Compliance: Grundsätzliches und Aktuelles

Der Workshop „Compliance: Grundsätzliches und Aktuelles“, veranstaltet von der Universität Bonn und dem Arbeitsrecht Bonn e.V. am 16. Mai 2025, sollte die Grundzüge von Compliance unter besonderer Berücksichtigung der Aktualität des Rechtsgebiets fachsäulenübergreifend beleuchten. Eine unter studentischer Beteiligung durchgeführte Fallstudie trug zur Veranschaulichung der Compliance-Praxis bei.

Prof. Dr. Stefan Greiner eröffnete den Workshop und hob die grundlegende Bedeutung von Compliance in der heutigen anwaltlichen wie unternehmerischen Praxis hervor. Compliance definierte er als Gesamtheit der Maßnahmen zur Gewährleistung rechtmäßigen Verhaltens eines Unternehmens, seiner Organe und Mitarbeiter. Die Notwendigkeit unternehmerischer Compliance resultiere aus der Diskrepanz zwischen bestehenden Rechtspflichten und Verstößen in der Praxis.

Dr. Johannes Dilling beleuchtete anschließend die praktische Durchführung interner Ermittlungen. In Ermangelung klarer gesetzlicher Regelungen entstehe eine komplexe Gemengelage aus Arbeits-, Datenschutz-, Gesellschafts-, Straf- und Verfassungsrecht. Konstitutiv für erfolgreiche Untersuchungen sei zunächst eine sorgfältige Vorbereitung mit präziser Bestimmung des Ermittlungsgegenstandes, des betroffenen Personenkreises, der Geschäftsabläufe sowie die Sichtung der verfügbaren Beweismittel. Sodann beleuchtete er die praktische Durchführung interner Ermittlungen. Dabei ging er auf verschiedene Ermittlungsmethoden ein – im Besonderen auf die von ihm vorgestellte „SUE Technique“. Essenziell für interne Ermittlungen sei dabei die Befragung der Beschuldigten: Dr. Dilling zeigte auf, wie psychologische Aspekte in Befragungsmethoden einfließen. So erfordere eine erfolgreiche Befragung etwa eine angenehme Gesprächsatmosphäre. Ein Schlüsselfaktor sei außerdem die Reziprozität – also das Prinzip des Gebens und Nehmens.

Dr. Malte May nahm im nachfolgenden Vortrag die strafrechtliche Dimension von Compliance-Systemen in Unternehmen in den Fokus. Criminal Compliance definierte er eingangs als Verhinderung und Aufklärung von Straftaten gegen oder aus dem Unternehmen. Er warnte sodann vor versteckten strafrechtlichen Risiken scheinbar harmloser Geschäftsvorgänge, etwa beim Export von „dual-use“-Gütern oder der Weitergabe technischen Know-hows an chinesische Partner. Er hob dabei hervor, dass sich die Haftung von der Geschäftsführung über Compliance-Officer bis zu einfachen Mitarbeitern erstrecke. Unternehmen drohen schließlich Verbandgeldbußen, die nach § 30 OWiG bis zu 10 Millionen Euro, nach Spezialgesetzen auch bis zu 10 % des Jahresumsatzes betragen können. Resümierend formulierte Dr. May drei goldene Regeln für den Umgang mit Compliance-Sachverhalten: Neben einer gründlichen Vorbereitung sei besonnenes, aber zügiges Handeln sowie strikte Vertraulichkeit nach dem Need-to-know-Prinzip geboten.

Dr. Sandy Siegfanz-Strauß strukturierte ihren Vortrag entlang des „Dreiklangs“ der Compliance aus Prävention, Kontrolle sowie Sanktionierung. Sie betonte dabei die Doppelrolle der Mitarbeiter als Adressaten und Schutzbefohlene von Compliance. Präventive Maßnahmen umfassen Codes of Conduct, Compliance-Schulungen und Anreizsysteme. Hierbei müssten stets die Mitbestimmungsrechte des Betriebsrats beachtet werden. Sie wies sodann auf das seit Juli 2023 geltende Hinweisgeberschutzgesetz hin, das Unternehmen zur Einrichtung interner Meldestellen verpflichte. Anschließend beleuchtete Dr. Siegfanz-Strauß die arbeitsrechtlichen Anforderungen an die bereits zuvor erörterten internen Ermittlungen, insbesondere mit Blick auf Mitgliederbefragungen. Sie hob hervor, dass es den Gleichbehandlungsgrundsatz bei sämtlichen arbeitsrechtlichen Reaktionen auf Compliance-Verstöße – von Ermahnung bis Kündigung – innerhalb der Interessenabwägung zu berücksichtigen gelte.

Prof. Dr. Gregor Thüsing, LL.M., verdeutlichte im folgenden Vortrag mit dem bildlichen Verweis auf „Skylla und Charybdis“ das Spannungsverhältnis zwischen unternehmerischen Compliance-Pflichten und datenschutzrechtlichen Anforderungen. Der etwa aus § 93 AktG resultierenden Pflicht zur Überwachung der Beschäftigten setzt das Datenschutzrecht dabei enge Grenzen. Interne Ermittlungen müssten stets der komplexen datenschutzrechtlichen Interessenabwägung genügen – so erzeuge beispielsweise eine „Überwachung rund um die Uhr“ unzulässigen Überwachungsdruck. Hier gelte das von ihm so betitelte „Sanduhrprinzip“: Je extensiver die Datensammlung, desto restriktiver muss die Datenauswertung erfolgen. Bei E-Mail-Überwachungen sei Anlassbezogenheit, Streubreite und Sensibilität der Informationen abzuwägen. Als goldene Regel formulierte Prof. Dr. Thüsing, dass Compliance „kein Freibrief zur Datennutzung“ sei – Compliance müsse sich vielmehr stets im Rahmen des Datenschutzrechts bewegen.

Den Abschluss bildete eine von Dr. Dilling konzipierte Fallstudie: Ausgangspunkt des fiktiven Sachverhalts war ein anonymer Hinweis auf Unregelmäßigkeiten im Bestand eines Warenlagers. Die Teilnehmer simulierten im folgenden Planspiel den Ablauf interner Ermittlungen. Die heterogene Informationslage zwischen der Unternehmensseite und den Beschäftigten sicherte realistische Bedingungen.

Abschließend würdigte Prof. Dr. Thüsing den gelungenen fachsäulenübergreifenden Austausch. Der Workshop habe die Bedeutung von Compliance unter Beweis gestellt und sei durch das Fallstudienkonzept für Praktiker und akademischen Nachwuchs gleichermaßen gewinnbringend gewesen.

Tyrrell Blum, Wissenschaftlicher Mitarbeiter am Lehrstuhl von Prof. Thüsing, und Tim Munoz Andres, Studentische Hilfskraft am Lehrstuhl von Prof. Greiner, Bonn