Die strafrechtliche Unternehmenshaftung in Spanien, geregelt durch Artikel 31 bis des Strafgesetzbuchs, hat seit ihrer Einführung im Jahr 2010 eine intensive jurisprudentielle Entwicklung erfahren. Was anfangs mit einer gewissen Skepsis hinsichtlich seiner praktischen Anwendung aufgenommen wurde, ist heute eine konsolidierte Realität: Spanische Gerichte haben juristische Personen verurteilt, ihre Präventionsmodelle rigoros untersucht und eine Doktrin etabliert, die von Unternehmen verlangt, die Strafrechts-Compliance mit derselben Ernsthaftigkeit zu behandeln, die sie auf jedes andere wesentliche Unternehmensrisiko anwenden.
Dieses Whitepaper analysiert den aktuellen Stand der Strafrechts-Compliance in Spanien, die Anforderungen des Obersten Gerichtshofs, den für den Unternehmenssektor relevantesten Straftatenkatalog und Best Practices für spanische Unternehmen beim Aufbau wirksamer und nachweisbarer Präventionsmodelle.
Rechtsrahmen: Die Rechtliche Architektur der Strafrechts-Compliance
Das Organische Gesetz 5/2010 führte die strafrechtliche Unternehmenshaftung durch Artikel 31 bis in das spanische Strafgesetzbuch ein. Die durch das Organische Gesetz 1/2015 eingeführte Reform konsolidierte und klärte dieses Modell und stellte ausdrücklich fest, dass die Annahme und wirksame Umsetzung von Präventionsprogrammen vollständige Grundlagen für eine Haftungsbefreiung darstellen können — nicht nur eine Milderung.
Artikel 31 bis in seiner aktuellen Formulierung legt zwei Zurechnungswege für die juristische Person fest: die Begehung der Straftat durch gesetzliche Vertreter oder tatsächliche oder rechtliche Direktoren (der “hohe Weg”) und die Begehung durch Mitarbeiter oder Untergebene aufgrund des Versäumnisses, eine angemessene Kontrolle über sie auszuüben (der “niedrige Weg”). In beiden Fällen ist der Schlüssel zur Befreiung der Nachweis, dass die juristische Person ein Organisations- und Managementmodell angenommen und wirksam umgesetzt hat, das geeignet ist, Straftaten der begangenen Art zu verhindern.
Der Rundbrief 1/2016 der Staatsanwaltschaft legte die Beurteilungskriterien fest, die Staatsanwälte auf diese Programme anwenden, und bleibt die wichtigste praktische Referenz für die Gestaltung von Strafrechts-Compliance-Modellen, die einer Prüfung durch die Staatsanwaltschaft standhalten können. Seine Anforderungen gehen über das bloße dokumentarische Design hinaus: Der Rundbrief betont, dass das Programm operativ wirksam sein und die Fähigkeit demonstriert haben muss, Unregelmäßigkeiten in der Vergangenheit zu erkennen und darauf zu reagieren.
Anforderungen des Obersten Gerichtshofs: Konsolidierte Rechtsprechung
Die Rechtsprechung des Obersten Gerichtshofs zur strafrechtlichen Unternehmenshaftung hat sich seit dem Urteil 154/2016 vom 29. Februar (bekannt als der “Manos-Limpias-Fall”) erheblich weiterentwickelt, das die erste Entscheidung des Hohen Gerichts war, die den Geeignetheitsstandard für Compliance-Programme eingehend behandelte.
Nachfolgende Urteile — einschließlich STS 221/2016 vom 16. März und die in den folgenden Jahren konsolidierte Doktrin — haben klargestellt, dass das Präventionsmodell vier grundlegende Bedingungen erfüllen muss, um als Grundlage für eine Befreiung geltend gemacht werden zu können: Es muss vor der Begehung der Straftat angenommen und implementiert worden sein (das Annehmen nach Kenntnis einer Untersuchung ist nicht ausreichend); es muss die Tätigkeiten des Unternehmens identifizieren, innerhalb derer die zu verhindernden Straftaten begangen werden könnten; es muss Protokolle oder Verfahren einrichten, die dem Prozess der Willensbildung der juristischen Person, der Entscheidungsfindung und ihrer Umsetzung in Bezug auf diese Tätigkeiten konkreten Ausdruck verleihen; und es muss über wirksame Überwachungs- und Kontrollmechanismen verfügen, um das Risiko der Nichteinhaltung der präventiven Maßnahmen zu reduzieren.
Der Oberste Gerichtshof hat auch betont, dass das Programm “authentisch” sein muss, im Gegensatz zu Papiermodellen, die darauf ausgelegt sind, compliant zu erscheinen, ohne echte Umsetzung. Zu den Indikatoren, die Gerichte zur Beurteilung der Authentizität prüfen, gehören: das Vorhandensein von dokumentierten und regelmäßigen Schulungen; das effektive Funktionieren des Hinweisgeberkanals (Anzahl der eingegangenen Mitteilungen, Reaktionszeiten, ergriffene Maßnahmen); und regelmäßige Prüfungen oder Überprüfungen des Programms selbst.
Katalog der auf Juristische Personen Anwendbaren Straftaten
Das Strafgesetzbuch macht die juristische Person nicht für jede mögliche Straftat haftbar, sondern nur für solche, bei denen der Gesetzgeber diese Konsequenz ausdrücklich vorgesehen hat. Der Katalog umfasst derzeit mehr als 30 Straftatentypen, aber die praktisch relevantesten für den spanischen Unternehmenssektor sind folgende:
Wirtschafts- und Finanzdelikte. Steuerhinterziehung (Artikel 305 CP), Buchführungsdelikte (Artikel 310 CP), Geldwäsche (Artikel 301–304 CP) und kriminelle Insolvenz (Artikel 259–261 CP) sind die häufigsten in Verfahren gegen juristische Personen. Die Steuerschuldschwelle, die die strafrechtliche Haftung auslöst, beträgt 120.000 Euro — erreichbar für Unternehmen mit einem Umsatz ab 2–3 Millionen Euro.
Korruption und Bestechung. Aktive Bestechung (Artikel 424 CP), Korruption zwischen Privatparteien (Artikel 286 bis CP) und Korruption bei internationalen Handelsgeschäften (Artikel 286 ter CP) sind besonders relevant für Unternehmen, die im öffentlichen Beschaffungswesen, in regulierten Sektoren oder in internationalen Märkten mit erhöhtem Korruptionsrisiko tätig sind. Die FCPA- und UK-Bribery-Act-Entsprechungen sind Artikel 286 ter für grenzüberschreitende Szenarien.
Delikte gegen Arbeitnehmer. Delikte gegen die Rechte der Arbeitnehmer (Artikel 311–318 CP) — einschließlich der Auferlegung missbräuchlicher Arbeitsbedingungen, Menschenhandel zur Arbeitsausbeutung und sicherheitsrisikobezogene Delikte — erhalten zunehmend Aufmerksamkeit von Staatsanwälten, insbesondere in den Sektoren Bau, Zeitarbeit und Gastronomie. Die Lieferketten-Dimension ist kritisch: Die Haftung kann sich auf Auftraggeber für Bedingungen bei ihren Subunternehmern erstrecken.
Umweltdelikte. Umweltstraftaten (Artikel 325–331 CP) betreffen besonders Industrieunternehmen, Abfallentsorgungsunternehmen und den Energiesektor. Die Strafgesetzbuchreform von 2015 führte das Delikt der Umweltverschmutzung durch grobe Fahrlässigkeit ein und erweiterte den Haftungsbereich über vorsätzliches Handeln hinaus auf Situationen groben operativen Versagens.
Technologiedelikte. Unbefugter Zugang zu Computersystemen (Artikel 197 bis CP), Computerschäden (Artikel 264 CP) und Delikte gegen geistiges Eigentum in digitalen Umgebungen (Artikel 270 CP) sind relativ neue Ergänzungen zum Katalog der strafrechtlichen Unternehmenshaftung mit wachsender Relevanz im Kontext der digitalen Wirtschaft. Diese Risiken überschneiden sich mit den Cybersicherheitspflichten gemäß der NIS2-Richtlinie.
Wesentliche Bestandteile des Strafrechts-Compliance-Modells
Ein wirksames Strafrechts-Compliance-Programm — das einer gerichtlichen und staatsanwaltschaftlichen Prüfung standhalten kann — muss um sechs voneinander abhängige Komponenten strukturiert werden:
1. Risikolandkarte für Straftaten. Der Ausgangspunkt ist die Identifizierung und Bewertung der spezifischen Straftatenrisiken der Unternehmenstätigkeit. Es ist nicht möglich, wirksame Kontrollen zu gestalten, ohne zu wissen, welche Straftatenszenarien angesichts des Geschäftsmodells, der Sektoren, in denen das Unternehmen tätig ist, seiner geografischen Märkte und seiner Organisationsstruktur am wahrscheinlichsten sind. Die Risikolandkarte muss regelmäßig aktualisiert werden (mindestens jährlich oder bei wesentlichen Änderungen der Geschäftstätigkeit) und muss mit Belegen des Bewertungsprozesses dokumentiert werden.
2. Kontrollprotokolle und präventive Verfahren. Für jedes als relevant identifizierte Risiko muss das Modell konkrete Verfahren einrichten, die die Wahrscheinlichkeit der Begehung reduzieren: Aufgabentrennung, Zahlungsautorisierungsgrenzen, Due-Diligence-Prozesse für Dritte (Lieferanten, Vertreter, Händler), Treasurykontrollen zur Erkennung unregelmäßiger Zahlungen und Genehmigungsverfahren für Bewirtungskosten und den Umgang mit Beamten.
3. Hinweisgeberkanal mit Garantien. Die EU-Richtlinie 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (die Hinweisgeberrichtlinie), in spanisches Recht durch das Gesetz 2/2023 vom 20. Februar umgesetzt, verpflichtet Unternehmen mit 50 oder mehr Mitarbeitern, einen internen Meldekanal zu betreiben, der spezifische Vertraulichkeitsanforderungen erfüllt, mit Empfangsbestätigungsfristen (7 Tage) und Antwortfristen (3 Monate) sowie dem Verbot von Vergeltungsmaßnahmen. Dieser Kanal ist nicht nur eine gesetzliche Anforderung: Er ist der zentrale Mechanismus zur frühzeitigen Erkennung von Unregelmäßigkeiten innerhalb der Organisation.
4. Dokumentierte regelmäßige Schulungen. Die Personalschulung ist ein kritischer Bestandteil, den Gerichte zur Beurteilung der Authentizität des Programms prüfen. Die Aufnahme eines Ethikkodex in den Arbeitsvertrag ist nicht ausreichend: Das Unternehmen muss nachweisen können, dass es spezifische und regelmäßige Schulungen zu den für jede Funktion und hierarchische Ebene relevanten Straftatenrisiken durchgeführt hat und dass die Mitarbeiter die für ihre Arbeit geltenden Richtlinien und Verfahren verstanden haben.
5. Compliance-Organ mit echter Autonomie. Artikel 31 bis verlangt, dass die juristische Person die Überwachung des Modells einem Organ mit autonomen Initiativ- und Kontrollbefugnissen oder einem mit der Funktion der Überwachung des Betriebs und der Einhaltung des Präventionsmodells rechtlich beauftragten Organ anvertraut hat. Die echte Autonomie dieses Organs ist ein bestimmendes Merkmal: Ein Compliance-Officer, der hierarchisch demselben Führungskräften unterstellt ist, dessen Entscheidungen er überwachen muss, erfüllt den erforderlichen Standard nicht. In mittelständischen Unternehmen kann die Funktion von einem Vorstandsausschuss (sofern vorhanden) oder einem externen Compliance-Officer wahrgenommen werden.
6. Regelmäßige Prüfung des Modells. Das Programm muss einer regelmäßigen Überprüfung unterzogen werden, um zu überprüfen, ob die Kontrollen weiterhin den aktuellen Risiken des Unternehmens entsprechen und operativ implementiert sind. Diese Überprüfung kann intern (vom Compliance-Organ selbst durchgeführt) oder extern (von einem Spezialist-Prüfer) erfolgen, muss aber einen dokumentierten Bericht erstellen, in dem festgestellte Mängel und die zu ihrer Korrektur ergriffenen Maßnahmen identifiziert werden.
Sektoren mit Größerer Exponierung
Die Finanz-, Immobilien-, Bau- und Gesundheitssektoren haben in Spanien die größte historische Exponierung gezeigt, aber die Erfahrungen der letzten Jahre haben gezeigt, dass kein Sektor immun ist.
Bau und Immobilienentwicklung. Zu den häufigsten Straftaten gehören Korruption bei der Vergabe öffentlicher Bauaufträge, Delikte gegen Arbeitnehmer (missbräuchliche Arbeitsbedingungen, Arbeitsunfälle durch Unterlassen von Sicherheitsmaßnahmen) und Umweltdelikte im Zusammenhang mit der Entsorgung von Bauabfällen. Compliance-Programme in diesem Sektor müssen besonderes Augenmerk auf die Vergabekette legen, wo das Risiko der Nichteinhaltung von Arbeits- und Umweltvorschriften auf Dritte übertragen wird.
Finanzsektor und Fintech. Finanzunternehmen stehen vor spezifischen sektoralen Compliance-Pflichten (Bankenaufsichtsbehörden, CNMV, AML-Vorschriften), aber die Strafrechts-Compliance geht über die sektorale Regulierung hinaus. Geldwäsche-, interne Betrugs-, Korruptions- und Computerkriminalitätsrisiken erfordern ein integriertes Modell, das regulatorische und strafrechtliche Compliance koordiniert.
Gesundheits- und Pharmasektor. Korruption zwischen Privatparteien im Umgang mit Ärzten und Krankenhauseinkäufern (Artikel 286 bis CP), Delikte im Zusammenhang mit gefälschten oder verfälschten Medikamenten und Straftaten gegen die öffentliche Gesundheit sind die Hauptrisikobereiche. Branchenverhaltenskodizes müssen in das Strafrechts-Compliance-Modell jedes Unternehmens integriert werden.
Mittelständische Unternehmen in unregulierten Sektoren. Ein häufiger Fehler ist die Annahme, dass die Strafrechts-Compliance nur große Unternehmen oder Finanzsektoren betrifft. Die jüngste Rechtsprechung zeigt, dass auch KMU und mittelständische Unternehmen als juristische Personen angeklagt wurden — insbesondere bei Steuerdelikten, Arbeitsverstößen und Umweltstraftaten. Die Steuerschuldschwelle von 120.000 Euro für Steuerhinterziehung ist erreichbar für Unternehmen mit einem Umsatz ab 2–3 Millionen Euro.
Kosten und ROI der Strafrechts-Compliance
Die Kosten für die Implementierung eines Strafrechts-Compliance-Programms für ein mittelständisches Unternehmen liegen je nach Größe der Organisation, Komplexität seiner Tätigkeit und Anzahl der identifizierten Risiken zwischen 8.000 und 35.000 Euro. Jährliche Wartungsprogramme (Aktualisierung der Risikolandkarte, Schulungen, Prüfung und Verwaltung des Hinweisgeberkanals) kosten ca. 3.000–10.000 Euro pro Jahr.
Diesen Kosten gegenüber stehen die Konsequenzen des Fehlens eines wirksamen Programms: Geldstrafen bis zum Fünffachen des erzielten Vorteils (ohne Mindestgrenze); Ausschluss von Verträgen mit öffentlichen Verwaltungen (verheerend für Unternehmen mit Aufträgen im öffentlichen Sektor); vorübergehende oder dauerhafte Schließung von Räumlichkeiten; und die Reputationskosten im Zusammenhang mit einer strafrechtlichen Verurteilung der juristischen Person. In jedem realistischen Risikoszenario ist der ROI der Strafrechts-Compliance nicht in Frage zu stellen.
Implementierungs-Roadmap
Phase 1 — Diagnose und Risikolandkarte (4–6 Wochen). Analyse der Unternehmenstätigkeit, -struktur und -exponierung; Identifizierung und Bewertung spezifischer Straftatenrisiken; Überprüfung bestehender Kontrollen und identifizierter Lücken.
Phase 2 — Modellgestaltung (6–8 Wochen). Entwurf des Ethikkodex und der Unternehmensrichtlinien; Gestaltung von Kontrollprotokollen für jedes relevante Risiko; Definition des Hinweisgeberkanal-Modells gemäß Gesetz 2/2023; Gestaltung des Schulungsplans.
Phase 3 — Implementierung und Schulung (8–12 Wochen). Formelle Genehmigung des Modells durch das Leitungsorgan; interne Kommunikation des Programms; Durchführung der Erstschulung für das Personal; operativer Start des Hinweisgeberkanals.
Phase 4 — Wartung und kontinuierliche Verbesserung (fortlaufend). Jährliche Überprüfung der Risikolandkarte; Aktualisierung von Protokollen als Reaktion auf Änderungen in der Tätigkeit oder der Gesetzgebung; Verwaltung der über den Kanal eingegangenen Mitteilungen; regelmäßige Prüfung des Modells und Berichterstattung an das Leitungsorgan.
Fazit und BMC-Empfehlungen
Die Strafrechts-Compliance hat sich von einer Praxis, die großen Unternehmen vorbehalten war, zu einer Notwendigkeit für jedes spanische Unternehmen entwickelt, das seine rechtlichen Risiken verantwortungsbewusst managen möchte. Die Rechtsprechung des Obersten Gerichtshofs hat den Anforderungsstandard angehoben: Papierprogramme reichen nicht mehr aus, und Gerichte prüfen, ob das Modell vor der Begehung der Straftat tatsächlich implementiert und operativ war.
Die Zeit zu handeln ist jetzt — nicht wenn das Unternehmen seine erste Benachrichtigung über eine Untersuchung erhält. Ein reaktiv angenommenes Programm dient nicht als Verteidigung, und die Implementierungskosten sind stets geringer als die Kosten, strafrechtlichen Verfahren ohne angemessene Unternehmensverteidigung gegenüberzustehen.
Bei BMC entwerfen wir maßgeschneiderte Strafrechts-Compliance-Modelle für jede Organisation, von der Erstdiagnose bis zur jährlichen Programmwartung, mit einem Team, das juristische Expertise, Sektorwissen und die technologischen Instrumente kombiniert, die notwendig sind, um Compliance operativ wirksam und nachweisbar zu gestalten. Sehen Sie sich unsere Strafrechts-Compliance-Dienstleistungen an.
