Ein Mitarbeiter manipuliert Abrechnungen, ein Prokurist umgeht Kreditlimits, ein Teamleiter verstößt gegen Datenschutz-Vorgaben: Sobald ein Geschäftsführer Kenntnis von einem solchen Vorfall erlangt, läuft die Uhr. Die Pflicht zum sofortigen Eingreifen ergibt sich unmittelbar aus § 43 Abs. 1 GmbHG — dem Maßstab des ordentlichen Geschäftsmanns.
Viele Geschäftsführer im Mittelstand unterschätzen die persönliche Haftungsdimension: Die GmbH-Haftungsbeschränkung schützt die Gesellschaft, nicht ihre Organe. Wer Compliance-Strukturen vernachlässigt oder bekannte Verstöße nicht verfolgt, riskiert zivilrechtliche Schadensersatzansprüche der Gesellschaft, Bußgelder nach § 130 OWiG und — bei strafbarem Hintergrund — strafrechtliche Verantwortung nach § 266 StGB.
Dieser Beitrag zeigt, welche konkreten Handlungspflichten beim Erkennen eines Compliance-Verstoßes entstehen, wie eine rechtssichere interne Ermittlung abläuft und was das Hinweisgeberschutzgesetz (HinSchG) für KMU bedeutet.
Warum trifft den Geschäftsführer eine Handlungspflicht beim Compliance-Verstoß?
Der Geschäftsführer ist nach § 43 Abs. 1 GmbHG verpflichtet, die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden — und muss weitergehend sofort eingreifen, wenn sich Anhaltspunkte für Fehlverhalten zeigen. Untätigkeit ist keine neutrale Option, sondern eine haftungsbegründende Pflichtverletzung.
Aus der sogenannten Legalitätspflicht folgt die Verpflichtung, organisatorische Vorkehrungen zu treffen, die Rechtsverstöße durch die Gesellschaft oder ihre Mitarbeiter verhindern. Diese Pflicht umfasst nach übereinstimmender Rechtsprechung Bilanz-, Kartell-, Wettbewerbs-, Arbeits-, Sozial- und Steuerrecht sowie Verwaltungs-, Straf- und Ordnungswidrigkeitsrecht.
Wichtig für die Praxis: Der Haftungsmaßstab des § 43 Abs. 1 GmbHG ist objektiv. Persönliche Merkmale des Geschäftsführers — Alter, Unerfahrenheit, Unkenntnis oder Arbeitsüberlastung — spielen keine Rolle. Wer das Amt übernimmt, übernimmt den vollen Pflichtenkanon.
Zivilrechtlich haftet der Geschäftsführer intern nach § 43 Abs. 2 GmbHG gegenüber der Gesellschaft und extern nach §§ 823, 826 BGB gegenüber Dritten. Strafrechtlich kann die Untreue nach § 266 StGB einschlägig sein, weil die gesellschaftsrechtliche Sorgfaltspflicht des § 43 Abs. 1 GmbHG die Pflichtwidrigkeit im Straftatbestand ausfüllt. Straf- und Zivilverfahren können dabei parallel laufen — eine Aussage im Strafverfahren wirkt häufig als faktisches Geständnis im Zivilprozess.
Welche Compliance-Strukturen muss ein KMU-Geschäftsführer einrichten?
Ein Compliance-Management-System (CMS) ist für Unternehmen jeder Größe Pflicht — eine Beschränkung auf bestimmte Branchen oder Mindestgrößen sieht die aktuelle Rechtsprechung nicht vor. Das OLG Nürnberg hat in seinem Urteil vom 30.03.2022 (Az. 12 U 1520/19) erstmals obergerichtlich klargestellt, dass aus der allgemeinen Legalitätspflicht unmittelbar die Pflicht zur Einrichtung eines CMS erwächst.
Der Anforderungskatalog des OLG ist konkret: Stichprobenartige Kontrollen müssen regelmäßig stattfinden. Mitarbeitende sind in Compliance-Themen zu schulen. Mitteilungs-, Berichts- und Dokumentationspflichten müssen eingeführt werden. Für kritische Prozesse — solche, bei denen Fehler Personenschäden oder erhebliche finanzielle Auswirkungen haben können — ist das Vier-Augen-Prinzip als Organisationsstandard einzuführen und tatsächlich durchzusetzen.
In einem typischen Fall aus der Beratungspraxis hatte ein mittelständisches Handelsunternehmen (ca. 80 Mitarbeitende, NRW) einen langjährigen Prokuristen, der Kreditlimits für Großkunden systematisch überschritt und Beschwerdevorgänge an sich zog. Der Geschäftsführer hatte zwar intern schriftliche Richtlinien für das Vier-Augen-Prinzip, setzte sie aber nicht durch. Genau dieser Umsetzungsbruch begründete nach Überzeugung des Gerichts die Pflichtverletzung — nicht das Fehlen der Regel, sondern ihre faktische Nichtanwendung.
Compliance-Aufgaben dürfen horizontal (zwischen mehreren Geschäftsführern) oder vertikal (an nachgeordnete Mitarbeiter oder externe Dritte wie Rechtsanwälte) delegiert werden. Die Delegation befreit jedoch nicht von der Gesamtverantwortung: Auswahl-, Einweisungs- und Überwachungspflichten verbleiben beim Organ. Bei begründeten Zweifeln an der Qualifikation oder Zuverlässigkeit der beauftragten Person entsteht sofort eine erhöhte Eingriffspflicht.
Der Umfang des erforderlichen CMS richtet sich nach Art, Größe, wirtschaftlicher Lage und Risikoanfälligkeit des Unternehmens. Ein Startups mit 15 Mitarbeitenden benötigt kein konzernweites Compliance-Programm — aber dokumentierte Kontrollen, klare Zuständigkeiten und einen internen Meldekanal.
Praxis-Tipp
Der Geschäftsführer einer GmbH muss laut § 43 Abs. 1 GmbHG sofort eingreifen, sobald sich Anhaltspunkte für Fehlverhalten zeigen — Untätigkeit begründet eine persönliche Schadensersatzpflicht gegenüber der Gesellschaft.
Was verlangt das Hinweisgeberschutzgesetz von Unternehmen ab 50 Mitarbeitenden?
Das Hinweisgeberschutzgesetz (HinSchG) ist seit dem 2. Juli 2023 in Kraft und verpflichtet Unternehmen ab 50 Mitarbeitenden, eine interne Meldestelle zu betreiben. Alle Übergangsfristen sind abgelaufen — für Unternehmen zwischen 50 und 249 Beschäftigten seit dem 17. Dezember 2023.
Die Meldestelle muss neutral, unabhängig und fachkundig agieren. Sie muss nicht im Unternehmen selbst angesiedelt sein: Unternehmen können externe Dienstleister beauftragen, etwa eine spezialisierte Anwaltskanzlei als Ombudsperson nach § 14 HinSchG. Unternehmen zwischen 50 und 249 Mitarbeitenden können zudem eine gemeinsame Meldestelle mit anderen Unternehmen betreiben.
Für die Bearbeitung eingehender Meldungen gelten gesetzliche Fristen: Die Eingangsbestätigung muss dem Hinweisgeber spätestens innerhalb von sieben Tagen zugehen. Innerhalb von drei Monaten nach Eingang ist der Hinweisgeber über ergriffene Maßnahmen zu informieren. Die Entgegennahme anonymer Meldungen ist nach aktuellem Gesetzesstand nicht verpflichtend, aber empfehlenswert.
Repressalien gegen Hinweisgeber sind nach § 1 HinSchG verboten — das gilt bereits für den Versuch oder die Androhung arbeitsrechtlicher Maßnahmen wie Kündigung oder Suspendierung im Zusammenhang mit einer Meldung. Unternehmen, die keine Meldestelle eingerichtet haben, riskieren ein Bußgeld von bis zu 20.000 Euro. Darüber hinaus drohen Reputationsschäden, wenn Hinweise mangels internem Kanal direkt an Behörden oder Medien gelangen.
Ein Hinweisgebersystem ist mehr als eine gesetzliche Pflicht: Es ist ein strategisches Frühwarnsystem. Wer intern frühzeitig von Verstößen erfährt, kann reagieren, bevor externe Stellen oder die Öffentlichkeit informiert werden. Das schützt das Unternehmen und entlastet die Geschäftsführung im Haftungsfall.
Wichtig zu wissen
Das OLG Nürnberg hat mit Urteil vom 30.03.2022 (Az. 12 U 1520/19) erstmals ausdrücklich bestätigt, dass aus der Legalitätspflicht die Pflicht zur Einrichtung eines Compliance-Management-Systems für Unternehmen jeder Größe folgt.



