Compliance im Mittelstand – Risiken erkennen, Verantwortung und Gestaltungsspielraum, Teil I

veröffentlicht am 17. September 2025 | Lesedauer ca. 4 Minuten

In einer einerseits regulierten und global vernetzten, aber auch zunehmend unsicheren Wirtschaftswelt gewinnt das Thema Compliance auch für mittelständische Unternehmen stetig an Bedeutung. Diese sehen sich verstärkt mit komplexen rechtlichen Anforderungen und steigenden Erwartungen an verantwortungsvolles Handeln konfrontiert – unabhängig von der Unternehmensgröße. Gerade der Mittelstand steht vor der Herausforderung, gesetzliche Vorgaben, ethische Standards und branchenspezifische Anforderungen effizient und praxisnah umzusetzen, ohne dabei die unternehmerische Flexibilität zu verlieren. Zur Sicherstellung der Einhaltung dieser Vorgaben empfiehlt sich in der Praxis die Einrichtung eines speziell auf die Risiken des jeweiligen Unternehmens zugeschnittenen Compliance Management Systems („CMS“). Dieser Artikel soll einen Überblick über die rechtlichen Grundlagen geben, die es für Unternehmen bei der Einrichtung und Ausgestaltung eines solchen CMS zu beachten gilt (Teil I) und einen Einblick in die praktische Umsetzung geben, insbesondere zur Analyse möglicher Compliance-Risiken, welche die Grundlage für ein effektives CMS bildet (Teil II).

Rechtliche Grundlagen

Aus der allgemeinen Legalitätspflicht sowie aus der Organisationsverantwortung der Unternehmensleitung ergibt sich die Pflicht der Geschäftsführung eines Unternehmens ein wirksames CMS zu implementieren. Der Geschäftsführung kommt dabei hinsichtlich der Frage, ob ein CMS zu etablieren ist, kein Entschließungsermessen zu.

Die konkrete Ausgestaltung des CMS hingegen liegt im unternehmerischen Ermessen der Geschäftsführung. Sie hat dabei eine sogenannte Prognoseentscheidung zu treffen, d. h. sie muss unter Berücksichtigung der individuellen Risikolage und Struktur des Unternehmens beurteilen, welche Maßnahmen geeignet sind, um die Wirksamkeit des Compliance-Systems sicherzustellen. Innerhalb dieses Ermessensspielraums ist die Geschäftsführung gehalten, alle relevanten Informationen sorgfältig zu erheben und auf dieser Grundlage eine sachgerechte Entscheidung zu treffen.

Wird diese Entscheidung ordnungsgemäß vorbereitet und im besten Interesse des Unternehmens getroffen, greift der Schutz der sogenannten Business Judgment Rule. Diese schützt die Geschäftsführung vor persönlicher Haftung, sofern sie nicht gegen gesetzliche Pflichten oder gegen die Sorgfalt eines ordentlichen Geschäftsführers verstößt.

Der Schutz entfällt jedoch, wenn die gewählte Compliance-Struktur offensichtlich ungeeignet ist. Dies ist zum Beispiel der Fall wenn ein CMS lediglich formal existiert, aber faktisch nicht gelebt wird, oder wenn es die spezifischen Risiken des Unternehmens nicht adäquat adressiert. In solchen Fällen kann eine persönliche Haftung der Geschäftsführung nicht ausgeschlossen werden.

Ziele eines CMS

Die Reduzierung eines solchen Haftungsrisikos ist neben der Verhinderung von Gesetzesverstößen und der Vorbeugung von Reputationsschäden, eines der zentralen Ziele, die durch die Einrichtung eines CMS erreicht werden sollen. Gerade bei mittelständischen Unternehmen, bei denen Entscheidungswege oft kürzer und Strukturen schlanker sind, kann ein Verstoß gegen rechtliche Vorgaben schnell gravierende Folgen haben. Ein wirksames CMS ist daher nicht nur ein Schutzmechanismus, sondern auch ein strategisches Instrument zur Sicherung nachhaltiger Unternehmensführung.

Damit Unternehmen effektiv Verstöße vermeiden können, muss Klarheit darüber bestehen, welche gesetzlichen Anforderungen es einzuhalten gilt. Die gesetzlichen Anforderungen variieren je nach Unternehmensgröße, Branche und Geschäftsmodell und müssen daher für jedes Unternehmen individuell ermittelt werden. Zusätzlich sind auch die Vorgaben, die von der Rechtsprechung aufgestellt wurden zu beachten. Diese betont eine Pflicht zur aktiven Compliance-Steuerung und hat in dem sog. Siemens/Neubürger-Urteil des Landgerichts München aus dem Jahr 2013 auch eine schadensersatzbewehrte Verpflichtung zur Einrichtung eines CMS für Vorstände feststellt.

Die Rolle des Geschäftsführers

Da die Pflicht zur Einrichtung eines CMS nicht nur für Vorstände einer Aktiengesellschaft, sondern auch für Geschäftsführer (bspw. einer GmbH) gilt, ist es wichtig, dass sich Geschäftsführer über ihre konkreten Rolle im Compliance-Kontext bewusst sind. In Unternehmen mit nur einem Geschäftsführer liegt die Verantwortung bei diesem Geschäftsführer. In Unternehmen mit mehreren Geschäftsführern gilt hingegen der Grundsatz der Gesamtverantwortung. Das bedeutet, dass alle Mitglieder der Geschäftsleitung gemeinsam für die Einhaltung der Compliance-Pflichten zuständig, verantwortlich und haftbar sind. Diese Verantwortung ergibt sich aus der Einordnung der Compliance-Aufgabe als Teil der allgemeinen Leitungs- und Organisationspflicht und gilt unabhängig von der Rechtsform des Unternehmens.

Die Gesamtverantwortung der Geschäftsführung umfasst die drei zentrale Aufgabenbereiche, die Organisation, die Überwachung und die Kontrolle des CMS. Kommt es in einem dieser Bereiche zu einer Pflichtverletzung, kann dies zu einer persönlichen Haftung der Geschäftsführung führen. Für Geschäftsführer ist insbesondere die Haftung nach § 43 Abs. 2 GmbHG relevant, die an eine schuldhafte Pflichtverletzung anknüpft, durch die der Gesellschaft ein Schaden entstanden ist.

Enthaftung durch Übertragung der Verantwortung

In diesem Zusammenhang stellt sich die Frage, ob ein Geschäftsführer seine Verantwortung für den Bereich Compliance in Gänze auf jemand anderen übertragen kann und sich dadurch gegebenenfalls sogar einer möglichen Haftung entziehen könnte.

Wenngleich eine vollständige Übertragung der Verantwortung auf andere Geschäftsführer oder Abteilungen nicht möglich ist – die Gesamtverantwortung bleibt weiterhin bestehen – so ist dennoch ist eine teilweise Delegation von Aufgaben im Rahmen der Compliance-Organisation zulässig und in größeren Unternehmen sogar notwendig. Unterschieden wird dabei zwischen vertikaler und horizontaler Delegation. Von einer vertikalen Delegation spricht man, wenn eine Übertragung von Aufgaben auf nachgeordnete, qualifizierte Stellen wie die Rechts- oder Compliance-Abteilung erfolgt. Hierbei muss die Geschäftsführung insbesondere sicherstellen, dass geeignete Personen ausgewählt, ordnungsgemäß eingewiesen und mit den notwendigen Ressourcen sowie Eingriffsrechten ausgestattet werden. Ein direkter Berichtsweg sowie eine Eskalationsmöglichkeit zur Geschäftsleitung sind hierbei ebenfalls von zentraler Bedeutung. Die horizontale Delegation liegt hingegen vor, wenn eine Zuweisung von Aufgaben an einzelne Geschäftsführer erfolgt. Diese sind dann verpflichtet, das von der Gesamtgeschäftsführung beschlossene Compliance-Konzept umzusetzen und gegebenenfalls zu konkretisieren. Die übrigen Geschäftsführer bleiben jedoch in der Pflicht, die Umsetzung zu überwachen und bei erkennbaren Pflichtverstößen einzugreifen.

Fazit

Compliance im Mittelstand ist weit mehr als die Erfüllung formaler Vorgaben. Neben dem Ziel, Gesetzesverstöße zu verhindern und Haftungsrisiken zu minimieren, dient die Einrichtung eines CMS insbesondere dem Schutz der Unternehmensreputation sowie der Etablierung einer verantwortungsvollen und nachhaltigen Unternehmensführung. Die Geschäftsführung nimmt hierbei eine Schlüsselrolle ein. Sie ist einerseits rechtlich verpflichtet, ein wirksames, auf das jeweilige Unternehmen und dessen Risken zugeschnittenes, CMS zu etablieren, hat andererseits aber einen Ermessensspielraum hinsichtlich dessen konkreter Ausgestaltung.

Eine wesentliche Grundlage für die konkrete Umsetzung und Ausgestaltung eines CMS ist eine fundierte Analyse möglicher Compliance-Risiken. Wie dies in der Praxis, insbesondere bei mittelständischen Unternehmen, abgebildet werden kann, wird im zweiten Teil des Artikels in der nächsten Ausgabe dieses Newsletters näher beleuchtet.