaus gelten branchenübergreifend die Vorgaben der DSGVO (Art. 5, 24, 25 DSGVO) zur technisch-organisatorischen Absicherung personenbezogener Daten. Ein fehlendes Datenschutz-Kontrollsystem ist regelmäßig zugleich eine Verletzung der Compliance-Pflicht. Für international tätige Mittelständler kommen kartellrechtliche Pflichten nach dem GWB sowie Anti-Korruptions-Regelungen hinzu.
Ein Praxishinweis zur Insolvenz-Compliance: Die Pflicht zur rechtzeitigen Stellung eines Insolvenzantrags ist ein eigenständiges Compliance-Thema mit eigenen Fristen und Haftungsregeln für Geschäftsführer — dazu existiert im Cluster bereits ein vertiefender Beitrag zur Insolvenzantragspflicht, der die Haftungskonsequenzen und Fristen nach §§ 15a, 15b InsO detailliert beschreibt.
Praxis-Tipp
Das OLG Nürnberg hat mit Urteil vom 30.03.2022 (Az. 12 U 1520/19) klargestellt, dass die Legalitätspflicht nach § 43 Abs. 1 GmbHG jeden Geschäftsführer — unabhängig von der Unternehmensgröße — verpflichtet, ein Compliance-Management-System einzurichten.
Wie ist ein Compliance-Management-System für KMU aufgebaut?
Ein CMS für den Mittelstand besteht aus fünf aufeinander aufbauenden Bausteinen: Risikoanalyse, Richtlinien, Schulungen, Kontrollmechanismen und ein Hinweisgeber-System. Kein Baustein ist optional — ein CMS ohne Kontrollmechanismus ist rechtlich so wertlos wie keines.
Der erste Baustein ist die Risikoanalyse. Sie identifiziert die spezifischen Compliance-Risiken eines Unternehmens: Welche Rechtsbereiche sind relevant (Arbeitsrecht, Datenschutz, Wettbewerbsrecht, Antikorruption)? Wo bestehen Interessenkonflikte? Welche Prozesse haben ein erhöhtes Missbrauchspotenzial? Die Risikoanalyse bestimmt Umfang und Schwerpunkte des gesamten CMS — sie ist kein einmaliger Akt, sondern muss regelmäßig, mindestens jährlich, aktualisiert werden.
Der zweite Baustein sind interne Richtlinien und ein Code of Conduct. Diese Dokumente übersetzen abstrakte gesetzliche Pflichten in konkrete Verhaltensregeln für Mitarbeiter und Führungskräfte. Typische Inhalte: Interessenkonflikt-Regelungen, Geschenke- und Einladungsrichtlinien, Vier-Augen-Prinzip bei kritischen Zahlungsprozessen, Datenschutz-Verhaltensregeln. Die Richtlinien müssen schriftlich vorliegen, von der Geschäftsführung unterzeichnet und für alle Mitarbeiter zugänglich sein.
Schulungen sind der dritte Baustein — und häufig der am stärksten vernachlässigte. Eine Richtlinie, die niemand kennt, entfaltet keine Schutzwirkung. Regelmäßige, dokumentierte Schulungen zu Compliance-Themen sind Pflicht: Sie belegen im Haftungsfall, dass das Unternehmen aktiv gehandelt hat. Besonders kritisch: Erstschulungen bei Neueinstellungen und Folgeschulungen bei Gesetzesänderungen.
Kontrollmechanismen als vierter Baustein umfassen interne Prozesskontrollen (z.B. Vier-Augen-Prinzip bei Zahlungen, Zugriffsbeschränkungen in IT-Systemen, stichprobenartige Prüfungen) sowie ein regelmäßiges Compliance-Reporting an die Geschäftsführung. Als fünfter Baustein ist das Hinweisgeber-System ab 50 Mitarbeitern gesetzlich vorgeschrieben — für kleinere Unternehmen ist es gleichwohl empfehlenswert, weil es Fehlverhalten früh sichtbar macht, bevor es zu einem Schaden eskaliert.
Wichtig zu wissen
Unternehmen ab 50 Mitarbeitern müssen seit dem 17.12.2023 gemäß § 12 HinSchG eine interne Meldestelle für Hinweisgeber betreiben; fehlt sie, drohen Bußgelder bis zu 20.000 Euro als Dauerordnungswidrigkeit.
So führen KMU ein Compliance-System ein: Schritt für Schritt
Ein CMS muss nicht am ersten Tag vollständig sein. Entscheidend ist, dass der Aufbau dokumentiert, systematisch und nachvollziehbar erfolgt. Gerichte und Behörden honorieren einen erkennbar ernst gemeinten Prozess — sie bestrafen das vollständige Fehlen jeder Struktur.
Schritt 1: Compliance-Verantwortlichen benennen. In kleineren KMU übernimmt der Geschäftsführer diese Funktion selbst oder delegiert sie an einen erfahrenen HR- oder Rechtsmitarbeiter. Ab einer gewissen Komplexität lohnt die externe Beauftragung eines Compliance-Beraters oder Rechtsanwalts. Die Delegation entbindet die Geschäftsführung nicht von der Überwachungspflicht — sie muss den Compliance-Verantwortlichen sorgfältig auswählen, anleiten und kontrollieren.
Schritt 2: Risikoanalyse durchführen und dokumentieren. Identifizieren Sie die drei bis fünf größten Compliance-Risikobereiche Ihres Unternehmens. Priorisieren Sie danach. Ein Logistikunternehmen hat andere Schwerpunkte (Arbeitszeitgesetz, Gefahrgutrecht, Fahrpersonalverordnung) als ein Software-Anbieter (DSGVO, Lizenzrecht, Wettbewerbsrecht). Die Risikoanalyse ist schriftlich niederzulegen und von der Geschäftsführung zu verabschieden.
Schritt 3: Kernrichtlinien erstellen. Beginnen Sie mit den Bereichen höchsten Risikos. Typisch für einen Mittelständler: eine Anti-Korruptions-Richtlinie, eine Datenschutz-Verhaltensrichtlinie und eine Interessenkonflikt-Regelung. Wichtig: Richtlinien müssen nicht juristisch perfekt formuliert sein — sie müssen verständlich und lebbar sein. Ein typisches Beispiel aus der Beratungspraxis: Ein Maschinenbauer aus dem Münsterland hatte umfangreiche AGB für Kunden, aber keinerlei interne Verhaltensregeln für seinen Außendienst. Ein langjähriger Vertriebsmitarbeiter schloss über Jahre Scheinverträge ab. Nach der Einführung eines Vier-Augen-Prinzips bei Vertragsabschlüssen und einer Anti-Korruptions-Richtlinie wurden erste Auffälligkeiten innerhalb von Wochen durch interne Kontrollen entdeckt.
Schritt 4: Schulen und dokumentieren. Führen Sie Erstschulungen für alle Mitarbeiter durch. Jede Schulung wird mit Datum, Inhalt und Teilnehmerliste dokumentiert. Digitale Lernplattformen reduzieren den Aufwand erheblich und erzeugen revisionssichere Nachweise. Schritt 5: Hinweisgeber-System einrichten. Ab 50 Mitarbeitern ist dies gesetzlich verpflichtend nach § 12 HinSchG. Für kleinere Unternehmen empfiehlt sich zumindest eine benannte Vertrauensperson oder eine anonyme Meldebox. Schritt 6: Jährliche CMS-Überprüfung einplanen. Compliance ist kein Projekt, sondern ein Dauerprozess.
Welchen Schutz bietet ein funktionierendes CMS — und was fordern Banken und Partner?
Ein nachweislich funktionierendes CMS entfaltet eine doppelte Schutzwirkung: Es reduziert die Wahrscheinlichkeit von Compliance-Verstößen und es kann im Haftungsfall als Entlastungsbeweis dienen. Gerichte haben anerkannt, dass ein Geschäftsführer, der ein angemessenes Kontrollsystem eingerichtet und Mitarbeiter geschult hat, seiner Sorgfaltspflicht genügt — selbst wenn ein Mitarbeiter dann doch gegen Regeln verstößt.
Die Exculpationswirkung ist allerdings keine Garantie. Sie setzt voraus, dass das CMS nicht nur auf dem Papier besteht, sondern tatsächlich gelebt wird. Prüfpunkte: Werden Kontrollen regelmäßig durchgeführt? Werden Schulungsnachweise aufbewahrt? Reagiert das Unternehmen auf Hinweise? Ein rein formales CMS ohne nachweisliche Umsetzung schützt nicht.
Banken, Investoren und zunehmend auch Geschäftspartner in Lieferketten verlangen heute funktionierende Compliance-Strukturen als Voraussetzung für stabile Geschäftsbeziehungen. Bei Unternehmensverkäufen und M&A-Transaktionen prüft die Due-Diligence-Praxis das CMS systematisch — ein fehlendes oder lückenhaftes System drückt den Unternehmenswert und kann Transaktionen scheitern lassen.
Die ISO-Norm 37301 (Compliance-Management-Systeme) und ISO 37001 (Anti-Korruptionsmanagementsysteme) bieten einen international anerkannten Rahmen für den CMS-Aufbau. Eine Zertifizierung nach diesen Normen ist für Mittelständler zwar freiwillig, gewinnt aber als Nachweis gegenüber Geschäftspartnern und bei öffentlichen Ausschreibungen an Bedeutung. Beide ISO-Normen verlangen zudem die Bearbeitung anonymer Hinweise — wer eine ISO-Zertifizierung anstrebt, muss sein Hinweisgeber-System entsprechend ausgestalten.
Der BGH hat mit Urteil vom 17.07.2009 (Az. 5 StR 394/08) zudem klargestellt, dass ein Compliance-Verantwortlicher, der von einem Delikt im Unternehmen weiß und nichts unternimmt, wegen Beihilfe durch Unterlassen strafrechtlich verfolgt werden kann. Das bedeutet: Compliance-Pflichten treffen nicht nur den Geschäftsführer, sondern auch intern benannte Compliance-Beauftragte und leitende Mitarbeiter mit Kontrollverantwortung.
Ihre Checkliste auf einen Blick
- Das OLG Nürnberg hat mit Urteil vom 30.03.2022 (Az. 12 U 1520/19) klargestellt, dass die Legalitätspflicht nach § 43 Abs. 1 GmbHG jeden Geschäftsführer — unabhängig von der Unternehmensgröße — verpflichtet, ein Compliance-Management-System einzurichten.
- Unternehmen ab 50 Mitarbeitern müssen seit dem 17.12.2023 gemäß § 12 HinSchG eine interne Meldestelle für Hinweisgeber betreiben; fehlt sie, drohen Bußgelder bis zu 20.000 Euro als Dauerordnungswidrigkeit.
- Ein fehlendes oder unzureichendes CMS begründet ein Organisationsverschulden des Geschäftsführers, das zu persönlicher Schadensersatzpflicht nach § 43 Abs. 2 GmbHG führen kann — ohne Rücksicht auf eigenes Fehlverhalten.
- Ein wirksames CMS besteht aus fünf Bausteinen: Risikoanalyse, interne Richtlinien (Code of Conduct), Schulungen, Kontrollmechanismen und ein dokumentiertes Hinweisgebersystem.
- Banken, Investoren und Geschäftspartner verlangen zunehmend funktionierende Compliance-Strukturen als Voraussetzung für stabile Geschäftsbeziehungen — ein CMS ist damit auch ein Wettbewerbsfaktor.
Fazit
Compliance im Mittelstand ist kein Konzernluxus — es ist eine Haftungsfrage. Wer als Geschäftsführer keine dokumentierte Kontrollstruktur aufbaut, riskiert persönliche Schadensersatzpflichten nach § 43 Abs. 2 GmbHG, Bußgelder nach HinSchG und den Vertrauensverlust bei Banken, Investoren und Geschäftspartnern. Der Aufbau eines CMS muss nicht perfekt sein — er muss systematisch, dokumentiert und erkennbar ernst gemeint sein.
Dieser Beitrag wurde von Rechtsanwalt Marek Schauer fachlich geprüft — mehr zur Person unter /anwaelte/marek-schauer. Dieser Beitrag ersetzt keine individuelle Rechtsberatung — bei konkreten Fragen zu Ihrem Compliance-System wenden Sie sich an einen Rechtsanwalt.
