Strafrecht-Compliance vs. normatives Compliance

Q: Was ist die Rechtsgrundlage für die strafrechtliche Haftung von Unternehmen in Spanien?

Die strafrechtliche Haftung juristischer Personen in Spanien ist in Artikel 31 bis des Código Penal (CP) geregelt, eingeführt durch die Organgesetze 5/2010 und 1/2015. Nach dieser Norm können juristische Personen für Straftaten ihrer Vertreter oder Mitarbeiter strafrechtlich haftbar gemacht werden, wenn diese im Rahmen ihrer Unternehmenstätigkeit handelten und das Unternehmen keine adäquaten Maßnahmen zur Verhinderung solcher Straftaten getroffen hatte. Das wirksame Compliance-Programm (Programa de Cumplimiento Penal) ist der einzige Weg, diese Haftung zu vermeiden oder zu mildern. Der Oberste Gerichtshof (Tribunal Supremo) hat in Urteilen wie STS 154/2016 und STS 221/2016 die Anforderungen an ein wirksames Programm präzisiert.

Q: Welche Straftaten deckt ein strafrechtliches Compliance-Programm ab?

Das spanische Strafgesetzbuch (Código Penal) listet in Artikel 31 bis einen geschlossenen Katalog von Straftaten auf, für die juristische Personen haftbar gemacht werden können. Zu den wichtigsten gehören: Korruption im privaten und öffentlichen Sektor (Art. 286 bis und Art. 422 CP), Geldwäsche (Art. 301 CP), Steuerhinterziehung und Sozialversicherungsbetrug (Art. 305-306 CP), Subventionsbetrug (Art. 308 CP), Finanzierungs- und Kapitalmarktdelikte, Computerkriminalität, Verstöße gegen Arbeitsschutzvorschriften sowie Umweltstraftaten. Das Compliance-Programm muss präventive Kontrollmaßnahmen für jeden dieser Deliktbereiche enthalten, sofern das Unternehmen einem entsprechenden Risiko ausgesetzt ist — das Prinzip der Risikobasierung ist dabei entscheidend.

Q: Was unterscheidet ein wirksames strafrechtliches Compliance-Programm von einer bloßen Richtliniensammlung?

Nicht jedes Compliance-Dokument entlastet ein Unternehmen strafrechtlich. Der Tribunal Supremo hat in seiner Rechtsprechung klar gemacht, dass ein wirksames Compliance-Programm (Programa de Compliance Penal efectivo) folgende Elemente aufweisen muss: erstens eine echte Risikoanalyse (Mapa de Riesgos Penales), die unternehmensspezifische Deliktsrisiken identifiziert; zweitens konkrete, proportionale Kontrollmaßnahmen für jeden identifizierten Risikobereich; drittens ein funktionsfähiges Hinweisgebersystem (Canal de Denuncias) nach Gesetz 2/2023; viertens einen unabhängigen Compliance-Beauftragten (Compliance Officer) mit ausreichenden Befugnissen; fünftens regelmäßige Schulungen für alle Mitarbeiter; sechstens ein dokumentiertes Sanktionssystem für Verstöße; und siebtens regelmäßige Überprüfung und Aktualisierung des Programms. Ein Handbuch ohne gelebte Implementierung wird strafrechtlich nicht als Entlastungsgrund anerkannt.

Q: Was umfasst normatives Compliance und wie unterscheidet es sich praktisch vom strafrechtlichen Compliance?

Normatives Compliance bezieht sich auf die Einhaltung sektorbezogener Regulierung ohne direkte strafrechtliche Dimension: Datenschutzrecht (DSGVO und LOPDGDD), Anti-Geldwäsche-Regulierung (Ley 10/2010 de Prevención del Blanqueo de Capitales), Finanzmarktregulierung (MiFID II, DORA), Arbeitsrecht-Compliance (inklusive Gleichstellungsplan, Arbeitszeiterfassung), ESG-Reporting-Pflichten (CSRD) und sektorspezifische Anforderungen im Gesundheits-, Energie- oder Finanzsektor. Der Unterschied zum strafrechtlichen Compliance liegt im Sanktionsrahmen: Normatives Compliance-Versagen führt zu Verwaltungssanktionen, Geldbußen und Reputationsschäden — aber nicht zur strafrechtlichen Verfolgung des Unternehmens oder seiner Führungskräfte. In der Praxis empfiehlt sich ein integriertes Compliance-Managementsystem, das beide Bereiche in einem kohärenten Rahmen vereint.

Q: Welche Unternehmen sind in Spanien zur Implementierung eines Anti-Geldwäsche-Programms verpflichtet?

Die Pflicht zur Implementierung eines AML-Compliance-Programms nach der Ley 10/2010 de Prevención del Blanqueo de Capitales und der Finanzierung des Terrorismus gilt für eine definierte Liste von Sujetos Obligados (verpflichteten Subjekten). Dazu gehören: Kredit- und Finanzinstitute, Notare und Rechtsanwälte bei bestimmten Transaktionen, Wirtschaftsprüfer und Steuerberater bei Beratungsleistungen für Unternehmenstransaktionen, Immobilienmakler, Spielbetreiber, Juweliere und Kunsthändler sowie Unternehmen, die gewerblich Barzahlungen über 10.000 Euro annehmen. Für Sujetos Obligados ist das AML-Programm zwingend und beinhaltet: Kundensorgfaltspflichten (KYC), Identifizierung wirtschaftlich Berechtigter (UBO), interne Kontrollmechanismen und Meldepflichten an den SEPBLAC (spanische Geldwäscheaufsicht).

Q: Was sind die wesentlichen Anforderungen an das Hinweisgebersystem nach dem spanischen Gesetz 2/2023?

Das Gesetz 2/2023 zur Regulierung des Schutzes von Personen, die Verstöße gegen das EU-Recht und den Kampf gegen Korruption melden, verpflichtet Unternehmen mit mindestens 50 Mitarbeitern zur Einrichtung eines internen Meldekanals (Canal Interno de Información). Die wesentlichen Anforderungen sind: Vertraulichkeit der Identität des Hinweisgebers und der genannten Personen; Bestätigung des Eingangs der Meldung innerhalb von sieben Tagen; Rückmeldung innerhalb von drei Monaten über die ergriffenen Maßnahmen; Unabhängigkeit des für die Verwaltung des Kanals verantwortlichen Organs; ausdrückliches Verbot von Repressalien gegen Hinweisgeber; und Möglichkeit der anonymen Meldung. Das System muss für alle Mitarbeiter zugänglich sein. Unternehmen zwischen 50 und 249 Mitarbeitern können seit Oktober 2023 einen gemeinsamen Kanal mit anderen Unternehmen teilen.

Der Begriff "Compliance" hat sich schnell in den spanischen Unternehmenswortschatz eingebürgert, aber seine generische Verwendung erzeugt Verwirrung. Wenn ein Führungskraft sagt, sein Unternehmen "hat Compliance", kann er sich auf sehr unterschiedliche Realitäten beziehen: ein Strafrecht-Compliance-Programm nach Art. 31 bis CP, ein Datenschutzsystem nach der DSGVO, ein Anti-Geldwäsche-Programm oder einfach eine Reihe von internen Richtlinien. Diese Unterschiede zu verstehen, ist entscheidend, um zu wissen, was Ihr Unternehmen wirklich braucht.

Das normative Compliance: Was ist es?

Normatives oder regulatorisches Compliance umfasst alle Richtlinien, Verfahren und Kontrollen, die eine Organisation einrichtet, um die geltenden sektorspezifischen Vorschriften einzuhalten. Es handelt sich um ein breites Konzept, das je nach Branche und Tätigkeitsart variiert.

Typische Beispiele für normatives Compliance:

DSGVO/LOPDGDD-Compliance: Datenschutzrichtlinien, ROPA, Datentransferverträge, DPO (wenn obligatorisch).
AML/PBC-Compliance (Geldwäscheprävention): KYC-Verfahren, Meldung verdächtiger Transaktionen, interne Schulung.
Compliance zur Arbeitsgleichstellung: Gleichstellungsplan, Lohnregisterprüfung.
NIS2-Compliance: Cybersicherheitsmaßnahmen und Vorfallsmeldung für wesentliche Einrichtungen.
DORA-Compliance: Operative Belastbarkeitsanforderungen für Finanzdienstleistungsunternehmen.
CSRD-Compliance: Nachhaltigkeitsberichterstattung für große Unternehmen.

Konsequenzen der Nichteinhaltung: In der Regel administrative Sanktionen (Geldstrafen, Auflagen) durch die sektorspezifischen Aufsichtsbehörden (AEPD für Datenschutz, SEPBLAC für Geldwäsche, CNMV für Wertpapiere usw.). Die Sanktionen können erheblich sein, aber sie sind in der Regel nicht strafrechtlicher Natur.

Das Strafrecht-Compliance: Was unterscheidet es?

Das Strafrecht-Compliance ist eine spezifische Unterkategorie mit einer fundamentalen Besonderheit: Es betrifft ausschließlich die Verhinderung von Straftaten, die dem Unternehmen als juristischer Person zugerechnet werden können, und seine Rechtswirkung ist direkt in der Strafprozessordnung verankert.

Rechtsgrundlage: Artikel 31 bis des Strafgesetzbuches (CP), eingeführt 2010 und grundlegend reformiert 2015.

Rechtswirkung: Ein wirksames Strafrecht-Compliance-Programm kann das Unternehmen vollständig von der Verurteilung befreien — nicht nur die Sanktion mildern —, auch wenn einer seiner Direktoren eine Straftat im Namen des Unternehmens begangen hat.

Konsequenzen der Nichteinhaltung: Strafrechtliche Konsequenzen: Auflösung des Unternehmens, Geldstrafen in Millionenhöhe, Aussetzung der Tätigkeit bis zu 5 Jahre, Unfähigkeit zur Vergabe öffentlicher Aufträge bis zu 15 Jahre.

Vergleichstabelle

Merkmal	Normatives Compliance	Strafrecht-Compliance
Rechtsgrundlage	Sektorspezifische Vorschriften	Art. 31 bis CP
Ziel	Sektoreinhaltung	Verhinderung zurechenbarer Straftaten
Konsequenz Nichteinhaltung	Verwaltungssanktionen	Strafrechtliche Sanktionen
Zuständige Behörde	Sektorbehörde (AEPD, SEPBLAC usw.)	Staatsanwaltschaft und Strafgerichte
Befreiende Wirkung	Nein (mildert Sanktion)	Ja (vollständige Befreiung)
Obligatorischer Charakter	Je nach Sektor	Empfohlen, aber nicht obligatorisch
Referenzstandard	DSGVO, LO 10/2010, NIS2 usw.	Art. 31 bis CP + UNE 19601

Gemeinsame Elemente und Integration

Obwohl Strafrecht-Compliance und normatives Compliance unterschiedliche Rechtsnormen und Konsequenzen haben, teilen sie strukturelle Elemente, die eine Integration ermöglichen:

Gemeinsame Elemente:

Risikoanalyse: Beide erfordern eine systematische Identifizierung der spezifischen Risiken des Unternehmens.
Interne Dokumentation: Richtlinien, Verfahren und Protokolle müssen schriftlich festgehalten werden.
Personalschulung: Regelmäßige Schulungen zu den spezifischen Risiken jedes Bereichs.
Hinweisgebersystem: Sowohl das Strafrecht-Compliance (Art. 31 bis.5.4 CP) als auch das Gesetz 2/2023 (Whistleblowing) erfordern einen Kommunikationskanal für Meldungen.
Periodische Überprüfung: Beide erfordern eine periodische Überprüfung der implementierten Maßnahmen.

Integriertes Compliance-Modell:

Das “Integrated Compliance” oder integrierte Compliance ist das Modell, das eine einzige Governance-Struktur schafft, die alle Compliance-Anforderungen des Unternehmens abdeckt: ein einziges Hinweisgebersystem, das die Anforderungen des Gesetzes 2/2023 und des Art. 31 bis CP erfüllt; ein einziger Compliance-Verantwortlicher (oder ein Compliance-Ausschuss), der alle Bereiche überwacht; ein integriertes Schulungsprogramm, das Strafrecht-, Datenschutz-, AML- und sonstige anwendbare Compliance abdeckt; eine einzige Risikomap, die strafrechtliche Risiken, regulatorische Risiken und Reputationsrisiken identifiziert.

Vorteile des integrierten Ansatzes: Vermeidung von Duplikation (kein separates Hinweisgebersystem für Strafrecht-Compliance und ein anderes für das Gesetz 2/2023), Optimierung der Compliance-Kosten und konsistente Compliance-Kultur im gesamten Unternehmen.

Informationen zu unserem integrierten Compliance-Programm und Compliance-Risikomap-Service.

Strafrecht-Compliance vs. Normatives Compliance: Der grundlegende Unterschied

Strafrecht-Compliance (Criminal Compliance)

Strafrecht-Compliance bezeichnet den systematischen Ansatz zur Prävention von Straftaten im Unternehmenskontext, mit besonderem Fokus auf die strafrechtliche Haftung juristischer Personen (Artículo 31 bis CP — Código Penal).

Warum ist Strafrecht-Compliance in Spanien besonders wichtig?

Seit der Strafrechtsreform 2015 können juristische Personen in Spanien strafrechtlich verurteilt werden. Die Sanktionen reichen von Geldstrafen bis zur Auflösung der Gesellschaft:

Geldstrafen: 5.000 € bis mehrere Millionen Euro pro Straftat
Auflösung: Bei schwerwiegenden und systematischen Verstößen
Betriebsunterbrechung: Temporäre Schließung bestimmter Aktivitäten
Disqualifizierung: Von öffentlichen Aufträgen und Subventionen
Richterliche Überwachung: Gerichtlich bestellter Compliance-Officer

Haftungsbefreiung durch effektives Compliance-Modell:

Artikel 31 bis Abs. 2 und 4 CP sieht Haftungsbefreiung für die juristische Person vor, wenn:

Vor der Straftat ein effektives Compliance-Programm (Modelo de Compliance Penal) implementiert war
Das Programm die relevanten Straftaten preventieren konnte
Die Straftat durch individuelle Umgehung des Systems begangen wurde
Ein Compliance-Officer mit echten Überwachungskompetenzen eingesetzt war

Normatives Compliance

Normatives Compliance bezeichnet die Einhaltung der gesamten einschlägigen rechtlichen und regulatorischen Anforderungen an ein Unternehmen:

Steuerliche Compliance: Korrekte und termingerechte Einreichung aller Steuererklärungen, Einhaltung steuerlicher Pflichten.

Arbeitsrechtliche Compliance: Korrekte Arbeitsverträge, Lohnabrechnung, Arbeitsschutz, Gleichstellung.

Datenschutz-Compliance: DSGVO, spanisches LOPDGDD, Datenschutz-Folgenabschätzungen, Verarbeitungsverzeichnis.

AML-Compliance (Geldwäsche): Sorgfaltspflichten, Verdachtsmeldungen, Schulungen.

Umwelt-Compliance: Einhaltung von Umweltauflagen, Abfallentsorgung, Lärmschutz.

Verbraucherschutz-Compliance: AGB-Konformität, Widerrufsrecht, irreführende Werbung.

Wie hängen beide zusammen?

Strafrecht-Compliance ist ein Teilbereich des normativen Compliance:

Normatives Compliance deckt alle rechtlichen Anforderungen ab → Ziel: Keine Ordnungswidrigkeiten oder Zivilhaftung.

Strafrecht-Compliance fokussiert auf Straftaten und strafrechtliche Haftung → Ziel: Keine strafrechtliche Verurteilung der juristischen Person oder ihrer Organe.

Ein Unternehmen mit perfekter steuerlicher Compliance (normativ) kann dennoch strafrechtlich haftbar werden, wenn Führungskräfte Bestechung zahlen oder Insiderhandel betreiben.

Implementierung eines integrierten Compliance-Systems

Die beste Praxis verbindet beide Ansätze in einem integrierten Compliance-Management-System (CMS):

Risikoanalyse: Identifikation aller relevanten Compliance-Risiken (strafrechtlich + normativ) nach Wahrscheinlichkeit und Schwere.
Policies und Verfahren: Schriftliche Richtlinien für alle identifizierten Risikobereiche.
Schulungen: Regelmäßige Schulung aller relevanten Mitarbeiter.
Monitoring und Kontrollen: Automatisierte und manuelle Kontrollmechanismen.
Hinweisgebersystem: Kanal für interne Meldungen.
Compliance-Officer: Unabhängige Überwachung des Systems.
Jährliche Überprüfung: Anpassung des Systems an neue Risiken und Rechtsänderungen.

BMC implementiert integrierte Compliance-Management-Systeme für Unternehmen in Spanien, die sowohl Strafrecht als auch normative Anforderungen abdecken. Mehr erfahren.

Häufig gestellte Fragen zu Compliance in Spanien

Müssen alle Unternehmen ein Strafrecht-Compliance-Programm haben? Nein, es gibt keine gesetzliche Pflicht für alle Unternehmen. Jedoch: Ohne ein solches Programm kann die juristische Person bei Straftaten ihrer Organe oder Mitarbeiter strafrechtlich haftbar werden. Ab einer gewissen Unternehmensgröße (typisch ab 50 Mitarbeitern) oder bei Tätigkeiten in risikobehafteten Bereichen ist ein Compliance-Programm faktisch unerlässlich.

Was kostet ein Compliance-Programm für ein KMU? Ein auf KMU zugeschnittenes Compliance-Programm kostet typischerweise 5.000–20.000 € in der Implementierungsphase und 2.000–5.000 € jährlich für Aktualisierungen und Schulungen. Im Vergleich zu möglichen Strafen — die in die Millionen gehen können — ist dies eine geringe Investition.

Wie oft muss das Programm aktualisiert werden? Mindestens jährlich, außerdem bei wesentlichen Änderungen im Unternehmensrisikoprofil oder bei neuen Gesetzen. Ein Compliance-Programm, das vor 5 Jahren implementiert und seitdem nicht aktualisiert wurde, schützt im Zweifelsfall nicht vor Strafverfolgung.

BMC entwickelt und pflegt Compliance-Programme für KMU und Mittelstand in Spanien — rechtssicher, proportional und praxisorientiert. Kontaktieren Sie uns. Investieren Sie jetzt in ein rechtssicheres Compliance-System und schützen Sie Ihr Unternehmen und Ihre persönliche Haftung als Geschäftsführer. BMC ist Ihr Partner für integriertes Compliance-Management in Spanien. Ein effektives Compliance-System ist keine lästige Pflicht, sondern ein strategischer Vorteil: Es schützt das Unternehmen vor Sanktionen, stärkt das Vertrauen von Investoren und Geschäftspartnern und fördert eine ethische Unternehmenskultur. Kontaktieren Sie BMC für eine Compliance-Gap-Analyse für Ihr Unternehmen.

strafrecht-compliance normatives-compliance strafrechtliche-haftung-unternehmen compliance

← Zurück zu Publikationen

Beratung

Bewertung und Analyse

Transformation

Governance und Übergang

Steuerstrategie

Compliance

Sonderregelungen

Vermögen und Streitigkeiten

Handels- und Gesellschaftsrecht

Insolvenz und Restrukturierung

Arbeitsverhältnisse

Personal und Compliance

Streitigkeiten und Beilegung

Cybersicherheit

Datenschutz und KI

Finanzen und Berichtswesen

Gesellschaftsservices

Wachstum

Risiko und Resilienz

Artikel und Analysen

Berichte und Whitepaper

Tools

Branchen

Das normative Compliance: Was ist es?

Das Strafrecht-Compliance: Was unterscheidet es?

Vergleichstabelle

Gemeinsame Elemente und Integration

Strafrecht-Compliance vs. Normatives Compliance: Der grundlegende Unterschied

Strafrecht-Compliance (Criminal Compliance)

Normatives Compliance

Wie hängen beide zusammen?

Implementierung eines integrierten Compliance-Systems

Häufig gestellte Fragen zu Compliance in Spanien

Verwandte Leistungen

Criminal Compliance

Compliance-Risikokartierung

Geldwäscheprävention (AML)

Hinweisgebersystem (EU-Richtlinie)

Verwandte Artikel

Wann ist die Benennung eines externen DPO Pflicht?

Was tun bei einer Inspektion der AEPD?

Wie Sie Ihr Unternehmen vor Geldwäsche schützen

Möchten Sie mehr erfahren?