- Was ist Compliance? Compliance bezeichnet die Einhaltung aller gesetzlichen Vorschriften, behördlichen Auflagen und unternehmensinternen Richtlinien.
- Warum ist sie wichtig? Ein Mangel an Compliance kann in Österreich zu hohen Geldstrafen, Haftstrafen für die Geschäftsführung und erheblichen Reputationsschäden führen.
- Zentrale Risikobereiche: Zu den häufigsten Stolperfallen zählen Korruption, Datenschutzverstöße (DSGVO), Kartellrecht, Arbeitsrecht und Geldwäsche.
- Die Rolle der Geschäftsführung: Geschäftsführer und Vorstände haften persönlich für Compliance-Verstöße im Unternehmen. Unwissenheit schützt vor Strafe nicht.
- Praktische Umsetzung: Ein Compliance-Management-System (CMS) hilft, Risiken systematisch zu erkennen, zu steuern und zu minimieren. Es ist für Unternehmen jeder Größe anpassbar.
Was ist Compliance und warum ist sie für jedes österreichische Unternehmen entscheidend?
Stellen Sie sich vor, Sie navigieren ein Schiff durch unbekannte Gewässer. Ohne Seekarte und Kompass riskieren Sie, auf Grund zu laufen. Compliance ist genau diese Seekarte für Ihr Unternehmen. Der Begriff bezeichnet die Pflicht zur Einhaltung aller relevanten Gesetze, Verordnungen, aber auch selbst gesetzter ethischer Standards und interner Richtlinien. Es geht also um weit mehr als nur darum, „keine Gesetze zu brechen“. Es geht um eine proaktive Unternehmenskultur der Regelkonformität und Integrität.
Viele Unternehmer in Österreich, insbesondere in kleinen und mittleren Unternehmen (KMU), wiegen sich in falscher Sicherheit. Sie glauben, Compliance sei nur ein Thema für große Konzerne mit internationalen Verflechtungen. Das ist ein gefährlicher Irrtum. Das österreichische Recht macht hier keinen Unterschied. Ob Einzelunternehmer, GmbH oder Aktiengesellschaft – jedes Unternehmen unterliegt einer Flut von Vorschriften. Das beginnt beim Arbeitsrecht, geht über den Datenschutz bis hin zu spezifischen Branchenregulierungen. Ein Verstoß kann schnell existenzbedrohend werden, nicht nur durch Geldstrafen, sondern auch durch den Verlust von Geschäftspartnern und das Vertrauen der Kunden.
Ein funktionierendes Compliance-System ist daher kein „Luxus“, sondern eine essenzielle unternehmerische Notwendigkeit. Es schützt nicht nur vor juristischen Konsequenzen, sondern schafft auch Vertrauen, steigert die Effizienz und kann ein entscheidender Wettbewerbsvorteil sein. Es ist die Grundlage für nachhaltigen und rechtssicheren Erfolg am Wirtschaftsstandort Österreich.
Die rechtlichen Grundlagen der Compliance in Österreich
Das Fundament der Compliance in Österreich ist ein Geflecht aus verschiedenen Gesetzen und Verordnungen. Wer hier den Überblick behält, legt den Grundstein für ein sicheres Wirtschaften. Die Kenntnis der wichtigsten rechtlichen Rahmenbedingungen ist für jede Geschäftsführung unerlässlich.
Die Haftung des Unternehmens: Das VbVG
Eine zentrale Norm ist das Verbandsverantwortlichkeitsgesetz (VbVG). Dieses Gesetz regelt, dass nicht nur natürliche Personen, sondern auch Unternehmen („Verbände“ wie eine GmbH oder AG) für Straftaten ihrer Entscheidungsträger und Mitarbeiter strafrechtlich zur Verantwortung gezogen werden können. Entscheidend ist dabei, dass die Tat dem Unternehmen zugerechnet werden kann, weil beispielsweise Aufsichts- oder Kontrollpflichten verletzt wurden. Die Einführung eines Compliance-Management-Systems kann hier eine strafbefreiende oder zumindest strafmildernde Wirkung haben. Das VbVG ist somit der stärkste gesetzliche Anreiz für Unternehmen in Österreich, sich aktiv um Compliance zu kümmern.
Weitere zentrale Gesetze
Neben dem VbVG sind weitere Gesetze von großer Bedeutung:
- Unternehmensgesetzbuch (UGB) und Aktiengesetz (AktG)/GmbH-Gesetz (GmbHG): Diese legen die Sorgfaltspflichten für Geschäftsführer und Vorstände fest. Dazu gehört explizit die Einrichtung eines angemessenen internen Kontrollsystems, wozu auch Compliance zählt.
- Datenschutz-Grundverordnung (DSGVO) und Datenschutzgesetz (DSG): Der Schutz personenbezogener Daten ist ein hochsensibler Bereich. Verstöße können zu Strafen in Millionenhöhe führen. Jedes Unternehmen, das Daten von Kunden, Mitarbeitern oder Partnern verarbeitet, muss die strengen Vorgaben einhalten.
- Bundeswettbewerbsgesetz (BWBG): Preisabsprachen, Marktaufteilungen oder der Missbrauch einer marktbeherrschenden Stellung sind streng verboten und werden von der Bundeswettbewerbsbehörde (BWB) verfolgt.
- Arbeitsrechtliche Vorschriften: Vom Arbeitszeitgesetz über den Arbeitnehmerschutz bis hin zum Gleichbehandlungsgesetz – die Nichteinhaltung arbeitsrechtlicher Bestimmungen kann teure Klagen und Verwaltungsstrafen nach sich ziehen.
Die häufigsten Compliance-Risiken für Unternehmen in Österreich
Juristische Stolperfallen lauern überall. Doch einige Risikobereiche sind in der österreichischen Unternehmenspraxis besonders relevant und verursachen die gravierendsten Schäden. Eine genaue Kenntnis dieser Gefahren ist der erste Schritt zu ihrer Vermeidung.
Korruption und Bestechung
Österreich hat seine Anti-Korruptionsgesetze in den letzten Jahren deutlich verschärft. Die Annahme oder das Anbieten von Vorteilen, um eine pflichtwidrige Handlung eines Amtsträgers oder auch eines Mitarbeiters eines anderen Unternehmens zu erwirken, ist strafbar. Die Grenzen sind oft fließend: Was ist eine legitime Geschäftsanbahnung, was schon Bestechung? Eine Einladung zu einem teuren Abendessen oder eine exklusive Veranstaltung kann bereits problematisch sein. Besonders gefährdet sind Branchen mit hohem Wettbewerbsdruck und Geschäftsbeziehungen zum öffentlichen Sektor. Klare interne Richtlinien zu Geschenken und Einladungen sind hier unerlässlich.
Datenschutzverstöße
Seit der Einführung der DSGVO im Jahr 2018 ist der Datenschutz eines der dominanten Compliance-Themen. Die Risiken sind vielfältig: unzureichend gesicherte Kundendatenbanken, unerlaubte Nutzung von Mitarbeiterdaten, fehlende oder fehlerhafte Datenschutzerklärungen auf der Website oder das Versäumen der Meldepflicht bei einer Datenpanne. Die Strafen sind drakonisch und können bis zu 4 % des weltweiten Jahresumsatzes betragen. Zudem führen Datenpannen zu einem massiven Vertrauensverlust bei Kunden und Geschäftspartnern, der oft schwerer wiegt als die Geldstrafe selbst.
Verstöße gegen das Wettbewerbs- und Kartellrecht
Der „nette Plausch“ mit dem Konkurrenten über zukünftige Preise auf einer Branchenmesse kann Sie und Ihr Unternehmen teuer zu stehen kommen. Preisabsprachen, die Aufteilung von Märkten oder Kunden und die Abstimmung von Angebotsstrategien sind schwere Kartellrechtsverstöße. Die Wirtschafts- und Korruptionsstaatsanwaltschaft (WKStA) und die Bundeswettbewerbsbehörde (BWB) gehen hier konsequent vor. Schon der bloße Informationsaustausch über sensible Geschäftsdaten kann als wettbewerbsbeschränkend gewertet werden.
Vorteile eines effektiven Compliance-Management-Systems (CMS)
Die Einführung eines Compliance-Management-Systems (CMS) wird oft nur als Kostenfaktor und notwendiges Übel zur Risikominimierung gesehen. Doch diese Sichtweise ist zu kurz gedacht. Ein gut implementiertes und gelebtes CMS bringt einem Unternehmen handfeste strategische Vorteile, die weit über die reine Vermeidung von Strafen hinausgehen.
Der offensichtlichste Vorteil ist die Reduktion von Haftungsrisiken. Sowohl das Unternehmen (gemäß VbVG) als auch die Geschäftsführung persönlich sind besser vor Strafen und Schadenersatzforderungen geschützt. Ein dokumentiertes CMS dient als Nachweis, dass man seinen Sorgfaltspflichten nachgekommen ist. Dies kann im Ernstfall entscheidend sein.
Ein weiterer, oft unterschätzter Vorteil liegt in der Stärkung der Reputation und des Markenwerts. Unternehmen, die nachweislich auf ethisches und regelkonformes Verhalten achten, genießen bei Kunden, Geschäftspartnern und potenziellen Mitarbeitern ein höheres Ansehen. In einer Zeit, in der Nachhaltigkeit und unternehmerische Verantwortung (CSR) immer wichtiger werden, kann eine starke Compliance-Kultur zum entscheidenden Differenzierungsmerkmal im Wettbewerb werden. Banken und Investoren bewerten Unternehmen mit einem soliden CMS ebenfalls positiver, was den Zugang zu Finanzmitteln erleichtern kann.
Darüber hinaus führt die systematische Auseinandersetzung mit den eigenen Abläufen oft zu einer Optimierung von Geschäftsprozessen. Durch die Analyse von Risiken werden Schwachstellen in den Arbeitsabläufen aufgedeckt. Die Einführung klarer Regeln und Zuständigkeiten macht Prozesse transparenter, effizienter und weniger fehleranfällig. Dies spart langfristig nicht nur Geld, sondern fördert auch eine Kultur der Qualität und Sorgfalt im gesamten Unternehmen.
Schritt-für-Schritt: Aufbau eines maßgeschneiderten Compliance-Management-Systems
Ein Compliance-Management-System (CMS) ist kein Produkt von der Stange. Es muss exakt auf die Größe, die Branche und die spezifischen Risiken Ihres Unternehmens zugeschnitten sein. Ein überbürokratisiertes System lähmt ein KMU, während ein zu simples System in einem Großkonzern wirkungslos wäre. Der Aufbau folgt jedoch typischerweise einem logischen Fünf-Schritte-Prozess.
Schritt 1: Risikoanalyse durchführen
Am Anfang steht immer eine ehrliche Bestandsaufnahme. Wo liegen die größten Compliance-Risiken für Ihr Unternehmen? Analysieren Sie Ihre Geschäftsprozesse, Ihre Branche und Ihre Märkte. Typische Risikofelder sind Korruption, Kartellrecht, Datenschutz, Arbeitsrecht oder Exportkontrollen. Bewerten Sie die identifizierten Risiken nach ihrer Eintrittswahrscheinlichkeit und dem potenziellen Schadensausmaß. Diese Analyse ist die Grundlage für alle weiteren Maßnahmen.
Schritt 2: Compliance-Programm definieren (Plan)
Basierend auf der Risikoanalyse entwickeln Sie konkrete Regeln und Maßnahmen. Dazu gehört die Formulierung eines Verhaltenskodex (Code of Conduct), der die ethischen Grundsätze des Unternehmens festlegt. Erstellen Sie zudem detaillierte Richtlinien für die Hochrisikobereiche, zum Beispiel eine Anti-Korruptions-Richtlinie oder eine Richtlinie zum Umgang mit Geschenken und Einladungen. Legen Sie klare Zuständigkeiten fest: Wer ist für was verantwortlich?
Schritt 3: Kommunizieren und schulen (Do)
Die besten Richtlinien sind nutzlos, wenn sie niemand kennt. Das CMS muss im gesamten Unternehmen aktiv kommuniziert werden. Regelmäßige und zielgruppengerechte Schulungen für Führungskräfte und Mitarbeiter sind unerlässlich. Neue Mitarbeiter sollten bereits im Zuge ihres Eintritts (Onboarding) über die wichtigsten Regeln informiert werden. Die Kommunikation muss verständlich, praxisnah und kontinuierlich sein.
Schritt 4: Überwachen und kontrollieren (Check)
Ein CMS benötigt Kontrollmechanismen. Überwachen Sie die Einhaltung der Regeln durch stichprobenartige Kontrollen oder interne Audits. Ein entscheidendes Instrument ist die Einrichtung eines Meldesystems (Whistleblowing-System). Mitarbeiter müssen die Möglichkeit haben, potenzielle Verstöße sicher und – wenn gewünscht – anonym zu melden, ohne Repressalien befürchten zu müssen.
Schritt 5: Anpassen und verbessern (Act)
Compliance ist ein dynamischer Prozess, kein einmaliges Projekt. Die rechtlichen Rahmenbedingungen ändern sich, und neue Geschäftsrisiken entstehen. Das CMS muss daher regelmäßig, mindestens einmal jährlich, überprüft und an die aktuellen Gegebenheiten angepasst werden. Die Erkenntnisse aus der Überwachung und aus gemeldeten Vorfällen fließen direkt in die Verbesserung des Systems ein.
Die Rolle der Geschäftsführung: Haftung und Verantwortung
Die Verantwortung für Compliance liegt unmissverständlich an der Spitze des Unternehmens. Geschäftsführer einer GmbH oder Vorstände einer AG sind nicht nur für den wirtschaftlichen Erfolg verantwortlich, sondern tragen auch die persönliche und uneingeschränkte Gesamtverantwortung für die Einhaltung der gesetzlichen Vorschriften. Diese Verantwortung kann nicht vollständig delegiert werden, auch nicht an einen Compliance-Beauftragten.
Im Schadensfall droht der Geschäftsführung eine doppelte Haftung. Zum einen kann sie zivilrechtlich vom eigenen Unternehmen auf Schadenersatz geklagt werden, wenn durch einen Compliance-Verstoß ein Schaden entstanden ist. Zum anderen droht die strafrechtliche Verfolgung, beispielsweise wegen Untreue, Betrugs oder als Beitragstäter zu einer Straftat eines Mitarbeiters, wenn die eigenen Aufsichtspflichten verletzt wurden. Das Argument „Ich habe davon nichts gewusst“ wird von den österreichischen Gerichten in der Regel nicht akzeptiert. Die Geschäftsführung hat eine Pflicht zur Organisation, Auswahl und Kontrolle.
Diese umfassende Verantwortung bedeutet, dass die Geschäftsführung die treibende Kraft hinter der Implementierung und dem Leben der Compliance-Kultur sein muss. Sie muss die notwendigen Ressourcen (zeitlich, personell und finanziell) bereitstellen, die Einhaltung der Regeln aktiv vorleben („Tone from the Top“) und die Wirksamkeit des Systems regelmäßig überprüfen. Wer Compliance als reine Schikane betrachtet und ignoriert, handelt grob fahrlässig und setzt nicht nur das Unternehmen, sondern auch sein privates Vermögen und seine persönliche Freiheit aufs Spiel.
Compliance-Kultur: Mehr als nur Regeln und Vorschriften
Ein Handbuch voller Regeln und Richtlinien allein schafft noch keine Compliance. Es kann sogar das Gegenteil bewirken: eine Atmosphäre des Misstrauens und der reinen „Checkbox-Mentalität“, bei der Mitarbeiter nur das Nötigste tun, um formalen Anforderungen zu genügen. Wirkliche Sicherheit entsteht erst, wenn Compliance zu einem festen Bestandteil der Unternehmenskultur wird. Es geht um die Etablierung eines gemeinsamen Verständnisses von Integrität und ethischem Verhalten.
Eine gelebte Compliance-Kultur zeigt sich nicht auf dem Papier, sondern im täglichen Handeln aller Mitarbeiter. Sie beginnt mit dem bereits erwähnten „Tone from the Top“: Wenn die Geschäftsführung Integrität vorlebt, transparent kommuniziert und ethisches Verhalten belohnt, sendet dies ein starkes Signal an die gesamte Organisation. Mitarbeiter müssen verstehen, warum bestimmte Regeln existieren und dass sie dem Schutz des Unternehmens und jedes einzelnen Arbeitsplatzes dienen.
Praktisch bedeutet dies, einen offenen Dialog über ethische Dilemmas zu fördern. Mitarbeiter müssen sich trauen, Fragen zu stellen und Bedenken zu äußern, ohne Angst vor Nachteilen. Das Meldesystem für Verstöße sollte nicht als „Petz-Kanal“ wahrgenommen werden, sondern als ein Frühwarnsystem, das dem Unternehmen hilft, größeren Schaden abzuwenden. Eine positive Fehlerkultur, die es erlaubt, unbeabsichtigte Fehler zu melden und daraus zu lernen, ist hierfür entscheidend. Letztendlich ist eine starke Compliance-Kultur der wirksamste Schutzschild. Sie sorgt dafür, dass Mitarbeiter auch in unklaren Situationen, für die es keine explizite Regel gibt, instinktiv die richtige, integre Entscheidung treffen.
Der Compliance-Beauftragte: Notwendigkeit oder Kür?
Ab einer gewissen Unternehmensgröße und Komplexität stellt sich die Frage, ob eine Person speziell für das Thema Compliance zuständig sein sollte. Die Einrichtung der Funktion eines Compliance-Beauftragten (oder Compliance Officers) ist in Österreich gesetzlich nicht für alle Unternehmen zwingend vorgeschrieben, kann aber ein zentraler Baustein eines effektiven CMS sein. Für eine Bank ist die Funktion gesetzlich verpflichtend, für ein mittelständisches Produktionsunternehmen ist es eine strategische Entscheidung.
Die Benennung eines Compliance-Beauftragten signalisiert nach innen und außen, dass das Unternehmen das Thema ernst nimmt. Wichtig ist jedoch: Die Gesamtverantwortung verbleibt immer bei der Geschäftsführung. Der Compliance-Beauftragte ist eine Stabsstelle, die die Geschäftsführung berät, unterstützt und operative Aufgaben im CMS übernimmt. Er oder sie ist Lotse, Koordinator und Ansprechpartner für alle Compliance-Fragen im Unternehmen.
Die Aufgaben eines Compliance-Beauftragten sind vielfältig und hängen vom spezifischen Risikoprofil des Unternehmens ab. Die folgende Tabelle gibt einen Überblick über typische Kernaufgaben:
| Aufgabenbereich | Konkrete Tätigkeiten |
|---|---|
| Beratung & Konzeption | Beratung der Geschäftsführung in allen Compliance-Fragen, Weiterentwicklung des CMS, Beobachtung von Gesetzesänderungen. |
| Risikomanagement | Durchführung und Aktualisierung der Compliance-Risikoanalyse, Identifikation neuer Risikofelder. |
| Richtlinien & Prozesse | Erstellung, Implementierung und Aktualisierung von internen Richtlinien (z.B. Verhaltenskodex, Anti-Korruptions-Richtlinie). |
| Schulung & Kommunikation | Planung und Durchführung von Compliance-Schulungen für Mitarbeiter und Führungskräfte, interne Kommunikation zum Thema. |
| Überwachung & Kontrolle | Ansprechpartner für das Hinweisgebersystem (Whistleblowing), Unterstützung bei internen Untersuchungen, Erstellung von Compliance-Berichten. |
Ob diese Funktion in Vollzeit, Teilzeit oder durch einen externen Dienstleister ausgeübt wird, hängt von den Ressourcen und dem Bedarf des Unternehmens ab. Entscheidend ist, dass die Person über die nötige fachliche Expertise, Unabhängigkeit und die Rückendeckung der Geschäftsführung verfügt.
Wichtige Fragen und Antworten
Ist Compliance nur für große Konzerne relevant?
Nein, absolut nicht. Das österreichische Recht, insbesondere das Verbandsverantwortlichkeitsgesetz (VbVG), gilt für jedes Unternehmen, unabhängig von seiner Größe oder Rechtsform. Auch Klein- und Mittelbetriebe (KMU) haften für die Straftaten ihrer Mitarbeiter. Die Anforderungen an ein Compliance-System sind zwar proportional zur Unternehmensgröße, aber die grundsätzliche Notwendigkeit besteht für alle.
Was kostet die Einführung eines Compliance-Systems?
Die Kosten sind sehr variabel und hängen von der Unternehmensgröße, der Branche und den spezifischen Risiken ab. Bei einem KMU können die Anfangskosten überschaubar sein, wenn vorhandene Ressourcen genutzt werden. Die entscheidende Frage ist jedoch: Was kostet es, kein Compliance-System zu haben? Eine einzige hohe Geldstrafe oder ein Reputationsschaden übersteigt die Investitionskosten für Präventionsmaßnahmen um ein Vielfaches.
Was ist der Unterschied zwischen Compliance und Risikomanagement?
Die beiden Bereiche überschneiden sich stark, sind aber nicht identisch. Das Risikomanagement erfasst alle unternehmerischen Risiken (z.B. Marktrisiken, finanzielle Risiken, operationelle Risiken). Compliance ist ein Teilbereich des Risikomanagements, der sich speziell auf die Risiken konzentriert, die aus der Nichteinhaltung von Gesetzen, Vorschriften und internen Richtlinien entstehen. Ein gutes Compliance-System ist immer in das gesamte Risikomanagement des Unternehmens integriert.
Was passiert bei einem Compliance-Verstoß in Österreich?
Die Folgen können gravierend sein. Je nach Verstoß drohen dem Unternehmen hohe Geldstrafen (beim VbVG bis zu 1,8 Mio. Euro pro Tat, bei DSGVO-Verstößen noch deutlich mehr), der Ausschluss von öffentlichen Aufträgen oder der Entzug von Lizenzen. Gleichzeitig können die verantwortlichen Geschäftsführer oder Mitarbeiter persönlich straf- und zivilrechtlich zur Verantwortung gezogen werden, was zu Geldstrafen und sogar Haftstrafen führen kann.
Image by: Nataliya Vaitkevich
https://www.pexels.com/@n-voitkevich
Weiterführende Quellen:
- Lexis WhistleComplete: Whistleblowingsystem inkl Hinweisprüfung – Whistleblowing-Tool inkl. Abklärungsservice ab netto EUR 119,- / Monat · So erfüllen Sie das Gesetz mit minimalem Aufwand · Spezialisierte Compliance-Expertise, …… (lexisnexis.at)
- WEKA – Die WEKA-Akademie bietet praxisorientierte Weiterbildung für Fach- und Führungskräfte. ✓ Seminare ✓ Inhouse Seminare ✓ Online-Seminare…. (weka-akademie.at)
- Rechtskurse – Jetzt anpacken: Arbeitsrecht, Steuerrecht, Wirtschaftsrecht und mehr. Recht begleitet uns auf Schritt und Tritt – ob beruflich oder privat…. (wifi.at)
- SAXINGER International – SAXINGER begleitet Sie mit internationalen Teams auf diesem Weg, öffnet Ihnen Türen und hilft Ihnen, Stolperfallen zu vermeiden. Mit Kompetenz, mit …… (scwp.at)
- Strafrecht und Whistleblowing | HSchG in Österreich – Sowohl potenzielle Hinweisgeber als auch Unternehmen sollten einige wesentliche Aspekte beachten, um rechtliche Stolperfallen weitgehend zu vermeiden…. (es-law.at)