Die strafrechtliche Unternehmenshaftung ist in Spanien seit ihrer Einführung durch die Ley Orgánica 5/2010 nunmehr seit fünfzehn Jahren in Kraft. In diesem Zeitraum hat die Strafkammer des Obersten Gerichtshofs — ergänzt durch Leitlinien der Staatsanwaltschaft — ihre Rechtsprechung zu den Anforderungen an ein tatsächlich wirksames Compliance-Programm kontinuierlich weiterentwickelt. Unternehmen, deren Programme vor mehreren Jahren erstellt und seither nicht aktualisiert wurden, laufen Gefahr, dass ein Gericht ihr Präventionsmodell als unzureichend bewertet und die volle strafrechtliche Unternehmenshaftung bestehen bleibt.
Der Rechtsrahmen: Artikel 31 bis und LO 1/2015
Artikel 31 bis des Código Penal in der durch die Ley Orgánica 1/2015 vom 30. März geänderten Fassung legt fest, dass juristische Personen strafrechtlich für Straftaten haften, die in ihrem Namen, in ihrem Auftrag und zu ihrem unmittelbaren oder mittelbaren Vorteil von ihren gesetzlichen Vertretern oder von Personen begangen werden, die einzeln oder als Mitglieder eines Organs befugt sind, Entscheidungen im Namen der juristischen Person zu treffen. Eine Haftung entsteht auch, wenn die Straftat von Personen begangen wird, die der Weisungsbefugnis dieser Vertreter unterstehen, und die Straftat durch eine schwerwiegende Verletzung der Aufsichts-, Überwachungs- und Kontrollpflichten ermöglicht wurde.
Eine juristische Person kann von der Haftung befreit werden, wenn das Leitungsorgan vor der Begehung der Straftat Organisations- und Managementmodelle eingeführt und wirksam umgesetzt hat, die angemessene Aufsichts- und Kontrollmaßnahmen enthalten, um Straftaten gleicher Art zu verhindern oder das Risiko ihrer Begehung erheblich zu verringern.
Zu den Straftaten, die in Spanien am häufigsten eine strafrechtliche Unternehmenshaftung auslösen, gehören: Betrug (Artikel 251 bis), Steuer- und Sozialversicherungsdelikte (Artikel 310 bis und 318), Geldwäsche (Artikel 302 bis), Markt- und Verbraucherschutzdelikte (Artikel 288), Bestechung (Artikel 427 bis), Vorteilsnahme (Artikel 430) sowie — seit der LO 5/2022 — Umweltdelikte (Artikel 328).
Rechtsprechung des Obersten Gerichtshofs: Die etablierten Standards
Die Zweite Kammer des Obersten Gerichtshofs hat eine konsistente Rechtsprechung entwickelt, die heute den maßgeblichen Standard für die strafrechtliche Compliance in Spanien darstellt.
STS 154/2016 (29. Februar) legte das Fundament: Der Gerichtshof verlangt, dass das Compliance-Modell authentisch ist — kein Instrument zur Imagepflege, sondern ein echtes internes Kontrollsystem mit eigenen personellen und materiellen Ressourcen sowie Mechanismen zur regelmäßigen Aktualisierung.
STS 221/2016 (16. März) stellte klar, dass die strafrechtliche Unternehmenshaftung nicht automatisch aus der Haftung eines Geschäftsführers abgeleitet werden kann. Es muss ein struktureller organisatorischer Mangel innerhalb des Unternehmens nachgewiesen werden, der die Begehung der Straftat begünstigt hat.
STS 668/2017 (11. Oktober) befasste sich mit der Rolle des Compliance-Beauftragten: Der Gerichtshof bestätigte, dass die Aufsichtsfunktion einem kollegialen Organ übertragen werden kann, dieses jedoch operativ eigenständig sein und nicht demjenigen unterstellt sein darf, der die Geschäftsführungsbefugnis im Unternehmen ausübt.
Neuere Urteile aus den Jahren 2023 und 2024 haben die Anforderung vertieft, dass die strafrechtliche Risikokartierung auf die tatsächlichen Aktivitäten des Unternehmens zugeschnitten sein muss — pauschale Standardmodelle, die nicht an die Branche und die konkrete Struktur der Organisation angepasst sind, werden abgelehnt.
Der Compliance-Beauftragte: Position, Autonomie und persönliche Haftung
Die ASCOM-Vorschriften (Asociación Española de Compliance) sowie die Normen UNE 19601 und ISO 37301 haben das Profil und die Aufgaben des Compliance-Beauftragten definiert. Der Oberste Gerichtshof hat akzeptiert, dass in mittleren und großen Unternehmen die Aufsichtsfunktion des Modells einem Organ mit Autonomie und Unabhängigkeit vom Verwaltungsrat übertragen werden kann. Ohne diese Autonomie kann das Modell nicht als angemessen betrachtet werden.
Eine zunehmend bedeutsame Frage ist die persönliche strafrechtliche Haftung des Compliance-Beauftragten. Artikel 31 ter des Código Penal ermöglicht die Verhängung von Geldstrafen gegen den Vertreter des Unternehmens, der die erforderlichen Maßnahmen zur Verhinderung strafrechtlich relevanter Handlungen nicht ergriffen hat. Die herrschende Lehrmeinung geht davon aus, dass ein Compliance-Beauftragter, der das strafrechtliche Risiko kannte und nicht handelte, als unterlassender Beteiligter an der Straftat persönlich strafrechtlich haften kann.
Neue Entwicklungen 2025–2026: KI und neue strafrechtliche Risikovektoren
Das Inkrafttreten der KI-Verordnung der EU (Verordnung 2024/1689) führt einen neuen strafrechtlichen Risikovektor ein, den Compliance-Programme künftig berücksichtigen müssen. Hochrisiko-KI-Systeme, die bei Beschäftigungsentscheidungen, Kreditgenehmigungen oder Bonitätsbewertungen eingesetzt werden, können — bei verzerrter Kalibrierung oder diskriminierendem Einsatz — eine Haftung für Straftaten gegen Arbeitnehmerrechte (Artikel 311 des Código Penal), Beschäftigungsdiskriminierung (Artikel 314) oder im Finanzsektor für Handlungen begründen, die möglicherweise als Marktdelikte eingestuft werden.
Die strafrechtliche Risikokartierung jedes Unternehmens, das KI-Systeme entwickelt oder einsetzt, muss ab August 2026 eine Analyse der strafrechtlichen Risiken im Zusammenhang mit algorithmischer Verzerrung, fehlender menschlicher Aufsicht und dem Einsatz verbotener Systeme gemäß Artikel 5 der KI-Verordnung umfassen.
Darüber hinaus schaffen die Umsetzung der EU-Richtlinie 2023/1791 zur Energieeffizienz und die wachsenden CSRD-Berichtspflichten neue Grundlagen für eine strafrechtliche Haftung durch betrügerische Nachhaltigkeitsberichte — eine Kategorie, die mehrere EU-Mitgliedstaaten bereits in ihren nationalen Strafrechtsordnungen entwickeln.
Der interne Hinweisgeberkanal: Pflichten nach der Ley 2/2023
Die EU-Whistleblower-Richtlinie (Richtlinie 2019/1937/EU), in Spanien umgesetzt durch die Ley 2/2023 vom 20. Februar, stellt spezifische Anforderungen an den internen Meldekanal, die über die Anforderungen des strafrechtlichen Compliance-Programms hinausgehen:
- Verpflichtender Anwendungsbereich: Unternehmen mit fünfzig oder mehr Beschäftigten sind verpflichtet, einen internen Meldekanal einzurichten.
- Vertraulichkeit: Die Identität der meldenden Person muss durch technische und organisatorische Maßnahmen geschützt werden.
- Antwortfristen: Eingangsbestätigung innerhalb von sieben Kalendertagen und Mitteilung der Folgemaßnahmen innerhalb von drei Monaten.
- Autonomie des Kanalverantwortlichen: Der Kanal muss von einer autonomen Person oder Abteilung verwaltet werden, die auch ein externer Dritter sein kann.
- Schutz vor Vergeltungsmaßnahmen: Das Gesetz verbietet ausdrücklich Kündigung, Degradierung und jede Form von Vergeltungsmaßnahmen gegenüber meldenden Personen.
Unternehmen, die getrennte Kanäle für die Ley 2/2023 und ihr strafrechtliches Compliance-Programm unterhalten, sollten diese zusammenführen. Doppelte Kanäle erzeugen Verwirrung und können die Glaubwürdigkeit des gesamten Meldesystems untergraben.
Programmüberprüfung und Zertifizierung: UNE 19601
Die Norm UNE 19601:2017 — Managementsystem für strafrechtliche Compliance — ist der nationale Maßstab für die Implementierung und Zertifizierung strafrechtlicher Compliance-Programme. Obwohl eine Zertifizierung gesetzlich nicht vorgeschrieben ist und nicht automatisch eine Haftungsbefreiung bewirkt, stellt sie ein starkes Beweismittel in Straf- und Verwaltungsverfahren dar und belegt, dass das Programm von einem unabhängigen Dritten nach dem anspruchsvollsten Standard des spanischen Marktes geprüft wurde.
Eine gründliche Programmüberprüfung muss folgende Bereiche abdecken: eine aktualisierte strafrechtliche Risikokartierung, eine Überprüfung der internen Meldeprotokolle, aktualisierte Schulungs- und Kommunikationsmaterialien, eine Überprüfung der dokumentierten Kontrollen sowie eine Bewertung der Wirksamkeit des Meldekanals gemäß der Ley 2/2023.
Checkliste zur Überprüfung des Compliance-Programms 2026
Ein wirksames strafrechtliches Compliance-Programm muss im Jahr 2026 die folgenden Kriterien erfüllen:
- Aktualisierte Risikokartierung: Werden digitale und KI-bezogene Risiken, Umweltrisiken und Lieferkettenrisiken abgedeckt?
- Dokumentierter Tone from the Top: Gibt es Nachweise, dass die Geschäftsleitung aktiv eine Compliance-Kultur fördert?
- Funktionsfähiger Meldekanal: Erfüllt er die Anforderungen der Ley 2/2023 und ist er in das strafrechtliche Compliance-Programm integriert?
- Überprüfbare Schulungsnachweise: Gibt es dokumentierte Nachweise über die Schulungen, die jedem Mitarbeiter entsprechend seiner Risikostufe vermittelt wurden?
- Autonomie des Compliance-Beauftragten: Berichtet der Compliance-Beauftragte direkt an den Verwaltungsrat oder den Prüfungsausschuss?
- Wirksamkeitsprüfung: Wurden Vorfallsimulationen oder Audits des internen Meldekanals durchgeführt?
- Aktualisierung nach Rechtsprechung: Wurden die Erkenntnisse aus den Urteilen des Obersten Gerichtshofs von 2024 und 2025 eingearbeitet?
Bei BMC steht Ihnen unser Rechtsberaterteam zur Verfügung, um Ihr strafrechtliches Compliance-Programm zu überprüfen und an die aktuellen richterlichen Standards anzupassen. Erfahren Sie mehr über unsere Dienstleistungen im Bereich strafrechtliche Compliance.
