Criminal Compliance: Schützen Sie Ihr Unternehmen vor strafrechtlicher Haftung

Die unternehmensstrafrechtliche Haftung in Spanien wurde durch das Organgesetz 5/2010 eingeführt, das Artikel 31 bis des Spanischen Strafgesetzbuches (Código Penal) reformierte, um festzustellen, dass juristische Personen direkt strafrechtlich für einen Katalog von Straftaten haftbar gemacht werden können — einschließlich Korruption, Geldwäsche, Steuerbetrug, Umweltkriminalität und Cyberkriminalität — wenn diese von ihren Direktoren, Mitarbeitern oder Vertretern im Namen des Unternehmens begangen werden. Ein Unternehmen kann sich von der strafrechtlichen Haftung befreien oder Sanktionen erheblich mildern, indem es nachweist, dass es vor der Straftat ein angemessenes Strafrechts-Compliance-Programm hatte, das die vom Obersten Gericht validierten Anforderungen und die Standards der UNE 19601 und ISO 37001 erfüllt. Sanktionen für verurteilte Unternehmen umfassen unbegrenzte Bußgelder, Auflösung, Disqualifikation von öffentlichen Aufträgen und vorübergehende oder dauerhafte Schließung.

Unser Criminal-Compliance-Team kombiniert Strafrechtsexperten und Corporate-Governance-Experten, um Programme zu gestalten, die wirklich wirksam sind: keine Schubladen-Dokumente, sondern lebende Präventions- und Verteidigungswerkzeuge.

Diese Dienstleistung ist Teil unserer Rechtsberatungspraxis.

Unternehmensstrafrechtliche Haftung: Ein Risiko, das die meisten Direktoren noch nicht vollständig bewertet haben

Die Reform des Spanischen Strafgesetzbuches von 2015 hat die Rechtslandschaft für Unternehmen grundlegend verändert. Juristische Personen können nun strafrechtlich für Straftaten verurteilt werden, die von ihren Direktoren, Managern oder Mitarbeitern im Namen des Unternehmens begangen werden. Die Sanktionen sind schwerwiegend: Bußgelder bis zum Fünffachen des erlangten kriminellen Vorteils, Unternehmensauflösung, Aktivitätssuspendierung für bis zu fünf Jahre, Disqualifikation von öffentlichen Beschaffungen und gerichtlich angeordnete Schließung.

Die Reform schuf auch den Weg zur Befreiung. Nach Artikel 31 bis kann ein Unternehmen von der strafrechtlichen Haftung befreit werden — oder diese erheblich gemildert werden —, wenn es vor Begehung der Straftat ein wirksames Compliance-Programm hatte und die Straftat durch betrügerische Umgehung der Kontrollen begangen wurde.

Was ein wirksames Programm von einer Papierübung unterscheidet

Der Oberste Gerichtshof und die Generalstaatsanwaltschaft haben klar gemacht: Ein Compliance-Programm, das als Dokument existiert, aber nicht implementiert, überwacht und durchgesetzt wird, ist keine gültige Befreiung. Gerichte prüfen, ob das Compliance-Organ echte Autonomie und Ressourcen hatte, ob das Hinweisgebersystem zugänglich war und seine Berichte untersucht wurden, ob Mitarbeiter aussagekräftige (nicht nur abhakhbare) Schulungen erhielten und ob die in der Risikolandkarte identifizierten Kontrollen tatsächlich funktionierten.

Das Hinweisgebersystem nach Gesetz 2/2023

Die spanische Umsetzung der EU-Hinweisgeber-Richtlinie schuf obligatorische Anforderungen, die weit über den Meldekanal des Strafgesetzbuches hinausgehen. Unternehmen mit 50 oder mehr Mitarbeitern müssen einen vertraulichen Meldekanal haben, der sowohl für interne als auch externe Melder zugänglich ist, der vor Vergeltung schützt und Ermittlungen innerhalb definierter Zeitpläne verwaltet. Der Kanal muss von einer designierten unabhängigen Funktion verwaltet werden — was für die meisten KMUs einen ausgelagerten Anbieter bedeutet.

Criminal Compliance bei Unternehmenstransaktionen

Wenn ein Unternehmen erworben wird, übernimmt der Käufer sein Strafrechts-Compliance-Programm — oder dessen Fehlen. Im Rahmen der Due Diligence bewerten wir die Angemessenheit des Programms des Zielunternehmens, identifizieren die Lücke zwischen den dokumentierten Kontrollen und ihrer tatsächlichen Implementierung und beraten zum Sanierungsplan nach Abschluss. Für Transaktionen, bei denen das Zielunternehmen in Hochrisikosektoren tätig ist, ist die Criminal-Compliance-Due-Diligence nicht optional.

Der Strafkatalog des Art. 31 bis: Welche Delikte erfasst sind

Der Strafkatalog des Spanischen Strafgesetzbuches, der die Haftung juristischer Personen auslösen kann, ist breit und umfasst Delikte, die in praktisch jeder Unternehmenstätigkeit vorkommen können:

Korruption und Bestechung (Art. 286 bis, 287 CP) — im privaten Sektor und im Bereich der öffentlichen Aufträge. Besonders relevant für Unternehmen in Sektoren mit intensiver Interaktion mit der öffentlichen Verwaltung, in der Pharmaindustrie und im internationalen Handel.

Geldwäsche (Art. 301 CP) — relevant für Unternehmen im Finanzbereich, im Immobiliensektor und in jedem Bereich, in dem erhebliche Barzahlungen oder internationale Transaktionen mit Gegenparteien in Hochrisikogebieten stattfinden.

Steuerbetrug und Sozialversicherungsbetrug (Art. 305-308 CP) — für Transaktionen über 120.000 EUR, mit erhöhter Strafbarkeit bei organisierten Gruppen. Die Koordination mit dem steuerrechtlichen Compliance-Rahmen ist kritisch.

Cyberkriminalität (Art. 197 bis CP) — unbefugter Zugang zu Informationssystemen, Sabotage. Relevant für jedes Unternehmen, das Informationstechnologie in seinen Prozessen einsetzt und mit Drittanbietern arbeitet.

Umweltkriminalität (Art. 325-327 CP) — für Industrie-, Bergbau- und chemische Unternehmen.

Menschenhandel (Art. 177 bis CP) — relevant für Lieferketten in risikoreichen Sektoren.

Die Risikolandkarte des Criminal-Compliance-Programms muss jeden dieser Deliktsbereiche in Bezug auf die spezifische Geschäftstätigkeit des Unternehmens und seine Lieferkette analysieren.

Das Compliance-Organ: Unabhängigkeit und Ressourcen

Das Compliance-Organ ist die interne Struktur, die das Criminal-Compliance-Programm überwacht und kontinuierlich verbessert. Es muss über echte Autonomie verfügen — mit dem Recht, direkt an den Vorstand zu berichten, ohne durch das Management gefiltert zu werden — und über ausreichende Ressourcen (Budget, Zugang zu Information, externe Beratung), um seine Funktion wirksam ausüben zu können.

Für KMU ohne die Ressourcen für ein internes Compliance-Organ bieten wir die Funktion als externe Dienstleistung an — mit der strukturellen Unabhängigkeit, die die Gerichte fordern, und der Sachkenntnis, die für eine wirksame Präventionsarbeit erforderlich ist. Die Koordination mit dem Compliance-Risiko-Mapping und dem Whistleblowing-Kanal stellt sicher, dass das Criminal-Compliance-Programm in das umfassendere Compliance-Rahmenwerk des Unternehmens integriert ist.

Praxisbeispiel mit Zahlen: KMU in der Baubranche

Ausgangssituation: Ein spanisches Bauunternehmen mit 80 Mitarbeitern und 12 Mio. EUR Jahresumsatz hat bisher kein Criminal-Compliance-Programm. Ein Subunternehmer der Gesellschaft steht unter Verdacht, Schwarzgeldgelder in das Bauprojekt einzuspeisen. Die Gesellschaft ist Gegenstand einer Strafermittlung wegen möglicher Beihilfe zur Geldwäsche (Art. 301 CP).

Risikobewertung: Ohne vorheriges Criminal-Compliance-Programm kann das Unternehmen die strafrechtliche Haftungsbefreiung nach Art. 31 bis CP nicht geltend machen. Mögliche Sanktionen: Bußgeld bis zu 3 Mio. EUR (dreifacher Vorteil), Suspendierung der öffentlichen Auftragsfähigkeit (LCSP Art. 71), temporäre Betriebssuspendierung.

BMC-Intervention: Sofortiger Aufbau eines Criminal-Compliance-Programms mit rückwirkender Dokumentation der existierenden Kontrollen, Beauftragung einer internen Untersuchung durch das Compliance-Organ, kooperative Positionierung gegenüber der Staatsanwaltschaft (Reduzierung der Strafbarkeit nach Art. 31 quater CP bei freiwilliger Aufdeckung und Kooperation), und Neugestaltung des Subunternehmer-Screening-Prozesses.

Ergebnis: Das Strafverfahren gegen die Gesellschaft wurde eingestellt; das Compliance-Programm wurde als Beweis fehlender organisatorischer Fahrlässigkeit vorgelegt. Gesamtkosten des Mandats: 35.000 EUR. Vermiedenes Sanktionsrisiko: über 1 Mio. EUR.

Betroffene Branchen und Hochrisikosektoren

Das unternehmensstrafrechtliche Risiko konzentriert sich auf spezifische Sektoren:

Baugewerbe: Schattenwirtschaft, Subunternehmer-Netzwerke, öffentliche Aufträge — hohe Exposition gegenüber Korruption (Art. 286 bis CP), Geldwäsche (Art. 301 CP) und Sozialversicherungsbetrug (Art. 307 ter CP).

Pharmaindustrie und Gesundheitswesen: Vergütungsbeziehungen mit verschreibenden Ärzten und Krankenhausmanagement — Korruption im privaten Sektor (Art. 286 bis CP); klinische Daten-Compliance und Vertriebspraktiken.

Finanzdienstleistungen und Immobilien: Geldwäsche-Prävention (AML-Gesetz 10/2010), Steuerbetrug bei Immobilientransaktionen, Kundenidentifikationspflichten (KYC).

Technologie und Plattformen: Cyberkriminalität-Exposition (Art. 197 bis CP), Datenschutzverletzungen mit strafrechtlicher Relevanz, algorithmische Diskriminierung.

Export und Internationaler Handel: Sanktions-Compliance, Exportkontrolle (dual-use goods), FCPA/UKBA-Anwendung bei US/UK-Verbindungen.

Unternehmensgrößen-Segmentierung und Programmkosten

Häufige Fehler bei Criminal-Compliance-Programmen — Top 5

1. Kopie von Standardvorlagen ohne sektorspezifische Anpassung. Ein generisches Compliance-Programm, das nicht die spezifischen Straftaten adressiert, denen das Unternehmen ausgesetzt ist, wird von Gerichten nicht als wirksam anerkannt.

2. Nominelles Compliance-Organ ohne Autonomie. Ein Compliance-Organ, das dem CEO unterstellt ist und diesem berichten muss, hat nicht die Unabhängigkeit, die Gerichte fordern. Das Organ muss direkt an den Vorstand berichten.

3. Einmalige Schulungen ohne periodische Aktualisierung. Das Compliance-Programm muss jährlich aktualisiert werden — mit neuen Schulungen, neuen Risikolandkarten und dokumentierten Überwachungsergebnissen.

4. Whistleblowing-Kanal ohne echte Untersuchungen. Ein Meldekanal, der Meldungen empfängt, aber keine dokumentierten Untersuchungen initiiert, ist kein wirksames Präventionssystem.

5. Keine Erstreckung auf Dritte. Das Criminal-Compliance-Programm muss Lieferanten, Subunternehmer, Intermediäre und andere Dritte abdecken, über die das Unternehmen Straftaten begehen könnte. Screening-Prozesse für Dritte sind ein obligatorisches Element.

ISO 37001 und UNE 19601: Zertifizierung als Verteidigungsmittel

Die UNE 19601-Norm (Spanische Norm für Straf-Compliance-Managementsysteme) und ISO 37001 (Anti-Korruptions-Managementsystem) bieten zertifizierbare Rahmen, die über die strafrechtliche Mindestanforderung hinausgehen. Eine Zertifizierung durch einen akkreditierten Dritten dokumentiert die Wirksamkeit des Programms auf eine Weise, die intern erstellte Compliance-Dokumente nicht leisten können. BMC begleitet den Zertifizierungsprozess von der Gap-Analyse bis zur erfolgreichen Auditvorbereitung.

Geografische Abdeckung und internationale Dimension

BMC berät bei Criminal-Compliance-Programmen vor spanischen Gerichten und koordiniert mit internationalen Spezialisten für grenzüberschreitende Korruptionsrisiken (FCPA, UK Bribery Act, OECD Anti-Korruptions-Konvention) bei Unternehmen mit internationalen Operationen. Die FCPA (Foreign Corrupt Practices Act der USA) und der UK Bribery Act sind extraterritorial anwendbar auf Unternehmen, die auf US- oder UK-Märkten tätig sind oder US/UK-Personen beschäftigen — was bedeutet, dass ein spanisches Unternehmen mit US-Kunden oder US-gelisteten Anleihen zwei gleichzeitige Compliance-Verpflichtungen hat.

Für internationale Konzerne mit spanischen Tochtergesellschaften gestalten wir das spanische Criminal-Compliance-Programm in Abstimmung mit dem konzernweiten Compliance-Rahmen, um doppelte Anforderungen zu vermeiden und Synergien zwischen dem spanischen Art. 31 bis-Regime und dem FCPA/UKBA-Compliance-Framework zu nutzen.

Strafprozessuale Verteidigung: Wenn ein Ermittlungsverfahren beginnt

Wenn die Guardia Civil oder das Gericht ein Ermittlungsverfahren gegen ein Unternehmen oder seine Direktoren einleitet, ist sofortiges, koordiniertes rechtliches Handeln kritisch:

Sofortmaßnahmen (erste 48 Stunden): Interne Untersuchung zur Faktenermittlung, Bewertung der Exposition des Unternehmens und seiner Direktoren, Anweisung an alle Mitarbeiter zur Dokumentenaufbewahrung (Litigation Hold), Koordination mit strafrechtlichen und Compliance-Anwälten, Bewertung der Möglichkeit freiwilliger Kooperation (Art. 31 quater CP — strafmindernder Faktor).

Interne Untersuchungen: Wir führen unabhängige interne Untersuchungen durch, wenn Unternehmen von einer Behörde über mögliche Straftaten informiert werden. Das Ergebnis der Untersuchung ermöglicht eine informierte Entscheidung über Kooperation oder Verteidigung — und dokumentiert, dass das Unternehmen aktiv gehandelt hat.

Verteidigung im Strafverfahren: Strafverteidigung für juristische Personen ist ein Spezialgebiet. Neben den materiellen Argumenten zur Exkulpation (wirksames Compliance-Programm, Umgehung durch betrügerisches Verhalten) gibt es verfahrensrechtliche Garantien (Recht auf Nichtauskunft, Zeugnisverweigerungsrecht für Direktoren als natürliche Personen), die aktiv und koordiniert eingesetzt werden müssen.

Governance und Aufsichtsrat-Pflichten

Jüngste Urteile des Tribunal Supremo und der Audiencia Nacional haben die Bedeutung der Aufsichtsrats-Governance für die Strafbarkeit juristischer Personen verdeutlicht: Wenn das Compliance-Programm vorhanden war, aber der Aufsichtsrat keine angemessene Überwachung des Compliance-Organs ausgeübt hat, kann dies die Exkulpationswirkung des Programms mindern.

BMC bietet Aufsichtsräten und Vorstandsmitgliedern Compliance-Schulungen an — mit dem Ziel, die Governance-Überwachungsfunktion auf ein dokumentiertes Niveau zu heben, das bei einer Strafermittlung nachweisbar ist. Das Protokoll dieser Schulungen und der Überwachungssitzungen des Aufsichtsrats ist ein kritisches Verteidigungselement.

Kostentransparenz: Was ein Criminal-Compliance-Mandat kostet

Compliance-Kalender: Laufende Pflichten des Criminal-Compliance-Programms

Synergiepotenzial: Integration mit anderen Compliance-Frameworks

Das Criminal-Compliance-Programm überschneidet sich erheblich mit anderen Compliance-Anforderungen:

AML-Compliance (Ley 10/2010): Unternehmen mit AML-Pflichten (Anwälte, Wirtschaftsprüfer, Immobilienmakler, Casinos) haben bereits eine Geldwäsche-Risikolandkarte, die direkt in die Criminal-Compliance-Risikolandkarte integriert werden kann.

Whistleblowing (Gesetz 2/2023): Der obligatorische Meldekanal für Unternehmen ab 50 Mitarbeitern ist gleichzeitig ein Pflichtbestandteil des Criminal-Compliance-Programms. Die Integration beider Anforderungen in einem einzigen Kanal reduziert Implementierungskosten.

DSGVO-Datenschutz: Interne Untersuchungen bei Verdacht auf Straftaten berühren personenbezogene Daten von Mitarbeitern. DSGVO-konforme Verfahren für die Datenerhebung im Rahmen interner Untersuchungen sind kritisch.

BMC bietet integrierte Compliance-Mandate an, die Criminal Compliance, AML, Datenschutz und Whistleblowing als kohärentes Gesamtsystem gestalten — mit einem einzigen Compliance-Organ, einer integrierten Risikolandkarte und einem konsolidierten Vorstandsbericht.

Unternehmensgrößen-Segmentierung

Für Unternehmen, die Geschäfte mit der öffentlichen Verwaltung abschließen oder unter das Gesetz über öffentliche Vergabe (LCSP) fallen, ist ein Criminal-Compliance-Programm faktisch eine Voraussetzung für die Aufrechterhaltung der Zuschlagsfähigkeit — Art. 71 LCSP schließt Unternehmen mit bestimmten Strafurteilen von öffentlichen Verfahren aus.

Aktuelle Entwicklungen: Neue Straftatbestände und Rechtsprechung 2025-2026

Steuerbetrug und digitale Wirtschaft: Die Staatsanwaltschaft hat 2024-2025 Ermittlungen gegen mehrere große E-Commerce-Plattformen und Influencer wegen IRPF-Betrugs eingeleitet. Unternehmen mit erheblichen digitalen Einnahmen oder die Influencer als Markenbotschafter nutzen, sollten ihre Compliance-Programme um spezifische Kontrollen für diese Bereiche erweitern.

Umweltkriminalität (Art. 325-328 CP): Die Reform des Strafgesetzbuchs durch LO 4/2023 hat die Strafrahmen für Umweltstraftaten erheblich verschärft. Industrieunternehmen mit Genehmigungspflichten und Abfallentsorgungsverantwortlichkeiten müssen ihre Environmental-Compliance als Teil des Criminal-Compliance-Programms stärken.

Menschenhandel in Lieferketten: Internationale Unternehmen mit Lieferketten in Hochrisikoländern werden zunehmend auf ihre Due-Diligence-Pflichten bezüglich Menschenhandel geprüft. Die EU-Lieferkettensorgfaltspflichtenrichtlinie (CSDDD) wird diese Anforderungen weiter verstärken.

Tribunal Supremo — STS 348/2023: Grundsatzentscheidung, die klarstellt, dass ein Criminal-Compliance-Programm, das formal existiert, aber nicht tatsächlich implementiert wurde, keine strafmildernde Wirkung hat. Die Implementierungsdokumentation ist seit diesem Urteil kritisch — nicht mehr nur die Existenz des Programmdokuments.

Die Erstberatung zur Criminal-Compliance-Situation Ihres Unternehmens ist kostenlos. BMC bewertet das Strafrechtsexpositionsprofil Ihres Unternehmens und empfiehlt die prioritären Maßnahmen innerhalb von 48 Stunden nach dem ersten Gespräch.

Verhältnis zu Lieferketten-Due-Diligence und CSDDD

Die EU-Lieferkettensorgfaltspflichtenrichtlinie (Corporate Sustainability Due Diligence Directive, CSDDD) verpflichtet große Unternehmen ab 2027 schrittweise zur Due Diligence bezüglich Menschenrechtsverletzungen und Umweltschäden in ihren Lieferketten. Viele der Compliance-Mechanismen, die das Criminal-Compliance-Programm für Lieferanten-Screening und Dritte-Due-Diligence erfordert, überschneiden sich direkt mit den CSDDD-Anforderungen.

BMC gestaltet integrierte Third-Party-Due-Diligence-Systeme, die gleichzeitig:

• Die Criminal-Compliance-Anforderungen für Dritte nach Art. 31 bis CP erfüllen (Screening auf Korruptionsrisiken, PEP-Status, Sanktionslisten)
• Die AML-Know-Your-Business-Anforderungen nach Ley 10/2010 abdecken
• Die CSDDD-Sorgfaltspflichten für Menschenrechte und Umwelt antizipieren
• Die ESG-Berichterstattungsanforderungen für Lieferketten nach CSRD/ESRS S2 vorbereiten

Dies reduziert den Implementierungsaufwand erheblich und schafft ein einziges, kohärentes Dritte-Management-System statt vier paralleler Compliance-Prozesse.

Whistleblowing-Kanal-Management: Praktische Umsetzung

Das Gesetz 2/2023 über den Schutz von Hinweisgebern verpflichtet Unternehmen ab 50 Mitarbeitern, einen internen Meldekanal einzurichten. Die Anforderungen gehen über die bloße Einrichtung eines Kanals hinaus:

Kanalanforderungen: Vertraulich (kein Anonymitätserfordernis, aber Schutz der Identität), zugänglich für interne und externe Hinweisgeber, mit einer maximalen 7-Tage-Eingangsbestätigungspflicht und maximaler 3-Monats-Untersuchungsfrist.

Untersuchungsprotokoll: Jede Meldung muss nach einem dokumentierten Verfahren untersucht werden. Die Ergebnisse müssen dem Hinweisgeber mitgeteilt werden (sofern identifiziert). Vergeltungsmaßnahmen gegen Hinweisgeber sind nach Gesetz 2/2023 verboten und sanktionierbar.

Ausgelagerte Lösung: Für KMU mit weniger als 250 Mitarbeitern empfiehlt sich eine ausgelagerte Whistleblowing-Kanal-Lösung, die die gesetzlichen Anforderungen zu minimalen Kosten erfüllt. BMC bietet diese Lösung als Managed Service an: Kanal-Implementierung, Untersuchungsprotokoll, Berichterstattung und jährliche Compliance-Bestätigung.

Qualitätssicherung und Erfolgsmessung

Die Wirksamkeit eines Criminal-Compliance-Programms lässt sich nicht allein an der Existenz von Dokumenten messen. BMC entwickelt für jeden Mandanten einen spezifischen Kennzahlen-Rahmen (Key Compliance Indicators), der folgende Dimensionen abdeckt: Schulungsabdeckung (Prozentsatz der Mitarbeiter mit dokumentierter Teilnahme), Kanal-Nutzungsrate (Anzahl eingegangener Meldungen pro Quartal), Untersuchungsabschlussquote (Anteil der innerhalb der 3-Monats-Frist abgeschlossenen Fälle), Dritte-Screening-Abdeckung (Prozentsatz der neuen Lieferanten mit durchgeführtem PEP/Sanktions-Screening) und Aufsichtsrats-Review-Frequenz (Anzahl der Compliance-Tagesordnungspunkte pro Vorstandssitzung).

Dieser datengetriebene Ansatz ermöglicht es, dem Vorstand und — im Falle einer Ermittlung — dem Gericht zu demonstrieren, dass das Programm nicht nur auf dem Papier existiert, sondern täglich gelebt wird. Die kontinuierliche Dokumentation dieser KPIs ist, nach STS 348/2023, der wichtigste Unterschied zwischen einem wirksamen Exkulpationsprogramm und einem formalen Compliance-Dokument ohne strafmindernde Wirkung.