Rechtskommentar: Compliance im Wandel

Aktuelle europäische und nationale Regulierungsvorhaben führen zu einer deutlichen Verdichtung rechtlicher Anforderungen und verändern nachhaltig die Haftungsrealitäten für Geschäftsleitungen und Compliance-Verantwortliche. Vorgaben zur Nachhaltigkeitsberichterstattung, zu menschenrechtlichen Sorgfaltspflichten, zum Hinweisgeberschutz sowie zur Governance-Transparenz etablieren Compliance zunehmend als rechtlich überprüfbare Organisationspflicht.

Im Mittelpunkt der aktuellen Entwicklungen stehen mehrere unionsrechtliche Regelwerke mit unmittelbaren Auswirkungen auf Unternehmensorganisation und Risikosteuerung. Besonders hervorzuheben ist die Corporate Sustainability Reporting Directive (CSRD), die den Kreis berichtspflichtiger Unternehmen erheblich erweitert und detaillierte Anforderungen an die Nachhaltigkeitsberichterstattung nach den European Sustainability Reporting Standards (ESRS) festlegt. Unternehmen müssen hierfür belastbare Prozesse zur Datenerhebung, internen Kontrolle und Governance-Dokumentation implementieren.

Parallel dazu konkretisiert die geplante Corporate Sustainability Due Diligence Directive (CSDDD), deren nationale Umsetzung absehbar ist, unternehmerische Sorgfaltspflichten entlang globaler Lieferketten. Unternehmen werden verpflichtet, menschenrechtliche und umweltbezogene Risiken systematisch zu identifizieren, Präventionsmaßnahmen zu etablieren und wirksame Abhilfemechanismen vorzuhalten. Compliance erstreckt sich damit erstmals ausdrücklich über die eigenen Unternehmensgrenzen hinaus.

Bereits umgesetzt wurde die EU-Whistleblower-Richtlinie (EU) 2019/1937, die Unternehmen zur Einrichtung sicherer interner Meldekanäle sowie zu strukturierten Untersuchungs- und Schutzmechanismen verpflichtet. Verstöße gegen Vertraulichkeits- oder Reaktionspflichten können erhebliche verwaltungsrechtliche Sanktionen nach sich ziehen. Ergänzend wirken regulatorische Entwicklungen in der Geldwäscheprävention, im Datenschutzrecht nach der Datenschutz-Grundverordnung (DSGVO) sowie sektorübergreifende
Governance-Anforderungen, etwa durch die Taxonomie-Verordnung und die Sustainable Finance Disclosure Regulation (SFDR). Zusammengenommen führen diese Instrumente zu einer weitreichenden Formalisierung unternehmerischer Compliance-Strukturen.

Pflichten der Geschäftsleitung
Mit der zunehmenden regulatorischen Verdichtung verschieben sich zugleich die Haftungsmaßstäbe. Compliance gilt nicht mehr als freiwillige Best Practice, sondern als integraler Bestandteil der gesetzlichen Organisationspflicht der Geschäftsleitung. Leitungsorgane sind verpflichtet, ein angemessenes, wirksames und regelmäßig überprüftes Compliance-Management-System einzurichten und fortzuentwickeln.

Eine unterlassene oder unzureichende Implementierung kann als Organisationsverschulden qualifiziert werden. Haftungsrisiken entstehen insbesondere bei mangelhafter Umsetzung von Berichtspflichten im Rahmen der CSRD, unzureichender Risikoanalyse bei Lieferkettenpflichten oder fehlender Absicherung von Hinweisgebersystemen. Die Verantwortung kann sich zivilrechtlich gegenüber der Gesellschaft, öffentlich-rechtlich durch Bußgelder sowie in gravierenden Fällen auch strafrechtlich manifestieren.

Die Rechtsprechung knüpft dabei zunehmend an die tatsächliche Wirksamkeit organisatorischer Maßnahmen an. Entscheidend ist weniger das vollständige Ausbleiben von Verstößen als vielmehr die Frage, ob angemessene Präventions- und Kontrollstrukturen bestanden und tatsächlich gelebt wurden.

Rolle und Verantwortlichkeit
Auch Compliance-Verantwortliche geraten stärker in den Fokus regulatorischer Erwartungen. Zwar verbleibt die originäre Verantwortung bei der Geschäftsleitung, dennoch kann eine persönliche Haftung entstehen, wenn erkennbare Risiken unzureichend adressiert oder Kon­trollsysteme offensichtlich mangelhaft ausgestaltet werden. Maßgeblich sind dabei insbesondere die Qualität der Risikoanalyse sowie die Nachvollziehbarkeit von Beratung und Dokumentation.

Regulatorisch wird zudem eine institutionelle Stärkung der Compliance-Funktion erwartet. Klare Berichtslinien an Leitungsorgane, funktionale Unabhängigkeit sowie angemessene personelle und finanzielle Ressourcen gelten zunehmend als Mindestanforderungen wirksamer Compliance-Systeme.

Ein prägendes Merkmal der aktuellen Regulierung ist die Verschiebung vom Ergebnis hin zum Prozess. Behörden und Gerichte bewerten verstärkt, ob Unternehmen strukturierte Verfahren zur Risikoidentifikation, Entscheidungsfindung und Kontrolle etabliert haben. Dokumentation wird dabei zu einem zentralen Verteidigungsinstrument.

Ein wirksames Compliance-Management-System umfasst insbesondere regelmäßige Risikoanalysen unter Einbeziehung ESG-bezogener Risiken, klare Zuständigkeits- und Eskalationsstrukturen, funktionierende Hinweisgebersysteme, verpflichtende Schulungsprogramme, nachvollziehbare Untersuchungs- und Sanktionsmechanismen sowie ein kontinuierliches Monitoring mit laufender Anpassung an regulatorische Entwicklungen. Gerade mittelständische Unternehmen stehen vor der Herausforderung, diese Anforderungen verhältnismäßig umzusetzen, ohne regulatorische Mindeststandards zu unterschreiten.

Rechtsprechung als Verstärker
Die aktuelle Behördenpraxis zeigt, dass Compliance-Systeme zunehmend bußgeldmindernd oder -verschärfend berücksichtigt werden. Funktionierende Präventionssysteme können Sanktionen reduzieren, während strukturelle Defizite als eigenständiger Pflichtverstoß gewertet werden. Gleichzeitig steigt die Erwartung, regulatorische Entwicklungen aktiv zu beobachten und Organisationsstrukturen fortlaufend anzupassen. Bloße Unkenntnis wird dabei immer seltener als Entlastungsargument akzeptiert.

Interne Untersuchungen gewinnen insbesondere im Kartell-, Korruptions- und Datenschutzrecht erheblich an Bedeutung. Sie dienen sowohl der Aufklärung von Sachverhalten als auch dem Nachweis funktionierender Governance-Strukturen. Die aktuellen europäischen Regulierungsinitiativen markieren einen deutlichen Paradigmenwechsel. Compliance entwickelt sich von einer reaktiven Kontrollfunktion zu einer zentralen Governance-Aufgabe mit unmittelbarer haftungsrechtlicher Relevanz. Geschäftsleitungen müssen Compliance strategisch steuern und organisatorisch verankern, während Compliance-Verantwortliche zunehmend als Schnittstelle zwischen Recht, Risiko und operativer Unternehmensführung agieren.

Unternehmen, die regulatorische Anforderungen frühzeitig in integrierte Governance-Strukturen überführen, reduzieren nicht nur Haftungsrisiken, sondern stärken zugleich Transparenz, Resilienz und Vertrauen im europäischen Wirtschaftsraum. Compliance wird damit zu einem wesentlichen Wettbewerbsfaktor verantwortungsvoller Unternehmensführung.

Zusammengefasst
Ein modernes Compliance-System umfasst typischerweise

- regelmäßige Risikoanalysen einschließlich ESG-Risiken
- klare Zuständigkeits- und Eskalationsstrukturen
- funktionierende Hinweisgebersysteme
- verpflichtende Schulungsprogramme
- strukturierte Untersuchungs- und Sanktionsmechanismen
- kontinuierliches Monitoring regulatorischer Entwicklungen

Die Autorin
Mag. Eliza Löschnigg ist Rechtsanwältin in Wien mit besonderem Schwerpunkt auf Unternehmens- und Immobilientransaktionen, internationalen Transaktionen im Bereich des Gesellschaftsrechts, Erbrecht sowie der rechtlichen Begleitung von Energieprojekten. www.el-legal.com